ไซเบอร์ไทยอ่อนแอ ไร้เจ้าภาพดูแล

วันที่ 01 พ.ย. 2558 เวลา 08:39 น.
ไซเบอร์ไทยอ่อนแอ ไร้เจ้าภาพดูแล
โดย...ทีมข่าวโพสต์ทูเดย์

ในช่วง 1 เดือนที่ผ่านมา มีเหตุโจมตีบนระบบไซเบอร์ในไทยหลายครั้ง ทั้งการโจมตีเว็บไซต์หน่วยงานรัฐหลายแห่งด้วยวิธี DDoS ในช่วงต้นเดือน การพยายามแฮ็กข้อมูลบริษัท กสท โทรคมนาคม การแฮ็กเว็บไซต์กระทรวงศึกษาธิการ หรือแม้แต่การข่มขู่โจมตีเว็บไซต์ธนาคารพาณิชย์ 4 แห่ง เมื่อเร็วๆ นี้

ขณะในภาพรวมไทยก็อ่อนแอในเรื่องระบบความปลอดภัย จนขึ้นชื่อว่าเป็นสวรรค์ของแฮ็กเกอร์ เป็นประเทศอันดับต้นๆ ของโลกที่เหล่าแฮ็กเกอร์ใช้เป็นฐานไปโจมตีระบบในที่อื่นๆ ทำให้ภาพลักษณ์ประเทศเสียหายเป็นอย่างยิ่ง คำถามคือภาครัฐไม่มีน้ำยาดูแลสร้างความมั่นคงให้กับระบบเลยหรืออย่างไร?

แหล่งข่าวจากสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ให้ภาพรวมระบบความปลอดภัยบนโลกไซเบอร์ของประเทศไทยปัจจุบัน ว่าไทยไม่มีไฟล์วอลระดับประเทศแบบจีน (The Great Firewall of China) ที่สามารถตรวจสอบทราฟฟิกเข้าออกได้หมด ดังนั้นทราฟฟิกอินเทอร์เน็ตที่เข้ามาในไทยจะวิ่งไปตามอินเทอร์เน็ต เซอร์วิส โพรวายเดอร์ (ISP) ต่างๆ ดังนั้นการป้องกันต้องอยู่ในระดับ ISP

อย่างไรก็ตาม ในทางปฏิบัติ ISP ในเมืองไทยมีหลายราย ทั้งรายเล็กและรายใหญ่ หากเป็นรายใหญ่ก็จะมีแบนด์วิธมาก มีอุปกรณ์และระบบรักษาความปลอดภัยที่ดี แต่กรณี ISP รายเล็ก อาจมีข้อจำกัด ทั้งเรื่องการลงทุนระบบความปลอดภัย หรือโดยขนาดของแบนด์วิธเอง เช่น ISP รายเล็กอาจมีปริมาณแบนด์วิธให้บริการ 2 MB ซึ่งหากโดนโจมตีแบบ DDoS มีทราฟฟิกวิ่งเข้ามา 20 MB ก็ทำให้ ISP รายนั้นไม่สามารถให้บริการได้ เป็นต้น

“ความปลอดภัยด้านไซเบอร์เมืองไทยอ่อนแอ คนไม่ตระหนักว่าเป็นเรื่องใกล้ตัว ก็เหมือนคนป่วยที่ถูกโรคต่างๆ โจมตีได้ง่าย ช่องโหว่ที่จะถูกแฮ็กมีเยอะแยะไปหมด ตั้งแต่มือถือ พีซี เซิร์ฟเวอร์ หรือแม้แต่เราเตอร์ไว-ไฟ เทียบง่ายๆ เหมือนมีคนมาเดินเคาะประตูห้องไปทีละห้อง ถ้าเคาะแล้วไม่มีคนอยู่ เขาก็อาจเข้ามาใช้ห้องของเราเป็นฐานไปโจมตีที่อื่นต่อ” แหล่งข่าวเปิดเผย

ทั้งนี้ หากพิจารณามาตรฐานความมั่นคงของระบบจะพบว่ามีการกำกับดูแลเป็นกลุ่มๆ ไป เช่น กลุ่มธนาคารมีมาตรฐานความปลอดภัยของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) กำกับดูแลอยู่ ส่วนหน่วยงานที่มีการทำธุรกรรมอิเล็กทรอนิกส์ก็มีมาตรา 35 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ 2554 บังคับให้มี Security Policy แต่ในกลุ่ม ISP และผู้ให้บริการมือถือ ซึ่งกำกับดูแลโดยคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ไม่มีหลักเกณฑ์กำกับดูแลด้านความปลอดภัย แหล่งข่าวเปิดเผยอีกว่า ในเชิงกลไกด้านกฎหมายประเทศไทยมี พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ 2544 ซึ่งมาตรา 25 และ 35 กำหนดให้มีมาตรฐานขั้นต่ำด้าน Security และมาตรา 32 ดูแลผู้ให้บริการธุรกรรมอิเล็กทรอนิกส์ ปัญหาคือมาตราเหล่านี้ไม่มีบทลงโทษ ฉะนั้นจึงเป็นได้แค่ไกด์ไลน์ไว้เท่านั้น

“หรืออย่างกรณีมีเหตุขึ้น สพธอ.มีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (Thaicert) แต่ Thaicert ติดขัดเรื่องทรัพยากรและไม่มีอำนาจตามกฎหมาย วิธีปฏิบัติคือเราจะให้คำแนะนำปรึกษาทางโทรศัพท์และเข้าไปช่วยในกรณีที่อ่อนไหวจริงๆ ซึ่งสถานะของเจ้าหน้าที่ Thaicert ก็ไม่ใช่พนักงานเจ้าหน้าที่ตามกฎหมาย ต้องให้เหยื่อที่ถูกโจมตีทำหนังสือยินยอมให้เข้าถึงข้อมูล” แหล่งข่าวเปิดเผย

ขณะเดียวกัน ในส่วนของ พ.ร.บ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ 2550 ก็ยังขาดในเรื่องการจัดการ Cyber Security ทั้งก่อนเกิดเหตุ ขณะเกิดเหตุ และหลังเกิดเหตุ ซึ่งได้ปิดจุดอ่อนโดยยกร่าง พ.ร.บ.ความมั่นคงไซเบอร์ขึ้นมา จัดตั้งหน่วยงานที่ดูแลเรื่องความปลอดภัยไซเบอร์โดยเฉพาะ หากเกิดเหตุก็ให้หน่วยงานนี้เป็นตัวหลักในการวางมาตรการและสั่งการ แต่เนื่องจากการทำงานมีลักษณะเป็นการใช้อำนาจ ทำให้ประชาชนเข้าใจว่าเป็นการละเมิดสิทธิและถูกต่อต้าน

พ.ต.อ.สมพร แดงดี รองผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (รอง ผบก. ปอท.) ยอมรับว่า ในรอบปี 2558 มีการแจ้งเหตุเพื่อให้ดำเนินคดีเกี่ยวกับการละเมิดบนโลกออนไลน์มากขึ้นกว่าปีที่ผ่านมา โดยเฉพาะอย่างยิ่งการกระทำความผิดที่ละเมิดบุคคลอื่น ทั้งการแชร์ข้อความ หรือโพสต์รูปที่ผิดกฎหมาย พฤติกรรมดังกล่าวย่อมแสดงว่าคนไทยยังขาดความเข้าใจเกี่ยวกับการใช้เทคโนโลยีบนโลกออนไลน์อย่างถูกต้อง และขาดซึ่งการเคารพสิทธิของบุคคลอื่น

“ความเสียหายในเรื่องตามข้างต้นมีสถิติที่พุ่งสูงขึ้น และคาดว่าจะพุ่งมากขึ้นไปอีก แต่เรื่องอาชญากรรมที่เป็นคดีใหญ่ๆ เช่น มีผลกระทบด้านการเงิน หรือถูกกลุ่มแฮ็กเกอร์เข้าโจมตี ก็มีบ้าง แต่ไม่ได้มากมายขนาดนั้น” รอง ผบก.ปอท. กล่าว

ส่วนแฮ็กเกอร์ที่เข้าไปกระทำอาชญากรรมทางเทคโนโลยีของหน่วยงานอื่นๆ นั้น ต้องเข้าใจก่อนว่า ปอท.ไม่ได้มีหน้าที่ต้องไปเฝ้าระวัง หรือวางแผนป้องกันให้แต่ละองค์กร ไม่ว่าภาคเอกชนหรือหน่วยงานของรัฐ แต่หน้าที่ส่วนนี้อยู่ในความรับผิดชอบของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที)

สำหรับกลุ่มแฮ็กเกอร์นิรนามที่ประกาศตัวจะเป็นคู่ต่อกรกับแฮ็กเว็บหน่วยงานภาครัฐนั้น พ.ต.อ.สมพร ยืนยันว่า เรื่องนี้มีแผนการรับมืออยู่ แต่คงจะบอกวิธีการป้องกันอะไรมากไม่ได้