จี้กกต. ปรับแอพ 'ดาวเหนือ' หวั่นเปิดช่องล้วงลึกข้อมูล
กรุงเทพธุรกิจ ฉบับวันที่ 23 มกราคม พ.ศ. 2559
ผู้เชี่ยวชาญด้านคอมพิวเตอร์แจงเสียง วิจารณ์บนสื่อออนไลน์ ระบุตัวแอพ "ดาวเหนือ"ไม่มีปัญหา แต่ต้องแก้ไขการเชื่อมต่อกับฐานข้อมูล "กรมการปกครอง" หวั่นเป็นช่องทางเข้าถึงข้อมูลส่วนบุคคล แนะกกต.สร้างระบบป้องกันตามมาตรฐาน ด้าน "สมชัย" รับอยู่ระหว่างทดลอง พร้อมเร่งพัฒนาให้สะดวกและปลอดภัย หลังจากคณะกรรมการการเลือกตั้ง (กกต.) ได้เปิดตัวแอพพลิเคชั่น "ดาวเหนือ" บนโทรศัพท์เคลื่อนที่แบบสมาร์ทโฟนและแทบเล็ต เพื่ออำนวยความสะดวกในการค้นหารายชื่อผู้มีสิทธิเลือกตั้ง สถานที่เลือกตั้ง และแผนที่เดินทางไปใช้สิทธิที่หน่วยเลือกตั้ง เพื่อรองรับการออกเสียงประชามติร่างรัฐธรรมนูญ ที่จะมีขึ้นช่วงปลายเดือน ก.ค.นี้ และต่อเนื่องถึงการเลือกตั้งทั่วไป
กระทั่งต่อมาได้มีการเผยแพร่ข้อความบนสื่อออนไลน์อย่างกว้างขวาง เพื่อขอให้มีการปรับปรุงแอพพลิเคชั่นดังกล่าว เพราะห่วงว่าจะเป็นช่องโหว่ให้สามารถเข้าถึงข้อมูลส่วนบุคคล และนำไปใช้ในทางที่ไม่ถูกต้องได้
นายรวิทัต ภู่หลำ กรรมการผู้จัดการ บริษัท โค้ด แอพพ์ จำกัด ในฐานะผู้เชี่ยวชาญด้านคอมพิวเตอร์และอดีตอาจารย์ด้านไอที กล่าวว่าช่องโหว่ในเรื่องนี้ไม่ใช่อยู่ที่ตัว แอพพลิชั่นดาวเหนือ แต่อยู่ที่ระบบบริการข้อมูลของกรมการปกครอง ที่แอพพลิเคชั่นนี้มีการเรียกใช้ข้อมูล เพราะเวลาที่ใส่เลขประจำตัวประชาชน 13 หลัก ลงไปในระบบเพื่อทำการค้นหาหรือใช้บริการ สามารถที่จะใส่ข้อมูลเลขประจำตัวประชาชนของใครก็ได้ ทำให้รู้ชื่อและที่อยู่ของบุคคลนั้น ซึ่งมันต่างจากการยื่น ใบสมัครต่างๆ ที่ต้องใส่ข้อมูลส่วนบุคคลที่แต่ละบุคคลเป็นผู้ยินยอม
ดังนั้น แอพพลิเคชั่นตัวนี้ จึงเป็นเพียงเปลือก ไม่ใช่แก่น ที่แสดงให้เห็นว่าถ้ายังไม่แก้ปัญหาให้ถูกจุด คือการแก้ไขระบบบริการข้อมูลของกรมการปกครอง ต่อให้มีการปรับปรุง พัฒนา แก้ไข แอพพลิเคชั่นตัวนี้ให้ดีแค่ไหน ปัญหาดังกล่าวก็จะยังคงอยู่
ผมจึงขอเสนอว่า ถ้า กกต. อยากจะทำแอพพลิชั่นเช่นนี้ต่อไป ไม่ควรให้แอพพลิเคชั่นตัวนี้ติดต่อโดยตรงไปยังระบบของกรมการปกครอง แต่ให้พัฒนาระบบข้อมูลมารองรับแอพพลิเคชั่นตัวนี้โดยเฉพาะ โดยระบบดังกล่าวติดต่อกับระบบของกรมการปกครองในเบื้องหลัง โดยระบบข้อมูลนี้จะทำการส่งข้อมูลกลับไปเฉพาะที่จำเป็นกับแอพพลิเคชั่นดาวเหนือเท่านั้น ไม่ใช่ข้อมูลจากกรมการปกครองทั้งหมด
นอกจากนี้ เรื่องมาตรฐานความปลอดภัยและการเข้ารหัสข้อมูล ระบบข้อมูลดังกล่าว อยู่บนระบบเซิร์ฟเวอร์ธรรมดา ที่รับส่งข้อมูลได้โดยไม่มีการเข้ารหัสข้อมูลเพื่อความปลอดภัย และรับส่งข้อมูลเป็นข้อความธรรมดา(เพลนเท็กซ์) ไม่ใช่การส่งข้อมูลที่มีการเข้ารหัส ดังนั้นจึงเป็นอันตรายต่อการดักข้อมูล ดังนั้นจึงควรทำให้เป็นไปตามมาตรฐานอุตสาหกรรมในปัจจุบัน
อย่างไรก็ตาม สิ่งที่เป็นอันตรายที่สุดในเรื่องนี้ คือหากกรณีนี้กลายเป็นตัวอย่างของระบบข้อมูลภาครัฐ ที่จะพัฒนาขึ้นในอนาคต เช่น หน่วยงานอื่นทำระบบเข้าถึงข้อมูลที่อ่อนไหวในกรณีเดียวกันของกรมการปกครอง ก็จะเป็นปัญหาเรื่องความปลอดภัยต่างๆ ตามมาอีกมาก ดังนั้นจึงควรปรับปรุงแก้ไขเพื่อทำให้เป็นตัวอย่างที่ดี
กกต.ระบุอยู่ระหว่างทดลองใช้
ด้านนายสมชัย ศรีสุทธิยากร กรรมการการเลือกตั้ง กล่าวว่า ขณะนี้ สำนักงาน กกต. ได้เปิดโอกาสให้ประชาชนได้ทดลองเข้าใช้งานแอพพลิเคชั่นดังกล่าว พร้อมทั้งรับฟังความคิดเห็นข้อดีและข้อเสียจากการทดลองใช้แอพพลิเคชั่น เพื่อนำมาปรับปรุงแอพพลิเคชั่นให้มีศักยภาพมากยิ่งขึ้น
ทั้งนี้ สำนักงาน กกต. เล็งเห็นถึง ความสำคัญของความปลอดภัย ข้อมูลส่วนบุคคล จึงเร่งพัฒนาระบบการรักษาความปลอดภัยของฐานข้อมูลผู้มีสิทธิเลือกตั้งเป็นสำคัญ
สำหรับกรณีที่มีข่าวว่าแอพพลิเคชั่นดาวเหนือ มีช่องโหว่อันอาจทำให้ข้อมูลรั่วไหลได้นั้น สำนักงาน กกต. ไม่ได้นิ่งนอนใจแต่อย่างใด โดยได้ดำเนินการประสานงานกับสำนักบริหารการทะเบียน กรมการปกครอง เพื่อเร่งดำเนินการเพิ่มมาตรการป้องกัน ดังนี้ 1.ปิดฐานข้อมูลเพื่อปรับปรุงระบบฐานข้อมูลที่เชื่อมโยงกับแอพพลิเคชั่น ให้มีความเสถียรและเพิ่มมาตรการรักษาความปลอดภัยของข้อมูล และ2.ป้องกันข้อมูลส่วนบุคคลของผู้มีสิทธิเลือกตั้ง ไม่ให้ถูกเปิดเผยโดยได้ดำเนินการปกปิดข้อมูลชื่อสกุล ไม่ให้ปรากฏบนแอพพลิเคชั่น
เร่งพัฒนาเพื่อความสะดวก-ปลอดภัย
ทั้งนี้ ข้อมูลผู้มีสิทธิเลือกตั้ง ลำดับที่เลือกตั้ง หน่วยเลือกตั้ง และสถานที่เลือกตั้ง ที่ปรากฏในแอพลิเคชั่นดาวเหนืออยู่ในขณะนี้เป็นข้อมูลผู้มีสิทธิเลือกตั้งในการเลือกตั้งสมาชิกวุฒิสภา(ส.ว.) เมื่อวันที่ 30 มี.ค. 2557 ส่วนข้อมูลของผู้มีสิทธิออกเสียงประชามติจะทำการปรับปรุงข้อมูลให้เป็นปัจจุบันภายใน 20 วัน ก่อนวันออกเสียงประชามติ
ดังนั้น ขอให้ประชาชนมั่นใจเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล ว่าจะไม่มีการรั่วไหลผ่านทางแอพพลิเคชั่นดาวเหนือและยังไม่มีการละเมิดข้อมูลส่วนบุคคลตามที่มีกระแสข่าว พร้อมทั้งจะเร่งพัฒนาขีดความสามารถด้านต่างๆ เพื่อให้เกิดความสะดวกและความปลอดภัย ในการใช้งานจากแอพพลิเคชั่นนี้ให้เกิดประสิทธิภาพสูงสุด
แหล่งข่าว
หนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันที่ 23 มกราคม พ.ศ. 2559 (หน้า 16, 13)
จี้ กกต. ปรับแอพ 'ดาวเหนือ' หวั่นเปิดช่องล้วงลึกข้อมูล
จี้กกต. ปรับแอพ 'ดาวเหนือ' หวั่นเปิดช่องล้วงลึกข้อมูล
กรุงเทพธุรกิจ ฉบับวันที่ 23 มกราคม พ.ศ. 2559
ผู้เชี่ยวชาญด้านคอมพิวเตอร์แจงเสียง วิจารณ์บนสื่อออนไลน์ ระบุตัวแอพ "ดาวเหนือ"ไม่มีปัญหา แต่ต้องแก้ไขการเชื่อมต่อกับฐานข้อมูล "กรมการปกครอง" หวั่นเป็นช่องทางเข้าถึงข้อมูลส่วนบุคคล แนะกกต.สร้างระบบป้องกันตามมาตรฐาน ด้าน "สมชัย" รับอยู่ระหว่างทดลอง พร้อมเร่งพัฒนาให้สะดวกและปลอดภัย หลังจากคณะกรรมการการเลือกตั้ง (กกต.) ได้เปิดตัวแอพพลิเคชั่น "ดาวเหนือ" บนโทรศัพท์เคลื่อนที่แบบสมาร์ทโฟนและแทบเล็ต เพื่ออำนวยความสะดวกในการค้นหารายชื่อผู้มีสิทธิเลือกตั้ง สถานที่เลือกตั้ง และแผนที่เดินทางไปใช้สิทธิที่หน่วยเลือกตั้ง เพื่อรองรับการออกเสียงประชามติร่างรัฐธรรมนูญ ที่จะมีขึ้นช่วงปลายเดือน ก.ค.นี้ และต่อเนื่องถึงการเลือกตั้งทั่วไป
กระทั่งต่อมาได้มีการเผยแพร่ข้อความบนสื่อออนไลน์อย่างกว้างขวาง เพื่อขอให้มีการปรับปรุงแอพพลิเคชั่นดังกล่าว เพราะห่วงว่าจะเป็นช่องโหว่ให้สามารถเข้าถึงข้อมูลส่วนบุคคล และนำไปใช้ในทางที่ไม่ถูกต้องได้
นายรวิทัต ภู่หลำ กรรมการผู้จัดการ บริษัท โค้ด แอพพ์ จำกัด ในฐานะผู้เชี่ยวชาญด้านคอมพิวเตอร์และอดีตอาจารย์ด้านไอที กล่าวว่าช่องโหว่ในเรื่องนี้ไม่ใช่อยู่ที่ตัว แอพพลิชั่นดาวเหนือ แต่อยู่ที่ระบบบริการข้อมูลของกรมการปกครอง ที่แอพพลิเคชั่นนี้มีการเรียกใช้ข้อมูล เพราะเวลาที่ใส่เลขประจำตัวประชาชน 13 หลัก ลงไปในระบบเพื่อทำการค้นหาหรือใช้บริการ สามารถที่จะใส่ข้อมูลเลขประจำตัวประชาชนของใครก็ได้ ทำให้รู้ชื่อและที่อยู่ของบุคคลนั้น ซึ่งมันต่างจากการยื่น ใบสมัครต่างๆ ที่ต้องใส่ข้อมูลส่วนบุคคลที่แต่ละบุคคลเป็นผู้ยินยอม
ดังนั้น แอพพลิเคชั่นตัวนี้ จึงเป็นเพียงเปลือก ไม่ใช่แก่น ที่แสดงให้เห็นว่าถ้ายังไม่แก้ปัญหาให้ถูกจุด คือการแก้ไขระบบบริการข้อมูลของกรมการปกครอง ต่อให้มีการปรับปรุง พัฒนา แก้ไข แอพพลิเคชั่นตัวนี้ให้ดีแค่ไหน ปัญหาดังกล่าวก็จะยังคงอยู่
ผมจึงขอเสนอว่า ถ้า กกต. อยากจะทำแอพพลิชั่นเช่นนี้ต่อไป ไม่ควรให้แอพพลิเคชั่นตัวนี้ติดต่อโดยตรงไปยังระบบของกรมการปกครอง แต่ให้พัฒนาระบบข้อมูลมารองรับแอพพลิเคชั่นตัวนี้โดยเฉพาะ โดยระบบดังกล่าวติดต่อกับระบบของกรมการปกครองในเบื้องหลัง โดยระบบข้อมูลนี้จะทำการส่งข้อมูลกลับไปเฉพาะที่จำเป็นกับแอพพลิเคชั่นดาวเหนือเท่านั้น ไม่ใช่ข้อมูลจากกรมการปกครองทั้งหมด
นอกจากนี้ เรื่องมาตรฐานความปลอดภัยและการเข้ารหัสข้อมูล ระบบข้อมูลดังกล่าว อยู่บนระบบเซิร์ฟเวอร์ธรรมดา ที่รับส่งข้อมูลได้โดยไม่มีการเข้ารหัสข้อมูลเพื่อความปลอดภัย และรับส่งข้อมูลเป็นข้อความธรรมดา(เพลนเท็กซ์) ไม่ใช่การส่งข้อมูลที่มีการเข้ารหัส ดังนั้นจึงเป็นอันตรายต่อการดักข้อมูล ดังนั้นจึงควรทำให้เป็นไปตามมาตรฐานอุตสาหกรรมในปัจจุบัน
อย่างไรก็ตาม สิ่งที่เป็นอันตรายที่สุดในเรื่องนี้ คือหากกรณีนี้กลายเป็นตัวอย่างของระบบข้อมูลภาครัฐ ที่จะพัฒนาขึ้นในอนาคต เช่น หน่วยงานอื่นทำระบบเข้าถึงข้อมูลที่อ่อนไหวในกรณีเดียวกันของกรมการปกครอง ก็จะเป็นปัญหาเรื่องความปลอดภัยต่างๆ ตามมาอีกมาก ดังนั้นจึงควรปรับปรุงแก้ไขเพื่อทำให้เป็นตัวอย่างที่ดี
กกต.ระบุอยู่ระหว่างทดลองใช้
ด้านนายสมชัย ศรีสุทธิยากร กรรมการการเลือกตั้ง กล่าวว่า ขณะนี้ สำนักงาน กกต. ได้เปิดโอกาสให้ประชาชนได้ทดลองเข้าใช้งานแอพพลิเคชั่นดังกล่าว พร้อมทั้งรับฟังความคิดเห็นข้อดีและข้อเสียจากการทดลองใช้แอพพลิเคชั่น เพื่อนำมาปรับปรุงแอพพลิเคชั่นให้มีศักยภาพมากยิ่งขึ้น
ทั้งนี้ สำนักงาน กกต. เล็งเห็นถึง ความสำคัญของความปลอดภัย ข้อมูลส่วนบุคคล จึงเร่งพัฒนาระบบการรักษาความปลอดภัยของฐานข้อมูลผู้มีสิทธิเลือกตั้งเป็นสำคัญ
สำหรับกรณีที่มีข่าวว่าแอพพลิเคชั่นดาวเหนือ มีช่องโหว่อันอาจทำให้ข้อมูลรั่วไหลได้นั้น สำนักงาน กกต. ไม่ได้นิ่งนอนใจแต่อย่างใด โดยได้ดำเนินการประสานงานกับสำนักบริหารการทะเบียน กรมการปกครอง เพื่อเร่งดำเนินการเพิ่มมาตรการป้องกัน ดังนี้ 1.ปิดฐานข้อมูลเพื่อปรับปรุงระบบฐานข้อมูลที่เชื่อมโยงกับแอพพลิเคชั่น ให้มีความเสถียรและเพิ่มมาตรการรักษาความปลอดภัยของข้อมูล และ2.ป้องกันข้อมูลส่วนบุคคลของผู้มีสิทธิเลือกตั้ง ไม่ให้ถูกเปิดเผยโดยได้ดำเนินการปกปิดข้อมูลชื่อสกุล ไม่ให้ปรากฏบนแอพพลิเคชั่น
เร่งพัฒนาเพื่อความสะดวก-ปลอดภัย
ทั้งนี้ ข้อมูลผู้มีสิทธิเลือกตั้ง ลำดับที่เลือกตั้ง หน่วยเลือกตั้ง และสถานที่เลือกตั้ง ที่ปรากฏในแอพลิเคชั่นดาวเหนืออยู่ในขณะนี้เป็นข้อมูลผู้มีสิทธิเลือกตั้งในการเลือกตั้งสมาชิกวุฒิสภา(ส.ว.) เมื่อวันที่ 30 มี.ค. 2557 ส่วนข้อมูลของผู้มีสิทธิออกเสียงประชามติจะทำการปรับปรุงข้อมูลให้เป็นปัจจุบันภายใน 20 วัน ก่อนวันออกเสียงประชามติ
ดังนั้น ขอให้ประชาชนมั่นใจเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล ว่าจะไม่มีการรั่วไหลผ่านทางแอพพลิเคชั่นดาวเหนือและยังไม่มีการละเมิดข้อมูลส่วนบุคคลตามที่มีกระแสข่าว พร้อมทั้งจะเร่งพัฒนาขีดความสามารถด้านต่างๆ เพื่อให้เกิดความสะดวกและความปลอดภัย ในการใช้งานจากแอพพลิเคชั่นนี้ให้เกิดประสิทธิภาพสูงสุด
แหล่งข่าว
หนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันที่ 23 มกราคม พ.ศ. 2559 (หน้า 16, 13)