'ชัยวุฒิ' เคลียร์ 9near แฮกข้อมูลคนไทย 55 ล้านราย - 'ฐากร' โพสต์เฟซฯ เสนอทางแก้

กระแสข่าวกลุ่ม แฮกเกอร์ "9near" ขโมยข้อมูลส่วนบุคคลของคนไทย จำนวน 55 ล้านรายชื่อ โดยแฮกเกอร์ 9near ล้วงข้อมูลด้วยการนำเอาเลขที่บัตรประชาชนจำนวน 13 หลัก , วันเดือนปีเกิด, ที่อยู่ และ เบอร์มือถือ ถูกหลุดออกไปอยู่ในมือกลุ่มแฮกเกอร์ 9Near (ไนน์เนียร์) ที่ประกาศว่าถ้าหน่วยงานที่ทำข้อมูลเหล่านี้หลุดไม่ติดต่อทางกลุ่มภายในวันที่ 5 เม.ย. 2566 เวลา 16.00 น. ตามเวลาไทย 9Near จะประกาศว่าหน่วยงานไหนทำข้อมูลเหล่านี้หลุด และวิธีการที่กลุ่มแฮกข้อมูลเหล่านี้มาได้

ล่าสุด นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส เร่งเคลียร์ประเด็น 9Near 

โดยระบุว่า ขณะนี้ กระทรวงดีอีเอส สนง.คุ้มครองข้อมูลส่วนบุคคล ร่วมถึง กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) กำลังติดตามเรื่องนี้อย่างใกล้ชิด ซึ่งที่ผ่านมาคุยมาตลอด แต่เป็นเชิงลับ เพราะต้องตรวจสอบที่มาที่ไป

“แต่ที่เราเช็คได้  ไม่ได้มี ข้อมูลที่เซนซิทิฟ เช่น ประวัติการรักษาพยาบาล ยังไม่มีออกไป มีแค่ ชื่อ ที่อยู่ เบอร์โทรฯ แต่ก็เป็นเรื่องที่ผิด มีโทษทั้งปรับและ จำคุก ซึ่งทางเราจะดำเนินการทางกฎหมายต่อผู้ทำผิดให้ได้เร็วที่สุด เพราะเราพบช่องทางติดต่อสื่อสารจากพวกแฮกเกอร์แล้ว ก็จะไล่ติดตาม และจับกุมให้ได้”

อย่างไรก็ตาม กระทรวงดีอีเอส ได้ประสานปิดเว็บนี้ไปแล้ว ซึ่งโดเมนนี้อยู่ในต่างประเทศ ซึ่งดีอีเอสขอคำสั่งศาลเพื่อบล็อกเว็บนี้ไม่ให้ใช้ในไทย ดีอีเอส ทำไปแล้ว 

"ส่วนเอสเอ็มเอส ที่ 9Near ส่งไปยังผู้เสียหาย เราเช็คได้แล้วว่า เขาใช้บริการโอเปอเรเตอร์รายหนึ่งในไทย เราจะพยายามจับกุมคนร้ายให้ได้" 

ทั้งนี้ สำหรับแฮกเกอร์ 9near เป็นเว็บบอร์ดที่ใช้สำหรับซื้อขายข้อมูลส่วนบุคคลที่หลุดออกมาจากหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชนในหลายประเทศ

อย่างไรก็ตาม นายชัยวุฒิ แนะนำให้หน่วยงาน องค์กรต่างๆ ที่มีข้อมูส่วนบุคคลของประชาชน ให้เร่งพัฒนาระบบด้านไซเบอร์ซิเคียวริตี้ให้เข้มแข็ง เพื่อป้องกัน

ด้านนายฐากร ตัณฑสิทธิ์ อดีตเลขาฯ กสทช. และประธานคณะกรรมการพัฒนาและเพิ่มประสิทธิภาพเศรษฐกิจของประเทศ พรรคไทยสร้างไทย โพสต์เฟซบุ๊คส่วนตัว เกี่ยวกับประเด็นนี้ว่า

"กรณีที่มีข่าวในเว็บไซต์ชื่อBreach Forums ประกาศขายข้อมูลส่วนตัวคนไทย 55 ล้านคน ซึ่งมีตั้งแต่ชื่อ สกุล เบอร์โทรศัพท์ เลขประจำตัวประชาชน ที่อยู่โดยอ้างว่าขโมยจากหน่วยงานของรัฐนั้น

ผมในนามประธานคณะกรรมการพัฒนาและเพิ่มประสิทธิภาพเศรษฐกิจของประเทศ พรรคไทยสร้างไทย ขอเสนอแนะรัฐบาลเร่งดำเนินการต่อกรณีดังกล่าวดังนี้

1) ข้อมูลส่วนบุคคล ที่รั่วไหลออกไปนั้น

สคส (สำนักงานคุ้มครองข้อมูลส่วนบุคคล) กระทรวงดีอีเอส มีหน้าที่ดูแลข้อมูลส่วนบุคคลของคนไทยทั้งหมด จะต้องเป็นผู้รับผิดชอบ

 2) การยืนยันตัวตน (หรือในอุตสาหกรรมการเงินเรียกว่า kyc -know your customer) ในระดับสากล มีสองแบบ คือ จากสิ่งที่คุณมี (what you have) และ จากสิ่งที่คุณเป็น (who you are)

 What you have ก็มี เลขบัตรประชาชน เลขรหัสPIN  หรือ รหัสผ่าน ต่างๆ  นั่นเป็นของที่ใช้ทั่วไป

แต่หลายปีที่ผ่านมา เทคโนโลยีพัฒนาขึ้นมากมาย จนสามารถใช้ สิ่งที่คุณเป็น (Who you are) ได้  ซึ่งประกอบไปด้วย ลายนิ้วมือ ม่านตา เสียง และ ใบหน้าแทนได้

จะสังเกตว่าการลงทะเบียนซิมในช่วงทีทผมเป็นเลขาธิการ กสทช ในปี2561-62 ใช้การตรวจสอบใบหน้า เทียบกับรูปในบัตรประชาชนที่เสียบเข้าเครื่อง  เพราะเทคโนโลยี พัฒนาไปจนทำได้ในมาตรฐานที่ดี ราคาไม่แพง  ก่อนที่ภาคธนาคารจะนำมาใช้แพร่หลายในเวลาต่อมา

ปัจจุบันระบบการตรวจสอบใบหน้านั้นแม่นยำในระดับ99% ไม่ว่าจะใส่หน้ากากซิลิโคนมาก็สามารถแยกแยะได้

ปัญหาการรั่วไหลของข้อมูลเป็นเรื่องที่น่ากังวลมากเพราะประชาชนมีเลขบัตรประชาชน 13 เลขเดียวที่ได้มาตั้งแต่เกิด ไม่สามารถเปลี่ยนได้ ที่น่ากังวลไปกว่านั้นคือ หน่วยงานหลักๆ ไม่ว่าจะเป็น ประกันสังคม สรรพากร ต่างอ้างอิงเลขบัตรประชาชนทั้งสิ้น

ที่ผ่านมาทุกหน่วยงานใช้การยืนยันตัวแต่what you have ( จากสิ่งที่คุณมี) เท่านั้น ไม่ได้ใช้ who you are (สิ่งที่คุณเป็น) แต่อย่างใด

สำหรับแนวทางแก้ไขต้องใช้การยืนยันตัวตน จากสิ่งที่คุณเป็น (who you are) ในการทำธุรกรรม โดยผู้เป็นเจ้าของข้อมูลสามารถกำหนดสิทธิในการเข้าใช้ข้อมูลได้ด้วยตนเอง

พรรคไทยสร้างไทย จะเสนอกฎหมายแนวทางปฏิบัติที่ชัดเจน และสามารถทำให้ประชาชน มีความปลอดภัยในเรื่องนี้ ภายใน 6 เดือน

ทั้ง กสทช กระทรวงดีอีเอส คณะกรรมการประกันภัย ธนาคารแห่งประเทศไทยต้องบูรณาการทำงานร่วมกัน"