]

t-reg PDPA Platform

ข้อมูลส่วนบุคคล ลูกเสือ

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

เนื้อหาในบทความ

“ลูกเสือ” ดูจะไม่เกี่ยวกับแวดวง IT หรือ Cyber Security เท่าไหร่นัก แต่เมื่อเราอ่านข่าวนี้แล้วก็ตกใจ รู้สึกได้ว่า Cyber Security มันใกล้ตัวกว่าที่พวกเราคิดซะแล้ว

เมื่อวันที่ 28 กันยายน 2563 ที่ผ่านมานี้เองมีรายงานว่าเกิดเหตุข้อมูลรั่วไหลที่ค่ายลูกเสือวิกตอเรียในออสเตรเลีย มีรายงานว่าข้อมูลสำคัญของคนกว่า 900 คน อาจถูกคุกคามได้

‍แต่ถ้าถามว่าเกิดจากอะไร เขาต้องการอะไรจากสิ่งนี้? เราขอเล่าไปทีละ Step ดีกว่า

ที่ค่ายลูกเสือวิกตอเรียแห่งนี้มีเยาวชนกว่า 17,000 คนที่เข้าค่ายไปเพื่อดำรงชีวิตแบบลูกเสือสามัญ โดยมีสตาฟที่เป็นผู้ใหญ่กว่า 5,000 คน

เหตุการณ์ทางไซเบอร์เกิดขึ้นในช่วงปลายเดือนกรกฎาคมและสิงหาคม 2563 เมื่อจู่ ๆ บัญชีอีเมลของพนักงานแต่ละคนก็ถูกเข้าถึงโดยไม่ได้รับอนุญาต นี่ถือว่าเป็นการโดน Phishing Mail ที่ประสบความสำเร็จเลยทีเดียว

อะไรรั่วไปบ้าง

ข้อมูลที่ละเอียดอ่อน อย่างพวก ชื่อ, หมายเลขโทรศัพท์, ข้อมูลบัตรเครดิต, เอกสารประจำตัว, ข้อมูลหนังสือเดินทาง, รายละเอียดใบขับขี่ และรายละเอียดธนาคาร โดนขโมยไปหมด ที่น่ากลัวคือไม่สามารถระบุได้ว่าข้อมูลที่โดนขโมยนี่เป็นของสตาฟผู้ใหญ่ หรือผู้ปกครองของเด็กที่ลงทะเบียนในองค์กรซะด้วยนี่สิ

แล้วทำไงต่อ?

เมื่อข้อมูลรั่วไหลไปแล้วก็ต้องเข้าสู่กระบวนการแจ้งเตือนว่าข้อมูลถูกรั่วไหลออกไป (Data Breach Notification) ทางฝั่งของค่ายลูกเสือวิกตอเรียกล่าวว่า ทางองค์กรได้แจ้งให้เหยื่อทราบถึงการละเมิด และก็ได้ติดต่อหน่วยงานของรัฐที่เกี่ยวข้อง รวมถึงสำนักงานคณะกรรมการข้อมูลออสเตรเลีย (OAIC) และกรมทรัพยากรบุคคล ตามกระบวนการที่ควรเป็นไป

หลังจากนั้นก็มีแถลงการณ์ออกมา ซึ่งระบุไว้ว่า การตรวจสอบทางนิติวิทยาศาสตร์และการตรวจสอบด้านความปลอดภัยเป็นไปอย่างครอบคลุมครบถ้วน และตอนนี้ก็ดำเนินการตรงส่วนนี้เสร็จสิ้นแล้ว

จากการสืบสวนพบว่ามีความสอดคล้องกันของจำนวนบุคคลหลายคนที่เกี่ยวข้องกับค่ายลูกเสือวิกตอเรียอาจถูกเข้ามาได้โดยไม่ได้รับอนุญาตจากบุคคลภายนอก

สุดท้ายแล้วทางค่ายก็ได้ติดต่อบุคคลที่อาจได้รับผลกระทบโดยตรงจากเหตุการณ์นี้และจะดำเนินการเพื่อจัดการกับปัญหาในลำดับต่อไป

สาเหตุที่เกิด

จากคำถามเหตุการณ์ ข้อมูลรั่วไหล เกิดขึ้นจากบุคคลที่สามที่เข้าสู่ระบบของพนักงานคนหนึ่งได้โดยไม่ต้องรับอนุญาต ซึ่งก็อาจหลายทางไม่ว่าจะเป็น…

  • รหัสผ่านที่คาดเดาได้ง่าย
  • การเข้าสู่ระบบค้างไว้จากคอมพิวเตอร์
  • การแฮก
  • ฯลฯ

สิ่งที่เราพูดไปเราได้ยินกันมานาน แต่น่าแปลกว่าเราไม่สามารถแก้ไขปัญหาที่ว่าได้เพราะเราต่าง “ไม่เตรียมพร้อม” และมองว่า “เป็นเรื่องไกลตัว” ที่สำคัญคือคนทั่วไปที่ไม่อยู่ในแวดวง Cyber Security ลืมมองว่าข้อมูลส่วนตัว (Personal Data) “ไม่มีค่าขนาดนั้น”

บทเรียนจากเรื่องนี้

ซึ่งเมื่อตอบคำถามต่อมาว่า “เขา (ผู้ที่ขโมยข้อมูลส่วนตัว) จะได้อะไรจากสิ่งนี้” ในทาง Cyber Security มองข้อมูล (Data) โดยเฉพาะอย่างยิ่งในด้านข้อมูลส่วนตัว พวกเขาจะมองข้อมูลเหล่านี้เป็นเหมือนคลังน้ำมัน ซึ่งแน่นอนว่าไม่ว่าใครก็สามารถ เอาน้ำมันเหล่านี้ไปใช้ประโยชน์ ได้เต็มไปหมดไม่ว่าจะ…

  • ปลอมแปลงตัวตนจากข้อมูลที่ได้มา
  • นำไปใช้งานแบบผิดกฎหมาย
  • ฯลฯ

แบบนี้คุณก็น่าจะเริ่มเห็นแล้วว่าภัยอันตรายจากไซเบอร์ใกล้ตัวขนาดไหน ข้อมูลของคุณสามารถเอาไปทำประโยชน์ (สำหรับโจร) อะไรได้บ้าง

แต่อย่างเหตุการณ์นี้โชคดีตรงที่ทางค่ายลูกเสือนี้วางระบบป้องกันข้อมูลส่วนบุคคลไว้เรียบร้อย (แต่ไม่มาก) อย่างการแจ้งเตือนเมื่อมีเหตุข้อมูลรั่วไหลนี้เอง

Reference : https://portswigger.net/daily-swig/scouts-victoria-reports-data-breach-after-employee-duped-by-phishing-campaign

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่