ดีอีเอส เผยรู้ตัวคนร้ายอ้างแฮกข้อมูลส่วนตัวคนไทย 55 ล้านรายการแล้ว เป็นคนไทยและทำงานเป็นขบวนการ ตำรวจเตรียมล็อกเป้าจับกุม ชี้จ้องดิสเครดิตหน่วยงานเกี่ยวข้อง ขณะที่หน่วยงานภาครัฐที่สงสัยว่าตัวเองทำข้อมูลหลุด ได้แจ้งต่อ สคส. แล้ว แต่ยังไม่สามารถเปิดเผยชื่อได้
นายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) แถลงข่าวกรณีแฮกเกอร์กลุ่ม “9near” เรียกค่าไถ่ข้อมูลส่วนบุคคลของประชาชนไทย 55 ล้านรายการ โดยระบุข้อความในลักษณะข่มขู่ให้คิดว่าข้อมูลของตนรั่วไหล ติดต่อกลับก่อนเวลา 16.00 น.ของวันที่ 5 เม.ย.66 เวลาประเทศไทย ไม่เช่นนั้นจะเผยแพร่ข้อมูล รวมทั้งส่งเอสเอ็มเอสไปยัง 200 ผู้เสียหาย ซึ่ง 1 ในนั้นคือนายสรยุทธ สุทัศนะจินดา ผู้ประกาศข่าวคนดังนั้น
รมว.ดีอีเอส ระบุ รู้ตัวคนร้ายแล้วและเตรียมล็อกเป้าเพื่อเข้าจับกุม ขอให้รอฟังคำแถลงจากตำรวจ เบื้องต้นกลุ่มคนร้ายเป็นคนไทยและทำงานกันเป็นขบวนการ โดยต้องการดิสเครดิตหน่วยงานที่เกี่ยวข้อง ส่วนกรณีชื่อ “9near” ซึ่งอาจแปลเป็นไทยได้ว่า “เก้าใกล้” เกี่ยวพันกับการดิสเครดิสทางการเมืองหรือไม่นั้น นายชัยวุฒิ กล่าวว่า อย่าคิดมาก ไม่เกี่ยวกับการเมือง แค่ “9near” ถ้าเป็น “9far” ก็ว่าไปอย่าง “จากการติดตามการโพสต์เว็บไซต์ของกลุ่มดังกล่าว ดูเหมือนจะแผ่วกำลังลง ส่วนที่ส่งสัญญาณผ่านยูทูบเบอร์รายหนึ่งว่า จะไม่เผยแพร่ข้อมูลประชาชนแล้ว แต่ขอให้ไม่ดำเนินคดีนั้น ยืนยันไม่ได้ว่า ส่งสัญญาณนี้จริง แต่การยกความผิดให้ ทำไม่ได้แน่ เพราะความผิดเกิดขึ้นแล้ว”
นายชัยวุฒิ ยังกล่าวถึงกรณีนายวิศิษฏ์ วิศิษฏ์สรอรรถ ปลัดดีอีเอสเป็นประธานการประชุม “การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของหน่วยงานรัฐ” โดยเชิญหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลขนาดใหญ่ หรือจำนวนมากมาหารือ อาทิ กระทรวงมหาดไทย กระทรวงสาธารณสุข กระทรวงการคลัง กระทรวงแรงงาน กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการเลือกตั้ง (กกต.) เป็นต้น รวมทั้งผู้ที่เกี่ยวข้อง ได้แก่ ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อเช้าวันที่ 3 เม.ย.66 ว่า ช่วงนี้ต้องกำชับสำนักงาน กกต.เป็นกรณีพิเศษ ซึ่งรับคำยืนยันเรื่องความปลอดภัย หลายหน่วยงานมีมาตรฐานตามกฎหมาย แต่มีอีกหลายหน่วยงานที่ยังตกหล่น ส่วนตัวไม่เป็นห่วงหน่วยงานภาครัฐเท่าภาคเอกชน โดยเฉพาะรายเล็กๆ ที่มีฐานข้อมูลประชาชนอยู่จากการรับลงทะเบียนใช้บริการ ไม่ว่าจะเป็นร้านอาหาร ร้านเสริมสวย
ส่วนชื่อของหน่วยงานที่คาดจะทำข้อมูลประชาชนรั่วไหลในครั้งนี้นั้น ขอให้รอความชัดเจนก่อน แต่ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หน่วยงานที่สงสัยตัวเองว่าอาจทำข้อมูลหลุดรั่ว จะต้องมาแจ้ง สคส. ล่าสุด มีหน่วยงานภาครัฐที่สงสัยตัวเองแจ้งมายัง สคส.แล้ว แต่ยังไม่สามารถเปิดเผยได้ โดยความผิดในการทำข้อมูลรั่ว มีโทษอาญาจำคุก 1 ปี และปรับ 1-5 ล้านบาท และต้องจ่ายค่าเยียวยาแก่ผู้เสียหายด้วย
ด้านนายศิวรักษ์ ศิวโมกษธรรม เลขาธิการสคส. รายงานในที่ประชุมว่า จากการสุ่มตรวจ พบการเผยแพร่ข้อมูลส่วนบุคคลที่ไม่เหมาะสมของหน่วยงานของรัฐ และได้แจ้งเตือนไปแล้ว ซึ่งได้ปรับปรุงตามคำแนะนำ ส่วนพลอากาศตรี อมร ชมเชย เลขาธิการ สกมช. ให้ข้อมูลว่า ตรวจพบระบบเทคโนโลยีสารสนเทศของหน่วยงานรัฐหลายแห่งถูกโจมตี และยังมีการหลุดรั่วของข้อมูล ซึ่งได้ประสานงานเร่งแก้และป้องกันปัญหาอย่างต่อเนื่อง
นายชัยวุฒิ กล่าวเพิ่มว่า ที่ประชุมยังหารือแนวทางเร่งรัดการใช้ระบบยืนยันตัวตนทางดิจิทัล (Digital ID) เพื่อยกระดับการรักษาความมั่นคงปลอดภัยข้อมูลของหน่วยงาน ซึ่งดีอีเอสได้จัดทำ พ.ร.ฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ.2565 และประกาศในราชกิจจานุเบกษาแล้ว ซึ่งจะช่วยป้องกันการถูกขโมยข้อมูล ป้องกันการหลอกลวงประชาชนจากการทำธุรกรรมออนไลน์.