"เอไอเอส"แจง"กสทช."รับข้อมูลรั่วจริง แต่ไม่ใช่ข้อมูลส่วนบุคคลของผู้ใช้บริการ และไม่ใช่ข้อมูลที่เกี่ยวกับการทำธุรกรรมทางอิเล็กทรอนิกส์ เป็นแค่แอดเดรสของเว็บไซต์ที่กลุ่มตัวอย่างเข้าถึงข้อมูลทางอินเทอร์เน็ตเท่านั้น ไม่สามารถระบุถึงเจ้าของข้อมูลได้ พร้อมย้ำให้บริษัทให้ความสำคัญกับเรื่อง"Cyber Security" ให้พนักงานตระหนักในความสำคัญของมาตรการรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ

เมื่อวันที่ 26 พฤษภาคม 2563 นายสุทธิศักดิ์ ตันตะโยธิน รองเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เปิดเผยว่า สำนักงาน กสทช. ได้เรียกบริษัท บริษัท แอดวานซ์ ไวร์เลส เน็ทเวิร์ค จำกัด หรือ AWN ในเครือ บริษัท แอดวานซ์ อินโฟร์เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส เข้ามาชี้แจงกรณีที่ปรากฏข่าวบนสื่อออนไลน์ว่า พบข้อมูลการใช้อินเทอร์เน็ตบนเครือข่าย AIS รั่วกว่า 8 พันล้านรายการ

อย่างไรก็ตามสำนักงาน กสทช.มองว่าเป็นเรื่องที่เกี่ยวพันกับการกำกับดูแลข้อมูลส่วนบุคคล และไซเบอร์ซีเคียวริตี้ ซึ่งหลายฝ่ายก็เป็นห่วงว่าจะส่งผลกระทบต่อผู้ใช้บริการ จึงเรียก AWN มาชี้แจงข้อเท็จจริงในเรื่องดังกล่าว โดย AWN ชี้แจงข้อเท็จจริงว่า บริษัทฯ ได้ทำการพัฒนาระบบสำหรับการให้บริการ โดยการสุ่มตัวอย่างข้อมูลบางส่วนในช่วงเวลาหนึ่งมาทดลอง โดยดึงข้อมูลมาไว้ในเซิร์ฟเวอร์เฉพาะที่แยกออกจากระบบจริงของบริษัท (actual system) ซึ่งข้อมูลดังกล่าวไม่สามารถนำไประบุตัวตนความเป็นเจ้าของข้อมูล (PII, Personal Identification Information) ไม่มีข้อมูลของเลขหมาย หรือข้อมูลเกี่ยวกับธุรกรรมทางการเงิน เป็นเพียงข้อมูลที่นำมาวิเคราะห์ปรับปรุงการให้บริการ ในช่วงสถานการณ์ โควิด-19 ที่มีผู้ใช้บริการข้อมูล (Data) เพิ่มขึ้นสูงมาก

นายสุทธิศักดิ์ กล่าวว่า AWN ยืนยันว่าข้อมูลดังกล่าวไม่มีข้อมูลของ ผู้ใช้งาน ( User)  ไม่มีข้อมูลส่วนบุคคล มีเพียงเส้นทางของทราฟฟิกเท่านั้น ซึ่งไม่รู้ว่าต้นทางเป็นใคร ไม่มีข้อมูลธุรกรรมต่างๆ แต่เป็นการดึงข้อมูลมาเพื่อทำการศึกษาพฤติกรรมการใช้งานในภาพรวมว่า ในช่วงเวลาดังกล่าว มีคนเข้าไปในเว็บไหน ติดตามข้อมูลข่าวสารจากไหน โดยเป็นการทดสอบระบบ การเรียกหาหมายเลขไอพีจากโดเมน (DNS) เพื่อดูเรื่องการให้บริการเท่านั้น เพียงแต่ข้อผิดพลาดที่เกิดขึ้นเนื่องจากพนักงานคิดว่าเป็นระบบทดสอบ จึงขาดความระมัดระวัง บริษัทฯ ได้น้อมรับว่ามีความผิดพลาดในการจัดตั้งระบบทดสอบขึ้นมาจริง

อย่างไรก็ตาม สำนักงาน กสทช.ได้สอบถาม AWN เกี่ยวกับมาตรการด้านรักษาความปลอดภัยทางไซเบอร์ (Cyber Security) ของบริษัทฯ ว่าเป็นอย่างไร บริษัทฯ ยืนยันว่า มีขั้นตอนมาตรการที่รัดกุม แต่เจ้าหน้าที่ยังขาดความตระหนักถึงความสำคัญ ทำให้เกิดกรณีนี้ขึ้นมา สำหรับพนักงานที่ประมาทเลินเล่อ บริษัทจะดำเนินการลงโทษพนักงานเพื่อให้เกิดมีความตระหนักในเรื่อง Cyber Security ให้มากขึ้น ในแง่ของการบริหารข้อมูล AWN ยังยืนยันว่าบริษัทยังล็อกไว้อีกชั้นหนึ่ง ข้อมูลส่วนบุคคลของลูกค้าจะไม่สามารถหลุดลอดออกไปได้

"สำนักงาน กสทช.จะทำหนังสือเตือนบริษัทฯ เป็นทางการออกไป เพื่อย้ำให้ AWN ให้ความสำคัญกับเรื่อง Cyber Security ให้พนักงานตระหนักในความสำคัญของมาตรการรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ บริษัท ไม่ควรดำเนินการหรือทดสอบโดยความละเลยเช่นนี้อีก และควรจะต้องระมัดระวังในการดำเนินการเรื่อง Cyber Security และให้เชื่อมโยงข้อมูลกับ ThaiCert และ TBCert (ทางธนาคาร) เพื่อจะได้ประสานกันในเรื่องความปลอดภัยของข้อมูล และเรื่อง Cyber Security" นายสุทธิศักดิ์ กล่าว

แหล่งข่าวระดับสูงจากวงการโทรคมนาคมรายหนึ่ง เปิดเผยว่า การรั่วไหลข้อมูลของลูกค้าที่เกิดขึ้นถือว่าเป็นผลกระทบอย่างมากเนื่องจากเป็นข้อมูลจำนวนมากที่รั่วออกไป อีกทั้งวันนี้ต้องบอกว่าประเทศไทย กฏหมายการคุ้มครองข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่สามารถช่วยคุ้มครองผู้ใช้เมื่อเกิดเหตุการณ์การเปิดเผยข้อมูลระบุตัวตนเช่นนี้ได้ ทั้งนี้ พ.ร.บ.ดังกล่าวเพิ่งถูกประกาศเลื่อนการใช้งานไปเมื่อวันที่ 12 พฤษภาคม ที่ผ่านมา แต่ว่าเกิดเหตุการแบบนี้ขึ้น จะเกิดผลเสียและร้ายแรงต่อประชาชนเป็นอย่างมาก และในขณะนี้ เอไอเอส ยังไม่มีการเคลื่อนไหวใดต่อสาธารณะถึงเหตุการณ์ในครั้งนี้

อย่างไรก็ตาม ที่ผ่านมาคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เป็นผู้ดูแลผู้ให้บริการโทรศัพท์เคลื่อนที่ (โอเปอเรเตอร์) และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดูในเรื่องภาพรวมสิทธิ ซึ่ง 2 หน่วยงานนี้จะมีหน้าที่ดูแลคาบเกี่ยวกัน จึงจำเป็นที่จะต้องกำกับดูแลอย่างใกล้ชิดจากเหตุการณ์ที่เกิดขึ้น โดยหากมีการร้องเรียนจากลูกค้าเอไอเอส จะต้องให้ข้อมูลและส่งแผนการดูแลข้อมูลลูกค้าให้แก่ กสทช.

"เป็นบทเรียนในการไม่ปิดระบบที่ดี แต่ตอนนี้ประสาน ที่เรื่องระบบความปลอดภัยไซเบอร์ซีเคียวริตี้ การทำงานน่าจะมีรายละเอียด กสทช.คณะกรรมการความมั่นคงปลอดภัยทางไซเบอร์ จะต้องเข้ามาดูในรายละเอียดด้านเทคนิค ความปลอดภ้ยโครงข่ายต้องดูเป็นจุด อุปเครื่องลูกข่าย สถานีฐาน การเชื่อมระบบเข้าคอลเน็ตเวริค และการต่อไปยังแพลตฟอร์มต่างๆ ทั้งในประเทศและต่าง นี่เป็นบทเรียนแรก กับการโจมตีผ่านไอจีของเอไอเอสด้วย ดูภาพรวม แต่รายละเอียดด้านโทรคมนาคม กสทช.เป็นคนดู ตอนนี้ กสทช.ไม่มีหน่วยงานตรงดูด้านไซเบอร์ โนฮาวไม่มี แต่ทั้งนี้ในระบบมาตรฐานสากล 3GPP ที่กำหนดมาตรฐาน 3G 4G มีมาตรฐานไซเบอร์ซีเคียวริตี้ เช่นที่อินเดีย ถ้าเอาอุปกรณ์ จะต้องผ่านระบบนี้เท่านั้น ที่เกี่ยวข้องกับไซเบอร์ซีเครียวริตี้เท่านั้น" แหล่งข่าวกล่าว

นายพุทธิพงษ์ ปุณณกันต์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เปิดเผยว่า จากกรณีดังกล่าว ถึงแม้จะมีการเลื่อนการบังคับใช้กฏหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไป แต่ความรับผิดชอบของผู้ที่ให้บริการจะต้องรับผิดชอบโดยตรงในการทำข้อมูลของลูกค้ารั่วไหลออกไป  ซึ่งหากเป็นการกระทำผิดและเกิดผลเสียหายต่อลูกค้าจริง เอไอเอสจะต้องเป็นผู้รับผิดชอบ

ขณะเดียวกัน กฏหมายที่กระทรวงได้เลื่อนออกไป เป็นเพียงการเลื่อนบังคับใช้บางมาตราเท่านั้น แต่ยังมีผลบังคับใช้ในเรื่องที่เกี่ยวกับการคุ้มครองประชาชน