กระทรวงดิจิทัลฯ พบ องค์กรในไทยมีข้อมูลรั่วไหล 1,158 เรื่อง และอีก 21 หน่วยงาน เสี่ยงถูกเจาะระบบ

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) เผยปัญหาการรั่วไหลตลอดจนการซื้อขายข้อมูลของข้อมูลประชาชน พร้อมเร่งดำเนินการแก้ไขปัญหาด้วย 6 มาตรการ แบ่งเป็นระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และระยะ 12 เดือน

1. มาตรการระยะเร่งด่วน 30 วัน ทางกระทรวงดิจิทัลดำเนินมาตรการด้วยการมอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้ง “ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล” หรือ PDPC Eagle Eye รวมถึงเร่งตรวจสอบ ข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวังการรั่วไหลของข้อมูลส่วนบุคคล 

และจากการตรวจสอบกว่า 3,119 หน่วยงานทั้งภาครัฐและเอกชน พบข้อมูลรั่วไหลและแจ้งเตือนหน่วยงาน รวม 1,158 เรื่อง และมีหน่วยงานดำเนินการแก้ไขปัญหาข้อมูลรั่วไหลแล้วจำนวน 781 เรื่อง

นอกจากนี้ ยังพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และได้สั่งการให้ ศูนย์ PDPC Eagle Eye เร่งตรวจสอบอีก 9,000 หน่วยงานภายใน 30 วัน

2. มอบหมายให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ของระบบ Cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น หน่วยงานด้านพลังงานและสาธารณสุข บริการภาครัฐ และการเงินการธนาคาร

จากการตรวจสอบช่องโหว่ของระบบ Cybersecurity ช่วงวันที่ 9-20 พฤศจิกายน จำนวน 91 หน่วยงาน พบมีหน่วยงานที่มีความเสี่ยงในเรื่องความปลอดภัยทางไซเบอร์ในระดับสูง 21 หน่วยงาน ซึ่งทาง สกมช.ได้แจ้งให้แก้ไขแล้ว

นอกจากนี้ ยังพบการซื้อขายข้อมูลคนไทยในเว็บผิดกฎหมายที่คนร้ายหรือโจรออนไลน์นิยมใช้ (Dark Web) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับตำรวจไซเบอร์ (บช.สอท.)

3. มอบหมายให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และการป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัย เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด

4. ในมาตรการระยะ 6 เดือนกระทรวงดีอี และ สอท. จะดำเนินการเร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด

5. ดำเนินมาตรการระยะ 12 เดือนด้วยการส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ มั่นคงปลอดภัยตามหลักวิชาการสากล สามารถรองรับการใช้งานของบุคลากรในหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคลในกรณีที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์ 

6. ปรับปรุงกฎหมายที่เกี่ยวข้องให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น 

ยกตัวอย่างเช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติมให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และให้อำนาจ สคส. ดำเนินคดีได้เอง โดยไม่ต้องรอผู้เสียหายร้องเรียน พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์

ด้าน นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลฯ กล่าวย้ำในเรื่องมาตรการความปลอดภัยทางไซเบอร์ว่า “ขอยืนยันว่ารัฐบาลนี้เอาจริง เรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ สำหรับหน่วยงานปล่อยปละละเลยให้ข้อมูลรั่ว ผมได้สั่งการให้เร่งตรวจสอบ การเปิดเผยข้อมูลที่ไม่เหมาะสม และระบบ Cybersecurity ของหน่วยงานต่างๆ โดยเฉพาะหน่วยงานของรัฐที่มีข้อมูลประชาชนจำนวนมาก และสั่งการให้เร่งแก้ไขไปแล้ว หากหน่วยงานไหนยังทำผิดซ้ำจะลงโทษอย่างเคร่งครัดเด็ดขาดตามกฎหมาย”