มาตรการปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย 22 ธันวาคม 2557

1. ทำไมต้องทำ: ผู้ใช้เน็ตมีข้อมูลในการตัดสินใจใช้บริการ สถิติความมั่นคงปลอดภัยเน็ต: ในปี 2556 ไทยเซิร์ตได้รับมือและจัดการภัยคุกคามทั้งหมด 1,745 รายงาน เพิ่ม ขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่ มีเพียง 792 รายงาน ไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เสนอโดย สำนักงานปลัดสำนักนายกรัฐมนตรี เตรียมเสนอต่อ สนช. การทำกิจกรรมต่างๆ บนเน็ตอัตราเพิ่มมากขึ้นเรื่อยๆ กิจกรรมสำคัญ-เสียภาษี สมัครเรียน ซื้อสินค้า จองตั๋วเดินทาง ฯลฯ

2. ทำอะไร สุ่มตัวอย่างเว็บไซต์ 45 ผู้ให้บริการออนไลน์ไทย แยกตามประเภทของบริการ: รัฐ ธนาคาร มหาวิทยาลัย ขายสินค้า ขายบัตรโดยสาร บริการรับสมัครงาน จัดทำตัวชี้วัดให้ครอบคลุมความปลอดภัยและความเป็นส่วนตัว ด้านเทคนิค และการจัดการข้อมูล ประเมินหน้าเว็บ ผู้ใช้เน็ตที่ไม่ใช่ผู้เชี่ยวชาญไอทีทำได้ ให้คะแนน

3. ตัวชี้วัด มาตรการทางเทคนิค: เน้นการเข้ารหัส นโยบายข้อมูล: ดูการให้ความสำคัญ/เจตนา

3. ตัวชี้วัด(ต่อ) การเข้ารหัส : HTTPS/TLS สำคัญยังไง การเข้ารหัส : HTTPS/TLS สำคัญยังไง ความปลอดภัยพื้นฐานที่ทุกเว็บควรมี จะทำให้การส่งข้อมูลจากต้นทางถึง ปลายทาง ข้อมูลถูกเข้ารหัสไว้ ดักเพื่อดู/เปลี่ยนไม่ได้ TLS ยืนยันตัวตนว่าเป็นเว็บนั้นจริงๆ ไม่ใช่เว็บทำปลอมขึ้นมา มีระดับความ ปลอดภัย รุ่นใหม่สุดคือ 1.2 เว็บควรมี นโยบายข้อมูล แจ้งวัตถุประสงค์ของการเก็บ/ เก็บอะไรบ้าง การส้งต่อให้กับบุคคลที่ 3 มีแนวทางอย่างไร

4. ข้อค้นพบที่น่าสนใจ (1) ทุกธนาคารและสายการบินเข้ารหัสการส่งข้อมูลในขั้นตอนลงชื่อเข้าใช้บริการ สัดส่วนของบริการรับสมัครงานที่เข้ารหัสน้อยกว่าที่เข้ารหัสมาก ไม่มีเว็บไซต์ใดเข้ารหัสในหน้าเนื้อหาทั่วไป (ยืนยันว่าเข้าถูกเว็บไซต์นั้นจริงๆ) ความแข็งแรงของรหัสผ่าน: ธนาคารกำหนดเงื่อนไขรหัสผ่านซับซ้อนที่สุด (ความยาว/ส่วนผสม ของอักขระ) การขอรหัสผ่านใหม่ มีการให้ยืนยันตัวตนหลายวิธี ได้แก่ ตอบคำถามที่เคยตั้งไว้ ใช้เลขบัตร ประจำตัวประชาชนคู่กับอีเมล ส่งลิงก์เพื่อรีเซ็ตรหัสใหม่ไปที่อีเมลที่ลงทะเบียนไว้ ติดต่อกับ เจ้าหน้าที่ธนาคาร ใบรับรองความปลอดภัยเว็บไทยส่วนใหญ่ตกรุ่น

4. ข้อค้นพบที่น่าสนใจ (2) แอร์เอเชียมีนโยบายด้านข้อมูลดีที่สุดในกลุ่มเว็บไซต์ที่สำรวจ เพราะ แจ้งรายละเอียดการ เก็บข้อมูล วัตถุประสงค์การเก็บข้อมูล การส่งต่อให้บุคคลที่ 3 อ่านง่าย และมีลักษณะ เฉพาะเจาะจง เว็บไซต์มหาวิทยาลัยไม่มีนโยบายข้อมูลส่วนบุคคล

5. ข้อสังเกต มีเพียงร้อยละ 31 ของเว็บไซต์กลุ่มตัวอย่างที่ได้คะแนนเกินครึ่ง (13 เว็บไซต์จากทั้งหมด 45 เว็บไซต์) เว็บไซต์ที่ได้คะแนนมากที่สุดคือ เว็บไซต์แอร์เอเชีย ส่วนเว็บไซต์ธนาคารจัดอยู่ในกลุ่มเว็บไซต์ที่ได้คะแนนสูงเมื่อเทียบกับบริการออนไลน์ ประเภทอื่นๆ หน่วยงานรัฐและมหาวิทยาลัยอยู่ในกลุ่มคะแนนต่ำที่สุด

5. ข้อสังเกต เมื่อเปรียบเทียบกับบริการประเภทอื่นๆเว็บไซต์สายการบินให้ความสำคัญกับนโยบายด้านข้อมูล มากที่สุด เหตุผล: ธุรกิจที่ดำเนินการระหว่างประเทศ ตัวอย่างที่เห็นได้ชัดเจนคือ สายการบินแอร์เอเชียที่บริษัทแม่อยู่ที่ประเทศมาเลเซีย ซึ่งมี คะแนนด้านการคุ้มครองทางเทคนิคสูงที่สุด และเป็นบริการเดียวที่แจ้งว่าจะปฏิบัติต่อ ข้อมูลส่วนตัวอย่างไร หากมีการซื้อขายกิจการ

5. ข้อสังเกต หน่วยงานรัฐและมหาวิทยาลัยให้ความสำคัญกับการปกป้องความปลอดภัยด้านเทคนิค มากกว่าการคุ้มครองข้อมูลส่วนตัวของผู้ใช้บริการ ระดับคะแนนด้านนโยบายข้อมูลซึ่งเกือบทั้งหมดได้ 0 คะแนน ซึ่งมาจากการที่ไม่มี นโยบายความเป็นส่วนตัวเลย เว็บไซต์จำนวนหนึ่งแม้จะมีลิงก์แสดงนโยบายข้อมูลส่วนบุคคลก็ตาม แต่เมื่อคลิกเข้าไปแล้ว ปรากฏว่าไม่มีหน้านโยบายความเป็นส่วนตัว ขณะที่บางเว็บไซต์เป็นภาษาอังกฤษ การเก็บข้อมูลคุกกี้ ซึ่งเป็นการเก็บข้อมูลการเข้าชมเว็บไซต์ มีบางเว็บไซต์เท่านั้นที่แจ้งให้ทราบ อย่างละเอียดว่าเก็บข้อมูลอะไรบ้าง ตัวอย่างคือ เว็บไซต์ Zalora

5. ข้อสังเกต บางเว็บไซต์ได้ระบุอย่างกว้างว่าจะจัดเก็บข้อมูลส่วนบุคคลที่ผู้ใช้บริการมอบให้อย่างปลอดภัย โดยไม่ชี้แจงรายละเอียดว่ามีวิธีจัดเก็บอย่างไร อีกทั้งยังอ้างความเป็นเจ้าของข้อมูลด้วย ตัวอย่างเช่น เว็บไซต์ตลาดดอทคอม การนำข้อมูลไปใช้ของผู้ให้บริการบางรายไม่มีระยะเวลาสิ้นสุด เมื่อยอมรับข้อตกลงแล้วผู้ให้ บริการถือว่าความยินยอมนี้มีผลผูกพันอยู่ตลอดไป ตัวอย่างเช่น ธนาคารธนชาต

5. ข้อสังเกต ในข้อตกลงการให้บริการ หรือนโยบายความเป็นส่วนตัวของบางเว็บไซต์ได้ระบุว่า ไม่ รับรองความปลอดภัยของข้อมูลส่วนบุคคล เมื่อเกิดความบกพร่องทางเทคนิค เว็บไซต์จะ ปฏิเสธความรับผิดทั้งหมด ตัวอย่างเช่น เว็บไซต์ตลาดงาน ของกรมจัดหางาน

https://thainetizen.org/security2014 thitima@thainetizen.org @thitimalive