โฆษก สตม. ยังไม่ทราบเรื่องข้อมูลของ ตม. นครศรีธรรมราชรั่ว เครือข่ายพลเมืองเน็ตชี้ เป็นปัญหาที่มากับความพยายามเป็น e-government
จากกรณีที่มีรายงานการรั่วไหลของข้อมูลส่วนบุคคลจากเว็บไซต์แห่งหนึ่ง ซึ่งคาดว่าเป็นฐานข้อมูลที่มาจากสำนักงานตรวจคนเข้าเมือง จ.นครศรีธรรมราช เมื่อช่วงดึกวานนี้ ในวันนี้บีบีซีไทยทดลองเข้าเว็บไซต์ดังกล่าว พบว่ามีการปิดกั้นการเข้าถึงแล้ว
เพจเครือข่ายพลเมืองเน็ต ได้เผยแพร่เรื่องการรั่วไหลของข้อมูลชุดดังกล่าวเมื่อคืนที่ผ่านมา โดยมีผู้ใช้อินเทอร์เน็ตชื่อ Akram Aleeming เข้ามาแสดงตัวว่าเป็นผู้ออกแบบเว็บดังกล่าว โดยใช้ข้อมูลที่ได้มาจากสำนักงานตรวจคนเข้าเมือง ซึ่งส่งข้อมูลชุดนี้เข้ามาให้ทดสอบระบบ ซึ่งก็เป็นระบบภายในไม่เปิดเผยต่อสาธารณะ และไม่อาจยืนยันได้ว่าเป็นข้อมูลจริงหรือไม่ ทั้งนี้ไม่ได้ตั้งใจให้คนทั่วไปเห็นข้อมูล แต่ทำขึ้นมาเป็นยูอาร์แอลส่วนตัวเพื่อส่งให้ผู้ตรวจรับงานได้สะดวก และงานชิ้นนี้อยู่ระหว่างการตรวจงาน
อย่างไรก็ตาม ช่วงบ่ายวันนี้มีข้อมูลรั่วออกมาอีกชุดหนึ่ง โดยระบุว่าเป็น “ฐานข้อมูลควบคุมโรคติดต่อระหว่างประเทศ (Port, Airport and Ground Crossing Database, Thailand” ซึ่งขณะนี้ยังสามารถเข้าถึงได้ โดยมีการเปิดเผยข้อมูลเกี่ยวกับชื่อ สัญชาติ อายุ เพศ ข้อมูลการฉีดวัคซีน โรงแรมที่พักในประเทศไทย หมายเลขโทรศัพท์ และอีเมล์ของบุคคลจำนวนมาก
บีบีซีไทยสอบถามเรื่องดังกล่าวจาก พ.ต.อ. วรวัฒน์ อมรวิวัฒน์ ทำหน้าที่โฆษกสำนักงานตำรวจตรวจคนเข้าเมือง ซึ่ง พ.ต.อ. วรวัฒน์ ระบุว่า ขณะนี้อยู่ต่างประเทศและยังไม่ทราบเรื่องดังกล่าว
นายอาทิตย์ สุริยะวงศ์กุล กรรมการและเลขานุการเครือข่ายพลเมืองเน็ต ระบุว่า ประเด็นนี้เป็นเรื่องสำคัญเกี่ยวกับความเป็นส่วนตัว และความมั่นคงปลอดภัยด้านสารสนเทศ การจ้างผู้พัฒนาโปรแกรมภายนอกเป็นเรื่องปกติ ที่ไหน ๆ ก็ทำกัน แต่ในการทดสอบระบบ ควรจะปลอดภัยกว่านี้ และควรทำในระบบปิด ไม่ควรจะใช้การตรวจรับงานในที่สาธารณะ และการตั้งรหัสผ่านให้เข้าถึงได้ก็ยิ่งไม่ปลอดภัยมาก เพราะเสี่ยงที่จะถูกขโมย เห็นได้ชัดว่าหละหลวม และอีกประเด็นคือหากข้อมูลเหล่านี้เป็นข้อมูลจริง ซึ่งเป็นข้อมูลภายในขององค์กร ก็ไม่ควรเอามาทดสอบ เพราะโปรแกรมเมอร์เป็นบุคคลที่ 3 ไม่ควรได้รับทราบข้อมูลเหล่านี้ ควรใช้ข้อมูลสมมติมากกว่า อย่างไรก็ตาม ขณะนี้ยังไม่มีการพิสูจน์ว่าข้อมูลนี้จริงหรือไม่ เพราะยังไม่มีผู้ใดออกมายืนยันว่าได้รับความเสียหายจากการรั่วไหลของข้อมูล
นายอาทิตย์กล่าวด้วยว่า อีกประการหนึ่งที่น่าตั้งคำถามคือ ทำไม ตม. นครศรีธรรมราช ถึงต้องการทำระบบแยกจากส่วนกลาง ซึ่งแบบนี้หมายความว่าในภาพรวมไม่มีความปลอดภัยใช่หรือไม่ ทั้งนี้ ไม่ใช่แค่เรื่องความปลอดภัยด้านไอที แต่เป็นเรื่องความไม่ปลอดภัยทางกายภาพ เพราะควรจะเป็นข้อมูลที่เชื่อมโยงกันทั้งระบบมากกว่า
“เราคิดว่ากรณีแบบนี้ ถ้าพิจารณาร่วมกับ กรณีของ กกต. ที่มีข้อมูลหลุดมาก่อนหน้านี้ ทำให้เห็นชัดเจนว่า การรั่วไหลของข้อมูลส่วนบุคคลมีมากขึ้นเรื่อย ๆ ตามแนวโน้มที่รัฐบาลพยายามเป็น e-government การพยายามทำให้ทุกอย่างง่ายขึ้น แต่ด้วยความรู้ความเข้าใจที่ไม่พอ ถ้าเราดูตามพรบ. ข้อมูลข่าวสารของราชการ ที่ว่าข้อมูลส่วนบุคคลต้องมีมาตรการในการจัดเก็บที่ปลอดภัย แต่ปัญหาที่ผ่านมา สำนักงานข้อมูลข่าวสารของราชการไม่มีอำนาจในการลงโทษ หน่วยงานเหล่านี้ก็อาจจะออกมาขอโทษบ้าง บอกว่าผิดพลาดไม่ตั้งใจบ้าง เช่น ถ้าข้อมูลรั่วแล้วคนเอาไปเผยแพร่ต่อก็กลายเป็นความผิดของคนอื่นตาม พรบ. คอมพ์ ฯ”
นายอาทิตย์ย้ำว่า ขณะนี้ไม่มีกลไกกำกับรัฐให้คุ้มครองข้อมูลส่วนบุคคลโดยต้องมีความรับผิด ซึ่งเขาเห็นว่า การที่รัฐจะมีโครงการจัดเก็บข้อมูลต่าง ๆ ควรต้องทำการประเมินผลกระทบต่อความเป็นส่วนตัว หรือ Privacy Impact Assessment เช่นเดียวกับการประเมินผลกระทบด้านสิ่งแวดล้อม ซึ่งที่ผ่านมารัฐไทยยังไม่มีหลักเกณฑ์ ว่าจะต้องตรวจงานอย่างไร เขียนแนวทางอย่างไร
(ภาพประกอบจากแฟ้มภาพ: พาสปอร์ตปลอมที่เจ้าหน้าที่ตรวจคนเข้าเมืองของไทยตรวจยึดได้เมื่อเดือน ก.พ. ที่ผ่านมา)
แสดงความคิดเห็น