พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยถึงสถานการณ์ความรุนแรงของข้อมูลส่วนตัวรั่วไหลในปัจจุบัน ว่า สิ่งที่น่ากังวลที่สุด คือ พาสเวิร์ด (Password) ที่ใช้ในการเข้าถึงอีเมล และโซเชียลมีเดียต่าง ๆ ซึ่งมีรายละเอียดมากกว่าแค่ชื่อหรือนามสกุล โดยจากสถิติทั่วโลกพบว่ามีพาสเวิร์ดรั่วไหลไปแล้วกว่า 50,000 ล้านรายการ ขณะที่ในประเทศไทยมีข้อมูลรั่วไหลสูงถึงกว่า 200 ล้านรายการ
ข้อมูลที่รั่วไหลเหล่านี้ อยู่ในรูปแบบของบัญชีผู้ใช้งาน (Account) ที่ประกอบด้วย Username และ Password อีกทั้งยังระบุชัดเจนว่าสามารถใช้เข้าสู่ระบบใดได้บ้าง ซึ่งความเสียหายนี้มักเกิดจากระบบจัดการเว็บไซต์ (Web Admin) ที่ทำข้อมูลรั่วออกมา ส่งผลให้มิจฉาชีพไม่จำเป็นต้องทำการแฮกระบบให้ยุ่งยาก แต่ใช้วิธีการไล่เก็บรวบรวมข้อมูลที่รั่วไหลเหล่านี้มาใช้งานได้ทันที
สำหรับความคืบหน้าในการยกระดับความปลอดภัยทางไซเบอร์ของประเทศ สกมช. เตรียมเสนอเรื่องการกำหนดมาตรฐานให้เว็บไซต์ภาครัฐต้องใช้ระบบการยืนยันตัวตนหลายชั้น (Multi-factor Authentication: MFA) หรือ ThaID ต่อคณะรัฐมนตรี (ครม.) ภายใน 2 สัปดาห์ข้างหน้า โดยมาตรการดังกล่าว จะเน้นไปที่หน่วยงานภาครัฐก่อน เพื่อความปลอดภัยในการบริการประชาชน โดยจะมีบทเฉพาะกาลสำหรับระบบที่เคยถูกแฮกให้ดำเนินการทันที ทั้งนี้ การปรับเปลี่ยนดังกล่าวมีค่าใช้จ่ายต่ำมาก เพียงแค่ปรับแก้โค้ดหน้าล็อกอินจากการกรอก Username/Password เป็นการสแกน หรือใช้รหัสผ่านชั่วคราว
เว็บไซต์
ในส่วนของเว็บไซต์ พบสถิติที่น่ากังวลในช่วง 1 ปีที่ผ่านมา มีเหตุการณ์ภัยคุกคามกว่า 3,000 เหตุการณ์ โดย 70% เป็นเรื่องของช่องโหว่ทางเทคโนโลยี ซึ่งเป็นผลต่อเนื่องมาจากนโยบายในอดีต ที่ผลักดันให้ทุกหน่วยงานต้องมีเว็บไซต์ แต่หลายแห่งกลับขาดคนดูแลต่อเนื่อง
สกมช. จึงได้จัดทำมาตรฐาน Website Security Standard (WSS 1.0) ที่ไม่ได้ดูเพียงแค่การปิดช่องโหว่ แต่ครอบคลุมตั้งแต่ ความปลอดภัยตอนเริ่มต้น การมอนิเตอร์ และการรับมือเมื่อเกิดเหตุ
“เมื่อเร็ว ๆ นี้ได้เชิญบริษัทเอกชนที่มีฐานข้อมูลจำนวนมากมาร่วมอบรม เพื่อเตรียมความพร้อมก่อนการบังคับใช้มาตรฐาน โดยในเดือนก.ย. นี้ สกมช. จะผลักดันให้มาตรฐานเหล่านี้ถูกบรรจุลงในข้อกำหนดขอบเขตงาน (TOR) สำหรับการจัดซื้อจัดจ้างภาครัฐ เพื่อให้บริษัทเอกชนที่มาเสนอตัวทำงานให้รัฐต้องยกระดับมาตรฐานตามไปด้วย” เลขาธิการ สกมช. กล่าว
สำหรับแนวทางการปรับปรุงกฎหมาย และการเตรียมความพร้อมรับมือภัยคุกคามไซเบอร์ในอนาคต มีแนวคิดที่จะเพิ่มบทลงโทษใน พ.ร.บ.ไซเบอร์ สำหรับกรณีที่หน่วยงานทั้งภาครัฐและเอกชนไม่ปฏิบัติตามมาตรฐานขั้นต่ำ หรือเกิดเหตุแล้วไม่แจ้ง โดยปัจจุบันโทษปรับอยู่ที่ 200,000 บาท ซึ่งอาจไม่เพียงพอ จึงมีแนวคิดที่จะขยับขึ้นเป็นหลักล้านบาท
AI for Security and Security for AI
สกมช. ยังขับเคลื่อนแนวทาง “AI เพื่อการปกป้อง และการปกป้อง AI” หรือ AI for Security and Security for AI โดยมุ่งใช้ AI เพื่อยกระดับการป้องกันภัยไซเบอร์ และในขณะเดียวกัน ต้องปกป้องระบบ AI ไม่ให้ถูกโจมตี ถูกบิดเบือน หรือถูกนำไปใช้ในทางที่กระทบต่อความมั่นคงของประเทศ
แนวทางดังกล่าว จะขับเคลื่อนผ่าน 3 มิติสำคัญ ได้แก่ การพัฒนาคน การวางกระบวนการและมาตรฐาน และการสร้างเทคโนโลยีและระบบนิเวศ AI Security ของประเทศ อีกหนึ่งทิศทางสำคัญ คือการเตรียมประเทศไทยเข้าสู่ยุคควอนตัม ผ่านนโยบาย “Quantum-Ready 2030: การเตรียมความพร้อมระบบสารสนเทศ เพื่อเข้าสู่ยุคควอนตัมภายในปี 2573” เพื่อให้หน่วยงานภาครัฐและเอกชนสามารถเปลี่ยนผ่านระบบสารสนเทศไปสู่มาตรฐานการเข้ารหัสลับยุคหลังควอนตัม หรือ Post-Quantum Cryptography: PQC ได้อย่างเป็นรูปธรรม โดยขับเคลื่อนผ่าน 4 เสาหลัก ได้แก่ การสำรวจและเปลี่ยนผ่านระบบรหัสลับ, การเตรียมโครงสร้างพื้นฐาน, การพัฒนาบุคลากรและระบบนิเวศ และการกำหนดธรรมาภิบาลกับมาตรฐานกำกับดูแล
สกมช. กำลังจัดทำ Template และแนวทาง (Guideline) สำหรับ AI Security เพื่อให้หน่วยงานที่จะนำ AI มาใช้งานมีมาตรฐานการดูแลตั้งแต่การนำข้อมูลเข้า ไปจนถึงการควบคุมไม่ให้ AI ตอบคำถามที่เป็นอันตราย เช่น วิธีการทำระเบิด หรือการเปิดเผยชื่อพนักงานในองค์กร นอกจากนี้ ยังเฝ้าระวังเทรนด์ Agentic AI ที่แฮกเกอร์ใช้รันระบบให้ทำการแฮกโดยอัตโนมัติได้ตลอดทั้งวัน
สกมช. ยังให้ความสำคัญกับความปลอดภัยของ AI (AI Security) โดยการนำ AI มาใช้ต้องมีกติกาที่ชัดเจน ทั้งเรื่องความรับผิดชอบหาก AI ทำงานผิดพลาด และเรื่องจริยธรรม โดยขณะนี้เริ่มมีการคุยเรื่องร่างกฎหมาย AI ในไทย โดยศึกษาบทเรียนจากยุโรป (EU) ที่มีการจัดระดับความเสี่ยงของ AI และมีบทลงโทษรุนแรง หากละเมิดสิทธิหรือทำให้เสียชีวิต อย่างไรก็ตาม ไทยต้องระวังไม่ให้กฎหมายไปหยุดยั้งการพัฒนาของประเทศ โดยต้องหาจุดสมดุลที่เหมาะสม
ควอนตัม
สำหรับนโยบาย Quantum Ready 2030 ของประเทศไทย สกมช. ผลักดันแนวทาง PQC (Post-Quantum Cryptography) ซึ่งเป็นการเปลี่ยนวิธีการเขียนโปรแกรมเข้ารหัสให้ซับซ้อนขึ้น เพื่อต้านทานควอนตัม โดยมีแผนงาน คือ
- สำรวจจุดเสี่ยง: ทุกหน่วยงานต้องตรวจสอบว่ามีการเข้ารหัสข้อมูลส่วนใดบ้าง โดยเฉพาะข้อมูลความลับที่หากรั่วไหลจะสร้างความเสียหายหนัก
- ปรับเปลี่ยนมาตรฐาน: หากไทยไม่ปรับตัวตามมาตรฐานสากล อาจถูกลดอันดับความน่าเชื่อถือ และส่งผลต่อการทำธุรกรรมระหว่างประเทศ
- กรอบเวลา: ตั้งเป้าให้ทุกหน่วยงานมีแผนชัดเจนภายในปี 2030 เพื่อให้สอดคล้องกับมาตรฐานโลกอย่างสหรัฐฯ ที่วางเป้าหมายเปลี่ยนระบบให้เสร็จสิ้นในปี 2035
ทั้งนี้ ในส่วนของธนาคารแห่งประเทศไทย (ธปท.) เริ่มมีการตื่นตัวในเรื่องนี้ และได้เริ่มผลักดันให้เริ่มเปลี่ยนระบบแล้ว นอกจากภาคธนาคารแล้ว มองว่าหน่วยงานที่ต้องเร่งปรับตัว คือ ทหาร เพื่อป้องกันไม่ให้ความลับ และแผนการรบรั่วไหล หรือกระทรวงการต่างประเทศ ซึ่งเริ่มใช้ MFA แล้ว เพราะต้องป้องกันข้อมูลการเจรจาระหว่างประเทศ
“ภัยควอนตัม คือเสียงแห่งความเงียบ ที่แฮกเกอร์อาจแอบเก็บข้อมูลที่เข้ารหัสไว้ในวันนี้ เพื่อรอถอดรหัสในวันที่เทคโนโลยีพร้อม ดังนั้น จึงเป็นเรื่องที่รอไม่ได้ และต้องเริ่มเตรียมแผนตั้งแต่วันนี้ แม้จะมีข้อจำกัดด้านงบประมาณและบุคลากร แต่ต้องจัดลำดับความสำคัญเพื่อไม่ให้ประเทศไทยตกเป็นเหยื่อในอนาคต” เลขาธิการ สกมช. กล่าว
สถิติภัยออนไลน์ ลดลง 10 เท่า
สถานการณ์การหลอกลวงออนไลน์ในปัจจุบัน มีทิศทางที่ดีขึ้นอย่างเห็นได้ชัด โดยข้อมูลล่าสุด ณ วันที่ 21 มิ.ย. 69 พบว่าสถิติการหลอกลวงลดลงเหลือประมาณ 15 ล้านครั้งต่อวัน จากช่วงที่เคยพุ่งสูงถึง 150-170 ล้านครั้งต่อวัน โดยความสำเร็จนี้เกิดจากหลายมาตรการ ทั้งการจัดการแก๊ง Call Center รอบชายแดน, บัญชีม้า, ซิมผี, และเสาสัญญาณ นอกจากนี้ ประชาชนมีความรู้เท่าทันมากขึ้น เช่น ไม่รับสายเบอร์ที่ขึ้นต้นด้วย+ และไม่โอนเงินง่าย ๆ เมื่อเห็นเลขบัญชีผิดปกติ รวมถึงการมีสายด่วน 1441 ที่ช่วยระงับธุรกรรมได้ทันท่วงที ทำให้เงินไม่หลุดไปยังบัญชีม้า
โดย สำนักข่าวอินโฟเควสท์ (23 มิ.ย. 69)
