วันศุกร์ ที่ 13 มีนาคม พ.ศ. 2569
วันศุกร์ ที่ 13 มีนาคม พ.ศ. 2569
วันที่ 13 มีนาคม 2569 สืบเนื่องจาก พรรคประชาชนออกแถลงการณ์ถึงสมาชิกพรรคประชาชนกรณีที่มีความพยายามจากบุคคลภายนอกในการเข้าถึงฐานข้อมูลของพรรคโดยไม่ได้รับอนุญาต โดยทางพรรคประชาชนได้มีแนวทางยกระดับความปลอดภัยของระบบที่พรรคดำเนินการไปแล้ว พร้อมทั้งมาตรการแก้ไขเยียวยาเพื่อป้องกันความเสี่ยง ตามที่เสนอข่าวไปแล้วนั้น
ล่าสุด เพจเฟซบุ๊ก "ปราชญ์ สามสี" ได้โพสต์ถึงเรื่องนี้ ว่า อีกประเด็นหนึ่งที่เริ่มถูกตั้งคำถามตามมาหลังจากมีการเปิดเผยเหตุข้อมูลสมาชิก คือเรื่อง ช่วงเวลาการรับรู้เหตุการณ์และการแจ้งเหตุข้อมูลรั่วไหลตามกฎหมาย PDPA
ตามคำชี้แจงของพรรคประชาชน พรรคระบุว่าได้ ตรวจพบความพยายามเข้าถึงระบบตั้งแต่วันที่ 23 กุมภาพันธ์ 2569 และหลังจากทราบเหตุการณ์ก็ได้ดำเนินการทันที เช่น ปิดช่องทางการบุกรุก ยกระดับมาตรการรักษาความปลอดภัยของเครือข่าย และแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตามขั้นตอนของกฎหมาย โดยในช่วงเวลาดังกล่าว พรรคได้สื่อสารว่าระบบได้รับการแก้ไขและอุดช่องโหว่แล้ว
อย่างไรก็ตาม ในคำชี้แจงเดียวกัน พรรคกลับระบุเพิ่มเติมว่า เพิ่ง ตรวจพบว่ามีข้อมูลสมาชิกบางส่วนอาจถูกเข้าถึงหรือรั่วไหลจริงในวันที่ 10 มีนาคม 2569 ซึ่งเป็นช่วงเวลาก่อนหน้าการสื่อสารต่อสมาชิกและสาธารณะเพียง 2 วัน หรือประมาณ 48 ชั่วโมง ก่อนที่พรรคจะออกประกาศแจ้งเหตุในวันที่ 12 มีนาคม 2569
ลำดับเหตุการณ์ดังกล่าวจึงทำให้เกิดคำถามสำคัญขึ้นว่า ระหว่างวันที่ 23 กุมภาพันธ์ ถึง 10 มีนาคม นั้น ระบบอยู่ในสถานะใดกันแน่ หากการตรวจพบครั้งแรกเป็นเพียง “ความพยายามโจมตีระบบ” และยังไม่พบว่ามีข้อมูลถูกเข้าถึงจริง การดำเนินการแก้ไขและยกระดับความปลอดภัยก็อาจถือเป็นการตอบสนองตามขั้นตอนของระบบรักษาความปลอดภัยไซเบอร์ทั่วไป
แต่ในอีกด้านหนึ่ง หากองค์กรระบุว่าได้ อุดช่องโหว่ของระบบและยกระดับการป้องกันแล้วตั้งแต่ช่วงแรก คำถามสำคัญจึงเกิดขึ้นตามมาว่า เหตุใดจึงยังมีการตรวจพบว่าข้อมูลสมาชิกอาจถูกเข้าถึงหรือรั่วไหลได้อีกในวันที่ 10 มีนาคมซึ่งเกิดขึ้นภายหลังจากการดำเนินการแก้ไขระบบไปแล้ว
ประเด็นนี้มีความสำคัญในเชิงกฎหมาย เพราะตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) หากผู้ควบคุมข้อมูลพบว่าเกิดเหตุ ข้อมูลส่วนบุคคลรั่วไหล (Data Breach) องค์กรต้องแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุการณ์ และหากเหตุการณ์ดังกล่าวมีความเสี่ยงต่อสิทธิของเจ้าของข้อมูล ก็ต้องแจ้งให้เจ้าของข้อมูลทราบด้วย
ดังนั้นคำถามสำคัญในกรณีนี้จึงมีอยู่สองประเด็นหลัก คือ
ประการแรก เหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นจริงในช่วงเวลาใด ระหว่างช่วงการตรวจพบการโจมตีครั้งแรกในวันที่ 23 กุมภาพันธ์ หรือเพิ่งเกิดขึ้นภายหลังในวันที่ 10 มีนาคม
และประการที่สอง หากระบบได้รับการแก้ไขและอุดช่องโหว่แล้วตั้งแต่ช่วงแรก เหตุใดจึงยังเกิดการเข้าถึงข้อมูลได้อีกในเวลาต่อมา ซึ่งอาจสะท้อนถึงข้อบกพร่องบางประการในมาตรการป้องกันของระบบ
ด้วยเหตุนี้ คำถามสำคัญในกรณีนี้จึงไม่ได้อยู่เพียงว่า ระบบถูกโจมตีอย่างไร แต่ยังรวมถึงว่า เหตุการณ์การรั่วไหลเกิดขึ้นเมื่อใด และมาตรการป้องกันของระบบมีความเพียงพอหรือไม่ ซึ่งเป็นประเด็นที่อาจต้องรอการตรวจสอบข้อเท็จจริงจากหน่วยงานกำกับดูแลต่อไป
โปรดอ่านก่อนแสดงความคิดเห็น
1.กรุณาใช้ถ้อยคำที่ สุภาพ เหมาะสม ไม่ใช้ ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่น สร้างความแตกแยกในสังคม งดการใช้ถ้อยคำที่ดูหมิ่นหรือยุยงให้เกลียดชังสถาบันชาติ ศาสนา พระมหากษัตริย์
2.หากพบข้อความที่ไม่เหมาะสม สามารถแจ้งได้ที่อีเมล์ online@naewna.com โดยทีมงานและผู้จัดทำเว็บไซด์ www.naewna.com ขอสงวนสิทธิ์ในการลบความคิดเห็นที่พิจารณาแล้วว่าไม่เหมาะสม โดยไม่ต้องชี้แจงเหตุผลใดๆ ทุกกรณี
3.ขอบเขตความรับผิดชอบของทีมงานและผู้ดำเนินการจัดทำเว็บไซด์ อยู่ที่เนื้อหาข่าวสารที่นำเสนอเท่านั้น หากมีข้อความหรือความคิดเห็นใดที่ขัดต่อข้อ 1 ถือว่าเป็นกระทำนอกเหนือเจตนาของทีมงานและผู้ดำเนินการจัดทำเว็บไซด์ และไม่เป็นเหตุอันต้องรับผิดทางกฎหมายในทุกกรณี
