นักไซเบอร์ศิษย์จอร์จทาวน์ เตือนมาตรการ “ห้ามแนบลิงก์” คือยาแรงที่ผลข้างเคียงหนักกว่าตัวโรค

เมื่อวันที่ 13 พ.ย. ผศ.ดร.นพดล กรรณิกา ศิษย์เก่าด้านความปลอดภัยทางไซเบอร์และนโยบาย (Cybersecurity & Policy) มหาวิทยาลัยจอร์จทาวน์ วอชิงตัน ดีซี สหรัฐอเมริกา  และศิษย์เก่าด้านวิทยาการข้อมูลและระเบียบวิธี (Data Science & Methodology) มหาวิทยาลัยมิชิแกน สหรัฐอเมริกา เขียน จดหมายเปิดผนึกถึง ฯพณฯนายกรัฐมนตรี ท่านอนุทินฯ และ นายไชยชนก ชิดชอบ รมว.ดีอี กรณีมาตรการ ห้ามแนบลิงก์ในอีเมลและ SMS เนื้อหาใจความระบุว่า

กราบเรียน ฯพณฯ นายกรัฐมนตรี นายอนุทิน ชาญวีรกูล และ นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผมเข้าใจเลยว่ามาตรการ “ห้ามแนบลิงก์” ทำไปเพราะห่วงประชาชน อยากปิดเกมสแกมเมอร์แบบเนียนกริบ แต่… จากข้อมูลเชิงเทคนิคและมาตรฐานสากลทั้งหมด สิ่งนี้อาจเป็น “ยาแรงที่ผลข้างเคียงหนักกว่าตัวโรค” มากกว่าที่คิดครับ

1) ปัญหาไม่ได้อยู่ที่ลิงก์ — แต่อยู่ที่ระบบที่ไม่ปลอดภัย
เรื่อง Taximail ที่โดนโจมตี ความจริงคือ OTP อายุ 24 ชั่วโมง + ระบบยืนยันตัวตนอ่อน + ไม่มี DMARC/SPF/DKIM สรุปง่าย ๆ คือ บ้านไม่ได้รั่วที่ประตู แต่รั่วที่กลอน การห้ามแนบลิงก์ไม่ได้แก้ปัญหาตรงจุดเลย

2) มาตรการนี้สวนทางมาตรฐานโลก ทั้งมาตรฐาน NIST สหรัฐอเมริกา, ISO 27001 (สากล) , GDPR (ยุโรป) และ PDPA (ของพี่ไทย) บอกตรงกันว่า มาตรการต้อง “เหมาะสม ไม่เกินจำเป็น” แต่การห้ามลิงก์ = นโยบายเหมายกเข่ง (Blanket Policy) ที่ทั่วโลกเลิกใช้กันไปแล้ว มันเสี่ยงทำให้ไทยถูกมองว่า “ไม่เข้าใจ ความปลอดภัยทางไซเบอร์ พื้นฐาน (Cybersecurity 101)”

3) ห้ามลิงก์ = ห้ามบริการออนไลน์ครึ่งประเทศ ภาครัฐ–เอกชนจะง่อยไปครึ่งตัว เช่น  • ภาษี • สรรพากร  • ประกันสังคม  • ธนาคาร  • รพ.  • มหาวิทยาลัย  • ระบบจองคิว และ • ระบบ e-Service ทุกอย่างจะ ช้า–ยุ่ง–ไม่ทันโลก ประชาชนจะสับสนว่าอะไรจริงอะไรปลอม เพราะรัฐบอกว่า “ลิงก์ห้ามหมด”

4) นักลงทุนต่างชาติจะอ่านว่า: ไทยยังไม่พร้อมเป็น ศูนย์กลางดิจิทัลของโลก (Digital Hub) เช่น ธุรกิจอีคอมเมิร์ซ การเงินดิจิทัล (ฟินเทค) สตาร์ตอัป ระบบขนส่งและโลจิสติกส์ ธนาคารและสถาบันการเงิน ธุรกิจบริการออนไลน์ทุกประเภท ระบบการตลาดอัตโนมัติทั้งระบบ (Marketing Automation) จะได้รับผลกระทบยับ เข้าข่ายเป็น สัญญาณลบระดับประเทศ และกระทบความเชื่อมั่นโดยตรงต่อรัฐบาล ท่านอนุทิน

5) ห้ามลิงก์ = ฟิชชิ่งจะยิ่งหนักขึ้น มิจฉาชีพไม่หยุด เขาเปลี่ยนเป็น  • QR ปลอม • ไฟล์แนบฝังมัลแวร์  • ลิงก์ปลอมที่ดูเหมือนปลอดภัย  • ข้อความหลอกว่า “นี่ลิงก์ปลอดภัยจากรัฐ” สุดท้ายประชาชนจะ “วางใจเกินไป” เพราะคิดว่ารัฐห้ามลิงก์แล้วคือปลอดภัย คืออันตรายกว่าเดิม

สรุปแบบตรง ๆ แต่เคารพทั้งสองท่าน ว่า มาตรการนี้ฟังดูโหด แต่จริง ๆ แล้วคือ ความปลอดภัยแบบปิดประเทศดิจิทัล เราควรเลือกแนวทาง Smart Security (ปลอดภัยอย่างมีปัญญา) ไม่ใช่ Fear-based Security (ปลอดภัยแบบหวาดกลัว) เพราะท้ายที่สุด สิ่งที่ประชาชนต้องการคือ “ระบบที่ฉลาดขึ้น — ไม่ใช่ข้อห้ามที่มากขึ้น”

ขอเขียนปิดท้ายแบบจริงใจต่อทั้งสองท่าน
ฯพณฯ นายกรัฐมนตรี ท่านอนุทิน และ รัฐมนตรี ไชยชนก ครับ, ผมกล้าพูดตรงเพราะเคารพทั้งสองท่านจริง ๆ และเห็นว่ารัฐบาลนี้กำลังเดินเกม “ปราบสแกมเมอร์ระดับประวัติศาสตร์” อยู่แล้ว ผมไม่อยากเห็นมาตรการเดียว ทำให้ความเชื่อมั่นทางดิจิทัลสะดุด และไม่อยากเห็นประเทศไทยโดนมองว่า “ถอยหลังจากโลกดิจิทัล” ผมเชื่อว่าถ้าทั้งสองท่านปรับมาตรการเป็น “ยกระดับระบบให้ปลอดภัยขึ้น” แทน “ห้ามทุกอย่าง” รัฐบาลจะได้เครดิตระดับสากลทันทีครับ

ท่านใดเห็นด้วยหรือไม่กับมาตรการนี้ สามารถแสดงความคิดเห็นเพื่อประโยชน์เชิงนโยบายของประเทศได้ ผ่านทางแบบสอบถามตาม ลิงก์แนบนี้ https://www.research.net/r/Ban_Link_in_Email_SMS