บทความโดย รศ.ดร.ธนชาติ นุ่มนนท์ ผู้อำนวยการสถาบันไอเอ็มซี
จากกรณีศึกษาในสหรัฐฯ สู่บทเรียนถึงหน่วยงานภาครัฐและเอกชนในไทย ถึงเวลาทบทวนนโยบายการใช้แอปพลิเคชันสนทนาให้รัดกุม ลดความเสี่ยงข้อมูลรั่วไหลและความเสียหายต่อองค์กร
เมื่อสัปดาห์ที่ผ่านมา มีข่าวใหญ่เรื่องข้อมูลสนทนากลุ่มแชทที่ชื่อ “Houthi PC Small Group” ในแอป Signal ของเจ้าหน้าที่ระดับสูงในรัฐบาลสหรัฐฯ ได้รั่วไหลออกมา โดย Jeffrey Goldberg บรรณาธิการของ นิตยสาร The Atlantic ได้ตีพิมพ์บทความลงในวันที่ 24 มีนาคม 2025 ว่าเขาได้เฝ้าสังเกตการณ์สนทนาวางแผนทางทหารที่มีความอ่อนไหวระหว่างเจ้าหน้าที่ระดับสูง โดยที่พวกเขาไม่ทราบว่ามีคนอื่นอยู่ในกลุ่มแชทด้วย
ในกลุ่มแชทนี้มีการสนทนาเกี่ยวกับแผนการโจมตีทางทหารที่มีความละเอียดอ่อนต่อกลุ่มติดอาวุธฮูตีที่ได้รับการสนับสนุนจากอิหร่านในเยเมน การสนทนาดังกล่าวเกิดขึ้นก่อนที่สหรัฐฯ จะเริ่มการโจมตีเพียงไม่นาน โดยมีบุคคลสำคัญที่เกี่ยวข้องในกลุ่ม ได้แก่ JD Vance รองประธานาธิบดี Pete Hegseth รัฐมนตรีว่าการกระทรวงกลาโหม Marco Rubio รัฐมนตรีว่าการกระทรวงการต่างประเทศ John Ratcliffe ผู้อำนวยการซีไอเอ Mike Waltz ที่ปรึกษาด้านความมั่นคงแห่งชาติ และ Tulsi Gabbard ผู้อำนวยการข่าวกรองแห่งชาติ
Goldberg ได้เล่าว่า เขาเห็นการสนทนาภายในเกี่ยวกับ “แผนลับทางทหาร” สำหรับการโจมตีกลุ่มกบฏฮูตีในเยเมน รวมถึงรายละเอียดชุดอาวุธ เป้าหมาย และกำหนดเวลาการโจมตี ก่อนที่ปฏิบัติการจะเกิดขึ้นจริง พร้อมทั้งเปิดเผยภาพหน้าจอ Screen Capture การสนทนาหลายภาพ เหตุการณ์นี้จึงนับเป็นการรั่วไหลของข้อมูลความลับที่มีความอ่อนไหวสูง เนื่องจากข้อมูลที่ควรจำกัดวงอยู่ในกลุ่มเจ้าหน้าที่ กลับถูกเปิดเผยแก่บุคคลภายนอก
การรั่วไหลครั้งนี้ไม่ได้เกิดจากการที่ระบบเข้ารหัสของแอป Signal ถูกเจาะ แต่เกิดจาก ความประมาทเลินเล่อในการใช้งาน โดย Mike Waltz ที่ปรึกษาด้านความมั่นคงแห่งชาติ เป็นผู้ที่เพิ่ม Goldberg ซึ่งเป็นนักข่าวเข้าไปในกลุ่มโดยไม่ได้ตั้งใจ ซึ่ง Waltz อธิบายว่า เขาพยายามเพิ่มหมายเลขโทรศัพท์ของบุคคลอื่น แต่หมายเลขของ Goldberg ปรากฏขึ้นภายใต้ชื่ออื่น
Goldberg เองได้วิจารณ์ว่าการใช้แอป Signal ในลักษณะนี้เป็นความประมาทที่น่าตกใจอย่างยิ่ง เพราะแม้ Signal จะขึ้นชื่อเรื่องความปลอดภัย แต่หากผู้ใช้งานไม่ระมัดระวัง เพิ่มคนผิดเข้าไปในกลุ่ม ก็ย่อมเท่ากับเปิดช่องให้ข้อมูลรั่วไหลออกไปได้
แอป Signal เป็นแอปสนทนาที่อาจไม่เป็นที่รู้จักของคนทั่วไปมากนัก เนื่องจากมีผู้ใช้เพียงราว 70 ล้านคนในปี 2024 ซึ่งน้อยกว่าผู้ใช้รายเดือนที่ใช้งาน iMessage ของ Apple หรือแอปอย่าง WhatsApp ซึ่งมีผู้ใช้มากนับพันล้านคน Signal พัฒนาโดยองค์กรไม่แสวงหาผลกำไรที่ชื่อ Signal Technology Foundation
วิธีใช้งานแอป Signal นั้นคล้ายกับแอปส่งข้อความอื่นๆ ผู้ใช้งานสามารถส่งข้อความแบบส่วนตัว สร้างกลุ่มแชท หรือโทรศัพท์สนทนา แอป Signal มีคุณสมบัติเด่นคือ การเข้ารหัสตั้งแต่ต้นทางถึงปลายทางแบบ End-to-end ซึ่งหมายความว่ามีเพียงผู้ส่งและผู้รับเท่านั้นที่สามารถอ่านเนื้อหาของข้อความได้ แอปนี้ยังเก็บรวบรวมข้อมูลผู้ใช้น้อยที่สุด และมีฟังก์ชันการลบข้อความอัตโนมัติ รวมถึงคุณสมบัติการเบลอใบหน้าในรูปภาพเพื่อปกป้องอัตลักษณ์ นอกจากนี้ผู้ใช้ยังสามารถตั้งค่าให้ข้อความหายไปหลังจากเวลาที่กำหนด ตั้งแต่เร็วที่สุด 30 วินาทีไปจนถึงนานสุด 4 สัปดาห์ อาจกล่าวได้ว่าแอป Signal ถือเป็นหนึ่งในระบบส่งข้อความที่ปลอดภัยที่สุด
แม้การรั้วไหลของแอป Signal เกิดจากความผิดพลาดของผู้ใช้ แต่ก็มีบ่อยครั้งที่การรั่วไหลของข้อมูลเกิดจากการเจาะระบบแอปสนทนา โดยมีตัวอย่างที่น่าสนใจ ได้แก่ แอป WhatsApp ที่ถูกโจมตีด้วยสปายแวร์ Pegasus ของบริษัท NSO Group อิสราเอล ในปี 2019 เพื่อสอดแนมผู้ใช้ประมาณ 1,400 ราย โดยการใช้ช่องโหว่ในคุณสมบัติการโทรวิดีโอ เหตุการณ์ถือเป็นการเจาะข้อมูลที่รุนแรงในเชิงเทคนิค เพราะผู้โจมตีสามารถเข้าถึงข้อมูลในเครื่องเป้าหมายได้ทั้งหมด ไม่ว่าจะเป็นรูปภาพ อีเมล หรือแม้แต่ข้อความที่เข้ารหัสก็ตาม
หรือกรณีของแอป Telegram ที่ขึ้นชื่อว่ามีความเป็นส่วนตัว ก็เคยโดยแฮกเกอร์กลุ่มหนึ่งเจาะโทรศัพท์ของเจ้าหน้าที่ระดับสูงในประเทศบราซิลหลายคน และดึงประวัติการสนทนาบน Telegram ออกมาเผยแพร่สู่นักข่าว ในปี 2019
นอกจากนี้ยังมีกรณีที่ CEO ของ Telegram ถูกจับกุมในฝรั่งเศสเมื่อปีที่แล้ว และต้องให้ความร่วมมือกับหน่วยงานทางการด้วยการให้ข้อมูลของผู้ใช้งาน ทำให้เกิดความกังวลเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของผู้ใช้บนแพลตฟอร์ม และแสดงให้เห็นว่าแม้แต่แพลตฟอร์มที่ทำการตลาดเน้นในด้านความเป็นส่วนตัวก็อาจถูกบังคับให้แบ่งปันข้อมูลภายใต้แรงกดดันทางกฎหมาย
จะเห็นได้ว่าสาเหตุของการใช้งานแชทกลุ่มในทางที่ผิดและการรั่วไหลของข้อมูลอาจมาจากหลายปัจจัย ทั้งความผิดพลาดของผู้ใช้ การโจมตีของแฮกเกอร์ การมีช่องโหว่ทางเทคนิคในแอปพลิเคชันแชทเอง การตั้งค่าความปลอดภัยที่ไม่เพียงพอ การขาดนโยบายและการกำกับดูแลขององค์กร การไม่กำหนดแนวทางการปฏิบัติของผู้ใช้
เหตุการณ์การรั่วไหลของแชทในแอป Signal ทำให้ย้อนมานึกถึงเหตุการณ์แชทหลุดในบ้านเรา บ่อยครั้งที่เราจะได้ยินข่าวทำนองนี้ บางทีก็มีการนำภาพสนทนาออกมาเปิดเผย และบางครั้งก็เป็นนักการเมือง หรือผู้บริหารระดับสูงของรัฐบาล
การใช้งานแอปสนทนาของบ้านเราในหน่วยงานต่างๆ ขาดการควบคุม และวางนโยบายที่ดีพอ เราปล่อยให้เล่นแอปสนทนาใดๆ ก็ได้ แอปส่วนใหญ่ที่ใช้กันเป็นแอปสำหรับการใช้งานทั่วไป เหมาะกับคุยเรื่องส่วนตัวที่ไม่มีความลับ ไม่เหมาะกับการใช้งานในองค์กรที่ต้องการความเป็นส่วนตัว มีความปลอดภัยสูง และต้องไม่มีการเก็บข้อมูลการสนทนาไว้นอกองค์กร หรือระบบเซิร์ฟเวอร์ของต่างประเทศ
ผมมักจะเห็นผู้บริหารในหน่วยงานต่างๆ ในบ้านเรา นักการเมือง ผู้บริหารภาครัฐ ใช้แอปสนทนาด้วยการสร้างกลุ่มจำนวนมาก เชิญคนเข้ามาคุยกันในเรื่องงาน บางครั้งเป็นเรื่องสำคัญยิ่ง แต่แอปวงสนทนากลับมีสมาชิกนับสิบหรือร้อยคน โดยบางทีก็ไม่ได้มีการตรวจสอบการเชิญผู้เข้าร่วมสนทนา ไม่มีนโยบายเน้นให้ใช้แอปสนทนาที่มีการเข้ารหัสแบบ End-to-end หรือเน้นการเก็บข้อมูลสนทนาอย่างปลอดภัย และควรมีการลบข้อความออกจากเซิร์ฟเวอร์ เพราะเสี่ยงต่อการถูกเจาะระบบได้
เหตุการณ์นี้ชี้ให้เห็นว่า แม้แต่หน่วยงานที่ถือว่ามีนโยบายด้านความมั่นคง และเคร่งครัดเรื่องการใช้เทคโนโลยีสูงอย่างรัฐบาลสหรัฐฯ ยังมีข้อผิดพลาดทำให้ข้อมูลรั่วไหลได้ ดังนั้นหน่วยงานในบ้านเราที่ยังขาดความตระหนักในเรื่องนี้ยิ่งน่ากังวลมาก และมีความเสี่ยงต่อข้อมูลรั่วไหลสูง โดยเฉพาะข้อมูลความมั่นคงที่ผู้บริหารภาครัฐในบ้านเราเล่นแอปสนทนาที่ไม่มีความปลอดภัยดีพอ
อาจถึงเวลาที่เราจะต้องกำหนดนโยบายให้ชัดเจนในการใช้แอปสนทนาเรื่องงานขององค์กรควรที่จะเลือกใช้แอปที่มีความปลอดภัยสูงออกแบบมาเพื่อใช้งานในองค์กร และที่สำคัญยิ่งการลงทุนในการรักษาความปลอดภัยของข้อมูลและการฝึกอบรมบุคลากรไม่ใช่ทางเลือกแต่เป็นสิ่งจำเป็น
