ถึงเวลาใช้ ‘ไบโอเมตริกซ์’ ยืนยันตัวตน ‘บริการออนไลน์’
สัปดาห์ที่ผ่านมามีการเปิดเผยข้อมูลการฉีดวัคซีนของนักการเมืองและบุคคลต่างๆ หลายคนอาจแปลกใจว่าทำไมข้อมูลการฉีดวัคซีนของแต่ละคนถูกดึงมาได้ ถึงเวลาแล้วที่บริการต่างๆ จำเป็นต้องนำระบบการยืนยันตัวที่ใช้ “ชีวมิติ หรือ ไบโอเมตริกซ์ (Biometric)”
สัปดาห์ที่ผ่านมามีการเปิดเผยข้อมูลการฉีดวัคซีนของนักการเมืองและบุคคลต่างๆ ออกมาในโซเชียลมีเดีย หลายคนอาจแปลกใจว่าทำไมข้อมูลการฉีดวัคซีนของแต่ละคนถูกดึงมาได้ มันควรเป็นข้อมูลส่วนบุคคลหรือไม่
ประเด็นนี้ผมเคยอธิบายในบทความไว้ว่า การลงทะเบียน และการฉีดวัคซีนไม่ว่าจะลงผ่านระบบใดก็ตาม ระบบหลังบ้านจะเชื่อมโยงกันหมด เพราะใช้ฐานข้อมูลชุดเดียวกันที่อยู่ในระบบหมอพร้อม ดังนั้นใครเข้าถึงข้อมูลก็จะดึงออกมาได้
คำถามที่น่าสนใจคือ "ข้อมูลการฉีดวัคซีนถือว่าเป็นความลับหรือไม่” ซึ่งผมมองว่าข้อมูลเหล่านี้ไม่เป็นความลับ เพราะเป็นเรื่องความปลอดภัยด้านสุขภาพของส่วนรวม แต่การนำข้อมูลส่วนตัวออกมาเผยแพร่ก็อาจต้องได้รับความยินยอมจากบุคคลนั้นๆ
คุณอนุทิน ชาญวีรกุล รัฐมนตรีว่าการกระทรวงสาธารณสุข ได้ออกมากล่าวว่า ข้อมูลการฉีดวัคซีนไม่เป็นความลับ สามารถดึงมาได้จากแอพหมอพร้อมหากมีเลขบัตรประชาชน ซึ่งในความเป็นจริงก็น่าจะใช่ เพราะการมีเลขบัตรประชาชนมีเลขเลเซอร์หลังบัตรก็สามารถดึงข้อมูลต่างๆ มาได้
รวมทั้งระบบหมอพร้อมยังเปิดให้เจ้าหน้าที่บริหารระบบในแต่ละโรงพยาบาล สามารถเข้าถึงข้อมูลการฉีดวัคซีนของคนแต่ละคนได้ สามารถเข้าไปเพิ่มข้อมูลการฉีดและสามารถดูประวัติการฉีดได้ โดยใช้หมายเลขบัตรประชาชน และไม่ต้องมีเลขเลเซอร์หลังบัตร
นอกจากนี้ อาจพบว่า บางองค์กรที่ใช้โปรแกรม API ในการดึงข้อมูลของแต่ละคนมาเพื่อเชื่อมโยงกับแอพอื่นๆ ได้ หรือหากใช้กูเกิลค้นหาคำว่า “ข้อมูลการฉีดวัคซีนหมอพร้อม” ก็อาจจะพบเว็บไซต์หลายแห่งที่สามารถค้นหาข้อมูลได้ บางเว็บกรอกเพียงแค่ชื่อและหมายเลขบัตรประชาชนก็จะพบข้อมูลการฉีดวัคซีน
ผมไม่ต้องการเน้นว่า ข้อมูลการฉีดเป็นความลับหรือไม่ แต่แน่นอนข้อมูลเหล่านี้เป็นข้อมูลส่วนตัว การจะลงทะเบียนการใช้บริการต่างๆ ที่มีการเก็บข้อมูลส่วนตัวไม่ว่าจะเป็นบริการภาครัฐ หรือภาคเอกชน จำเป็นต้องมีการยืนยันที่ดีกว่านี้ จะต้องเน้นเพื่อให้เกิดความมั่นใจว่าเจ้าของข้อมูลหรือผู้ที่จะมาใช้บริการเป็นบุคคลนั้นจริง
แม้ทุกวันนี้ระบบการยืนยันตัวตนจะดีขึ้น คือไม่เน้นแค่ถามชื่อ นามสกุล วันเดือนปีเกิด การตั้งชื่อผู้ใช้ และรหัสผ่านแบบเดิมแล้ว บริการหลายแห่งยังมีการถามบัตรประชาชน หมายเลขโทรศัพท์ มีการถามเลขเลเซอร์หลังบัตร แต่ในความเป็นจริงระบบการยืนยันตัวตนแบบนี้ก็ยังมีความเสี่ยงสูงที่อาจถูกคนอื่นแอบอ้างไปลงทะเบียนแทนได้
ยิ่งแค่ถามหมายเลขบัตรประชาชนเท่านั้นก็มีความเสี่ยงมาก ข้อมูลบนบัตรประชาชนถูกนำมาใช้พร่ำเพรื่ออย่างมาก ทั้งเอกสารบนบัตรยังถูกสำเนากระจายไปทั่ว เลขหลังบัตรที่คิดว่าน่าจะเป็นความลับกลับต้องฝากไว้กับคนอื่น เช่น เมื่อเข้าหมู่บ้าน เข้าอาคารต่างๆ ตลอดจนการทำธุรกรรมบางอย่างซึ่งหากมีผู้ไม่หวังดีถ่ายรูปเก็บไว้ก็มีความเสี่ยงเกิดขึ้น
ปัจจุบันมีเว็บให้บริการประชาชนเปิดให้ใช้บริการออนไลน์ สามารถสมัครเป็นสมาชิกได้อย่างรวดเร็ว เพียงแค่กรอกข้อมูลต่างๆ ทั้งเลขบัตรประชาชน บางเว็บมีการกรอกเลขหลังบัตร มีการส่ง OTP มายังโทรศัพท์มือถือ เพื่อให้ยืนยันตัวตนต่อการเปิดใช้บริการ
ผมเองมีโอกาสเข้าไปลงทะเบียนและใช้บริการต่างๆ เหล่านี้ของหลายหน่วยงาน และมีความเห็นว่าระบบการยืนยันตัวตนยังไม่รัดกุมดีพอ โดยเฉพาะบริการที่มีข้อมูลการเงิน ข้อมูลทรัพย์สิน และข้อมูลประวัติยิ่งจำเป็นต้องสร้างความมั่นใจให้กับผู้ใช้ได้ว่า คนอื่นจะไม่สามารถเข้ามาลงทะเบียนแทนได้
ผมทำการเปิดบัญชีธนาคารและหลักทรัพย์แบบออนไลน์ รวมถึงบริการการเทรดคริปโทฯ ทั้งในและต่างประเทศ มีความเห็นว่า การยืนยันตัวตนของระบบเหล่านี้ดีกว่าระบบที่เคยใช้ โดยมีการถ่ายรูป การยืนยันใบหน้าด้วยระบบ Face Recognition
โดยเฉพาะสถาบันการเงินในประเทศก็มีการใช้ระบบ National Digital ID (NDID) มาทำให้มีความมั่นใจมากขึ้นว่าจะไม่ถูกคนอื่นมาลงทะเบียนแทน
วันนี้ผมคิดว่า ถึงเวลาแล้วที่บริการต่างๆ จำเป็นต้องนำระบบการยืนยันตัวที่ใช้ “ชีวมิติ (Biometric)” ในการลงทะเบียนครั้งแรกมาใช้
หากระบบการยืนยันตัวตนยังไม่รัดกุม เราก็จะพบปัญหาที่ใครก็สามารถลงทะเบียนแทนกันได้ และสามารถดึงข้อมูลหรือมาใช้บริการแทนเราได้ รวมทั้งยังต้องมาถกเถียงกันอีกว่า ใครมาแอบดึงข้อมูลเราออกไป ซึ่งอาจเป็นเพราะว่า ระบบเปิดสิทธิการใช้งานให้ง่ายเกินไปนั่นเอง