ทปอ. ‘ขออภัยอย่างสูง’ กรณีข้อมูลนักเรียนสอบ TCAS หลุดนับหมื่นราย แต่ยังยืนยัน ‘ระบบมีความปลอดภัย’

ข้อมูลส่วนตัวของนักเรียนกว่า 23,000 รายที่ลงทะเบียนในระบบการคัดเลือกกลางบุคคลเข้าศึกษาต่อในสถาบันอุดมศึกษา หรือ TCAS ถูกแฮกและนำไปขายต่อในเว็บตลาดมืด (Dark Web) ทำให้กระแสแฮชแท็ก #แบนทปอ พาดพิง ‘ที่ประชุมอธิการบดีแห่งประเทศ’ ซึ่งรับผิดชอบการสอบ TCAS ติดเทรนด์ทวิตเตอร์ไทยตั้งแต่ 2 กุมภาพันธ์ 2565 

จนกระทั่งช่วงสายของวันที่ 3 กุมภาพันธ์ เฟซบุ๊กเพจ ทปอ.ก็ได้ออกแถลงการณ์ชี้แจงถึงกรณีที่เกิดขึ้นโดยระบุว่าข้อมูลที่ถูกกล่าวอ้างเป็นข้อมูลในรอบที่ 3 ของการสอบในระบบ TCAS ปี 2564 และคาดว่าเป็นไฟล์ที่สร้างขึ้นในช่วงเดือนพฤษภาคม 2564 ที่เจ้าหน้าที่ของสถาบันอุดมศึกษาดึงข้อมูลคะแนนไปจัดเรียงลำดับผู้สมัคร (Ranking) ตามเกณฑ์คัดเลือกของแต่ละสาขาวิชา

ข้อมูลอะไรบ้างที่หลุดไปสู่เว็บตลาดมืด?

ผู้ใช้ทวิตเตอร์หลายรายแสดงความคิดเห็นว่าข้อมูลนักเรียนที่ถูกนำไปขายในเว็บตลาดมืดนั้นมีทั้งชื่อ นามสกุล เลขที่บัตรประจำตัวประชาชน และผลคะแนนตามเกณฑ์การคัดเลือกของแต่ละสาขาวิชาที่สมัคร ข้อมูลเหล่านี้สามารถนำไปประกอบการทำธุรกรรมได้หลายอย่างที่จะส่งผลกระทบต่อผู้ที่เป็นเจ้าของข้อมูล แต่ทาง ทปอ.แถลงเพิ่มเติมว่าข้อมูลที่ถูกนำไปขาย ‘ไม่มี’ ผลเรียงลำดับ Ranking ตามคะแนนของผู้สมัคร และไม่ได้ปฏิเสธการรายงานข่าวเกี่ยวกับข้อมูลอื่นๆ

ทปอ.ยอมรับด้วยว่ามีข้อมูลหลุดจริง แต่ย้ำว่าเป็นข้อมูลการสมัครสอบปี 2564 และไม่ใช่ข้อมูลส่วนตัวทั้งหมดที่เก็บไว้ โดยพบข้อมูลส่วนบุคคลรั่วไหลประมาณ 23,000 ราย จากรายชื่อผู้ที่ลงทะเบียนสอบทั้งหมด 826,250 ราย ซึ่งปัจจุบัน ทปอ.ได้เปลี่ยนการจัดเก็บข้อมูลในระบบใหม่แล้ว

ขออภัยอย่างสูง – กำลังรวบรวมหลักฐานไปแจ้งความ

เนื้อหาในแถลงการณ์ของ ทปอ.ระบุด้วยว่า “ขออภัยอย่างสูง” ต่อผลกระทบที่เกิดขึ้นกับข้อมูลส่วนบุคคลที่ถูกกล่าวอ้าง และ ทปอ.ตระหนักถึงการรักษาความมั่นคงปลอดภัยในระบบคอมพิวเตอร์ จึงได้ตรวจสอบระบบและกระบวนการทำงานอย่างละเอียด และขณะนี้กำลังรวบรวมพยานหลักฐานที่เกี่ยวข้อง เพื่อไปดำเนินการแจ้งความร้องทุกข์ต่อเจ้าหน้าที่ตำรวจ 

นอกจากนี้ ทปอ.ยังระบุด้วยว่าจะแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อรับทราบสถานการณ์ต่อไป โดยการเคลื่อนไหวดังกล่าวได้รับการสนับสนุนจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ด้วย

ปรับปรุงระบบใหม่แล้ว มีระบบบันทึกการใช้งานอย่างละเอียด

ทปอ.ระบุในแถลงการณ์ด้วยว่า ปัจจุบันได้ปิดระบบ TCAS64 ไปแล้วตั้งแต่เดือนธันวาคม 2564 และระบบสอบ TCAS65 ในปีนี้ก็มีการเปลี่ยนระบบเป็นรูปแบบใหม่ และเว็บไซต์ที่พัฒนาขึ้นใหม่จะมีการจัดเก็บไฟล์ข้อมูลที่มีความอ่อนไหวในรูปแบบ Private ที่ไม่สามารถเข้าถึงโดยตรงได้ การที่จะเข้าถึงไฟล์ข้อมูลได้นั้น ผู้ใช้งานระบบต้องได้รับการอนุญาตจากระบบ (presigned URL) ที่มีอายุในเวลาที่กำหนดเท่านั้น ซึ่งผู้ใช้งานระบบสามารถเข้าถึงข้อมูลได้ชั่วคราว พร้อมระบบบันทึกการใช้งานอย่างละเอียด

แถลงการณ์ ทปอ.ย้ำว่า “ระบบ TCAS65 มีความปลอดภัยในการใช้งาน” และ “มีการเฝ้าระวังสิ่งผิดปกติ” โดยร่วมมือกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) อย่างใกล้ชิด เพื่อให้คงไว้ซึ่งความน่าเชื่อถือในระบบและกระบวนการคัดเลือกต่อไป

อย่างไรก็ดี ยังมีผู้ใช้ทวิตเตอร์จำนวนไม่น้อยที่ไม่พอใจคำชี้แจงของ ทปอ. เพราะมองว่า การสอบ TCAS เป็นระบบที่ต้องเสียเงิน แต่หน่วยงานที่รับผิดชอบกลับไม่ได้ปฏิบัติหน้าที่อย่างคุ้มค่า ไม่ได้ป้องกันข้อมูลส่วนบุคคลของผู้อื่นให้ดี และการที่ข้อมูลหลุดไปแล้วก็ยังไม่ได้รับคำตอบที่ชัดเจนว่า ทปอ.จะรับผิดชอบต่อผู้ได้รับผลกระทบอย่างไรได้บ้าง

นอกจากนี้ยังมีผู้พาดพิงถึงกรณีที่ผู้ดูแลสื่อโซเชียลของ ทปอ.ตอบคำถามนักเรียนซึ่งได้รับผลกระทบจากโรคโควิด-19 โดยระบุว่าให้สอบใหม่ปีหน้าหรือเลือกสาขาอื่น ซึ่งเคยทำให้เกิดกระแสแฮชแท็ก #แบนทปอ ไปครั้งหนึ่งแล้ว เพราะถูกมองว่าเป็นคำตอบที่ปัดภาระไปให้แก่นักเรียน โดยที่ ทปอ.ไม่คิดจะหาทางช่วยเหลือหรือจัดวางระบบที่ปลอดภัยในการสอบเหมือนประเทศอื่นๆ 

อ้างอิง

• TCAS. ประกาศที่ประชุมอธิการบดีแห่งประเทศไทย เหตุภัยคุกคามทางไซเบอร์ระบบการคัดเลือกกลางบุคคลเข้าศึกษาต่อในสถาบันอุดมศึกษา (TCAS). https://bit.ly/3L34v8J
• Twitter. #แบนทปอ . https://bit.ly/3L5W38M
• BrandThink. สรุป #แบนทปอ ปมสอบเข้า ผลักเด็กเสี่ยงโควิดสอบปีหน้า-เลือกสาขาอื่น. https://bit.ly/3omaXOj