รศ.ดร.อานนท์ ศักดิ์วรวิชญ์
สาขาวิชาวิทยาการข้อมูลเชิงสถิติ
สาขาวิชาพลเมืองวิทยาการข้อมูล
สาขาวิชาปัญญาและการวิเคราะห์ธุรกิจ
สาขาวิชาวิทยาการประกันภัยและการบริหารความเสี่ยง
คณะสถิติประยุกต์ สถาบันบัณฑิตพัฒนบริหารศาสตร์
มีความพยายามของด้อมส้มและมวลชนที่จะจุดม็อบ นับใหม่ให้ติด ประเด็นที่พยายามจุดนั้นราวกับละครแนวตั้งบนโทรศัพท์มือถือ คือมีหลักฐานเล็กน้อยที่อาจจะไม่จริงหรือเป็น fake news และบางส่วนขาดความสมเหตุสมผลอย่างยิ่ง ล่าสุดลุกลามมาเป็นประเด็นว่า ฐานข้อมูลผู้มีสิทธิเลือกตั้งของกกต. ขาดความปลอดภัยไซเบอร์ (Cybersecurity) เพราะข้อมูลมีการรั่วไหล มีจุดรั่วมากมาย
ดังที่นายสรยุทธ สุทัศนะจินดา ผู้สื่อข่าวและเจ้าของบริษัทไร่ส้ม จำกัด ที่เคยโกงค่าแอร์ไทม์ของ อสมท. ไปราว 138 ล้านจนต้องโทษจำคุกไปแล้วนั้นได้ออกมาโพสต์ Facebook ว่านายณัฐพงศ์ เรืองปัญญาวุฒิ หัวหน้าพรรคประชาชนได้กล่าวว่า การเลือกตั้งครั้งนี้มิได้เป็นความลับอีกแล้ว น่าจะเป็นการเลือกตั้งที่ขัดกับรัฐธรรมนูญและเป็นโมฆะ
อันที่จริง ฐานข้อมูลนี้ คือทะเบียนผู้มีสิทธิเลือกตั้ง ไม่ได้เป็นข้อมูลที่มีชั้นความลับอะไรขั้นสูงสุด อย่างที่พยายามเล่นใหญ่ไฟกระพริบกันเลย
หนึ่ง ก่อนการเลือกตั้ง กกต. จะขอข้อมูลล่าสุดจากสำนักทะเบียนราษฎร์ กรมการปกครอง กระทรวงมหาดไทยมา ตรงวังไชยาอันเคยเป็นวังที่ประทับของ พระเจ้าบรมวงศ์เธอ กรมหมื่นไชยาศรีสุริโยภาส ต้นราชสกุลสุริยง พระราชโอรสในพระบาทสมเด็จพระจุลจอมเกล้าเจ้าอยู่หัวและเจ้าจอมมารดาโหมด (บุนนาค)
สอง เมื่อได้ข้อมูลรายชื่อผู้มีสิทธิเลือกตั้งและที่อยู่ตลอดจนวันเดือนปีเกิด มา กกต. จะแจงนับจำนวนประชากรในแต่ละเขต เพื่อมาคำนวณจำนวนประชากรและแบ่งเขตเลือกตั้ง ในการเลือกตั้งครั้งนี้ เรามีจำนวนประชากรลดลงนิดหน่อย อันเนื่องมาจากสังคมสูงอายุ (Aging society) และภาวะประชากรถดถอย (Demographic recession) เนื่องจากประเทศไทยมีเด็กเกิดน้อยกว่าคนแก่เสียชีวิต แล้วกกต. จึงออกประกาศจำนวนผู้มีสิทธิเลือกตั้ง ทั่วราชอาณาจักร แต่ละเขตเลือกตั้ง
สาม งานหลังบ้านที่ กกต. ดำเนินการคือการแบ่งหน่วยเลือกตั้ง จัดทำสมุดทะเบียนรายชื่อผู้มีสิทธิ์ออกเสียงเลือกตั้ง กำหนดเขตเลือกตั้ง กำหนดหน่วยเลือกตั้ง กำหนดเล่มที่ และกำหนดเลขที่ของบัตรเลือกตั้ง อันนี้เป็นฐานข้อมูลที่เป็น electronic หรือ digitalized แล้วเพื่อเอาไปใช้งานต่อไปในวันเลือกตั้ง
สี่ กกต. จัดพิมพ์ สมุดทะเบียนรายชื่อผู้มีสิทธิ์ออกเสียงเลือกตั้ง ของแต่ละหน่วยเลือกตั้ง ให้ กปน. ไปติดแปะประกาศที่หน้าหน่วยเลือกตั้ง
ห้า กกต. นำฐานข้อมูลดังกล่าวในข้อสาม ไปใช้ในการพิมพ์บัตรเลือกตั้งที่มี barcode ระบุ รวมถึงต้นขั้วที่ต้องตรงกัน
หก กกต. นำฐานข้อมูลดังกล่าวในข้อสามขึ้น mobile application ด้วย ให้กปน. หรือประชาชนผู้มีสิทธิเลือกตั้งสามารถกรอกเลขประจำตัวประชาชน 13 หลัก เพื่อจะได้เอาไปใช้ตรวจสอบได้ว่าใครจะไปเลือกตั้งเขตไหน หน่วยไหน บัตรเลือกตั้งเล่มที่เท่าไหร่ เลขที่เท่าไหร่ จะได้ไปเลือกตั้งได้ถูกสถานที่
เนื่องจากฐานข้อมูลนี้ไม่ได้เป็นความลับอะไรมากมาย เมื่อเกิดดราม่าว่าสามารถ hack ได้ นายคณพล วงศ์พิชญวิศาล ผู้ก่อตั้งบริษัท พิชญโซลูชั่น จำกัด กรรมการสภาอุตสาหกรรมแห่งประเทศไทย และ รองประธานกลุ่มอุตสาหกรรมดิจิทัล สภาอุตสาหกรรมแห่งประเทศไทย ได้แสดงความคิดเห็นดังนี้ว่า ไม่ได้เป็นการเสียลับอะไรจนน่ากลัวอย่างที่ตีฟูกัน จนจะเป็นการขัดรัฐธรรมนูญและทำให้การเลือกตั้งเป็นโมฆะได้
ประเด็นสำคัญคือ ที่อ้างว่าเป็น White hacker นั้นแท้จริงแล้วเป็น hacker ที่กระทำผิดกฎหมาย พระราชบัญญัติคอมพิวเตอร์ พ.ศ. 2560 หรือไม่
ทั้งนี้พรบ. คอมพิวเตอร์ 2560 มีบทบัญญัติเกี่ยวกับ hacker เอาไว้ว่า
มาตรา 5: เข้าถึงระบบคอมพิวเตอร์ผู้อื่นโดยมิชอบ (จำคุกสูงสุด 6 เดือน, ปรับไม่เกิน 10,000 บาท)
มาตรา 7: เข้าถึงข้อมูลคอมพิวเตอร์ผู้อื่นที่มีมาตรการป้องกันโดยมิชอบ (จำคุกสูงสุด 2 ปี, ปรับไม่เกิน 40,000 บาท)
มาตรา 8: ลักลอบดักรับข้อมูลผู้อื่นระหว่างส่งในระบบ (จำคุกสูงสุด 3 ปี, ปรับไม่เกิน 60,000 บาท)
มาตรา 9: แก้ไข ดัดแปลง หรือทำลายข้อมูลคอมพิวเตอร์ผู้อื่นโดยมิชอบ (จำคุกสูงสุด 5 ปี, ปรับไม่เกิน 100,000 บาท)
มาตรา 10: รบกวน ขัดขวาง หรือทำให้ระบบคอมพิวเตอร์ผู้อื่นไม่สามารถทำงานตามปกติได้ (จำคุกสูงสุด 5 ปี, ปรับไม่เกิน 100,000 บาท)
มาตรา 12: หากการกระทำ (ม.9, ม.10) ก่อให้เกิดความเสียหายแก่ข้อมูล/ระบบที่เกี่ยวกับการบริการสาธารณะ โทษจะสูงขึ้นมาก (จำคุก 3-15 ปี)
การที่มีมวลชนม็อบนับใหม่สีส้มที่มีความรู้ทางเทคโนโลยีสารสนเทศ (IT) ไปทดลองเจาะระบบข้อมูลของ กกต. เอามาโพสต์ ว่ามีจุดอ่อนให้เจาะได้อย่างไรบ้าง
เรียกว่า เฮ้าเลี่ยน หรือ อวดเก่ง เอามาอวดฝีมือกันเลย แล้วอ้างว่าเป็น white hacker
ผมพิจารณายังไงก็ไม่ใช่พฤติกรรมของ white hacker แต่เป็น hacker
จะเป็น white hacker ได้นั้น
หนึ่ง เจ้าของระบบต้องอนุญาต และสั่งให้เจาะระบบดูเพื่อเอามาแก้ไขจุดรั่วหรือจุดอ่อนของระบบ
สอง white hacker จะไม่โพนทะนาในที่สาธารณะ ว่าระบบที่ตัวเองเจาะเข้าไปนั้นรั่วที่ตรงไหน เพราะมี สัญญาไม่เปิดเผยความลับ (Non-disclosure agreement: NDA) กันอยู่ เขาจะบอกคนพัฒนาระบบว่ามีจุดรั่วตรงไหนที่เจาะได้ ต้องปิดหรือแก้ไขปรับปรุงอย่างไร อย่างเงียบ ๆ
สิ่งที่ด้อมส้มไอที ทำ แล้วอ้างว่าเป็น white hacker นั้น ดูจากพฤติกรรมอย่างไรก็ไม่มีทางใช่
ปกติเวลาเราพัฒนาระบบกัน เราจะต้องทำ penetration test คือทดลองเจาะระบบตัวเองกันก่อน ถ้าเราเองเจาะระบบตัวเองได้ เราก็ต้องมีนั่งแก้ไล่ปิดจุดรั่วของระบบตัวเองให้หมดเสียก่อน
ถ้าระบบไหน security สำคัญมาก การจ้าง white hacker มาเจาะก็จำเป็น ต้องมี certificate ด้วยที่ต้องสอบให้ผ่าน และค่าจ้างเจาะทดสอบนี้แพง เพราะ
หนึ่ง ต้องเก่ง
สอง ต้องหุบปาก ไม่ปากเปราะ
สาม ต้องบอกด้วยว่าจะปิดจุดอ่อนเหล่านั้นอย่างไร ไม่ใช่เจาะได้แล้วบอกวิธีปิดไม่ได้
พฤติกรรมของด้อมส้มที่พยายามเจาะข้อมูล ของ กกต แล้วอ้างตัวว่าเป็น white hacker นั้น ดูอย่างไร ก็ไม่อาจจะวินิจฉัยได้ว่าเป็น white hacker เลยจากการที่ปากเปราะ เอามาพูดใน Facebook เท่ากับเชื้อเชิญให้ hacker คนอื่น เห็นจุดรั่วแล้วเข้าไปเจาะ อันจะเป็นอันตรายอย่างยิ่งยวด ต่อความมั่นคงของชาติ และความปลอดภัยของข้อมูลส่วนบุคคล ชี้โพรงให้โจร
ถ้าเป็น Software ที่พัฒนาไปแล้ว ขายไปแล้ว มีการค้นพบในภายหลังว่ามีจุดรั่ว ในบางครั้ง เจ้าของ software หรือเจ้าของระบบเองจะประกาศจุดรั่วนั้น เพื่อให้ผู้ใช้หรือลูกค้าผู้ดูแลระบบรีบปิดจุดรั่วเอง เรียกว่า vulnerability disclosure หรือการเปิดเผยจุดเปราะบาง ซึ่งต้องทำกันอย่างเป็นทางการ ประกาศโดยเจ้าของระบบ ในที่นี้ก็ต้องเป็น กกต. เอง ไม่ใช่ใครก็ได้มาอ้างว่าเป็น white hacker แล้วนำจุดอ่อนหรือจุดรั่วนั้นมาเปิดเผยต่อสาธารณะแทนกกต. ไม่อาจจะทำได้ เพราะไม่มีอำนาจหน้าที่
แต่ส่วนใหญ่ ในทางปฏิบัติมักจะไม่อยากทำกัน vulnerability disclosure นั้นอันตรายมาก เพราะชี้ทางให้โจร บางที user หรือ ลูกค้าก็ไม่ได้เก่งพอจะป้องกันตัวเองได้ จะเกิดความเสียหาย
สิ่งที่นิยมทำมากกว่าคือ พัฒนา version ใหม่ให้ update หรือ patch เพิ่มลงไป โดยเร็วที่สุด
การไป hack ระบบสำคัญของประเทศ เช่น ฐานข้อมูลทะเบียนผู้ใช้สิทธิเลือกตั้งของกกต นั้น ถือว่าเป็นเรื่องร้ายแรงมากครับ จะอ้างว่าเป็น white hacker อย่างไรก็ฟังไม่ขึ้น
มีความผิดตาม พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 อย่างแน่นอน และอาจจะมีความผิดตามพระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยคณะกรรมการการเลือกตั้ง พ.ศ. 2560 อีกด้วย
ดังที่ คุณอัจฉรินทร์ พัฒนพันธ์ชัย อดีตปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้แสดงความคิดเห็นในเรื่องนี้ว่า ผิดกฎหมายจริง กกต. ควรดำเนินคดีคนที่ทำ
สาขาวิชาวิทยาการข้อมูลเชิงสถิติ
สาขาวิชาพลเมืองวิทยาการข้อมูล
สาขาวิชาปัญญาและการวิเคราะห์ธุรกิจ
สาขาวิชาวิทยาการประกันภัยและการบริหารความเสี่ยง
คณะสถิติประยุกต์ สถาบันบัณฑิตพัฒนบริหารศาสตร์
มีความพยายามของด้อมส้มและมวลชนที่จะจุดม็อบ นับใหม่ให้ติด ประเด็นที่พยายามจุดนั้นราวกับละครแนวตั้งบนโทรศัพท์มือถือ คือมีหลักฐานเล็กน้อยที่อาจจะไม่จริงหรือเป็น fake news และบางส่วนขาดความสมเหตุสมผลอย่างยิ่ง ล่าสุดลุกลามมาเป็นประเด็นว่า ฐานข้อมูลผู้มีสิทธิเลือกตั้งของกกต. ขาดความปลอดภัยไซเบอร์ (Cybersecurity) เพราะข้อมูลมีการรั่วไหล มีจุดรั่วมากมาย
ดังที่นายสรยุทธ สุทัศนะจินดา ผู้สื่อข่าวและเจ้าของบริษัทไร่ส้ม จำกัด ที่เคยโกงค่าแอร์ไทม์ของ อสมท. ไปราว 138 ล้านจนต้องโทษจำคุกไปแล้วนั้นได้ออกมาโพสต์ Facebook ว่านายณัฐพงศ์ เรืองปัญญาวุฒิ หัวหน้าพรรคประชาชนได้กล่าวว่า การเลือกตั้งครั้งนี้มิได้เป็นความลับอีกแล้ว น่าจะเป็นการเลือกตั้งที่ขัดกับรัฐธรรมนูญและเป็นโมฆะ
อันที่จริง ฐานข้อมูลนี้ คือทะเบียนผู้มีสิทธิเลือกตั้ง ไม่ได้เป็นข้อมูลที่มีชั้นความลับอะไรขั้นสูงสุด อย่างที่พยายามเล่นใหญ่ไฟกระพริบกันเลย
หนึ่ง ก่อนการเลือกตั้ง กกต. จะขอข้อมูลล่าสุดจากสำนักทะเบียนราษฎร์ กรมการปกครอง กระทรวงมหาดไทยมา ตรงวังไชยาอันเคยเป็นวังที่ประทับของ พระเจ้าบรมวงศ์เธอ กรมหมื่นไชยาศรีสุริโยภาส ต้นราชสกุลสุริยง พระราชโอรสในพระบาทสมเด็จพระจุลจอมเกล้าเจ้าอยู่หัวและเจ้าจอมมารดาโหมด (บุนนาค)
สอง เมื่อได้ข้อมูลรายชื่อผู้มีสิทธิเลือกตั้งและที่อยู่ตลอดจนวันเดือนปีเกิด มา กกต. จะแจงนับจำนวนประชากรในแต่ละเขต เพื่อมาคำนวณจำนวนประชากรและแบ่งเขตเลือกตั้ง ในการเลือกตั้งครั้งนี้ เรามีจำนวนประชากรลดลงนิดหน่อย อันเนื่องมาจากสังคมสูงอายุ (Aging society) และภาวะประชากรถดถอย (Demographic recession) เนื่องจากประเทศไทยมีเด็กเกิดน้อยกว่าคนแก่เสียชีวิต แล้วกกต. จึงออกประกาศจำนวนผู้มีสิทธิเลือกตั้ง ทั่วราชอาณาจักร แต่ละเขตเลือกตั้ง
สาม งานหลังบ้านที่ กกต. ดำเนินการคือการแบ่งหน่วยเลือกตั้ง จัดทำสมุดทะเบียนรายชื่อผู้มีสิทธิ์ออกเสียงเลือกตั้ง กำหนดเขตเลือกตั้ง กำหนดหน่วยเลือกตั้ง กำหนดเล่มที่ และกำหนดเลขที่ของบัตรเลือกตั้ง อันนี้เป็นฐานข้อมูลที่เป็น electronic หรือ digitalized แล้วเพื่อเอาไปใช้งานต่อไปในวันเลือกตั้ง
สี่ กกต. จัดพิมพ์ สมุดทะเบียนรายชื่อผู้มีสิทธิ์ออกเสียงเลือกตั้ง ของแต่ละหน่วยเลือกตั้ง ให้ กปน. ไปติดแปะประกาศที่หน้าหน่วยเลือกตั้ง
ห้า กกต. นำฐานข้อมูลดังกล่าวในข้อสาม ไปใช้ในการพิมพ์บัตรเลือกตั้งที่มี barcode ระบุ รวมถึงต้นขั้วที่ต้องตรงกัน
หก กกต. นำฐานข้อมูลดังกล่าวในข้อสามขึ้น mobile application ด้วย ให้กปน. หรือประชาชนผู้มีสิทธิเลือกตั้งสามารถกรอกเลขประจำตัวประชาชน 13 หลัก เพื่อจะได้เอาไปใช้ตรวจสอบได้ว่าใครจะไปเลือกตั้งเขตไหน หน่วยไหน บัตรเลือกตั้งเล่มที่เท่าไหร่ เลขที่เท่าไหร่ จะได้ไปเลือกตั้งได้ถูกสถานที่
เนื่องจากฐานข้อมูลนี้ไม่ได้เป็นความลับอะไรมากมาย เมื่อเกิดดราม่าว่าสามารถ hack ได้ นายคณพล วงศ์พิชญวิศาล ผู้ก่อตั้งบริษัท พิชญโซลูชั่น จำกัด กรรมการสภาอุตสาหกรรมแห่งประเทศไทย และ รองประธานกลุ่มอุตสาหกรรมดิจิทัล สภาอุตสาหกรรมแห่งประเทศไทย ได้แสดงความคิดเห็นดังนี้ว่า ไม่ได้เป็นการเสียลับอะไรจนน่ากลัวอย่างที่ตีฟูกัน จนจะเป็นการขัดรัฐธรรมนูญและทำให้การเลือกตั้งเป็นโมฆะได้
ประเด็นสำคัญคือ ที่อ้างว่าเป็น White hacker นั้นแท้จริงแล้วเป็น hacker ที่กระทำผิดกฎหมาย พระราชบัญญัติคอมพิวเตอร์ พ.ศ. 2560 หรือไม่
ทั้งนี้พรบ. คอมพิวเตอร์ 2560 มีบทบัญญัติเกี่ยวกับ hacker เอาไว้ว่า
มาตรา 5: เข้าถึงระบบคอมพิวเตอร์ผู้อื่นโดยมิชอบ (จำคุกสูงสุด 6 เดือน, ปรับไม่เกิน 10,000 บาท)
มาตรา 7: เข้าถึงข้อมูลคอมพิวเตอร์ผู้อื่นที่มีมาตรการป้องกันโดยมิชอบ (จำคุกสูงสุด 2 ปี, ปรับไม่เกิน 40,000 บาท)
มาตรา 8: ลักลอบดักรับข้อมูลผู้อื่นระหว่างส่งในระบบ (จำคุกสูงสุด 3 ปี, ปรับไม่เกิน 60,000 บาท)
มาตรา 9: แก้ไข ดัดแปลง หรือทำลายข้อมูลคอมพิวเตอร์ผู้อื่นโดยมิชอบ (จำคุกสูงสุด 5 ปี, ปรับไม่เกิน 100,000 บาท)
มาตรา 10: รบกวน ขัดขวาง หรือทำให้ระบบคอมพิวเตอร์ผู้อื่นไม่สามารถทำงานตามปกติได้ (จำคุกสูงสุด 5 ปี, ปรับไม่เกิน 100,000 บาท)
มาตรา 12: หากการกระทำ (ม.9, ม.10) ก่อให้เกิดความเสียหายแก่ข้อมูล/ระบบที่เกี่ยวกับการบริการสาธารณะ โทษจะสูงขึ้นมาก (จำคุก 3-15 ปี)
การที่มีมวลชนม็อบนับใหม่สีส้มที่มีความรู้ทางเทคโนโลยีสารสนเทศ (IT) ไปทดลองเจาะระบบข้อมูลของ กกต. เอามาโพสต์ ว่ามีจุดอ่อนให้เจาะได้อย่างไรบ้าง
เรียกว่า เฮ้าเลี่ยน หรือ อวดเก่ง เอามาอวดฝีมือกันเลย แล้วอ้างว่าเป็น white hacker
ผมพิจารณายังไงก็ไม่ใช่พฤติกรรมของ white hacker แต่เป็น hacker
จะเป็น white hacker ได้นั้น
หนึ่ง เจ้าของระบบต้องอนุญาต และสั่งให้เจาะระบบดูเพื่อเอามาแก้ไขจุดรั่วหรือจุดอ่อนของระบบ
สอง white hacker จะไม่โพนทะนาในที่สาธารณะ ว่าระบบที่ตัวเองเจาะเข้าไปนั้นรั่วที่ตรงไหน เพราะมี สัญญาไม่เปิดเผยความลับ (Non-disclosure agreement: NDA) กันอยู่ เขาจะบอกคนพัฒนาระบบว่ามีจุดรั่วตรงไหนที่เจาะได้ ต้องปิดหรือแก้ไขปรับปรุงอย่างไร อย่างเงียบ ๆ
สิ่งที่ด้อมส้มไอที ทำ แล้วอ้างว่าเป็น white hacker นั้น ดูจากพฤติกรรมอย่างไรก็ไม่มีทางใช่
ปกติเวลาเราพัฒนาระบบกัน เราจะต้องทำ penetration test คือทดลองเจาะระบบตัวเองกันก่อน ถ้าเราเองเจาะระบบตัวเองได้ เราก็ต้องมีนั่งแก้ไล่ปิดจุดรั่วของระบบตัวเองให้หมดเสียก่อน
ถ้าระบบไหน security สำคัญมาก การจ้าง white hacker มาเจาะก็จำเป็น ต้องมี certificate ด้วยที่ต้องสอบให้ผ่าน และค่าจ้างเจาะทดสอบนี้แพง เพราะ
หนึ่ง ต้องเก่ง
สอง ต้องหุบปาก ไม่ปากเปราะ
สาม ต้องบอกด้วยว่าจะปิดจุดอ่อนเหล่านั้นอย่างไร ไม่ใช่เจาะได้แล้วบอกวิธีปิดไม่ได้
พฤติกรรมของด้อมส้มที่พยายามเจาะข้อมูล ของ กกต แล้วอ้างตัวว่าเป็น white hacker นั้น ดูอย่างไร ก็ไม่อาจจะวินิจฉัยได้ว่าเป็น white hacker เลยจากการที่ปากเปราะ เอามาพูดใน Facebook เท่ากับเชื้อเชิญให้ hacker คนอื่น เห็นจุดรั่วแล้วเข้าไปเจาะ อันจะเป็นอันตรายอย่างยิ่งยวด ต่อความมั่นคงของชาติ และความปลอดภัยของข้อมูลส่วนบุคคล ชี้โพรงให้โจร
ถ้าเป็น Software ที่พัฒนาไปแล้ว ขายไปแล้ว มีการค้นพบในภายหลังว่ามีจุดรั่ว ในบางครั้ง เจ้าของ software หรือเจ้าของระบบเองจะประกาศจุดรั่วนั้น เพื่อให้ผู้ใช้หรือลูกค้าผู้ดูแลระบบรีบปิดจุดรั่วเอง เรียกว่า vulnerability disclosure หรือการเปิดเผยจุดเปราะบาง ซึ่งต้องทำกันอย่างเป็นทางการ ประกาศโดยเจ้าของระบบ ในที่นี้ก็ต้องเป็น กกต. เอง ไม่ใช่ใครก็ได้มาอ้างว่าเป็น white hacker แล้วนำจุดอ่อนหรือจุดรั่วนั้นมาเปิดเผยต่อสาธารณะแทนกกต. ไม่อาจจะทำได้ เพราะไม่มีอำนาจหน้าที่
แต่ส่วนใหญ่ ในทางปฏิบัติมักจะไม่อยากทำกัน vulnerability disclosure นั้นอันตรายมาก เพราะชี้ทางให้โจร บางที user หรือ ลูกค้าก็ไม่ได้เก่งพอจะป้องกันตัวเองได้ จะเกิดความเสียหาย
สิ่งที่นิยมทำมากกว่าคือ พัฒนา version ใหม่ให้ update หรือ patch เพิ่มลงไป โดยเร็วที่สุด
การไป hack ระบบสำคัญของประเทศ เช่น ฐานข้อมูลทะเบียนผู้ใช้สิทธิเลือกตั้งของกกต นั้น ถือว่าเป็นเรื่องร้ายแรงมากครับ จะอ้างว่าเป็น white hacker อย่างไรก็ฟังไม่ขึ้น
มีความผิดตาม พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2560 อย่างแน่นอน และอาจจะมีความผิดตามพระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยคณะกรรมการการเลือกตั้ง พ.ศ. 2560 อีกด้วย
ดังที่ คุณอัจฉรินทร์ พัฒนพันธ์ชัย อดีตปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้แสดงความคิดเห็นในเรื่องนี้ว่า ผิดกฎหมายจริง กกต. ควรดำเนินคดีคนที่ทำ
