กรณีแฮกเกอร์ใช้ชื่อ ‘9near’ โพสต์ขายข้อมูลที่อ้างว่าเป็นข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายการ และอ้างว่าขโมยมาจากหน่วยงานรัฐแห่งหนึ่ง ในช่วงที่ผ่านมาเราเห็นข่าวลักษณะนี้บ่อยครั้ง สะท้อนว่าการจัดการควบคุมความเสี่ยงด้านไซเบอร์ของภาครัฐ โดยเฉพาะการคุ้มครองข้อมูลส่วนบุคคลของประชาชน มีความหละหลวมมาก
ชัยวัฒน์ สถาวรวิจิตร ผู้เชี่ยวชาญด้านเทคโนโลยีการเงินและยุทธศาสตร์ข้อมูล หนึ่งในทีมเศรษฐกิจพรรคก้าวไกล บอกว่า จากที่เข้าไปดูแฮกเกอร์รายนี้ มีตัวอย่างข้อมูลประมาณ 93,000 คน ทั้งเลขบัตรประชาชน ชื่อนามสกุล วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ จึงมีความเป็นไปได้สูงว่ามีข้อมูลรั่วไหลจริง และการที่หลุดออกมามากขนาดนี้ แสดงว่าแฮกเกอร์สามารถเข้าถึง (access) ฐานข้อมูลได้
ดังนั้น เรื่องพื้นฐานที่ภาครัฐต้องทำ เพื่อไม่ให้เรื่องแบบนี้เกิดขึ้นซ้ำแล้วซ้ำเล่า
📍 ประการที่หนึ่ง ต้องมีมาตรการป้องกัน เพราะการที่แฮกเกอร์เข้าไปได้แสดงว่าระบบไอทีของภาครัฐมีช่องโหว่ ซอฟต์แวร์ต่างๆ อาจไม่ได้รับการอัปเดตปิดรูรั่วอย่างสม่ำเสมอ เรื่องนี้สามารถป้องกันได้ถ้าหน่วยงานรัฐจริงจัง
📍 ประการที่สอง คือมาตรการลดความเสี่ยง เพราะบางครั้งต่อให้มีระบบป้องกันแล้ว แต่แฮกเกอร์ที่มีความสามารถสูง ก็อาจจะเข้าไปได้ ดังนั้น สิ่งที่หน่วยงานรัฐต้องมีและสามารถทำได้ คือการเข้ารหัสฐานข้อมูล (Encryption) เปรียบเสมือนล็อกกุญแจข้อมูลไว้ ถ้าไม่มีกุญแจ ต่อให้เข้าถึงฐานข้อมูล แต่ก็จะอ่านข้อมูลไม่ออก ข้อมูลประชาชนก็จะไม่รั่วไหล
“จากที่ดูตัวอย่างข้อมูล เห็นว่ามีเบอร์โทรศัพท์มือถืออยู่ด้วย ซึ่งอาจเกิดจากการลงทะเบียนด้วยตัวเองของประชาชน เกี่ยวกับการเข้ารับบริการภาครัฐ”
นอกจากนี้ ประเทศไทยมีพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 เน้นดูแลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เช่น หน่วยงานการเงินการธนาคาร การสื่อสาร รวมถึงด้านสาธารณสุข แต่การที่ข้อมูลภาครัฐรั่วไหลหลายครั้ง ทำให้ต้องตั้งคำถามว่ากฎหมายนี้มีประโยชน์จริงหรือไม่ ทำไมหน่วยงานรัฐยังอ่อนแอในเรื่องความปลอดภัยของข้อมูลประชาชน รัฐต้องตอบคำถามว่าปัญหาอยู่ตรงไหนกันแน่
ถ้าพรรคก้าวไกลเป็นรัฐบาล เรามีนโยบายแปลงข้อมูลเป็นขุมทรัพย์ ไม่ว่าจะเป็นข้อมูลของประชาชนหรือข้อมูลของภาคธุรกิจ ให้เป็นรูปแบบดิจิทัลเพื่อสร้างเศรษฐกิจใหม่ๆ โดยวางบทบาทให้รัฐต้องเปลี่ยนเป็นผู้สร้างโครงสร้างพื้นฐานด้านข้อมูล 3 อย่าง ได้แก่
📌 หนึ่ง การพัฒนามาตรฐานข้อมูลและสร้าง ‘ถนนข้อมูล’ ที่จะทำให้ข้อมูลสามารถเชื่อมโยงกันได้ภายใต้มาตรฐานเดียวกัน
📌 สอง การสร้างกฎจราจรให้มีกลไกควบคุมเรื่องความเป็นส่วนตัวและคุ้มครองความปลอดภัย ซึ่งเกี่ยวข้องกับกรณีนี้โดยตรง โดยกลไกที่จะนำมาใช้เพื่อควบคุมเรื่องความเป็นส่วนตัวคือ (1) รัฐต้องสร้างระบบที่ทำให้ประชาชนรู้ได้ ว่าข้อมูลส่วนบุคคลของเขาถูกจัดเก็บโดยหน่วยงานรัฐหน่วยใดบ้าง (2) ประชาชนต้องสามารถควบคุมการยินยอม (consent) ว่าจะอนุญาตให้ข้อมูลของตัวเองที่ถูกเก็บอยู่ในหน่วยงานหนึ่ง สามารถถูกนำไปเปิดเผยกับใครได้บ้าง และใช้เพื่อวัตถุประสงค์อะไร และ (3) หากข้อมูลรั่วไหล เจ้าของข้อมูลต้องได้รับแจ้งจากหน่วยงานที่เก็บข้อมูลทันที เช่น ถ้าได้รับแจ้งว่าข้อมูลเบอร์โทรศัพท์รั่วไหลออกไป ประชาชนก็จะได้ระวังว่าในเร็วๆ นี้ อาจมีแก๊งคอลเซ็นเตอร์โทรมา หรืออาจมีคนพยายามเข้าบัญชีโซเชียลมีเดีย เพื่อให้เจ้าของข้อมูลระมัดระวังและหาทางป้องกัน
ส่วนกลไกคุ้มครองความปลอดภัยนั้น หน่วยงานรัฐที่จัดเก็บข้อมูลส่วนบุคคลทุกแห่ง ต้องมีมาตรฐานความปลอดภัย เช่น อัปเดตซอฟต์แวร์เพื่อปิดช่องโหว่ของระบบไอทีต่างๆ อย่างสม่ำเสมอ และมีมาตรการเข้ารหัสข้อมูล
📌 สาม การสร้างพื้นที่จัดเก็บทรัพยากรข้อมูลให้พร้อมใช้ เป็นขุมทรัพย์สำหรับภาคเอกชน นำมากลั่นสร้างธุรกิจแพลตฟอร์มบริการใหม่ๆ ต่อยอดมูลค่าให้สูงขึ้น ทำให้เศรษฐกิจไทยก้าวกระโดด จะช่วยลดต้นทุนและกำแพงในการริเริ่มธุรกิจใหม่ๆ อย่างมหาศาล
