พลเมืองเน็ตเปิดผลสำรวจ 'บริการออนไลน์ไทยปลอดภัยแค่ไหน'

เครือข่ายพลเมืองเน็ต เปิดผลสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ของไทย พบ 24 จาก 50 เว็บที่สำรวจ ยังไม่เข้ารหัส ทั้งที่หลายเว็บเก็บข้อมูลส่วนบุคคลจำนวนมาก ส่วนเว็บธนาคารปลอดภัยสุด


ภาพประกอบโดย Yuri Samoilov (CC-BY-2.0)

14 ส.ค. 2557 ที่ห้องประชุมชั้น 3 สมาคมนักข่าวฯ โครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต นำเสนอผลการสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ของประเทศไทย เพื่อเป็นข้อมูลแก่ผู้ใช้ทั่วไปในการตัดสินใจใช้บริการต่างๆ และเพื่อกระตุ้นผู้ให้บริการออนไลน์ให้ตระหนักถึงความสำคัญของการปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการมากขึ้น

ธิติมา อุรพีพัฒนพงศ์ นักวิจัยโครงการฯ ระบุว่า การสำรวจนี้มุ่งไปที่ผู้ให้บริการสำคัญในด้านต่างๆ จำนวน 50 เว็บ แบ่งเป็นหน่วยงานรัฐ การเงินการธนาคาร การศึกษา คมนาคมขนส่ง ซื้อขายบริการ และบริการรับสมัครงาน โดยเก็บข้อมูลระหว่างเดือนตุลาคม 56 - มกราคม 57

ธิติมา กล่าวว่า เกณฑ์ที่ใช้ในการประเมิน ประกอบด้วย 3 ส่วน คือ 1) มีการเชื่อมต่อแบบ HTTPS หรือไม่ 2) เมื่อเข้ารหัสแล้ว กุญแจที่เข้ารหัสมีความยาว 256 บิตซึ่งเป็นมาตรฐานของอุตสาหกรรมธนาคารหรือไม่ และ 3) มีการแสดงนโยบายความเป็นส่วนตัวอย่างชัดเจนหรือไม่ 

สำหรับผลการสำรวจ พบว่า จากเว็บไซต์ทั้งหมด 50 เว็บ มีเว็บไซต์ที่เข้ารหัส HTTPS จำนวน 24 เว็บ และเมื่อเปรียบเทียบกับบริการประเภทอื่นๆ แล้ว ธนาคารและสายการบินมีระดับการปกป้องความปลอดภัยและความเป็นส่วนตัวมากที่สุด เห็นได้จากการที่ทุกเว็บมีการเชื่อมต่อแบบ HTTPS มีการเข้ารหัส SSL 3.0 และมีนโยบายความเป็นส่วนตัว เนื่องจากบริการทางการเงินออนไลน์อยู่ภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทย ที่อยู่ภายใต้พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551

ธิติมา กล่าวต่อว่า ขณะที่เว็บของหน่วยงานรัฐ ซึ่งมีบริการออนไลน์ส่วนใหญ่เป็นการชำระภาษีและค่าธรรมเนียมต่างๆ รวมถึงการรับเรื่องร้องเรียน พบว่า เว็บที่อยู่ในกลุ่มรับเรื่องร้องเรียนทั้งหมดไม่ได้เข้ารหัสเลย ทั้งที่ผู้ร้องเรียนต้องกรอกข้อมูลส่วนตัวที่ระบุตัวตนได้

ด้านเว็บสถาบันการศึกษา พบว่า มีมหาวิทยาลัยเพียง 2 จาก 10 แห่งเท่านั้นที่ใช้ HTTPS คือ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี และมหาวิทยาลัยสงขลานครินทร์ ทั้งที่ในหน้าลงทะเบียนศึกษาต่อ ต้องกรอกข้อมูลส่วนบุคคลทั้งของผู้สมัครและผู้ปกครองจำนวนมาก นอกจากนี้ พบว่าไม่มีมหาวิทยาลัยใดเลยที่พูดเรื่องนโยบายความเป็นส่วนตัวชัดเจน 

ด้านคมนาคมขนส่ง พบว่า เว็บสายการบิน ซึ่งมีการทำธุรกรรมการเงินออนไลน์ มีการเข้ารหัส HTTPS และเข้ารหัส SSL รุ่น 3.0 ทั้งหมด ขณะที่เว็บจองบัตรรถโดยสารประจำทาง ซึ่งเป็นการจองก่อนแล้วไปจ่ายในช่องทางอื่นทีหลัง จะมีมาตรการความปลอดภัยที่ต่ำกว่า เช่นเดียวกับเว็บซื้อขายสินค้าออนไลน์ กรณีที่เป็นเว็บท่า ที่ทำหน้าที่เป็นตัวกลางระหว่างผู้ซื้อกับผู้ขาย ไม่มีการทำธุรกรรมทางการเงินอิเล็กทรอนิกส์กับเว็บโดยตรง จะไม่พบการเข้ารหัส ยกเว้นเว็บที่มีสาขาทั่วโลก หรือร่วมทุนกับต่างชาติ ที่จะมีมาตรการด้านความปลอดภัย เช่น ตลาดดอทคอม

ส่วนเว็บบริการรับสมัครงาน ซึ่งเป็นบริการออนไลน์ที่ผู้ใช้บริการมอบข้อมูลส่วนตัวของตนเองด้วยความสมัครใจ และให้รายละเอียดมากเพื่อทำให้ตนเองได้งาน ไม่มีการเข้ารหัสเว็บไซต์เลย แต่ก็ยังมีนโยบายความเป็นส่วนตัว แจ้งว่าจะเก็บข้อมูลไว้ที่ใดและจะไม่ให้ข้อมูลกับผู้อื่น

ด้าน ธชทัต นันทภัควงษ์ กรรมการสมาคมผู้ประกอบการพาณิชย์อิเล็กทรอนิกส์ไทย และผู้บริหารบริษัท MOL ประเทศไทย กล่าวในการสัมมนาวิชาการหัวข้อ “มาตรฐานความปลอดภัยของเว็บไซต์เพื่อส่งเสริมการขยายตัวของธุรกรรมอิเล็กทรอนิกส์” โดยยกตัวอย่างเว็บไซต์กูเกิล ที่ล่าสุดมีการให้ความสำคัญกับเว็บที่ใช้ HTTPS โดยให้ผลการค้นหาอยู่ในลำดับต้นๆ อย่างไรก็ตาม ผู้ประกอบการที่ให้บริการธุรกรรมอิเล็กทรอนิกส์จากต่างประเทศทั้งหมดก็มีการใช้ HTTPS อยู่แล้ว ตอนนี้ สมาคมเองก็พยายามหามาตรฐานว่าผู้ประกอบการต้องทำอะไรบ้าง ซึ่งหากต้องทำอะไรหลายอย่าง ก็อยากขอให้ภาครัฐเข้ามาช่วยเหลือด้านการลดหย่อนภาษีด้วย 

ธชทัต กล่าวเสริมว่า ด้านหนึ่งขณะที่มีการเพิ่มมาตรการความปลอดภัย แต่ยังพบว่ามีผู้ใช้บริการไม่เข้าใจตรงนี้ หลายคนยังมีรหัส 1234 หรือใช้ชื่อนามสกุลอยู่เลย ทางผู้ให้บริการเองก็พยายามบังคับไม่ใช้ชื่อนามสกุลเป็นรหัสผ่าน หรือให้เปลี่ยนรหัสผ่านทุก 3-6 เดือน

ขณะที่อรรณพ สุวัฒนพิเศษ หรือ @FordAntiTrust บล็อกเกอร์ด้านไอทีเว็บไซต์ thaicyberpoint.com กล่าวว่า ในฐานะผู้ใช้บริการ เวลาใช้งานเว็บไซต์ต่างๆ จะดูที่หัวข้อ "เกี่ยวกับเรา" ก่อน เพื่อตรวจสอบว่าผู้ให้บริการเป็นใคร อยู่ที่ไหน และติดต่อได้อย่างไรบ้าง รวมถึงดูที่โปรแกรมจัดการเนื้อหาของเว็บไซต์ เพื่อทำให้แน่ใจว่ารหัสผ่านจะถูกเข้ารหัส

นอกจากนี้ อรรณพ เสนอด้วยว่า เว็บไซต์ในไทยควรมีการทำรายงานความโปร่งใส เหมือนเว็บต่างประเทศ เพื่อสร้างความอุ่นใจให้ผู้ให้บริการ ได้รู้ว่าเมื่อให้ข้อมูลไปแล้ว มีการร้องขอจากหน่วยงานใดไหม มีการให้ข้อมูลหรือไม่ให้ ด้วยเหตุผลอะไร

ข่าวรอบวัน

สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

พื้นที่ประชาสัมพันธ์