ผู้เชี่ยวชาญไซเบอร์ ห่วงความปลอดภัย ซุปเปอร์แอป โครงการเงินดิจิทัล
ผู้เชี่ยวชาญไซเบอร์ ห่วงความปลอดภัย ระบบซุปเปอร์แอป "ทางรัฐ" สำหรับโครงการเงินดิจิทัล เชื่อพัฒนาระบบได้ทันเวลาเริ่มโครงการ แต่กังวลการทดสอบระบบความปลอดภัย
หลังจากได้มีการแถลงข่าว “ดิจิทัลวอลเลต โครงการเพื่อประชาชน พร้อมขับเคลื่อนเศรษฐกิจแล้ววันนี้” เมื่อวันที่ 24 ก.ค.67 ได้มีความชัดเจนในเรื่องของไทม์ไลน์การลงทะเบียน โดยลงทะเบียนประชาชนเริ่ม 1 สิงหาคม ถึง 15 กันยายน 2567 ผ่านแอปพลิเคชันทางรัฐ หรือ ซุปเปอร์แอปของรัฐบาล
ไม่มีจำกัดจำนวนประชาชนที่เข้าร่วมโครงการ ส่วนการลงทะเบียนประชาชนโครงการเงินดิจิทัล 10,000 บาท ที่ไม่มีสมาร์ทโฟน จะเริ่มวันที่ 16 กันยายน ถึง 15 ตุลาคม 2567 และลงทะเบียนร้านค้าร่วมโครงการเงินดิจิทัล เริ่มวันที่ 1 ตุลาคม 2567 โดยการแจกเงินจะเริ่มไตรมาส 4 ของปี 2567
ซึ่งแอป"ทางรัฐ" ที่จะถูกใช้ในโครงการนี้ ที่ผ่านมาสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ชื่อย่อ สพร. หรือ DGA ได้มีการประมูลหาเอกชนผู้มีความเชี่ยวชาญมาพัฒนาระบบต่างๆ โดยโครงการพัฒนาแพลตฟอร์มดิจิทัลกลาง บริษัท บลูบิค กรุ๊ป จำกัด (มหาชน) เป็นผู้พัฒนา ,โครงการพัฒนาระบบลงทะเบียนร้านค้า บริษัท เด็พธเฟิร์สท จำกัด เป็นผู้พัฒนา และยังมีงานพัฒนาระบบแพลตฟอร์มการชำระเงิน (Payment Platform)ที่ต้องประมูลหาผู้พัฒนาระบบ วงเงินงบประมาณตั้งไว้ที่ 95 ล้านบาท
รายการ "เข้าเรื่อง" เผยแพร่ผ่านช่องยูทูปฐานเศรษฐกิจ ได้สนทนาในประเด็นความพร้อมของระบบกับ อ.ฝน นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) โดยความกังวลว่าจะสามารถพัฒนาระบบให้พร้อมใช้งานได้ตามไทม์ไลน์หรือไม่นั้น อ.ฝน เชื่อว่าสามารถทำให้ทันเวลาใช้งานได้ แต่ควรต้องกังวลเรื่องอื่นมากกว่า
เพราะการพัฒนาระบบเพื่อใช้ในโครงการแจกเงินดิจิทัล 10,000 บาทนี้ ไม่ใช่สิ่งที่ต้องมาออกแบบหรือเขียนโค้ดกันใหม่ทั้งหมด แต่เป็นการพัฒนาขึ้นจากซอฟแวร์ที่มีอยู่แล้วเดิม แต่สิ่งที่ต้องตั้งคำถามคือการตรวจสอบระบบในด้านความปลอดภัย ว่าจะสามารถตรวจสอบได้ครบถ้วนตามมาตรฐานหรือไม่ และจะมีเวลาเพียงพอสำหรับการตรวจสอบด้านความปลอดภัยหรือไม่ นี่คือคำถามที่มีความสำคัญมากกว่า เนื่องจากกรอบระยะเวลาค่อนข้างกระชั้นชิด ทั้งการเปิดให้เริ่มลงทะเบียนในเดือนสิงหาคมนี้ และเริ่มใช้จ่ายภายในไตรมาส 4 ของปีนี้
DGA ซึ่งเป็นหน่วยงานที่มีมาตรฐาน และมีบุคลากรที่มีความรู้ความสามารถ แต่ด้วยระยะเวลาที่เร่งไปหมดก็ย่อมทำให้มีความห่วงใยเรื่องข้อผิดพลาดได้ เพราะในอดีตก็เคยปรากฎข่าวของธนาคารแห่งหนึ่งที่เร่งออกแคมเปญเกี่ยวกับดิจิทัลแบงก์กิ้ง แต่ด้วยความเร่งรีบให้ทันเวลาจึงได้มีการออกไปทำข้างนอกเพื่อลดขั้นตอน ร่นเวลาด้านความปลอดภัยของธนาคาร แต่ปรากฏว่ากลายเป็นสาเหตุให้ถูกแฮกหน้าโฆษณาในวันแรกที่ปล่อยแคมเปญดังกล่าว จึงหวังว่าโครงการใหญ่เช่นนี้จะคำนึงถึงความปลอดภัยและไม่เกิดเหตุการณ์ซ้ำรอยที่ว่ามา
ในเรื่องของความปลอดภัยระบบต้องเริ่มตั้งแต่ขั้นตอนการออกแบบ (secure by design) และต้องมีการตรวจสิ่งที่ออกแบบมา เปรียบเทียบได้กับการก่อสร้างอาคารที่จะต้องมีวิศวกรเซ็นอนุมัติแบบว่าเป็นแบบที่มีความปลอดภัย ต้องใช้เหล็กขนาดเท่าไหร่ เสาเข็มขนาดเท่าไหร่ เป็นต้น ซึ่งประเทศไทยยังไม่มีมาตรฐานเรื่องนี้ในระบบงานไอที เพราะไม่มีการเซ็นรับรองแบบ ว่าระบบที่ออกแบบมานี้มีความปลอดภัยหรือไม่ จะโดนแฮกได้หรือไม่ มีช่องโหว่อย่างไร
สำหรับคำถามที่ว่าระบบชำระเงิน Payment ที่จะใช้ในโครงการแจกเงินดิจิทัล 10,000 บาท ออกแบบได้มาตรฐานด้านความปลอดภัยหรือไม่ ก็ไม่ไรู้ว่าใครจะตอบคำถามนี้ เพราะส่วนมากจะมีการตรวจสอบในขั้นตอนด้าน Security test ในเฟสสุดท้าย แต่ไม่มีการพูดถึงsecure by design มาตั้งแต่ต้น และในขั้นตอนการCoding ต้องทำโดยผู้มีประสบการณ์ ผ่านการอบรมด้าน Secure Coding แต่ในTORของงานภาครัฐไม่มีการระบุเรื่องเหล่านี้ แต่ก็เข้าใจได้ว่าเกรงจะถูกมองว่าเป็นการล็อกสเปก จึงเป็นเรื่องไก่กับไข่ ว่าเมื่อเป็นเช่นนี้บริษัทต่างๆก็ไม่จำเป็นต้องส่งคนไปอบรม
ดังนั้นการให้ความสำคัญกับเรื่องความปลอดภัยถือเป็นเรื่องที่ใหญ่มากๆในการออกแบบระบบ ต้องมีตั้งแต่ขั้นตอนการออกแบบ secure by design ขั้นตอนการดำเนินการก็ต้องมี Secure Coding ส่วนขั้นตอนการทดสอบก็ต้องมีทั้ง Unit Test , Integration test ในขั้นตอนของการนำเอาระบบออกมาให้ผู้คนได้ใช้ก็ต้องมีขั้นตอนที่นำออกมาให้ใช้ (deploy) อย่างปลอดภัย เรียกว่าต้องใส่เรื่องความปลอดภัยไปในทุกๆเฟสของการดำเนินงาน และสื่อสารออกมาให้ประชาชนมีความมั่นใจ
อีกหนึ่งข้อห่วงใหญ่คือมิจฉาชีพหลอกให้ลงทะเบียนปลอม ดังนั้นต้องมีการประชาสัมพันธ์ให้ประชาชนมีความรู้ความเข้าใจ และไม่ตกเป็นเหยื่อของมิจฉาชีพ เพราะมิจฉาชีพอาจนำเอาข้อมูลของประชาชนไปลงทะเบียนรับเงิร 10,000 บาทนี้แทน ซึ่งภาครัฐต้องมีวิธีป้องกัน ตรวจสอบแม้จะมีระบบการยืนยันตัวตนด้วยการสแกนใบหน้าแล้วก็ตาม แต่ก็ต้องคำนึงถึงปัจจับเสี่ยงอื่นๆที่อาจเกิดขึ้นต่อภาคประชาชนได้
ส่วนข้อมูลการใช้จ่ายของประชาชนที่เข้าร่วมโครงการ จะมีใครสามารถเข้าถึงข้อมูลเหล่านี้ได้บ้าง และจะนำข้อมูลเหล่านี้ไปทำอะไร การใช้จ่ายถือเป็นข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองตามกฎหมาย PDPA หรือไม่ มีโอกาสที่ข้อมูลส่วนนี้จะหลุดออกไป และถูกนำไปซื้อขายในเชิงพาณิชย์ได้หรือไม่ มีวิธีป้องกันอย่างไร ซึ่งคาดว่าขั้นตอนการลงทะเบียนต้องมีการขอความยินยอมในรายละเอียดต่างๆ ซึ่งประชาชนควรต้องอ่านโดยละเอียดเพื่อคุ้มครองสิทธิของตนเอง