รัฐบาลทรัมป์กำลังเดินหน้าแผนบังคับติดตั้งแอปพลิเคชันทางการของทำเนียบขาวลงในสมาร์ตโฟนราชการของเจ้าหน้าที่รัฐบาลกลางสหรัฐฯ ทุกเครื่อง ตามรายงานของ Government Executive (Gov Exec) ที่อ้างอิงเอกสารภายในฝ่ายบริหาร ขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนถึงความเสี่ยงด้านความเป็นส่วนตัวและช่องโหว่ที่อาจเกิดขึ้นในระบบเครือข่ายของรัฐ
แผนบังคับติดตั้งแอปทำเนียบขาว: ที่มาและขอบเขต
ตามรายงานของ Gov Exec ที่อ้างอิงอีเมลภายในฝ่ายบริหาร อย่างน้อยหนึ่งหน่วยงานรัฐบาลกลางมีกำหนดเริ่มติดตั้งแอปทำเนียบขาวในอุปกรณ์ราชการภายในสัปดาห์ถัดไป โดยครอบคลุม "โทรศัพท์มือถือทุกเครื่องที่รัฐบาลจัดหาให้ในฝ่ายบริหาร" (all government-furnished mobile phones in the executive branch)
หน่วยงานที่ได้รับการยืนยันว่าเป็นรายแรกที่แจ้งพนักงานคือ สำนักงานการบินแห่งชาติ (FAA) ซึ่งออกหนังสือแจ้งเจ้าหน้าที่เมื่อวันที่ 22 พฤษภาคม ระบุว่าฝ่าย IT จะดำเนินการติดตั้งอัตโนมัติในอุปกรณ์ iPhone และ iPad ทุกเครื่องของ FAA ทั้งนี้ Greg Barbaccia หัวหน้าเจ้าหน้าที่สารสนเทศ (CIO) ของรัฐบาลกลางได้สั่งการให้ผู้นำด้านเทคโนโลยีของแต่ละกระทรวงดำเนินการติดตั้งในวงกว้าง
โฆษกทำเนียบขาว Olivia Wales ชี้แจงต่อ Gov Exec ว่า "อุปกรณ์ของรัฐบาลโดยทั่วไปมักมีแอปพลิเคชันที่ติดตั้งมาล่วงหน้าซึ่งเป็นประโยชน์ต่อการทำงานประจำวันของเจ้าหน้าที่" ขณะที่ Gov Exec รายงานว่าแอปที่จะติดตั้งในอุปกรณ์ราชการเป็นเวอร์ชันเดียวกับที่เปิดให้ประชาชนทั่วไปดาวน์โหลด ไม่มีฟีเจอร์พิเศษเพิ่มเติม
ฟีเจอร์ในแอปและประเด็นที่ถูกตั้งคำถาม
แอปทำเนียบขาวเปิดตัวเมื่อเดือนมีนาคม โดยนำเสนอตัวเองว่าเป็นช่องทางรับข้อมูลข่าวสารโดยตรงจากรัฐบาล "โดยไม่ผ่านตัวกลาง" ฟีเจอร์หลักที่มีในแอป ได้แก่
| ฟีเจอร์ | รายละเอียด |
|---|---|
| ข่าวประชาสัมพันธ์และสื่อทางการ | เผยแพร่ประกาศจากทำเนียบขาว |
| บทความและสถิติที่คัดเลือก | ข่าวที่รัฐบาลเลือกนำเสนอ |
| ปุ่ม "Text President Trump" | นำผู้ใช้ไปสู่ขั้นตอนสมัครรับข้อความทางการตลาด |
ประเด็นที่ถูกวิพากษ์วิจารณ์มากที่สุดคือปุ่ม "Text President Trump" ซึ่งแท้จริงแล้วเป็นการนำผู้ใช้ไปลงทะเบียนรับข้อความทางการตลาดของพรรค ไม่ใช่การสื่อสารโดยตรงกับประธานาธิบดี การมีช่องทางดังกล่าวในอุปกรณ์ราชการจึงถูกมองว่าขัดต่อหลักความเป็นกลางทางการเมืองของเจ้าหน้าที่รัฐ
ผลการวิเคราะห์โค้ดแอปโดยนักวิจัยด้านความปลอดภัย
ก่อนที่แผนการติดตั้งในวงกว้างจะถูกเปิดเผย นักวิจัยด้านความปลอดภัยได้ทำการวิเคราะห์โค้ดภายในแอปและพบปัญหาเชิงโครงสร้างที่น่ากังวลหลายประการ
| ประเด็นที่ตรวจพบ | รายละเอียด |
|---|---|
| สัดส่วนการส่งข้อมูล | ส่งข้อมูลไปยัง whitehouse.gov เพียง 23% ส่วนที่เหลืออีก 77% ส่งไปยังบุคคลที่สาม |
| ข้อมูลที่ถูกส่ง | IP address, timezone, รุ่นอุปกรณ์, เวอร์ชัน OS, จำนวนครั้งที่ใช้งาน — ส่งไปยัง OneSignal |
| การควบคุม GPS | เซิร์ฟเวอร์ของ OneSignal สามารถเปิดใช้งานการติดตาม GPS จากระยะไกลได้โดยไม่ต้องอัปเดตแอป |
| ความปลอดภัยการสื่อสาร | ไม่มีการใช้ certificate pinning ทำให้การสื่อสาร API บน Wi-Fi สาธารณะถูกดักฟังได้ |
| วิดเจ็ตต่างประเทศ | มีการใช้วิดเจ็ตจาก Elfsight ซึ่งเป็นบริษัทรัสเซีย จำนวน 6 รายการ |
ที่น่าจับตาเป็นพิเศษคือกรณีที่พบว่าข้อมูลส่วนตัวของเจ้าหน้าที่ทำเนียบขาวบางส่วนรั่วไหลผ่านวิดเจ็ตของ Elfsight ทั้งนี้ หลังจากเปิดตัว ทีมพัฒนาได้ออกอัปเดตลบสิทธิ์การเข้าถึงตำแหน่งที่ตั้งที่ไม่ได้ใช้งานออกไปแล้ว แต่โครงสร้างการส่งข้อมูลไปยังบุคคลที่สามและความสามารถในการเปิด GPS จากระยะไกลผ่าน OneSignal ยังคงเป็นประเด็นที่ยังไม่ได้รับการแก้ไข
เสียงคัดค้านจากอดีตผู้บริหารไอทีภาครัฐ
การสั่งการของ CIO รัฐบาลกลางก่อให้เกิดการวิพากษ์วิจารณ์อย่างรุนแรงจากผู้เชี่ยวชาญในวงการ
David Nesting อดีตรองหัวหน้า CIO ของ OPM (สำนักงานบริหารงานบุคคล) ระบุว่านี่คือการบังคับให้เจ้าหน้าที่รัฐทุกคน "รับชมโฆษณาชวนเชื่อชุดเดียวกัน" ขณะที่ Sonny Hashmi อดีตผู้บริหารไอทีภาครัฐเตือนว่า "แอปที่ติดตั้งในอุปกรณ์ราชการอาจกลายเป็นช่องทางลับ (backdoor) เข้าสู่เครือข่ายของรัฐบาล"
ประเด็นทางกฎหมายที่ถูกหยิบยกขึ้นมาคือ Hatch Act ซึ่งบัญญัติขึ้นตั้งแต่ปี 1939 กำหนดให้เจ้าหน้าที่รัฐบาลกลางต้องรักษาความเป็นกลางทางการเมือง การที่อุปกรณ์ราชการมีแอปที่มีเนื้อหาทางการเมืองและช่องทางทางการตลาดของพรรคติดตั้งอยู่ จึงถูกตั้งคำถามถึงความสอดคล้องกับกฎหมายดังกล่าว
นัยสำคัญในมุมมองระดับโลกและผู้ใช้ในไทย
แม้เหตุการณ์นี้จะเกิดขึ้นในสหรัฐอเมริกา แต่มีนัยสำคัญในระดับที่กว้างกว่านั้น กรณีนี้เป็นตัวอย่างที่ชัดเจนของความเสี่ยงที่เกิดขึ้นเมื่อรัฐบาลบังคับติดตั้งซอฟต์แวร์ในอุปกรณ์ราชการโดยไม่ผ่านกระบวนการตรวจสอบด้านความปลอดภัยอย่างโปร่งใส โดยเฉพาะเมื่อแอปดังกล่าวส่งข้อมูลผู้ใช้ถึง 77% ไปยังเซิร์ฟเวอร์บุคคลที่สาม และมีความสามารถในการเปิดใช้งาน GPS จากระยะไกล
สำหรับผู้ใช้ทั่วไปและองค์กรในไทย กรณีนี้เป็นบทเรียนที่ควรนำมาพิจารณาในการประเมินความเสี่ยงของแอปพลิเคชันที่ติดตั้งในอุปกรณ์ขององค์กร ไม่ว่าจะเป็นภาครัฐหรือเอกชน โดยเฉพาะการตรวจสอบว่าข้อมูลถูกส่งไปที่ใดบ้าง และมีกลไกป้องกันการดักฟังบนเครือข่ายสาธารณะหรือไม่ ข้อมูลเพิ่มเติมเกี่ยวกับพัฒนาการของกรณีนี้คาดว่าจะมีรายงานออกมาอย่างต่อเนื่อง
แหล่งที่มา
- Engadget — The White House is reportedly forcing its official app onto all government employee phones
- Government Executive — The White House is ordering agencies to place its new app on all employees' government phones
- IBTimes UK — 'Greatest President Ever' Text: Trump Forces Unsafe App on FED Agencies, Raising Cyber Concerns
