]
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

เนื้อหาในบทความ

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่ Service Provider เจ้าดังกล่าว ทำเช่นนี้บอกอะไรเราได้บ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้

ข้อมูลที่หลุดไปมีอะไรบ้าง

     จากประกาศของ Service Provider เจ้าดังกล่าวได้ระบุไว้ว่าข้อมูลของผู้ใช้บริการจำนวนกว่า 100,000 รายการที่หลุดไปเผยแพร่บน Dark Web นั้นประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม และผู้ควบคุมข้อมูล (องค์กร) ต้องมีการคำขอยินยอม (Consent) ก่อนนำข้อมูลส่วนบุคคลนั้นมาใช้อีกด้วย

ข้อมูลหลุดได้ช่องทางไหน ?

     ทางผู้ควบคุมข้อมูลแจ้งว่า กรณีที่ข้อมูลผู้ใช้หลุดครั้งนี้เกิดจากการถูกบุกรุกด้วย Ransomware เข้ามาที่เครื่องคอมพิวเตอร์ของทางบริษัท ซึ่งเจ้า Ransomware ที่ว่าคือมัลแวร์ประเภทหนึ่งที่จะทำการล็อกไฟล์เพื่อแลกกับค่าไถ่ โดยมัลแวร์ตัวนี้อาจมาในรูปของ Email หรือโฆษณา Banner บนเว็บไซต์ เป็นต้น

กฎหมายยังไม่บังคับใช้ แล้วทำไมผู้ให้บริการยักษ์ใหญ่ถึงประกาศเช่นนี้ ?

     ถึงแม้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะยังไม่บังคับใช้ในช่วงนี้ แต่การที่ Service Provider เจ้าดังกล่าว ออกมาชี้แจงกับสิ่งที่เกิดขึ้นอย่างละเอียดทั้งกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.), กสทช. และผู้ใช้บริการ (ผู้ให้ข้อมูล) นับว่าเป็นการแสดงความรับผิดชอบ และถือเป็นการตอบรับต่อกฎหมาย PDPA ที่จะบังคับใช้ในเดือนมิถุนายนนี้ได้เป็นอย่างดี

จากเหตุการณ์ที่เกิดขึ้น องค์กรในประเทศไทยจะสามารถนำเหตุการณ์ดังกล่าวมาเป็นบทเรียน เพื่อเตรียมรับมือให้องค์กรบริหารจัดการความปลอดภัยอย่างไรได้บ้าง ?

     การบริหารความเสี่ยงของเหตุการณ์ที่เกิดขึ้นนั้น ทาง Service Provider เจ้าดังกล่าว ได้ทำการตรวจสอบแหล่งที่มาของข้อมูลที่รั่วไหล รวมถึงได้มีการให้พนักงานที่เกี่ยวข้องทั้งหมดปรับปรุงเวอร์ชั่นของซอฟต์แวร์ และระบบรักษาความปลอดภัยให้เป็นเวอร์ชั่นปัจจุบัน  นอกเหนือจากสิ่งที่กล่าวมาข้างต้น การบริหารความเสี่ยงของการรั่วไหลข้อมูลสามารถทำได้ด้วยการสร้างความตระหนักรู้ในหมู่พนักงานเกี่ยวกับเรื่องของความปลอดภัยทางด้านไซเบอร์ และเน้นย้ำให้เห็นความสำคัญของข้อมูลส่วนบุคคลมากยิ่งขึ้น

ถ้ายังไม่ทำ PDPA จะเริ่มอย่างไร ?

     พออ่านมาถึงตรงนี้ หลายท่านอาจมีข้อสงสัยเกี่ยวกับการทำ PDPA ว่าต้องทำอย่างไรให้ถูกกฎหมาย และสามารถรักษาความปลอดภัยของข้อมูลในองค์กร โดยการมองหาผู้เชี่ยวชาญที่ให้บริการด้านการทำโครงการ PDPA อย่างครบวงจรจะสามารถตอบโจทย์ทั้งสองข้อได้ ซึ่งบริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด มีบริการทั้งแพลตฟอร์มจัดการบริหารข้อมูลอย่าง t-reg, แพลตฟอร์มบันทึกข้อมูลจราจรบนอินเตอร์เน็ตอย่าง iLog และการอบรมสร้างความตระหนักรู้ด้าน PDPA และความปลอดภัยทางด้านไซเบอร์อย่าง P-CAP เรียกได้ว่ามาที่เดียว จบ ครบทุกกระบวนการของโครงการ PDPA หากองค์กรใดสนใจ อยากทราบรายละเอียดเพิ่มเติมสามารถติดต่อได้ที่อีเมล์ support@ragnar.co.th

“ PDPA จะเป็นเรื่องง่าย ให้ t-reg ช่วยจัดการได้ภายใน 30 วัน ”

 

Reference เพิ่มเติมเรื่อง Ransomware: Ransomware คืออะไร? โดย สำนักบริหารเทคโนโลยีสารสนเทศ  จุฬาลงกรณ์มหาวิทยาลัย 

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

ส่งต่อบทความดีๆ ได้ที่นี่