สะเทือนทั้งแผ่นดิน! ภาคประชาชนบุกสภาฯ แฉระบบหน่วยงานรัฐ (คาดกระทรวงสาธารณสุข) ล้มเหลวเชิงระบบ ทำข้อมูลดิบหลุดถึงมือมิจฉาชีพครบชุดยัน “ชื่อพ่อแม่” ชี้อุดแต่ปลายทางไล่จับบัญชีม้า แต่ปล่อยต้นทางรั่วซ้ำซาก ด้าน กมธ.ดีอี เต้นผาง เด้งรับสั่งเรียกสอบด่วนสัปดาห์หน้า
วันที่ 10 มิ.ย.69 ที่รัฐสภา ภาคประชาชน นำโดย นายธนารัตน์ กัววัฒนาพันธ์ CEO ของ Domecloud ผู้เชี่ยวชาญด้านซอฟต์แวร์ และเทคโนโลยี blockchain ได้ยื่นหนังสือต่อนายอลงกต มณีกาศ สส.นครพนม พรรคภูมิใจไทย ในฐานะประธานคณะกรรมาธิการ (กมธ.) การสื่อสาร โทรคมนาคม และดิจิทัลเพื่อเศรษฐกิจและสังคม สภาผู้แทนราษฎร เพื่อขอให้ตรวจสอบหน่วยงานรัฐที่ทำข้อมูลประชาชนรั่วไหล
โดยนายธนารัตน์ กล่าวว่า ระบบดังกล่าวสามารถค้นข้อมูลด้วยเลขประจำตัวประชาชน ชื่อนามสกุลซึ่งง่ายมากในการใช้ชื่อนามสกุลสืบค้น โดยจะได้ข้อมูลออกมาหลายเรื่อง เช่น เลขบัตรประชาชน วันเกิด ที่อยู่ตามทะเบียนบ้าน สิทธิ์การรักษาพยาบาล โดยเฉพาะข้อมูลบิดามารดา ตนได้จัดทำรายงานตรวจพบช่องโหว่ของระบบส่งให้หน่วยงานต้นสังกัดเป็นครั้งที่สองในปีนี้ โดยประเมินว่าเป็นความรุนแรงในระดับวิกฤต
“นี่ไม่ใช่ข้อผิดพลาดที่เล็กน้อย เพราะก่อนหน้านี้ผมเคยแจ้งเหตุเกี่ยวกับฐานข้อมูลชุดเดียวกันรั่วไหลมาแล้ว เมื่อเดือนมีนาคม แม้ช่องโหว่ ครั้งก่อนและครั้งนี้จะเป็นคนละระบบและใช้คนละเทคนิค เพื่อเข้าถึงข้อมูลตามฐานข้อมูล โดย 2 ครั้งนี้ เป็นฐานข้อมูลเดียวกันหรือเกี่ยวข้องกัน สะท้อนถึงความล้มเหลวเชิงระบบในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล จากข้อมูลล่าสุดที่เผยแพร่โดยหน่วยงานดังกล่าว ครอบคลุมประชากรประมาณ 67.1 ล้านคน ถือว่าเยอะมาก น่าจะกระทบแทบทุกคน“ นายธนารัตน์ กล่าว
นายธนารัตน์ กล่าวต่อว่า การประเมินเบื้องต้นของตน คือประชาชนทั้งหมดที่อยู่ในฐานข้อมูลนั้นมีความเสี่ยง เรื่องนี้จึงไม่ใช่ปัญหาของคนกลุ่มเล็ก แต่เป็นความเสี่ยงระดับประเทศ หน่วยงานดังกล่าวต้องเปิดเผยจำนวนผู้ได้รับผลกระทบ รวมถึงต้องแจ้งเตือนทุกครั้งที่เกิดขึ้นกับประชาชนให้รับทราบ เนื่องจากพบข้อมูลการซื้อขายในตลาดมืดเรียบร้อยแล้ว ขอเรียกร้องให้หน่วยดังกล่าวเปิดเผยทันทีว่ามีประชาชนกี่รายที่ได้รับผลกระทบแล้วและต้องชี้แจงด้วยว่านับจากเหตุรั่วไหลเมื่อเดือนมีนาคม ได้แจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้วหรือไม่ เนื่องจากตามกฎหมายต้องแจ้งภายใน 72 ชั่วโมง
นายธนารัตน์ ย้ำว่า ข้อมูลส่วนบุคคลที่รั่วไหลคือข้อมูลดิบสำคัญของแก๊งคอลเซ็นเตอร์ ที่ผ่านมา รัฐให้ความสำคัญกับการปราบล้างบัญชีม้า แต่บัญชีม้าคือปลายทาง ก่อนจะถูกหลอก มิจฉาชีพต้องมีข้อมูลประชาชนก่อน ถ้าต้องการแก้ปัญหากันคอลเซ็นเตอร์อย่างยั่งยืน ต้องแก้ที่ต้นทางคือตัวเราเอง ต้องหยุดทำข้อมูลประชาชนรั่วไหล ข้อมูลเหล่านี้ทำให้มิจฉาชีพเลือกทำให้เหยื่อเชื่อได้ง่ายยิ่งขึ้น ประชาชนมีสิทธิ์รู้ว่าข้อมูลของตนเองปลอดภัยหรือไม่ หากเกิดความเสี่ยง ควรต้องแจ้งเยียวยาและถูกตรวจสอบอย่างโปร่งใส
โดยนายอลงกต กล่าวว่า คณะกรรมาธิการการสื่อสารโทรคมนาคม และดิจิทัลเพื่อเศรษฐกิจและสังคม สส. ถือว่าข้อมูลนี้เป็นข้อมูลที่สำคัญ เป็นข้อมูลความปลอดภัยส่วนบุคคล เพราะเมื่อรั่วไหลออกไปแล้วจะเกิดปัญหาในหลายด้าน โดยเฉพาะอย่างยิ่งที่น่ากลัว คือเรื่องสแกมเมอร์ โดยคณะกรรมาธิการฯ จะเชิญหน่วยงานที่เกี่ยวข้องเข้ามาชี้แจงเพื่อหาข้อเท็จจริงภายในสัปดาห์หน้า
ทั้งนี้ เบื้องต้นที่คณะกรรมาธิการการสื่อสารโทรคมนาคมฯ ให้ความสำคัญ คือการยกระดับมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนให้มีประสิทธิภาพมากขึ้น ,สร้างมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ของหน่วยงานภาครัฐ ภาคเอกชนโดยจะเน้นหนักไปที่ภาครัฐ ,การกำหนดกลไกการแจ้งเตือน การเยียวยาผู้เสียหายจากข้อมูลรั่ว และการบูรณาการกับหน่วยงานที่เกี่ยวข้อง เพื่อให้การป้องกันปราบปรามภัยทางไซเบอร์ให้ทันต่อสถานการณ์ และการสร้างความรู้เท่าทันดิจิทัล และการตระหนักด้านการปกป้องข้อมูลส่วนบุคคลให้กับประชาชนทั่วไป
นายอลงกต ยืนยันว่า คณะกรรมาธิการ ฯจะทำหน้าที่ตรวจสอบติดตาม และเสนอแนะแนวทางเชิงให้กับหน่วยงานที่เกี่ยวข้องอย่างเต็มกำลัง เพื่อให้ประชาชนสามารถใช้เทคโนโลยีดิจิตอลได้อย่างมั่นใจ ปลอดภัย และได้รับการคุ้มครองสิทธิ์อย่างเหมาะสม
ด้านนายภาวุธ พงษ์วิทยภานุ สส.บัญชีรายชื่อ พรรคประชาชน ในฐานะกรรมาธิการการสื่อสารโทรคมนาคมฯ กล่าวว่า เหตุการณ์ข้อมูลรั่วไหลไม่ใช่ครั้งแรก แต่เกิดขึ้นมาโดยตลอดและบ่อยมากที่ข้อมูลภาครัฐรั่วไหล ซึ่งน้อยครั้งมากที่หน่วยงานภาครัฐจะออกมารับผิดชอบ ออกมาทำตามกระบวนที่กฎหมายมีอยู่แล้ว โดยเรื่องนี้ กมธ.จะทำให้เป็นระบบเพื่อส่งสัญญาณเตือนหน่วยงานภาครัฐที่เก็บข้อมูลของประชาชนเอาไว้ หลายหน่วยงานปล่อยปะละเลย ไม่ให้ความสำคัญกับการเก็บรักษาข้อมูลอย่างดี ทำให้วันนี้เรามีแฮ็คเกอร์ ที่สามารถเจาะข้อมูลและนำมาขายในตลาดมืด ซึ่งในราคาขาย ไม่ใช่หลักแสนหลักล้าน แต่แค่หลักสิบ ทำให้ข้อมูลกระจาย และสแกมเมอร์ มิจฉาชีพ ก็เอาข้อมูลเหล่านี้ไปต่อยอด เราอยากส่งเสียงไปยังหน่วยงานภาครัฐให้ตรวจสอบ แล้วจะเชิญหน่วยงานที่เกี่ยวข้องมาให้ข้อมูลกับ กรรมาธิการฯ ว่าเกิดอะไรขึ้น พร้อมจะทำหน้าที่ร่วมกับหน่วยงาน เราจะปลุกความตระหนักของหน่วยงานภาครัฐที่ต้องรับผิดชอบ รักษาข้อมูลของประชาชนได้ดีที่สุด
ขณะที่นางการดี เลียวไพโรจน์ สส. บัญชีรายชื่อ พรรคประชาธิปัตย์ ในฐานะกรรมาธิการการสื่อสารโทรคมนาคมฯ กล่าวว่า เท่าที่ทราบข้อมูลนี้ถือเป็นข้อมูลที่อ่อนไหวถือว่าเป็น Sensitive Data ในความหมายของ PDPA ตั้งแต่ต้น ในฐานะกรรมาธิการฯ พร้อมสนับสนุนในการดำเนินการครั้งนี้ให้มีการตรวจสอบเรื่องกรอบของกฎหมาย วิธีการการทำงานและที่สำคัญคือสิทธิ์ของประชาชนที่ต้องรับรู้ว่าสิทธิ์และข้อมูลรั่วไหลมากแค่ไหน เพื่อประโยชน์ป้องกันตนเอง ขณะเดียวกันการใช้กฎหมายของภาครัฐเองต้อง เข้มข้น เข้มแข็งมากกว่านี้ เพราะเรากำลังเข้าสู่เศรษฐกิจ Ai เศรษฐกิจดิจิตอลเรื่องนี้ถือเป็นพื้นฐานสำคัญ
เมื่อถามว่าพอจะระบุให้แคบลงได้หรือไม่ว่าเป็นหน่วยงานไหนที่ทำข้อมูลรั่วไหล นายธนารัตน์ กล่าวว่าเป็นหน่วยงานเกี่ยวกับสิทธิ์เรื่องสุขภาพ ผู้สื่อข่าวจึงถามย้ำว่า ใช่กระทรวงสาธารณสุขหรือไม่ นายธนารัตน์ กล่าวว่า “น่าจะชัดมากแล้วนะครับ”
