ก้าวไกล แจกแนวทาง ‘แก้ไข’ เพจรัฐโดนแฮกที่ ‘ทำได้เลย’ ง่ายๆ ไม่ต้องรอรัฐบาลหน้า

วันที่ 7 มิถุนายน 2566 - 11:57 น.

จากกรณี หน่วยงานรัฐของไทยถูกมือดี แฮกเพจเฟซบุ๊กติดๆ กันถี่ๆ ขณะที่ นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ให้สัมภาษณ์ถึงกรณีดังกล่าวว่า รอให้รัฐบาลหน้ามาแก้นั้น ก่อให้เกิดเสียงวิพากษ์วิจารณ์อย่างมากในวงกว้าง ถึงระบบป้องกันภัยไซเบอร์ของหน่วยงานรัฐ และการดำเนินการหลังเกิดเหตุการณ์ดังกล่าว ที่ไม่กระทำในเชิงรุก แต่ปล่อยให้ถูกแฮกถี่ๆ

ล่าสุด เมื่อวันที่ 7 มิถุนายน นายณัฐพงษ์ เรืองปัญญาวุฒิ ว่าที่ ส.ส.บัญชีรายชื่อ ในฐานะรองเลขาธิการ ฝ่ายพัฒนาระบบข้อมูลและดิจิทัล พรรคก้าวไกล ได้โพสต์บทความกล่าวถึงแนวทางการแก้ไขปัญหาเพจเฟซบุ๊กหน่วยงานรัฐบาลถูกแฮกถี่ๆ ไว้ว่า แก้ได้ไม่ต้องรอรัฐบาลหน้า

ซึ่งสามารถสรุปได้ใจความว่า ควรกำหนดการ ‘เข้าสู่ระบบ’ เพื่อดูแลเพจให้เป็นรูปแบบ Multi-Factor Authentication (MFA) ซึ่งจะต้องยืนยันตัวตนในหลายขั้นตอน ส่วนในทางปฏิบัตินั้น สามารถพูดคุยเจรจากับเจ้าของแพลตฟอร์มอย่าง เฟซบุ๊ก ให้ช่วยสแกนเพจที่ไม่ได้ตั้งค่าการเข้าสู่ระบบแบบ MFA ซึ่งเฟซบุ๊กสามารถดำเนินการให้ได้ ทั้งยังเป็นการบังคับให้ทุกเพจของรัฐเพิ่มความปลอดภัยในการเข้าสู่ระบบในอีกทางด้วย และทั้งหมดนี้เป็นสิ่งที่ทำได้เลยไม่ต้องรอรัฐบาลใหม่

[ ทางแก้ : เพจรัฐถูกแฮก ไม่ต้องรอ รบ.หน้า ]

ขอแบ่งปัญหาออกเป็น 2 ส่วน คือ (1) การกำหนดมาตรฐานขั้นต่ำ และ (2) การนำไปปฏิบัติ/บังคับใช้

ข้อ (1) การกำหนดมาตรฐานขั้นต่ำ

อ้างถึง: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานฯ หน้า 11 เรื่อง “การทําให้ระบบมีความแข็งแกร่ง” ตามประกาศ กกม. ที่ รมว.DES เป็นประธาน [https://drive.ncsa.or.th/s/6rFJ66fNstfK6ni]

จะเห็นว่าภายใต้ข้อ 22.2.2 Security Baseline Configuration Standards ยังไม่มีการกำหนดให้ “ทุกหน่วยงานของรัฐ” บังคับใช้ Multi-Factor Authentication (MFA) อาทิ การใช้ OTP ในการยืนยันอีกขั้น ฯลฯ ในการเข้าสู่ระบบ กับบรรดาแอดมินเพจ (หรือระบบ) ของรัฐทั้งหลาย

มีแต่เพียงข้อ (ค) ที่ว่าด้วยการบังคับใช้นโยบายความซับซ้อนของรหัสผ่าน เช่น ต้องประกอบด้วยอักขระพิเศษ ตัวเล็ก ตัวใหญ่ ฯลฯ

ซึ่งถ้าเปิดใช้ MFA ก็น่าจะแก้ปัญหาเรื่องเพจภาครัฐถูกแฮกไปได้ระดับหนึ่งพอสมควร เข้าใจว่าการประชุม กกม. เพื่อแก้ไขเพิ่มเติมประมวลแนวทางปฏิบัติและกรอบมาตรฐานนี้ รมว.รักษาการ DES น่าจะสามารถเรียกประชุมได้เลย (ไม่ต้องรอรัฐบาลหน้า)

ข้อ (2) การนำไปปฏิบัติ/บังคับใช้

เข้าใจว่าในทางปฏิบัติ ถึงกำหนดแนวปฏิบัติ/มาตรฐานไปแล้ว ก็ใช่ว่าทุกหน่วยงานของรัฐ จะสามารถปฏิบัติตามได้ในทันที

วิธีทำที่ได้ประสิทธิภาพ คือ การเจรจา ขอรับการสนับสนุนจาก platform โดยตรง เช่น เร่งเจรจากับ Facebook ให้ช่วยสแกนหาเพจภาครัฐ ที่แอดมินเพจยังไม่เปิดใช้ MFA ให้แจ้งเตือนมาที่กระทรวง หรือไม่ก็บังคับ deactivate เพจชั่วคราวไปก่อนเลยก็ได้ เพราะถือว่าเพจนั้นไม่ได้ปฏิบัติตามกฎหมาย (แนวปฏิบัติ/มาตรฐานขั้นต่ำที่ กกม. กำหนด) ซึ่ง Facebook สามารถดำเนินการได้ และเป็นการบังคับให้แอดมินเพจภาครัฐ ต้องเปิดใช้ MFA ก่อนจึงจะใช้งานต่อได้แบบ 100% ไปในตัว

นี่จึงจะเป็นวิธีการ roll out นโยบายได้อย่างมีประสิทธิภาพ ไม่ใช่การแจ้งให้เขายกระดับมาตรฐานความปลอดภัยมากขึ้น (เพราะเขาน่าจะมีระดับมาตรฐานความปลอดภัยที่ดีเพียงพอแล้ว เพียงแต่แอดมินเพจภาครัฐบางส่วน ที่ยังตั้งค่าการใช้งานไม่รัดกุมเพียงพอ) เรื่องนี้ รมว.รักษาการ DES ก็ทำได้เลย (ไม่ต้องรอรัฐบาลหน้า) ครับ

ส่วนเรื่องอื่นๆ ไว้ตอนต่อๆ ไป ว่ากันทีละเรื่องๆ แก้กันเป็นจุดๆ นะครับ

อ่านข่าวที่เกี่ยวข้อง :

– เฟซบุ๊ก สนง.ศึกษาธิการ กทม. ‘ถูกแฮก’ โพสต์คลิปหวิวรัวๆ โร่เปิดเพจใหม่ชี้แจง
– ลามถึงเพจ ‘ศูนย์ข่าวทัพบก’ ถูกแฮกโชว์คลิปสยิว อ.จุฬาฯ ถาม ‘ชัยวุฒิ’ ด่วนแบบนี้ต้องรอรบ.หน้า?