Highlights
--------------------
ปัญหาข้อมูลส่วนบุคคลรั่วไหลจากผู้ให้บริการคือเรื่องพบเห็นได้ทั่วไปในพักหลัง ด้วยบริษัทน้อยใหญ่ต่างถูกแฮกเกอร์มือฉมังเจาะระบบรักษาความปลอดภัยเพื่อนำไปใช้ประโยชน์ในหลายด้าน ทั้งในส่วนการเรียกค่าไถ่เพื่อไม่ให้ปล่อยข้อมูลหลุดไป นำข้อมูลในส่วนนั้นไปทำเงินโดยตรง หรือขายต่อเพื่อใช้ประโยชน์ด้านอื่นล้วนอันตรายไม่แพ้กัน
นี่เป็นประเด็นปัญหาในทั่วทุกมุมโลกในการรักษาความปลอดภัยข้อมูลผู้ใช้งาน แม้แต่บริษัทยักษ์ใหญ่ด้านเทคโนโลยีทั้งหลายไม่ว่าจะเป็น Yahoo, Apple, Facebook หรือ Microsoft เองล้วนเผชิญปัญหาด้านรักษาความปลอดภัยทางเครือข่าย รวมถึงข้อมูลของผู้ใช้บริการถูกเปิดเผยมาแล้วแทบทั้งสิ้น
ล่าสุดในประเทศไทยเรื่องนี้กลายเป็นประเด็นร้อนเมื่อมีข้อมูลรายชื่อคนไข้ของสาธารณสุขออกมาเผยแพร่ ข้อมูลที่หลุดมามีตั้งแต่รายชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเดือนปีเกิด เลขบัตรประจำตัวประชาชน ไปจนข้อมูลด้านการแพทย์ และประกันสุขภาพ ชวนให้ตั้งคำถามว่าถ้าข้อมูลส่วนนี้หลุดไปหมด เราจะยังเหลือ “ข้อมูลส่วนตัว” กันอยู่อีกไหม?
และแน่นอนว่าในไทยเอง การมีข้อมูลส่วนตัวของลูกค้าถูกดึงออกมาจากผู้ให้บริการโดยมือมืดเกิดขึ้นอยู่หลายครั้ง บ้างที่ได้ไปเป็นแค่ส่วนเล็กน้อย บางส่วนถูกนำมาเรียกค่าไถ่ หรือวางขายในตลาดมืด รวมถึงบางครั้งส่งผลกระทบกับเงินในบัญชีทีเดียว
ย้อนเหตุการณ์ข้อมูลส่วนตัวของผู้ใช้บริการหลุดในประเทศไทย
กรณีดังคงหนีไม่พ้นเหตุการณ์ช่วงเดือนพฤษภาคม 2564 กับบริษัทประกันสัญชาติฝรั่งเศสอย่าง AXA ที่ให้บริการลูกค้าหลายประเทศตั้งแต่ไทย, ฟิลิปปินส์, มาเลเซีย และฮ่องกง ถูกโจมตีด้วยฝีมือของแฮกเกอร์ Avaddon ทำให้มีข้อมูลในบริษัทมากกว่า 3TB หลุดออกไป
ข้อมูลในส่วนนี้ครอบคลุมข้อมูลส่วนตัวของลูกค้าที่มีความละเอียดอ่อน ตั้งแต่ใบรายงานผลการแพทย์ เอกสารเรียกสินไหมทดแทน เอกสารการจ่ายเงินให้ลูกค้า สำเนาบัญชีธนาคารลูกค้า เอกสารทางการแพทย์ และเอกสารยืนยันตัวตนจำพวกบัตรประชาชน ทั้งหมดนี้คือข้อมูลที่ถูกนำมาเรียกค่าไถ่ไม่อย่างนั้นจะถูกปล่อยในตลาดมืด
เหตุการณ์ดังกล่าวทำให้ทางบริษัทกรุงไทย-แอกซ่าประกันชีวิตต้องออกมาชี้แจงแถลงการณ์ต่อเรื่องที่เกิดขึ้น แต่ไม่ทราบว่ารายละเอียดจากเรื่องที่เกิดขึ้นรวมถึงการชดเชยค่าเสียหายแก่ลูกค้าดำเนินไปถึงไหน มีเพียงประกาศฉบับแรกที่ออกมาเผยแพร่ให้รับรู้ว่ามีการตรวจสอบแล้วจะแจ้งให้ทราบในภายหลังเท่านั้น
นอกจากบริษัทประกันสุขภาพแล้วที่เป็นเป้าโจมตีไม่แพ้กันคือผู้ให้บริการอินเตอร์เน็ต เช่น บริษัท ทริปเปิลที บรอดแบนด์ จำกัดหรือ 3BB ถูกเจาะข้อมูลจากทางบริษัท Jasmine International ที่เป็นบริษัทแม่เรียกค่าไถ่ จนมีข้อมูลหลุดออกมามากกว่า 8 ล้านรายการ
ภายหลังทางบริษัทได้ทำการชี้แจงแถงการณ์เกี่ยวกับเรื่องนี้ในวันที่ 12 มกราคม 2564 โดยมีใจความสำคัญว่าข้อมูลส่วนที่หลุดมามีแค่เลขลูกค้า เบอร์โทรศัพท์ อีเมล และวันเกิดเท่านั้น ส่วนข้อมูลอื่นอย่างบัตรประจำตัวประชาชนกับข้อมูลทางการเงินไม่มีการเข้าถึง
หรือในกรณีอัปยศที่สุดคือการหลุดของข้อมูลของบริษัท ทรู คอร์เปอเรชั่น กับการเผลอทำข้อมูลลูกค้าหลุดโดยไม่มีการโจมตีทางระบบใดๆ เป็นช่องโหว่จากความสะเพร่าของผู้ดูแลระบบเอง ในการเปิดให้คนนอกเข้าถึงข้อมูลผู้ใช้ ทั้งในส่วนของสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ต กว่า 46,000 ราย รวม 32GB
เหตุการณ์ดังกล่าวถูกผู้เชี่ยวชาญตรวจพบในวันที่ 8 มีนาคม 2561 แต่กว่าจะได้รับการแก้ไขก็เป็นในวันที่ 12 เมษายน ทั้งที่มีความพยายามส่งข้อความหาบริษัทตั้งแต่วันที่ 12 มีนาคมแต่กลับไม่ได้รับความสนใจ ก่อนออกมาแถลงการณ์ในวันที่ 14 เมษายนว่าทั้งหมดเกิดจากฝีมือแฮกเกอร์ จนถูกทางกสทช.สั่งลงดาบให้ชดเชยผู้เสียหายและปรับปรุงมาตรการความปลอดภัย รวมถึงมีการส่งหนังสือย้ำเตือนเรื่องความปลอดภัยแก่บริษัทให้บริการโทรศัพท์มือถืออื่นเพิ่มเติมด้วย
นั่นคือเหตุการณ์ที่เกิดขึ้นกับบริษัทใหญ่ที่เคยผ่านตามาไม่มากก็น้อย แน่นอนว่าเมื่อลองไล่ดูนับว่ามีผู้เสียหายเป็นจำนวนมากทีเดียว แต่โดยมากข้อมูลเหล่านี้ถูกสกัดกั้น ตรวจสอบ และแจ้งเตือนแก่ผู้บริโภคทันท่วงที(เพราะเป็นข่าวดัง) แต่จะเป็นอย่างไรถ้ากระบวนการเหล่านั้นไม่เกิดขึ้น?
เหตุการณ์ข้อมูลบัตรเครดิตของผู้ใช้บริการหลุดจากเว็บไซต์สำนักพิมพ์ชื่อดัง
เรื่องนี้ถูกเปิดเผยโดยกลุ่มพูดคุยนิยาย “คุยเฟื่องเรื่อง light novel” โดยผู้ใช้งานรายหนึ่ง ได้ออกมาตั้งข้อสังเกตเรื่องบัตรของเขาถูกแฮกและต้องอายัติหลายต่อหลายครั้ง จนมาสอบถามข้อมูลผู้เสียหายจากนักอ่านภายในกลุ่ม ก่อนนำไปวิเคราะห์จากบรรดาโปรแกรมเมอร์ ผลสรุปของปัญหาในครั้งนี้คือเว็บไซต์ของสำนักพิมพ์ Phoenix Next
โดยทางผู้ใช้งานคาดการณ์ว่า น่าจะมีการฝังสคริปไว้คอยดูดข้อมูลบัตรเครดิตและเดบิตของลูกค้าตั้งแต่ช่วงเดือนตุลาคม 2563 หากอ้างอิงจากข้อมูลของผู้เสียหาย โดยข้อมูลที่หลุดออกไปมีตั้งแต่ ชื่อ ที่อยู่ เบอร์โทรศัพท์ หมายเลขบัตรเครดิต วันเดือนปีหมดอายุ จนถึงรหัสหลังบัตร เป็นข้อมูลรายละเอียดมากพอให้นำไปใช้ในธุรกรรมการเงินได้เหลือเฟือ
เลวร้ายกว่านั้นคือทั้งที่มีการตรวจพบโดยผู้ใช้งานตั้งแต่วันที่ 19 มีนาคม 2564 แต่กว่าต้นสังกัดจะมีการตอบรับก็เป็นในวันที่ 23 มีนาคม อีกทั้งแค่ออกมาชี้แจงหยุดให้บริการเว็บไซต์ชั่วคราว แต่แถลงการณ์ผ่านช่องทางสาธารณะกลับเผยแพร่ได้ไม่นานก็ลบออกไปจากหน้าเพจของทางสำนักพิมพ์ โดยไม่มีการแจ้งข้อมูลให้ทราบเป็นวงกว้างเพิ่มเติมเพื่อยับยั้งความเสียหายเลย กลับอาศัยการแจ้งเตือนผ่านทางอีเมลและข้อความส่วนตัวให้กับลูกค้าทีละคนแทน
ในส่วนการชดเชยค่าเสียหาย มีรายงานจากภายในกลุ่มต้นเรื่องว่าต้องทำการส่งใบเสร็จให้กับทางสำนักพิมพ์ จากนั้นจึงได้รับการชดเชยค่าเสียหายตามจริง เช่น ค่าบัตร หรือค่าเสียหายที่ถูกแฮก แต่ไม่มีแถลงการณ์แสดงความรับผิดชอบเพิ่มเติมเกี่ยวกับข้อมูลส่วนตัวอื่นที่หลุดไป อีกทั้งไม่มีการขอโทษผู้ใช้บริการในช่องทางสาธารณะแม้แต่ครั้งเดียว
ปัจจุบันทางเว็บไซต์ของสำนักพิมพ์มีการปรับปรุงโฉมหน้าใหม่พร้อมให้คำมั่นเรื่องการปรับปรุงระบบความปลอดภัย และยังไม่มีแถลงการณ์เพิ่มเติมเกี่ยวกับกรณีการถูกแฮกในครั้งนี้ประกาศออกมาสู่สาธารณะอยู่ดี
ชวนให้ตั้งคำถามขึ้นมาในหัวว่า แล้วการที่ข้อมูลของเราต้องหลุดไปหลุดมาสู่มือมิจฉาชีพเช่นนี้เราไม่มีทางทำอะไรได้เลยหรือ? ไม่มีกฎหมายข้อไหนคุ้มครองข้อมูลของเราเลย? ไม่มีการลงโทษผู้ให้บริการที่หละหลวมกับเรื่องเหล่านี้ซ้ำแล้วซ้ำเล่า? คำตอบคือมีแต่ยังไม่ใช่ในตอนนี้
PDPA กฎหมายคุ้มครองข้อมูลผู้บริโภคที่ดูดีแต่ยังคงไม่มีผลในตอนนี้
PDPA(Personal Data Proctection Act) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีเนื้อหาในการรักษาความลับให้แก่ข้อมูลส่วนบุคคลมากขึ้น โดยเจ้าของข้อมูลสามารถเข้าถึง แก้ไข ลบ ทำลาย ให้สิทธิ เพิกถอน และระงับการใช้งานข้อมูลส่วนตัวได้ตลอด รวมถึงมีการกำหนดบทลงโทษจากความผิดในกรณีนี้อย่างชัดเจน
ในส่วนของผู้ฝ่าฝืนละเมิดกฎหมายส่วนนี้ มีบทลงโทษทางอาญาและโทษปรับ คือจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท โทษทางแพ่งเท่ากับค่าเสียหายตามจริงบวกกับสินไหมทดแทนเพิ่มเติมสูงสุดไม่เกิน 2 เท่าของค่าเสียหาย รวมถึงโทษทางปกครองปรับอีก 1-5 ล้านบาท
แน่นอนเป็นข้อกฎหมายที่ฟังดูดีแต่ในตอนนี้ยังเป็นข้อกฎหมายที่ยังไม่มีผลบังคับใช้ ภายหลังการประกาศราชกฤษฎีกาเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปก่อน ในวันที่ 8 พฤษภาคม 2564 ด้วยสาเหตุกฎหมายมีรายละเอียดและความซับซ้อนค่อนข้างมากอีกทั้งสถานการณ์โควิด จึงเลื่อนการบังคับใช้ไปจนถึงวันที่ 31 พฤษภาคม 2565
นั่นทำให้ความปลอดภัยในข้อมูลรวมถึงบทลงโทษแก่ผู้ให้บริการที่ทำข้อมูลของเราหลุดยังไม่แน่ชัด คงต้องรอกันอีกสักพักจึงได้รู้ว่าการบังคับใช้กฎหมายนี้ จะช่วยให้ข้อมูลของเราปลอดภัยขึ้นแค่ไหน
เกรียงไกร เรืองทรัพย์เดช
--------------------
ที่มา: