Thai Netizen Network

แฮ็กข้อมูลพลเมืองด้วยซอฟต์แวร์ เครื่องมือสอดแนมใหม่ของรัฐ [รายงาน APrIGF]

ซอฟต์แวร์สอดแนม ตัวช่วยใหม่ของรัฐ

“การสอดแนมแบบตั้งรับ (passive) ไม่เพียงพออีกต่อไปแล้ว คุณต้องเจาะระบบของคนที่ต้องการจะสอดแนม”

หนึ่งในข้อความโฆษณาขายซอฟต์แวร์สอดแนมที่ Irene Peotranto จาก Citizen Lab มหาวิทยาลัยโตรอนโต เปิดให้ผู้ร่วมเวิร์กช็อป “แนวโน้มการสอดแนมในเอเชียแปซิฟิก ความท้าทาย และโอกาส” (Surveillance Trends, Challenges, and Opportunities in Asia Pacific) ชมในเวทีอภิบาลอินเทอร์เน็ตประจำภูมิภาคเอเชียแปซิฟิก 2015 ที่มาเก๊า

Peotranto กล่าวว่า ตลาดขายเทคโนโลยีการสอดแนมเป็นอุตสาหกรรมที่เติบโตขึ้นเรื่อยๆ และส่วนใหญ่ ลูกค้าของอุตสาหกรรมนี้ก็คือรัฐบาล

บริษัท Hacking Team เจ้าของซอฟต์แวร์ข้างต้นโฆษณาเอาไว้ว่า ซอฟต์แวร์นี้เป็น “ทางออก” ที่จะช่วยสอดแนมเป้าหมายซึ่งใช้การเข้ารหัสข้อมูลหรือเป้าหมายที่อยู่นอกเขตอำนาจที่รัฐบาลจะสอดแนมได้ และรัฐบาลไทยเป็นหนึ่งในรัฐบาล 21 ประเทศที่ Citizen Lab สงสัยว่าอาจใช้ซอฟต์แวร์ดังกล่าว

อัปเดต: เอกสารที่หลุดออกมาจาก Hacking Team ยืนยันว่าหน่วยงานของประเทศไทยซื้อเครื่องมือดังกล่าวมาจริง

เธอยังเล่าถึงซอฟต์แวร์สอดแนมอื่น เช่น FinFisher ซึ่งมีอินเทอร์เฟซที่ใช้งานง่าย โดย Citizen Lab พบว่า มีรัฐบาล 36 ประเทศใช้ซอฟต์แวร์นี้ในการสอดแนม อาทิ เวียดนาม อินโดนีเซีย มาเลเซีย ญี่ปุ่น บรูไน ปากีสถาน ตุรกี บังคลาเทศ เอธิโอเปีย อินเดีย บาห์เรน เป็นต้น ซึ่งบางประเทศปกครองโดยระบอบเผด็จการ มีการพบด้วยว่า FinFisher เคยถูกนำมาใช้สอดแนมนักสิทธิมนุษยชนบาห์เรน กลุ่มการเมืองฝ่ายตรงข้ามในเอธิโอเปีย และถูกนำมาใช้ในมาเลเซียในช่วงการเลือกตั้งเมื่อปี 2013

(จากซ้ายไปขวา) อาทิตย์ สุริยะวงศ์กุล, Donny Budhi Utoyo, Irene Poetranto, Peng Hwa Ang

การสอดแนมในปากีสถาน

ด้าน Shahzad Ahmad ผู้อำนวยการองค์กร Bytes for All ประจำปากีสถานกล่าวว่า ไม่เพียงแต่รัฐบาลที่สอดแนมประชาชนชาวปากีสถานเท่านั้น แต่ปากีสถานยังถูกสอดแนมจากรัฐบาลประเทศอื่น เช่น สหราชอาณาจักรด้วย

เขากล่าวว่า เหตุการณ์วางระเบิดรถโรงเรียนเมื่อหลายปีก่อนทำให้เกิดการเปลี่ยนแปลงทางนโยบายอย่างมาก รัฐบาลได้ออก National Act Plan และกฎหมายใหม่มาหลายฉบับ ซึ่งส่งผลลบต่อสิทธิมนุษยชน อาทิ กฎหมายว่าด้วยอาชญากรรมอิเล็กทรอนิกส์

Ahmad เชื่อว่า ในนามของความมั่นคงของประเทศ ประชาชนจะถูกสอดแนมขนานใหญ่ (mass surveillance) มากขึ้น เห็นได้จากหลายประเทศในเอเชียออกกฎหมายเกี่ยวกับการสอดแนมและการกรองเนื้อหาออนไลน์ (online filtering) ออกมามากมาย

เขากล่าวทิ้งท้ายว่า ในประเทศพัฒนาแล้ว การสอดแนมจะมาพร้อมกับกลไกบางอย่างที่จะคุ้มครองประชาชน อาทิ การมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งประชาชนสามารถร้องเรียนได้ แต่ในประเทศแถบนี้ไม่กลไกเหล่านั้น

สถานการณ์การสอดแนมในไทย

อาทิตย์ สุริยะวงศ์กุล จากมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง ประเทศไทย กล่าวถึงการสอดแนมมวลชนว่า ในภูมิภาคนี้ มีแนวโน้มที่การสอดแนมจะได้รับการยอมรับให้เป็นปทัสถาน (norm) มากขึ้น โดยวาทกรรมที่สร้างความชอบธรรมให้กับการสอดแนมนอกจากจะเป็นไปเพื่อความมั่นคงของชาติแล้ว ยังมีการให้เหตุผลว่าเป็นไปเพื่อให้รัฐบาลสามารถพัฒนาบริการสาธารณะให้มีประสิทธิภาพยิ่งขึ้น อาทิ โครงการทำเมืองให้เป็นสมาร์ตซิตี้ (smart city) ของรัฐบาลสิงคโปร์ ที่จะส่งผลให้มีการเก็บข้อมูลประชาชนจำนวนมาก

อาทิตย์เล่าต่อถึงสถานการณ์การสอดแนมในประเทศไทยว่า ที่ผ่านมา รัฐบาลไทยสอดแนมประชาชนโดยอาศัยแพลตฟอร์มที่เป็นที่นิยมในประเทศอย่างไลน์และเฟซบุ๊ก

สำหรับไลน์ ตัวแทนรัฐบาลเคยออกมาให้ข่าวว่า รัฐสามารถตรวจสอบข้อความในไลน์ของประชาชนไทยได้กว่า 40 ล้านข้อความต่อวัน ไม่ว่าคำกล่าวอ้างที่ว่าจะเป็นจริงหรือไม่ มันก็แสดงให้เห็นแล้วว่า รัฐไทยพยายามสอดส่องแม้กระทั่งการสื่อสารส่วนตัวของประชาชน

ขณะที่เฟซบุ๊ก ก่อนหน้านี้ รัฐบาลได้ปิดกั้นเว็บไซต์ที่รัฐเห็นว่าไม่เหมาะสม โดยเมื่อผู้ใช้พิมพ์ยูอาร์แอลของเว็บที่ไม่เหมาะสมก็จะถูกนำไปสู่เพจที่ปรากฎข้อความว่า เว็บไซต์นี้ไม่สามารถเข้าถึงได้เนื่องจากมีเนื้อหาที่ไม่เหมาะสม ที่มุมบนขวามือมีปุ่มข้อความให้คลิกปิดหน้าต่าง อาทิตย์กล่าวว่า เมื่อผู้ใช้เห็นปุ่มข้อความ “Close” ดังกล่าว ผู้ใช้ก็ย่อมคาดหมายว่าหน้าต่างนั้นจะปิดลง ทว่าสิ่งที่เกิดขึ้นคือ เมื่อผู้ใช้คลิกปุ่มที่ว่า มันจะปรากฎกล่องข้อความของแอปพลิเคชั่นเฟซบุ๊กที่ถามว่า “คุณต้องการดำเนินการต่อหรือไม่” ซึ่งเมื่อผู้ใช้คลิก “ตกลง” (ฉันต้องการดำเนินการต่อ) แอปดังกล่าวก็จะเก็บข้อมูลชื่อผู้ใช้และอีเมลผู้ใช้คนนั้น

“วิธีการนี้ไม่ใช่วิธีการที่ซับซ้อน และถ้าจะพูดไปแล้ว แอปบนเฟซบุ๊กต่างก็เก็บข้อมูลของคุณอยู่แล้ว แต่สิ่งที่ไม่ปกติก็คือ แอปเหล่านี้พยายามทำให้คนสับสนและคิดว่านี่เป็นแอปทั่วไป นี่ยังทำให้เราเห็นถึงวิธีการของรัฐ ที่พยายามเก็บข้อมูลส่วนบุคคลของประชาชนที่ต้องการเข้าถึงเนื้อหาที่รัฐไม่อนุญาต”

ทั้งนี้ เฟซบุ๊กได้นำแอปดังกล่าวออกจากระบบไม่กี่วันหลังจากนั้น

อาทิตย์เล่าต่อว่า มีหลักฐานด้วยว่ารัฐบาลไทยได้ตั้งคณะทำงานขึ้นมาเพื่อทดสอบอุปกรณ์ถอดรหัสการสื่อสาร และรัฐบาลได้ขอความร่วมมือกับไอเอสพีเพื่อขอทดสอบว่าอุปกรณ์ที่ว่าจะทำงานเข้ากับระบบของไอเอสพีเหล่านั้นหรือไม่

“เราไม่ได้จะบอกว่ารัฐบาลไม่มีเหตุผลชอบธรรมเลยที่จะสอดแนม (targeted surveillance) บุคคลต้องสงสัย แต่สิ่งที่รัฐกำลังทำคือการสอดแนมมวลชน (mass surveillance)

“ซึ่งการสอดแนมมวลชนเป็นสิ่งที่ไม่ชอบธรรมอย่างแน่นอน” อาทิตย์กล่าว

การสอดแนมในอินโดนีเซีย

ด้าน Donny Budhi Utoyo ผู้ก่อตั้งและผู้อำนวยการองค์กร ICT Watch จากอินโดนีเซียกล่าวว่า อินโดนีเซียมีกฎหมายรองรับการสอดแนมที่ชอบธรรม (legitimate surveillance) แต่กฎหมายดังกล่าวก็เขียนด้วยถ้อยคำคลุมเครือ

Utoyo กล่าวด้วยว่า ที่ผ่านมา มีหลายครั้งที่พบว่ารัฐบาลอินโดนีเซียสอดแนมประชาชน ซึ่งเมื่อเกิดเหตุการณ์ดังกล่าวขึ้นก็กลายเป็นข่าวใหญ่ตามสื่อต่างๆ แต่ไม่นานเรื่องเหล่านั้นก็เงียบไป ยังเคยมีการพบว่ากระทรวงกลาโหมได้สั่งซื้อซอฟต์แวร์สอดแนม แต่ก็ไม่ได้รับคำอธิบายเพิ่มเติมจากตัวแทนของรัฐบาลแต่อย่างใด

Utoyo กล่าวว่า สิ่งที่นักกิจกรรมควรทำคือเน้นสร้างความตระหนักถึงความเป็นส่วนตัวในหมู่ประชาชน ซึ่งเขาเห็นว่าประชาชนอินโดนีเซียยังไม่ค่อยเข้าใจและเห็นความสำคัญของความเป็นส่วนตัวและการถูกสอดแนมนัก การสร้างความตระหนักนี้เป็นสิ่งที่ ICT Watch กำลังพยายามรณรงค์อยู่ผ่านทางโซเชียลมีเดีย

พ่อแม่มีเหตุผลอันชอบธรรมในการสอดแนมลูกไหม

ท้ายเวิร์กช็อปได้มีการพูดคุยกันว่า เมื่อพูดถึงการสอดแนม พ่อแม่มีเหตุผลอันชอบธรรมไหมในการสอดแนมลูกของตน เพราะเรามักพูดถึงการปกป้องเด็กจากภัยออนไลน์และมักสนับสนุนให้พ่อแม่เฝ้าดูพฤติกรรมทางออนไลน์ของลูก

อาทิตย์พูดถึงประเด็นนี้ว่า คำถามที่ตามมาจากคำถามนี้ก็คือ แล้วพ่อแม่มีสิทธิสอดแนมลูกคนอื่นด้วยหรือเปล่า เพราะการสื่อสารเป็นการสื่อสารสองทาง หากลูกของเราและลูกของคนอื่นติดต่อสื่อสารกันทางออนไลน์ เมื่อพ่อแม่สอดแนมการสื่อสารของลูก มันก็ไม่ใช่แค่เป้าหมาย (ลูกตัวเอง) เท่านั้นที่ถูกสอดแนม แต่เพื่อนของลูกก็กำลังถูกสอดแนมไปด้วย “แล้วคุณมีความชอบธรรมในการสอดแนมลูกคนอื่นด้วยหรือ”

นอกจากนี้ ผู้ร่วมเวิร์กช็อปอีกรายให้ความเห็นในประเด็นอื่นด้วยว่า หากเราต้องการให้คนเข้าใจและให้ความสำคัญกับการถูกสอดแนม เราต้องไม่พูดถึงการสอดแนมในแบบนามธรรม แต่สิ่งที่นักกิจกรรมควรทำก็คือ ทำให้คนเห็นว่าการสอดแนมเกี่ยวกับชีวิตส่วนตัวของตน แล้วคนจะเข้าใจความสำคัญของมัน

ข้อมูลเพิ่มเติม