ปราชญ์ สามสี จับพิรุธ ไทม์ไลน์พรรคส้ม ข้อมูลหลุดจริงวันไหน? จี้ถาม 17 วันที่หายไป ระบบทำอะไรอยู่
วันศุกร์ ที่ 13 มีนาคม พ.ศ. 2569, 08.32 น.
วันที่ 13 มีนาคม 2569 สืบเนื่องจาก พรรคประชาชนออกแถลงการณ์ถึงสมาชิกพรรคประชาชนกรณีที่มีความพยายามจากบุคคลภายนอกในการเข้าถึงฐานข้อมูลของพรรคโดยไม่ได้รับอนุญาต โดยทางพรรคประชาชนได้มีแนวทางยกระดับความปลอดภัยของระบบที่พรรคดำเนินการไปแล้ว พร้อมทั้งมาตรการแก้ไขเยียวยาเพื่อป้องกันความเสี่ยง ตามที่เสนอข่าวไปแล้วนั้น
ล่าสุด เพจเฟซบุ๊ก “ปราชญ์ สามสี” ได้โพสต์ถึงเรื่องนี้ ว่า อีกประเด็นหนึ่งที่เริ่มถูกตั้งคำถามตามมาหลังจากมีการเปิดเผยเหตุข้อมูลสมาชิก คือเรื่อง ช่วงเวลาการรับรู้เหตุการณ์และการแจ้งเหตุข้อมูลรั่วไหลตามกฎหมาย PDPA
ตามคำชี้แจงของพรรคประชาชน พรรคระบุว่าได้ ตรวจพบความพยายามเข้าถึงระบบตั้งแต่วันที่ 23 กุมภาพันธ์ 2569 และหลังจากทราบเหตุการณ์ก็ได้ดำเนินการทันที เช่น ปิดช่องทางการบุกรุก ยกระดับมาตรการรักษาความปลอดภัยของเครือข่าย และแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตามขั้นตอนของกฎหมาย โดยในช่วงเวลาดังกล่าว พรรคได้สื่อสารว่าระบบได้รับการแก้ไขและอุดช่องโหว่แล้ว
อย่างไรก็ตาม ในคำชี้แจงเดียวกัน พรรคกลับระบุเพิ่มเติมว่า เพิ่ง ตรวจพบว่ามีข้อมูลสมาชิกบางส่วนอาจถูกเข้าถึงหรือรั่วไหลจริงในวันที่ 10 มีนาคม 2569 ซึ่งเป็นช่วงเวลาก่อนหน้าการสื่อสารต่อสมาชิกและสาธารณะเพียง 2 วัน หรือประมาณ 48 ชั่วโมง ก่อนที่พรรคจะออกประกาศแจ้งเหตุในวันที่ 12 มีนาคม 2569
ลำดับเหตุการณ์ดังกล่าวจึงทำให้เกิดคำถามสำคัญขึ้นว่า ระหว่างวันที่ 23 กุมภาพันธ์ ถึง 10 มีนาคม นั้น ระบบอยู่ในสถานะใดกันแน่ หากการตรวจพบครั้งแรกเป็นเพียง “ความพยายามโจมตีระบบ” และยังไม่พบว่ามีข้อมูลถูกเข้าถึงจริง การดำเนินการแก้ไขและยกระดับความปลอดภัยก็อาจถือเป็นการตอบสนองตามขั้นตอนของระบบรักษาความปลอดภัยไซเบอร์ทั่วไป
แต่ในอีกด้านหนึ่ง หากองค์กรระบุว่าได้ อุดช่องโหว่ของระบบและยกระดับการป้องกันแล้วตั้งแต่ช่วงแรก คำถามสำคัญจึงเกิดขึ้นตามมาว่า เหตุใดจึงยังมีการตรวจพบว่าข้อมูลสมาชิกอาจถูกเข้าถึงหรือรั่วไหลได้อีกในวันที่ 10 มีนาคมซึ่งเกิดขึ้นภายหลังจากการดำเนินการแก้ไขระบบไปแล้ว
ประเด็นนี้มีความสำคัญในเชิงกฎหมาย เพราะตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) หากผู้ควบคุมข้อมูลพบว่าเกิดเหตุ ข้อมูลส่วนบุคคลรั่วไหล (Data Breach) องค์กรต้องแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุการณ์ และหากเหตุการณ์ดังกล่าวมีความเสี่ยงต่อสิทธิของเจ้าของข้อมูล ก็ต้องแจ้งให้เจ้าของข้อมูลทราบด้วย
ดังนั้นคำถามสำคัญในกรณีนี้จึงมีอยู่สองประเด็นหลัก คือ
ประการแรก เหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นจริงในช่วงเวลาใด ระหว่างช่วงการตรวจพบการโจมตีครั้งแรกในวันที่ 23 กุมภาพันธ์ หรือเพิ่งเกิดขึ้นภายหลังในวันที่ 10 มีนาคม
และประการที่สอง หากระบบได้รับการแก้ไขและอุดช่องโหว่แล้วตั้งแต่ช่วงแรก เหตุใดจึงยังเกิดการเข้าถึงข้อมูลได้อีกในเวลาต่อมา ซึ่งอาจสะท้อนถึงข้อบกพร่องบางประการในมาตรการป้องกันของระบบ
ด้วยเหตุนี้ คำถามสำคัญในกรณีนี้จึงไม่ได้อยู่เพียงว่า ระบบถูกโจมตีอย่างไร แต่ยังรวมถึงว่า เหตุการณ์การรั่วไหลเกิดขึ้นเมื่อใด และมาตรการป้องกันของระบบมีความเพียงพอหรือไม่ ซึ่งเป็นประเด็นที่อาจต้องรอการตรวจสอบข้อเท็จจริงจากหน่วยงานกำกับดูแลต่อไป
SootinClaimon.Com 