เจ้าหน้าที่รัฐกำลังทำอะไรในวันที่มิจฉาชีพออนไลน์ชุกชุมราวกับโจรที่เจอได้ทุกมุมตึก?
600,000 ล้านบาทคือจำนวนเงินที่ (ถูกประมาณการว่า) คนไทยสูญเสียเนื่องจากการหลอกลวงออนไลน์ในปี 2024 จำนวนเงินนี้คิดเป็นประมาณ 3.4% ของ GDP และเป็นจำนวนเงินมากมายมหาศาลขนาดที่ทำให้ไทยคว้าอันดับต้นๆ ของโลกในการถูกโกงออนไลน์
แน่นอนว่ารัฐมีหน้าที่แก้ปัญหาอาชญากรรมออนไลน์ ซึ่งหลายคนอาจไม่รู้ว่าหน้าที่ในการป้องกันและปราบปรามอาชญากรรมออนไลน์ไม่ใช่เพียงหน้าที่ของตำรวจ แต่โครงสร้างบริหารประเทศของไทยกำหนดให้หลายหน่วยงานต้องร่วมกันแก้ปัญหา เช่น กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) กรมสอบสวนคดีพิเศษ (ดีเอสไอ) สำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน (ปปง.) ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เป็นต้น
นอกจากจะต้องดีลกันเอง หน่วยงานรัฐยังต้องดีลกับภาคเอกชนที่ข้องเกี่ยวกับอาชญากรรมออนไลน์อย่างหลีกเลี่ยงไม่ได้ ไม่ว่าจะเครือข่ายโทรศัพท์ ธนาคาร หรือองค์กรอื่นที่เกี่ยวข้อง ซึ่งขอสปอยล์ตรงนี้เลยว่าไม่ใช่งานง่าย
อย่างไรก็ตาม แม้จะมีหลากหน่วยงานและหลายเจ้าหน้าที่รัฐ สแกมเมอร์ (scammer) กลับสู้ไม่ถอย พัฒนากลยุทธ์ในการหลอกและเดินหน้าขโมยเงินจากกระเป๋าคนไทยอย่างต่อเนื่อง 101 จึงสนทนากับ พ.ต.อ.ณัทกฤช พรหมจันทร์ ผอ.สำนักบริหารโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
เพื่อหาคำตอบว่าความยากของ ‘คนทำงาน’ คืออะไร อุปสรรคของการทำงานป้องกันและปราบปรามอาชญากรรมไซเบอร์คืออะไร มีกฎหมายหรือช่องโหว่ที่ทำให้ทำงานยากขึ้นหรือไม่ ไปจนถึงกรณีการจัดการรูปแบบมิจฉาชีพที่ยากที่สุดที่เคยทำมา
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) มีบทบาทด้านอาชญากรรมไซเบอร์อย่างไร และตำแหน่ง ผอ.สำนักบริหารโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่คุณทำอยู่ มีอำนาจหน้าที่อย่างไรบ้าง
สกมช. มีหน้าที่ดูแลไซเบอร์สเปซหรือโลกที่เชื่อมต่ออินเทอร์เน็ตให้มีความปลอดภัย ทำอย่างไรก็ได้ให้คนใช้ชีวิตบนโลกออนไลน์อย่างปลอดภัย แตกต่างจากตำรวจซึ่งมีหน้าที่สืบสวนและไล่จับกุมผู้กระทำความผิดที่ใช้คอมพิวเตอร์เป็นเครื่องมือ
ก่อนหน้านี้ผมเป็นผู้อำนวยการสำนักปฏิบัติการ ภารกิจคือควบคุมบริหารเหตุการณ์ทางไซเบอร์ โดยมีสามหน้าที่หลัก หนึ่งคือเป็นยามเฝ้าระวังเหตุการณ์ที่จะเกิดขึ้นและแจ้งเตือนประชาชนหรือหน่วยงานรัฐ สองคือเป็นวิศวกรที่ตรวจสอบโครงสร้างบ้านและตึก แล้วแจ้งเตือนให้แก้ไขรอยร้าวหรือช่องโหว่ที่เปิดให้ผู้ร้ายเข้ามาขโมยของ สามคือเป็นหมอภาคสนามที่พอทหารถูกยิง เราจะฉีดยาเพื่อแก้ปัญหาเบื้องต้นก่อน เมื่อปฐมพยาบาลเบื้องต้นเสร็จจึงส่งต่อไปยังผู้เชี่ยวชาญ
ปัจจุบัน ผมย้ายมาทำตำแหน่ง ผอ.โครงสร้างพื้นฐานสำคัญทางสารสนเทศ ซึ่งต้องรับผิดชอบหน่วยงานรัฐทั้งประเทศที่มีห้าหมื่นกว่าหน่วยงาน ซึ่งสิ่งที่ดูแลเป็นพิเศษคือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure) หรือ CII ที่มีประมาณหนึ่งร้อยหน่วยงานในประเทศ และสาเหตุที่ต้องดูแลบางหน่วยงานเป็นพิเศษ เพราะเราไม่อาจดูแลและปกป้องทุกหน่วยงานรัฐได้อย่างดีที่สุด อย่างไรก็ตาม หน่วยงานรัฐอื่นก็ไม่ได้ถูกทิ้ง
เพราะฉะนั้น งานฝั่งผมคือการออกกฎเกณฑ์ทางไซเบอร์ให้หน่วยงานรัฐปฏิบัติ เช่น ต้องใช้รหัสผ่านที่แข็งแรง เป็นต้น ซึ่งถ้าไม่ปฏิบัติตามก็ไม่มีโทษทางกฎหมาย อย่างไรก็ตาม กรณีของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือ CII จะพิเศษกว่า เพราะหน่วยงานเหล่านี้จะถูกตรวจสอบว่าทำมาตรการหรือไม่ อย่างไร โดยตรวจสอบปีละหนึ่งครั้ง และหากทำไม่สำเร็จจะมีการรายงานผู้บริหาร แต่ท้ายที่สุดก็ไม่มีโทษทางกฎหมายอีกเช่นกัน
นอกจาก สกมช. เข้าใจว่ามีสารพัดหน่วยงานรัฐที่ดูแลอาชญากรรมไซเบอร์ เช่น ดีเอสไอ ตำรวจไซเบอร์ เป็นต้น คำถามคือหน่วยงานรัฐแบ่งงานกันอย่างไร สับสนหรือไม่ และทำอย่างไรไม่ให้ทำงานทับซ้อนกัน
นี่คือปัญหาของประเทศไทย ประชาชนไม่ค่อยรู้ ซึ่งก็ไม่จำเป็นต้องรู้ ด้วยประเทศไทยออกแบบโครงสร้างบริหารจัดการแบบนี้ คนจึงมีความคาดหวัง พอคาดหวังก็เกิดความเข้าใจไม่ตรงกัน ทั้งยังมองว่ามีทั้งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ดีเอสไอ ตำรวจ สกมช. กสทช. ปปง. ไปจนถึงธนาคารแห่งประเทศไทย จนเกิดความสับสนว่าตกลงคือเรื่องอะไรและใครเป็นผู้รับผิดชอบ
ถ้าจะแยกให้ชัด ลองคิดภาพโลโก้ช่องเจ็ดที่มีวงกลมสามส่วนทับซ้อนกัน แต่บางส่วนของวงกลมก็ไม่เกี่ยวข้องกัน หากอิงจากกฎหมายที่เกี่ยวกับอาชญากรรมไซเบอร์แล้ว เราอาจแบ่งความรับผิดชอบได้เป็นสามวงกลมหลัก
วงกลมแรกคือกฎหมายที่มีโทษทางอาญา กล่าวคือประมวลกฎหมายอาญาที่เกี่ยวข้องและ พ.ร.บ.คอมพิวเตอร์ฯ เป็นกฎหมายที่ระบุว่าอะไรคือความผิดและอัตราโทษเป็นอย่างไร โดยตำรวจเป็นฝ่ายรับผิดชอบกฎหมายเหล่านี้ ซึ่งหน้าที่ของตำรวจคือหาผู้ร้ายให้เจอและจับให้ได้
วงกลมที่สองคือ พ.ร.บ.ไซเบอร์ฯ เป็นกฎหมายเพื่อสร้างความปลอดภัยทางไซเบอร์ที่มักจะเกี่ยวข้องกับหน่วยงานรัฐ โดย สกมช. คือฝ่ายออกมาตรการให้หน่วยงานรัฐมีความปลอดภัยทางไซเบอร์ เพราะประชาชนอาจได้รับผลกระทบ หากหน่วยงานรัฐไม่มีความปลอดภัยทางไซเบอร์ สมมติข้อมูลการรักษาของโรงพยาบาลถูกขโมยและลบทิ้ง นอกจากโรงพยาบาลจะเสียระบบการรักษาที่มีคุณภาพ ประชาชนก็เสียความเป็นส่วนตัวของข้อมูล เสียโอกาสรักษาพยาบาลด้วยข้อมูล และเสียเวลารอคิวเพราะโรงพยาบาลโกลาหลจากการที่ข้อมูลหาย
วงกลมสุดท้ายคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นกฎหมายสำหรับคุ้มครองข้อมูลโดยเฉพาะ ทั้งยังเป็นกฎหมายปลายน้ำสำหรับจัดการปัญหาข้อมูลส่วนบุคคล เมื่อความปลอดภัยไซเบอร์ได้รับการดูแลไม่ดีพอ หรือข้อมูลถูกขโมยไปใช้ประโยชน์อื่นหรือทำลาย
แม้ไม่เกี่ยวข้องกันโดยตรง แต่จะเห็นได้ว่าการจัดการอาชญากรรมไซเบอร์มีความทับซ้อนกันบางส่วน ทำให้สามวงกลมทับกันคล้ายโลโก้ช่องเจ็ด โดยที่ตำรวจเป็นหลักในการจับกุม สกมช. เป็นหลักในการป้องกันเหตุ ส่วนสำนักงานคุ้มครองข้อมูลส่วนบุคคลจะเป็นหลักในการดูแลข้อมูล
ท่ามกลาง ‘วงกลมแบบโลโก้ช่องเจ็ด’ ที่คุณอธิบาย หน่วยงานไหนเป็นแม่งานใหญ่ที่รับผิดชอบอาชญากรรมไซเบอร์มากที่สุด
หน่วยงานที่เป็นเจ้าภาพและดูภาพรวมคือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทางกระทรวงฯ คุมศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ หรือ AOC[1] และตั้งคอลเซ็นเตอร์คอยรับสายขอความช่วยเหลือจากประชาชน เพื่อให้การแจ้งความออนไลน์ในรูปแบบของการอายัดบัญชีมีความเป็นหนึ่งเดียว กล่าวคือมีฝ่ายเดียวที่รับและประสานทุกธนาคาร หากมีคนแจ้งเหตุหลอกลวงที่คอลเซ็นเตอร์เบอร์ 1441 ทางศูนย์ AOC ก็จะแจ้งธนาคารว่าบัญชีนี้มีความผิดปกติ ซึ่งจะป้องกันไม่ให้ประชาชนคนอื่นเดือดร้อนไปด้วย จากเดิมที่มิจฉาชีพสามารถใช้บัญชีหนึ่งหลอกหลักร้อยคน
เมื่อมีหลายหน่วยงานดูแลจนกลายเป็นโลโก้ช่องเจ็ดที่ทับซ้อนกันอย่างที่คุณว่า สถานการณ์นี้ทำให้ทำงานยากหรือง่ายขึ้นกันแน่
การทำงานในมิติราชการไม่ได้ยากขึ้น แต่ความยากหรือความท้าทายจะตกอยู่กับหน่วยงานที่ขับเคลื่อนเรื่องนั้นโดยตรง หมายความว่าการมีหลายหน่วยงานเป็นเรื่องเข้าใจได้ แต่ปัญหาคือการที่แต่ละหน่วยงานรับผิดชอบหน้างานโดยตรงอาจทำให้เกิดปัญหา
สมมติตำรวจอยากจับคดีหนึ่ง พอจับได้ ปรากฏว่าอำนาจสืบคดีไปตันที่ธนาคาร แม้ตำรวจอาจมีอำนาจในการขอข้อมูล แต่อำนาจที่เกี่ยวข้องอื่นๆ เช่น ถ้าอยากขอรับทราบว่าผู้ร้ายมีทรัพย์สินอื่นที่เกี่ยวข้องไหมนอกจากบัญชี ก็ต้องส่งเรื่องไป ปปง. และทาง ปปง. ก็อาจแจ้งกลับมาว่าบุคคลนั้นมีฐานข้อมูลในระบบจำนำทองคำหรือเคยซื้อประกันชีวิต เป็นต้น
ต่อมาถ้าอยากได้ข้อมูลโทรศัพท์มือถือ ตำรวจก็ต้องทำเรื่องไปที่ค่ายเครือข่ายโทรศัพท์ ปัญหาคือบางครั้งค่ายเครือข่ายโทรศัพท์ก็ไม่สามารถให้ข้อมูลได้ โดยให้เหตุผลว่าเป็นข้อมูลส่วนบุคคลบ้าง เป็นข้อมูลที่เปิดเผยไม่ได้บ้าง จนบางครั้งเจ้าหน้าที่ก็ไม่ได้ข้อมูลตามที่ต้องการ คำถามคือคดีลักษณะนี้จบที่ตำรวจหรือไม่ มันไม่จบ เพราะตำรวจต้องติดต่อหน่วยงานอื่นด้วย
อย่างที่บอกว่าการมีหลายหน่วยงานที่เกี่ยวข้องกับเรื่องนี้เป็นเรื่องเข้าใจได้ แต่ปัญหาคือแต่ละหน่วยงานมีอำนาจหน้าที่เฉพาะที่กฎหมายกำหนดเท่านั้น ซึ่งการแก้ปัญหาสแกมเมอร์ไม่สามารถแก้ได้โดยหน่วยงานใดหน่วยงานหนึ่ง
มีวิธีทำให้หน่วยงานใดหน่วยงานหนี่งสามารถแก้ไขปัญหาโดยตรงได้เลยไหม
อย่างที่บอกว่าปัญหาสแกมเมอร์ไม่สามารถแก้ไขได้ด้วยหน่วยงานเดียว จึงเป็นที่มาของศูนย์ AOC ที่เกิดจากความร่วมมือหลายหน่วยงาน ซึ่งบ้านเราไม่ใช่เจ้าแรกที่ทำ สิงคโปร์ประสบความสำเร็จมากในการทำศูนย์ลักษณะนี้ เหตุผลส่วนหนึ่งคือประเทศเขาสามารถกำกับดูแลให้หน่วยงานต่างๆ ให้ความร่วมมือได้ โดยที่ขีดจำกัดน้อยกว่าประเทศไทย
บ้านเราอยู่ในภาวะที่เอกชนโตไปไกล มีกฎหมายใหม่ และวิธีคิดของคนในประเทศให้ความสำคัญกับเรื่องสิทธิความเป็นส่วนตัวมาก ดังนั้น ขณะที่ผู้บังคับใช้กฎหมายพยายามแก้ไขปัญหา ประชาชนอาจต่อต้านหรือไม่เห็นด้วยเพราะกังวลเรื่องสิทธิความเป็นส่วนตัว
ตอนนี้เครือข่ายโทรศัพท์ก็มีปัญหา ทั้งที่กฎหมายข้อมูลส่วนบุคคลระบุชัดเจนว่าไม่บังคับใช้ในมาตรการการรักษาความมั่นคงปลอดภัยต่อประชาชน แต่เครือข่ายโทรศัพท์บางรายยังยึดหลักข้อมูลส่วนบุคคลและใช้ประเด็นนี้เป็นเครื่องมือ
การไม่ส่งข้อมูลให้เจ้าหน้าที่รัฐไม่ถือเป็นความผิด?
อาจไม่ไช่การไม่ส่งข้อมูลให้ขนาดนั้น แต่ประเด็นคือค่ายเครือข่ายโทรศัพท์บางรายมักถามหาอำนาจและฐานของกฎหมายที่รองรับการขอข้อมูลส่วนนี้ ซึ่งกฎหมายไม่ระบุเรื่องนี้ไว้ จริงอยู่ที่ก่อนหน้านี้อาจมีกฎหมายกว้างๆ เช่น ควบคุมและกำกับดูแลการใช้ซิมให้ถูกต้องและเป็นไปตามจุดประสงค์ของการสื่อสาร ไม่สนับสนุนการกระทำผิดกฎหมาย แต่พอไม่มีกติกาที่ชัดเจน ค่ายโทรศัพท์บางรายก็อาจอ้างความไม่ชัดเจนและไม่ให้ความร่วมมืออย่างเต็มที่
เช่นนั้นแล้ว คุณเห็นว่ากฎหมายมีอุปสรรคบางอย่างที่ไม่เอื้อต่อการแก้ไขปัญหาอาชญากรรมออนไลน์อย่างเต็มที่หรือเปล่า
กฎหมายอาจไม่เอื้อต่อขั้นตอนและสถานการณ์ แม้จะค้นพบวิธีป้องกันหรือปราบปรามอาชญากรรมออนไลน์ แต่เมื่อหาแนวทางหรือขอความร่วมมือจากบางหน่วยงานเพื่อแก้ไขปัญหา ก็มักจะพบว่ากฎหมายไม่เคยบัญญัติให้อำนาจโดยตรง ด้วยความที่เป็นหน่วยงานรัฐ กฎหมายมหาชนจะบอกเพียงว่ามีอำนาจทำอะไร แตกต่างจากเอกชนที่หากกฎหมายไม่ห้ามก็สามารถทำได้ตราบใดที่ไม่กระทบคนอื่น
เพราะฉะนั้น พอฝั่งหน่วยงานรัฐคุยกับเครือข่ายโทรศัพท์ที่เป็นหน่วยงานเอกชน เอกชนก็จะถามเสมอว่าอาศัยอำนาจอะไร อิงกฎหมายข้อไหน เวลาเกิดมาตรการจัดการซิมผีบัญชีม้าที่เกี่ยวกับอาชญากรรมออนไลน์ กว่าหน่วยงานเอกชนอย่างธนาคารหรือเครือข่ายโทรศัพท์จะตกลงร่วมกับมาตรการได้ ก็อาจใช้เวลาหลายเดือน
มีตัวอย่างกรณีที่สะท้อนถึงช่องว่างทางกฎหมายที่ สกมช. ไม่สามารถบังคับใช้เพื่อแก้ปัญหาอาชญากรรมออนไลน์ได้ไหม
มีในกรณีแอปพลิเคชันดูดเงิน อธิบายก่อนว่ากรณีลักษณะนี้มีสองรูปแบบใหญ่ๆ แบบที่หนึ่งคือการเริ่มด้วยการส่งข้อความเข้าโทรศัพท์ เช่น ข้อความหลอกลวงว่าขนส่งพัสดุไม่สำเร็จพร้อมแนบลิงก์ให้เพิ่มเพื่อนบนไลน์ พอหลงกลเพิ่มเพื่อนและพูดคุยบนไลน์ มิจฉาชีพก็จะส่งลิงก์ให้ดาวน์โหลดแอปพลิเคชันเพื่อดูดเงิน แบบที่สองคือคุยโทรศัพท์โดยตรงแล้วค่อยเริ่มกระบวนการหลอกดูดเงิน
ปัจจุบัน แอปพลิเคชันดูดเงินอันดับต้นๆ คือแอปพลิเคชันเถื่อนที่ปลอมเป็นแอปฯ แฟลชเอ็กเพรส (FlashExpress) แอปพลิเคชันเหล่านี้เป็นแอปพลิเคชันควบคุมมือถือ ดังนั้น ใครก็ตามที่เผลอกดลิงก์และโหลดแอปพลิเคชัน โทรศัพท์ก็จะถูกควบคุมเพื่อโอนเงินให้มิจฉาชีพ
ดังนั้น ทาง สกมช. จึงพยายามผลักดันเพื่อสร้างความตระหนักรู้ โดยขอให้หลายภาคส่วนช่วยเอาภาพตัวอย่างการโดนหลอกด้วยแอปพลิเคชันดูดเงินไปติดให้ประชาชนเห็น เหมือนเวลาไปธนาคารแล้วเห็นป้ายประกาศว่าเปิดบัญชีแทนคนอื่นถือเป็นเรื่องผิดกฎหมาย ผมอยากเอาตัวอย่างแอปพลิเคชันดูดเงินไปแปะไว้ตามที่พื้นที่สาธารณะ ธนาคาร หรือศูนย์บริการเครือข่ายโทรศัพท์ เพื่อแจ้งเตือนประชาชนให้ระมัดระวังแอปพลิเคชันดูดเงิน ผมพยายามมาหลายรอบ แต่เรื่องพื้นฐานแบบนี้ก็ยังไม่เกิดขึ้น
หลายฝ่ายไม่ได้บอกว่า ‘ไม่ให้ความร่วมมือ’ และคงมีกลไกบางอย่างที่อาจซับซ้อนมากกว่าที่ผมเห็น ผมอาจคิดในมุมของข้าราชการก็ได้ แต่ในมุมของธนาคาร ธนาคารอาจกังวลว่าคนจะไม่มีความเชื่อถือในการเปิดบัญชี จึงอาจไม่พยายามพูด สิ่งเหล่านี้สะท้อนให้เห็นว่าแม้ภาครัฐพยายามคิดกลไกต่างๆ ขึ้นมา ซึ่งควรจะต้องสั่งได้เดี๋ยวนี้และทำได้เดี๋ยวนี้ แต่หลายเรื่องกลับยังทำไม่ได้
ถ้าวันหนึ่งคุณมีอำนาจในการแก้กฎหมายหรือทำนโยบาย คุณอยากเพิ่มอำนาจให้หน่วยงานรัฐสามารถแก้ไขปัญหามิจฉาชีพออนไลน์อย่างไร
ผมจะทำให้อาชญากรรมออนไลน์เป็นวาระแห่งชาติ เพื่อเป็นเครื่องเตือนว่าต้องจัดการปัญหา และเพื่อสร้างความรู้สึกหรือความชอบธรรมในการแก้ปัญหา ขณะเดียวกัน ประชาชนที่ได้รับผลกระทบก็จะเกิดความรู้สึกร่วมและไม่รู้สึกว่าสิ่งที่ต้องทำถือเป็นภาระ และผลดีที่สุดคือหน่วยงานที่เกี่ยวข้อง ไม่ว่าจะธนาคารหรือเครือข่ายโทรศัพท์ ถ้าไม่ให้ความร่วมมือก็จะถูกมองว่าไม่โอเคและอาจถูกแบน
อย่างแอปพลิเคชันดูดเงินที่ควบคุมโทรศัพท์เราจากทางไกล ผมส่งให้เครือข่ายโทรศัพท์รายหนึ่งบล็อกเซิร์ฟเวอร์ วิธีการคล้ายกับแอปพลิเคชันเกมที่ถึงลงเกมไว้แต่ถ้าเซิร์ฟเวอร์ล่มก็ไม่สามารถเล่นได้ เมื่อผมส่งข้อมูลให้ผู้บริการเจ้านั้น แล้วเขาปิดเซิร์ฟเวอร์ของแอปพลิเคชันดูดเงินได้ ก็ทำให้แอปพลิเคชันดูดเงินไม่สามารถทำงานบนเครื่องของผู้ใช้บริการโทรศัพท์จำนวนมาก แต่ก็ยังมีอีกจำนวนมากที่ทำงานได้อยู่ ซึ่งความร่วมมือควรต้องเกิดขึ้น
แสดงว่าค่ายมือถือสามารถบล็อกเซิร์ฟเวอร์เพื่อป้องกันการดูดเงินได้?
ในทางเทคนิคทำได้ทันทีเดี๋ยวนี้ แต่ผู้ให้บริการบางรายให้เหตุผลว่าอาจกระทบผู้ใช้บริการ แม้ฝั่งผมจะมีการพิสูจน์ทราบแล้วก็ตาม ผมทำมาประมาณพันกว่าคดีที่มีหลักฐานและรายงานโดยเฉพาะ ทั้งยังมีการยืนยันเซิร์ฟเวอร์ที่ควบคุมเครื่อง แต่สุดท้ายผู้ให้บริการบางรายก็ถามว่ามีอำนาจอะไร ซึ่ง สกมช. ไม่มีอำนาจโดยตรง เพราะหน้าที่หลักคือการดูแลมาตรการและนโยบายการปกป้องความปลอดภัยทางไซเบอร์
ถ้าคุยเชิงรายละเอียดขึ้นอีกหน่อย คุณอยากได้กฎหมายที่อนุญาตให้หน่วยงานรัฐสามารถเข้าถึงข้อมูลที่จำเป็นเพื่อแก้ปัญหาอาชญากรรมออนไลน์ไหม
ผมอยากให้มีกฎหมายเฉพาะเพื่อให้อำนาจภายใต้ความโปร่งใส อย่าง พ.ร.ก.ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีฯ ที่เพิ่งออกเมื่อไม่กี่ปีก็ออกเป็นเพียงกฎหมายระดับ พ.ร.ก. ไม่ได้ผ่านอำนาจทุกอย่างและใช้ยาแรงไม่ได้ ข้อดีคือยืดหยุ่น แต่ข้อเสียคืออำนาจน้อยมาก ถ้าเป็นกฎหมายที่ผ่านนิติบัญญัติทุกระดับและออกมาเป็นพระราชบัญญัติหรือกฎหมายอาญาก็จะเป็นกฎหมายที่ใหญ่กว่า
เพราะฉะนั้น ข้อเสนอที่ว่าควรมีกฎหมายหรือการมอบอำนาจที่อ้างอิงได้ มีความยืดหยุ่นพอสมควร และสามารถตรวจสอบความโปร่งใสได้ ผมว่าเจ๋งมากเลย หรืออาจมีคณะกรรมการที่ค่อนข้างยืดหยุ่น กล่าวคือมีเอกชน มูลนิธิ เอ็นจีโอ และภาคประชาชนในกระบวนการของคณะกรรมการ พอเกิดมิจฉาชีพออนไลน์รูปแบบใหม่ คณะกรรมการก็สามารถออกมติหรือแนวทางมอบอำนาจให้คนทำงาน และให้ผู้เกี่ยวข้องทั้งหมดในกระบวนการปรับแนวทางตามได้
คุยเรื่องเครือข่ายโทรศัพท์มาเยอะ อยากรู้เบื้องหลังการทำงานกับฝั่งธนาคารบ้าง ทำงานกับธนาคารยากหรือง่ายอย่างไร
ผู้บังคับใช้กฎหมายจะมองธนาคารสองด้าน ด้านที่หนึ่งคือแผนก compliance ซึ่งคือแผนกพูดคุยกับลูกค้าและหน่วยราชการเพื่อประสานให้ไม่มีปัญหา กับด้านที่สองคือแผนก fraud ที่จะถูกแบ่งออกเป็นสองส่วนอีก คือตรวจสอบการทุจริตของเจ้าหน้าที่ภายในและตรวจสอบการทุจริตภายนอก
เวลาทำงาน ผู้บังคับใช้กฎหมายมักจะได้ติดต่อกับฝ่าย compliance ซึ่งเป็นฝ่ายที่คอยประสานไม่ให้เกิดปัญหาและมีหน้าที่ในการรักษาความสัมพันธ์ ขณะที่ฝ่าย fraud ซึ่งเป็นหน่วยทำงานตรวจสอบก็จะไม่ได้มาปฏิสัมพันธ์กับคนภายนอกมากนัก เราไม่มีโอกาสที่จะแตะกับฝ่าย fraud เลยถ้าไม่มีเรื่องจริงๆ หรือถ้าไม่ใช่วิธีเข้าหารายบุคคล
ตั้งแต่ทำงานด้านอาชญากรรมออนไลน์มา กรณีที่ยากและซับซ้อนที่สุดสำหรับคุณคืออะไร
ยากที่สุดคือกรณีที่ผู้เสียหายไม่ให้ความร่วมมือ เป็นกรณีของผู้สูงอายุที่ถูกโรแมนซ์สแกมหลายปี โดยที่ผู้เสียหายคุยไลน์กับมิจฉาชีพและโอนเงินต่อเนื่องจนถึงปัจจุบัน รวมเป็นเงินหลักสิบล้านบาท
มิจฉาชีพแอบอ้างเป็นเจ้าหน้าที่สายความมั่นคงที่มีตัวตนจริง ผู้เสียหายจึงเข้าใจว่าตนกำลังมีความรักและโอนเงินให้บุคคลนี้มาโดยตลอด ดังนั้น สกมช. จึงเป็นตัวกลางติดต่อเจ้าหน้าที่ตัวจริงว่ามีคนแอบอ้างอัตลักษณ์ไปหลอกคนอื่น เจ้าหน้าที่ตัวจริงจึงอัดคลิปวิดีโอเพื่ออธิบายและยืนยันว่าตนไม่เคยทำเช่นนั้น และเราก็ส่งต่อคลิปให้ผู้เสียหายดู ตอนแรกผู้เสียหายดูเหมือนจะเชื่อ แต่สุดท้ายก็ไม่เชื่อและมองว่าเป็นคลิป deepfake
ต่อมาเกิดการนัดหมายให้เจ้าหน้าที่และผู้เสียหายไปพบกันต่อหน้า เมื่อพบกัน เจ้าหน้าที่ท่านนั้นก็อธิบายกับผู้เสียหายว่าไม่เคยกระทำเช่นนั้น แต่พอแยกย้ายผู้เสียหายก็ไม่เชื่ออีก บอกว่าเมื่อกี้เล่นละครกัน ท้ายที่สุดก็ยังเชื่อและโอนเงินให้มิจฉาชีพอย่างต่อเนื่อง
หากถามถึงกรณีที่ยากและซับซ้อนที่สุด คำตอบของผมคือคดีใดก็ตามที่ผู้เสียหายไม่ให้ความร่วมมือ การแก้ปัญหาคดีเหล่านี้จะเป็นไปแทบไม่ได้เลย และนำมาซึ่งมูลค่าความเสียหายที่หนัก และนี่ไม่ใช่กรณีแรก
แล้วมีกรณีที่ทำให้คุณรู้สึก ‘เหลือเชื่อ’ หรือ ‘หลอกกันแบบนี้ก็ได้ด้วยเหรอ’ บ้างไหม
สำหรับผมมันไม่เหลือเชื่อแล้ว เพราะเห็นจนไม่รู้สึกว่าเหลือเชื่อ แต่กรณีที่น่าสนใจคือการหลอกให้ลงทุนผ่านระบบคอมพิวเตอร์ มีสถิติว่าคดีหลอกลวงออนไลน์มีมูลค่าความเสียหายประมาณ 72,000 ล้านบาท ซึ่งการหลอกให้ลงทุนผ่านระบบคอมพิวเตอร์เป็นคดีที่มีมูลค่าความเสียหายประมาณ 27,000 ล้านบาท คิดเป็นประมาณหนึ่งในสามของความเสียหายคดีหลอกลวงออนไลน์ทั้งประเทศ
เฟซบุ๊กมักกลายเป็นพื้นที่สื่อกลางของการหลอกลงทุน สมมติคุณอยากลงทุนทองคำหรือเล่นหุ้นแล้วค้นหาด้วยคำบนเฟซบุ๊ก สักพักคอนเทนต์เหล่านั้นก็จะปรากฏมากขึ้นเรื่อยๆ มิจฉาชีพเข้าใจกลไกนี้ จึงจ่ายเงินซื้อโฆษณาเพื่อหลอกลงทุนออนไลน์ ซึ่งแทบทุกโฆษณาที่เราพบบนเฟซบุ๊กล้วนเป็นโฆษณาที่ทำโดยมิจฉาชีพ
รูปแบบของอัลกอรึทึมทำให้มิจฉาชีพอยู่หน้าประตูบ้านเรา โดยที่เราเป็นฝ่ายเข้าหามิจฉาชีพเสียเอง พวกผมทำการล่อซื้อและพบว่าแทบทุกกรณีมักเริ่มจากการคุยในกล่องข้อความเฟซบุ๊ก จากนั้นมิจฉาชีพจะให้เพิ่มเพื่อนบนแอปพลิเคชันไลน์ ก่อนจะมีการแนะนำตัว อ้างชื่อเจ้าหน้าที่ และจบที่การหลอกให้โอนเงิน
อีกรูปแบบที่น่าสนใจคือการหลอกแบบ ‘ดับเบิลโดนหลอก’ กล่าวคือมิจฉาชีพทำเพจหลอกให้แจ้งความออนไลน์ สร้างผลกระทบประมาณล้านกว่าบาทแล้ว เราก็กำลังทำงานศึกษาเรื่องนี้อยู่
เคยเจอกรณีมิจฉาชีพ ‘มีนาย’ บ้างไหม เช่น กำลังจะจับอยู่แล้ว แต่เจ้าหน้าที่ด้วยกันดันปรามว่าอย่าทำเลยเพราะเป็นกิจการที่มีผู้อยู่เบื้องหลัง
ผมไม่มีประสบการณ์ตรง แต่เหตุการณ์ลักษณะนี้เกิดในประเทศข้างเคียง ตำรวจไทยรู้จุดกบดานของกลุ่มมิจฉาชีพออนไลน์ ชนิดที่ถามได้ เล่าได้ และชี้ตึกได้ พอตำรวจไทยขอให้เจ้าหน้าที่ประเทศเพื่อนบ้านดำเนินการกับกลุ่มนี้ แต่เขากลับส่งสัญญาณกลับมาว่าไม่สามารถดำเนินการได้ เพราะเป็นกลุ่มมิจฉาชีพที่มีผู้มีอิทธิพลอยู่เบื้องหลัง
‘บิ๊กบอส’ ของวงการมิจฉาชีพออนไลน์คือใคร
ถ้าตอบเป็นเชื้อชาติหรือสัญชาติ ก็จะตอบว่าเป็นชาติที่ทำธุรกิจเก่งและมีเครือข่ายในหลายประเทศ เป็นประเทศที่มักมีค่านิยมในการลงทุนต่างประเทศผ่านธุรกิจหลายรูปแบบ ส่วนเครือข่ายก็มักจะเป็นคนสัญชาติเดียวกัน ขณะที่คนไทยเป็นลูกน้อง
อย่าลืมว่านี่คืออาชญากรรมข้ามประเทศ ผู้ร้ายอาจอยู่ประเทศหนึ่ง ส่วนเจ้าของโครงข่ายมิจฉาชีพอาจอยู่อีกประเทศหนึ่ง เพราะฉะนั้น โมเดลใดก็ตามที่เป็นอาชญากรรมข้ามชาติจำเป็นต้องอาศัยเครือข่ายที่เข้มแข็ง กล่าวคือต้องรู้จักเจ้าหน้าที่รัฐ ต้องรู้จักเจ้าของธุรกิจ ต้องรู้จักนักการเมือง หรืออะไรที่เป็นพลังเบื้องหลัง
พอเป็นอาชญากรรมข้ามชาติ หน่วยงานรัฐทำอะไรได้มากน้อยขนาดไหน
ทุกวันนี้เราประสานงานกับตำรวจอาชญากรรมระหว่างประเทศ (INTERPOL) อยู่แล้ว แต่ปัญหาของเรื่องนี้อาจไม่เป็นอย่างที่คิด พอประสาน INTERPOL และคิดว่าจะมีหมายจับผู้ร้ายข้ามแดน แต่ก็ไม่ เพราะรูปแบบอาชญากรรมออนไลน์นั้นซับซ้อน ไม่ได้สืบสวนแล้วรู้ว่ามิจฉาชีพคนไหนเป็นระดับหัวหน้า หรือมิจฉาชีพคนไหนเกี่ยวข้องกับการเงิน อาจไม่สามารถแยกได้โดยง่าย
เมื่อสืบสวนสอบสวนแล้ว สิ่งที่ทราบเบื้องต้นคือคนที่เกี่ยวข้องกับบัญชีหรือบัญชีม้าต้นทาง แต่การสืบสวนจนรับรู้โครงสร้างต่างๆ ของมิจฉาชีพนั้นยากมาก ประสิทธิภาพในการที่จะดันให้เป็นคดีข้ามแดนหรือคดีอาชญากรรมข้ามชาติจึงเป็นไปแทบไม่ได้เลย เราไม่สามารถออกหมายที่เกี่ยวข้องได้และเราจะรู้ได้แค่บัญชีม้าในประเทศ
บางครั้งที่จับได้ก็ไม่ใช่แค่ข้อมูลการสืบสวนเท่านั้น แต่บางครั้งเป็นเรื่องของจังหวะ คือเข้าไปเจอว่ามีกลุ่มคนไทยอยู่ในอพาร์ตเมนต์นี้ นั่งกันเป็นกลุ่ม มีการสั่งอาหาร และเวียนคนเข้าออกจนผิดสังเกต บวกกับข้อมูลการสืบสวนและข้อมูลอื่นๆ ซึ่งเราก็ต้องอาศัยเจ้าหน้าที่บ้านเมืองในประเทศนั้นๆ ร่วมมือด้วยถึงจะจับได้
ท้ายที่สุดแล้ว คุณคิดว่าอะไรคืออุปสรรคใหญ่ที่สุดในด้านการทำงานอาชญากรรมออนไลน์
อุปสรรคของภาครัฐคือข้อจำกัดด้านกฎหมายกับวิธีคิดที่ทุกคนต้องทำงานของตัวเอง เช่น สกมช. อยากให้เตรียมการล่อซื้อเพื่อนำข้อมูลไปพิสูจน์และดำเนินการต่อ แต่ตำรวจงานเยอะมาก พวกเขาก็มีงานที่กองอยู่ตรงหน้า ทำแทบจะไม่ไหว กลายเป็นว่าไม่มีเวลาล่อซื้อ หรือ กสทช. ก็มีหน้าที่กำกับดูแลกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม ซึ่งอาจไม่สามารถไม่ก้าวก่ายงานส่วนอื่นมากนัก
ส่วนในภาคเอกชน บางครั้งภาคส่วนที่เกี่ยวข้องก็ไม่สามารถให้การสนับสนุนเพื่อบรรลุวัตถุประสงค์การป้องกันและปราบปรามอาชญากรรมออนไลน์ได้ เพราะต่างฝ่ายต่างมีเป้าหมายของตนเอง ภาคเอกชนยังมีข้อจำกัดบางอย่าง จริงอยู่ที่ไม่มีกฎหมายอนุญาตให้ภาครัฐขอความร่วมมือได้หนึ่งร้อยเปอร์เซ็นต์ แต่พอมีบางกฎหมายเปิดช่องและเอื้อให้ภาคเอกชนช่วยแก้ไขปัญหาได้ ก็ยังมีหลายครั้งที่เราไม่ได้รับความร่วมมือ
ชวนเล่นเกมเติมคำในช่องว่าง : อาชญากรรมออนไลน์จะลดลง เจ้าหน้าที่จะทำงานง่ายขึ้นถ้า…?
มิจฉาชีพออนไลน์ในปัจจุบันมักมองไปข้างหน้า พวกเขาเป็นนักการตลาด แนวโน้มการหลอกลวงในอดีตอาจอยู่ในเฟซบุ๊ก ต่อมาก็อาจปรากฏบนติ๊กต็อกและอินสตาแกรม ประเด็นคือมิจฉาชีพขยับไปทุกแพลตฟอร์ม ตามแต่เทคโนโลยีที่เปลี่ยนแปลงไป
นอกจากนี้ มิจฉาชีพรู้ว่าเจ้าหน้าที่กระตือรือร้นในการอายัดบัญชีมิจฉาชีพมาก จากเดิมที่เราเริ่มคุ้นเคยและเข้าใจมากขึ้นว่าการโอนเงินโดยที่เลขที่บัญชีไม่ตรงกับชื่อร้านเป็นเรื่องแปลก มิจฉาชีพจึงปรับกลยุทธ์โดยใช้บัญชีชื่อของบริษัทที่สร้างขึ้น ทำให้ประชาชนไม่ทันสงสัย ขณะที่เจ้าหน้าที่ก็ไม่กล้าอายัดบัญชีที่เป็นบริษัท นี่คือตัวอย่างการปรับตัวของมิจฉาชีพ
ส่วนถ้าจะเติมคำในช่องว่าง ผมคิดว่าภัยคุกคามออนไลน์จะลดลง ถ้าประชาชนเข้าใจวิธีการหลอกลวงของผู้ร้ายและเข้าใจว่าสิ่งที่ตัวเองกำลังเผชิญคืออะไร หากเป็นเช่นนั้นประชาชนก็จะไม่โดนหลอกเด็ดขาด
ผลงานชิ้นนี้เป็นความร่วมมือระหว่างสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (องค์การมหาชน) (TIJ) และ The101.world
| ↑1 | เป็นศูนย์ปฏิบัติการที่เกิดจากความร่วมมือระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและ 5 หน่วยงานรัฐ ได้แก่ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) กรมสอบสวนคดีพิเศษ (ดีเอสไอ) สำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน (ปปง.) ธนาคารแห่งประเทศไทย (ธปท.) และสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) |
|---|
เรื่อง: ชลธิชา ทักษิณาเวศน์
