thansettakij
thansettakij
การพบ Kill Switch ในรถบัสจีน บอกอะไรกับเรา?

การพบ Kill Switch ในรถบัสจีน บอกอะไรกับเรา?

15 พ.ย. 68 | 09:35 น.
อัปเดตล่าสุด :15 พ.ย. 68 | 09:57 น.

การพบ Kill Switch ในรถบัสจีน บอกอะไรกับเรา? คอลัมน์: The Hacker โดย: AFON Cyber

กดปุ่มเดียว รถบัสทั่วโลกอาจหยุดทำงาน ส่งผลอะไรและควรเตรียมรับมืออย่างไร การใช้เทคโนโลยีจากต่างชาติ ในยุคที่ geopolitics รุนแรง เราควรต้องคำนึงถึงอะไรบ้าง เพื่อความปลอดภัยของประชาชนและอธิปไตยทางไซเบอร์ของชาติ

 

นอร์เวย์ตรวจพบก่อน ทั้งยุโรปและออสเตรเลียเริ่มกังวล แล้วไทยหละ?

ช่วงปลายเดือนตุลาคม 2025 ผู้ให้บริการขนส่งมวลชนในออสโล ประเทศนอร์เวย์ (Ruter) ทดสอบรถบัสไฟฟ้าจีนยี่ห้อ Yutong แล้วพบว่า ผู้ผลิตมีสิทธิ์เข้าถึงระบบควบคุมรถระยะไกลผ่านเครือข่ายมือถือ สำหรับอัปเดตซอฟต์แวร์และวิเคราะห์ปัญหา และ “ในทางทฤษฎี” สามารถสั่ง “หยุดรถ” จากระยะไกลได้ด้วย

ผลคือ นอร์เวย์ต้องรีบถอดซิมการ์ดออกจากรถหลายร้อยคัน และเริ่มวางมาตรการไฟร์วอลล์เพื่อป้องกันการแฮ็กหรือคำสั่ง จากภายนอก

เคสนี้จุดประกายให้ประเทศอื่นในยุโรปเริ่มตรวจสอบรถบัส Yutong ในบ้านตัวเองทันที ทั้งเดนมาร์ก อังกฤษ และออสเตรเลีย

Kill switch คืออะไร?

Kill switch คือความสามารถในการ “สั่งปิด/หยุดรถจากระยะไกล” โดยผ่านการเชื่อมต่อเครือข่าย เช่น OTA (over-the-air), telematics หรือแพลตฟอร์มของผู้ผลิต ทั้งหมดนี้ถูกออกแบบมาเพื่อการบำรุงรักษาและความปลอดภัย แต่หากไม่มีการ กำกับดูแลที่ดี ก็จะกลายเป็นความเสี่ยงด้านความมั่นคงระดับประเทศได้ เพราะระบบขนส่งมวลชนสาธารณะ ถือเป็นหนึ่งในโครงสร้างพื้นฐานสำคัญของประเทศ (National Critical Infrastructure : CI) ดังนั้นระบบดิจิทัลต่างๆ ที่เกี่ยวข้องก็ถือเป็น Critical Information Infrastructure หรือ CII ด้านการขนส่งและโลจิสติกส์ ตามพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

 

ประโยชน์ของ Kill switch

ต้องยอมรับว่า “ฟีเจอร์แบบ kill switch” ไม่ใช่ของจีนประเทศเดียว และไม่ได้มีแต่ด้านร้ายเสมอไป ถ้าถูกออกแบบและกำกับอย่างโปร่งใส จะมีประโยชน์หลายด้าน เช่น

1. ความปลอดภัยกรณีฉุกเฉิน

o ถ้าพบความผิดปกติร้ายแรง เช่น แบตเตอรี่เสี่ยงลุกไหม้ ระบบอาจสั่งหยุดรถหรือจำกัดกำลังเพื่อป้องกันอุบัติเหตุ

2. ป้องกันการโจรกรรม / รถถูกยึดควบคุม

o รถเชิงพาณิชย์บางประเภทมีระบบปิดรถเมื่อถูกขโมย หรือลูกค้าผ่อนแล้วไม่จ่าย (อันนี้ก็มีประเด็นด้านจริยธรรมตามมา)

3. บำรุงรักษาระยะไกล ลด Downtime

o ผู้ผลิตสามารถดู log, วิเคราะห์ปัญหา และส่งแพตช์แก้บั๊กได้รวดเร็ว

4. บริหารจัดการฝูงรถอย่างมีประสิทธิภาพ

o ใช้ข้อมูลจากรถในการวางแผนเส้นทาง ชาร์จไฟ ซ่อมบำรุง ฯลฯ

 

ดังนั้น “การควบคุมจากระยะไกล” ไม่ใช่เรื่องผิดโดยตัวมันเอง ปัญหาอยู่ที่ว่า ใครควบคุม, ภายใต้กฎอะไร, และใครตรวจสอบได้บ้าง

logo

ข่าวที่เกี่ยวข้อง

“นิ่วในถุงน้ำดี” ก้อนหินในพุงที่หญิงสูงวัยต้องระวังเป็นพิเศษ!
“นิ่วในถุงน้ำดี” ก้อนหินในพุงที่หญิงสูงวัยต้องระวังเป็นพิเศษ!
03 เม.ย. 2569 | 23:30 น.
จิตเคลมบุ้ค บำรุง สุขเซฟฮาร์ท ฉากที่ 8
จิตเคลมบุ้ค บำรุง สุขเซฟฮาร์ท ฉากที่ 8
03 เม.ย. 2569 | 23:30 น.
วิกฤตพลังงาน-ปากท้อง โจทย์หินรัฐบาลอนุทิน 2
วิกฤตพลังงาน-ปากท้อง โจทย์หินรัฐบาลอนุทิน 2
03 เม.ย. 2569 | 23:20 น.
เมื่อ “เศรษฐกิจดอกไม้” เติบใหญ่และเบ่งบานในจีน (จบ)
เมื่อ “เศรษฐกิจดอกไม้” เติบใหญ่และเบ่งบานในจีน (จบ)
03 เม.ย. 2569 | 23:00 น.
สืบทอดกิจการอย่างไรไม่ให้สะดุด ในวันที่ AI กำลังเปลี่ยนโลกธุรกิจ
สืบทอดกิจการอย่างไรไม่ให้สะดุด ในวันที่ AI กำลังเปลี่ยนโลกธุรกิจ
03 เม.ย. 2569 | 22:14 น.

ความเสี่ยงของ Kill switch

ด้านมืดของ kill switch และการเข้าถึงรถจากระยะไกลมีหลายชั้น ตั้งแต่ระดับเทคนิคจนถึงระดับภูมิรัฐศาสตร์:

1. Single Point of Failure ระดับชาติ

o ถ้ารถบัสในเมือง/ประเทศพึ่งพาผู้ผลิตต่างชาติที่สามารถสั่งหยุดรถได้ ระบบขนส่งสาธารณะทั้งเมืองอาจล่มในวันเดียว

o หากเกิดความขัดแย้งทางการเมือง การค้า หรือสงคราม เงื่อนไขนี้กลายเป็น “เครื่องมือกดดัน” ทันที

2. ช่องทางให้แฮกเกอร์ใช้โจมตี

o ถ้าระบบ remote access ออกแบบไม่ดี หรือมีช่องโหว่ ก็เปิดประตูให้แฮกเกอร์เข้าควบคุมรถแทนผู้ผลิตได้

o นอร์เวย์เองก็ชี้ประเด็นนี้ว่า “ไม่ใช่แค่ผู้ผลิตที่อาจปิดรถได้ แต่แฮกเกอร์ก็อาจใช้ช่องนี้ด้วย”

3. ความไม่โปร่งใสของซอฟต์แวร์และข้อมูล

o หากโค้ดเป็น proprietary ทั้งหมด อยู่ในเซิร์ฟเวอร์ต่างประเทศ ไม่มี SBOM (Software Bill of Materials) และไม่มีการตรวจสอบจากหน่วยงานอิสระ ประเทศปลายทางแทบไม่รู้เลยว่ามีอะไรอยู่ในนั้น

4. อำนาจต่อรองของผู้ผลิตเหนือผู้ให้บริการ

o ถ้า “จะซ่อม/อัปเดต ต้องผ่านเซิร์ฟเวอร์เราที่ต่างประเทศเท่านั้น” ผู้ให้บริการในประเทศปลายทางจะเสียอำนาจต่อรองทันที ทั้งด้านราคาและเงื่อนไข

 

สิ่งที่ควรจะเป็น

ถ้าเรายอมรับว่ารถสมัยใหม่ จำเป็น ต้องเชื่อมต่อออนไลน์และมี OTA, telematics ฯลฯ สิ่งที่ควรเรียกร้องคือ สถาปัตยกรรมและกฎเกณฑ์ที่ปกป้องอธิปไตยด้านดิจิทัลของประเทศ เช่น

1. หลักการด้านสถาปัตยกรรมเทคนิค

o ทางเทคนิค อาจมี ความสามารถปิดรถระยะไกลได้ แต่:

 ต้องมี การควบคุมระดับสิทธิ์ (access control) ชัดเจน ว่าใครสั่งอะไรได้บ้าง

 ต้องมี logging และ audit trail ที่คนในประเทศตรวจสอบย้อนหลังได้

 ต้องมี Fail-safe mode – ถ้าระบบสื่อสารภายนอกถูกตัด รถควรเข้าสู่โหมดปลอดภัยแต่ไม่หยุดทั้งระบบอย่างไร้เหตุผล

 ควรแยกเครือข่าย IT (ข้อมูล/เทเลเมติกส์) กับ OT/Vehicle Control (ระบบควบคุมตัวรถ) ตามแนวคิด IEC 62443 สำหรับระบบ OT/ICS

2. มาตรฐานและกรอบกำกับที่ควรอ้างอิง

o ISO/SAE 21434 (Road vehicles – cybersecurity engineering) และข้อกำหนดอย่าง UNECE R155/R156 ที่บังคับใช้ในยุโรปสำหรับยานพาหนะเชื่อมต่อ

o แนวทาง IEC 62443 สำหรับระบบอุตสาหกรรม/โครงสร้างพื้นฐานสำคัญ ซึ่งควรประยุกต์ใช้กับระบบควบคุมฝูงรถไฟฟ้าเชื่อมต่อเครือข่าย

o การจัดทำ SBOM (Software Bill of Materials) เพื่อให้รัฐและผู้ประกอบการเห็นส่วนประกอบซอฟต์แวร์ที่ใช้ในระบบว่ามีอะไรบ้าง ลดความเสี่ยง supply chain attack

3. ข้อกำหนดเชิงนโยบาย

o ฟังก์ชันที่เทียบได้กับ kill switch ต้อง:

 ได้รับความยินยอมและรับรู้จากผู้ให้บริการในประเทศ

 อยู่ภายใต้กฎหมายและการกำกับดูแลของรัฐปลายทาง

 มีช่องทางให้รัฐสั่ง “ปิดการเข้าถึงจากต่างประเทศ” ได้ หากจำเป็น

 

มุมมองด้านอธิปไตยไซเบอร์ (Cyber Sovereignty)

อธิปไตยไซเบอร์ (Cyber Sovereignty) คือความสามารถของประเทศในการ

• ควบคุม

• ปกป้อง

• กำหนดกติกา

เหนือระบบดิจิทัลที่มีผลต่อความมั่นคง การเศรษฐกิจ และสังคมของตนเอง

 

กรณีรถบัสจีนมี kill switch สะท้อนว่า:

1. โครงสร้างพื้นฐานที่ดูเป็นทาง “กายภาพ” จริงๆ ก็ผูกติดกับซอฟต์แวร์และคลาวด์ต่างชาติ

o รถบัสไฟฟ้า กลายเป็น “อุปกรณ์ IoT ขนาดใหญ่บนล้อ” ที่ต้องคุยกับคลาวด์ของผู้ผลิตตลอดเวลา

2. โครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ถูก outsource ความสามารถด้านไซเบอร์ไปต่างประเทศ

o การ patch, การวิเคราะห์ปัญหา, การควบคุมความปลอดภัย อยู่ในมือคน/บริษัทที่อยู่นอกเขตอำนาจศาลของประเทศ

3. เมื่อภูมิรัฐศาสตร์ (geopolitics) ร้อนแรง ความเสี่ยงก็พุ่ง

o ถ้าเกิดความตึงเครียดทางการเมืองหรือเศรษฐกิจ การที่โครงสร้างพื้นฐานสำคัญของเรามี “สวิตช์” อยู่ที่อีกประเทศหนึ่ง คือจุดอ่อนเชิงยุทธศาสตร์อย่างชัดเจน

 

กล่าวง่าย ๆ คือ ถ้าคุณควบคุมโค้ดและเครือข่ายของเขา คุณก็มี leverage เหนือเขา นี่คือแก่นของปัญหาอธิปไตยไซเบอร์ที่กรณีนี้ทำให้คนทั้งโลกตื่นตัวมากขึ้น

 

หน่วยงานภาครัฐไทยควรทำอะไร?

1 ระบุหน่วยงานหลักที่ต้องขยับ

• กระทรวงคมนาคม

o วางนโยบายและออกหลักเกณฑ์ด้าน “ความมั่นคงไซเบอร์ของยานพาหนะสาธารณะ”

• กรมการขนส่งทางบก (ขบ.)

o ผูกข้อกำหนดไซเบอร์เข้ากับระบบจดทะเบียนและการอนุมัติแบบรถ (type approval)

• หน่วยงานเจ้าของ/ผู้ให้บริการรถบัส

o เช่น ขสมก., องค์กรขนส่งภูมิภาค, เอกชนผู้ถือสัมปทาน

• สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSA)

o เป็นแกนกลางด้านมาตรฐานและการประเมินความเสี่ยงไซเบอร์ของโครงสร้างพื้นฐานสำคัญ

• กสทช. และผู้ให้บริการเครือข่ายมือถือ

o เพราะ “สายสั่งการ” ที่ใช้ kill switch หรือ remote control ส่วนใหญ่วิ่งผ่านเครือข่ายโทรคมนาคม

 

2 สิ่งที่ควรดำเนินการอย่างเป็นระบบ

(1) ทำ Security Assessment รถบัสที่ใช้งานอยู่ทันที

• ตรวจสอบยี่ห้อ/รุ่นรถบัสที่ใช้อยู่ทั้งหมด โดยเฉพาะรถไฟฟ้าและรถที่มีระบบเชื่อมต่อ

• ขอเอกสารจากผู้นำเข้า/ผู้ผลิต เช่น

o สถาปัตยกรรมระบบเครือข่ายและการเชื่อมต่อคลาวด์

o รายละเอียด OTA / Remote diagnostics

o SBOM คร่าว ๆ สำหรับระบบหลัก

• มอบหมายให้ทีมเทคนิค (ร่วมกับ NCSA / มหาวิทยาลัย / ห้องปฏิบัติการอิสระ) ทำ penetration testing และ security audit โดยเน้น

o ช่องทาง remote control ทุกชนิด

o ความเป็นไปได้ของ “remote disable”

o การป้องกันแฮ็กเกอร์ภายนอก

 

(2) กำหนดหลักเกณฑ์ใหม่สำหรับรถที่จะนำเข้าในอนาคต

• รถทุกคันที่มีการเชื่อมต่อ network ต้องปฏิบัติตาม

o แนวทางของ ISO/SAE 21434, UNECE R155/R156 สำหรับ cybersecurity ของยานยนต์

o นำหลักการของ IEC 62443 มาใช้กับโครงสร้างควบคุมฝูงรถ (ถือเป็น OT/ICS)

• บังคับใช้มาตรการขั้นต่ำ เช่น

o multi-factor authentication สำหรับ access จากผู้ผลิต

o การเข้ารหัสและแยกเครือข่ายอย่างถูกต้อง

o มี option ให้ “ปิด remote access จากต่างประเทศ” ในกรณีฉุกเฉิน

 

(3) เจรจากับผู้ผลิต/ผู้นำเข้าเรื่อง “อำนาจควบคุม”

• กำหนดในสัญญาว่า:

o การปิดรถจากระยะไกลต้องทำผ่านศูนย์ควบคุมในไทย (หรืออย่างน้อยต้องมีการยืนยันจากหน่วยงานที่ไทยกำหนด)

o ข้อมูล log ที่เกี่ยวกับคำสั่งควบคุมต้องถูกเก็บในระบบที่หน่วยงานไทยตรวจสอบได้

o หากเกิดเหตุด้านภูมิรัฐศาสตร์ ไทยสามารถตัดการเชื่อมต่อกับเซิร์ฟเวอร์ต่างประเทศได้โดยไม่ทำให้รถหยุดทำงานทั้งหมด

 

(4) จัดทำ “นโยบายอธิปไตยไซเบอร์ในภาคขนส่ง”

• มองเลยไปถึงระบบอื่นๆ เช่น

o รถไฟฟ้า, รถไฟความเร็วสูง, ระบบสัญญาณจราจรอัจฉริยะ, Smart City

• วางหลักการร่วม:

o ควบคุมข้อมูล (data sovereignty)

o ควบคุมโค้ด (software sovereignty)

o ควบคุมการเข้าถึงระยะไกลของผู้ผลิตต่างชาติ

 

(5) สื่อสารกับสาธารณะอย่างโปร่งใส

• อธิบายให้ประชาชนเข้าใจว่า

o รถที่ใช้อยู่ตอนนี้ปลอดภัยแค่ไหน

o มีแผนตรวจสอบ/ลดความเสี่ยงอย่างไร

• จุดนี้สำคัญเพราะหากสื่อสารผิด อาจทำให้ประชาชนตื่นตระหนกกับ “รถจีนทุกคัน” เกินจริง ในขณะที่ปัญหาจริงคือ “โครงสร้างการควบคุมและข้อตกลงด้านไซเบอร์”

ประเทศไทยใช้รถบัสยี่ห้อเดียวกันหรือไม่?

- ไทยนำเข้ารถบัส Yutong แล้ว และมีใช้งานในหลายพื้นที่

- มีตัวแทนจำหน่ายอย่างเป็นทางการในประเทศไทย

- ยังไม่มีข้อมูลยืนยันว่าระบบเชื่อมต่อเหมือนกับรุ่นที่ตรวจพบในนอร์เวย์หรือไม่

- จำเป็นต้องมีการตรวจสอบระดับเทคนิคโดยด่วน

 

ข้อเสนอแนะต่อหน่วยงานภาครัฐ

(1) ตรวจสอบความมั่นคงไซเบอร์รถบัสที่ใช้อยู่ในปัจจุบัน

(2) ออกหลักเกณฑ์ด้าน cybersecurity สำหรับรถที่นำเข้าในอนาคต

(3) กำหนดสัญญาควบคุมสิทธิ์การเข้าถึงระบบโดยผู้ผลิต

(4) จัดทำ “นโยบายอธิปไตยไซเบอร์ในภาคขนส่ง”

(5) สื่อสารความปลอดภัยต่อประชาชนอย่างโปร่งใส

 

สรุป

กรณี kill switch ไม่ได้เป็นประเด็นแค่ในมิติเทคนิคเท่านั้น แต่สะท้อนความท้าทายต่ออธิปไตยไซเบอร์ของประเทศไทย และทุกประเทศที่พึ่งพาเทคโนโลยีจากต่างชาติ ภาครัฐไทยควรเร่งตรวจสอบ วางมาตรการ และกำหนดมาตรฐานเพื่อป้องกัน ความเสี่ยงเชิงระบบในอนาคต ของทุกระบบสำคัญไม่ใช่แค่ในระบบขนส่งเท่านั้นและจากทุกประเทศไม่ใช่เพียงแค่จากประเทศจีนเท่านั้น

  • แท็กที่เกี่ยวข้อง
  • Kill Switch