“ประเสริฐ” เผย พบกว่าพันหน่วยงานรัฐข้อมูลรั่ว 21 หน่วยงานระบบไซเบอร์เสี่ยง

นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ในช่วงที่ผ่านมา มีปัญหาการหลุดรั่วของข้อมูลประชาชน ตลอดจนการซื้อขายข้อมูลประชาชนตามที่เป็นข่าว อย่างต่อเนื่อง ดีอีจึงได้เร่งดำเนินการ  6 มาตรการ เพื่อแก้ปัญหานี้ โดยแบ่งเป็น ระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และ ระยะ 12 เดือน 

สำหรับระยะเร่งด่วน ใน 30 วัน ประกอบด้วย 4 มาตรการ คือ

1. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบ ข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคล โดยในช่วง 9 - 20 พ.ย. 2566 ได้ดำเนินการและมีผลดังนี้ 

- ตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน)

- ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงานแล้ว จำนวน 1,158 เรื่อง

- หน่วยงานแก้ไขแล้วจำนวน 781 เรื่อง

นอกจากนี้ ยังพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และได้สั่งการให้ ศูนย์ PDPC Eagle Eye เร่งตรวจสอบ 9,000 หน่วยงาน ใน 30 วัน

2. ให้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ ระบบ cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) อาทิ ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น 

โดยการตรวจสอบช่องโหว่ ของระบบ cybersecurity ช่วง 9-20 พ.ย. 2566 พบว่า 

- ตรวจสอบระบบ cybersecurity แล้ว จำนวน 91 หน่วยงาน 

- ตรวจพบมีความเสี่ยงระดับสูง 21 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว

นอกจากนี้ พบการซื้อขายข้อมูลคนไทยใน darkweb (เว็บผิดกฎหมาย ที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.

3. ให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด

4. ให้ ดีอี และ สอท. เร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด

ส่วนมาตรการระยะ 6 เดือน คือ การส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ ความมั่นคงปลอดภัยตามหลักวิชาการสากล รองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคล จากสาเหตุที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์ 

ขณะที่มาตรการในระยะ 12 เดือน ต้องดำเนินการปรับปรุงกฎหมายที่เกี่ยวข้อง ให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น เช่น 

- พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล

- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และ ให้อำนาจ สคส. ดำเนินคดีได้เอง โดยไม่ต้องรอผู้เสียหายร้องเรียน 

- พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์

ขอยืนยันว่า รัฐบาลนี้ เอาจริง เรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ สำหรับเรื่องหน่วยงานที่ปล่อยปละละเลยให้ข้อมูลรั่ว ผมได้สั่งการให้ เร่งตรวจสอบ การเปิดเผยข้อมูลที่ไม่เหมาะสม และ ระบบ cybersecurity ของหน่วยงานต่างๆ โดยเฉพาะหน่วยงานของรัฐที่มีข้อมูลประชาชนจำนวนมาก ยังพบว่ามีข้อมูลรั่ว และสั่งการให้เร่งแก้ไขไปแล้ว หากหน่วยงานไหน ยังทำผิดซ้ำ จะลงโทษอย่างเคร่งครัดเด็ดขาด ตามกฎหมาย