“ชัยวุฒิ”เผยรู้ตัวแฮกเกอร์ 9near แล้ว เป็นคนไทย เตรียมรวบตัวเร็วๆนี้
“ชัยวุฒิ”เผยใกล้ได้ตัวแฮกเกอร์ 9near แล้ว ระบุเป็นคนไทย ตั้งใจดิสเครดิต หน่วยงานรัฐ กำชับดูแลผู้เสียหายจาก 9near และเร่งใช้ Digital ID
นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวถึงกรณี ผู้ใช้งานบัญชี “9near” ที่อ้างว่ามีข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านราย บนเว็บไซต์ Bleach Forums ว่า ขณะนี้ใกล้ได้ตัวคนร้ายแล้ว คาดว่าทางตำรวจไซเบอร์จะแถลงข่าวการจับกุมเร็วๆนี้ ซึ่งแฮกเกอร์ตั้งใจดิสเครดิต หน่วยงานรัฐ และเป็นคนไทย ส่วนหน่วยงานรัฐที่ทำข้อมูลหลุดกำลังอยู่ระหว่างการตรวจสอบเส้นทาง
เนื่องจากข้อมูลที่หลุดเป็นข้อมูลที่หลายหน่วยงานมีได้ โดยเฉพาะหน่วยงานที่ให้ประชาชนลงทะเบียน และประกาศรายชื่อบนเว็บไซต์ ซึ่งเป็นระบบที่ทำขึ้นมาใหม่จนกลายเป็นช่องโหว่ให้แฮกเกอร์เข้าไปดึงข้อมูลออกมา ดังนั้นจึงต้องรอจับแฮกเกอร์มาสอบสวนก่อนว่าแฮกมาจากหน่วยงานไหน อย่างไรก็ตาม ก็มีหน่วยงานรัฐที่สงสัยว่าเป็นหน่วยงานที่ทำข้อมูลหลุดมาแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งต้องรอตรวจสอบก่อน ยังไม่สามารถสรุปได้
ส่วนกรณีที่ 9near ออกมาประกาศว่าขอหยุดการเผยแพร่ข้อมูลส่วนบุคคล และขอให้รัฐบาลอย่าจับตัวเองนั้นเป็นเรื่องที่เป็นไปไม่ได้ เพราะความผิดได้สำเร็จแล้ว โดยกรณีนี้จะเป็นคดีแรกของ สคส. ที่ได้บังคับใช้ตามกฎหมายซึ่งหน่วยงานที่ปล่อยข้อมูลรั่วต้องได้รับโทษจำคุก 1 ปี ปรับไม่เกิน 5 ล้านบาท และ ต้องมีการเยียวยาผู้เสียหาย ซึ่งล่าสุดมีผู้ได้รับเอสเอ็มเอสขู่ 200 ราย โดยดีอีเอสได้ประสานกับผู้ให้บริการโทรศัพท์มือถือในการบล็อกเอสเอ็มเอสแล้ว
นายชัยวุฒิ กล่าวว่า นอกเหนือจากที่เร่งหาหลักฐานและตัวคนร้ายแล้ว ได้มอบหมายให้ นายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดีอีเอส ประสานงานกับผู้เกี่ยวข้องเร่งหาข้อเท็จจริง ดูแลผู้เสียหายจาก 9near ตลอดจนเร่งรัดการใช้ Digital ID และยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล.
โดยวันที่ 3 เมษายน 2566 ศาสตราจารย์พิเศษวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้เป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” โดยได้เชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่หรือมีจำนวนมากหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ และ สำนักงาน กกต. เป็นต้น รวมทั้งผู้ที่เกี่ยวข้องได้แก่ ธนาคารแห่งประเทศไทย สำนักงาน กสทช. สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในการประชุม ได้มีการ หารือประเด็นสำคัญดังนี้
1. ระบบเทคโนโลยีสารสนเทศรวมทั้งฐานข้อมูลของหน่วยงานเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องหรือไม่ มีการตรวจสอบเพื่อป้องกันและแก้ไขช่องโหว่ของระบบที่อาจเกิดขึ้นหรือไม่ ผลเป็นอย่างไร
โดยนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้รายงานในที่ประชุมว่า จากการสุ่มตรวจของ สคส. ได้พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้ทำการแจ้งเตือนไปแล้ว ที่ผ่านมาก็ได้รับความร่วมมือปรับปรุงตามคำแนะนำ
ทาง พลอากาศตรี อมร ชมเชย. เลขาธิการสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ให้ข้อมูลว่า THAICERT ของ สกมช ตรวจพบว่าระบบเทคโนโลยีสารสนเทศ ของหน่วยงานรัฐหลายหน่วยงานถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงาน เร่งแก้ปัญหาและป้องกันปัญหาอย่างต่อเนื่อง
2. แนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลในหน่วยงานของรัฐ อาทิ พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕ และ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕
ทั้งนี้ หากหน่วยงานทำข้อมูลรั่ว โดยเฉพาะข้อมูลที่มีความอ่อนไหว ต้องรีบแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เสียหาย รวมถึงควรทำการเยียวยาผู้เสียหายด้วย
3. การช่วยเหลือสนับสนุนของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ และกระทรวงดิจิทัลฯ ต่อหน่วยงานต่างๆ ในเรื่อง ระบบเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน รวมทั้งแนวทางการทำงานร่วมกันในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
นอกจากนี้ ได้หารือถึงแนวทางเร่งรัดการใช้ Digital ID เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของข้อมูลของหน่วยงาน ซึ่งในเรื่องนี้ กระทรวงดิจิทัลฯ ได้จัดทำ พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. 2565 (Digital ID) ประกาศในราชกิจจานุเบกษาแล้ว เมื่อวันที่ 23 ธันวาคม 2565 และ ผลักดันการพัฒนาระบบยืนยันตัวตน National Digital ID ของกระทรวงมหาดไทย ซึ่งจะมีประโยชน์ในการป้องกันข้อมูลรั่วไหล และยืนยันตัวตนได้อย่างมั่นใจมาขึ้นอีกระดับหนึ่ง ซึ่งการยืนยันตัวตนด้วย Digital ID จะช่วยป้องกันการถูกขโมยข้อมูล รวมทั้งการป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์
ปลัดกระทรวงดิจิทัลฯ กล่าวว่า “วันนี้สรุปได้ว่าการหาข้อเท็จจริงเรื่องที่อ้างว่าข้อมูลขนาดใหญ่รั่วจากหน่วยงานภาครัฐ ยังดำเนินการอยู่ กรณีที่มีข้อมูลรั่ว หรือระบบเทคโนโลยีสารสนเทศมีช่องโหว่ หน่วยงานต้องเร่งปรับปรุงแก้ไข ในขณะเดียวกันทำการซักซ้อม แนวปฎิบัติและกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงขอความร่วมมือหน่วยงาน ยกระดับความมั่นคงปลอดภัยข้อมูล และช่วยผลักดันการใช้ Digital ID”
.