xs
xsm
sm
md
lg

นักไซเบอร์ศิษย์จอร์จทาวน์เตือน! มาตรการ “ห้ามแนบลิงก์” ของ “ไชยชนก” เสี่ยงกระทบความเชื่อมั่นพาประเทศไทย “ตกชั้นดิจิทัล” ไม่รู้ตัว

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



ผู้ช่วยศาสตราจารย์ ดร.นพดล กรรณิกา ศิษย์เก่าด้านความปลอดภัยทางไซเบอร์และนโยบาย (Cybersecurity & Policy) มหาวิทยาลัยจอร์จทาวน์ วอชิงตัน ดีซี สหรัฐอเมริกา และศิษย์เก่าด้านวิทยาการข้อมูลและระเบียบวิธี (Data Science & Methodology) มหาวิทยาลัยมิชิแกน สหรัฐอเมริกา ได้วิเคราะห์มาตรการ “ห้ามแนบลิงก์” ของนายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

ข้อเท็จจริง
มีแฮกเกอร์โจมตีสุ่มรหัส (Brute-force attack) จนเข้าไปใช้ระบบอีเมลมาร์เก็ตติ้งของ 4 บริษัท ส่งเมลหลอกแนบลิงก์ปลอม 100,000 ฉบับ คนกด 3,000 คน คิดเป็นร้อยละ 3 แต่เสียหายจริง 1 คน คิดเป็นร้อยละ 0.001 สาเหตุเทคนิคคือ ระบบยืนยันตัวตน (2FA) ออกแบบไม่รัดกุม (OTP 24 ชั่วโมงใช้เลข 6 หลัก) รัฐมนตรี ไชยชนก ชิดชอบ รมว.กระทรวง DE เสนอ ห้ามหน่วยงานรัฐ–เอกชนแนบลิงก์ในอีเมลและ SMS โดยเด็ดขาด

มาตรการ “ห้ามแนบลิงก์ในอีเมลและ SMS” ของรัฐมนตรีไชยชนก ชิดชอบ แม้ตั้งใจดีเพื่อป้องกันมิจฉาชีพ แต่ในเชิงวิทยาการความปลอดภัยทางไซเบอร์ มาตรการนี้คือการ แก้ปัญหาแบบเหมาเข่ง (Blanket Policy) ที่ตีกรอบผิดทิศทาง และมีโอกาสทำให้ประเทศไทย ตกอันดับความเชื่อมั่นเศรษฐกิจดิจิทัลของโลกแบบถาวร และถ้าวันนี้เราห้าม “ลิงก์” ด้วยเหตุผลด้านความปลอดภัย วันหน้าก็ต้องห้าม ไฟล์แนบ ห้าม QR Code ห้ามคลิกลิงก์ภาครัฐ ห้ามกด OTP แล้วเศรษฐกิจดิจิทัลไทยจะเหลืออะไร? นี่คือคำถามใหญ่ที่กระทรวงดีอี และคณะรัฐมนตรีต้องตอบให้ประชาชนทั้งประเทศฟัง

1) เหตุผลทางเทคนิค: ปัญหาไม่ได้อยู่ที่ “ลิงก์” แต่อยู่ที่ “ระบบที่ไม่ปลอดภัย”
จากเหตุการณ์แฮก Taximail ปัญหาที่แท้จริงคือ ระบบ OTP อายุ 24 ชั่วโมง (ยาวเกินไป) OTP เป็นตัวเลข 6 หลัก เดาง่าย ไม่มี MFA ไม่มี DMARC/SPF/DKIM และ ไม่มีระบบส่งอีเมลแบบปลอดภัย (Secure Email Gateway) การห้ามลิงก์ เท่ากับเปลี่ยนจากแก้ปัญหาที่ราก ไปปิดหลังคาเอาเอง ทั้งที่รากปัญหาอยู่ที่การยืนยันตัวตนที่อ่อนแอ และระบบอีเมลภาครัฐที่ไม่ผ่านมาตรฐานสากล

2) มาตรการนี้ขัดหลักความปลอดภัยไซเบอร์ของโลก ตามกรอบ NIST (USA) ISO 27001 (สากล)GDPR (EU) และ PDPA (ไทย) ต่างย้ำเหมือนกันให้เห็นว่า มาตรการความปลอดภัยต้องเหมาะสม สัดส่วน ไม่เกินจำเป็น (Proportionate & Reasonable) แต่การ “ห้ามลิงก์ทั้งหมด” เป็น นโยบายเหมายกเข่ง (Blanket Policy) ซึ่งเป็นการปิดช่องทางสื่อสาร ไม่ใช่การป้องกันความเสี่ยง

3) ผลกระทบหนัก: การสื่อสารภาครัฐ–เอกชนจะชะงัก
หากประกาศใช้จริงให้พิจารณาผลกระทบในทางเสียหายกับการสื่อสารในหลายบริการให้นักลงทุนทั้งชาวไทยและต่างชาติ และประชาชนทั่วไป เช่น ภาษี สรรพากร สปสช. ประกันสังคม การเรียนการสอนของโรงเรียนและมหาวิทยาลัย การรักษาพยาบาลของโรงพยาบาล สถาบันการเงิน ระบบจองคิว ระบบยืนยันตัวตน e-Services จะไม่สามารถแนบลิงก์บริการได้เลย การให้บริการประชาชนจะ ช้าลง–ยุ่งยาก–ไม่ทันโลก และประชาชนจะไม่รู้ว่า “อะไรจริง–อะไรปลอม” เพราะรัฐประกาศว่า “ทุกลิงก์ห้าม” ทั้งหมด

4) เสี่ยงทำเศรษฐกิจดิจิทัลไทยทรุดหนัก
การ “ปิดแนบลิงก์” เท่ากับการ “ปิดประตูธุรกิจดิจิทัล” เพราะจะส่งผลกระทบโดยตรงต่อการทำธุรกิจ การค้า และการลงทุนในหลายสาขา ได้แก่ ธุรกิจอีคอมเมิร์ซ การเงินดิจิทัล (ฟินเทค) สตาร์ตอัป ระบบขนส่งและโลจิสติกส์ ธนาคารและสถาบันการเงิน ธุรกิจบริการออนไลน์ทุกประเภท ระบบการตลาดอัตโนมัติทั้งระบบ (Marketing Automation) เมื่อระบบเหล่านี้ไม่สามารถส่งลิงก์บริการได้ จะส่งสัญญาณไปยังนักลงทุนต่างชาติว่า “ประเทศไทยยังไม่เข้าใจหลักพื้นฐานด้านความปลอดภัยทางไซเบอร์ และกำลังออกนโยบายสวนกระแสโลก” ผลลัพธ์ที่ตามมาคือ ความเชื่อมั่นของนักลงทุนจะลดลงทันที และทำให้ประเทศไทยเสียเปรียบในการแข่งขันด้านเศรษฐกิจดิจิทัลในระยะยาว

5) มาตรการนี้อาจทำให้ฟิชชิ่งยิ่งระบาด เพราะเมื่อรัฐ “ห้ามแนบลิงก์” มิจฉาชีพจะไม่หยุด แต่จะปรับรูปแบบใหม่ทันที เช่น ใช้ คิวอาร์โค้ดปลอม ส่ง ไฟล์แนบปลอม ที่ฝังโปรแกรมอันตราย ใช้ ลิงก์ที่ปลอมให้ดูเหมือนปลอดภัย ส่งข้อความว่า “ปลอดภัย 100%” เพื่อหลอกให้เหยื่อเชื่อใจ ปรากฏการณ์นี้คือการเปลี่ยนจาก “หลอกด้วยลิงก์” ไปเป็น “หลอกด้วยความเชื่อใจ” ซึ่งเป็นรูปแบบที่ อันตรายยิ่งกว่าเดิม เพราะเหยื่อจะไม่ระวังตัว เนื่องจากคิดว่ารัฐได้ “ห้ามลิงก์แล้ว” จึงปลอดภัย ทั้งที่ความเสี่ยงกลับเพิ่มขึ้น

กล่าวโดยสรุป มาตรการของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมของประเทศไทยที่ “ห้ามแนบลิงก์” ฟังดูเข้มแข็ง แต่คือการแก้ปัญหาแบบปิดประเทศดิจิทัล เพราะแทนที่จะสร้าง “ระบบที่ปลอดภัย” มาตรการนี้กลับสร้าง “ระบบที่ไม่กล้าสื่อสาร” และมีโอกาสสูงที่จะพาประเทศไทย หลุดอันดับความเชื่อมั่นเศรษฐกิจดิจิทัลของโลก ประเทศไทยต้องเลือก Smart Security – ความปลอดภัยอย่างมีปัญญา ไม่ใช่
Fear-based Security – ความปลอดภัยจากความกลัว ไม่เช่นนั้น… มาตรการนี้อาจกลายเป็น อีกแรงกดดันที่ซ้ำเติมความเจ็บป่วยทางเศรษฐกิจและสังคมของประเทศ ในวันที่คนไทยต้องการ “โครงสร้างดิจิทัลที่ฉลาดขึ้น” ไม่ใช่ “ข้อห้ามที่มากขึ้น”

ท่านใดเห็นด้วยหรือไม่กับมาตรการนี้ สามารถแสดงความคิดเห็นเพื่อประโยชน์เชิงนโยบายของประเทศได้ ผ่านทางแบบสอบถามตาม ลิงก์แนบนี้ https://www.research.net/r/Ban_Link_in_Email_SMS
ผศ.ดร.นพดล กรรณิกา nk358@georgetown.edu หรือ nkannika@umich.edu Tiktok: @luka_dr_jim
www.superpoll.co.th


นักไซเบอร์ศิษย์จอร์จทาวน์เตือน! มาตรการ “ห้ามแนบลิงก์” ของ “ไชยชนก” เสี่ยงกระทบความเชื่อมั่นพาประเทศไทย “ตกชั้นดิจิทัล” ไม่รู้ตัว
นักไซเบอร์ศิษย์จอร์จทาวน์เตือน! มาตรการ “ห้ามแนบลิงก์” ของ “ไชยชนก” เสี่ยงกระทบความเชื่อมั่นพาประเทศไทย “ตกชั้นดิจิทัล” ไม่รู้ตัว
กำลังโหลดความคิดเห็น