แฮกเกอร์ประกาศขายข้อมูลคนไทยเกือบ 20 ล้านชุดข้อมูลในเดือน ม.ค. 67 หน่วยงานรัฐโดนด้วย 2 แห่ง
ที่มาของภาพ, Getty Images
- Author, ปณิศา เอมโอชา
- Role, ผู้สื่อข่าวบีบีซีไทย
รายงานของบริษัท Resecurity ที่ตีพิมพ์เมื่อวันที่ 22 ม.ค. ที่ผ่านมา ระบุว่าเฉพาะเดือน ม.ค. 2567 มีข้อมูลที่ใช้ระบุตัวบุคคลได้ (Personal Identifiable Information: PII) ของคนไทยเกือบ 20 ล้านชุดข้อมูลรั่วไหลและถูกประกาศขายบนฟอรัมซื้อขายข้อมูลผิดกฎหมาย
ตัวอย่างข้อมูลที่รั่วไหลและถูกนำมาประกาศขาย มีทั้งข้อมูล ชื่อ-นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล รวมถึงรูปถ่ายหน้าตรง เป็นต้น นอกจากนี้ยังมีข้อมูลที่ละเอียดอ่อนและมีความเป็นส่วนตัวสูง เช่น ข้อมูลเงินเดือน รวมถึงภาพของบุคคลที่กำลังถือบัตรประชาชนหรือสำเนาบัตรประชาชนด้วย
ทั้งนี้ จากการเปิดเผยของ Resecurity หนึ่งในข้อมูลชุดใหญ่ที่สุดที่มีการรั่วไหลในปีนี้ คือข้อมูลจำนวนกว่า 19.7 ล้านแถว จากกรมกิจการผู้สูงอายุ
บีบีซีไทยได้รับคำยืนยันจากทั้งกรมกิจการผู้สูงอายุและสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ว่ามีข้อมูลรั่วไหลจริง โดยหน่วยงานทั้งสองกำลังเร่งตรวจสอบว่าข้อมูลที่รั่วไหลออกไปนั้นเป็นข้อมูลประเภทใด
ข้อมูลอะไรที่รั่วไหลบ้าง
รายงานดังกล่าวของ Resecurity ระบุว่า มีข้อมูลจากประเทศไทยเกือบ 20 ล้านชุดข้อมูล จาก 5 แหล่งที่มา รั่วไหลและถูกประกาศขายอยู่ในฟอรัมซื้อขายข้อมูลผิดกฎหมายในเดือน ม.ค. ที่ผ่านมา โดยข้อมูลทั้งหมด ล้วนเป็นข้อมูลที่ใช้ระบุตัวบุคคลได้ (PII) ประกอบด้วย
- ชุดข้อมูลที่อ้างว่าเป็นข้อมูลพื้นฐานส่วนบุคคลและประวัติคำสั่งซื้อจากศูนย์หนังสือจุฬาฯ จากผู้ใช้งานจำนวน 160,000 ราย
- ข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของเจ้าหน้าที่ในกองทัพเรือจำนวนกว่า 45,000 นาย
- ข้อมูลจากเว็บไซต์ของเอกชน อาทิข้อมูลส่วนตัวของผู้ใช้จาก Phyathai.com กว่า 25,500 ชุดข้อมูล
- ข้อมูลส่วนตัวของผู้ลงทะเบียนหางานทางออนไลน์กว่า 61,000 ชุดข้อมูล
- ข้อมูลจากกรมกิจการผู้สูงอายุ ซึ่งมีการรั่วไหลมากถึง 19.7 ล้านแถวข้อมูล
บีบีซีไทยได้ติดต่อไปยังกรมกิจการผู้สูงอายุและกองทัพเรือ ซึ่งเป็นสองหน่วยงานราชการที่รายงานฉบับดังกล่าวของ Resecurity อ้างว่ามีข้อมูลรั่วไหล
กรมกิจการผู้สูงอายุ ชี้แจงกับบีบีซีไทยเมื่อวันที่ 2 ก.พ. ว่า ปัจจุบันหน่วยงานอยู่ระหว่างการให้ผู้เชี่ยวชาญตรวจสอบข้อมูลว่า “เป็นข้อมูลไหนที่หลุดออกไป” พร้อมเสริมว่า ได้มีการพูดคุยภายในเรื่องการอบรมให้ความรู้เจ้าหน้าที่เพิ่มเติมเกี่ยวกับการโจมตีทางไซเบอร์แล้ว พร้อมยืนยันว่าหน่วยงานมีมาตรฐานเรื่องความปลอดภัยไซเบอร์ตามมาตรฐานสากล และพร้อมที่จะยกระดับขึ้นในอนาคต
ด้านสำนักงานโฆษกกองทัพเรือ ได้ชี้แจงกับบีบีซีไทยเมื่อวันที่ 1 ก.พ. ว่า มีข้อมูลรั่วไหลจริง โดยเป็น “ข้อมูลส่วนตัวบางส่วนของกำลังพลกองทัพเรือ” ที่รั่วไหลออกไปตั้งแต่วันที่ 22 ส.ค. 2566 โดยโฆษกกองทัพเรือเสริมว่า ปัจจุบันกรมสื่อสารและเทคโนโลยีสารสนเทศทหารเรือได้ระงับเหตุ “โดยได้ปิดกั้นการรั่วไหลของข้อมูลและแก้ไขปัญหาเรียบร้อยแล้ว”
ด้านเครือพญาไทชี้แจงกับบีบีซีไทย เมื่อวันที่ 7 ก.พ. ว่า หลังจากเครือฯ ตรวจพบการละเมิดข้อมูลส่วนบุคคลบนเว็บไซต์ phyathai.com ได้ดำเนินการตรวจสอบชุดข้อมูลดังกล่าว และพบว่า “มิใช่ข้อมูลส่วนบุคคลที่อ่อนไหว” นอกจากนี้ทางเครือพญาไทได้มีมาตรการ “ปิดการให้บริการในส่วนที่เกี่ยวข้องกับข้อมูลดังกล่าวทันที” เพื่อตรวจสอบ แก้ไขช่องโหว่ และหยุดยั้งเหตุละเมิดข้อมูลดังกล่าว ทั้งนี้ ทางเครือพญาไทระบุด้วยว่า ได้ “เพิ่มมาตรการป้องกันความปลอดภัยของข้อมูล โดยได้ดำเนินการเข้ารหัสข้อมูล และติดตั้งระบบป้องกันเพิ่มเติม เพื่อยกระดับความปลอดภัยเป็นที่เรียบร้อยแล้ว”
ที่มาของภาพ, สกมช.
บีบีซีไทย ได้สอบถามไปยังสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในฐานะหน่วยงานที่รับผิดชอบประเด็นความปลอดภัยทางไซเบอร์ โดย พล.อ.ต.อมร ชมเชย เลขาธิการ สกมช. ได้ชี้แจงกับบีบีซีไทยเมื่อวันที่ 1 ก.พ. ที่ผ่านมาว่า หน่วยงานอยู่ระหว่างดำเนินการยืนยันว่าข้อมูลจากชุดข้อมูลต่าง ๆ ที่รั่วไหลออกไปเป็นข้อมูลจริงหรือไม่ และได้มีการประสานงานไปยังภาคส่วนที่เกี่ยวข้องแล้ว
สำหรับข้อมูลที่อ้างว่ามีการรั่วไหลจากกรมกิจการผู้สูงอายุกว่า 19.7 ล้านชุดข้อมูล เลขาธิการ สกมช. ระบุว่า หน่วยงานจะมีกระบวนการได้มาซึ่งข้อมูลดังกล่าว “แล้วจะไปเทียบ [กับข้อมูลของกรมกิจการผู้สูงอายุ] แล้วเดี๋ยวมันคงชัดเจนกว่านี้ ว่าตกลงคือ 19 ล้านชุดข้อมูล หรือ 19 ล้านคน… ซึ่งมันเป็นไปได้ทั้งสองอย่าง”
ล่าสุด เลขาธิการ สกมช. ได้ชี้แจงกับบีบีซีไทยเพิ่มเติมเมื่อวันที่ 7 ก.พ. ว่า ข้อมูลที่รั่วไหลจากฝั่งกรมกิจการผู้สูงอายุนั้น เป็นข้อมูลบุคคลทั้งสิ้น 230,451 คน โดยแบ่งเป็นข้อมูลผู้สูงอายุ 108,000 คน ที่เหลือเป็นข้อมูลผู้ค้ำประกัน โดยข้อมูลที่รั่วไหลนั้นมีที่มาจากระบบกองทุนผู้สูงอายุ
เพราะเป็นหนี้เทคโนโลยี จึงต้องจ่ายดอกด้วยความเสี่ยง
จากสถิติภัยคุกคามทางไซเบอร์ ประจำปี 2566 ที่ สกมช. เป็นผู้รวบรวม พบว่าในปี 2566 มีเหตุโจมตีทางไซเบอร์ไปยังหน่วยงานประเภทต่าง ๆ รวมทั้งสิ้น 1,789 หน่วยงาน โดยหน่วยงานด้านการศึกษาถูกโจมตีเป็นอันดับที่หนึ่ง 632 หน่วยงาน คิดเป็นสัดส่วนมากกว่า 1 ใน 3 ของหน่วยงานที่ถูกโจมตีทางไซเบอร์ทั้งหมด ขณะที่หน่วยงานรัฐด้านอื่น ๆ และหน่วยงานที่ให้บริการภาครัฐ ถูกโจมตีรวม 501 หน่วยงาน คิดเป็นสัดส่วนเกือบ 30% ของหน่วยงานที่ถูกโจมตีทั้งหมด
รายงานของ Resecurity ยังระบุด้วยว่า ช่วงปลายปี 2566 ที่ผ่านมา มีการประกาศขายข้อมูลนักเรียนไทยจำนวน 3.1 ล้านข้อมูล บนฟอรัมซื้อขายข้อมูลผิดกฎหมาย โดยอ้างว่าเป็นข้อมูลที่ได้มาจากสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน (สพฐ.)
เลขาธิการ สกมช. อธิบายปรากฏการณ์ที่หน่วยงานด้านการศึกษาและหน่วยงานภาครัฐถูกโจมตีทางไซเบอร์เป็นจำนวนมาก ด้วยคำว่า “technology debt” ซึ่งอาจแปลเป็นไทยว่า “การเป็นหนี้เทคโนโลยี” โดยชี้ว่าการเป็นหนี้ในที่นี้ คนไทยไม่ได้จ่ายด้วยอัตราดอกเบี้ยเงินกู้ แต่เป็นความเสี่ยงของข้อมูลที่มีมูลค่าขึ้นทุกวัน และการกู้ยืมก็ไม่ใช่ตัวเงิน แต่เป็นการเอาเทคโนโลยีมาใช้โดย “ไม่รู้ตัวว่าเราไม่พร้อม”
ระเบียบกระทรวงศึกษาธิการว่าด้วยการบริหารข้อมูลสารสนเทศด้านการศึกษา พ.ศ.2560 กำหนดให้สถานศึกษาต้องมีการจัดเก็บข้อมูลพื้นฐานซึ่งประกอบด้วยข้อมูลเกี่ยวกับสถานศึกษา นักเรียน ครู และบุคลากร รวมถึงข้อมูลอื่น ๆ เพื่อใช้ในการวางแผน วิเคราะห์ เพื่อกำหนดนโยบายต่าง ๆ ทั้งยังเป็นไปเพื่อความโปร่งใส ให้ “ประชาชนสามารถได้รับรู้ ตรวจสอบ หรือขอรับบริการดูข้อมูลข่าวสารได้ภายใต้กฎหมายว่าด้วยข้อมูลข่าวสารของราชการ”
อย่างไรก็ดี จากการตรวจสอบของ สกมช. พล.อ.ต.อมร กล่าวว่า ไม่ใช่ทุกโรงเรียนที่มีทรัพยากรเพียงพอในการบริหารจัดการเว็บไซต์ของสถานศึกษาอย่างมีมาตรฐาน จึงเกิดช่องโหว่ขึ้นตั้งแต่การสร้างเว็บไซต์ ที่บางครั้งโรงเรียนจำเป็นต้องจ้างบริษัทรับจ้างทำเว็บไซต์ราคาถูก หรือให้ครูภายในโรงเรียนที่ไม่ได้เชี่ยวชาญการจัดเก็บข้อมูลมากเพียงพอเป็นผู้สร้างเว็บไซต์ขึ้นมาแทน
“ไปจ้างบริษัทที่คิดราคาไม่แพง แต่ก็แลกมากับการมองประเด็นความปลอดภัยเป็นเรื่องสุดท้าย” พล.อ.ต.อมร กล่าว
ในเว็บไซต์ซื้อขายข้อมูลที่บีบีซีไทยได้ตรวจสอบ ยังพบว่ามีประกาศที่ระบุว่าเป็นการขาย “การเข้าถึงข้อมูล” ระบบบริหารโรงเรียนแห่งหนึ่ง โดยตัวอย่างข้อมูลที่ถูกแสดงอยู่บนประกาศนั้นมีทั้งรูปภาพ ชื่อ ที่อยู่ ตำแหน่ง ไปจนถึงฐานเงินเดือนของเจ้าหน้าที่ในโรงเรียนดังกล่าว
ที่มาของภาพ, Getty Images
จีน ยู ประธานกรรมการบริหารของ Resecurity ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกา กล่าวกับบีบีซีไทยว่า จากการรวบรวมข้อมูลคนไทยที่รั่วไหลครั้งนี้ พบว่าแฮกเกอร์เหล่านี้ไม่ได้ใช้วิธีการที่ซับซ้อนหรือล้ำลึกในการได้มาซึ่งข้อมูลของคนไทย และใช้เพียงวิธีธรรมดา ๆ อาทิ การฟิชชิง (phishing) ที่ทำโดยการหลอกลวงผู้ใช้งานให้ใส่ข้อมูลส่วนตัวของตนเองลงไป เช่น การสร้างเว็บไซต์ปลอมขึ้นมา หรือ การเจาะเข้าไปตามระบบขององค์กรต่าง ๆ ผ่าน “กุญแจ” ที่พวกเขาหามาได้
ซีอีโอของ Resecurity ยังกล่าวอีกว่า เมื่อสามารถเข้าถึงข้อมูลได้ไม่ยากจากช่องโหว่ต่าง ๆ ที่เกิดขึ้น อาชญากรไซเบอร์เหล่านี้จะหาประโยชน์โดยนำข้อมูลเหล่านั้นมาขาย โดยไม่ได้มองว่าไทยเป็นเป้าหมายสำคัญแต่อย่างใด แต่ที่นำมาขายเพราะชุดข้อมูลเหล่านั้นล้วนขายได้และมีผู้รอซื้ออยู่เสมอ
“อาชญากรไม่ใช่พวกเรื่องมาก… พวกนั้นเป็นนักฉวยโอกาสชั้นยอด” จีน ยู กล่าวกับบีบีซีไทย
ตามข้อมูลการจัดอันดับประเทศที่ตกอยู่ในความเสี่ยงต่ออาชญากรรมไซเบอร์ประจำปี 2566 ซึ่งรวบรวมโดย SEON บริษัทซอฟต์แวร์ป้องกันการหลอกลวง ประเทศไทยอยู่ในอันดับที่ 39 จากทั้งหมด 93 ประเทศ ด้วยคะแนน 68.98/100 คะแนน
จับคนร้ายได้ยาก จะป้องกัน-เยียวยาอย่างไร
“98% ของกลุ่มอาชญากรเหล่านี้ สามารถสืบได้หมดว่าเป็นใคร” จีน ยู บอกกับบีบีซีไทย
ทั้งองค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol)สภายุโรป และองค์การสหประชาชาติ ต่างนิยามว่าอาชญากรรมไซเบอร์เป็นอาชญากรรมข้ามประเทศทั้งสิ้น เมื่อผู้ร้ายอยู่ประเทศหนึ่ง ส่วนผู้เสียหายอยู่อีกประเทศหนึ่ง จึงเกิดคำถามว่าจะนำตัวคนร้ายเหล่านี้มารับโทษได้อย่างไร
"เอฟบีไอ ยูโรโพล หรือหน่วยงานบังคับใช้กฎหมายทั้งหมดรู้ดีว่าคนทำคือใคร คำถามคือคุณจะเอาคนที่โจรกรรมข้อมูลจาก ยกตัวอย่างนะ โคลอมเบียหรือเวียดนาม มารับโทษยังไง" ซีอีโอของ Resecurity กล่าว
พล.อ.ต.อมร กล่าวด้วยว่า การเดินหน้าสร้างความร่วมมือระหว่างประเทศเป็นสิ่งสำคัญที่สุด เนื่องจากทุกประเทศล้วนได้รับผลกระทบเชื่อมกันหมด อย่างไรก็ดี เขายอมรับว่าประเด็นดังกล่าวมีความซับซ้อนและอ่อนไหวอยู่มาก เนื่องจากแต่ละประเทศมีแนวนโยบายและการบริหารราชการที่แตกต่างกัน
ที่มาของภาพ, Getty Images
เมื่อประเด็นการจับคนร้ายมาลงโทษยังเป็นเรื่องยาก ทั้งเลขาธิการ สกมช. และซีอีโอของ Resecurity ต่างเห็นตรงกันว่าการให้ความรู้กับประชาชนและหน่วยงานที่เกี่ยวข้องเป็นเรื่องสำคัญที่สุด อีกทั้งการให้ความสำคัญกับความปลอดภัยทางไซเบอร์ยังควรต้องกลายเป็นเรื่องพื้นฐานที่ทุกหน่วยงานคำนึงถึงด้วย
“พ.ร.บ.ไซเบอร์ กับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ทำให้เรื่องพวกนี้เป็นสิ่งผิด จากที่เคยมองว่ารั่วแล้วไง ไม่ปลอดภัยแล้วไง มาตอนนี้จะคิดแบบนั้นไม่ได้แล้ว มันจะเป็นความรับผิดชอบของรัฐ” พล.อ.ต.อมร กล่าว
สำหรับ จีน ยู เขาอยากให้มองว่าความปลอดภัยทางไซเบอร์เป็นเสมือนกับการดูแลรักษารถยนต์ที่ต้องมีการเปลี่ยนน้ำมันหรือผ้าเบรกเมื่อถึงเวลาและต้องทำอย่างสม่ำเสมอ
เลขาธิการ สกมช. ยังทิ้งท้ายถึงแนวทางการเยียวยาผู้เสียหายจากอาชญากรรมไซเบอร์ที่เกิดจากความผิดพลาดของหน่วยงานรัฐบาลหรือเอกชนด้วยว่า ในต่างประเทศหากมีการตรวจพบว่าหน่วยงานมีความผิดจริง หน่วยงานนั้น ๆ จำเป็นต้องซื้อประกันการโดนอาชญากกรรมทางไซเบอร์ให้กับผู้ที่มีข้อมูลรั่วไหลออกไป ตามช่วงเวลาที่กำหนดขึ้น โดยเขาหวังว่าจะมีมาตรการคล้ายคลึงกันนี้ในไทยในอนาคต
ทั้งนี้ มีการประเมินว่ามูลค่าตลาดประกันภัยไซเบอร์ทั่วโลก จะเพิ่มสูงขึ้นไปแตะตัวเลข 2 หมื่นล้านดอลลาร์สหรัฐ (ราว 7.14 แสนล้านบาท) ภายในปี 2568 เพิ่มขึ้นเกินเท่าตัวจาก 8,000 ล้านดอลลาร์สหรัฐ (ราว 2.85 แสนล้านบาท) ในปี 2563
หมายเหตุ: มีการเพิ่มเติมเนื้อหา ณ วันที่ 7 ก.พ. 2567
