ถือเป็นการท้าทายอำนาจรัฐ สำหรับ กรณี ผู้ใช้งานบัญชี "9near" ได้โพสต์ขายข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายการ บนเว็บไซต์ Bleach Forums โดยอ้างว่าได้มาจากหน่วยงานรัฐแห่งหนึ่งในไทย (Somewhere in government) และโพสต์ ตัวอย่างไฟล์ ซึ่งมี ชื่อ นามสกุล ที่อยู่ วันเกิด เบอร์โทรศัพท์ และเลขประจําตัวประชาชน รวมทั้งมีการโพสต์ ลักษณะข่มขู่หน่วยงานและประชาชนในวงกว้าง โดยระบุว่า ถ้าไม่ติดต่อกลับ จะปล่อยข้อมูล ในวันที่ 5 เม.ย. 16.00 น.
เรื่องนี้ ถือว่าเรื่องใหญ่ และมีผู้เสียหายจำนวนมาก ทำให้ เจ้ากระทรวงอย่าง นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ต้องตั้งโต๊ะแถลงข่าว โดยสรุปใจความว่า ได้ติดต่อขอปิดกั้นเว็บไซต์ดังกล่าวแล้วตั้งแต่วันพุธ ที่ 29 มี.ค. จะดำเนินการผู้เกี่ยวข้องในข้อหา ตาม พ.ร.บ.คอมพิวเตอร์ ประสานกับค่ายมือถือให้ปิดกั้นเว็บไซต์ดังกล่าว และประสานกับสำนักงานตำรวจแห่งชาติเพื่อดำเนินคดีกับผู้เกี่ยวข้อง ซึ่งเรื่องนี้ ดร.ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ได้เดินทางเข้าแจ้งความแล้ว
...
ดร.ปริญญา กล่าวกับทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ ว่า ตอนนี้ไม่อยากให้กล่าวโทษใคร หรือ หน่วยงานใดไปก่อนจะรู้ความจริง เพราะ "ข้อมูลส่วนบุคคล" หลุดนั้น เกิดขึ้นทั่วโลก ขนาดเบอร์ ประธานาธิบดี หรือ นายกฯ บางประเทศ ที่ข้อมูลรักษาพยาบาลหลุดออกมา ซึ่งเมื่อเกิดขึ้น เขาก็แถลงข่าว และไล่ตามจับตัวคนผิด
อยากให้จินตนาการตามว่า ย้อนกลับไป 2-3 ปี เราได้ให้ข้อมูลบัตรประชาชนใคร ที่ไหนบ้าง ถามว่าเราได้ให้ข้อมูลกับบริษัทอื่นๆ เกิน 10 แห่งหรือไม่ เช่น ธนาคาร โรงแรม ร้านค้าออนไลน์ แอปฯ ซื้อขายออนไลน์ที่มีการยืนยันตัวตน บางแห่งนี่ข้อข้อมูลเยอะมาก ถึงขนาดต้องใส่เลขหลังบัตร
"ถามว่า มีใครรู้หรือไม่ ว่ารั่วมาจากจุดใด คำตอบคือ ไม่มีใครรู้ ฉะนั้น เมื่อถามว่า รั่วไปได้ยังไง...หลุดไปได้อย่างไร ซึ่งในความเป็นจริง คือ ข้อมูลเหล่านี้หลุดไปนานมากแล้ว"
เมื่อถามว่า มีกระแสว่ามาจาก "หมอพร้อม" ดร.ปริญญา ย้ำอีกครั้งว่า อย่าเพิ่งไป เบลมกัน อยากให้ใจเย็นๆ รอการพิสูจน์กันอีกครั้ง...
กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กล่าวว่า ถ้าเป็นแบบนั้นจริง ทางการต้องแถลง เพราะเป็นผู้ดูแลควบคุมข้อมูล มีกฎหมาย PDPA เขาคงไม่รอให้ "แฮกเกอร์" มาข่มขู่ภายใน 5 วัน และต้องจบภายใน 2 วัน ซึ่งเคสนี้ยอมรับว่าเป็น "ท้าทายอำนาจรัฐ" ที่ทางการต้องเร่งจัดการ ที่สำคัญคือ ประเทศเรามีกฎหมาย มีตำรวจ เราต้องให้เวลาเขาทำงานนิดหนึ่ง"
เคสนี้คือ กรณีศึกษาว่า "ข้อมูลส่วนบุคคล" ไม่ได้ปลอดภัย 100% ถ้ารั่ว ก็ต้องใช้กฎหมายจัดการ ไม่มีนายกรัฐมนตรี หรือ ผู้นำประเทศไหน กล้าการันตี ว่า ข้อมูลประชาชนจะไม่รั่ว ตอนนี้ความเสี่ยงไม่เป็นศูนย์
คนดังๆ หลายคนข้อมูลหลุดออกมา เมื่อถามว่า หลุดไปได้อย่างไร...ก็เพราะข้อมูลของเรา ไปอยู่ในหลายๆ ที่ บางแอปฯ แค่เข้าแอปฯ ก็พบเลขบัตรประจำตัวเราเลย
วิธีการรับมือ แก๊งคอลเซ็นเตอร์รู้ ชื่อ-นามสกุล เลข บัตรประชาชน
ดร.ปริญญา กล่าวว่า เวลานี้หากมีใครโทรมา แล้วบอกข้อมูลเราหมด และตรง ก็ไม่ต้องเชื่อ
"ห้ามเชื่อ แม้จะแนะนำตัวว่าเป็น ตำรวจ สรรพากร ดีเอสไอ อย่าเชื่อ สิ่งที่ต้องทำ คือ ให้บอกว่า เดี๋ยวเราจะโทรกลับ พวกโจรเหล่านี้จะไม่มีเบอร์โทรกลับ เพราะเขาปลอมเบอร์โทรเข้ามา และเขาจะไม่มีเบอร์โทรกลับให้เรา เขาจะโทรหาเราอย่างเดียว"
อีกข้อที่แนะนำ เวลานี้ หากจะสมัครแล้วจำเป็นต้องยืนยันตัวตนด้วยวิธีการ ใช้เลขบัตรประชาชน ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล เท่านั้น ถ้าบริษัทไหน ใช้วิธีการแค่นี้ ให้ยกเลิกการยืนยันตัวตน และเลิกใช้งานบริษัทนั้นๆ ไปเลย
...
ดร.ปริญญา ย้ำว่า สมัยนี้ การยืนยันตัวตน จำเป็นต้องมี OTP สแกนนิ้ว สแกนหน้า ต้องมีการผสมผสานกันหลายๆ อย่าง
เดี๋ยวบริษัทบัตรเครดิตไม่ถามว่า คุณชื่ออะไร นามสกุลอะไร แต่เขาจะถามว่า คุณใช้บัครเครดิตครั้งสุดท้ายที่ไหน คุณชำระค่าบัตรเครดิตเอง หรือ หักผ่านบัญชี เพราะถ้าไม่ใช่ คนๆ นั้น ไม่มีทางที่จะตอบเรื่องนี้ได้ บริษัทเหล่านี้มีการเปลี่ยนวิธีการพิสูจน์ตัวตนใหม่ ให้ไปตามยุค ตามสมัย และเวลานี้ บริษัทเกือบทุกแห่งทำกันหมดแล้ว
"เดี๋ยวนี้ข้อมูลหลุดกันง่าย แค่คุณไปเลือกตั้ง เลขบัตรประชาชน ชื่อนามสกุล คุณก็อยู่ที่ป้ายแล้ว แค่เข้าตึกคุณก็ต้องฝากบัตรแล้ว ถามว่า คุณจะควบคุมไม่ให้เขาถ่ายเลขบัตรคุณได้หรือไม่...ดังนั้น เดี๋ยวนี้เวลาเข้าตึก เขาได้บัตรคุณไปแล้ว เขาก็คืนบัตรคุณทันที ถ้าที่ไหน เอาบัตรคุณไปแล้ว และแช่ไว้ก็ขอให้หลีกเลี่ยง"
เมื่อถามว่า หลังจากนี้ จะมีมาตรการอะไรใหม่ๆ ในการป้องกันข้อมูลส่วนบุคคลรั่วไหล หรือไม่ ดร.ปริญญา บอกสั้นๆ ว่า จะมีการออกมาเรื่อยๆ มีแน่นอน แต่จะค่อยๆ ออกมาทีละมาตรการ
“กฎหมายลูก ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA จะมีออกมาเรื่อยๆ และจะมีการอัปเดตตามยุคสมัย”
...
สำหรับคดีที่กำลังตามในเวลานี้ มีการตามสืบอยู่ ส่วนจะมีเป้าวัตถุประสงค์อะไร ก็คงต้องรอการจับกุมผู้เกี่ยวข้องให้ได้เสียก่อน
กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เผยว่า เว็บไซต์ ดังกล่าว มีการจดทะเบียนในต่างประเทศ เบื้องต้น ไม่เกี่ยวกับ ดาร์กเว็บ แต่...คนที่จดทะเบียน เขาก็รักษาสิทธิ์ของลูกค้า ส่วนจะข้อความร่วมมือกับเขาได้หรือไม่ คงต้องใช้เวลา...แต่ข้อมูลต่างๆ ที่มันหลุด คือ มันไปหมดแล้ว
เราต้องเข้าใจว่า การแก้ไขปัญหาเรื่องนี้ ต้องเร่งทำอย่างเร่งด่วน หวังว่าภายใน 48-72 ชั่วโมง ต้องทำให้คลี่คลาย ซึ่งเบื้องต้น เชื่อว่าเกี่ยวข้องกับคนไทย แต่ก็ยังไม่ชัดเจน เพราะทุกอย่างเป็นเพียงการคาดการณ์
“สิ่งที่อยากจะฝาก คือ อยากตื่นตระหนก และกลับไปดูเรื่องการยืนยันตัว ถ้าใช้ข้อมูลบนบัตรประชาชนอยู่ ก็ขอให้เปลี่ยนวิธี อะไรก็ได้ที่ไม่ได้อยู่บนบัตร ถ้าแก๊งคอลเซ็นเตอร์โทรมา ก็ขอโทรกลับ" ดร.ปริญญา ทิ้งท้าย
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ รายงาน
อ่านบทความที่น่าสนใจ
...