เมื่อวันที่ 21 ก.พ.ผศ.ดร.นพดล กรรณิกา อาจารย์ประจำวิชา Cybersecurity วิทยาลัยเทคโนโลยีสยาม เปิดเผยว่า ในฐานะที่เป็นอาจารย์ประจำด้าน ความปลอดภัยทางไซเบอร์ วิทยาลัยเทคโนโลยีสยาม ศิษย์เก่า ความปลอดภัยทางไซเบอร์ (Cybersecurity and Policy) มหาวิทยาลัยจอร์จทาวน์ วอชิงตันดีซี สหรัฐอเมริกา และศิษย์เก่าด้านวิทยาศาสตร์ข้อมูลและระเบียบวิธี มหาวิทยาลัยมิชิแกน สหรัฐอเมริกา
ผมเขียนบทความนี้เพื่อเตือนภัยเชิงหลักการและเชิงระบบว่า หาก Laser ID หลุดไปอยู่ในมือมิจฉาชีพ ความเสียหายอาจรุนแรงและยืดเยื้อกว่าที่หลายคนคาดคิด ยิ่งกว่าไฟไหม้บ้าน เพราะในยุคที่โลกกำลังเผชิญภัยไซเบอร์ขั้นสูงที่มาจากหลากหลายรูปแบบทั้งปัญญาประดิษฐ์ (Artificial Intelligence: AI) ดีพเฟก (Deepfake) แรนซัมแวร์ Ransomware) และอาชญากรรมไซเบอร์แบบเป็นเครือข่าย (Organized Cybercrime) โดยที่ข้อมูลระบุตัวตนของประชาชนจะถูกยกระดับให้กลายเป็น “สินทรัพย์มูลค่าสูง” (High-Value Asset) ที่ผู้โจมตีมองหาโดยอัตโนมัติ ซึ่งเป็นหนึ่งในข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตนของคนไทยคือ รหัสหลังบัตรประชาชน (Laser ID)
รหัสหลังบัตรประชาชน (Laser ID) คืออะไร
Laser ID คือรหัสตัวอักษรและตัวเลขที่ยิงเลเซอร์ไว้ด้านหลังบัตรประชาชนไทย ซึ่งมักถูกนำไปใช้
“ร่วมกับข้อมูลอื่น” เพื่อการยืนยันตัวตน เช่น
• ยืนยันตัวตนดิจิทัล (Digital identity verification)
• สมัครบริการออนไลน์ (Online onboarding)
• เปิดบัญชี/ทำธุรกรรมการเงิน (Financial services onboarding)
• ผูกกับกระบวนการ e-KYC (Electronic Know Your Customer)
ดังนั้น Laser ID จึงไม่ใช่ “ตัวเลขธรรมดา” แต่เป็นองค์ประกอบหนึ่งใน ห่วงโซ่การยืนยันตัวตน (Identity verification chain) และเกี่ยวข้องกับ โครงสร้างพื้นฐานตัวตนดิจิทัล (Digital Identity Infrastructure)
Laser ID เชื่อมโยงกับภัยไซเบอร์โลกอย่างไร มีผลอะไรบ้างต่อตัวเราแต่ละคน
1) เมื่อ AI + ข้อมูลรั่ว = การปลอมตัวตนที่แนบเนียนขึ้น (AI + Identity Theft) หาก Laser ID หลุดหรือถูกเก็บรักษาไม่ปลอดภัย และ “ไปอยู่ร่วมกับข้อมูลสำคัญอื่น” เช่น เลขบัตรประชาชน วันเกิด เบอร์โทร รูปถ่าย หรือข้อมูลชีวมิติ (Biometrics) ผู้โจมตีสามารถใช้ AI เพื่อยกระดับการโจมตีได้ เช่น
• ทำฟิชชิงแบบเจาะจง (Spear phishing)
• ปลอมเสียง/ปลอมใบหน้า (Voice cloning / Deepfake)
• หลอกผ่านขั้นตอนยืนยันตัวตน (e-KYC bypass / social engineering)
สิ่งนี้นำไปสู่ความเสี่ยงรูปแบบ “ตัวตนสังเคราะห์” (Synthetic Identity Fraud) และ การยึดบัญชี (Account takeover)
ผลกระทบโดยตรงที่ประชาชนอาจเจอ
• เปิดบัญชี “ในชื่อเรา” โดยเราไม่รู้ตัว (Mule account exposure)
• สมัครสินเชื่อ/บริการการเงินแทนเรา (Fraudulent loan/credit)
• ทำธุรกรรมผิดกฎหมายโดยโยงชื่อมาที่เรา (Impersonation liability)
2. Laser ID เป็น “องค์ประกอบสำคัญ”
ของกลไกการควบคุมความเชื่อถือในยุคที่ระบบไม่เชื่อถือผู้ใช้งานใดโดยอัตโนมัติ และต้องยืนยันตัวตนก่อนทุกครั้ง (Zero Trust) โดยแนวคิด Zero Trust คือ การต้องตรวจสอบและยืนยันตัวตนอย่างต่อเนื่องตลอดเวลา
ดังนั้น เมื่อรหัสหลังบัตรประชาชนถูกเปิดเผยให้ผู้อื่น และเกิดการถูกขโมยหรือถูกนำไปใช้ผิดวัตถุประสงค์ ความเสี่ยงจะเพิ่มขึ้นอย่างมาก เพราะมิจฉาชีพสามารถปลอมตัวให้ดูเหมือนเป็นเจ้าของข้อมูลจริงได้ง่ายขึ้น
โดยเฉพาะในกรณีที่ Laser ID ถูกใช้ร่วมกับ
– รหัส OTP
– การยืนยันตัวตนด้วยใบหน้า (Face recognition)
– บริการ Mobile Banking
– และข้อมูลส่วนบุคคลอื่น ๆ
หากมิจฉาชีพโจมตีแบบผสมผสาน เช่น การใช้ข้อมูลบัญชีที่รั่วไหลมาทดลองเข้าสู่ระบบ (Credential stuffing) ร่วมกับการหลอกลวงเพื่อให้เหยื่อเปิดเผยข้อมูล (Social engineering) ก็อาจทำให้มิจฉาชีพสามารถเข้ายึดและควบคุมตัวตนดิจิทัลของเหยื่อได้ (Identity takeover)
ผลกระทบที่อาจเกิดขึ้นคือ
• มิจฉาชีพสามารถผ่านกระบวนการตรวจสอบบางขั้นตอนก่อน แล้วค่อย ๆ
เข้ายึดบัญชีหรือสิทธิ์การใช้งานทีละลำดับ
• ผู้เสียหายต้องใช้เวลานานในการพิสูจน์ตัวตน แก้ไขข้อมูล
และจัดการประวัติธุรกรรมที่ถูกมิจฉาชีพจัดการไปเรียบร้อยแล้ว
3) ความเสี่ยง “ห่วงโซ่อุปทาน” ต่อระบบยืนยันตัวตน (Supply Chain Attack) ในโลกจริงของธุรกิจ เช่น การเงินการธนาคารหรือธุรกิจสุขภาพ โรงพยาบาล เครือข่ายมือถือ เป็นต้น ระบบพิสูจน์และยืนยันตัวตนลูกค้าทางดิจิทัล (e-KYC) และการตรวจสอบตัวตนมักพึ่งพาผู้ให้บริการภายนอก (Vendor / Third-party identity verification) หากผู้ให้บริการรายใดรายหนึ่งถูกเจาะ ข้อมูลจำนวนมากอาจรั่ว
“ครั้งเดียวเป็นวงกว้าง” (Mass leakage) นี่คือความเสี่ยงระดับ การรั่วไหลขนาดใหญ่ (Large-scale / National- scale data breach) ซึ่งกระทบทั้งประชาชนและความเชื่อมั่นต่อบริการรัฐ/การเงินพร้อมกัน ตัวอย่างธนาคารต่างประเทศ (เทียบเคียงความเสี่ยงแบบ Laser ID) กรณีของธนาคาร Capital One (สหรัฐอเมริกา) เคยเกิดเหตุข้อมูลลูกค้ารั่วไหลครั้งใหญ่ในปี 2019
จากช่องโหว่ของระบบโครงสร้างพื้นฐานที่เชื่อมกับผู้ให้บริการภายนอก ข้อมูลที่ได้รับผลกระทบ
– ชื่อ–นามสกุล
– วันเกิด
– หมายเลขประจำตัว เช่น Social Security Number (SSN) เทียบเคียงคนไทยคือ Laser ID
– ข้อมูลสมัครสินเชื่อ
ซึ่ง “SSN” ทำหน้าที่คล้าย Laser ID + เลขบัตรประชาชน ในบริบทไทย คือเป็นข้อมูลสำคัญที่ใช้ยืนยันตัวตนได้ ในตัวอย่างนี้ แม้ธนาคารจะไม่ได้ถูกเจาะโดยตรง แต่เมื่อระบบที่เชื่อมต่อกับผู้ให้บริการภายนอกมีช่องโหว่ข้อมูลยืนยันตัวตนของประชาชนจำนวนมากสามารถรั่วได้ในครั้งเดียว นี่คือภาพชัดของความเสี่ยง Supply Chain Attack ต่อระบบยืนยันตัวตน และธนาคารต้องชดใช้ค่าเสียหายหลายพันล้านบาท แต่เมืองไทยยังไม่มีมาตรการชดใช้ค่าเสียหายแบบนี้ให้กับประชาชน
4) กลลวงขั้นสูงของ มิจฉาชีพ ที่คนทั่วไปแยกยาก (Deepfake-as-a-Service) ยุคนี้มีบริการ “ปลอมเสียง/ปลอมหน้า” แบบสำเร็จรูป (Deepfake-as-a-Service) ถ้าผู้โจมตีมีทั้ง ภาพจากโซเชียล + เสียงจากคลิป + ข้อมูลยืนยันตัวตนบางส่วน (เช่น Laser ID) จะสร้างเหตุหลอกลวงที่แนบเนียนขึ้นมาก เช่น
• โทรสั่งโอนเงินในนามผู้บริหาร/ญาติ
• ปลอมตัวติดต่อหน่วยงาน/ธนาคาร
• หลอกให้เปิดเผยข้อมูลเพิ่มจน “ครบชุด”
5) อาชญากรรมไซเบอร์เป็นระบบนิเวศธุรกิจ (Cybercrime-as-a-Service, Caas) ตลาดมืด (Dark web) มี
“แพ็กเกจข้อมูลตัวตน” และเครื่องมือโจมตีให้เช่า หาก Laser ID
กลายเป็นข้อมูลที่ถูกนำไปซื้อขายหรือใช้งานผิดวัตถุประสงค์ ความเสี่ยงจะขยายจาก “ประชาชนผู้บริสุทธิ์” ตก
“เป็นเหยื่อ” ทำให้ “เป็นเครือข่ายมิจฉาชีพ” เช่น
• เครือข่ายบัญชีม้า
• ฟอกเงิน
• หลบเลี่ยงการตรวจสอบ (Evasion)
อาชญากรรมไซเบอร์แบบเป็นบริการ (Cybercrime-as-a-Service หรือ CaaS) หมายถึงรูปแบบที่การก่ออาชญากรรมไซเบอร์ถูกจัดเป็น “ธุรกิจให้เช่าหรือให้บริการ” เหมือนบริการออนไลน์ทั่วไป กล่าวง่าย ๆ คือ ผู้ที่ไม่มีทักษะด้านแฮ็กก็สามารถ “ซื้อหรือเช่าเครื่องมือโจมตี” ได้
6) มุมความมั่นคง คือ ข้อมูลตัวตนถูกใช้เพื่อ “ทำแผนที่สังคม” และ “โจมตีแบบเจาะจง” (National Security
Impact) หากข้อมูลยืนยันตัวตนถูกเจาะหรือถูกใช้ผิดทาง ผลกระทบไม่ได้หยุดที่การเงิน แต่รวมถึง
• การทำโปรไฟล์ประชาชน/กลุ่มเป้าหมาย (Profiling)
• การติดตามบุคคลสำคัญ/เจ้าหน้าที่รัฐ (Targeting officials)
• การจารกรรมและบ่อนทำลายความเชื่อมั่น (Espionage / influence)
และท้ายที่สุดกระทบต่อ อธิปไตยข้อมูล (Data Sovereignty) และความเชื่อถือในระบบรัฐ ข้อเสนอเร่งด่วนสำหรับประชาชน คือ อาศัยกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ให้รีบติดต่อขอให้องค์กรใด ๆ หรือ ตามข่าวที่มีพรรคการเมืองได้รหัสหลังบัตรประชาชน (Laser ID)ของท่านไปนั้น ให้องค์กรหรือพรรคการเมืองเหล่านั้น ลบข้อมูลรหัสหลังบัตรประชาชนหรือทำลายทิ้งเสีย และแจ้งความลงบันทึกประจำวันเอาไว้ว่าครั้งหนึ่งเคยให้รหัสหลังบัตรประชาชน (Laser ID) ไว้กับที่ใดไว้เป็นหลักฐาน
ข้อเสนอสำหรับหน่วยงานความมั่นคงของรัฐ คือ การประกันความเสี่ยงด้านการเข้ารหัสในอนาคต (Quantum Computing & Post-Quantum Cryptography) หากระบบที่ป้องกันฐานข้อมูลสำคัญยังพึ่งพามาตรฐานเข้ารหัสเดิมบางประเภท (เช่น RSA/ECC) ในอนาคตอาจมีความเสี่ยงเพิ่มขึ้นเมื่อเทคโนโลยีก้าวหน้า จึงควรเริ่มวางแผน Post-Quantum Cryptography (PQC) ในระดับยุทธศาสตร์ และนำไปสู่การส่งเสริมผู้เชี่ยวชาญภาคเอกชนคนไทยที่มีการลงทุนขนาดใหญ่ด้านศูนย์ข้อมูล (Data Center) ร่วมภาครัฐและเอกชนของคนไทย เพื่อลดความเสี่ยงภัยไซเบอร์จากการโจมตีของต่างชาติและรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ
กล่าวโดยสรุป “ความเสี่ยงต่อคนไทย” หากการคุ้มครอง Laser ID ไม่รัดกุม หรือ ตกอยู่ในมือมิจฉาชีพ คือ
1. ถูกสวมชื่อเปิดบัญชี/บัญชีม้าโดยไม่รู้ตัว
2. ถูกสวมชื่อสมัครสินเชื่อ/บริการการเงิน
3. ถูกใช้เป็นส่วนหนึ่งของการฟอกเงิน/อาชญากรรม
4. ถูกหลอกด้วยปลอมหน้า ปลอมเสียง (Deepfake) ในครอบครัว/ที่ทำงาน
5. ถูกปลอมตัวทำธุรกรรม/ขอสิทธิประโยชน์รัฐ
6. สูญเสียเครดิตและเสียเวลาพิสูจน์ตัวตนเป็นเดือน/ปี
7. “อันตรายสุด” คือเหยื่อจำนวนมาก ไม่รู้ว่าตัวตนถูกใช้ไปแล้ว (Silent identity abuse)
ในยุค AI นี้ “ข้อมูลยืนยันตัวตน” ไม่ใช่ข้อมูลธรรมดาอีกต่อไป มันคือ กุญแจดิจิทัลของชีวิต (Digital key to your life) ถ้ากุญแจหลุดรั่วไป ความเสียหายอาจเกิดขึ้นได้โดยที่เจ้าของ “ยังไม่รู้ตัว” มันรุนแรงและทุกข์ยิ่งกว่าไฟไหม้บ้านหลายเท่าตัว
