ว่าที่ ส.ส.ก้าวไกล แนะวิธีแก้ปัญหาเพจรัฐถูกแฮก

ว่าที่ ส.ส.ก้าวไกล แนะ วิธีแก้ปัญหาเพจรัฐถูกแฮก ชี้ DES แก้ได้เลยทันที ไม่จำเป็นต้องรอรัฐบาลหน้า

นายณัฐพงษ์ เรืองปัญญาวุฒิ ว่าที่ ส.ส. บัญชีรายชื่อลำดับที่ 13 หนึ่งในสมาชิกกลุ่มก้าว Geek พรรคก้าวไกล ตัวเต็ง รมว. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES)ได้โพสต์ถึงทางแก้จากกรณีที่เพจเฟซบุ๊กของรัฐถูกแฮก ไม่จำเป็นต้องรอรัฐบาลหน้าว่า ทางแก้: เพจรัฐถูกแฮก ไม่ต้องรอ รบ.หน้า นายณัฐพงษ์กล่าวว่า ขอแบ่งปัญหาออกเป็น 2 ส่วน คือการกำหนดมาตรฐานขั้นต่ำ และการนำไปปฏิบัติหรือบังคับใช้

ข้อ 1 การกำหนดมาตรฐานขั้นต่ำ อ้างถึง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานฯ หน้า 11 เรื่อง “การทําให้ระบบมีความแข็งแกร่ง” ตามประกาศ กกม. ที่ รมว.DES เป็นประธาน พร้อมแนบลิ้งค์ [https://drive.ncsa.or.th/s/6rFJ66fNstfK6ni]

จะเห็นว่าภายใต้ข้อ 22.2.2 Security Baseline Configuration Standards ยังไม่มีการกำหนดให้ “ทุกหน่วยงานของรัฐ” บังคับใช้ Multi-Factor Authentication (MFA) อาทิ การใช้ OTP ในการยืนยันอีกขั้น ฯลฯ ในการเข้าสู่ระบบ กับบรรดาแอดมินเพจ (หรือระบบ) ของรัฐทั้งหลาย มีแต่เพียงข้อ (ค) ที่ว่าด้วยการบังคับใช้นโยบายความซับซ้อนของรหัสผ่าน เช่น ต้องประกอบด้วยอักขระพิเศษ ตัวเล็ก ตัวใหญ่ ฯลฯ

ซึ่งถ้าเปิดใช้ MFA ก็น่าจะแก้ปัญหาเรื่องเพจภาครัฐถูกแฮกไปได้ระดับหนึ่งพอสมควร เข้าใจว่าการประชุม กกม. เพื่อแก้ไขเพิ่มเติมประมวลแนวทางปฏิบัติและกรอบมาตรฐานนี้ รมว.รักษาการ DES น่าจะสามารถเรียกประชุมได้เลย ไม่ต้องรอรัฐบาลหน้า พร้อมแปะตัวอย่างแนวปฏิบัติในต่างประเทศ: https://www.cisa.gov/sites/default/files/publications/CISA_CEG_Social_Media_Account_Protection_508.pdf

ข้อ 2 การนำไปปฏิบัติหรือบังคับใช้ เข้าใจว่าในทางปฏิบัติ ถึงกำหนดแนวปฏิบัติ/มาตรฐานไปแล้ว ก็ใช่ว่าทุกหน่วยงานของรัฐ จะสามารถปฏิบัติตามได้ในทันที วิธีทำที่ได้ประสิทธิภาพ คือ การเจรจา ขอรับการสนับสนุนจาก platform โดยตรง เช่น เร่งเจรจากับ Facebook ให้ช่วยสแกนหาเพจภาครัฐ ที่แอดมินเพจยังไม่เปิดใช้ MFA ให้แจ้งเตือนมาที่กระทรวง หรือไม่ก็บังคับ deactivate เพจชั่วคราวไปก่อนเลยก็ได้ เพราะถือว่าเพจนั้นไม่ได้ปฏิบัติตามกฎหมาย (แนวปฏิบัติ/มาตรฐานขั้นต่ำที่ กกม. กำหนด)

ซึ่ง Facebook สามารถดำเนินการได้ และเป็นการบังคับให้แอดมินเพจภาครัฐ ต้องเปิดใช้ MFA ก่อนจึงจะใช้งานต่อได้แบบ 100% ไปในตัวนี่จึงจะเป็นวิธีการ roll out นโยบายได้อย่างมีประสิทธิภาพ ไม่ใช่การแจ้งให้เขายกระดับมาตรฐานความปลอดภัยมากขึ้น เพราะเขาน่าจะมีระดับมาตรฐานความปลอดภัยที่ดีเพียงพอแล้วเพียงแต่แอดมินเพจภาครัฐบางส่วน ที่ยังตั้งค่าการใช้งานไม่รัดกุมเพียงพอ เรื่องนี้ รมว.รักษาการ DES ก็ทำได้เลย ไม่ต้องรอรัฐบาลหน้า นายณัฐพงษ์กล่าวทิ้งท้ายว่า ส่วนเรื่องอื่น ๆ ไว้ ep ต่อ ๆ ไป ว่ากันทีละเรื่อง ๆ แก้กันเป็นจุด ๆ

ติดตามเนื้อหาดีๆแบบนี้ได้ที่

Facebook : https://www.facebook.com/innnews.co.th

Twitter : https://twitter.com/innnews

Youtube : https://www.youtube.com/c/INNNEWS_INN

TikTok : https://www.tiktok.com/@inn_news

LINE Official Account : @innnews