เศรษฐกิจ
บทเรียนข้อมูลลูกค้า 'ไอทรูมาร์ท' รั่ว ถึงเวลาทบทวนกฎลงทะเบียนซิมหรือไม่
นายอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต กล่าวกับ 'วอยซ์ ออนไลน์' ว่า กรณีข้อมูลส่วนบุคคลของลูกค้า iTruemart หลุดรั่วออกไปนั้น มีข้อสังเกต 3 เรื่อง คือ 1) ผู้เชี่ยวชาญต่างประเทศ ซึ่งเป็นผู้ชี้เบาะแสกรณีนี้ ได้ติดต่อแผนกบริการลูกค้าของ ทรูมูฟ เอช ตั้งแต่วันที่ 8 มี.ค.เพื่อให้บริษัทดำเนินการเรื่องความปลอดภัยของข้อมูลส่วนตัวลูกค้า แต่เหตุใดตัวแทนของไอทรูมาร์ทที่เข้าชี้แจงกับ กสทช.ในวันนี้ (17 เม.ย.) ระบุว่า รับทราบเรื่องเมื่อวันที่ 11 เม.ย. เหตุใดกระบวนการรับเรื่องจากแผนกบริการลูกค้าไปถึงแผนกเทคนิคใช้เวลานานกว่า 1 เดือน และหากระหว่างนี้ มีความเสียหายเกิดขึ้น จากข้อมูลส่วนตัวของลูกค้าที่หลุดรอดไป บริษัทจะรับผิดชอบอย่างไร
2) แม้ขณะนี้ยังไม่พบความเสียหายของข้อมูลส่วนตัวของลูกค้าที่หลุดรอดไป แต่บริษัทผู้ให้บริการควรต้องมีการเยียวยาความเสียหายกับลูกค้าที่ได้รับผลกระทบด้วย เพราะการละเมิดข้อมูลลูกค้าได้เกิดขึ้นแล้ว
และ 3) การที่ กสทช. ออกข้อกำหนดให้ผู้ให้บริการโทรศัพท์เคลื่อนที่รับลงทะเบียนจากลูกค้า ด้วยเหตุผลด้านความมั่นคงป้องกันการก่อการร้าย และฉ้อโกง โดยไม่ได้มีระเบียบหรือมาตรการรองรับ ในอีกด้านหนึ่ง ได้สร้างภาระให้กับผู้ประกอบการให้มีค่าใช้จ่ายในการเก็บรักษาข้อมูล และเพิ่มความเสี่ยงให้เกิดการหลุดรั่วของข้อมูลด้วย
ดังนั้น กสทช. ควรมีการประเมินผลกระทบจากการออกกฎระเบียบหรือกฎหมาย หรือที่เรียกว่า 'RIA' (Regulatory Impact Assessment) ให้รอบด้านก่อนจะมีกฎเกณฑ์หรือข้อกำหนดใดๆ ออกมา เพราะจากกรณีที่เกิดขึ้นล่าสุด เป็นตัวอย่างที่ชี้ว่า นอกจากไม่ตอบโจทย์ด้านความมั่นคงปลอดภัยแล้ว ยังสร้างปัญหา เพิ่มค่าใช้จ่ายแก่ผู้ประกอบการในการเก็บรักษาข้อมูล และยังเพิ่มความเสียหายเมื่อมีข้อมูลหลุดรั่วด้วย
กสทช. เตรียมเรียก 5 ค่ายมือถือ
นายฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. กล่าวถึงผลการประชุมร่วมกับตัวแทนทรู ในช่วงเช้าวันนี้ (17 เม.ย.) ว่า จากที่ได้เชิญตัวแทนจากบริษัท ทรู คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัท แอสเซนด์ คอมเมิร์ซ จำกัด ผู้ให้บริการไอทรูมาร์ท (iTruemart) เพื่อมาชี้แจงเรื่องราวที่เกิดขึ้นเกี่ยวกับข้อมูลบัตรประชาชนของลูกค้าที่ลงทะเบียนหมายเลขโทรศัพท์มือถือที่อยู่บนคลาวด์ถูกเจาะข้อมูลได้นั้น
ในเบื้องต้น กสทช.ยังไม่มีบทลงโทษ แต่จะรวบรวมข้อมูลทั้งหมดเพื่อนำเข้าที่ประชุมคณะกรรมการ กสทช. เพื่อพิจารณาอีกครั้งหนึ่ง เพราะจริงๆ แล้วการลงทะเบียนซิมทรู จะต้องเป็นผู้ดำเนินการเองไม่ใช่ให้ iTruemart ทำ
ดังนั้น สำนักงาน กสทช. จะมีหนังสือแจ้งเตือนไปยังผู้ให้บริการโทรศัพท์เคลื่อนที่ (โอเปอร์เรเตอร์) ทั้ง 5 ค่าย และให้ทั้งหมดทำหนังสือแจ้งเตือนกลับมาที่สำนักงาน กสทช. เพื่อป้องกันไม่ให้เกิดความเสียหายกับข้อมูลลูกค้าอีก
ส่วนทรูต้องไปหาข้อมูลมาว่ามีลูกค้าได้รับผลกระทบจากเรื่องนี้หรือไม่ และจะมีมาตรการเยียวยาอย่างไรบ้าง แม้ว่า ลูกค้าอี-คอมเมิร์ซของ iTruemart มีมากกว่า 1 ล้านราย แต่ลูกค้าที่ลงทะเบียนทางออนไลน์ผ่าน iTruemart มีเพียงจำนวน 11,400 ราย ก็ตาม
นอกจากนี้ ได้มีแผนระยะยาว กสทช. คือการทำศูนย์กลางการจัดเก็บข้อมูล (ดาต้าเซ็นเตอร์) ซึ่ง กสทช. มีแผนจะใช้เงินกองทุนบริการโทรคมนาคมพื้นฐานโดยทั่วถึงและบริการเพื่อสังคม (USO) ในการดำเนินการเพื่อสร้างความเชื่อมั่น
"สำหรับแผนระยะยาวนั้น กสทช.มีแผนจะใช้งบ USO เพื่อสร้าง ดาต้า เซ็นเตอร์ของตนเอง เพื่อให้ประชาชนมั่นใจว่าข้อมูลที่สำคัญจะไม่รั่วไหล" นายฐากร กล่าว
'ทรู' ยันส่ง SMS แจ้งลูกค้าที่ได้รับผลกระทบ พร้อมแจ้งความลงบันทึกประจำวันแทนแล้ว
นายภัคคพงศ์ พัฒนมาศ รองผู้อำนวยการ ธุรกิจโมบายล์ บริษัท ทรู คอร์ปอเรชั่น จำกัด (มหาชน) กล่าวว่า ทรูมูฟ เอช มีพาร์ทเนอร์ในการให้บริการในรูปแบบออนไลน์ แพลตฟอร์ม คือ iTruemart ในการซื้อเครื่องพร้อมเบอร์ post-paid (จ่ายค่าบริการเป็นรายเดือน) ของทรูมูฟ เอช ดังนั้น ลูกค้าที่ได้รับผลกระทบ ทรูจะส่งเอสเอ็มเอสแจ้งเตือน และจะแจ้งความลงบันทึกประจำวันแทนลูกค้า เพื่อป้องกันสิทธิ์ และมีคอลเซ็นเตอร์ 1242 ให้ลูกค้าโทรฟรี หากลูกค้าจะมีปัญหาในอนาคตทรูก็พร้อม จะดูแลลูกค้า
"ตอนนี้ยังไม่มีลูกค้าได้รับผลกระทบ และถ้าพาร์ตเนอร์ทรูไม่มีระบบด้านความปลอดภัย ทรูก็จะไม่ทำธุรกิจด้วย" นายภัคคพงศ์ กล่าว
ขณะที่นายสืบสกุล สกลสัตยาทร กรรการผู้จัดการ บริษัท แอสเซนด์ คอมเมิร์ซ จำกัด ผู้ให้บริการ iTruemart กล่าวว่า ข้อมูลที่ถูกเจาะเข้าฐานข้อมูลเป็นส่วนของลูกค้าที่ลงทะเบียนผ่านช่องทางไอทรูมาร์ทเท่านั้น โดยโฟลด์เดอร์ที่ถูกเจาะมีเพียงสำเนาบัตรประชาชนลูกค้า จำนวน 11,400 ราย ซึ่งเมื่อบริษัททราบเรื่องในวันท่ี 11 เม.ย. ที่่ผ่านมา ก็ได้เร่งปิดช่องโหว่ทันที โดยปิดช่องโหว่ได้เมื่อเวลา 19.00 น. ของวันที่ 12 เม.ย. นอกจากนี้ก็ได้มีมาตรการด้านความปลอดภัยระบบมากขึ้น
พร้อมกับยืนยันว่า บริษัทมีระบบความปลอดภัยที่ดี ไม่มีการตั้งค่าพับลิก (สาธารณะ) จนทำให้ถูกล้วงข้อมูลได้ แต่คนล้วงข้อมูลตั้งใจใช้เครื่องมือพิเศษ ที่ชื่อว่า Bucket Stream ในการเข้าถึงไฟล์ที่ทาง iTruemart ซึ่งเริ่มจัดเก็บไว้ตั้งแต่ปี 2558 และเครื่องมือดังกล่าวไม่ใช่เครื่องมือที่บุคคลทั่วไปสามารถนำไปใช้งานเพื่อเข้าถึงไฟล์ได้โดยง่าย ดังนั้น จึงมั่นใจได้ว่าข้อมูลดังกล่าวยังมีความปลอดภัยอยู่
ส่วนการตั้งค่าระบบของทาง iTruemart เป็นการตั้งค่าตามมาตรฐานที่กำหนดไว้ในปี 2558 เพียงแต่เมื่อมีการคิดค้นเครื่องมือใหม่ๆ ออกมา ทำให้ค่ามาตรฐานที่เคยตั้งค่าไว้ ไม่ปลอดภัยอีกต่อไป
"ข้อมูลที่ถูกเก็บไว้ใน Storage ของ Amezon S3 ได้ตั้งรหัสการเข้าถึงข้อมูลเป็นการเฉพาะ และเป็นระบบปิดอยู่แล้ว และหากไม่ใช่ผู้เชี่ยวชาญ ก็ไม่สามารถเข้าถึงได้" นายสืบสกุล กล่าว
ส่วนกรณีที่นายไนออล แมริแกน หัวหน้าฝ่ายพัฒนาซอฟต์แวร์และความปลอดภัยทางไซเบอร์ของบริษัทแคปเจมิไน เข้าถึงข้อมูลในระบบนั้น นายสืบสกุลระบุว่า "นายไนออลไม่มีสิทธิในการเข้าถึงข้อมูลดังกล่าว และการที่จะแฮกเข้าถึงข้อมูลส่วนนี้จะต้องใช้เครื่องมือถึง 3 ตัว ซึ่งเมื่อดูจากข้อมูลพบว่า นายไนออลมีเจตนาแฮกเข้าระบบ และกำลังพิจารณาว่าจะดำเนินการอย่างไรกับนักวิจัยรายนี้หรือไม่"
ข่าวที่เกี่ยวข้อง :
