]

t-reg PDPA Platform

ข้อมูลส่วนบุคคล ลูกเสือ

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

เนื้อหาในบทความ

“ลูกเสือ” ดูจะไม่เกี่ยวกับแวดวง IT หรือ Cyber Security เท่าไหร่นัก แต่เมื่อเราอ่านข่าวนี้แล้วก็ตกใจ รู้สึกได้ว่า Cyber Security มันใกล้ตัวกว่าที่พวกเราคิดซะแล้ว

เมื่อวันที่ 28 กันยายน 2563 ที่ผ่านมานี้เองมีรายงานว่าเกิดเหตุข้อมูลรั่วไหลที่ค่ายลูกเสือวิกตอเรียในออสเตรเลีย มีรายงานว่าข้อมูลสำคัญของคนกว่า 900 คน อาจถูกคุกคามได้

‍แต่ถ้าถามว่าเกิดจากอะไร เขาต้องการอะไรจากสิ่งนี้? เราขอเล่าไปทีละ Step ดีกว่า

ที่ค่ายลูกเสือวิกตอเรียแห่งนี้มีเยาวชนกว่า 17,000 คนที่เข้าค่ายไปเพื่อดำรงชีวิตแบบลูกเสือสามัญ โดยมีสตาฟที่เป็นผู้ใหญ่กว่า 5,000 คน

เหตุการณ์ทางไซเบอร์เกิดขึ้นในช่วงปลายเดือนกรกฎาคมและสิงหาคม 2563 เมื่อจู่ ๆ บัญชีอีเมลของพนักงานแต่ละคนก็ถูกเข้าถึงโดยไม่ได้รับอนุญาต นี่ถือว่าเป็นการโดน Phishing Mail ที่ประสบความสำเร็จเลยทีเดียว

อะไรรั่วไปบ้าง

ข้อมูลที่ละเอียดอ่อน อย่างพวก ชื่อ, หมายเลขโทรศัพท์, ข้อมูลบัตรเครดิต, เอกสารประจำตัว, ข้อมูลหนังสือเดินทาง, รายละเอียดใบขับขี่ และรายละเอียดธนาคาร โดนขโมยไปหมด ที่น่ากลัวคือไม่สามารถระบุได้ว่าข้อมูลที่โดนขโมยนี่เป็นของสตาฟผู้ใหญ่ หรือผู้ปกครองของเด็กที่ลงทะเบียนในองค์กรซะด้วยนี่สิ

แล้วทำไงต่อ?

เมื่อข้อมูลรั่วไหลไปแล้วก็ต้องเข้าสู่กระบวนการแจ้งเตือนว่าข้อมูลถูกรั่วไหลออกไป (Data Breach Notification) ทางฝั่งของค่ายลูกเสือวิกตอเรียกล่าวว่า ทางองค์กรได้แจ้งให้เหยื่อทราบถึงการละเมิด และก็ได้ติดต่อหน่วยงานของรัฐที่เกี่ยวข้อง รวมถึงสำนักงานคณะกรรมการข้อมูลออสเตรเลีย (OAIC) และกรมทรัพยากรบุคคล ตามกระบวนการที่ควรเป็นไป

หลังจากนั้นก็มีแถลงการณ์ออกมา ซึ่งระบุไว้ว่า การตรวจสอบทางนิติวิทยาศาสตร์และการตรวจสอบด้านความปลอดภัยเป็นไปอย่างครอบคลุมครบถ้วน และตอนนี้ก็ดำเนินการตรงส่วนนี้เสร็จสิ้นแล้ว

จากการสืบสวนพบว่ามีความสอดคล้องกันของจำนวนบุคคลหลายคนที่เกี่ยวข้องกับค่ายลูกเสือวิกตอเรียอาจถูกเข้ามาได้โดยไม่ได้รับอนุญาตจากบุคคลภายนอก

สุดท้ายแล้วทางค่ายก็ได้ติดต่อบุคคลที่อาจได้รับผลกระทบโดยตรงจากเหตุการณ์นี้และจะดำเนินการเพื่อจัดการกับปัญหาในลำดับต่อไป

สาเหตุที่เกิด

จากคำถามเหตุการณ์ ข้อมูลรั่วไหล เกิดขึ้นจากบุคคลที่สามที่เข้าสู่ระบบของพนักงานคนหนึ่งได้โดยไม่ต้องรับอนุญาต ซึ่งก็อาจหลายทางไม่ว่าจะเป็น…

  • รหัสผ่านที่คาดเดาได้ง่าย
  • การเข้าสู่ระบบค้างไว้จากคอมพิวเตอร์
  • การแฮก
  • ฯลฯ

สิ่งที่เราพูดไปเราได้ยินกันมานาน แต่น่าแปลกว่าเราไม่สามารถแก้ไขปัญหาที่ว่าได้เพราะเราต่าง “ไม่เตรียมพร้อม” และมองว่า “เป็นเรื่องไกลตัว” ที่สำคัญคือคนทั่วไปที่ไม่อยู่ในแวดวง Cyber Security ลืมมองว่าข้อมูลส่วนตัว (Personal Data) “ไม่มีค่าขนาดนั้น”

บทเรียนจากเรื่องนี้

ซึ่งเมื่อตอบคำถามต่อมาว่า “เขา (ผู้ที่ขโมยข้อมูลส่วนตัว) จะได้อะไรจากสิ่งนี้” ในทาง Cyber Security มองข้อมูล (Data) โดยเฉพาะอย่างยิ่งในด้านข้อมูลส่วนตัว พวกเขาจะมองข้อมูลเหล่านี้เป็นเหมือนคลังน้ำมัน ซึ่งแน่นอนว่าไม่ว่าใครก็สามารถ เอาน้ำมันเหล่านี้ไปใช้ประโยชน์ ได้เต็มไปหมดไม่ว่าจะ…

  • ปลอมแปลงตัวตนจากข้อมูลที่ได้มา
  • นำไปใช้งานแบบผิดกฎหมาย
  • ฯลฯ

แบบนี้คุณก็น่าจะเริ่มเห็นแล้วว่าภัยอันตรายจากไซเบอร์ใกล้ตัวขนาดไหน ข้อมูลของคุณสามารถเอาไปทำประโยชน์ (สำหรับโจร) อะไรได้บ้าง

แต่อย่างเหตุการณ์นี้โชคดีตรงที่ทางค่ายลูกเสือนี้วางระบบป้องกันข้อมูลส่วนบุคคลไว้เรียบร้อย (แต่ไม่มาก) อย่างการแจ้งเตือนเมื่อมีเหตุข้อมูลรั่วไหลนี้เอง

Reference : https://portswigger.net/daily-swig/scouts-victoria-reports-data-breach-after-employee-duped-by-phishing-campaign

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่