กูรูผู้เชี่ยวชาญการรักษาความปลอดภัยไซเบอร์องค์กร เผยข้อข้องใจที่หลายคนสงสัย โดยเฉพาะผู้เช่าคอนโดมิเนียมและอพาร์ตเมนต์ที่เจ้าของห้องหรือผู้จัดการติดตั้ง Wi-Fi ส่วนตัวให้ใช้ในห้อง พบตามหลักการเจ้าของห้องสามารถเห็นประวัติการเข้าเว็บไซต์ของผู้เช่าได้จริง แต่ไม่เห็นทุกอย่าง ชี้หากเจ้าของห้องเก็บหรือดูประวัติผู้เช่าโดยไม่แจ้งล่วงหน้า หรือเก็บเกินความจำเป็น อาจถูกฟ้องละเมิด PDPA ได้
ดร.ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศกลุ่มอินโดจีน พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวถึงกรณีที่ชาวเน็ตตั้งคำถามเรื่องความสามารถในการตรวจดูประวัติการใช้งานเว็บไซต์ของผู้เช่าห้องจากการติดตั้งเครือข่าย Wi-Fi ในห้องที่ให้เช่า ว่าสามารถทำได้จริงในบางส่วน โดยผู้ที่บริหารจัดการ Wi-Fi จะเห็นข้อมูลที่แตกต่างตามปัจจัยแวดล้อม
"คำตอบคือใช่ เจ้าของห้องอาจตรวจได้ว่าผู้เช่าเข้าเว็บไซต์อะไรบ้างในระดับหนึ่ง ถ้าเป็นผู้คุมเราท์เตอร์หรือระบบ Wi-Fi เอง แต่โดยทั่วไปจะ ไม่เห็นรายละเอียดภายในเว็บที่เป็น HTTPS"
ต้นเรื่องของคำถามนี้คือเพจเฟซบุ๊ก"งานบ้านที่รัก" ซึ่งมีสมาชิกเข้ามาตั้งคำถามว่าหากเจ้าของคอนโดฯติด Wi-Fi ให้ผู้เช่า จะสามารถตรวจสอบประวัติการใช้งานเว็บไซต์ได้จริงหรือไม่ คำถามนี้นำไปสู่การแสดงความเห็นหลากหลาย ทั้งผู้ที่ตอบว่าใช่และไม่ รวมถึงผู้ที่ตั้งคำถามกลับว่าเจ้าของห้องจะไปอยากรู้เรื่องของคนอื่นทำไม?
ในมุมของผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ระดับองค์กร ธัชพลยอมรับว่าทำได้จริง แต่ผู้ควบคุม Wi-Fi จะเห็นข้อมูลมากน้อยขึ้นอยู่กับระดับการจัดการระบบเครือข่าย
ธัชพลยกตัวอย่างว่าถ้าเจ้าของห้องเป็นคนดูแลเราท์เตอร์หรือแอปจัดการ Wi-Fi เอง ผู้นั้นมักจะดูได้ว่ามีอุปกรณ์อะไรเชื่อมต่ออยู่ ใช้งานช่วงเวลาไหน ใช้ข้อมูลเท่าใด และในเราท์เตอร์บางรุ่นมีฟังก์ชันเก็บประวัติการใช้งานเว็บไซต์ Website History หรือฟังก์ชันควบคุมกิจกรรมบุตรหลาน Parental Control รวมถึงฟังก์ชันกรองเว็บไซต์ล่อแหลมหรือ URL Filter ที่ทำให้เห็นได้ถึงระดับเข้าโดเมนอะไรบ้าง เช่นชื่อเว็บหลักที่เข้าไปเยี่ยมชมได้ ทั้ง google.com, youtube.com, facebook.com เป็นต้น
เราท์เตอร์คืออุปกรณ์ที่เป็นเหมือนหัวใจของเครือข่ายอินเทอร์เน็ตในบ้าน โดยทั้งรับสัญญาณอินเทอร์เน็ตจากสายไฟเบอร์แล้วกระจายสัญญาณให้อุปกรณ์ต่าง ๆ ทั้งมือถือ, คอมพิวเตอร์ และ TV เชื่อมต่อได้ ขณะเดียวกันยังทำหน้าที่กำหนดเส้นทางข้อมูล และแยกเครือข่ายให้แต่ละเครื่อง โดยทั่วไปเจ้าของคอนโดมิเนียมหรือบ้าน จะเป็นผู้ตั้งค่าเราท์เตอร์เอง
อย่างไรก็ตาม ขีดจำกัดสำคัญอยู่ที่การเข้ารหัสหรือ Encryption โดยเว็บไซต์ส่วนใหญ่ในปัจจุบันใช้ HTTPS ซึ่งเข้ารหัสข้อมูลระหว่างอุปกรณ์ของผู้ใช้กับเซิร์ฟเวอร์ ทำให้เจ้าของเครือข่ายมองไม่เห็นเนื้อหาภายในหน้าเว็บ, รหัสผ่าน, ข้อความแชท หรือข้อมูลส่วนตัวที่กรอกลงไป ซึ่งสิ่งที่ยังมองเห็นได้อยู่บ้างแม้จะเป็น HTTPS คือร่องรอยอย่าง DNS Log หรือบันทึกการขอชื่อโดเมน และข้อมูลเมตะดาต้าของการเชื่อมต่อ เว้นแต่ผู้เช่าจะเปิดใช้งาน DNS over HTTPS (DoH) หรือ DNS over TLS (DoT) มาตรฐานใหม่ที่ช่วยเข้ารหัสคำขอ DNS ทำให้การตรวจสอบระดับโดเมนทำได้ยากขึ้นมาก
"เขาอาจยังพอมองเห็นได้ว่าเครื่องคุณ ติดต่อกับเว็บ/โดเมนไหน ผ่าน DNS log หรือ metadata บางส่วน โดยเฉพาะถ้าเครือข่ายนั้นไม่ได้ใช้ DNS แบบเข้ารหัส; DNS over HTTPS (DoH) ถูกออกแบบมาเพื่อเข้ารหัสคำขอ DNS เพื่อลดการมองเห็นตรงนี้"
สำหรับโหมดไม่ระบุตัวตน Incognito หรือ Private Browsing นั้น ธัชพลเผยว่าไม่ได้ช่วยลดความสามารถในการตรวจสอบข้อมูลของผู้ดูแลเครือข่าย เนื่องจากโหมดนี้จะทำงานเพียงแค่ไม่บันทึกประวัติในเครื่องของผู้ใช้เท่านั้น
"อีกจุดที่คนมักเข้าใจผิดคือ โหมดไม่ระบุตัวตน / Incognito ไม่ได้ซ่อนกิจกรรมจากคนที่ดูแลเครือข่าย มันแค่ช่วยไม่ให้ประวัติถูกเก็บไว้บนอุปกรณ์ของคุณเป็นหลัก"
ในส่วนมุมมองด้านกฎหมาย ธัชพลย้ำว่าหากเจ้าของห้องเก็บหรือตรวจสอบประวัติการใช้งานของผู้เช่าโดยไม่แจ้งให้ทราบล่วงหน้า เก็บข้อมูลเกินความจำเป็น หรือนำข้อมูลไปเปิดเผยหรือใช้เพื่อวัตถุประสงค์อื่น อาจเข้าข่ายละเมิด PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ยิ่งหากมีการตั้งค่าเราเตอร์แบบ Man-in-the-Middle เพื่อดักรับข้อมูล ซึ่งบางคนทำเพื่อให้เห็นเนื้อหา HTTPS จะเข้าข่ายผิดพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
"ถ้าเจ้าของห้องเก็บหรือดูประวัติการใช้งานของผู้เช่าโดยไม่แจ้งให้ทราบ เก็บเกินจำเป็น หรือเอาไปเปิดเผยต่อคนอื่น มีความเสี่ยงละเมิดสิทธิและเข้าข่ายผิด PDPA ได้ และ ถ้าถึงขั้นดักรับข้อมูลระหว่างส่ง ความเสี่ยงทางกฎหมายจะหนักขึ้นอีกเพราะอาจแตะ พ.ร.บ.คอมพิวเตอร์ด้วย"
ที่สุดแล้ว ผู้เช่าที่กังวลเรื่องความเป็นส่วนตัว อาจเลือกใช้ VPN (Virtual Private Network) ที่เชื่อถือได้ ซึ่งจะเข้ารหัสข้อมูลทั้งหมด ร่วมกับการเปิด DoH จะช่วยลดการมองเห็นจากผู้ดูแลเครือข่ายได้อย่างมีนัยสำคัญ
วิธีเปิด DoH หรือ DNS over HTTPS บนคอมพิวเตอร์คือการตั้งค่าในเบราว์เซอร์ สำหรับบน Google Chrome ผู้ใช้สามารถเปิด Chrome แล้วพิมพ์ในแถบแอดเดรสว่า chrome://settings/security` เมื่อกด Enter ให้เลือกที่ Advanced จากนั้นคลิกที่ Use secure DNS แล้วจึงเลือกที่ With เพื่อกำหนดผู้ให้บริการ DNS ที่ต้องการ เช่น Cloudflare, Google, Quad9 หรือเลือก Custom เพื่อตั้งค่าเอง
ซึ่งเมื่อตั้งค่าแล้ว Chrome จะใช้ DoH ทันที
เช่นเดียวกับการใช้งานบน Microsoft Edge ที่มีการตั้งค่าเหมือนกับ Chrome เกือบทุกขั้นตอน เริ่มที่การเปิด Edge แล้วพิมพ์: `edge://settings/privacy`จากนั้นเลื่อนลงไปที่ Security เลือกเปิด Use secure DNS ซึ่งสามารถเลือก Cloudflare หรือ Google ก็ได้
หากเป็น Mozilla Firefox ผู้ใช้สามารถเปิด Firefox แล้วพิมพ์ว่า about:preferences#privacy เมื่อเลื่อนลงมาเจอส่วน DNS over HTTPS ให้เลือก Enabled จากนั้นเลือกผู้ให้บริการตามที่ต้องการ ซึ่งถ้าเปิดแล้วยังไม่ทำงาน ให้รีสตาร์ทเบราว์เซอร์หรือคอมพิวเตอร์อีกครั้ง
สำหรับเจ้าของห้อง การตรวจสอบพื้นฐานเพื่อป้องกันการใช้งานผิดวัตถุประสงค์ถือเป็นเรื่องปกติ แต่ควรแจ้งผู้เช่าล่วงหน้าและไม่เก็บข้อมูลเกินจำเป็น เพื่อหลีกเลี่ยงปัญหาทางกฎหมายในอนาคต.
