- ไม่ควรทดสอบโดยความละเลย
- ควรระมัดระวังเรื่องความปลอดภัยทางออนไลน์ให้มากขึ้น
- เอไอเอส ย้ำไม่มีข้อมูลส่วนบุคคลรั่วแน่นอน
นายสุทธิศักดิ์ ตันตะโยธิน รองเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เปิดเผยว่า จากกรณีมีข่าวว่า พบข้อมูลการใช้อินเตอร์เน็ตบนเครือข่ายของบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือเอไอเอส เกิดการรั่วกว่า 8,000 ล้านรายการนั้น กสทช. ได้เรียนก บริษัท แอดวานซ์ ไวร์เลส เน็ทเวิร์ค จำกัด (เอดับบลิวเอ็น)ในเครือเอไอเอส มาชี้แจง โดยเอไอเอส ชี้แจงว่า ได้ทำการพัฒนาระบบสำหรับการให้บริการ โดยการสุ่มตัวอย่างข้อมูลบางส่วนในช่วงเวลาหนึ่งมาทดลอง โดยดึงข้อมูลมาไว้ในเซิร์ฟเวอร์เฉพาะที่แยกออกจากระบบจริงของบริษัท ซึ่งข้อมูลดังกล่าวไม่สามารถนำไประบุตัวตนความเป็นเจ้าของข้อมูล ไม่มีข้อมูลของเลขหมาย หรือข้อมูลเกี่ยวกับธุรกรรมทางการเงิน เป็นเพียงข้อมูลที่นำมาวิเคราะห์ปรับปรุงการให้บริการ ในช่วงสถานการณ์ โควิด-19 ที่มีผู้ใช้บริการข้อมูล เพิ่มขึ้นสูงมาก
โดยเอไอเอส แจงเพื่มเติมว่า ยืนยันว่าข้อมูลดังกล่าวไม่มีข้อมูลของผู้ใช้บริการอินเตอร์เน็ต ไม่มีข้อมูลส่วนบุคคล มีเพียงเส้นทางของทราฟฟิกเท่านั้น ซึ่งไม่รู้ว่าต้นทางเป็นใคร ไม่มีข้อมูลธุรกรรมต่างๆ แต่เป็นการดึงข้อมูลมาเพื่อทำการศึกษาพฤติกรรมการใช้งานในภาพรวมว่า ในช่วงเวลาดังกล่าว มีคนเข้าไปในเว็บไหน ติดตามข้อมูลข่าวสารจากไหน โดยเป็นการทดสอบระบบ เพื่อดูเรื่องการให้บริการเท่านั้น เพียงแต่ข้อผิดพลาดที่เกิดขึ้นเนื่องจากพนักงานคิดว่าเป็นระบบทดสอบ จึงขาดความระมัดระวัง บริษัทฯ ได้น้อมรับว่ามีความผิดพลาดในการจัดตั้งระบบทดสอบขึ้นมาจริง
นายสุทธิ์ศักดิ์ กล่าวต่อว่า กสทช.ยังได้สอบถาม เกี่ยวกับมาตรการด้านความปลอดภัยทางไซเบอร์ Cyber Security ของบริษัทฯ ว่าเป็นอย่างไร โดยบริษัทฯ ยืนยันว่า มีขั้นตอนมาตรการที่รัดกุม แต่เจ้าหน้าที่ยังขาดความตระหนักถึงความสำคัญ ทำให้เกิดกรณีนี้ขึ้นมา สำหรับพนักงานที่ประมาทเลินเล่อ บริษัทจะดำเนินการลงโทษพนักงานเพื่อให้เกิดมีความตระหนักในเรื่อง Cyber Security ให้มากขึ้น ในแง่ของการบริหารข้อมูล AWN ยังยืนยันว่าบริษัทยังล็อกไว้อีกชั้นหนึ่ง ข้อมูลส่วนบุคคลของลูกค้าจะไม่สามารถหลุดลอดออกไปได้
“กสทช. จะทำหนังสือเตือนบริษัทฯ อย่างเป็นทางการ เพื่อย้ำให้เอไอเอส ให้ความสำคัญกับเรื่อง Cyber Security ให้พนักงานตระหนักในความสำคัญของมาตรการรักษาความปลอดภัยของข้อมูลผู้ใช้บริการ บริษัท ไม่ควรดำเนินการหรือทดสอบโดยความละเลยเช่นนี้อีก และควรจะต้องระมัดระวังในการดำเนินการเรื่อง Cyber Security และให้เชื่อมโยงข้อมูลกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ ประเทศไทย.(ThaiCert) และศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB- CERT) เพื่อจะได้ประสานกันในเรื่องความปลอดภัยของข้อมูล และเรื่อง Cyber Securityต่อไป”