ศูนย์เฝ้าระวัง 24×7 และเป้าหมาย “แจ้งเตือนภายใน 5 นาที”

เพื่อรับมือกับภัยที่อาจปะทุได้ตลอดเวลา สกมช. และ ThaiCERT ได้จัดตั้งกลไกเฝ้าระวังภัยไซเบอร์ตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ โดยเชื่อมโยงกับหน่วยงานเครือข่ายกว่า 200 หน่วยงาน ทั้งภาครัฐและเอกชนที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Information Infrastructure – CII) เช่น ระบบไฟฟ้า ประปา โทรคมนาคม การเงิน การคมนาคม และสาธารณสุข

หัวใจสำคัญของกลไกนี้ คือ “การตรวจพบ–แจ้งเตือน–ตอบสนอง” ให้ได้เร็วที่สุด ผ่านระบบป้องกันและตรวจจับอย่าง Web Application Firewall (WAF) และระบบวิเคราะห์ทราฟฟิก ซึ่งหากตรวจพบรูปแบบการโจมตีที่เข้าเกณฑ์ จะต้องแจ้งเตือนหน่วยงานที่เกี่ยวข้องภายใน 5 นาที

พลอากาศตรี อมร ยอมรับว่า ความท้าทายไม่ได้อยู่ที่การเฝ้าระวังเพียงอย่างเดียว แต่คือ “การติดต่อถึงตัวคนที่รับผิดชอบระบบ” โดยเฉพาะนอกเวลาราชการ “เราพยายามย้ำว่าหากหน่วยงานใดได้รับโทรศัพท์จากหมายเลข ThaiCERT ตอนกลางคืน อย่าเพิ่งคิดว่าเป็นแก๊งคอลเซ็นเตอร์ เพราะเบอร์นี้คือด่านหน้าในการแจ้งเตือนเหตุจริง”

ซ้อมแผนระดับชาติ – จำลองไฟดับ โรงพยาบาลล่ม เพื่อไม่ให้ประชาชนเดือดร้อน

อีกหนึ่งมาตรการที่ สกมช. ผลักดันอย่างจริงจังคือ “การซ้อมแผนรับมือภัยไซเบอร์ระดับชาติ” โดยจำลองสถานการณ์วิกฤตหลายรูปแบบ เช่น ระบบโรงพยาบาลล่มจากการถูกโจมตี หรือไฟฟ้าดับเป็นเวลานานในหลายพื้นที่

การซ้อมแผนดังกล่าว ไม่ได้เน้นเพียงการกู้คืนระบบเท่านั้น แต่ยังครอบคลุมการตัดสินใจเชิงนโยบาย การประสานงานข้ามหน่วยงาน การสื่อสารกับประชาชน และการเรียกใช้แผนสำรอง (Business Continuity Plan – BCP) เพื่อให้ “บริการที่จำเป็นต่อชีวิตประชาชนเดินต่อได้ แม้ระบบดิจิทัลบางส่วนจะถูกโจมตี”

“เราต้องทำให้แน่ใจว่าหากมีเหตุรุนแรงจริง ระบบจำเป็น เช่น โรงพยาบาล ไฟฟ้า น้ำประปา การสื่อสารพื้นฐาน จะยังทำงานได้ ประชาชนต้องไม่รู้สึกว่าบริการของรัฐหยุดชะงัก” เลขาธิการ สกมช. ย้ำ

สถิติสุดสะเทือนใจ รหัสผ่านคนไทยรั่วสะสมกว่า 200 ล้านรายการ

หนึ่งในข้อมูลที่เรียกเสียงฮือฮาในงานแถลงข่าว คือ ตัวเลข “ข้อมูลชื่อผู้ใช้และรหัสผ่านของคนไทยที่รั่วไหลสะสมกว่า 200 ล้านรายการ” ที่ ThaiCERT ตรวจพบจากแหล่งข้อมูลใต้ดินและตลาดมืดออนไลน์

แม้จะไม่ได้หมายความว่ามีผู้ใช้ 200 ล้านคน (เพราะหลายบัญชีอาจซ้ำกันจากหลายแพลตฟอร์ม) แต่ตัวเลขนี้สะท้อนว่า “การใช้รหัสผ่านเพียงอย่างเดียวไม่เพียงพออีกต่อไป”

แหล่งที่มาของการรั่วไหลส่วนใหญ่ ได้แก่

• การถูกหลอกให้กรอกข้อมูลบนเว็บไซต์ปลอมที่หน้าตาเหมือนเว็บจริงทุกประการ
• การติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์ที่แถมมัลแวร์ขโมยข้อมูลเข้ามาในเครื่อง
• การใช้รหัสผ่านเดียวกันในหลายบริการ เมื่อแพลตฟอร์มหนึ่งถูกเจาะ แฮกเกอร์จึงสามารถนำชุดรหัสนั้นไปลองบนบริการอื่น ๆ ได้ (Credential Stuffing)

“ตลาดซื้อ–ขายข้อมูลล็อกอินในต่างประเทศมอง ‘บัญชีคนไทย’ เป็นสินค้าที่มีมูลค่าเหมือนกัน เพราะสามารถใช้เจาะทั้งแอปการเงิน บริการออนไลน์ หรือแม้แต่ระบบภายในองค์กร ถ้าเจ้าของบัญชีใช้รหัสซ้ำกัน” ตัวแทน ThaiCERT อธิบาย

3 มาตรการเร่งด่วนสำหรับประชาชนและหน่วยงาน

เพื่อลดความเสี่ยงในระยะสั้น สกมช. และ ThaiCERT เสนอ 3 มาตรการที่ทุกคนสามารถเริ่มได้ทันที

1. เปิดใช้การยืนยันตัวตนหลายขั้นตอน (MFA)
   ไม่ว่าจะเป็น Google Authenticator, Microsoft Authenticator หรือระบบ OTP ของธนาคาร การเพิ่มชั้นการยืนยันตนถือเป็น “เกราะป้องกันที่คุ้มค่าที่สุด” เพราะแม้รหัสผ่านจะรั่ว แฮกเกอร์ก็ยังไม่สามารถเข้าสู่ระบบได้โดยง่าย
2. สำรองข้อมูล (Backup) อย่างสม่ำเสมอ
   โดยเฉพาะข้อมูลสำคัญขององค์กร เช่น ฐานข้อมูลลูกค้า เอกสารทางราชการ หรือไฟล์งานสำคัญของธุรกิจ หากเกิดเหตุถูกมัลแวร์เรียกค่าไถ่หรือลบข้อมูล การมีสำเนาที่เข้ารหัสและเก็บแยกจากระบบหลัก จะช่วยให้กลับมาดำเนินงานได้เร็วและลดความจำเป็นในการยอมจ่ายค่าไถ่
3. อัปเดตระบบและตรวจสอบก่อนเชื่อข่าวออนไลน์
   เลขาธิการ สกมช. ยกตัวอย่างช่องโหว่ประเภท “Zero-click” บนสมาร์ทโฟนแอนดรอยด์ ที่เปิดโอกาสให้ผู้โจมตีส่งไฟล์มัลแวร์มาเก็บในเครื่องผู้ใช้ได้โดยที่เจ้าของเครื่องไม่ต้องกดเปิดข้อความก็ถูกโจมตีได้ ดังนั้นการอัปเดตระบบปฏิบัติการและแอปพลิเคชันจึงไม่ใช่เรื่องน่ารำคาญ แต่คือ “วัคซีนดิจิทัล” ที่ต้องฉีดอยู่เสมอ

ขณะเดียวกัน ประชาชนควรฝึกนิสัย “หยุดคิดก่อนแชร์” โดยตรวจสอบแหล่งข่าวจากหน่วยงานรัฐหรือสื่อที่น่าเชื่อถือ หากพบข้อความปลุกปั่นหรือชวนให้เกลียดชัง ควรหลีกเลี่ยงการมีส่วนร่วมทางอารมณ์ เพราะทุกคอมเมนต์ด่าทอหรือแชร์ด้วยความโกรธ คือ “เชื้อเพลิง” ที่ทำให้ Ragebait ทำงานได้ผลยิ่งขึ้น

ภาครัฐ–เอกชนยังมีช่องโหว่ เว็บเล็ก งบน้อย แต่เป็นเป้าหมายใหญ่

จากการติดตามของ ThaiCERT พบว่า เว็บไซต์ที่ยังถูกโจมตีในลักษณะ Web Defacement และการฝังสคริปต์ไม่เหมาะสมจำนวนไม่น้อย เป็นเว็บไซต์ของหน่วยงานราชการระดับท้องถิ่น โรงเรียน หรือสมาคมเอกชน ที่มักใช้ระบบเว็บสำเร็จรูปหรือ CMS รุ่นเก่า ไม่ได้อัปเดตแพตช์ด้านความปลอดภัย และไม่มีงบประมาณสำหรับบริการป้องกันขั้นสูง

ในหลายกรณี เจ้าของเว็บไซต์ไม่รู้ตัวด้วยซ้ำว่า มีหน้าซ่อน (Hidden Page) ถูกสร้างขึ้นไว้เพื่อเผยแพร่เนื้อหาที่ผิดกฎหมายหรือเชื่อมโยงไปยังเครือข่ายฟิชชิ่งระหว่างประเทศ จนกว่าจะได้รับการแจ้งเตือนจาก ThaiCERT

สกมช. แนะนำว่า เว็บไซต์ที่ให้บริการสาธารณะ ควรอยู่หลังระบบป้องกันอย่างน้อยระดับ Web Application Firewall (WAF) หรือบริการ DDoS Protection พื้นฐาน พร้อมทั้งตรวจสอบสุขภาพระบบ (Health Check) เป็นระยะ หากองค์กรไม่มีผู้เชี่ยวชาญด้านเทคนิคเพียงพอ สามารถประสานขอคำปรึกษาไปยัง ThaiCERT ได้โดยตรง

ทุกเครื่องคือแนวหน้า – การป้องกันเริ่มจาก “ดีไซน์นโยบาย” ไม่ใช่แค่ซื้ออุปกรณ์

แม้เทคโนโลยีป้องกันจะมีหลากหลาย ตั้งแต่ระบบเข้ารหัส ขยายสิทธิ์แบบ Zero Trust ไปจนถึงแพลตฟอร์มแชร์ข้อมูลมัลแวร์ (Malware Information Sharing Platform – MISP) ที่ไทยเริ่มนำมาใช้ แต่เลขาธิการ สกมช. ย้ำว่า “หัวใจของความมั่นคงไซเบอร์ไม่ใช่เครื่องมือ แต่คือ ‘การออกแบบและยึดถือวินัยร่วมกัน’”

องค์กรจึงควรเริ่มจากการวิเคราะห์สินทรัพย์สำคัญ (Critical Assets) ของตนเอง วางเกณฑ์ว่า ข้อมูลใดต้องเข้ารหัส ข้อมูลใดต้องจำกัดสิทธิ์เข้าถึง และบัญชีใดบ้างที่ต้องใช้ MFA และการตรวจสอบสองชั้น นอกจากนี้ควรกำหนดขั้นตอนการตอบสนองเหตุ (Incident Response Plan) ให้ชัดเจนว่า หากตรวจพบความผิดปกติ ใครมีหน้าที่ตัดสินใจ ใครเป็นผู้ติดต่อ ThaiCERT และใครเป็นโฆษกในการสื่อสารกับสาธารณชน

ช่องทางแจ้งเหตุและขอคำปรึกษา – ThaiCERT พร้อมรับแจ้ง 24 ชั่วโมง

เพื่อให้ประชาชนและหน่วยงานทุกระดับสามารถเข้าถึงความช่วยเหลือได้ง่าย สกมช. และ ThaiCERT เปิดช่องทางรับแจ้งเหตุภัยคุกคามไซเบอร์และเหตุสงสัยต่าง ๆ ตลอด 24 ชั่วโมง ผ่านช่องทางดังนี้

ppt17122025

• โทรศัพท์: 0 2114 3531
• Line Official: @thaicert
• Facebook: ThaiCERT
• Email: thaicert@ncsa.or.th

ผู้ที่พบเห็นเว็บไซต์ต้องสงสัย ข้อความปลอมแปลงที่อ้างชื่อหน่วยงานรัฐ การรั่วไหลของข้อมูลส่วนบุคคล หรือได้รับอีเมล–ข้อความที่คาดว่าเป็นฟิชชิ่ง สามารถส่งหลักฐานประกอบ เช่น ภาพหน้าจอ ลิงก์เว็บไซต์ หรือหัวอีเมล มายัง ThaiCERT เพื่อให้ทีมวิเคราะห์และประสานงานต่อกับหน่วยงานที่เกี่ยวข้อง

เมื่อความมั่นคงไซเบอร์คือเรื่องของทุกคน

จากภาพรวมทั้งหมด การแถลงข่าวครั้งนี้ไม่เพียงแต่ทำหน้าที่ “รายงานสถานการณ์” แต่ยังเป็นสัญญาณเตือนสังคมไทยว่า ความมั่นคงปลอดภัยไซเบอร์ได้กลายเป็นส่วนหนึ่งของความมั่นคงแห่งรัฐและความปลอดภัยในชีวิตประจำวันของประชาชนไปแล้ว

ในยุคที่เส้นแบ่งระหว่างโลกจริงกับโลกดิจิทัลเลือนหายไป ทุกคลิก ทุกบัญชีผู้ใช้ และทุกระบบที่เชื่อมต่ออินเทอร์เน็ต ล้วนเป็นส่วนหนึ่งของ “แนวหน้าร่วมกัน” หากภาครัฐยกระดับระบบป้องกัน ภาคเอกชนออกแบบบริการโดยคำนึงถึงความปลอดภัยตั้งแต่ต้นทาง และประชาชนเรียนรู้ที่จะไม่ตกเป็นเหยื่อของทั้งมัลแวร์และข่าวลวง โอกาสที่ประเทศไทยจะยืนหยัดอยู่ในสมรภูมิไซเบอร์ได้อย่างมั่นคงก็จะเพิ่มขึ้นอย่างมีนัยสำคัญ

ในคำเตือนของเลขาธิการ สกมช. ที่ว่า “ในโลกไซเบอร์ ทุกที่คือชายแดน” อาจตีความได้ต่อไปอีกขั้นว่า “ทุกคนคือทหารรักษาชายแดน” – และการเริ่มต้นทำสิ่งเล็ก ๆ ตั้งแต่การเปลี่ยนรหัสผ่าน เปิดใช้ MFA อัปเดตโทรศัพท์ ไปจนถึงหยุดแชร์ข่าวที่ยังไม่ตรวจสอบ คือหน้าที่พื้นฐานที่ไม่มีใครอื่นทำแทนเราได้