ข่าวสาร

เรื่องราวนี้เริ่มต้นจากผู้เชี่ยวชาญด้าน IT ภาคเอกชนแห่งหนึ่ง เปิดเผยว่า ระบบตรวจสอบรายละเอียดผู้มีสิทธิเลือกตั้งบางส่วน มีช่องโหว่ที่เปิดโอกาสให้บุคคลทั่วไปสามารถเข้าถึงและดึงข้อมูลจำนวนมหาศาลออกไปได้โดยไม่ยากนัก
สิ่งที่น่ากังวลยิ่งกว่านั้น คือข้อมูลรายชื่อผู้มีสิทธิเลือกตั้งที่เพิ่งหลุดออกมา ถูกนำไปผสานกับฐานข้อมูลเดิมที่เคยรั่วไหลก่อนหน้า จนกลายเป็นชุดข้อมูลขนาดใหญ่ที่มีรายละเอียดลึกถึงระดับชื่อ–นามสกุล ที่อยู่ ชื่อบิดามารดา และข้อมูลเกี่ยวกับหน่วยเลือกตั้งของแต่ละบุคคล และข้อมูลที่ควรได้รับการปกป้องอย่างเข้มงวด กลับถูกนำไปซื้อขายกันในกลุ่มลับด้วยราคาหลักร้อยบาทเท่านั้น

ลองจินตนาการว่า ข้อมูลส่วนบุคคลของคุณทั้งชื่อ นามสกุล ที่อยู่ ชื่อพ่อ-แม่ รวมถึงรายละเอียดเกี่ยวกับการใช้สิทธิเลือกตั้ง อาจกำลังถูกส่งต่อและซื้อขายอยู่โดยที่คุณไม่เคยรับรู้เลยแม้แต่น้อย

ช่องโหว่ที่เปิดประตูให้อาชญากร

จากมุม IT Audit เห็นช่องโหว่หลายจุดที่เชื่อมโยงกัน

1. ระบบที่ไม่มีมาตรการรักษาความปลอดภัย

ระบบตรวจสอบรายละเอียดผู้มีสิทธิเลือกตั้งอาจขาดมาตรการความมั่นคงปลอดภัยทางไซเบอร์มาควบคุม ซึ่งหมายความว่า อาจขาดการสอบทาน Rate Limiting, CAPTCHA, การตรวจจับพฤติกรรมผิดปกติ ทำให้ใครก็เข้าถึงได้ง่ายๆ

2. ข้อมูลที่เชื่อมโยงกันได้

บาร์โค้ดบนบัตร + ลำดับที่ในต้นขั้ว + ระบบตรวจสอบสิทธิ์ออนไลน์ ทั้ง 3 อย่างนี้สามารถเชื่อมโยงกันได้ และเมื่อมีคนได้ Database ไปแล้ว ก็สามารถวิเคราะห์ข้อมูลเพิ่มเติมได้อย่างง่ายดาย

3. ตลาดมืดที่พร้อมรับซื้อ

ข้อมูลถูกขายในกลุ่มซื้อขายข้อมูลในราคาหลักร้อยบาท นี่แสดงว่ามีตลาดรองรับอยู่แล้ว และข้อมูลนี้อาจถูกนำไปใช้ในทางที่ผิด เช่น
• ส่งข้อความขายของหลอกลวง (เพราะรู้ชื่อ-ที่อยู่)
• สวมรอยตัวตนเพื่อกู้เงิน (เพราะรู้ชื่อพ่อ-แม่)
• วิเคราะห์พฤติกรรมทางการเมือง
• ขายต่อให้นักการตลาดหรือพรรคการเมือง

บทเรียนสำคัญสำหรับทุกองค์กร

บทเรียนจากเหตุการณ์นี้ ทุกองค์กรต้องกลับมาสำรวจตนเองแล้วว่ามีโอกาสหรือไม่? ที่กระบวนการจัดการข้อมูลส่วนบุคคลของเรามีโอกาสถูกละเมิด

1. อย่าประมาทระบบออนไลน์ที่เปิดให้สาธารณะเข้าถึง ระบบตรวจสอบสิทธิ์เลือกตั้งเป็นระบบที่คนทั้งประเทศเข้าถึงได้ แต่กลับไม่มีมาตรการป้องกันการ Scraping หรือดูดข้อมูลออกมาเป็นชุดใหญ่ องค์กรควร

• ติดตั้ง Rate Limiting (จำกัดจำนวนครั้งที่เข้าถึงต่อ IP)
• ใช้ CAPTCHA ป้องกัน Bot
• ตรวจจับและบล็อก IP ที่มีพฤติกรรมผิดปกติ

2. มีแผนรับมือเมื่อข้อมูลรั่วไหล การป้องกันอย่างเดียวไม่เพียงพอ เพราะเมื่อข้อมูลถูกดึงออกไปแล้ว ความเสียหายจะยังคงอยู่ องค์กรจึงต้องมี Incident Response Plan ที่พร้อมใช้งานจริง เพื่อให้สามารถ

• ตรวจจับการรั่วไหลได้เร็ว
• แจ้งเตือนผู้ที่ได้รับผลกระทบอย่างทันท่วงที
• ดำเนินมาตรการลดผลกระทบและควบคุมสถานการณ์ได้ทันเวลา

3. ตรวจสอบก่อนเปิดใช้จริง โดยควรมีขั้นตอนสำคัญ ได้แก่

• การทำ Data Privacy Impact Assessment (DPIA)
• การทดสอบเจาะระบบ (Penetration Testing) โดยผู้เชี่ยวชาญ
• การประเมินโดยผู้เชี่ยวชาญอิสระ เพื่อให้มองเห็นความเสี่ยงในมุมที่องค์กรอาจมองไม่เห็น

การรั่วไหลข้อมูลครั้งนี้เตือนเราว่า ไม่ว่าจะเป็นหน่วยงานรัฐหรือเอกชน การจัดการข้อมูลส่วนบุคคลต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวด มี IT Audit ที่อิสระ และมีแผนรับมือเมื่อเกิดเหตุ เพราะเมื่อข้อมูลรั่วไหลไปแล้ว จะเรียกคืนไม่ได้ และผลกระทบอาจทำลายชีวิตของคนนับล้านได้

บริษัท ตรวจสอบภายในธรรมนิติ จำกัด ให้บริการตรวจสอบภายใน (Internal Audit) และ IT Audit มากว่า 20 ปี พร้อมประเมินระบบควบคุมภายในและความเสี่ยงด้านข้อมูลส่วนบุคคล หากต้องการผู้เชี่ยวชาญช่วยตรวจสอบช่องโหว่ก่อนที่จะกลายเป็นวิกฤต ติดต่อ โทร. 02-596-0500 ต่อ 327 หรือ www.dir.co.th

อ้างอิง: thairath.co.th, matichon.co.th, naewna.com