9near แฮกข้อมูลคนไทยกว่า 55 ล้านรายชื่อ เรียกค่าไถ่ข้อมูล ประชาชนขวัญผวา กูรูชี้ค่าใช้จ่ายในการปกป้องข้อมูลเพิ่มขึ้นทุกปี รวมถึงต้นทุนในการกู้คืนข้อมูล และการชดใช้ค่าเสียหายจากการฟ้องร้อง
สืบเนื่องจากกรณีเว็บไซต์ 9near.org เปิดเผยว่า ได้โจรกรรมข้อมูลส่วนบุคคลจากองค์กรของรัฐกว่า 55 ล้านรายชื่อ ซึ่งมีตั้งแต่ข้อมูลที่อยู่ เลขประจำตัวประชาชน ไปจนถึงเบอร์โทรศัพท์มือถือ
แม้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) จะรีบดำเนินการปิดกั้นการเข้าถึงเว็บไซต์ 9near.org แล้ว แต่ยังมีคำถามตามมาอีกว่า ข้อมูลที่รั่วไหลไปแล้วจะได้รับการปกป้อง กู้คืน หรือปราบปรามผู้กระทำผิดได้สักแค่ไหน เพราะมีความเป็นไปได้ที่อาจมีการเก็บสำรองข้อมูลไว้เพื่อขายต่อในตลาดมืดที่ใดที่หนึ่งในโลกอินเทอร์เน็ตได้อีกหรือไม่
อย่างไรก็ตาม การโจรกรรมข้อมูลทั้งข้อมูลส่วนบุคคลและข้อมูลเกี่ยวกับธุรกิจดูจะเป็นปัญหาใหญ่ที่หลายฝ่ายตระหนักถึงความจำเป็นในการวางมาตรการป้องกันต่าง ๆ
ก่อนหน้านี้ ผู้สื่อข่าว “ประชาชาติธุรกิจ” มีโอกาสพูดคุยกับ นายพลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ ซึ่งนายพลสุธีเป็นผู้เชี่ยวชาญด้าน Digital Forensics หรือการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล เพื่อหาช่องโหว่และสร้างระบบความปลอดภัย เพื่อป้องกันการโจรกรรมข้อมูล
นายพลสุธีกล่าวว่า แนวโน้มการโจมตีทางไซเบอร์ในองค์กรขนาดใหญ่จะไม่ใช่แค่การโจมตีด้วยไวรัสเรียกค่าไถ่ (Ransomware หรือ Malware) เท่านั้น อีกทั้งยังต้องเสียค่าจ้างในการตรวจสอบและกู้คืนข้อมูล และหากกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีการบังคับใช้เข้มงวด ก็จะต้องมีค่าใช้จ่ายทางแพ่งอีกมหาศาล
“ปีที่แล้วความเสียหายจากการโดนโจมตีทางไซเบอร์ทั่วโลกสูงกว่า 6 ล้านล้านเหรียญสหรัฐ และมีแนวโน้มเพิ่มเป็น 8 ล้านล้านเหรียญในปีหน้า ขณะที่ค่าใช้จ่ายในการปกป้องปีที่แล้วสูงถึง 1.72 แสนล้านเหรียญ จะเพิ่มเป็น 1.94 แสนล้านเหรียญในปี 2566”
นอกจากนี้ ยังมีความเสี่ยงที่ทวีคูณขึ้นจากความสามารถในการโจมตีที่ไม่ต้องใช้ “แฮกเกอร์” จากการขายเครื่องมืออย่างง่ายสำหรับแฮกเกอร์ในตลาดมืด “แรนซัมแวร์” กลายเป็น as-a-services ทำให้อาชญากรรมไซเบอร์เพิ่มสูงขึ้น 12% ตั้งแต่ปี 2558 ส่งให้เบี้ยประกันทางดิจิทัลเพิ่มขึ้นถึง 22%
ทั้งนี้ การโจรกรรมข้อมูลส่วนบุคคล หรือภัยคุกคามทางไซเบอร์นั้นมีเจตนาที่หลากหลาย หลัก ๆ แล้วเป็นการโจมตีด้วยมัลแวร์หรือแรนซัมแวร์ ที่มีเครื่องมือบริการด้านการโจรกรรมขายให้ใช้งานอย่างสะดวก เมื่อเข้าถึงฐานข้อมูลมักจะมีการล็อกไฟล์เพื่อเรียกค่าไถ่
ส่วนลักษณะการนำข้อมูลไปขายในตลาดมืดนั้น มีความเสี่ยงคือไม่รู้ว่าจะมีใครต้องการข้อมูลนั้น ๆ หรือไม่ จะขายได้อย่างไร ทำให้การขายข้อมูลอาจได้ราคาที่ต่ำกว่าราคาที่บริษัทหรือองค์กรเจ้าของข้อมูลนั้นประสงค์จ่าย เพื่อรักษาข้อมูลที่สำคัญของลูกค้าของตน
นายพลสุธีบอกด้วยว่า การฟ้องร้องเพื่อเอาผิดองค์กรหรือบริษัทที่ปล่อยให้ข้อมูลส่วนบุคคลรั่วไหล โดยทั่วไปจะพิจารณาเป็นรายกรณี หรือรายยูสเซอร์ หมายความว่าข้อมูลเพียง 1GB อาจมีข้อมูลส่วนตัวของยูสเซอร์จำนวนหลายร้อยหลายพันคน ดังนั้น การชดใช้ค่าเสียหายจึงต้องคิดทีละราย ด้านค่าบำรุงรักษา และสร้างระบบป้องกันความปลอดภัยเชิงระบบ คาดการณ์ว่าอาจใช้ต้นทุนสูงถึง 6,000 บาท ต่อยูสเซอร์เลยทีเดียว