รู้ตัว‘แฮกเกอร์’ สั่งปิดเว็บ9near แพร่55ล้านชื่อ

“ชัยวุฒิ” เผยใกล้ได้ตัวแฮกเกอร์ 9near  แล้ว ระบุเป็นคนไทย ตั้งใจดิสเครดิตหน่วยงานรัฐ กำชับดูแลผู้เสียหายจาก 9near และเร่งใช้ Digital ID  ขณะที่สภาผู้บริโภคจี้ตั้งหน่วยเฉพาะกิจปราบแฮกเกอร์เรียกค่าไถ่ ลงโทษบุคลากร ยกเป็นวาระแห่งชาติ

เมื่อวันที่ 3 เมษายน 2566 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวถึงกรณีที่ผู้ใช้งานบัญชี “9near”  อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายบนเว็บไซต์ Bleach Forums ว่า ขณะนี้ใกล้ได้ตัวคนร้ายแล้ว คาดว่าตำรวจไซเบอร์จะแถลงข่าวการจับกุมเร็วๆ นี้  ซึ่งแฮกเกอร์เป็นคนไทยและตั้งใจดิสเครดิตหน่วยงานรัฐ ส่วนหน่วยงานรัฐที่ทำข้อมูลหลุดกำลังอยู่ระหว่างการตรวจสอบเส้นทาง

เนื่องจากข้อมูลที่หลุดเป็นข้อมูลที่หลายหน่วยงานมีได้ โดยเฉพาะหน่วยงานที่ให้ประชาชนลงทะเบียนและประกาศรายชื่อบนเว็บไซต์ ซึ่งเป็นระบบที่ทำขึ้นมาใหม่จนกลายเป็นช่องโหว่ให้แฮกเกอร์เข้าไปดึงข้อมูลออกมา ดังนั้นจึงต้องรอจับแฮกเกอร์มาสอบสวนก่อนว่าแฮ็กมาจากหน่วยงานไหน อย่างไรก็ตาม มีหน่วยงานรัฐที่สงสัยว่าได้ทำข้อมูลหลุดมาแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งต้องรอตรวจสอบก่อน ยังไม่สามารถสรุปได้

ส่วนกรณีที่ 9near ออกมาประกาศว่า ขอหยุดการเผยแพร่ข้อมูลส่วนบุคคลและขอให้รัฐบาลอย่าจับตัวเองนั้น เป็นเรื่องที่เป็นไปไม่ได้เพราะความผิดได้สำเร็จแล้ว โดยกรณีนี้จะเป็นคดีแรกของ สคส.ที่ได้บังคับใช้ตามกฎหมาย ซึ่งหน่วยงานที่ปล่อยข้อมูลรั่วต้องได้รับโทษจำคุก 1 ปี  ปรับไม่เกิน 5 ล้านบาท และต้องมีการเยียวยาผู้เสียหาย  ซึ่งล่าสุดมีผู้ได้รับเอสเอ็มเอสขู่ 200 ราย โดยดีอีเอสได้ประสานกับผู้ให้บริการโทรศัพท์มือถือในการบล็อกเอสเอ็มเอสแล้ว

นายชัยวุฒิกล่าวว่า นอกเหนือจากต้องเร่งหาหลักฐานและตัวคนร้ายแล้ว ได้มอบหมายให้นายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดีอีเอส ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง ดูแลผู้เสียหายจาก 9near ตลอดจนเร่งรัดการใช้ Digital ID และยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

โดยวันที่ 3 เมษายน 2566 ศาสตราจารย์พิเศษวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้เป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ”  โดยได้เชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่หรือมีจำนวนมากมาหารือ อาทิ กระทรวงมหาดไทย,  กระทรวงสาธารณสุข, กระทรวงการคลัง, กระทรวงแรงงาน, กระทรวงการพัฒนาสังคมและความมั่นคงของมนุษย์,  สำนักงานตำรวจแห่งชาติ และสำนักงาน กกต. เป็นต้น  รวมทั้งผู้ที่เกี่ยวข้องได้แก่ ธนาคารแห่งประเทศไทย, สำนักงาน กสทช., สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในการประชุมได้มีการหารือประเด็นสำคัญ ดังนี้

1.ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงาน เป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่  ผลเป็นอย่างไร

โดยนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส.ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานรัฐและได้แจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ โดยพลอากาศตรีอมร ชมเชย เลขาธิการสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ให้ข้อมูลว่า THAICERT ของ สกมช.ตรวจพบว่า ระบบเทคโนโลยีสารสนเทศของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงานเร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง     

2.แนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลในหน่วยงานของรัฐ อาทิ  พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และ (ฉบับที่ ๒) พ.ศ.๒๕๖๐, พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.๒๕๖๒, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.๒๕๖๕ และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.๒๕๖๕

ทั้งนี้ หากหน่วยงานทำข้อมูลรั่วโดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย

3.การช่วยเหลือสนับสนุนของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ  และกระทรวงดิจิทัลฯ ต่อหน่วยงานต่างๆ ในเรื่องระบบเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกันในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

นอกจากนี้ ได้หารือถึงแนวทางเร่งรัดการใช้  Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้กระทรวงดิจิทัลฯ ได้จัดทำพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ.2565 (Digital  ID) ประกาศในราชกิจจานุเบกษาแล้วเมื่อวันที่ 23  ธันวาคม 2565 และผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID ของกระทรวงมหาดไทย  ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจมากขึ้นอีกระดับหนึ่ง ซึ่งการยืนยันตัวตนด้วย Digital ID จะช่วยป้องกันการถูกขโมยข้อมูล  รวมทั้งป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์

ปลัดกระทรวงดิจิทัลฯ กล่าวว่า “วันนี้สรุปได้ว่าการหาข้อเท็จจริงเรื่องที่อ้างว่า ข้อมูลขนาดใหญ่รั่วจากหน่วยงานภาครัฐยังดำเนินการอยู่ กรณีที่มีข้อมูลรั่ว หรือระบบเทคโนโลยีสารสนเทศมีช่องโหว่ หน่วยงานต้องเร่งปรับปรุงแก้ไข ในขณะเดียวกันทำการซักซ้อมแนวปฏิบัติ และกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงานยกระดับความมั่นคงปลอดภัยของข้อมูล และช่วยผลักดันการใช้ Digital  ID”

ขณะที่สภาองค์กรผู้บริโภค (สภาผู้บริโภค) ออกแถลงการณ์ ขอให้รัฐบาลใช้ศักยภาพและกลไกของรัฐปกป้องข้อมูลประชาชน ปราบปรามมิจฉาชีพเรียกค่าไถ่ข้อมูลประชาชน และลงโทษบุคลากรของรัฐที่รับผิดชอบ ให้รัฐบาลตั้งหน่วยงานเฉพาะกิจเร่งดำเนินการสืบสวนสอบสวนหาตัวผู้กระทำผิดมาดำเนินคดีอย่างรวดเร็วจริงจัง และแถลงข้อเท็จจริงเรื่องนี้ให้กระจ่างแจ้ง รวมทั้งขอบเขตความเสียหายของข้อมูล แหล่งของข้อมูลที่รั่วไหล รวมถึงมาตรการป้องกันแก้ไขปัญหาที่จะไม่ให้เกิดเหตุการณ์ลักษณะนี้เกิดขึ้นอีก เพื่อให้สังคมร่วมรับรู้ข้อเท็จจริง และสร้างความเชื่อมั่นต่อการรักษาความมั่นคง เพราะเป็นเรื่องที่ส่งผลกระทบต่อชีวิตและทรัพย์สินของประชาชนที่เกิดความเสียหายในทุกมิติ ขอให้นำนโยบายในการคุ้มครองข้อมูลพลเมืองในยุคดิจิทัลเป็นวาระแห่งชาติ ในยุคเปลี่ยนผ่านสู่ดิจิทัลอย่างเต็มรูปแบบมากขึ้น.