]

t-reg PDPA Platform

ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

เนื้อหาในบทความ

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่ Service Provider เจ้าดังกล่าว ทำเช่นนี้บอกอะไรเราได้บ้างนั้น มาร่วมหาคำตอบกันได้ในบทความนี้

ข้อมูลที่หลุดไปมีอะไรบ้าง

     จากประกาศของ Service Provider เจ้าดังกล่าวได้ระบุไว้ว่าข้อมูลของผู้ใช้บริการจำนวนกว่า 100,000 รายการที่หลุดไปเผยแพร่บน Dark Web นั้นประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม และผู้ควบคุมข้อมูล (องค์กร) ต้องมีการคำขอยินยอม (Consent) ก่อนนำข้อมูลส่วนบุคคลนั้นมาใช้อีกด้วย

ข้อมูลหลุดได้ช่องทางไหน ?

     ทางผู้ควบคุมข้อมูลแจ้งว่า กรณีที่ข้อมูลผู้ใช้หลุดครั้งนี้เกิดจากการถูกบุกรุกด้วย Ransomware เข้ามาที่เครื่องคอมพิวเตอร์ของทางบริษัท ซึ่งเจ้า Ransomware ที่ว่าคือมัลแวร์ประเภทหนึ่งที่จะทำการล็อกไฟล์เพื่อแลกกับค่าไถ่ โดยมัลแวร์ตัวนี้อาจมาในรูปของ Email หรือโฆษณา Banner บนเว็บไซต์ เป็นต้น

กฎหมายยังไม่บังคับใช้ แล้วทำไมผู้ให้บริการยักษ์ใหญ่ถึงประกาศเช่นนี้ ?

     ถึงแม้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะยังไม่บังคับใช้ในช่วงนี้ แต่การที่ Service Provider เจ้าดังกล่าว ออกมาชี้แจงกับสิ่งที่เกิดขึ้นอย่างละเอียดทั้งกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.), กสทช. และผู้ใช้บริการ (ผู้ให้ข้อมูล) นับว่าเป็นการแสดงความรับผิดชอบ และถือเป็นการตอบรับต่อกฎหมาย PDPA ที่จะบังคับใช้ในเดือนมิถุนายนนี้ได้เป็นอย่างดี

จากเหตุการณ์ที่เกิดขึ้น องค์กรในประเทศไทยจะสามารถนำเหตุการณ์ดังกล่าวมาเป็นบทเรียน เพื่อเตรียมรับมือให้องค์กรบริหารจัดการความปลอดภัยอย่างไรได้บ้าง ?

     การบริหารความเสี่ยงของเหตุการณ์ที่เกิดขึ้นนั้น ทาง Service Provider เจ้าดังกล่าว ได้ทำการตรวจสอบแหล่งที่มาของข้อมูลที่รั่วไหล รวมถึงได้มีการให้พนักงานที่เกี่ยวข้องทั้งหมดปรับปรุงเวอร์ชั่นของซอฟต์แวร์ และระบบรักษาความปลอดภัยให้เป็นเวอร์ชั่นปัจจุบัน  นอกเหนือจากสิ่งที่กล่าวมาข้างต้น การบริหารความเสี่ยงของการรั่วไหลข้อมูลสามารถทำได้ด้วยการสร้างความตระหนักรู้ในหมู่พนักงานเกี่ยวกับเรื่องของความปลอดภัยทางด้านไซเบอร์ และเน้นย้ำให้เห็นความสำคัญของข้อมูลส่วนบุคคลมากยิ่งขึ้น

ถ้ายังไม่ทำ PDPA จะเริ่มอย่างไร ?

     พออ่านมาถึงตรงนี้ หลายท่านอาจมีข้อสงสัยเกี่ยวกับการทำ PDPA ว่าต้องทำอย่างไรให้ถูกกฎหมาย และสามารถรักษาความปลอดภัยของข้อมูลในองค์กร โดยการมองหาผู้เชี่ยวชาญที่ให้บริการด้านการทำโครงการ PDPA อย่างครบวงจรจะสามารถตอบโจทย์ทั้งสองข้อได้ ซึ่งบริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด มีบริการทั้งแพลตฟอร์มจัดการบริหารข้อมูลอย่าง t-reg, แพลตฟอร์มบันทึกข้อมูลจราจรบนอินเตอร์เน็ตอย่าง iLog และการอบรมสร้างความตระหนักรู้ด้าน PDPA และความปลอดภัยทางด้านไซเบอร์อย่าง P-CAP เรียกได้ว่ามาที่เดียว จบ ครบทุกกระบวนการของโครงการ PDPA หากองค์กรใดสนใจ อยากทราบรายละเอียดเพิ่มเติมสามารถติดต่อได้ที่อีเมล์ support@ragnar.co.th

“ PDPA จะเป็นเรื่องง่าย ให้ t-reg ช่วยจัดการได้ภายใน 30 วัน ”

 

Reference เพิ่มเติมเรื่อง Ransomware: Ransomware คืออะไร? โดย สำนักบริหารเทคโนโลยีสารสนเทศ  จุฬาลงกรณ์มหาวิทยาลัย 

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่