จากกรณี จ.ส.ท.เขมรัตน์ บุญช่วย ทหารสังกัดกรมการขนส่งทหารบก (ขส.ทบ.) ผู้ต้องหา ตามหมายจับตาม พ.ร.บ.คอมพิวเตอร์ และพ.ร.บ.ข้อมูลส่วนบุคคล ต้นเรื่อง กรณี 9near ขู่ว่าจะปล่อยข้อมูลส่วนบุคคล ของคนไทย 55 ล้านรายชื่อ แต่ต่อมาถูกตำรวจและเจ้าหน้าที่กดดันหนัก จนเข้ามอบตัว และอ้างว่า ไม่ได้มีข้อมูลมากถึง 55 ล้านรายชื่อ แต่มี 8 ล้านรายชื่อ จากการซื้อข้อมูลผ่านเว็บ breach forum และตอนนี้ทำลายทิ้งไป และต่อมาทาง นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้แถลงข่าวว่า “ข้อมูลดังกล่าวยังไม่ได้ขายและหลุดรั่ว” ไปไหน (คล้ายให้ความมั่นใจคนไทย)
แต่...ในความเป็นจริงของเวลานี้ “ข้อมูลส่วนบุคคล” แทบจะไม่ได้เป็น “ส่วนบุคคล” อีกต่อไปแล้ว
เพราะการหลุดรั่วของข้อมูล ไม่ได้หลุดรั่วมาจากหน่วยงานใดหน่วยงานหนึ่ง แต่อาจจะหลุดมาจากหลายๆ หน่วยงาน ทั้งภาครัฐ และเอกชน เรื่องนี้ถือเป็นเรื่องใหญ่ เพราะสามารถตั้งสมมติฐานได้เลยว่า “ข้อมูลท่าน” ถึงมือโจร มิจฉาชีพ เรียบร้อยแล้ว
...
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ ได้มีโอกาสพูดคุยกับ “อาจารย์ฝน” หรือ “นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล” ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ที่มีประสบการณ์มากกว่า 20 ปี บอกเล่า “ความอ่อนแอ” ในระบบการจัดเก็บข้อมูลสำคัญของคนไทย การขาดวิสัยทัศน์ของผู้บริหารในการป้องกัน และปัญหาในระบบการศึกษา ทำให้ไม่มีบุคลากรมาทำระบบความปลอดภัยทางไซเบอร์ได้
อาจารย์ฝน เกริ่นว่า ปัญหาเรื่อง "ข้อมูลหลุดรั่ว" เวลานี้เป็นแทบทุกที่ ไม่ว่าจะเป็นภาครัฐ หรือ เอกชน ซึ่งเรื่องนี้เป็นปัญหาในหลายมิติ ทั้งในด้านเทคโนโลยี โดยมีการค้นพบช่องโหว่ โดยแฮกเกอร์ทุกวัน อีกส่วนคือ บุคลากรก็ไม่เพียงพอ เพราะทุกวันนี้ ทุกหน่วยงานจำเป็นหน่วยงานรักษาความปลอดภัยทางไซเบอร์ แต่ปัญหาคือ หาคนไม่ได้ ในขณะที่ “ระบบงาน” ที่บ่งบอกความต้องการยังไม่ชัดเจน ตำแหน่งงานที่เฉพาะเจาะจงที่ดูแลด้านนี้ก็ไม่มี มีแต่...นักคอมพิวเตอร์ 1, 2, 3
“พอเราบอกไม่ได้ตำแหน่งงาน ความต้องการในแต่ละปี มีมากน้อยแค่ไหน ทำให้เราบอกไม่ได้ว่า ภาคการศึกษาต้องผลิตป้อนเข้ามามากน้อยแค่ไหน ไม่เหมือนกับที่เรารู้ว่า แต่ละปีต้องผลิตวิศวกร นักบัญชี จำนวนเท่าไร...? แต่สิ่งที่เกิดขึ้น ได้แต่บอกว่า บุคลากรไม่เพียงพอ คำว่า “ไม่พอ” แต่ก็ไม่ได้ศึกษาเพื่อจะแก้ไข เท่าไร ถึงจะเพียงพอ นี่คือ คำถามสำคัญ การไม่รู้ตัวเลข ทำให้ภาคการศึกษาก็ทำอะไรไม่ถูก ทุกอย่างจึงคลุมเครือไปเสียหมด”
ปัญหาการขาดแคลนบุคลากร ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ให้ความเห็นว่า อีก 5-10 ปี มันก็ยังขาดแคลนอยู่ เพราะหากเราไม่เคลียร์เรื่องนี้ ทุกอย่างมันก็จะเป็นปัญหาต่อไป นี่คือปัญหาด้านเทคนิค!
ขาดวิสัยทัศน์การบริหารธุรกิจ ยันถึงระดับ “ชาติ”
อาจารย์นรินทร์ฤทธิ์ ยอมรับอย่างตรงไปตรงมาว่า สิ่งที่เกิดขึ้นนี้มาจากการ “ขาดวิสัยทัศน์” ที่ไม่มีความเข้าใจเรื่องปัญหาทางไซเบอร์ เวลาทำนโยบาย บริหารความเสี่ยง ก็ทำไปอย่างงั้นๆ! เวลาเขียนนโยบาย ก็ใช้วิธีการ Copy อีกหน่วยงานหนึ่ง พอเขียนแนวปฏิบัติก็ลอกๆ กัน ทำด้วยความไม่เข้าใจ ทำแบบ “เสือกระดาษ” กรอกๆ ข้อมูลไป เพราะงานเยอะ คนน้อย การทำงานต่างๆ ยุ่งไปหมด พอมีกฎหมายใหม่ก็ต้องไปทำเรื่องนั้นเรื่องนี้
ส่วนตัวรู้สึกเข้าใจ...แต่เราก็อยากได้ผู้บริหารที่มีความเข้าใจความสำคัญด้านการดูแลความปลอดภัยทางไซเบอร์ โดยเฉพาะหน่วยงานภาครัฐ หรือดูแลเรื่อง โครงสร้างพื้นฐานต่างๆ โดยเฉพาะการแต่งตั้งตำแหน่ง CISO หรือ Chief Information Security Officer (ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ) เรียกว่ามีปัญหาตั้งแต่ระดับบนถึงล่าง
อาจารย์นรินทร์ฤทธิ์ กล่าวต่อว่า พอผู้บริหารระดับบนของประเทศ หรือ บริษัท ขาดวิสัยทัศน์ ขาดความเข้าใจ ทำให้ไม่ควบคุมและเอาจริงเอาจัง เมื่อคนระดับล่างของบประมาณไป เพื่อไปวางระบบความปลอดภัย ก็ไม่มีการสนับสนุน แถมตัดงบอีก เรื่องนี้กลายเป็นปัญหา “งูกินหาง”
...
ทั้งที่ประเทศเรา ก็มีหน่วยงาน หรือ รัฐมนตรีที่ดูแลด้านนี้โดยตรง? อาจารย์ฝน ตอบทันทีว่า “ไม่พอ” ยกตัวอย่างง่ายๆ ว่า สมมติว่ามีองค์กรหนึ่ง ถามว่าใครดูแลความปลอดภัย เขาก็ตอบว่าเราก็มี รปภ. แล้วทุกคนก็จะทำอะไรก็ได้ เรื่องนี้...มันเกี่ยวกับทุกคน ทุกคนต้องช่วยกันเป็นหูเป็นตา ต้องช่วยดูแลตัวเอง ดูแลองค์กร ปัญหานี้ไม่ใช่แค่ฝ่าย IT เท่านั้น...
เมื่อถามว่า ปัญหาข้อมูลหลุดรั่ว ของประเทศไทย เมื่อเทียบกับระดับโลกแล้วเป็นอย่างไร อาจารย์ฝน อธิบายว่า เรื่องนี้เป็นปัญหาระดับโลก ไม่ใช่แค่ที่ไทย เพราะบุคลากรด้านนี้ขาดแคลนทั้งโลก
“จู่ๆ ทุกหน่วยงานมีความต้องการคนด้านนี้พร้อมกัน โดยไม่มีการสร้างแรงงานมาจากมหาวิทยาลัย เพราะมีดีมานด์ ซัพพลาย เราไม่รู้ตัวเลขเหล่านี้เลย เด็กที่จบมาด้านคอมพิวเตอร์ หลายคนไม่ได้เรียนด้านนี้มา ก็ทำไม่ได้ ก็ต้องมาเรียนรู้ใหม่”
...
แบบนี้แปลว่าการดูแลข้อมูลส่วนบุคคลของประเทศไทย อยู่ในข่ายย่ำแย่? อาจารย์นรินทร์ฤทธิ์ กล่าวว่า “ผมไม่อยากพูดขนาดนั้น (หัวเราะ) แต่หากจะให้ความเห็น ผมมองว่า “ยังไม่อยู่ในขั้นน่าสบายใจ”
พอ พ.ร.บ.คุ้มครองส่วนบุคคล (PDPA) ออกมา ก็จะมีคนแนะนำว่า หน่วยงานต้องแต่ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO), ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือ นโยบายคุ้มครองต่างๆ
“ผมถามง่ายๆ ข้อมูลเลขบัตรประชาชนของคน มีหน่วยงานไหนเก็บบ้าง เก็บที่ไหน แต่ละจุดที่เก็บข้อมูล มีใครเข้าถึงได้บ้าง มีการควบคุมการเข้าถึงอย่างไร มีการป้องกันการก๊อบปี้แต่ละสำเนาไหม มีอันที่เก็บเป็นข้อมูลอิเล็กทรอนิกส์ กี่ก๊อบปี้ อันที่ปริ้นท์ออกมากี่ ก๊อบปี้ มีไปทิ้งไว้ตามเครื่องถ่ายเอกสารเท่าไร สิ่งที่เกิดขึ้น คือ ไม่มีการประเมินข้อมูลหลุดรั่ว ในวงจรข้อมูล มันไหลไปไหนบ้าง มันเริ่มต้นจากการสร้าง เก็บ ทิ้ง ข้อมูลอย่างไรบ้าง”
...
“การทำลายข้อมูลทิ้ง” เรื่องสำคัญ ที่ยังไม่ให้ความสำคัญ
อาจารย์ฝน กล่าวว่า ข้อมูลอิเล็กทรอนิกส์ คุณบอกว่า Delete ข้อมูลแล้วหมายความว่า “ทำลาย” นี่คือความเข้าใจผิดเลยนะครับ กดปุ่ม Delete แล้วข้อมูลยังอยู่นะครับ หากบอกว่า Format Disk หากคุณเอามาให้ผม ผมสามารถกู้ข้อมูลกลับได้ 100%
เรื่องสำคัญของเรื่องนี้ คือ กระบวนการทำลายข้อมูล สำหรับประเทศไทย ยังไม่มีประกาศแนวทางออกมา ผมเป็นคนช่วยร่างขั้นตอน “การชำระล้างสื่อข้อมูลอิเล็กทรอนิกส์” ตั้งแต่ 10 ปีก่อน ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ โดยมีการผ่านการประชามติไปแล้ว 1 รอบ จากนั้นก็ “ดอง” ยังไม่มีความคืบหน้าออกมา
เมื่อถามว่า มันมีปัญหาตรงขั้นตอนไหน... ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ชี้ว่า เขาอาจจะมองว่า “อาจมีค่าใช้จ่าย” เพิ่ม ที่ผ่านมา หน่วยงานต่างๆ มีการตั้งงบประมาณสำหรับ การซื้อ ใช้ แต่ไม่ตั้งงบสำหรับการ “ทิ้ง” แบบนี้ไม่มีงบ การทิ้งหรือทำลายข้อมูลอย่างถูกต้อง จำเป็นต้องมี “งบประมาณ”
ส่วนตัวมองว่า สาเหตุที่ไม่ประกาศเรื่องนี้ออกมา เพราะติดเรื่อง “งบประมาณ” และหากนำมาใช้จริงๆ บางหน่วยงานอาจจะทำไม่ได้ เพราะงบไม่พอ... แต่ถ้าถามว่า หากมองว่าเรื่องนี้เป็นเรื่องสำคัญ ทำไมไม่จัดสรรงบประมาณ? ฉะนั้น การไม่ทำลายข้อมูลส่วนบุคคลแบบมาตรฐานสากล ก็ส่งผลให้ข้อมูลหลุดรั่วยังไง...!
การตื่นตัวเรื่อง “ข้อมูลส่วนบุคคล” กับกฎหมาย PDPA และบทลงโทษ
อาจารย์ฝนยอมรับว่า การมีกฎหมาย PDPA ออกมา ทำให้หลายๆ ฝ่ายตื่นตัวมากขึ้น สาเหตุเพราะกฎหมายดังกล่าว นอกจากจะมีบทบัญญัติในการควบคุมแล้ว ยังมีบทลงโทษด้วย การมีบทลงโทษ เลยทำให้หน่วยงานต่างๆ หันมาสนใจ เพราะกลัวบทลงโทษ แต่...หากเป็นหน่วยงานรัฐบาล ก็ยังมีคำถามอยู่ หากทำผิด แล้วถูกกฎหมายทางแพ่งลงโทษ คำถามคือ จะเอาเงินที่ไหนจ่าย เงินจากภาษีประชาชนหรือไม่
จากปัญหาที่เล่ามาทั้งหมด แปลว่า เราควรตั้งสมมติฐานว่า ข้อมูลของพวกเราทุกคนหลุดรั่วแล้วหรือไม่ อาจารย์ฝนตอบสั้นๆ ว่า “ก็คงเป็นแบบนั้นล่ะฮะ!”
ผมถามว่า ณ ปัจจุบันนี้ มีหน่วยงานไหน “กล้า” ประกาศว่า ข้อมูลจากหน่วยงานตัวเองไม่หลุดรั่ว “ผมเชื่อว่าไม่มีใครกล้า แค่ถามว่า สร้าง ใช้ เก็บ ทิ้ง อย่างไร ไม่มีใครประเมิน (หัวเราะ)
สิ่งที่คนไทยทุกคนทำได้คืออะไร... อาจารย์ฝน ตอบพรางหัวเราะว่า “ทำใจ....ทำใจในที่นี่ คือ บริบทที่เกิดขึ้นเป็นแบบนี้ คือ การเอาเทคโนโลยีมาใช้ โดยขาดความเข้าใจ ขาดความรู้ และไม่สามารถจัดการมันได้ เทคโนโลยี ที่ควรจะเป็นประโยชน์เลยกลายเป็นโทษ ทำให้ข้อมูลหลุดรั่วได้ เมื่อบริบทเป็นแบบนี้ เราก็ควรเรียนรู้จะอยู่กับมันอย่างไร ป้องกันมิจฉาชีพอย่างไร
เมื่อเร็วๆ นี้ ผมยังโดนเลย บอกว่า โทรมาจาก ก.พาณิชย์ ซึ่งหากค้นข้อมูล ดูชื่อผู้ประกอบการจาก ก.พาณิชย์ ชื่อ-เบอร์โทร ก็โชว์หราอยู่ เขาก็โทรมา แบบนี้เอาผิดกับ ก.พาณิชย์ได้หรือไม่ ด้าน ก.พาณิชย์ เขาก็บอกว่ามี พ.ร.บ.เปิดเผยข้อมูลภาครัฐอยู่ เขาก็ทำตามกฎหมาย และเมื่อถามว่า แล้วกฎหมาย PDPA ล่ะ...”
“ประเด็นของเรื่องนี้ คือ เปิดเผยได้ มาเป็นไร เพียงแต่คนที่จะขอข้อมูล คุณ KYC ผ่านกระบวนการพิสูจน์ตัวตน ไม่ใช่ว่าใครมาเปิดดูก็ได้...และควรจะรู้ว่าใครนำข้อมูลออกไปบ้าง เพราะถึงเวลาฟ้องร้องก็จะได้ระบุตัวตนได้”
ปัญหา “แฮกเกอร์” เรียนงาน ปิดกั้นยาก
ทีมข่าวฯ ถามว่า ปัญหาเรื่องแฮกเกอร์ ในเมืองไทย เป็นอย่างไร ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระบุว่า ใครจะทำก็ทำได้ ปัจจุบันก็มีการสอนแฮก เผยแพร่ในเน็ตเพียบ เว็บไทยถูกปิด ก็ดูเว็บนอก ได้ เป็นความรู้สาธารณะ
“ผมดูก็เห็นเด็กมัธยม มหาลัย ก็ทำคลิปสอนแฮกกัน ถามว่ามีเยอะ ไหมก็คงเยอะ เพราะเรียนรู้และสอนกันง่าย”
ช่วงท้าย สิ่งที่ อาจารย์ฝน อยากเน้นย้ำมากที่สุด คือ เรื่องบุคลากร เพราะต้นเหตุและเป็นจุดอ่อน ในหน่วยงานภาคเอกชน หรือ รัฐบาล ก็มาจากคน ถ้าคนๆ นั้น มันรู้เรื่อง มีวิสัยทัศน์ งบประมาณที่ใช้อาจจะลดลงด้วยซ้ำ เพราะ..
1. คุณจะไม่ถูกหลอกให้ซื้อของที่ไม่จำเป็น หรือ มีราคาแพงเกินจริง
2. ไม่มีใครมาตรวจสอบ เพราะคนในองค์กรไม่มีความเข้าใจ ขาดความรู้ จึงทำให้มีการเช็กแลถ่วงดุล เมื่อมีใครอธิบายมา ก็ฟังแบบงงๆ ซื้อแบบงงๆ
“ทุกอย่างจะกลับไปที่คน หากเก่งและรู้เรื่องในแต่ละองค์กร ก็จะช่วยกันพัฒนาองค์กร หรือประเทศได้”
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ รายงาน
อ่านบทความที่น่าสนใจ