ในขณะที่ประเทศไทยของเรามีแว่วๆ ว่าจะบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ใช่ไหม แต่อีกฟากนึงของโลกเตรียมรับมือเรื่องการแจ้งเตือนข้อมูลรั่วไหลแล้ว
คณะกรรมาธิการคุ้มครองข้อมูลส่วนบุคคลของยุโรป (European Data Protection Board หรือ EDPB) เขาเริ่มขยับไปอยู่ในส่วนของการรับมือหลังข้อมูลรั่วไหลแล้ว ซึ่งนี่เป็นกระบวนการหลังๆ แล้วเมื่อเราทำ PDPA (ถ้ายังไม่เข้าใจว่ากระบวนการ PDPA เป็นยังไง ลองเข้าไปอ่านบทความในนี้ก่อนได้ มีวิธีการดำเนินงานเดียวกันกับ GDPR เลย https://tregdotblog.wpcomstaging.com/blog/pdpa/how-to-comply-pdpa/)
คงไม่มีใครต้องการให้เกิดข้อมูลรั่วไหลแน่นอน แต่ถ้าเกิดขึ้นแล้วจะรับมือกับมันอย่างไร ลองดูว่าเขาให้ความสำคัญกับข้อมูลรั่วไหลยังไง ด้วยวิธีใด
ข้อมูลรั่วไหลและการแจ้งเตือน
เรียกได้ว่านี่เป็นฝันร้ายสำหรับ DPO และทุกบริษัทถ้าเกิดข้อมูลมันรั่วไหล คราวนี้ต้องรับมือยังไงให้มันเป็นมืออาชีพและให้คนที่ข้อมูลส่วนบุคคลของตัวเองรั่วไหลเนี่ยเขาเข้าใจสิ่งที่เกิดขึ้น
ทางคณะกรรมาธิการ EDPB ที่เขาเป็นตัวกลางในการดำเนินทุกเรื่องด้าน GDPR เนี่ยเขาก็เริ่มขอความคิดเห็นจากหลายๆ อุตสาหกรรมมาหาทางแก้ที่ Common และเข้ากับกฎหมายนี้ว่า รับมือยังไงดีหลังข้อมูลส่วนบุคคลรั่วไหลแล้วต้องแจ้งเตือนบุคคลนั้นๆ
ถ้าข้อมูลรั่วไปแล้ว ขั้นไหนที่ต้องเริ่มแจ้งเตือนถ้ามีเหตุการณ์ผิดปกติเกิดขึ้น แล้วต้องแจ้งเตือนใครบ้าง
แต่ถ้าพูดเป็นภาษาบ้านๆ EDPB เขายอมรับว่าเรื่องนี้มันใหม่มากๆ ไม่มีข้อมูลเพียงพอ เลยมาให้อุตสาหกรรมใน EU รวมถึงประชาชนของเขาช่วยให้ความเห็น
เริ่มต้นหารือ
ฝั่งคณะกรรมาธิการก็ได้เอา Case Study มาสร้างเป็นตัวอย่าง 18 ตัวอย่างมาจัดทำ PDF ไว้เป็นแนวทางตัวอย่างเกี่ยวกับการแจ้งเตือนการละเมิดข้อมูล ในเอกสารรวมทุกอย่าง ตั้งแต่การโจมตีด้วย Ransomware หรือวิธีที่ควรทำหากมีอีเมลแปลกๆ ส่งมาหาเรา
โดยเริ่มการหารือด้วยการยก Case Study ต่างๆ ตัวอย่างที่ถูกยกมาก็เช่น บริษัททางการเกษตรที่โดน Ransomware ไม่เคย Backup ข้อมูล ทางแก้ปัญหาคือ ให้สำรองข้อมูลไว้แล้วเข้ารหัส (Encryption) ตัวข้อมูลด้วยเพื่อไม่ให้บุคคลภายนอกขโมยข้อมูลไปใช้ได้ง่ายๆ พร้อมแจ้งเตือนข้อมูลรั่วไหลกับเจ้าหน้าที่และ เจ้าของข้อมูลที่โดนเปิดเผย หากไม่ทราบว่า เจ้าหน้าที่ที่ดูแลและเจ้าของข้อมูลคือใคร อ่านเพิ่มเติมได้ที่ https://tregdotblog.wpcomstaging.com/blog/pdpa/check-who-have-to-comply-pdpa/
และในการหารือก็ยังมีอีกหลากหลาย Case Study ด้วยกันที่ถูกยกมาแลกเปลี่ยนความคิดเห็นเพื่อให้เข้าใจหน้าที่ของผู้ดูแลข้อมูลว่าควรมีท่าทีอย่างไรกับสิ่งที่เกิดขึ้น ตั้งแต่การดูแลไม่ให้เหตุการณ์ข้อมูลรั่วไหลเกิดขึ้น การประเมินความเสี่ยงของสถานการณ์
หัวข้อข้อมูลรั่วไหลเกี่ยวกับองค์กรที่น่าสนใจ
- พนักงานที่ Work From Home แล้วทำเกี่ยวข้องกับข้อมูลอ่อนไหวผ่านระบบที่ไม่ผ่านการจัดการด้านความปลอดภัย เป็นช่องโหว่ให้ให้ถูกแฮก ต้องปฏิบัติตามหลักการที่ EDPB กำหนดไว้
- ถ้ามีสถานการณ์ข้อมูลรั่วไหลคล้ายๆ กันเกิดขึ้น จะดีมากถ้ามีการกำหนดแนวทางไปเลย ทางองค์กรจะได้ไม่ต้องเข้าไปเสียเวลาในส่วนนั้น
- มีหัวข้อที่ Common กันเช่น Cloud ที่ใช้งาน
- ถ้าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นและขอความช่วยเหลือจากทีมงาน Cloud มักจะได้คำตอบให้ช่วยเหลืออย่าง “ให้ทางบริษัทหยุดการใช้งาน Cloud ในระบบเปิด” แค่นั้น
- เมื่อข้อมูลรั่วไหล คนมักลืมว่าสิ่งที่เกิดขึ้นมาจากการรั่วไหลของ Cloud ที่เราใช้งานกันอยู่ ทางผู้ให้บริการ Cloud ควรดำเนินการอย่างไร
เห็นแบบนี้แล้วก็อุ่นใจ (ถ้าเราเป็นคนยุโรป) แต่ในฐานะคนไทยเราต้องดูแลตัวเองกันไปก่อนเพราะกฎหมายยังไม่เริ่มบังคับ น่าสนใจดีว่าถ้าเริ่มบังคับใช้ขึ้นมาจะเป็นยังไงนะ?