ศบค. ยุบ แล้วใครจัดการข้อมูลโควิด? – ‘ณัฐพงษ์’ เสนอ 7 ข้อ คุ้มครองประชาชนทันที ใช้งบน้อย
ณัฐพงษ์ ก้าวไกล ชี้ สาธารณสุขมึน! หลัง ศบค. ถูกยุบ ข้อมูลโควิดใครจัดการ? แนะ ส่องนโยบาย Public Cloud First Policy ของอังกฤษเป็นแบบอย่าง สามารถทำได้ทันที ไม่ต้องรอตั้งงบประมาณ
ณัฐพงษ์ เรืองปัญญาวุฒิ ส.ส. เขตบางเเค พรรคก้าวไกล เเสดงกังวลเกี่ยวกับปัญหาการจัดการข้อมูลประชาชนหาก ศบค. ถูกยุบไป โดยระบุว่า เมื่อ ศบค. ถูกยุบตามการสิ้นสภาพของประกาศ พ.ร.ก.ฉุกเฉินฯ ก็ยังไม่มีความชัดเจนว่า ใครจะเข้ามาดูแลจัดการข้อมูลประชาชน และจะมีการจัดการอย่างไร ให้มีความปลอดภัยจากการถูกแฮ็ก
เมื่อวันที่ 16 กันยายนที่ผ่านมา ตัวแทนของกระทรวงสาธารณสุข (สธ.) และ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ที่เข้าชี้แจงต่อ ที่ประชุมในคณะกรรมาธิการการสื่อสาร โทรคมนาคม และดิจิตอลเพื่อเศรษฐกิจและสังคม สภาผู้แทนราษฎร ในกรณีที่แฮ็กเกอร์นำข้อมูลผู้ป่วยกว่า 16 ล้านคนไปขายในเว็บมืด ขณะเดียวกันก็มีเหตุการณ์ลักษณะเดียวกันเกิดขึ้นอีกหลายครั้ง รวมถึงข้อมูลนักท่องเที่ยวต่างชาติที่เดินทางเข้าไทยย้อนหลัง 10 ปีจำนวน 106 ล้านคนหลุด ซึ่งเกิดจากความสะเพร่าของการตั้งค่าระบบ (Misconfiguration) ให้คนทั่วไปเข้าถึงได้ [1]
ณัฐพงษ์ ซึ่งได้เข้าร่วมฟังคำชี้แจง กล่าวว่า คำชี้แจ้งของ สธ. และ สกมช. ระบุว่า ข้อมูลด้านสุขภาพของประชาชนในปัจจุบัน มีความกระจายตัวกันอยู่ค่อนข้างมาก เนื่องจากสถานพยาบาลแต่ละแห่งมีระบบไอทีเป็นของตนเอง ซึ่งข่าวข้อมูลผู้ป่วย 16 ล้านรายชื่อที่หลุดอออกมานั้น ก็เกิดจากช่องโหว่ของระบบของทางโรงพยาบาลเพชรบูรณ์เอง [2] ทำให้เป็นเรื่องยากที่จะเข้าไปแก้ไขควบคุมและอุดช่องว่างได้ทั้งหมด ทั้งนี้ ในปัจจุบัน มีการทำ Pentest อยู่แล้วตามที่ สกมช. กำหนด [3] โดยอาศัยอำนาจตาม พ.ร.บ.ไซเบอร์ฯ
“สิ่งที่ผมกังวลเป็นอย่างยิ่ง ก็คือคำชี้แจงในที่ประชุมของ สธ. เกี่ยวกับ “ข้อห่วงใย” ในระบบสารสนเทศที่ใช้การลงทะเบียน การตรวจเชิงรุก การคัดครอง การส่งต่อผู้ป่วย การบริหารจัดการเตียง ฯลฯ ที่ใช้ในการบริหารจัดการช่วงโควิด [4] ซึ่งถูกจัดทำขึ้นตามประกาศ พ.ร.ก.ฉุกเฉินฯ ภายใต้ ศบค. ดังนั้น หากเมื่อ ศบค. ถูกยุบตามการสิ้นสภาพของประกาศ พ.ร.ก.ฉุกเฉินฯ ก็ไม่แน่ใจเหมือนกันว่า ข้อมูลที่กระจัดกระจายกันอยู่ (ตามแผนภาพ) จะตกอยู่ในมือของใคร และใครจะรับไปจัดการต่ออย่างไร?
“ตัวแทนจาก สธ. ได้ชี้แจงถึงแนวทางการแก้ไขปัญหาในอนาคต โดยการหยิบยกเรื่องการตั้งงบประมาณ เพื่อจัดทำโครงการในการยกเครื่องระบบสารสนเทศด้านสุขภาพภาครัฐให้เป็นระบบเดียวกับแบบบูรณาการ [5] ซึ่งอาจจะต้องใช้งบประมาณและระยะเวลาดำเนินการอีกหลายปีกว่าจะได้ผลตามแผนภาพ ”
ณัฐพงษ์ ได้ให้ข้อคิดเห็นไว้ว่า ประเด็นเรื่องการจัดทำระบบสารสนเทศด้านสุขภาพ เพื่อให้เป็นไปตาม Target Operating Model ที่ สธ. นำเสนอนั้น เป็นคนละเรื่องกับสิ่งที่ กมธ. กำลังพิจารณากันอยู่ สิ่งที่วันนี้ทางกมธ.ต้องการได้คำตอบคือ แนวนโยบายในการกำหนดมาตรการเพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ของชาติ ซึ่งเป็นสิ่งที่รัฐบาลสามารถดำเนินการได้ทันที ไม่ต้องตั้งงบประมาณ ไม่ต้องรอการจัดทำโครงการ
“จากกรณีตัวอย่างของ ร.พ.เพชรบูรณ์ ซึ่งเป็นกรณีที่มีข้อมูลหลุดออกมาเป็นจำนวนมาก และค่อนข้างมีความสมบูรณ์ ถือเป็นสิ่งที่น่าเชื่อได้ว่า คนร้ายน่าจะเป็นคนใน หรือเป็นคนที่สามารถอาศัยช่องโหว่ของคนใน ในการเข้าถึงฐานข้อมูลได้โดยตรง ซึ่งภัยคุกคามทางไซเบอร์ส่วนใหญ่ ก็เกิดจากการโจมตีในลักษณะนี้ และเรื่องนี้ก็เป็นเรื่องที่รัฐบาลสามารถลงมือแก้ไขได้ทันที โดยการออกเป็นประกาศระเบียบหรือกฎหมายลูกที่เกี่ยวข้อง เช่น ประกาศสำนักนายกฯ ว่าด้วยการจัดซื้อจัดจ้างระบบสารสนเทศภาครัฐ หรือ ระเบียบเกี่ยวกับมาตรการในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ฯลฯ ซึ่งมาตรการที่ว่านั้น ก็คือ Public Cloud First Policy [6] ครับ”
7 ข้อเสนอแนะคุ้มครองข้อมูลประชาชนได้โดยไม่ต้องใช้งบเยอะ
ณัฐพงศ์ กล่าวต่อไปว่า ปัญหาข้อมูลส่วนบุคคลที่กระจัดกระจายกันอยู่ ซึ่งเกิดขึ้นในช่วงการรับมือโควิด-19 จะไปอยู่ที่ใคร และใครเป็นผู้ควบคุมดูแล และภาครัฐจะมั่นใจได้อย่างไรว่า ข้อมูลต่าง ๆ เหล่านั้นจะไม่ไปตกอยู่กับมือที่สาม ซึ่งสามารถแก้ไขได้โดยการออกระเบียบ/ประกาศภายใต้ พ.ร.บ.จัดซื้อจัดจ้างภาครัฐฯ เพื่อกำหนด “TOR มาตรฐานขั้นต่ำ” ให้กับโครงการที่เป็นงานสั่งทำ หรืองานพัฒนาระบบสารสนเทศขึ้นมาใหม่ ดังต่อไปนี้
1
ให้พัฒนาระบบโดยใช้สถาปัตยกรรม Microservices
2
ให้กำหนดตัวชิ้นงาน หรือตัวซอฟต์แวร์ ที่ผู้รับเหมาจะส่งมอบให้กับภาครัฐ ให้อยู่ในรูปแบบ Source File ที่สามารถสร้างขึ้นมาเป็น Container Image (อาทิ Docker, Kubernetes ฯลฯ) ได้
3
ควรให้ Container Image เหล่านั้น สามารถทำงานร่วมกับ Cloud Service Provider ต่าง ๆ ในท้องตลาด อย่าง AWS, GCP ฯลฯ ได้
4
ให้มีการติดตั้ง Server Environment แยกกันระหว่าง Develop, Staging และ Production ออกจากกัน โดยกำหนดสิทธิ์ให้ผู้รับเหมา มีสิทธิ์ในการเข้าถึงฐานข้อมูลและจัดการ Server Instance ได้เฉพาะ Develop และ Staging Environment ส่วน Production จะต้องให้สิทธิ์เฉพาะ จนท. ฝ่ายเทคนิคของรัฐ ซึ่งอาจจะเป็นจนท.ใน สพร. (DGA) เป็นผู้ทำการติดตั้ง (deploy) รวมไปถึงการดูแลระบบ (Admin) โดยมีบริษัทผู้รับเหมาเป็นที่ปรึกษา
หลังจากกำหนดมาตรฐาน TOR กลางขั้นต่ำแล้ว ต่อไปก็เป็นเรื่องของการกำหนด Target Operating Model ให้กับกระบวนการการบริหารจัดการระบบสารสนเทศภาครัฐ โดยเฉพาะอย่างยิ่งระบบสารสนเทศที่มีความสำคัญ (CII: Critical Information Infrastructure) ซึ่งอาจกำหนดเป็นระเบียบ/ประกาศ โดยอาศัยอำนาจตามพ.ร.บ.ไซเบอร์ฯ ม.9 (2)
5
จัดทำแนวทางปฏิบัติ เพื่อให้ทุกหน่วยงานของรัฐ พิจารณาใช้ Cloud ก่อนเป็นอันดับแรก อย่าง Government Cloud First Policy ของสหราชอาณาจักร โดยควรพิจารณาเลือกใช้ Public Cloud ก่อน Private/Hybrid Cloud เป็นอันดับแรก
6
สพร. (DGA) ต้องเป็นผู้รับผิดชอบในการควบคุมดูแลบัญชีผู้ใช้ของหน่วยงานต่างๆ ในภาครัฐ ที่ใช้ในการบริหารจัดการทรัพยากรที่อยู่บน Cloud ของหน่วยงานนั้นๆ ยกตัวอย่างเช่น การใช้ AWS IAM ในการกำหนดสิทธิ์ให้ผู้ดูแลระบบ (Admin) ของกระทรวง A สามารถเข้าถึงทรัพยากรเครื่องแม่ข่ายที่อยู่ใน VPC ของกระทรวง A ได้อย่างเดียวเท่านั้น ฯลฯ
7
สพร. (DGA) จะต้องไม่เป็นผู้ถือรหัสผ่านผู้ใช้ใดๆ ในระดับแอปพลิเคชั่น และในระดับฐานข้อมูลของแอปพลิเคชั่น ที่นำมาฝากไว้อยู่บน Cloud ภาครัฐ
ทั้งนี้ ณัฐพงษ์ กล่าวต่อไปว่า หากปฏิบัติได้ตาม 7 ข้อเบื้องต้น ตนเชื่อว่าจะเป็นกระบวนการ (Transitional Process) ที่นำไปสู่ Target Operating Model ที่ระบบมีความมั่นคงปลอดภัยทางไซเบอร์มากขึ้นในอนาคต โดยไม่จำเป็นต้องตั้งงบประมาณ เพื่อจัดทำโครงการใหญ่โตแต่อย่างใด
ถึงแม้วัตถุประสงค์ของการจัดทำแนวนโยบาย “Government Cloud First Policy” ของสหราชอาณาจักรนั้น จะมุ่งหวังในเรื่องประสิทธิภาพของการใช้เงินงบประมาณมาเป็นอันดับแรก (ซึ่งประเทศไทยควรดำเนินรอยตาม) แต่ที่ผมหยิบยกแนวนโยบายนี้มาประกอบบทความนี้ก็เพื่อต้องการเน้นย้ำให้ทุกท่านเห็นว่า คำว่า Cloud ไม่ได้ หมายถึง ความไม่ปลอดภัย แบบที่หน่วยงานของรัฐหลายภาคส่วนยังเข้าใจแบบผิดๆ อยู่ ว่าเป็นการเอาข้อมูลไปฝากไว้ข้างนอก
กลับกัน ผู้ให้บริการ Cloud หลายเจ้าที่มีอยู่ในท้องตลาดในปัจจุบัน ได้มีระบบการจัดการที่มีมาตรฐานความปลอดภัยสูง เพียงพอต่อการใช้งานทั่วไปอยู่แล้ว ดังที่รัฐบาลสหราชอาณาจักรเอง ก็ยังมีการระบุเอาไว้ชัดเจนว่า ให้หน่วยงานของรัฐเลือกใช้ Public Cloud ก่อนเป็นอันดับแรกครับ ณัฐพงษ์ กล่าวทิ้งท้าย
อ้างอิง :
[2] แผ่นภาพนำเสนอ สกมช. ในที่ประชุม กมธ.DE 16 ก.ย. 64, หน้า 27
[3] สรุปเหตุภัยคุกคามทางไซเบอร์ กรณี ข้อมูลผู้ป่วย 16 ล้านรายชื่อหลุด, หน้า 13
[4] Cyber Security CII ด้านสาธารณสุข, หน้า 4
