ฟังคำตอบ เลขาฯ ความมั่นคงทางไซเบอร์ เจาะเบื้องหลัง 9near หาเป้าหมาย ต้องการอะไรแน่... เกี่ยวข้องกับใคร คนมีสี หรือโยงการเมือง หรือไม่?
“ถ้าเราจะใช้บริการอะไรที่ให้ความสะดวก มันต้องมาพร้อมความเสี่ยง แต่เราจะจัดการความเสี่ยงอย่างไร นี่คือเรื่องสำคัญ”
คำจำกัดความสำคัญของ พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หนึ่งในคีย์แมนในการตามล่าและสืบ กลุ่ม 9near หลังออกมาโพสต์ข้อความ ส่ง SMS ถึงคนดังว่า มีข้อมูลส่วนบุคคลของคนไทย 55 ล้านชื่อ ซึ่งทีแรกเหมือนจะเป็นการโพสต์ “ขายข้อมูล” แต่ต่อมากลับเปลี่ยนท่าทีเป็นข่มขู่ ดิสเครดิตหน่วยงานภาครัฐ อ้างว่า “แฮก” ข้อมูล ออกมาได้ ก่อนจะเปลี่ยนท่าทีอีกครั้ง อ้างว่าจะไม่ปล่อยข้อมูล เพราะขัดแย้งกับ “สปอนเซอร์”
สรุปแล้ว กลุ่ม 9near ต้องการอะไรกันแน่ ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ จึงได้พูดคุยกับ พล.อ.ต.อมร โดยเกริ่นว่า เดาเป้าหมายและทิศทางเขายาก เพราะตอนแรกเขาประกาศขายข้อมูล 55 ล้านรายชื่อ แต่ต่อมาที่ที่เขาประกาศขายถูกปิด เป็นเว็บเกี่ยวกับ breach forum ซึ่งเป็นเว็บเกี่ยวกับการขายข้อมูล เช่น ล้วงความลับใครได้ก็จะเอามาขาย ซึ่งความจริงไม่ได้มีแค่คนไทยที่โดนล้วงข้อมูล แต่มีข้อมูลจากที่อื่นทั่วโลกด้วย เพราะแบบนี้ทาง FBI จึงจับตามอง และตามปิดเว็บไซต์ดังกล่าวเป็นระยะ
...
พล.อ.ต.อมร บอกว่า เราติดตามมาตั้งแต่มีนาคม หลังเว็บซื้อขายข้อมูลโดน FBI ปิด กลุ่ม 9near จึงเปลี่ยนรูปแบบมาทำเว็บไซต์ของตัวเอง เปลี่ยนวิธีด้วยการโพสต์อ้างตามที่ระบุมา จากนั้นก็ส่ง SMS ก่อกวนผู้คนด้วย โดยเฉพาะคนที่มีชื่อเสียงในสังคม นักข่าว และโพสต์ประมาณว่า ต้องการกระตุ้นให้ภาครัฐให้ความสำคัญเรื่องข้อมูลรั่วไหล
“เราคาดเดาไม่ได้ว่า ความตั้งใจที่แท้จริงของเขาคืออะไร เพราะตอนแรกประกาศขายข้อมูล ต่อมาโพสต์ข่มขู่ว่า จะปล่อย 55 ล้านรายชื่อ หรือต้องการดิสเครดิตหน่วยงานภาครัฐที่ดูแลเรื่องข้อมูลส่วนบุคคล ดังนั้น หากจะให้สรุปว่า เขาต้องการอะไร หวังผลอะไร จึงเป็นเรื่องยากในตอนนี้...”
9near เป็นใคร... คนมีสีหรือไม่ หรือเกี่ยวข้องกับการเมือง?
กับคำถามข้างต้น พล.อ.ต.อมร เผยว่า สิ่งที่เราบอกได้ คือ เป็นคนไทย มีกลุ่มคนร่วมขบวนการไม่มากนัก มีองค์กรหรือกลุ่มคนหนุนหลังหรือไม่ ตอนนี้หลักฐานยังไปไม่ถึงขั้นนั้น แต่...จากการสอบสวนกับตำรวจ เราเชื่อว่ามีมากกว่า 1 คน
เมื่อถามว่า เป็นคนมีสี มีความรู้ด้านไอที อยากลองวิชาอย่างที่ ผบ.ตร.เปิดเผยหรือไม่ พล.อ.ต.อมร บอกว่า ผมไม่มีคอมเมนต์เรื่องนี้ แต่เท่าที่สืบได้ เชื่อว่ามีหลายคนเกี่ยวข้อง
มีการเมืองหรือไม่ เพราะจังหวะเวลาที่ปล่อยออกมา เป็นช่วงเลือกตั้ง เลขาฯ คณะกรรมการการรักษาความปลอดภัยทางไซเบอร์ ตอบว่า โลกนี้อะไรที่สลับซับซ้อน มันอาจจะหมายถึงว่า เป็นกลุ่มการเมืองทำ หรือต้องการชี้ไปให้คนการเมืองทำ
“เราต้องเรียนกันตรงๆ ว่า เขาจะโพสต์ จะเขียนอะไรก็ได้ แต่เราต้องดูสิ่งที่เป็น “ข้อเท็จจริง” มีอะไรสนับสนุนหรือไม่ สิ่งที่กล่าวอ้างออกมา มีหลักฐานแค่ไหน เราไม่ควรจะด่วนเชื่อตามที่เขาเขียน ต้องมีการตรวจสอบพยานหลักฐานทั้งหมดก่อน หากเขาใบ้แล้วเราเชื่อเลย เราอาจจะตกเป็นเหยื่อ หรือเป็นการใส่ร้ายใครหรือไม่ ถ้าทำแบบนั้น เราจะกลายเป็นเครื่องมือของเขา”
ข้อมูลส่วนบุคคล 55 ล้านชื่อ มีจริงหรือไม่?
เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ กล่าวว่า สิ่งที่เขาอ้างว่า มีข้อมูลส่วนบุคคล 55 ล้านรายชื่อ ก็อาจจะเป็นไปได้ เพราะส่ิงที่เขามี และมีการเผยแพร่ออกมา บางส่วนก็เป็นข้อเท็จจริงอยู่หลายเปอร์เซ็นต์ ฉะนั้น จะมีครบ 55 ล้านชื่อหรือไม่...ก็มิอาจทราบได้
...
“ส่วนตัวเชื่อว่า สิ่งที่เขาเน้น คือ เรื่องการ “ดิสเครดิต” การเก็บข้อมูลของหน่วยงานภาครัฐ ซึ่งในความจริงเราเองก็ต้องตื่นตัวในการตรวจสอบ การเก็บข้อมูลทุกระบบของรัฐ เพราะต้องยอมรับตรงๆ ว่า ในช่วง 2 ปีที่ผ่านมา เรามีเหตุการณ์ข้อมูลภาครัฐหลุดรั่วถึง 32 เหตุการณ์ ฉะนั้น จึงต้องรีบจัดการแก้ไข และต้องดำเนินการทำงานอย่างต่อเนื่อง”
พล.อ.ต.อมร เชื่อว่า สิ่งที่ภาครัฐต้องทำ คือ ต้องร่วมมือกับเรา หน่วยป้องกันอาชญากรรมทางไซเบอร์มากขึ้น จากที่เราพบเจอช่องโหว่และแจ้งเรื่องให้ทราบ ซึ่งทำให้หน่วยงานต่างๆ ไม่ว่าภาครัฐหรือเอกชน ตระหนักมากขึ้น เพราะถ้าข้อมูลต่างๆ หลุดไป จะส่งผลให้เกิดความเสียหายรุนแรง โดยเฉพาะ “ความน่าเชื่อถือ” ฉะนั้น เมื่อเหตุการณ์เป็นเช่นนี้ จึงถือโอกาสในการ “ยกเครื่อง” แก้ไขกระบวนการตรวจสอบ และแจ้งเตือนประชาชนให้มีเข้มข้น รวมไปถึงการแก้ไขในการจัดเก็บข้อมูลให้ปลอดภัยมากยิ่งขึ้น
วิธีรับมือกับปัญหาข้อมูลส่วนตัวรั่วถึง “มิจฉาชีพ”
...
เลขาธิการ สกมช. กล่าวอีกว่า สำหรับประชาชนที่คิดว่าเบอร์โทรอาจจะหลุดรั่วไปถึงมือมิจฉาชีพ สิ่งที่ควรทำ คือ การบล็อกเบอร์นั้นๆ หากเบอร์นั้นยังโทรมาไม่หยุด ก็สามารถร้องเรียนหรือแจ้งความได้ เพราะถือว่าเข้าข่ายก่อกวน
ส่วนกรณี SMS หากมีการอำพรางผู้ส่ง ก็จะเข้าข่ายผิดกฎหมาย มาตรา 11 (ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่น โดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบ คอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ปรับไม่เกินหนึ่งแสนบาท) เราสามารถแจ้งความได้ว่า มีคนพยายามก่อกวนเราในรูปแบบต่างๆ
ส่วน “แก๊งคอลเซ็นเตอร์” เราต้องระมัดระวัง ถ้าสงสัยว่าเป็น “แก๊งคอลเซ็นเตอร์” ก็ให้รีบวางสายให้เร็วที่สุด ถึงแม้ว่าเขาจะรู้ข้อมูลเรื่อง ชื่อ นามสกุล เลขบัตรประชาชน ก็ตาม แต่ก็อย่าตระหนก ถึงแม้เขาจะอ้างเรื่องราวที่คล้ายเรื่องจริง เพราะเขาได้ข้อมูลเราไปเยอะ ฉะนั้น เราไม่ต้องฟัง ตัดสาย บล็อกเบอร์
“หากเรารู้สึกว่าเราพลาดให้ข้อมูล หรือโอนเงินออกไป เราสามารถขอทางธนาคารอายัดบัญชีได้ ทั้งบัญชีเรา และ “บัญชีม้า” ได้ในระยะเวลาอันสั้น เพราะตอนนี้มีกฎหมายควบคุมดูแลแล้ว ฉะนั้น หากเป็นไปได้ ควรมีเบอร์สายด่วนของธนาคารติดเครื่องไว้ก็ดี สิ่งสำคัญ คือ ต้องรักษาเงินไว้ก่อน เราต้องมองว่า ตอนนี้ข้อมูลของเรารั่วไหลไปแล้ว และในอนาคตไม่รู้ว่าจะมีหลุดรั่วอีกหรือไม่ นอกจากนี้ เราต้องระมัดระวังการใช้งานอินเทอร์เน็ต อย่าเข้าอินเทอร์เน็ตที่ไม่น่าไว้ใจ ต้องมีการเปลี่ยนรหัสเครื่อง รหัสธนาคาร ไม่ควรจะเป็นรหัสเดียวกัน”
...
ห้ามแนบลิงก์ ส่ง SMS อาจตึงเกินไป
เมื่อถามว่า เราได้คุยกับทางโอเปอเรเตอร์ค่ายมือถือบ้างไหม พล.อ.ต.อมร กล่าวว่า ได้มีการพูดคุยกันมากขึ้น และเขาก็ให้ความร่วมมือมากขึ้นกว่าแต่ก่อนมาก
“ก่อนหน้านี้ เวลาจะคุยกับเขาในช่วง SMS หลอกลวง เขาก็มักให้คำตอบว่า ขอดูรายละเอียดก่อน มีหมายศาลหรือไม่ แต่ตอนนี้ทุกคนตื่นตัวดีมาก เพราะมันเป็นภัยร้ายแรง และยังให้ความร่วมมือในการตรวจสอบ ระมัดระวังป้องกัน เพราะเห็นว่าเป็น ภัยความมั่นคงของชาติ และมีประชาชนจำนวนมากได้รับผลกระทบเยอะ เราจำเป็นต้องร่วมมือกัน”
ที่ผ่านมา มีบางธนาคารมีนโยบายไม่แนบลิงก์ใน SMS ถึงเวลานี้เป็นนโยบายในภาพรวมหรือไม่ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ ตอบว่า ส่วนนี้ถ้าจะประกาศในภาพรวม คงต้องผ่านธนาคารแห่งประเทศไทย ที่ต้องเรียกธนาคารทุกแห่งมาประชุม ก่อนที่จะมีมาตรการ สิ่งที่เกิดขึ้น คือ บางธนาคาร เขามีเจตจำนงที่จะทำเป็นตัวอย่าง เพื่อบอกกับประชาชนว่า ธนาคารเขาจะส่ง SMS ที่ไม่มีลิงก์ ถ้ามีลิงก์มา แปลว่าเป็น SMS หลอกลวง
เลขาธิการ สกมช. ระบุว่า แนวทางนี้เป็นแนวทางของสิงค์โปร์ ที่ห้ามส่ง SMS แบบมีลิงก์ แต่สำหรับประเทศไทย การส่ง SMS แบบมีลิงก์ ก็ยังถือเป็นช่องทางอำนวยความสะดวก เพราะไม่ใช่ทุกคนที่ใช้ อีเมล คนไทยทั่วไปยังใช้ ไลน์ กับ SMS เป็นหลัก เพื่อความสะดวกสบาย มันต้องสมดุลกัน หากปลอดภัยมาก และใช้การอะไรไม่ได้ เศรษฐกิจก็อาจจะได้รับผลกระทบ ยกตัวอย่าง จะโอนเงินก็ต้องสแกนหน้า โทรหาธนาคาร มันก็ดูจะวุ่นวาย อาจเกิดการสะดุดในเรื่องการใช้ชีวิต และเศรษฐกิจในประเทศ แต่ไม่ใช่ว่าจะเอาสะดวกอย่างเดียว แล้วใครก็ปลอมเป็นเราได้ ทุกอย่างมันต้องสมดุลกัน ต้องสะดวกสบาย และมีความปลอดภัย
ความสะดวกสบายมาพร้อมความเสี่ยง
ที่ผ่านมา หลายคนโดนขโมยรหัส เพราะใช้วิธีการตั้งรหัสง่ายๆ เช่น วันเดือนปีเกิด ไปใช้ตั้งรหัส ATM หรือแอปฯ ธนาคาร แล้วก็คิดว่าแอปฯ ไม่ปลอดภัย หากมีการตั้งรหัสลักษณะนี้ เราก็รู้สึกเห็นใจธนาคารมากๆ แทนที่เมื่อบัตร ATM หาย การจะใช้บัตรต้องยุ่งยาก แต่กลับตั้งรหัสแบบนี้ ทำให้คนร้ายเดารหัสได้ง่าย ในขณะที่แอปฯ ธนาคาร เขาก็ไม่รู้ว่าคุณใช้รหัสเป็นวันเดือนปีเกิด เขาก็เลยไม่รู้จะแนะนำคุณอย่างไร
“ถ้าเราจะใช้บริการอะไรที่ให้ความสะดวก มันต้องมาพร้อมความเสี่ยง แต่เราจะจัดการความเสี่ยงอย่างไร นี่คือเรื่องสำคัญ ยกตัวอย่าง แอปฯ “เป๋าตัง” ถือว่ามีความเสี่ยง แต่มันก็ช่วยเราได้เยอะ เราได้เงินช่วยเหลือ เศรษฐกิจหมุนเวียน จากแอปฯ เป๋าตัง ซึ่งถือว่ามีความจำเป็นที่จะช่วยให้ประเทศพัฒนา ประชาชนได้รับประโยชน์ แต่เราก็ต้องบริหารความเสี่ยงตรงนี้ด้วย เช่น โทรศัพท์มือถือ หากไม่มีรหัส ใครก็จะเอาไปใช้ได้ ฉะนั้น ความรับผิดชอบที่เกิดขึ้น ต้องมาจากทั้ง 2 ทาง คือความสะดวกจากการใช้แอปฯ ธนาคาร แต่ก็ต้องบริหารความเสี่ยง ด้วยการตั้งพาสเวิร์ดแตกต่างกัน เพราะระบบทุกอย่างมันจะถูกเชื่อมโยงไปที่ทะเบียนราษฎรออนไลน์” พล.อ.ต.อมร กล่าวทิ้งท้าย
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ รายงาน
อ่านบทความที่น่าสนใจ