ในตอนท้ายของ Power of The Act EP9 ผู้เขียนได้ให้ข้อสรุปว่า ผู้ให้บริการสถานีอัดประจุไฟฟ้าซึ่งให้บริการอัดประจุไฟฟ้าผ่านระบบการอัดประจุไฟฟ้าอัจฉริยะ (ซึ่งจำเป็นที่จะต้องมีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลส่วนบุคคลของผู้รับบริการ) นั้นอาจมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีหน้าที่ตามกฎหมายในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ
อย่างไรก็ตาม กรณีมีคำถามตามว่า "ความเหมาะสม" ดังกล่าวนี้มีลักษณะอย่างไร และผู้ประกอบกิจการสถานี้อัดประจุไฟฟ้าต้องดำเนินการอย่างไร (หรือถึงในระดับใด) จึงจะเรียกได้ว่าปฏิบัติหน้าที่ตามกฎหมายแล้ว
*ทำความรู้จัก "ผู้โจมตี" และ "วิธีการโจมตี"
ก่อนที่จะออกแบบมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสำหรับการให้บริการสถานีอัดประจุไฟฟ้า เราควรทำความเข้าใจถึงวิธีการโจมตีสถานีอัดประจุไฟฟ้าและระบบที่เกี่ยวข้อง
เมื่อเดือนกุมภาพันธ์ (ค.ศ. 2022) ที่ผ่านมา นักวิจัยสังกัด Institute for Computing and Information Sciences, Radboud University (ประเทศเนอเธอร์แลนด์) (Pol Van Aubel & Erik Poll) ได้เผยแพร่บทความ "Security of EV-Charging Protocols" อธิบายถึง "ประเภทของผู้โจมสถานีอัดประจุไฟฟ้า" โดยแบ่งประเภทของการโจมตีเป็น ผู้ที่โจมตีระบบกายภาพ (physical system attackers) ผู้โจมตีโดยอาศัยมัลแวร์ (โปรแกรมที่ถูกสร้างขึ้นมาเพื่อประสงค์ร้ายต่อเครื่องคอมพิวเตอร์และเพื่อมาล้วงข้อมูลสำคัญไปจากผู้ใช้งานคอมพิวเตอร์) (malicious systems) และ ผู้โจมตีระบบโครงข่าย (network attackers)
ผู้ที่โจมตีระบบกายภาพ มักจะดำเนินการโจมตีสถานีอัดประจุไฟฟ้าสถานีหนึ่งเป็นการเฉพาะ (single system) การโจมตีในลักษณะนี้เป็นรูปแบบการโจมตีที่เกิดขึ้นมาตั้งแต่ในอดีต การโจมตีอาจมีระดับที่รุนแรงขึ้นโดยอาศัยมัลแวร์ โดยผู้โจมตีไม่ได้จำกัดการโจมตีเฉพาะเพียงสถานีอัดประจุไฟฟ้าสถานีหนึ่ง หากแต่โจมตีระบบสารสนเทศที่ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าใช้งานเพื่อให้บริการ นอกจากนี้ ผู้โจมตียังสามารถโจมตีข้อมูลจราจรของระบบโครงข่าย
เมื่อการโจมตีสถานีอัดประจุไฟฟ้านั้นเป็นไปได้ทั้ง "โลกกายภาพ" กล่าวคือ เป็นการกระทำต่อตัวอุปกรณ์ที่มีการใช้งานในสถานีอัดประจุไฟฟ้า และ "โลกไซเบอร์" กล่าวคือ เป็นการกระทำที่มุ่งต่อตัวข้อมูลในระบบสารสนเทศหรือระบบโครงข่าย
คำถามคือหน้าที่ตามในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามกฎหมายจะสามารถป้องกันหรือตอบสนองต่อลักษณะการโจมตีได้หรือไม่
*มาตรการป้องกันทางกายภาพ (Physical Safeguards)
หากการโจมตีเกิดขึ้นในโลกทางกายภาพ การป้องกันที่จะสามารถตอบสนองต่อพฤติกรรมดังกล่าวย่อมต้องรวมถึงการดำเนินการเพื่อให้ตัวสถานีและอุปกรณ์ที่เกี่ยวข้องมีลักษณะทางกายภาพดีพอจะป้องกันความเสี่ยงจากการโจมตี
ข้อ 5 ของประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการป้องกันทางกายภาพ หน้าที่ดังกล่าวย่อมเป็นจุดเริ่มต้นที่ดีในการสร้างความมั่นคงปลอดภัยทางกายภาพเพื่อคุ้มครองข้อมูลส่วนบุคคล
อย่างไรก็ตาม กรณีย่อมเกิดประเด็นให้ต้องพิจารณาในทางปฏิบัติต่อไปว่า "มาตรการทางกายภาพสำหรับสถานีอัดประจุไฟฟ้า" นั้นจะลักษณะอย่างไร?
การระบุเพียงว่า "บริษัทจะจัดให้มีมาตรการป้องกันทางกายภาพ" โดยไม่มีรายละเอียดเพิ่มเติมย่อมก่อให้เกิดปัญหาว่าบุคคลที่เกี่ยวข้อง เช่น ผู้ให้บริการสถานีอัดประจุไฟฟ้าจะออกแบบและก่อสร้างสถานีอย่างไรให้มีลักษณะทางกายภาพที่ปลอดภัยเพียงพอจะเรียกได้ว่าเป็นการจัดให้มีมาตรการป้องกันทางกายภาพแล้ว
ในประเด็นนี้ "กฎหมาย" สามารถถูกพัฒนาให้แสดงรายละเอียดและหลักเกณฑ์ในการสร้างความปลอดภัยทางกายภาพของสถานีอัดประจุไฟฟ้า เช่น ข้อ 8(1) ของ The Electric Vehicles (Smart Charge Points) Regulations 2021 ของสหราชอาณาจักร กำหนดให้ "จุดที่มีการอัดประจุไฟฟ้านั้นจะต้องมีการออกแบบและผลิตขึ้นเพื่อให้ระดับการคุ้มครองต่อความเสียหายทางกายภาพที่เพียงพอ"
นอกจากนี้ ข้อ 8(2) ของกฎหมายยังได้ให้รายละเอียดต่อไปว่า จะต้องจัดให้มี "เขตแดนเพื่อป้องกันการงัดแงะ" (tamper-protection boundary) เพื่อป้องกันมิให้ชิ้นส่วนภายในของจุดการอัดประจุไฟฟ้าถูกโจมจีได้
National Cyber Security Centre ของสหราชอาณาจักรได้ระบุถึงลักษณะของ tamper-protection boundary เอาไว้ว่า เป็นเขตแดนทางกายภาพ (physical border) ที่กำหนดขึ้นเพื่อล้อมอุปกรณ์ที่มีศักยภาพในการตรวจสอบการเข้าถึงทางกายภาพผ่านเส้นรอบวงของเขต อันจะส่งผลให้ลดการรักษาความลับ (confidentiality) และหรือความครบถ้วนถูกต้อง (integrity) ของข้อมูลส่วนบุคคล
เขตแดนเพื่อป้องกันการงัดแงะ ซึ่งมีคุณสมบัติดังกล่าวสามารถถูกใช้เพื่อสร้างความปลอดภัยทางกายภาพแก่สถานีอัดประจุไฟฟ้าได้ โดยข้อ 9(a) ของ The Electric Vehicles (Smart Charge Points) Regulations 2021 กำหนดถึงหน้าที่ในการ "ตั้งค่า (configured)" ของสถานีอัดประจุโดยระบุว่าในกรณีที่มี "ความพยายาม (ไม่ว่าจะสำเร็จหรือไม่) ที่จะลุกล้ำเขตแดนเพื่อป้องกันการงัดแงะ ให้สถานีดำเนินการแจ้งต่อเจ้าของสถานีอัดประจุไฟฟ้า"
*มาตรการป้องกันด้านเทคนิค (technical safeguard)
การโจมตีอาจเป็นไปได้โดยการจารกรรมข้อมูลในทางไซเบอร์ ข้อ 5 ของThe Electric Vehicles (Smart Charge Points) Regulations 2021 กำหนดให้มีการรักษาความมั่นคงปลอดภัยของการสื่อสาร (secure communication) โดยกำหนดให้จุดที่มีการอัดประจุไฟฟ้านั้นมีการตั้งค่าให้การสื่อสาร (communications) ถูกเข้ารหัสลับ (encryption)
โดยมีตัวอย่างในทางปฏิบัติ เช่น นโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy policy) (มีผลใช้บังคับวันที่ 7 กันยายน ค.ศ. 2020) ของ CITA Group ซึ่งเป็นผู้ให้บริการสถานีอัดประจุไฟฟ้าในสหราชอาณาจักร ได้ระบุว่า "การเข้าถึงข้อมูลส่วนบุคคล (ของผู้ใช้บริการ) เพื่อการให้บริการของเรานั้นได้รับการคุ้มครองผ่านการกำหนดรหัสผ่าน (password-protected) และข้อมูลส่วนบุคคลอ่อนไหวจะได้รับการคุ้มครองโดยวิธีการเข้ารหัสลับ (encryption)"
"การเข้ารหัส" หมายถึง การแปลงข้อความหรือข้อมูลอิเล็กทรอนิกส์รูปหนึ่งที่อ่านได้ (plaintext) ให้อยู่ในอีกรูปแบบหนึ่ง ที่เปลี่ยนแปลงไปจากเดิมซึ่งอ่านไม่ได้ (ciphertext) การดำเนินการดังกล่าวทำเพื่อรักษาความลับของสาร ดังนั้นจะมีเรื่องกุญแจ (Key) เข้ามาเกี่ยวข้อง เนื่องจากการเข้ารหัสลับจะใช้กุญแจทั้งในกระบวนการเข้ารหัสลับ และกระบวนการถอดรหัสลับ
การกำหนดหน้าที่ในการตั้งค่าและรายละเอียดของสถานีอัดประจุไฟฟ้าให้สามารถรักษาความลับของข้อมูลส่วนบุคคลที่มีการสื่อสารกันเพื่อให้บริการสถานีอัดประจุไฟฟ้าได้ ใช้ระบบเข้ารหัสลับ (encryption) ย่อมส่วนช่วยให้ผู้ให้บริการสถานีอัดประจุไฟฟ้าสามารถการธำรงไว้ซึ่งความลับ (confidentiality) ซึ่งเป็นส่วนหนึ่งของ "ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล" ตามนิยามที่กำหนดในข้อ 3 ของประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
โดยสรุป การรู้ถึงรายละเอียดเกี่ยกับหน้าที่ของผู้ให้บริการสถานีอัดประจุไฟฟ้า เช่นการกำหนด "เขตแดนเพื่อป้องกันการงัดแงะ (tamper-protection boundary) และการคุ้มครองข้อมูลที่มีการสื่อสารกันผ่านการกำหนดรหัสผ่าน (password) และการเข้ารหัสลับ (encryption) จะช่วยทำให้การปฏิบัติตามกำหนด "มาตรการคุ้มครองความมั่นคงปลอดภัยที่เหมาะสมของผู้ให้บริการสถานีอัดประจุไฟฟ้า" เพื่อป้องกันภัยจากทั้งโลกทางกายภาพและโลกไซเอบร์นั้นปฏิบัติตามได้ง่ายขึ้นหรืออาจเรียกได้ว่า "จับต้องได้มากขึ้น"
กรณีมีข้อสังเกตว่า ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าซึ่งมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลอาจต้องอาศัยพนักงานหรือลูกจ้างในการ "ลงมือ" ปฏิบัติเพื่อให้เกิดความมั่นคงปลอดภัยขึ้นในทางปฏิบัติ ด้วยเหตุนี้ ผู้ให้บริการจึงมีหน้าที่ต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (เช่น มาตรการเรื่อง "เขตแดนเพื่อป้องกันการงัดแงะ (tamper-protection boundary) และการคุ้มครองข้อมูลที่มีการสื่อสารกันผ่านการกำหนดรหัสผ่าน (password) และการเข้ารหัสลับ (encryption))ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึง สร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว ปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด ทั้งนี้ ตามข้อ 4 ของประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
อ.ดร.ปิติ เอี่ยมจำรูญลาภ
ผู้อำนวยการหลักสูตร LL.M. (Business Law) หลักสูตรนานาชาติ
คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย