ถอดบทเรียน เลขบัตรประชาชนหลุดจากประเทศสิงคโปร์

จากข่าวล่าสุดที่มีข้อมูลเลขบัตรประชาชนคนไทยพร้อมชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเกิด และเพศ หลุดออกไปกว่า 30 ล้านรายการนับเป็นประชากรราว 43% ซึ่งยังไม่ทราบที่มาว่าหลุดจากไหนอย่างไร และเป็นความจริงหรือไม่ เนื่องจากยังไม่มีการยืนยันการตรวจสอบข้อมูลที่หลุดมา (2) ความน่ากังวลก็คือข้อมูลเหล่านี้เราเอาไว้ใช้ในการยืนยันตัวตนทางโทรศัพท์ หรือ ทางดิจิตอลกับ ธนาคารต่าง ๆ หากคนอื่นทราบแล้วเอาไปใช้งานทาง Social Engineering จะทำอย่างไร (3)

ผมเองก็ทราบมาว่าก่อนหน้าเราก็มีประเทศสิงคโปร์ที่เคยโดนกรณีนี้เช่นกัน และโดนขโมยข้อมูลถึง 1.5 ล้านคนหรือราว 25% ของประชากร (4) ในปี 2018 ซึ่งต่อมาในปี 2019 สิงคโปร์ก็ออกกฎการจัดเก็บข้อมูลใหม่

ทำไมข้อมูลส่วนตัวจึงไม่ควรถูกเปิดเผย ?

เราเคยเห็นกรณีที่บัตรเครดิตถูกนำไปใช้ในทางที่ผิด ถูกแฮก เมื่อแจ้งทางธนาคาร ธนาคารจะส่งบัตรเครดิตใหม่ที่มีเลขบัตร 16 หลักรวมถึงข้อมูลทุกอย่างบนบัตร ไม่ซ้ำของเดิม ยกเว้นชื่อของเรา แต่ข้อมูลส่วนตัวของเรา นั้นต่างกัน เลขประจำตัวประชาชน วันเดือนปีเกิด นั้นติดตัวเราจนตาย เบอร์มือถือ อีเมล ที่อยู่ รวมถึงชื่อและนามสกุลนั้น เรายังสามารถเปลี่ยนแปลงได้ ดังนั้นหากข้อมูลที่เปลี่ยนไม่ได้นั้น กลายเป็นข้อมูลที่ทุกคนสามารถ ค้นหาใน google เจอ แล้วเอาไปใช้ในทางที่ผิด คงไม่ใช่เรื่องดีแน่ ๆ การป้องกันที่ดีที่สุดคือการไม่เปิดเผยให้ใครรู้

ในไทยเองก่อนหน้านี้การยืนยันตัวตนนั้นใช้แค่เลขบัตรประชาชนเท่านั้นแต่ต่อมามีการพัฒนามาใช้ Laser ID หลังบัตรอ้างอิงอีกชั้น รวมไปถึงให้ความรู้ประชาชนว่าไม่ต้องทำสำเนาหน้าหลังบัตรแล้ว (5) เพราะจะทำให้มิจฉาชีพสามารถนำไปใช้แอบอ้างตัวบุคคลได้

สิงคโปร์ทำอย่างไรหลังจากเหตุการณ์นั้น ?

หน่วยงาน Personal Data Protection Commission (PDPC) ได้ออกข้อบังคับห้ามเก็บข้อมูลเลขบัตรประจำตัวประชาชน และเลขอื่น ๆ ที่ไม่สามารถเปลี่ยนแปลงได้ เช่น เลขใบรับรองการเกิด เลขประจำตัวต่างด้าว และเลขประจำตัวผู้มีใบอนุญาตทำงาน ตั้งแต่ 1 กันยายน 2019 โดยมีแนวทางการปฏิบัติต่าง ๆ ออกมาเป็นเอกสาร (6) ซึ่งผมจะยกตัวอย่างที่น่าสนใจของเอกสารมา

1. ให้ใช้ตัวเลือกอื่นแทนเลขบัตรประชาชนเพื่อใช้ในการอ้างอิงบุคคล เช่น

• ชื่อผู้ใช้งาน (User Selected Identifier/User Name)
• Email Address
• เบอร์โทรศัพท์ (Mobile Number)
• เลขบัตรประชาชนบางส่วน (Partial NRIC Number) เช่น ใช้เลขท้าย 3 หลัก แทนที่จะใช้เลขทั้งหมดร่วมกับการใช้ข้อมูลอื่น ๆ

2. มีการนำเสนอแนวทางในการลบข้อมูลเลขประจำตัวประชาชนจากระบบที่สามารถเข้าถึงได้จาก อินเตอร์เน็ตทั้งหมด เช่นให้ทำการทดสอบลบข้อมูลเลขประจำตัวประชาชน ก่อนนำไปใช้บนระบบจริง

3. หากจำเป็นต้องการตรวจสอบยืนยันตัวตนด้วยเลขบัตรประชาชนให้ทำการตรวจสอบผ่านระบบ SG-VERIFY ที่พัฒนาโดย Government Technology Agency (“GovTech”) ซึ่งการตรวจสอบนี้จะทำให้ไม่ต้องจัดเก็บข้อมูลเลขบัตรประชาชนไว้กับระบบ

ความเห็นส่วนตัว :

เอาตรง ๆ ผมเองก็หวังว่าประเทศไทยจะเอาตัวอย่างเขามาทำบ้าง เพราะปัจจุบันมีระบบตรวจสอบยืนยันตัวตนของหน่วยงานของรัฐ และสถาบันการเงินที่ใช้ในส่วนของ Laser ID ซึ่งใช้การตรวจสอบคล้ายคลึงกัน เพียงแต่ปัจจุบัน ยังไม่มีการห้ามเก็บข้อมูลเลขบัตรประจำตัวประชาชนเหมือนกับสิงคโปร์ (7)

อีกเรื่องที่อยากจะบ่นคือ เหตุการณ์ที่สิงคโปร์นั้นเกิดตั้งแต่ปี 2018 และตอนนี้ปี 2021 แล้ว แต่เราไม่ได้มองเห็นว่าเราควรจะมีการป้องกันเหมือนเขาบ้าง ถึงจะยังไม่มีการยืนยันเรื่องข้อมูลหลุด กว่า 30 ล้านคนนั้นเป็นเรื่องจริงหรือไม่ แต่ตอนนี้เราทุกคนนั้นก็อยู่ในความเสี่ยงที่ว่า ผู้ให้บริการต่าง ๆ นั้น จัดเก็บข้อมูลของเราได้ดีขนาดไหน แล้วมันจะหลุดจากผู้ให้บริการรายไหน วันไหน เท่านั้นเอง

ช่วงขายของ :

หากระบบของท่านมีการจัดเก็บข้อมูลส่วนบุคคล และไม่แน่ใจว่าการจัดเก็บนั้นดีเพียงพอหรือไม่ทาง บริษัท ดาต้าฟาร์ม จำกัด มีบริการทดสอบเจาะระบบหรือที่เรียกว่า Penetration Testing โดยจะมี scenario ในการจำลองเป็นผู้ไม่หวังดีเพื่อขโมยข้อมูลด้วยวิธีการต่าง ๆ โดยสิ่งมุ่งหวังของการทดสอบคือการทราบจุดอ่อนของระบบและทำการปรับปรุงก่อนที่บุคคลภายนอกจะได้ข้อมูลสำคัญไป ซึ่งจะส่งผลกระทบเป็นมูลค่ามหาศาลต่อชื่อเสียงและความน่าเชื่อถือของบริษัท โดยทั้งสองอย่างนี้ไม่สามารถประเมินมูลค่าความเสียหายได้ ซึ่งทางเราแนะนำให้มีการตรวจสุขภาพของระบบเป็นประจำทุกปี อย่างน้อยปีละ 1 ครั้ง เช่นเดียวกับการตรวจสุขภาพของร่างกายเรา เนื่องจากทุก ๆ วันจะมีช่องโหว่ ใหม่ๆ เกิดขึ้นอยู่เสมอ ซึ่งหากสนใจตรวจสุขภาพระบบของท่าน สามารถติดต่อได้เลยที่

Datafarm Company Limited
Tel : +66 8 9178 1287 , +66 2 009 3434

อ้างอิง :

1. รูปประกอบบทความ https://www.facebook.com/PDPC.Singapore/photos/a.455518624553556/2067529726685763/

2. ข่าวเพจดังอ้าง ข้อมูลหลุดอีก 30 ล้านรายการ ละเอียดยิบทั้งเลขบัตรประจำตัวประชาชน เบอร์โทร
https://thairath.co.th/news/society/2187556

3. เลข ‘บัตรประชาชน’ ทั้งด้านหน้า-หลัง สำคัญแค่ไหน !?
https://www.bangkokbiznews.com/news/detail/888944

4. ข่าวการโดนโจมตีของสิงคโปร์
https://www.bbc.com/news/world-asia-44900507
https://www.moh.gov.sg/news-highlights/details/singhealth's-it-system-target-of-cyberattack
https://www.thaipost.net/main/detail/13805

5. รู้ไหม..ทำไมถึงห้ามถ่ายสำเนาบัตรประจำตัวประชาชนด้านหลังโดยเด็ดขาด

https://krungthai.com/th/krungthai-update/news-detail/478

6. เอกสาร TECHNICAL GUIDE TO ADVISORY GUIDELINES ON THE PERSONAL DATA PROTECTION ACT FOR NRIC AND OTHER NATIONAL IDENTIFICATION NUMBERS
https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Technical-Guide-to-Advisory-Guidelines-on-NRIC-Numbers---260819.pdf?la=en

7. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF