ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่ Service Provider เจ้าดังกล่าว ทำเช่นนี้บอกอะไรเราได้บ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้

ข้อมูลที่หลุดไปมีอะไรบ้าง

จากประกาศของ Service Provider เจ้าดังกล่าวได้ระบุไว้ว่าข้อมูลของผู้ใช้บริการจำนวนกว่า 100,000 รายการที่หลุดไปเผยแพร่บน Dark Web นั้นประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม และผู้ควบคุมข้อมูล (องค์กร) ต้องมีการคำขอยินยอม (Consent) ก่อนนำข้อมูลส่วนบุคคลนั้นมาใช้อีกด้วย

ข้อมูลหลุดได้ช่องทางไหน ?

ทางผู้ควบคุมข้อมูลแจ้งว่า กรณีที่ข้อมูลผู้ใช้หลุดครั้งนี้เกิดจากการถูกบุกรุกด้วย Ransomware เข้ามาที่เครื่องคอมพิวเตอร์ของทางบริษัท ซึ่งเจ้า Ransomware ที่ว่าคือมัลแวร์ประเภทหนึ่งที่จะทำการล็อกไฟล์เพื่อแลกกับค่าไถ่ โดยมัลแวร์ตัวนี้อาจมาในรูปของ Email หรือโฆษณา Banner บนเว็บไซต์ เป็นต้น

กฎหมายยังไม่บังคับใช้ แล้วทำไมผู้ให้บริการยักษ์ใหญ่ถึงประกาศเช่นนี้ ?

ถึงแม้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะยังไม่บังคับใช้ในช่วงนี้ แต่การที่ Service Provider เจ้าดังกล่าว ออกมาชี้แจงกับสิ่งที่เกิดขึ้นอย่างละเอียดทั้งกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.), กสทช. และผู้ใช้บริการ (ผู้ให้ข้อมูล) นับว่าเป็นการแสดงความรับผิดชอบ และถือเป็นการตอบรับต่อกฎหมาย PDPA ที่จะบังคับใช้ในเดือนมิถุนายนนี้ได้เป็นอย่างดี

จากเหตุการณ์ที่เกิดขึ้น องค์กรในประเทศไทยจะสามารถนำเหตุการณ์ดังกล่าวมาเป็นบทเรียน เพื่อเตรียมรับมือให้องค์กรบริหารจัดการความปลอดภัยอย่างไรได้บ้าง ?

การบริหารความเสี่ยงของเหตุการณ์ที่เกิดขึ้นนั้น ทาง Service Provider เจ้าดังกล่าว ได้ทำการตรวจสอบแหล่งที่มาของข้อมูลที่รั่วไหล รวมถึงได้มีการให้พนักงานที่เกี่ยวข้องทั้งหมดปรับปรุงเวอร์ชั่นของซอฟต์แวร์ และระบบรักษาความปลอดภัยให้เป็นเวอร์ชั่นปัจจุบัน นอกเหนือจากสิ่งที่กล่าวมาข้างต้น การบริหารความเสี่ยงของการรั่วไหลข้อมูลสามารถทำได้ด้วยการสร้างความตระหนักรู้ในหมู่พนักงานเกี่ยวกับเรื่องของความปลอดภัยทางด้านไซเบอร์ และเน้นย้ำให้เห็นความสำคัญของข้อมูลส่วนบุคคลมากยิ่งขึ้น

ถ้ายังไม่ทำ PDPA จะเริ่มอย่างไร ?

พออ่านมาถึงตรงนี้ หลายท่านอาจมีข้อสงสัยเกี่ยวกับการทำ PDPA ว่าต้องทำอย่างไรให้ถูกกฎหมาย และสามารถรักษาความปลอดภัยของข้อมูลในองค์กร โดยการมองหาผู้เชี่ยวชาญที่ให้บริการด้านการทำโครงการ PDPA อย่างครบวงจรจะสามารถตอบโจทย์ทั้งสองข้อได้ ซึ่งบริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด มีบริการทั้งแพลตฟอร์มจัดการบริหารข้อมูลอย่าง t-reg, แพลตฟอร์มบันทึกข้อมูลจราจรบนอินเตอร์เน็ตอย่าง iLog และการอบรมสร้างความตระหนักรู้ด้าน PDPA และความปลอดภัยทางด้านไซเบอร์อย่าง P-CAP เรียกได้ว่ามาที่เดียว จบ ครบทุกกระบวนการของโครงการ PDPA หากองค์กรใดสนใจ อยากทราบรายละเอียดเพิ่มเติมสามารถติดต่อได้ที่อีเมล์ support@ragnar.co.th

“ PDPA จะเป็นเรื่องง่าย ให้ t-reg ช่วยจัดการได้ภายใน 30 วัน ”

Reference เพิ่มเติมเรื่อง Ransomware: Ransomware คืออะไร? โดย สำนักบริหารเทคโนโลยีสารสนเทศ จุฬาลงกรณ์มหาวิทยาลัย

Wanphichit Chintrakulchai

t-reg Founder

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น