“ดีอีเอส” ถก 5 ผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซรายใหญ่ หามาตรการป้องกัน หลังพบข้อมูลผู้ใช้บริการ 13 ล้านรายเกิดการรั่วไหล

สืบเนื่องจากเมื่อวันที่ 20 พฤศจิกายน 2563  มีรายงานจากสื่อมวลชนถึงกรณีข้อมูลผู้ใช้บริการของผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซรายใหญ่รั่วไหล และมีการนำข้อมูลผู้ใช้บริการดังกล่าวไปเผยแพร่ ในเชิงพาณิชย์ ซึ่งอาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อประชาชนผู้ใช้บริการ

โดยวันนี้(24 พ.ย.2563) นายพุทธิพงษ์  ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(ดีอีเอส) ได้เชิญผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ ต่างๆ ประกอบด้วย Lazada, Shopee, JD, Shopback,Thailandpostmart ประชุมหารือร่วมกับ ผู้เชี่ยวชาญจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ไทยเซิร์ต(ThaiCERT) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ สพธอ.(ETDA) และ สำนักงานคณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อหาแนวทางการยกระดับการดูแลความมั่นคงปลอดภัยไซเบอร์ของผู้ประกอบการ แพลตฟอร์มอี-คอมเมิร์ซ

นายพุทธิพงษ์ ระบุว่า  กระทรวงดิจิทัลฯให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลสูงสุด ซึ่งในการประชุมวันนี้ ได้เปิดโอกาสให้ผู้ประกอบการอี-คอมเมิร์ซ ชี้แจงข้อเท็จจริงของข่าวที่มีข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล ซึ่งยืนยันมาว่า จากการตรวจสอบด้านเทคนิคแล้วไม่ได้รั่วไหลจากLazada แต่อาจมาจากผู้ประกอบการรายย่อย ซึ่งได้ดำเนินการแจ้งความไว้กับกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับ อาชญากรรมทางเทคโนโลยี(บก.ปอท.)แล้ว

โดยจากการหารือวันนี้ ผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ เข้าใจตรงกันเป็นอย่างดี ว่าจำเป็นอย่างยิ่งต้องมีมาตรการป้องกันการถูกแฮก หรือ ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้บริการ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 และตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563

รวมถึงผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซต้องดูแลควบคุมการใช้ข้อมูลลูกค้าของผู้บริการรายย่อยที่อยู่ภายใต้อย่างรัดกุมมากขึ้นกว่าเดิม และในอนาคตจะมีการลงทะเบียนผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ ทุกขนาดทั้งรายใหญ่ กลาง และเล็ก ให้มาลงทะเบียนกับ ETDA เพื่อสร้างมาตรฐานคุณภาพเดียวกันให้วงการอี-คอมเมิร์ซในประเทศไทย เพื่อให้ประชาชนผู้ใช้บริการเกิดความมั่นใจ เพราะหากเกิดการรั่วไหลของข้อมูล ทางบริษัทรายใหญ่ต้องรับผิดชอบก่อนเป็นอันดับแรก

ซึ่งผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ เองจะต้องตั้งทีมเผชิญเหตุที่เป็นผู้เชี่ยวชาญในด้านการตรวจพิสูจน์พยานหลักฐาน กฎหมาย สารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ ทรัพยากรบุคคล ประชาสัมพันธ์ จากนั้นต้องตัดการเชื่อมต่อทางเครือข่ายอุดรอยรั่วของระบบที่ได้รับผลกระทบทันทีเพื่อลดความเสียหายอื่นที่อาจเกิดขึ้น ซึ่งการดำเนินการควรเป็นไปด้วยความระมัดระวัง เนื่องจากอาจส่งผลต่อการเปลี่ยนแปลงของพยานหลักฐานได้ โดยควรเปลี่ยนไปใช้ระบบสำรองแทนไปก่อน และเปลี่ยนรหัสผ่านที่สำคัญของผู้ดูแลระบบ เนื่องจากข้อมูลสำคัญอาจมีการรั่วไหลไปก่อนหน้านี้

ทั้งนี้ให้ผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ สามารถประสานกับไทยเซิร์ต เพื่อนำเนื้อหาที่มีข้อมูลส่วนบุคคลออกจากเว็บไซต์ที่เกี่ยวข้อง และให้ข้อมูลแก่ส่วนงานที่ต้องประสานกับลูกค้าหรือผู้ที่เกี่ยวข้อง ให้ทราบถึงสถานการณ์และแนวทางในการดำเนินการ เพื่อให้การสื่อสารภายนอกและการดำเนินการที่เกี่ยวข้องเป็นไปในทิศทางเดียวกัน

จากนั้นต้องแจ้งหน่วยงานหรือผู้ที่เกี่ยวข้อง

แจ้งหน่วยงานหลักตามกฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 และพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 รวมทั้งต้องดำเนินการแจ้งความหรือร้องทุกข์ต่อหน่วยงานบังคับใช้กฎหมาย ในกรณีที่มีการกระทำความผิดตามกฎหมาย เช่น พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550และที่แก้ไขเพิ่มเติมเพื่อให้เข้าร่วมในกระบวนการตรวจพิสูจน์พยานหลักฐาน รวมทั้งดำเนินคดีกับผู้กระทำความผิด

จากนั้นผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ ต้องแจ้งคู่ค้าที่อาจได้รับผล

กระทบจากข้อมูลที่รั่วไหลดังกล่าว เช่น กรณีการรั่วไหลของเลขบัญชีธนาคารหรือบัตรเครดิต ให้แจ้งธนาคารที่เกี่ยวข้องเพื่อช่วยเฝ้าระวังความเสี่ยงที่อาจเกิดจากการนำข้อมูลดังกล่าว ไปใช้งานโดยไม่ชอบและผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซต้องแจ้งไปยังผู้เสียหายหรือเจ้าของข้อมูล พร้อมทั้งให้คำแนะนำในการลดความเสี่ยงที่อาจเกิดขึ้น ทั้งนี้ จะต้องพิจารณาเกี่ยวกับช่วงเวลาที่ควรแจ้งให้สอดคล้องกับเวลาที่ได้ผลจากการตรวจพิสูจน์ รวมถึงการประชาสัมพันธ์สื่อสารไปถึงประชาชนให้ทราบเพื่อป้องกันข้อมูลของตนเองและไม่ให้เกิดความกังวลหรือตื่นตระหนกได้

โดยภายในสัปดาห์หน้า ทางไทยเซิร์ต จาก ETDA จะได้เชิญผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ ร่วมหารือเรื่องการลงทะเบียนผู้ประกอบการทุกระดับ เพื่อใช้มาตรฐานเดียวกัน และอบรมผู้ประกอบการแพลตฟอร์ม อี-คอมเมิร์ซในทางเทคนิคด้านการป้องกันระบบการเก็บข้อมูลให้เกิดความปลอดภัย

นอกจากนี้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวด้วยว่า

ในส่วนของประชาชนนั้นมีข้อแนะนำแนวทางในการดูแลตนเองสำหรับประชาชนในเบื้องต้น ดังนี้ เจ้าของข้อมูลไม่ควรหลงเชื่อผู้ที่ติดต่อเข้ามาทางโทรศัพท์หรืออีเมลในทันทีควรตรวจสอบโดยการติดต่อกลับไปยังช่องทางปกติ หากมีผู้ติดต่อมาว่าเป็นเจ้าหน้าที่ธนาคารหรือหน่วยงานของรัฐเพื่อให้โอนเงินควรปฏิเสธการโอนเงินและติดต่อกลับไปยังหน่วยงานต้นสังกัดโดยตรง

และหากมีการแจ้งเตือนเรื่องการเปลี่ยนรหัสผ่านทางอีเมล์หรือ SMS ไม่ควรคลิกลิงค์ในทันทีให้ตรวจสอบกับหน่วยงานหรือผู้ที่ให้บริการโดยตรง แกล้งผู้ให้บริการที่เกี่ยวข้อง เช่น ธนาคารเพื่อให้ทราบความเสี่ยงที่อาจเกิดจากการแอบอ้างเป็นเจ้าของข้อมูล

นอกจากนี้ยังมีมาตรการเพิ่มเติมสำหรับประชาชนในฐานะผู้ใช้บริการ ควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมออย่างน้อยทุก 6 เดือน กำหนด username Password ให้แตกต่างกันออกไปในแต่ละบริการโดยใช้ Password ที่จำได้ง่ายแต่เดายากหรือติดต่อสอบถามเพิ่มเติมได้ที่โทร 1212 กรณีที่เป็นการใช้งานจากแอปพลิเคชัน บนมือถือควรมีการติดตั้งแอพพลิเคชันที่ป้อง กันมัลแวร์ไว้ด้วย

Check out our latest

Stories