[Bee Voice เสียงผู้บริโภค] ซ้ำซาก “ภาครัฐไทย” ระบบไอทีโหว่ แฮกเกอร์ปล่อยขายผ่านเว็บมืด จากกรณีในประเทศไทยที่ข้อมูลส่วนบุคคลของประชาชนไทย ได้ถูกบุคคลภายนอก เข้ามาจัดเก็บสำเนาจากระบบฐานข้อมูลของหน่วยงานรัฐ แล้วนำข้อมูลไปประกาศขา

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

19 มี.ค. 2023 เวลา 04:54 • ข่าวรอบโลก

ซ้ำซาก “ภาครัฐไทย” ระบบไอทีโหว่ แฮกเกอร์ปล่อยขายผ่านเว็บมืด

จากกรณีในประเทศไทยที่ข้อมูลส่วนบุคคลของประชาชนไทย ได้ถูกบุคคลภายนอก เข้ามาจัดเก็บสำเนาจากระบบฐานข้อมูลของหน่วยงานรัฐ แล้วนำข้อมูลไปประกาศขาย ผ่านกระดานสนทนา หรือ ฟอรั่ม ในเว็บไซต์แห่งหนึ่ง ซึ่งประกาศขายข้อมูล 50 ล้านรายการ โดยประกาศระบุว่า เป็นข้อมูลที่ได้มาจากหน่วยงานราชการไทย

ฐานข้อมูลรั่วไหลและบัญชีที่ถูกบุกรุกประกอบด้วย ชื่อ เพศ หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน ข้อมูลสุขภาพ (ข้อมูลอ่อนไหว) บัญชีผู้ใช้ รหัสผ่าน อีเมล ที่ลงทะเบียนไว้กับหน่วยงานรัฐ และข้อมูลที่ประกาศขาย สามารถเลือกซื้อเป็นแบบข้อมูลทั้งหมด หรือข้อมูลบางส่วน มีการเลือกแบบพิเศษของชนิดกลุ่มข้อมูลก็ได้ โดยรับจ่ายค่าข้อมูลเป็นเงินสกุลดิจิทัล

จากเหตุการณ์ที่เกิดขึ้น ได้สะท้อนถึงความล้มเหลวในระบบการรักษาความปลอดภัยข้อมูลอิเล็กทรอนิกส์หน่วยงานบริการของรัฐ ที่มีช่องโหว่ถูกเข้าถึงโดยบุคคลหรือบุคคลที่ไม่ได้รับอนุญาต สามารถเข้าไปทำสำเนาบันทึก แล้วนำข้อมูล ไปปล่อยซื้อขายผ่านเว็บไซต์ตลาดมืดซื้อขายข้อมูลบุคคล เสมือนเป็นการท้าทายอำนาจกฎหมาย และเย้ยหยันการบริหารงานระบบราชการในระบบอิเล็กทรอนิกส์

ในช่วงระยะเวลา 3 ปี ที่ผ่านมา พบว่ามีเว็บไซต์กว่า 3,000 เว็บไซต์ ที่ปล่อยข้อมูลส่วนตัวของคนไทย ทั้งชื่อ ที่อยู่ หมายเลขโทรศัพท์ รวมถึงข้อมูลที่ละเอียดอ่อน สาเหตุของการรั่วไหลมาจากข้อบกพร่องในระบบการจัดการเนื้อหาของหน่วยงานภาครัฐ ของรัฐบาลประเทศไทย มีแฮกเกอร์ สามารถเข้าถึงและขโมยข้อมูลได้ ซึ่งยังมารวมข้อมูลของกลุ่มภาคธุรกิจเอกชนรายใหญ่ในอุตสาหกรรม ที่ถูกวิธีการเรียกค่าไถ่

ข่าวการรั่วไหลของข้อมูลส่วนบุคคลในสื่อต่าง ๆ ทั้งในประเทศ ต่างประเทศ สื่อสารถึงความล้มเหลวในระบบบริการของรัฐ เป็นข่าวสารที่ตอกย้ำในการบกพร่องกับมาตรการรักษาความปลอดภัยทางไซเบอร์และการจัดการระบบเครือข่าย ระบบบริหารงานข้อมูลและเครือข่ายที่ดีขึ้นต่อการปกป้องข้อมูลของประชาชน ที่สวนทางกับการสร้างการประชาสัมพันธ์ การดำเนินการเพื่อปรับปรุงโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ และการนำกฎระเบียบ กฎบังคับใช้ จนถึงการบังคับใช้มาตรการทางกฎหมายด้านการปกป้องข้อมูลที่เข้มงวดขึ้นมาใช้

พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. พ.ศ. 2550 ซึ่งตราขึ้นเพื่อกำกับและควบคุมการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ การเจาะระบบคอมพิวเตอร์เพื่อขโมยหรือเข้าถึงข้อมูลส่วนบุคคล การแทรกซึมเข้าไปในเครื่องคอมพิวเตอร์หรือบัญชีทางคอมพิวเตอร์หรือระบบอิเล็กทรอนิคส์โดยไม่ได้รับอนุญาต

ผู้ที่กระทำการแฮก ได้ทำการเข้าถึง แก้ไข เพิ่ม หรือลบข้อมูลคอมพิวเตอร์โดยไม่ได้รับอนุญาต หรือสร้างความเสียหายหรือทำลายระบบคอมพิวเตอร์ เป็นความผิดทางอาญา เข้าข่ายความผิดฐาน เข้าถึงโดยมิชอบซึ่งระบบและข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ

ตามมาตรา 5, 7 แห่ง พ.ร.บ.คอมพิวเตอร์ฯ มีโทษจำคุก 6 เดือน ถึง 2 ปี และปรับไม่เกิน 40,000 บาท หากผู้กระทำมีการทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติม ไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ จะมีความผิดตามมาตรา 9 แห่ง พ.ร.บ.คอมพิวเตอร์ฯ มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,000 บาท

หากความผิดนั้นเกี่ยวข้องกับการขโมยหรือขายข้อมูลส่วนบุคคล บทลงโทษ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA จะพิจารณาตามผลของความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลก็จะแตกต่างกัน โดยมีรายละเอียดดังนี้

- การกระทำความผิดนั้นอาจทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

- ความกระทำความผิดนั้นเกิดจากการที่ธุรกิจแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับความผิดฐานเปิดเผยข้อมูลส่วนบุคคล

- ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

- ในกรณีที่ผู้กระทำผิดเป็นนิติบุคคล บุคคลที่กระทำความผิดต้องรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นๆ และรับโทษตามความผิดนั้นๆ ด้วย

นอกจากบทลงโทษทางอาญาแล้ว บุคคลหรือองค์กรที่ถูกตัดสินว่ามีความผิดในการแฮ็กและขายข้อมูลส่วนบุคคลอาจต้องรับผิดทางแพ่ง รวมถึงการชดเชยความเสียหายที่เกิดกับเหยื่อ หรือ ประชาชน ผู้เป็นเจ้าของข้อมูล ที่ถูกแฮกเกอร์นำไปขาย

หากพบว่า เป็นข้อมูลของตนเอง กับค่าสินไหมทดแทน โดยมีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล ซึ่งจำเลย จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง และลงโทษอาญา ตามลักษณะความเสียหาย

ถึงแม้แฮกเกอร์จะมีการได้รับโทษ ในฟากของหน่วยงานภาครัฐเอง จะต้องชี้แจงข้อเท็จจริง ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญคุ้มครองข้อมูลส่วนบุคคล หากมีการตรวจสอบแล้วพบว่า มิได้ดำเนินการมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม อาจจะต้องรับโทษทางปกครอง (https://beevoice.org/3611) ด้วย ซึ่งหากเป็นภาคธุรกิจ จะได้รับโทษปรับสูงสุดไม่เกิน 5,000,000 บาท รวมถึงการถูกเรียกร้องทางแพ่ง และอาญาจากผู้เสียหาย คือ ประชาชน ผู้ที่เป็นเหยื่อความเสียหายที่เกิดขึ้น

อย่างไรก็ตามการรั่วไหลของข้อมูลส่วนบุคคล มิได้เกิดจากความล้มเหลวในระบบคอมพิวเตอร์ ระบบเทคโนโลยีสารสนเทศทางด้านเครือข่ายของรัฐ ในบางกรณี ข้อมูลส่วนบุคคลอาจรั่วไหล อันเป็นผลมาจากบุคคล ทั้งในหน่วยงาน และ บุคคลภายนอกที่สามารถเข้าถึงระบบ จากการได้รับสิทธิการว่าจ้างดูแลระบบงาน ที่มีรหัสสามารถเข้าถึงฐานข้อมูลได้

ดังเห็นได้จากกรณีการรั่วไหลข้อมูลไปยังกลุ่มธุรกิจแก๊งค์คอลเซ็นเตอร์ รวมถึงการเห็นเอกสารสำเนาบัตรประชาชน เอกสารประวัติการรักษาพยาบาล จนถึงเอกสารมรณบัตร บนถุงกระดาษใส่อาหาร หรือ ร้านรับซื้อกระดาษเก่า ซึ่งยังมารวมถึงร้านขายของเก่าที่รับชิ้นส่วนคอมพิวเตอร์ ร้านของของเก่ามือสอง

เช่น ฮาร์ดดิสก์ไดรว์คอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์สำหรับเก็บข้อมูลแบบพกพา ยูเอสบีแฟลชไดรฟ์ ( USB flash drive) การจำหน่ายคอมพิวเตอร์ของหน่วยงาน หรือ ขายคอมพิวเตอร์ โน้ตบุ๊กของตนเอง ที่ลืมลบข้อมูลที่ทำสำเนาข้อมูลใส่ยูเอสบี มาใช้บันทึกเก็บไว้ แม้กระทั่งการทำยูเอสบีแฟลชไดรฟ์ แล้วตกหล่นหาย ลืมไว้ตามสถานที่ต่าง ๆ

ปัจจัยช่องโหว่ส่งผลต่อความสำเร็จของการถูกบุกรุก หรือ โจมตี เกิดขึ้นได้จาก

■
รหัสผ่านที่ไม่รัดกุม: หากผู้ใช้มีรหัสผ่านที่ไม่รัดกุมหรือคาดเดาได้ง่าย แฮกเกอร์สามารถใช้การโจมตีแบบดุร้ายหรือเทคนิควิศวกรรมสังคมเพื่อเข้าถึงบัญชีของตนและขโมยข้อมูลส่วนบุคคลได้

■
เครือข่ายที่ไม่ปลอดภัย: เมื่อผู้ใช้เข้าถึงตลาดออนไลน์ผ่านเครือข่ายที่ไม่ปลอดภัยหรือสาธารณะ ข้อมูลของพวกเขาอาจถูกดักจับโดยแฮกเกอร์ที่สามารถขโมยข้อมูลส่วนบุคคลได้

■
ซอฟต์แวร์มีช่องโหว่: การใช้ซอฟต์แวร์ที่ล้าสมัย ไม่ได้อัพเดท หรือ แพทช์ (Patch) จนส่งผลให้มีช่องโหว่ ที่แฮกเกอร์สามารถใช้เพื่อเข้าถึงข้อมูลส่วนบุคคลได้

■
ขาดการเข้ารหัส: ข้อมูลส่วนบุคคลที่ส่งผ่านอินเทอร์เน็ตอาจไม่ได้รับการเข้ารหัส ทำให้แฮกเกอร์สามารถสกัดกั้นและขโมยได้ง่าย

■
พฤติกรรมบุคคลในการใช้สื่อสังคมและเกมออนไลน์: แฮกเกอร์อาจใช้เทคนิคทางด้านวิศวกรรมการพัฒนาระบบสารสนเทศ เพื่อสร้างเครื่องมือ กิจกรรมบนสื่อ เนื้อหาต่าง ๆ ให้ผู้ใช้มีส่วนร่วม พร้อมให้ข้อมูลส่วนบุคคลโดยยินยอม อย่างการใช้กลอุบายหลอกล่อผู้ใช้งาน การแอบอ้างเป็นเว็บไซต์ที่น่าเชื่อถือ หรือ ฟิชชิ่งสแกม เพื่อหลอกลวงผู้ใช้ให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลรับรองการเข้าสู่ระบบ

■
การละเมิดผ่านบุคคลที่สาม: การที่หน่วยงานร่วมกับหลายหน่วยงาน หรือพันธมิตรบุคคลที่สามที่อาจเข้าถึงข้อมูลผู้ใช้ได้ หากผู้ให้บริการเหล่านี้ประสบกับการละเมิดข้อมูล จากแฮกเกอร์ และแฮกเกอรืนั้นใช้ช่องทางดังกล่าว เป็นทางผ่านเข้าถึงข้อมูลส่วนบุคคลของหน่วยงานภาครัฐได้

■
ภัยคุกคามจากวงใน: พนักงาน ลูกจ้าง ผู้รับจ้างงาน ที่สามารถเข้าถึงข้อมูลผู้ใช้อาจเปิดเผยข้อมูลส่วนบุคคล แก่แฮกเกอร์โดยตั้งใจหรือไม่ตั้งใจ

■
ความเชี่ยวชาญในด้านวิศวกรรมความปลอดภัยทางไซเบอร์ : หน่วยงานมีข้อจำกัดของสายบังคับบัญชา หรือผู้รับผิดชอบโดยตรง ที่มีทักษะทางด้านการบริหารงานเครือข่ายความปลอดภัยไซเบอร์ และ ระบบงานบริหารเทคโนโลยีสารสนเทศ จึงเป็นอุปสรรคในการตัดสินใจในการเลือกใช้โซลูชันความปลอดภัย วิธีการบริหารความเสี่ยง และ การพิจารณาความเหมาะสมในการลงทุน การอัพเดท การสรรหาบุคคลที่เหมาะสมในการรับผิดชอบงาน

■
การไม่ใช้นโยบายการปกป้องข้อมูลที่เข้มงวด: หน่วยงานรัฐควรกำหนดนโยบายที่ชัดเจนซึ่งห้ามไม่ให้ เจ้าหน้าที่ ลูกจ้าง พนักงาน หรือ ผู้รับเหมา ในการจัดการสิทธิ แนวทางปฏิบัติเกี่ยวกับการจัดการ การเข้าถึง การจัดเก็บ และการกำจัดข้อมูล จนถึงความรับผิดชอบในการใช้ข้อมูล จนถึงการแจ้งในเรื่องความผิด ทางแพ่ง ทางอาญา หาก ขโมยหรือขายข้อมูลของประชาชน หน่วยงาน ไปสู่บุคคลอื่น นโยบายเหล่านี้ควรสื่อสารให้พนักงานและผู้รับเหมาทุกคนทราบ

■
การละเลยตรวจสอบกิจกรรมที่น่าสงสัย: ภาครัฐ ขาดกลไก การติดตามประเมินผล หรือ ระบบตรวจสอบที่สามารถตรวจจับและแจ้งเตือนกิจกรรมที่น่าสงสัย เช่น การดาวน์โหลดหรือส่งออกข้อมูลขนาดใหญ่ การพยายามเข้าถึงโดยไม่ได้รับอนุญาต หรือรูปแบบพฤติกรรมที่ผิดปกติ หรือมีผู้ดูแลรับผิดชอบ ถึงแม้ว่า จะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล แต่เจ้าหน้าที่ดูแล มีภารกิจอื่น บางหน่วยแต่งตั้งบุคคลไม่มีมีความรู้เชี่ยวชาญ ทักษะที่เหมาะสม จนถึงการจัดหาระบบใช้งานที่เหมาะสม

จากปัจจัยที่กล่าวมา หากหน่วยงานภาครัฐ ผู้บริหารหน่วยงานให้ความสำคัญ ติดตามประเมินผลอัพเดทสม่ำเสมอ

จะทำให้ทราบถึงสถานการณ์ ปัจจัยบ่งชี้ ที่อาจบ่งบอกถึงความเสี่ยงของการโจรกรรมข้อมูล การรั่วไหลข้อมุลในรูปแบบต่าง ๆ ที่เกิดขึ้นจากกิจกรรมการทำงานในกลุ่มงานต่าง ๆ จนถึงงานของบุคคล

จากการที่ให้สิทธิ์การเข้าถึงตามความจำเป็น ตามหน้างานที่รับผิดชอบ และการทราบถึงการเข้าถึงระบบข้อมูลอื่น ที่ไม่ได้รับอนุญาต หรือ การใช้งานสารสนเทศอื่น ๆ ที่มิได้เกี่ยวข้องในกิจกรรมการทำงาน ไปจนถึงความชัดเจนสำหรับพนักงานหรือผู้รับจ้างที่ละเมิดนโยบายการปกป้องข้อมูล อาทิ การเลิกจ้าง การดำเนินการทางกฎหมาย หรือข้อหาทางอาญาตามความเหมาะสม

การปฏิบัติตามขั้นตอนเหล่านี้ หน่วยงานภาครัฐ ทุกแผนก กอง กรม กระทรวง สามารถลดความเสี่ยงที่พนักงาน ลูกจ้าง ผู้รับเหมางาน โครงการจะขโมยและขายข้อมูลของประชาชน ไปยังบุคคลอื่นมิได้

อีกทั้งยังเป็นการให้ความสำคัญการปกป้องความเป็นส่วนตัว ความไว้วางใจและความเชื่อมั่นของประชาชนเป็นสิ่งสำคัญ กับภัยคุกคามไซเบอร์และความเสี่ยงทางด้านอาชญากรรมที่เกิดขึ้นใหม่ในทุกรูปแบบ ทุกสถานการณ์ และการถูกลดทอนสถานะความเชื่อมั่นในด้านเทคโนโลยีสารสนเทศจากนานาชาติที่จะเข้ามาลงทุน และเชื่อมต่อในการเข้าถึงข้อมูลเพื่อการพัฒนาคุณชีวิต สังคม และทางด้านเศรษฐกิจในด้านความร่วมมือระหว่างประเทศ ทวิภาคีกับประเทศผู้นำโลกได้

Bee Voice

beevoice.org

ซ้ำซาก ”ภาครัฐไทย” ระบบไอทีโหว่ แฮกเกอร์ปล่อยขายผ่านเว็บมืด - Beevoice - เสียงของลูกค้า

บทความ, ข่าว, พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล,พีดีพีเอ, PDPA, ข้อมูลส่วนบุคคล, รั่วไหล, ระบบรักษาความปลอดภัย ซ้ำซาก ”ภาครัฐไทย” ระบบไอทีโหว่ แฮกเกอร์ปล่อยขายผ่านเว็บมืด Beevoice - เสียงของลูกค้า

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ซ้ำซาก “ภาครัฐไทย” ระบบไอทีโหว่ แฮกเกอร์ปล่อยขายผ่านเว็บมืด

ดาวน์โหลดแอปพลิเคชัน