สภาผู้บริโภคเร่งเอไอเอส หาสาเหตุชี้แจงผลกระทบและออกมาตรการเยียวยาผู้บริโภคที่อาจได้รับผลกระทบจากกรณี “ข้อมูลลูกค้ารั่วไหล” พร้อมชงหน่วยงานรัฐร่วมตรวจสอบ กำกับดูแล แก้ไขและป้องกันไม่ให้เกิดซ้ำ
วันที่ 8 กันยายน 2566 ผู้สื่อข่าวรายงานว่า จากกรณีที่มีกลุ่มแฮกเกอร์ใช้ชื่อ “DESORDEN” อ้างว่าสามารถเจาะเข้าระบบฐานข้อมูลเซิร์ฟเวอร์โมบายพีบีเอ็กซ์* (Mobile PBX : Private Branch Exchange) ของบริษัทแอดวานซ์ อินโฟร์ เซอร์วิส หรือเอไอเอส (AIS) ได้สำเร็จ ทำให้ได้ข้อมูลบันทึกเสียง บันทึกการโทร.เข้า และบันทึกการโทร.ออกของลูกค้าองค์กรรวมหลายล้านรายการ ซึ่งรวมถึงบริษัทใหญ่ ๆ เช่น SC Assets, DHL, Lazada, SCG, Unilever, Central Group เป็นต้น และต่อมาเอไอเอสได้ออกมาแถลงข่าวยืนยันว่าสถานการณ์ดังกล่าวไม่ส่งผลกระทบใด ๆ ต่อลูกค้าทั่วไปและลูกค้านิติบุคคลที่ไม่ได้ใช้บริการโมบายพีบีเอ็กซ์นั้น
- ลูกแม่ค้าขายผัก-พ่อขับแท็กซี่ สู่เก้าอี้ “ปลัดพลังงาน” บทพิสูจน์ชีวิต “ดร.ประเสริฐ สินสุขประเสริฐ”
- NETA X ขายมิ.ย.นี้ ราคาไม่เกิน 1 ล้านบาท หลัง MOU สรรพสามิต
- KBANK ปรับโครงสร้างใหญ่ ลดจำนวนบอร์ด ตั้ง 4 เอ็มดีเป็น “ผู้จัดการใหญ่” มีผล 1 พ.ค.67
นางสาวสุภิญญา กลางณรงค์ ประธานอนุกรรมการ ด้านการสื่อสารโทรคมนาคมและเทคโนโลยีสารสนเทศ สภาผู้บริโภค ระบุถึงกรณีที่เกิดขึ้นว่า เอไอเอสควรออกมาเปิดเผยสาเหตุความเสียหาย ผลกระทบทั้งหมดที่เกิดขึ้น รวมถึงผู้ที่จะได้รับผลกระทบเหตุการณ์ดังกล่าวด้วย ทั้งนี้ สิ่งที่เกิดขึ้นสะท้อนให้เห็นปัญหาเรื่องความปลอดภัยของข้อมูล ซึ่งบริษัทต้องแสดงความรับผิดชอบ และกำหนดมาตรการเยียวยาความเสียหายหรือมาตรการอย่างใดอย่างหนึ่งเพื่อเป็นหลักประกันว่าปัญหาเหล่านี้จะได้รับการแก้ไขอย่างทันท่วงทีและจะไม่เกิดขึ้นอีก
นอกจากนี้ อยากเห็นการตื่นตัวของหน่วยงานภาครัฐที่เกี่ยวข้อง เช่น สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ตำรวจไซเบอร์ เป็นต้น ออกมาตรวจสอบสาเหตุของสิ่งที่เกิดขึ้น รวมถึงผลกระทบที่จะเกิดขึ้น เพื่อให้ผู้บริโภคสามารถใช้ข้อมูลจากทั้งภาครัฐและเอกชนเพื่อประกอบการพิจารณาว่าเขามีความเสี่ยงที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่ เพื่อให้ผู้บริโภคสามารถป้องกันและจัดการปัญหาได้อย่างทันท่วงที
“ไม่ว่าจะเกิดผลกระทบต่อคนเพียงหนึ่งคน หรือล้านคน แต่ในเมื่อเกิดผลกระทบขึ้น ก็ต้องมีคนรับผิดชอบและต้องมีมาตรการเยียวยาและมาตรการป้องกันเพื่อสร้างความมั่นใจว่าปัญหาแบบนี้จะไม่เกิดขึ้น ซึ่งองค์กรภาครัฐที่กำกับดูแลเรื่องโทรคมนาคม เรื่องความมั่นปลอดภัยไซเบอร์ รวมถึงองค์กรที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคล ทุกองค์กรควรจะออกมาแสดงท่าทีแล้วก็สร้างความเชื่อมั่นกับผู้บริโภคว่าปัญหาลักษณะนี้จะได้รับการแก้ไขเยียวยาและป้องกัน เพื่อฟื้นฟูความเชื่อมั่นของผู้บริโภค” ประธานอนุกรรมการด้านการสื่อสารฯกล่าว
ส่วนคำแนะนำต่อผู้บริโภคเกี่ยวกับเหตุการณ์ที่เกิดขึ้น นางสาวสุภิญญาระบุว่า ผู้บริโภคต้องตื่นตัวและพิจารณาว่าเหตุการณ์ที่เกิดขึ้นอาจส่งผลกระทบต่อตัวเองอย่างไร กรณีที่คาดว่าจะได้รับผลกระทบหรือเกิดปัญหา แนะนำให้ติดต่อไปที่เอไอเอสเพื่อกระตุ้นให้บริษัทเกิดความระมัดระวังและให้ความสำคัญในเรื่องความปลอดภัยมากขึ้น นอกจากนี้ สำหรับผู้บริโภคที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าวและไม่ได้รับการชดเชยเยียวยา สามารถร้องเรียนกับสภาผู้บริโภคหรือหน่วยงานที่เกี่ยวข้องเพื่อให้เกิดการแก้ไขปัญหาต่อไป
สภาผู้บริโภคมีข้อเรียกร้อง เอไอเอสและหน่วยงานกำกับดูแล ดังนี้
1.เรียกร้องให้บริษัทแอดวานซ์ อินโฟร์ เซอร์วิส เร่งตรวจหาสาเหตุและออกมาชี้แจ้งให้ผู้บริโภคทราบ รวมถึงเปิดเผยผลกระทบและผู้ที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าวด้วย เพื่อให้ผู้บริโภคสามารถระมัดระวังและป้องกันตัวเองได้ ทั้งนี้ หากเหตุการณ์ดังกล่าวกระทบต่อผู้บริโภค บริษัทต้องกำหนดมาตรการเยียวยาและป้องกันที่ชัดเจน เพื่อสร้างความมั่นใจว่าจะไม่เกิดปัญหาในลักษณะดังกล่าวขึ้นอีก
2.เรียกร้องให้หน่วยงานภาครัฐที่เกี่ยวข้องกับเรื่องดังกล่าว วินิจฉัยและตรวจสอบสาเหตุของเหตุการณ์ที่เกิดขึ้น พร้อมทั้งเปิดเผยเรื่องผลกระทบและผู้ที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าว ทั้งนี้ อาจมีการเรียกบริษัทเข้าไปชี้แจงถึงเหตุการณ์ที่เกิดขึ้น และกำกับดูแลให้บริษัทออกมาตรการเยียวยาและป้องกันความเสียหายจากเหตุการณ์ดังกล่าว
การออกประกาศว่าไม่มีผลกระทบ ป้องกันปัญหาไม่ได้
ด้าน นายแพทย์ประวิทย์ ลี่สถาพรวงศา ที่ปรึกษาประจำประธานกรรมการกิจการกระจายเสียงกิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ แสดงความเห็นว่า เมื่อเกิดเหตุการณ์ในลักษณะดังกล่าวขึ้น สิ่งแรกที่ต้องทำคือตรวจสอบว่ามีการโจมตีครั้งอื่นเกิดขึ้นหรือไม่ หรือมีข้อมูลอื่นที่นอกเหนือจากที่แฮกเกอร์ระบุถูกขโมยไปหรือไม่ ทั้งนี้การที่เอไอเอสออกมาชี้แจ้งว่าเป็นข้อมูลในส่วนของโมบายล์ พีบีเอ็กซ์ หรือเบอร์โทรศัพท์สาขาจึงไม่กระทบต่อผู้บริโภคนั้น “อาจไม่ใช่ความจริงเสมอไป” จึงต้องมีการตรวจสอบให้แน่ใจว่า หมายเลขดังกล่าวเป็นเบอร์ที่ใช้ติดต่อกับลูกค้าหรือบุคคลภายนอกด้วยหรือไม่ หากเป็นบันทึกข้อมูลการโทร.ติดต่อกับลูกค้า ซึ่งอาจมีข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล ที่อยู่ เลขบัตรประชาชน หมายเลขบัตรเครดิต เลขบัญชีธนาคาร หรือรหัสผ่านต่าง ๆ นั่นแปลว่าการรั่วไหลของข้อมูลที่เกิดขึ้นกระทบต่อผู้บริโภคเช่นกัน
ส่วนกรณีข้อมูลที่รั่วไหลไม่มีข้อมูลส่วนบุคคล อาจต้องตั้งคำถามต่อไปว่ามิจฉาชีพโจรกรรมข้อมูลเหล่านี้ด้วยวัตถุประสงค์ใด เช่น ข้อมูลดังกล่าวอาจถูกนำไปเป็นข้อมูลของแก๊งคอลเซ็นเตอร์ ในการสังเกตพฤติกรรมของผู้บริโภค เพื่อให้สามารถแอบอ้างเป็นบริษัท องค์กร หรือหน่วยงานต่าง ๆ ได้อย่างแนบเนียน ซึ่งส่งผลให้ผู้บริโภคมีโอกาสตกเป็นเหยื่อมิจฉาชีพเหล่านี้ได้ง่ายขึ้น
“การออกประกาศว่าสิ่งที่เกิดขึ้นไม่ส่งผลกระทบต่อผู้บริโภค โดยที่ยังไม่ได้ตรวจสอบอย่างถี่ถ้วนอาจไม่สามารถป้องกันปัญหาที่เกิดขึ้นในอนาคตได้ ในทางกลับกันหากเอไอเอสแจ้งเตือนบริษัทต่าง ๆ ที่เป็นเจ้าของข้อมูลได้ว่าข้อมูลที่ถูกโจรกรรมไปมีข้อมูลเกี่ยวกับอะไรบ้าง เกี่ยวข้องกับผู้บริโภคหรือไม่ ก็จะทำให้บริษัทเหล่านั้นสามารถแจ้งเตือนลูกค้าให้ระวังภัยที่อาจเกิดขึ้นในอนาคตได้ทัน” ปรึกษาประจำประธาน กสทช.ระบุ
ทั้งนี้ ในแง่ของกฎหมายและการจัดการ กรณีที่เกิดขึ้นเกี่ยวข้องกับกฎหมายที่อย่างน้อย 3 ฉบับ คือ 1.พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 2.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายพีดีพีเอ (PDPA : Personal Data Protection Act) โดยกฎหมายทั้งสองฉบับนี้อยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ 3.พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 ซึ่งอยู่ในความรับผิดชอบของ กสทช. ซึ่งกฎหมายแต่ลฉบับก็จะกำหนด ขั้นตอนการรายงาน การสอบสวน รวมถึงการแก้ไขเยียวยาไว้ด้วย
ให้ความสำคัญ พ.ร.บ.ความมั่นคงไซเบอร์-กฎหมายข้อมูลส่วนบุคคล
นายแพทย์ประวิทย์อธิบายต่ออีกว่า สิ่งที่ต้องให้ความสำคัญเป็นอันดับแรกคือ พ.ร.บ.ความมั่นคงไซเบอร์ และกฎหมายข้อมูลส่วนบุคคล เนื่องจาก 2 กฎหมายดังกล่าวจะมีโทษเฉพาะตามกฎหมาย โดย พ.ร.บ.ความมั่นคงไซเบอร์จะเกี่ยวกับการค้นหาสาเหตุและวิธีการเจาะข้อมูล รวมไปถึงการตรวจสอบว่ามีความเสียหายเกิดขึ้นมากน้อยเพียงใด มีความเสียหายเกิดขึ้นมากกว่าที่มิจฉาชีพระบุหรือไม่ รวมถึงต้องหาวิธีแก้ไขและป้องกันเพื่อไม่ให้เกิดเหตุการณ์ในลักษณะเดิมอีก ขณะที่กฎหมายพีดีพีเอจะเข้ามาเกี่ยวข้องในเรื่องกระทบต่อเจ้าของข้อมูล และการแจ้งเตือนภัยให้ผู้บริโภคได้รับทราบ
ส่วนกฎหมายของ กสทช.นั้นส่วนใหญ่จะเป็นกฎหมายทางปกครอง กล่าวคือ มีอำนาจในการสั่งให้ผู้ประกอบกิจการแก้ไขสิ่งที่ผิดพลาดให้ถูกต้องเท่านั้น ดังนั้น สิ่งที่ กสทช.ดำเนินการได้ในเบื้องต้นจะเป็นการเรียกบริษัทเข้าไปรายงานสาเหตุ ผลกระทบ รวมถึงมาตรการแก้ไขเยียวยาให้ กสทช. ทราบเพื่อพิจารณาแก้ไขปัญหาต่อไป
นายแพทย์ประวิทย์กล่าวทิ้งท้ายว่า สำหรับผู้บริโภคที่อยากป้องกันตัวเองเบื้องต้น ทำได้โดยการติดตามข่าวสารและตรวจสอบว่าข้อมูลที่รั่วไหลนั้นเป็นของบริษัทใดบ้าง และในช่วงที่ผ่านมาผู้บริโภคได้ทำธุรกรรมหรือติดต่อกับบริษัทดังกล่าวเพื่อเปลี่ยนแปลง แก้ไขข้อมูล หรือมีบทสนทนาที่มีข้อมูลส่วนบุคคลอยู่ด้วยหรือไม่ และอาจดำเนินการป้องกันและจำกัดความเสียหายอาจที่เกิดด้วยตนเองในเบื้องต้น เท่าที่สามารถดำเนินการได้ เช่น การเปลี่ยนรหัสผ่าน จำกัดวงเงิน หรือโอนเงินไปบัญชีที่ไม่เชื่อมกับธุรกรรมออนไลน์ หรือการเปลี่ยนรหัสผ่านบนเว็บไซต์ หรือแอปพลิเคชั่นต่าง ๆ เป็นต้น
*อนึ่ง โมบายพีบีเอ็กซ์ (Mobile PBX : Private Branch Exchange) คือ เป็นระบบชุมสายโทรศัพท์ย่อย หรืออธิบายให้เข้าใจแบบง่าย ๆ คือ เบอร์โทรศัพท์สำนักงาน ที่ทำให้สำนักงานนั้น ๆ มีหมายเลขติดต่อเพื่อใช้สำหรับติดต่อสื่อสารกันเองภายใน รวมทั้งใช้เชื่อมต่อกับสายโทรศัพท์ภายนอกที่ต้องการโทร.ติดต่อเข้ามายังแผนกต่าง ๆ ภายในสำนักงาน โดยระบบนี้อาจถูกนำไปใช้เป็นโทรศัพท์ประจำสำนักงานในสาขาต่าง ๆ รวมถึงทำให้พนักงานสามารถใช้โทรศัพท์มือถือรับสายคนที่โทร.เข้าเบอร์สำนักงานได้อีกด้วย นั่นหมายความว่า ข้อมูลที่เราติดต่อกับสาขาย่อยของธนาคาร ตลาดออนไลน์ ขนส่ง หรือบริษัทต่าง ๆ ก็อาจเป็นหนึ่งในข้อมูลที่ถูกโจรกรรมไปด้วย ซึ่งอาจจะมีข้อมูลบัตรประชาชน ที่อยู่ รหัสบัญชีธนาคาร หรือข้อมูลส่วนบุคคลอื่น ๆ อยู่ด้วย
