เผย! ไทยตกเป็นเหยื่อถูก ‘ฉกข้อมูลองค์กร’ มากสุด – งานวิจัยฯชี้! มิจฉาชีพดูดข้อมูลใช้หลอกลวงออนไลน์
งานวิจัยข้อหัว “แฟลตฟอร์มภาคเอกชนกับภัยออนไลน์” ชี้! แนวโน้มการละเมิดและรั่วไหลของข้อมูลหน่วยงานเอกชนและรัฐมีสูงมาก นำสู่การหลอกลวงออนไลน์เติบโตต่อเนื่อง ระบุ! ไทยตกเป็นเป้าหมายอันดับ 1 ในอาเซียน และอันดับ 2 ในเอเชีย เผย! ธุรกิจการเงินละการแพทย์ถูกล้วงข้อมูลมากที่สุด แนะรัฐต้องสร้างกฎหมายเท่าทัน เพิ่มการป้องกัน ควบคุมข้อมูลรั่วไหล แจ้งเตือน ให้ความรู้ รวมถึงสร้างความตระหนักรู้แก่เอกชนและประชาชน พร้อมระงับขอบเขตความเสียหาย รวมถึงคืนสินค้า-เงินให้ผู้เสียหาย
รายงานข่าวอ้างถึงงานวิจัยข้อหัว “แฟลตฟอร์มภาคเอกชนกับภัยออนไลน์” ของ นายอนรรฆ พิทักษ์ธานิน สถาบันเอเชียศึกษา จุฬาลงกรณ์มหาวิทยาลัย โดยการสนับสนุนของ สำนักงานกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.) และ มูลนิธิสื่อเพื่อสุขภาวะ (มสส.) มีประเด็นที่น่าสนใจและเป็นสิ่งที่ ภาครัฐ และหน่วยงานที่เกี่ยวข้อง รวมถึง ภาคประชาชน จะต้องตระหนักรู้ถึง “ภัยออนไลน์” ต่างๆ เนื่องจากงานวิจัยชิ้นนี้พบว่า ปัญหาที่เกิดขึ้นกับองค์กรภาคเอกชนและหน่วยงานภาครัฐ ซึ่งได้ถูกละเมิดและนำข้อมูลส่วนบุคคลของลูกค้าผู้ใช้บริการ รวมถึงประชาชนทั่วไป ไปใช้เพื่อการหลอกลวงและฉ้อฉลผ่านช่องทางออนไลน์จนกลายเป็นความเสียหายจำนวนมาก
ทั้งนี้ จากงานวิจัยฯอ้างอิงข้อมูลที่พบการละเมิดและรั่วไหลของข้อมูลมีแนวโน้มสูงขึ้นและนำไปสู่ความเสียหายที่มากขึ้น โดย สถานการณ์ในต่างประเทศ พบว่า การละเมิดข้อมูลทั่วโลกเพิ่มขึ้นอย่างรวดในช่วงเวลาที่ผ่านมา โดยในปี ค.ศ. 2001 มีผู้ถูกละเมิดข้อมูลเฉลี่ย 6 ราย/ชม. แต่ในอีก 20 ปีต่อมา (2021) พบว่าเพิ่มขึ้นเป็น 97 ราย/ชม. หรือมากถึงร้อยละ 1,157 นอกจากนี้ ยังพบด้วยว่ามูลค่าความเสียหายต่อครั้งเพิ่มสูงขึ้นอีกด้วย สอดคล้องกับตัวเลขความเสียหายจากการละเมิดข้อมูลในภาคธุรกิจทั่วโลกที่พุ่งสูงขึ้น โดยจากค่าเฉลี่ย 4.24 ล้านเหรียญสหรัฐฯในปี ค.ศ. 2021 เพิ่มเป็น 4.35 ล้านเหรียญสหรัฐฯในปี ค.ศ. 2022 และจาก รายงาน 2022 COST OF INSIDER THREATS GLOBAL REPORT ของ Ponemon Institute (2022) ยังพบว่า มีการรั่วไหลของข้อมูลจากภัยคุกคามภายในถึง 6,803 เหตุการณ์ รวมมูลค่าความเสียหายเฉลี่ย 15.4 ล้านเหรียญสหรัฐฯ
สำหรับ สถานการณ์ในประเทศไทย งานวิจัยชิ้นนี้ระบุว่า การละเมิดและรั่วไหลของข้อมูลที่เกิดขึ้นกับองค์กรภาคเอกชนและหน่วยงานภาครัฐ อาจไม่ได้นำไปสู่การก่ออาชญากรรมโดยตรง แต่เป็นการนำข้อมูลส่วนบุคคลของหน่วยงานข้างต้น ซึ่งส่วนใหญ่จะเป็นกลุ่มลูกค้าผู้ใช้บริการ รวมถึงประชาชนทั่วไป ไปใช้เพื่อก่ออาชญากรรมผ่านช่องทางออนไลน์ โดยเฉพาะการหลอกลวงออนไลน์ ทั้งนี้ REGIONAL ADVANCED THREAT REPORT : Asia Pacific 1H 2015 ของ FireEye (2015) ชี้ให้เห็นว่า ประเทศไทยตกเป็นเป้าหมายในการโจมตีทางไซเบอร์สูงสุดเป็นอันดับ 1 ของเอเชียตะวันออกเฉียงใต้ และอับดับ 2 ในเอเชียร่วมกับฮ่องกง โดย องค์กรกว่าร้อยละ 43 ตกอยู่ในความเสี่ยงเป็นเป้าของภัยคุกคามทางไซเบอร์
ขณะที่ Cybersecurity for SMBs: Asia Pacific Businesses Prepare for Digital Defense ของ CISCO (2021) รายงานว่า การโจมตีด้วย “มัลแวร์ (Malware)” ครองอันดับ 1 ในประเทศไทย ส่งผลกระทบต่อผู้ประกอบการ SMEs มากถึงร้อยละ 91 ตามด้วย “ฟิชชิ่ง (Phishing)” ร้อยละ 77 และในปี 2563 มีผู้ประกอบการ SMEs ในไทยสูงถึงร้อยละ 49 ได้ถูกโจมตีทางไซเบอร์ อีกทั้ง รายงานของ S2W ซึ่งเป็นบริษัทด้านข้อมูลและการป้องกันภัยคุกคามทางไซเบอร์ ได้ชี้ให้เห็นว่า ในช่วงปี ค.ศ.2022 – 2023 ภาคธุรกิจการเงิน (ร้อยละ 11) และธุรกิจทางการแพทย์ (ร้อยละ 11) มีแนวโน้มถูกละเมิดและรั่วไหลของข้อมูล กระทั่ง พบข้อมูลดังกล่าวไปปรากฏอยู่ในเว็บไซต์มืดมากที่สุด รองลงมาคือธุรกิจการค้า (ร้อยละ 8) และธุรกิจบันเทิง (ร้อยละ 13)
งานวิจัยฯยังอ้างอิงข้อมูลจาก กองบังคับการปราบปรามการกระทำความผิดเกี่ ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท) ที่ระบุว่า พบอัตราการเกิดในคดีหลอกขายสินค้าและบริหารสูงที่สุด โดยมีการแจ้งความออนไลน์ตั้งแต่เดือนมีนาคม 2565 ถึงเดือนกุมภาพันธ์ 2566 มากถึง 181,565 คดี คิดเป็นความเสียหายรวม 2,605 ล้านบาท ทั้งนี้ ส่วนใหญ่พบเป็นการหลอกลวงผ่านช่องทาง Social Commerce มากกว่าช่องทางของแพลตฟอร์ม E-commerce
สำหรับ การรับมือกับภัยออนไลน์ในประเทศไทย โดยเฉพาะ การละเมิดและรั่วไหลของข้อมู ลนั้น เนื่องจากข้อมูลเบื้องต้นได้ชี้ชัดว่า ภาพรวมการให้ความสำคัญกับความปลอดภัยของข้อมูลในประเทศไทยยังอยู่ในระดับที่ไม่สูงมากนัก เห็นได้จากการลงทุนด้านความปลอดภัยของข้อมูล และการรักษาระบบความปลอดภัยของข้อมูลมีน้อยมาก เมื่อเทียบกับธุรกิจเดียวกันในสิงคโปร์ มาเลเซีย และสหภาพยุโรป โดยส่วนใหญ่เป็นไปในลักษณะ “การจัดการปัญหามากกว่าการป้องกัน” ดังนั้น งานวิจัยฯชิ้นนี้จะเสนอแนะให้แต่ละหน่วยงานหันมากกำหนดแนวปฏิบัติหรือแผนเผชิญเหตุดังกล่าว รวมถึงเร่งพัฒนาศักยภาพของบุคลากรในองค์กรของตัวเองให้มากขึ้น
ในส่วนของการรับมือกับ การหลอกลวงซื้อขายออนไลน์ นั้น จำเป็นที่ทุกหน่วยงานที่เกี่ยวข้องจะต้องร่วมกันรณรงค์ให้ แพลตฟอร์มออนไลน์ แต่ละแห่ง ดำเนินนโยบายและมาตรการที่เปิดให้ลูกค้าผู้ใช้บริการ และประชาชนทั่วไป มีช่องทางติดต่อเพื่อยื่นเรื่องขอคืนสินค้าและคืนเงิน โดยแพลตฟอร์มฯ เป็นตัวกลางในการเก็บรวบรวมหลักฐาน เจรจาระหว่างผู้ซื้อและผู้ขาย รวมถึง ตัดสินข้อพิพาทที่เกิดขึ้น ขณะที่ ภาครัฐเอง ควรจะออกมาตรการและนโยบายเกี่ยวกับการควบคุมและรับรองคุณภาพสินค้า การบริการ รวมถึงหน้าร้านของแพลตฟอร์มต่างๆ นอกจากนี้ ยังต้องร่วมมือกันใน การทำประชาสัมพันธ์เผยแพร่ข้อมูลและแนะนำให้มีการระมัดระวังในการเลือกซื้อสินค้า ควบคู่ไปกับการสร้างความตระหนักรู้ในหมู่ลูกค้าผู้ใช้บริการ และประชาชนทั่วไป อย่างเข็มแข็งและต่อเนื่อง ภายใต้สถานการณ์ที่ ผู้กระทำผิดหรือมิจฉาชีพมักจะปรับกลยุทธ์การหลอกลวงออนไลน์ โดยเปลี่ยนแปลงวิธีการหลอกลวงอยู่ตลอดเวลา
บทสรุปของงานวิจัยหัวข้อ “แฟลตฟอร์มภาคเอกชนกับภัยออนไลน์” ทิ้งท้ายเอาไว้อย่างน่าสนใจว่า การละเมิดและรั่วไหลของข้อมูลจากภาคเอกชน และการหลอกลวงซื้อขายสินค้าออนไลน์ภาคเอกชนและแพลตฟอร์มเอกชนที่ดำเนินการอยู่ในประเทศไทย สะท้อนช่องว่าและความท้าทายที่สำคัญ ดังนี้…
ช่องว่างและความท้าทายทางกฎหมาย : จำเป็นที่ภาครัฐจะต้องสร้างความร่วมมือกับภาคเอกชน ในการแจ้งเตือนและป้องกันการรั่วไหลของข้อมูล, การควบคุมดูแล Social Media เมื่อเกิดเหตุรั่วไหลของข้อมูล หรือการหลอกลวง และการกำกับดูแลให้เกิดความชัดเจนในประเด็นของการคุ้มครองผู้บริโภค
การสร้างแรงจูงใจ : ให้ผู้ประกอบการแพลตฟอร์มออนไลน์ต่างๆ ให้ความสำคัญกับมาตรการและแนวทางเพื่อรับมือกับการละเมิดและรั่วไหลของข้อมูล รวมถึงแนวปฏิบัติในการแจ้งเตือนและระงับธุรกรรม เมื่อเกิดดการละเมิดและและรั่วไหลของข้อมูล
ความตระหนักรู้ต่อความปลอดภัยของข้อมูลและการหลอกลวงออนไลน์ของผู้บริการหรือผู้ใช้บริการ : จำเป็นต้องให้ความรู้แก่ลูกค้าผู้ใช้บริการ และประชาชนทั่วไป เพื่อให้เกิดความตระหนักรู้ต่อภัยออนไลน์ เนื่องจากทุกวันนี้ กลุ่มมิจฉาชีพออนไลน์ต่างพัฒนากลยุทธ์ด้านการจารกรรมข้อมูล โดยเฉพาะ “การฟิชชิ่ง” และ “การหลอกลวงออนไลน์” ให้มีความซับซ้อนมากยิ่งขึ้นและพัฒนาการอยู่ตลอดเวลานั่นเอง ขณะเดียวกัน ก็จะต้องเร่งระงับขอบเขตความเสียหายของการละเมิดและรั่วไหลของข้อมูล รวมถึงเร่งดำเนินการแจ้งเตือนเพื่อไม่ให้เกิดการนำข้อมูลไปใช้อย่างเสียหาย และดำเนินการชดใช้ให้กับเจ้าของข้อมูล หรือผู้ถูกหลอกลวงออนไลน์ อีกทั้งยังต้องมีมาตรการเยี่ยวยาต่างๆ จากปัญหาข้างต้น.