วงการวิศวกรไทยถึงคราวสั่นสะเทือนครั้งใหญ่ เมื่อฐานข้อมูลสำคัญของสภาวิศวกรถูกมือดีเจาะระบบลอบดึงข้อมูลสมาชิกไปกว่า 3.5 แสนรายในช่วงรอยต่อการเปลี่ยนระบบเทคโนโลยีสารสนเทศ กลายเป็นช่องโหว่ฉกรรจ์ที่อาจเปิดประตูให้แก๊งคอลเซ็นเตอร์บุกประชิดตัวเหล่านายช่างทั่วประเทศ พร้อมข้อกังวลสุดร้อนแรงถึงความโปร่งใสในการเลือกตั้งบอร์ดบริหารสมัยที่ 9 ที่กำลังจะมาถึงในรูปแบบอิเล็กทรอนิกส์
ช่องโหว่ช่วงเปลี่ยนผ่าน กับปฏิบัติการไซเบอร์ 10 ชั่วโมงอันตราย
จุดเริ่มต้นของเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์ที่น่ากังวลนี้ ถูกเปิดเผยโดย ศ.ดร.อมร พิมานมาศ ในฐานะกรรมการ สภาวิศวกร สมัยที่ 8 ซึ่งระบุว่าเหตุการณ์ดังกล่าวสืบเนื่องมาจากการประชุมคณะกรรมการสภาวิศวกรครั้งที่ 40-6/2569 เมื่อวันที่ 20 เมษายน 2569 ที่ผ่านมา โดยพบว่ามีการ “เจาะบัญชี” หรือ Hack ผู้ใช้งานในกลุ่มผู้ชำนาญการที่มีหน้าที่ในการตรวจผลงานและทดสอบความรู้ ซึ่งถือเป็นบุคลากรระดับสำคัญที่มีสิทธิ์เข้าถึงข้อมูลในระบบการรับรองวิทยฐานะวิชาชีพวิศวกรรม
จังหวะเวลาที่แฮ็กเกอร์เลือกใช้คือช่วงวิกฤตของการปรับปรุงระบบเทคโนโลยีสารสนเทศของสภาวิศวกร ซึ่งกำลังอยู่ระหว่างการถ่ายโอนข้อมูลจากระบบเดิมคือ COE service 2 ไปสู่ระบบใหม่ COE service 3 การถ่ายโอนข้อมูลระหว่างเซิร์ฟเวอร์ในลักษณะนี้มักจะเป็นช่วงที่ระบบป้องกันอาจมีความเปราะบางสูงที่สุด ทำให้ผู้ไม่หวังดีสบโอกาสแทรกซึมเข้าสู่ฐานข้อมูลหลักในระหว่างที่ข้อมูลกำลังเคลื่อนย้าย ส่งผลให้มาตรการรักษาความปลอดภัยที่ควรจะเข้มงวดกลับมีช่องว่างให้โจมตีได้โดยง่าย
ความน่ากลัวของปฏิบัติการครั้งนี้อยู่ที่ความรวดเร็วและเป็นระบบ โดยแฮ็กเกอร์ได้ใช้วิธีการเขียนโปรแกรมโจมตีอย่างต่อเนื่อง (Scripting/Automation) เพื่อดึงข้อมูลออกไปมากถึง 680,000 ครั้ง ภายในระยะเวลาเพียง 10 ชั่วโมงเท่านั้น ปฏิบัติการสายฟ้าแลบนี้สะท้อนให้เห็นถึงความเตรียมพร้อมของผู้ก่อเหตุที่จ้องจะกวาดข้อมูลสมาชิกสภาวิศวกรไปให้ได้มากที่สุด ซึ่งผลจากการโจมตีเพียงไม่กี่ชั่วโมงกลับสร้างความเสียหายต่อข้อมูลสมาชิกไปเป็นจำนวนมหาศาลถึงประมาณ 350,000 คน
ข้อมูลส่วนบุคคลที่หลุดลอย กับผลกระทบต่อ 7 สาขาวิชาวิศวกรรม
ข้อมูลที่ถูกโจรกรรมไปนั้นไม่ใช่เพียงแค่ชื่อหรือนามสกุลทั่วไป แต่ครอบคลุมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวและระบุตัวตนได้ชัดเจน ไม่ว่าจะเป็นชื่อ-นามสกุล ที่อยู่ปัจจุบัน เบอร์โทรศัพท์ที่ติดต่อได้จริง รวมถึงรายละเอียดด้านวิชาชีพอย่างระดับใบอนุญาตประกอบวิชาชีพวิศวกรรมควบคุม ซึ่งข้อมูลเหล่านี้ถือเป็นสมบัติล้ำค่าสำหรับมิจฉาชีพในยุคปัจจุบันที่สามารถนำไปสวมรอยหรือสร้างสถานการณ์หลอกลวงได้อย่างแนบเนียน
กลุ่มผู้เสียหายที่ถูกดึงข้อมูลออกไปกว่า 350,000 รายนั้น ครอบคลุมวิศวกรใน 7 สาขาวิศวกรรมควบคุมหลักของไทย ได้แก่ สาขาโยธา, ไฟฟ้า, เครื่องกล, เหมืองแร่, อุตสาหการ, สิ่งแวดล้อม และเคมี ซึ่งล้วนเป็นบุคลากรที่เป็นกระดูกสันหลังในการพัฒนาโครงสร้างพื้นฐานและอุตสาหกรรมของประเทศ การที่ข้อมูลของบุคลากรระดับมันสมองเหล่านี้ไปอยู่ในมือของผู้ไม่หวังดี ย่อมส่งผลกระทบต่อความเชื่อมั่นในระบบการจัดเก็บข้อมูลขององค์กรวิชาชีพในระดับสากล
ความรุนแรงของเหตุการณ์ยังแผ่ขยายไปถึงวิศวกรทุกระดับชั้น ตั้งแต่ระดับภาคีวิศวกร สามัญวิศวกร ไปจนถึงวุฒิวิศวกร ซึ่งเป็นระดับสูงสุดของสายงาน การหลุดรอดของข้อมูลระดับใบอนุญาตนี้อาจถูกนำไปใช้ในทางที่ผิด เช่น การปลอมแปลงเอกสารสิทธิ์ในการรับรองแบบหรือการคุมงานก่อสร้าง ซึ่งหากมีการนำไปใช้แอบอ้างในโครงการก่อสร้างต่างๆ ย่อมส่งผลกระทบต่อความปลอดภัยสาธารณะและภาพลักษณ์ความน่าเชื่อถือของวิศวกรไทยในวงกว้างอย่างหลีกเลี่ยงไม่ได้
ภัยเงียบจากแก๊งคอลเซ็นเตอร์ และความกังวลเรื่องการบิดเบือนฐานข้อมูล
ประเด็นที่น่าเป็นห่วงที่สุดในเชิงเศรษฐกิจและสังคมคือ การที่ข้อมูลเหล่านี้อาจกลายเป็นเครื่องมือชั้นดีของมิจฉาชีพและแก๊งคอลเซ็นเตอร์ โดยอาศัยข้อมูลที่ได้มาอย่างละเอียด ทั้งประวัติการทำงานและระดับใบอนุญาต เพื่อสร้างความน่าเชื่อถือในการติดต่อหลอกลวงวิศวกรเหล่านั้น เมื่อมิจฉาชีพทราบข้อมูลเชิงลึกของผู้เสียหาย การสร้างบทละครเพื่อโน้มน้าวหรือข่มขู่ย่อมทำได้ง่ายขึ้น และอาจนำไปสู่การสูญเสียทรัพย์สินจำนวนมหาศาลในอนาคตอันใกล้
ยิ่งไปกว่านั้น ภายในแวดวงสภาวิศวกรเองยังมีความกังวลอย่างหนักว่า นอกจากการดึงข้อมูลออกไปแล้ว แฮ็กเกอร์อาจมีการเข้าไปเปลี่ยนแปลงแก้ไขข้อมูลภายในระบบด้วยหรือไม่ ซึ่งในขณะนี้ยังไม่มีความชัดเจนในประเด็นดังกล่าว หากมีการบิดเบือนข้อมูลจริง ผลกระทบที่ตามมาจะร้ายแรงยิ่งกว่าเดิม เพราะอาจมีการแก้ไขสถานะระดับใบอนุญาต หรือแม้แต่การลบข้อมูลประวัติการลงโทษทางจรรยาบรรณวิชาชีพ ซึ่งถือเป็นหัวใจสำคัญของการควบคุมมาตรฐานวิศวกร
การแทรกแซงฐานข้อมูลส่วนบุคคลและข้อมูลวิชาชีพในลักษณะนี้ ไม่เพียงแต่ทำลายความถูกต้องของสถิติ แต่ยังทำลายความศักดิ์สิทธิ์ของการกำกับดูแลสมาชิก หากฐานข้อมูลถูกเปลี่ยนแปลงโดยที่ตรวจสอบไม่ได้ จะส่งผลให้การบริหารจัดการองค์กรในอนาคตเกิดความสับสน และอาจเกิดกรณีการใช้ใบอนุญาตที่ไม่ถูกต้องตามความเป็นจริงในการปฏิบัติงาน ซึ่งเป็นเรื่องที่อันตรายอย่างยิ่งต่อมาตรฐานความปลอดภัยในงานวิศวกรรมทุกประเภททั่วทั้งประเทศ
เกมการเมืองใน สภาวิศวกร? กับการเลือกตั้งระบบอิเล็กทรอนิกส์ที่ถูกตั้งคำถาม
อีกหนึ่งประเด็นร้อนที่ไม่อาจมองข้ามได้คือ “ไทม์ไลน์” ของการถูกแฮ็กข้อมูลที่ประจวบเหมาะกับช่วงเวลาที่สภาวิศวกรกำลังจะมีการเลือกตั้งคณะกรรมการสภาวิศวกรสมัยที่ 9 ซึ่งในครั้งนี้กำหนดให้มีการเลือกตั้งด้วยวิธีทางอิเล็กทรอนิกส์ การเจาะระบบในช่วงรอยต่อของการเปลี่ยนผ่านเซิร์ฟเวอร์จึงถูกตั้งข้อสังเกตว่าอาจเป็นฝีมือของผู้ไม่หวังดีที่มีเจตนาแฝงเพื่อหวังผลในการเลือกตั้งครั้งสำคัญนี้หรือไม่
การครอบครองข้อมูลสมาชิกจำนวน 350,000 ราย พร้อมเบอร์โทรศัพท์และที่อยู่ เป็นข้อได้เปรียบมหาศาลในการเข้าถึงฐานเสียงหรือแม้กระทั่งการชี้นำการลงคะแนน ศ.ดร.อมร จึงได้ออกมาเรียกร้องให้หน่วยงานภาครัฐที่มีความเชี่ยวชาญโดยตรง ไม่ว่าจะเป็นตำรวจไซเบอร์ (กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ให้เร่งเข้ามาตรวจสอบเรื่องนี้โดยด่วน เพราะนี่ไม่ใช่เพียงเรื่องของการรั่วไหลของข้อมูลธรรมดา แต่มีมิติของความโปร่งใสในองค์กรวิชาชีพเข้ามาเกี่ยวข้อง
บทสรุปของเหตุการณ์นี้ยังคงต้องรอการสืบสวนเชิงลึก แต่สิ่งที่ชัดเจนคือความเชื่อมั่นของสมาชิกวิศวกรทั่วประเทศที่สั่นคลอนไปแล้ว หาก สภาวิศวกร ไม่สามารถชี้แจงและกู้คืนความเชื่อมั่นในระบบฐานข้อมูลและการเลือกตั้งได้ทันท่วงที ผลกระทบที่เกิดขึ้นอาจขยายตัวเป็นวงกว้างเกินกว่าที่จะควบคุมได้ และอาจกลายเป็นบรรทัดฐานใหม่ที่น่ากังวลสำหรับการรักษาความปลอดภัยข้อมูลขององค์กรวิชาชีพอื่นๆ ในประเทศไทยที่กำลังมุ่งสู่ยุคดิจิทัลอย่างเต็มตัว
“มีการถ่ายโอนข้อมูลระหว่าง server ทำให้มี Hacker อาศัยจังหวะดังกล่าวเจาะระบบฐานข้อมูลสมาชิกสภาวิศวกรและดึงข้อมูลสมาชิกฯ โดยผ่านการเขียนโปรแกรมต่อเนื่องทั้งสิ้น 680,000 ครั้ง ภายในเวลาประมาณ 10 ชั่วโมง ทำให้มีข้อมูลสมาชิกถูกดึงออกไปทั้งสิ้นประมาณ 350,000 คน” — ศ.ดร.อมร พิมานมาศ กรรมการสภาวิศวกรสมัยที่ 8
#สภาวิศวกร #DataBreach #แฮ็กข้อมูลวิศวกร #ไซเบอร์เซฟตี้ #เลือกตั้งสภาวิศวกร #PDPA #ความมั่นคงปลอดภัยไซเบอร์ #ข่าววิศวกรรม
