อย่าซุกเรื่องใต้พรม หวั่น “ข้อมูลรั่ว” เอไอเอส กระทบลึกถึงข้อมูลส่วนบุคคล

สภาผู้บริโภค เร่งเอไอเอส หาสาเหตุ ชี้แจงผลกระทบ และออกมาตรการเยียวยาผู้บริโภคที่อาจได้รับผลกระทบจากกรณี ‘ข้อมูลลูกค้ารั่วไหล’ พร้อมชงหน่วยงานรัฐร่วมตรวจสอบ กำกับดูแล แก้ไขและป้องกันไม่ให้เกิดซ้ำ

จากกรณีที่มีกลุ่มแฮกเกอร์ใช้ชื่อ ‘DESORDEN’ อ้างว่าสามารถเจาะเข้าระบบฐานข้อมูลเซิร์ฟเวอร์โมบายล์ พีบีเอ็กซ์* (Mobile PBX : Private Branch Exchange) ของบริษัทแอดวานซ์ อินโฟร์ เซอร์วิส หรือ เอไอเอส (AIS) ได้สำเร็จ ทำให้ได้ข้อมูลบันทึกเสียง บันทึกการโทรเข้า และบันทึกการโทรออกของลูกค้าองค์กรรวมหลายล้านรายการ ซึ่งรวมถึงบริษัทใหญ่ ๆ เช่น SC Assets, DHL, Lazada, SCG, Unilever, Central Group เป็นต้น และต่อมาเอไอเอสได้ออกมาแถลงข่าวยืนยันว่าสถานการณ์ดังกล่าวไม่ส่งผลกระทบใด ๆ ต่อลูกค้าทั่วไปและลูกค้านิติบุคคลที่ไม่ได้ใช้บริการโมบายล์ พีบีเอ็กซ์ นั้น

วันนี้ (7 กันยายน 2566) สุภิญญา กลางณรงค์ ประธานอนุกรรมการ ด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค ระบุถึงกรณีที่เกิดขึ้นว่า เอไอเอสควรออกมาเปิดเผยสาเหตุ ความเสียหาย ผลกระทบทั้งหมดที่เกิดขึ้น รวมถึงผู้ที่จะได้รับผลกระทบเหตุการณ์ดังกล่าวด้วย ทั้งนี้ สิ่งที่เกิดขึ้นสะท้อนให้เห็นปัญหาเรื่องความปลอดภัยของข้อมูล ซึ่งบริษัทต้องแสดงความรับผิดชอบ และกำหนดมาตรการเยียวยาความเสียหายหรือมาตรการอย่างใดอย่างหนึ่งเพื่อเป็นหลักประกันว่าปัญหาเหล่านี้จะได้รับการแก้ไขอย่างทันท่วงทีและจะไม่เกิดขึ้นอีก

นอกจากนี้ อยากเห็นการตื่นตัวของหน่วยงานภาครัฐที่เกี่ยวข้อง เช่น สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ตำรวจไซเบอร์ เป็นต้น ออกมาตรวจสอบสาเหตุของสิ่งที่เกิดขึ้น รวมถึงผลกระทบที่จะเกิดขึ้น เพื่อให้ผู้บริโภคสามารถใช้ข้อมูลจากทั้งภาครัฐและเอกชนเพื่อประกอบการพิจารณาว่าเขามีความเสี่ยงที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่ เพื่อให้ผู้บริโภคสามารถป้องกันและจัดการปัญหาได้อย่างทันท่วงที

“ไม่ว่าจะเกิดผลกระทบต่อคนเพียงหนึ่งคน หรือล้านคน แต่ในเมื่อเกิดผลกระทบขึ้น ก็ต้องมีคนรับผิดชอบและต้องมีมาตรการเยียวยาและมาตรการป้องกันเพื่อสร้างความมั่นใจว่าปัญหาแบบนี้จะไม่เกิดขึ้น ซึ่งองค์กรภาครัฐที่กำกับดูแลเรื่องโทรคมนาคม เรื่องความมั่นปลอดภัยไซเบอร์ รวมถึงองค์กรที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคล ทุกองค์กรควรจะออกมาแสดงท่าทีแล้วก็สร้างความเชื่อมั่นกับผู้บริโภคว่าปัญหาลักษณะนี้จะได้รับการแก้ไขเยียวยาและป้องกัน เพื่อฟื้นฟูความเชื่อมั่นของผู้บริโภค” ประธานอนุกรรมการด้านการสื่อสารฯ กล่าว

ส่วนคำแนะนำต่อผู้บริโภคเกี่ยวกับเหตุการณ์ที่เกิดขึ้น สุภิญญา ระบุว่า ผู้บริโภคต้องตื่นตัวและพิจารณาว่าเหตุการณ์ที่เกิดขึ้นอาจส่งผลกระทบต่อตัวเองอย่างไร กรณีที่คาดว่าจะได้รับผลกระทบหรือเกิดปัญหา แนะนำให้ติดต่อไปที่เอไอเอสเพื่อกระตุ้นให้บริษัทฯ เกิดความระมัดระวังและให้ความสำคัญในเรื่องความปลอดภัยมากขึ้น นอกจากนี้ สำหรับผู้บริโภคที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าวและไม่ได้รับการชดเชยเยียวยา สามารถร้องเรียนกับสภาผู้บริโภคหรือหน่วยงานที่เกี่ยวข้องเพื่อให้เกิดการแก้ไขปัญหาต่อไป

ทั้งนี้ สภาผู้บริโภคจึงมีข้อเรียกร้องของต่อ บริษัทเอไอเอสและหน่วยงานกำกับดูแล ดังนี้

  1. เรียกร้องให้บริษัทแอดวานซ์ อินโฟร์ เซอร์วิส เร่งตรวจหาสาเหตุและออกมาชี้แจ้งให้ผู้บริโภคทราบ รวมถึงเปิดเผยผลกระทบและผู้ที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าวด้วย เพื่อให้ผู้บริโภคสามารถระมัดระวังและป้องกันตัวเองได้ ทั้งนี้ หากเหตุการณ์ดังกล่าวกระทบต่อผู้บริโภค บริษัทฯ ต้องกำหนดมาตรการเยียวยาและป้องกันที่ชัดเจน เพื่อสร้างความมั่นใจว่าจะไม่เกิดปัญหาในลักษณะดังกล่าวขึ้นอีก
  2. เรียกร้องให้หน่วยงานภาครัฐที่เกี่ยวข้องกับเรื่องดังกล่าว วินิจฉัยและตรวจสอบสาเหตุของเหตุการณ์ที่เกิดขึ้น พร้อมทั้งเปิดเผยเรื่องผลกระทบและผู้ที่จะได้รับผลกระทบจากเหตุการณ์ดังกล่าว ทั้งนี้ อาจมีการเรียกบริษัทเข้าไปชี้แจงถึงเหตุการณ์ที่เกิดขึ้น และกำกับดูแลให้บริษัทฯ ออกมาตรการเยียวยาและป้องกันความเสียหายจากเหตุการณ์ดังกล่าว

ทางด้าน นายแพทย์ประวิทย์ ลี่สถาพรวงศา ที่ปรึกษาประจำกรรมการกิจการกระจายเสียงกิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ แสดงความเห็นว่า เมื่อเกิดเหตุการณ์ในลักษณะดังกล่าวขึ้น สิ่งแรกที่ต้องทำคือตรวจสอบว่ามีการโจมตีครั้งอื่นเกิดขึ้นหรือไม่ หรือมีข้อมูลอื่นที่นอกเหนือจากที่แฮกเกอร์ระบุถูกขโมยไปหรือไม่ ทั้งนี้การที่เอไอเอสออกมาชี้แจ้งว่าเป็นข้อมูลในส่วนของโมบายล์ พีบีเอ็กซ์ หรือเบอร์โทรศัพท์สาขาจึงไม่กระทบต่อผู้บริโภคนั้น “อาจไม่ใช่ความจริงเสมอไป” จึงต้องมีการตรวจสอบให้แน่ใจว่า หมายเลขดังกล่าวเป็นเบอร์ที่ใช้ติดต่อกับลูกค้าหรือบุคคลภายนอกด้วยหรือไม่ หากเป็นบันทึกข้อมูลการโทรติดต่อกับลูกค้า ซึ่งอาจมีข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล ที่อยู่ เลขบัตรประชาชน หมายเลขบัตรเครดิต เลขบัญชีธนาคาร หรือรหัสผ่านต่าง ๆ นั่นแปลว่าการรั่วไหลของข้อมูลที่เกิดขึ้นกระทบต่อผู้บริโภคเช่นกัน

 ส่วนกรณีข้อมูลที่รั่วไหลไม่มีข้อมูลส่วนบุคคล อาจต้องตั้งคำถามต่อไปว่ามิจฉาชีพโจรกรรมข้อมูลเหล่านี้ด้วยวัตถุประสงค์ใด เช่น ข้อมูลดังกล่าวอาจถูกนำไปเป็นข้อมูลของแก๊งคอลเซ็นเตอร์ ในการสังเกตพฤติกรรมของผู้บริโภค เพื่อให้สามารถแอบอ้างเป็นบริษัท องค์กร หรือหน่วยงานต่าง ๆ ได้อย่างแนบเนียน ซึ่งส่งผลให้ผู้บริโภคมีโอกาสตกเป็นเหยื่อมิจฉาชีพเหล่านี้ได้ง่ายขึ้น

“การออกประกาศว่าสิ่งที่เกิดขึ้นไม่ส่งผลกระทบต่อผู้บริโภคโดยที่ยังไม่ได้ตรวจสอบอย่างถี่ถ้วนอาจไม่สามารถป้องกันปัญหาที่เกิดขึ้นในอนาคตได้ ในทางกลับกันหากเอไอเอสแจ้งเตือนบริษัทต่าง ๆ ที่เป็นเจ้าของข้อมูลได้ว่าข้อมูลที่ถูกโจรกรรมไปมีข้อมูลเกี่ยวกับอะไรบ้าง เกี่ยวข้องกับผู้บริโภคหรือไม่ ก็จะทำให้บริษัทเหล่านั้นสามารถแจ้งเตือนลูกค้าให้ระวังภัยที่อาจเกิดขึ้นในอนาคตได้ทัน” ปรึกษาประจำประธาน กสทช. ระบุ

ทั้งนี้ ในแง่ของกฎหมายและการจัดการ กรณีที่เกิดขึ้นเกี่ยวข้องกับกฎหมายที่อย่างน้อย 3 ฉบับ คือ 1. พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 2. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายพีดีพีเอ (PDPA : Personal Data Protection Act) โดยกฎหมายทั้งสองฉบับนี้อยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ 3. พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 ซึ่งอยู่ในความรับผิดชอบของ กสทช. ซึ่งกฎหมายแต่ละฉบับก็จะกำหนด ขั้นตอนการรายงาน การสอบสวน รวมถึงการแก้ไขเยียวยาไว้ด้วย

นายแพทย์ประวิทย์อธิบายต่ออีกว่า สิ่งที่ต้องให้ความสำคัญเป็นอันดับแรกคือ พ.ร.บ.ความมั่นคงไซเบอร์ และกฎหมายข้อมูลส่วนบุคคล เนื่องจาก 2 กฎหมายดังกล่าวจะมีโทษเฉพาะตามกฎหมาย โดยพ.ร.บ.ความมั่นคงไซเบอร์จะเกี่ยวกับการค้นหาสาเหตุและวิธีการเจาะข้อมูล รวมไปถึงการตรวจสอบว่ามีความเสียหายเกิดขึ้นมากน้อยเพียงใด มีความเสียหายเกิดขึ้นมากกว่าที่มิจฉาชีพระบุหรือไม่ รวมถึงต้องหาวิธีแก้ไขและป้องกันเพื่อไม่ให้เกิดเหตุการณ์ในลักษณะเดิมอีก ขณะที่กฎหมายพีดีพีเอจะเข้ามาเกี่ยวข้องในเรื่องกระทบต่อเจ้าของข้อมูล และการแจ้งเตือนภัยให้ผู้บริโภคได้รับทราบ

ส่วนกฎหมายของ กสทช. นั้นส่วนใหญ่จะเป็นกฎหมายทางปกครอง กล่าวคือ มีอำนาจในการสั่งให้ผู้ประกอบกิจการแก้ไขสิ่งที่ผิดพลาดให้ถูกต้องเท่านั้น ดังนั้น สิ่งที่ กสทช. ดำเนินการได้น่าในเบื้องต้นจะเป็นการเรียกบริษัทฯ เข้าไปรายงานสาเหตุ ผลกระทบ รวมถึงมาตรการแก้ไขเยียวยาให้ กสทช. ทราบเพื่อพิจารณาแก้ไขปัญหาต่อไป

นายแพทย์ประวิทย์กล่าวทิ้งท้ายว่า สำหรับผู้บริโภคที่อยากป้องกันตัวเองเบื้องต้น ทำได้โดยการติดตามข่าวสารและตรวจสอบว่าข้อมูลที่รั่วไหลนั้นเป็นของบริษัทใดบ้าง และในช่วงที่ผ่านมาผู้บริโภคได้ทำธุรกรรมหรือติดต่อกับบริษัทดังกล่าวเพื่อเปลี่ยนแปลง แก้ไขข้อมูล หรือมีบทสนทนาที่มีข้อมูลส่วนบุคคลอยู่ด้วยหรือไม่ และอาจดำเนินการป้องกันและจำกัดความเสียหายอาจที่เกิดด้วยตนเองในเบื้องต้น เท่าที่สามารถดำเนินการได้ เช่น การเปลี่ยนรหัสผ่าน จำกัดวงเงิน หรือโอนเงินไปบัญชีที่ไม่เชื่อมกับธุรกรรมออนไลน์ หรือการเปลี่ยนรหัสผ่านบนเว็บไซต์ หรือแอปพลิเคชันต่าง ๆ เป็นต้น

*โมบายล์ พีบีเอ็กซ์ (Mobile PBX : Private Branch Exchange) คือ เป็นระบบชุมสายโทรศัพท์ย่อย หรืออธิบายให้เข้าใจแบบง่าย ๆ คือเบอร์โทรศัพท์สำนักงาน ที่ทำให้สำนักงานนั้น ๆ มีหมายเลขติดต่อเพื่อใช้สำหรับติดต่อสื่อสารกันเองภายใน รวมทั้งใช้เชื่อมต่อกับสายโทรศัพท์ภายนอกที่ต้องการโทรติดต่อเข้ามายังแผนกต่าง ๆ ภายในสำนักงาน โดยระบบนี้อาจถูกนำไปใช้เป็นโทรศัพท์ประจำสำนักงานในสาขาต่าง ๆ รวมถึงทำให้พนักงานสามารถใช้โทรศัพท์มือถือรับสายคนที่โทรเข้าเบอร์สำนักงานได้อีกด้วย นั่นหมายความว่า ข้อมูลที่เราติดต่อกับสาขาย่อยของธนาคาร ตลาดออนไลน์ ขนส่ง หรือบริษัทต่าง ๆ ก็อาจเป็นหนึ่งในข้อมูลที่ถูกโจรกรรมไปด้วย ซึ่งอาจจะมีข้อมูลบัตรประชาชน ที่อยู่ รหัสบัญชีธนาคาร หรือข้อมูลส่วนบุคคลอื่น ๆ อยู่ด้วย

#สภาองค์กรของผู้บริโภค #สภาผู้บริโภค #ผู้บริโภค

ปรึกษาปัญหาผู้บริโภค