“ณัฐพงษ์” ชี้กรณีข้อมูลประชาชนหลุดจากหน่วยงานรัฐเกือบ 20 ล้านชุด สะท้อนช่องโหว่ในระบบภาครัฐจ้างเอกชนทำแอปฯ แนะเร่งรัดนโยบาย “cloud
first policy” ดูแลความปลอดภัยได้ง่ายกว่า
วันที่
6 กุมภาพันธ์ 2567 ณัฐพงษ์ เรืองปัญญาวุฒิ
สส.บัญชีรายชื่อ พรรคก้าวไกล ได้ให้ความเห็นต่อกรณี รายงานของบริษัท Resecurity
ระบุว่าเฉพาะเดือนมกราคม 2567 มีข้อมูลที่ใช้ระบุตัวบุคคลของคนไทยเกือบ
20 ล้านชุดข้อมูลรั่วไหล
และถูกประกาศขายบนฟอรัมซื้อขายข้อมูลผิดกฎหมาย
โดยเป็นข้อมูลจากกรมกิจการผู้สูงอายุมากถึง 19.7 ล้านแถวข้อมูล
โดยณัฐพงษ์ระบุว่าข้อมูลที่หลุดครั้งนี้สะท้อนถึงเหตุที่เกิดขึ้นซ้ำๆ
มาโดยตลอด โดยเฉพาะในกรณีนี้เป็นข้อมูลที่น่ากังวลที่หลุดออกมาจากหน่วยงานภาครัฐ
ซึ่งปฏิเสธได้ยากว่าเป็นเรื่องของความบกพร่องในการบริหารจัดการข้อมูลประชาชนของภาครัฐ
จากสถิติในการแฮ็กข้อมูลและระบบ
ส่วนใหญ่เกิดขึ้นจากคนในที่แอบขโมยข้อมูลออกไปขายหรือใช้ช่องทางคนในในการเจาะระบบ
ซึ่งในส่วนนี้ค่อนข้างป้องกันได้ยาก
แต่จากที่ได้ติดตามข่าวข้อมูลรั่วไหลที่เกิดขึ้นในประเทศไทยมาโดยตลอด
ไม่ว่าจะเป็นเหตุการณ์ที่มีข้อมูลนักท่องเที่ยวหลุด หมายเลขบัตรประชาชนหลุด
หรือช่วงสถานการณ์โควิดที่มีการนำข้อมูลที่เกี่ยวข้องกับการจัดการโควิดของประชาชนออกมาขาย
เหตุการณ์เหล่านี้ไม่ได้เกิดขึ้นจากคนในทั้งหมด แต่เป็นปัญหาจากระบบที่มีช่องโหว่
และนโยบายในการจัดการเทคโนโลยีสารสนเทศหรือโครงสร้างพื้นฐานดิจิทัลภาครัฐที่ยังไม่ได้วางให้ถูกหลักการเท่าที่ควร
อย่างเช่น
แอปพลิเคชันหรือระบบดิจิทัลต่างๆ หลายส่วนในภาครัฐ
เวลารัฐจัดทำก็จะใช้วิธีการจัดซื้อจัดจ้างโดยให้ผู้รับเหมาดูแลทั้งหมด
ทั้งในระดับเซิร์ฟเวอร์ (server)
ระดับข้อมูล หรือในระดับแอปพลิเคชัน โดยรัฐไม่เข้าไปแตะเลย
วันดีคืนดีเกิดมีคนในของผู้รับเหมาเจ้านั้นแอบเอาข้อมูลออกไปขายหรือเจาะระบบก็ทำได้ง่ายมาก
เพราะข้อมูลทุกอย่างของภาครัฐและประชาชนอยู่กับทางผู้รับเหมาหมดเลย
ณัฐพงษ์กล่าวต่อไป
ว่าแม้รัฐบาลจะมีการประกาศนโยบาย cloud first policy หรือการทำให้ระบบเทคโนโลยีสารสนเทศขึ้นคลาวด์ให้หมดแล้ว
แต่ยังมีขั้นตอนของการบริหารจัดการที่ต้องวางกรอบในเรื่องของการจัดการความปลอดภัยไซเบอร์ให้รัดกุมยิ่งขึ้น
ในการให้ภาครัฐเป็นคนควบคุมข้อมูลและรักษาดูแลความปลอดภัยข้อมูลให้ประชาชน
ไม่ใช่ให้ผู้รับเหมาควบคุมได้ทุกอย่าง
หากเปรียบแอปพลิเคชันที่ใช้ในการทำงานภาครัฐหรือบริการออนไลน์ที่ให้ประชาชนลงทะเบียนเป็นเหมือนสำนักงานหนึ่งแห่ง
ปัจจุบันเมื่อภาครัฐหน่วยงานหนึ่งจะจัดทำแอปขึ้นมาก็จะจ้างผู้รับเหมาหนึ่งเจ้าไปขึ้นสำนักงานหลังใหม่
สมมติว่ามี 20
กระทรวงที่ทำแอปพลิเคชัน ก็เหมือนมีสำนักงานใหม่ขึ้นมา 20 หลัง
โดยที่ภาครัฐจะให้ผู้รับเหมาเป็นคนดูแลรักษาความปลอดภัยให้กับภาครัฐเลย
แต่อย่าลืมว่าในสำนักงานแต่ละหลังผู้รับเหมาที่รับช่วงต่อจากภาครัฐแต่ละเจ้าก็มีวิธีการจัดการคนละแบบ
20 เจ้าก็ 20 แบบ
วันดีคืนดีคนในของผู้รับเหมาเจ้านั้นแอบขโมยกุญแจเข้าตึกหลังนั้นแล้วไปขายต่อก็ได้
แต่หากเป็นการใช้
cloud
first policy จะเหมือนกับการที่รัฐตั้งตึกหลังใหม่เป็นศูนย์กลางแห่งเดียว
แล้วให้บรรดากระทรวงมาเช่าสำนักงานอยู่ในตึกนี้
เอาแอปพลิเคชันทุกชิ้นมากองอยู่ในคลาวด์ของภาครัฐ
ซึ่งไม่ได้หมายความว่าเซิร์ฟเวอร์จะต้องอยู่ที่เดียว
และไม่ได้หมายความว่าจะต้องมีผู้ให้บริการคลาวด์เพียงรายเดียวให้กับรัฐ
เพียงแต่ภาครัฐจะสามารถบริหารจัดการให้ทุกแอปพลิเคชันหรือทุกบริการดิจิทัลภาครัฐที่ให้บริการอยู่บนคลาวด์หลายๆ
ที่นั้น มีมาตรการในการรักษาความปลอดภัยแบบเดียวกัน
ภาครัฐสามารถจัดการได้อย่างรวมศูนย์ และมีหน้าที่ในการดูแลรักษาและวางมาตรการการรักษาความปลอดภัยได้เองทั้งหมด
นี่เป็นสถาปัตยกรรมระบบดิจิทัลของภาครัฐที่ตอนนี้หลายประเทศใช้อยู่
แต่ภาครัฐและภาคราชการไทยมักจะมีวิธีคิดว่าการเอาข้อมูลประชาชนและข้อมูลภาครัฐขึ้นคลาวด์แบบนี้ก็คือการเอาไปฝากไว้กับผู้ให้บริการข้างนอกแล้วรู้สึกไม่ปลอดภัย
แต่จริงแล้วไม่ใช่ นี่เป็นความเข้าใจผิด เพราะการขึ้นคลาวด์ รู้จักการใช้คลาวด์
และรู้จักการตั้งค่ารักษาความปลอดภัยให้เป็น
เป็นการรักษาความปลอดภัยได้ดียิ่งขึ้นมากกว่าวิธีการจัดซื้อจัดจ้างทำแอปพลิเคชันในปัจจุบันเสียอีก
ณัฐพงษ์ยังกล่าวต่อไป
ว่าขณะนี้ท่าทีที่รัฐบาลแถลงออกมาเรื่องนโยบายด้านดิจิทัลของประเทศยังค่อนข้างให้น้ำหนักกับการดึงเม็ดเงินจากต่างชาติมาลงทุนในการตั้ง
data
center ประมาณแสนกว่าล้านบาทเป็นหลัก
แต่รัฐควรจะมองให้ครอบคลุมเรื่องของความมั่นคงปลอดภัยไซเบอร์ด้วย
ซึ่งเรายังไม่ได้เห็นการแถลงออกมาจากทางกระทรวงดิจิทัลฯ
หรือทางรัฐบาลเองว่าจะมีการลงรายละเอียดในเรื่องนี้อย่างไร
เรื่องนี้มีความสำคัญกับการรักษาความปลอดภัยของประชาชนด้วย
เช่น การให้นักลงทุนต่างชาติมาตั้ง data center ในไทยอย่างเดียวไม่พอ
เมื่อจะนำบริการดิจิทัลภาครัฐไปขึ้นคลาวด์ที่มาตั้ง data center ในไทยแล้ว
สิ่งที่สำคัญกว่าคือมาตรการในการรักษาความปลอดภัยข้อมูลของประชาชนเป็นอย่างไร
ซึ่งจากการที่ตนอยู่ในคณะกรรมาธิการวิสามัญงบประมาณฯ
ได้เชิญหน่วยงานด้านดิจิทัลหลายหน่วยงานเข้ามาชี้แจง
พบว่ายังไม่มีความชัดเจนว่าตกลงในงบประมาณปี 2568-2569 ที่จะเริ่มมีการ migrate
ข้อมูลภาครัฐไปขึ้นคลาวด์ให้หมด
จะมีมาตรการรักษาความปลอดภัยไซเบอร์ในการปกป้องข้อมูลแบบไหน
ถ้าเป็นผู้ให้บริการคลาวด์ของไทยอยากเข้ามาให้บริการภาครัฐด้วยจะทำได้หรือไม่
ถ้าได้แล้วผู้ให้บริการจะต้องมีมาตรฐานความปลอดภัยขั้นต่ำอย่างไร ดังนั้น
ถ้ารัฐบาลอยากช่วยอุดช่องว่างและส่งสัญญาณเรื่อง cloud first policy รัฐบาลก็ควรออกมาแถลงความชัดเจนในเรื่องนี้
รวมทั้งเรื่องของความปลอดภัยไซเบอร์ด้วย
ณัฐพงษ์ยังระบุด้วยว่ากรณีแบบนี้คนที่เสียที่สุดก็คือประชาชน
พอข้อมูลออกไปแล้วสามารถถูกเอาไปขยายผล ทำซ้ำ ส่งต่อได้อีกไม่รู้จบ
นี่คือความน่ากลัวของเรื่องนี้ โดยที่เราไม่สามารถดึงข้อมูลกลับมาได้
รัฐบาลควรมีความชัดเจนในเรื่องนี้ ว่าตกลงเรื่องของสถาปัตยกรรมทางด้านดิจิทัลของประเทศที่มีความมั่นคงปลอดภัยทางไซเบอร์
และคุ้มครองข้อมูลของประชาชนควรจะมีหน้าตาแบบไหน
“เรื่องนี้ไม่ได้ทำยาก เพราะถ้าดูในหลายๆ
ประเทศที่โครงสร้างพื้นฐานทางด้านดิจิทัลของรัฐบาลใช้คลาวด์กันหมดแล้ว
ไม่ว่าจะเป็นสหรัฐอเมริกา อังกฤษ สิงคโปร์ ฯลฯ
แต่ละที่มีมาตรฐานเรื่องความมั่นคงปลอดภัยไซเบอร์หมดแล้ว
เขามีมาตรฐานไว้เลยว่าถ้ารัฐบาลจะเอาบริการดิจิทัลภาครัฐไปขึ้นคลาวด์
ผู้ให้บริการคลาวด์จะต้องมีมาตรฐานขั้นต่ำอย่างไร
เพราะฉะนั้นไม่ได้เป็นสิ่งที่ทำยาก รัฐบาลสามารถไปศึกษา เอามาปรับใช้
แล้วประกาศได้ทันทีเพื่อให้เกิดความชัดเจนในส่วนนี้
ประชาชนเองก็จะได้สบายใจด้วยว่าเรามีทิศทางในการรักษาความปลอดภัยข้อมูลที่ชัดเจนมากยิ่งขึ้น”
ณัฐพงษ์กล่าว
