]

t-reg PDPA Platform

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วงข้อมูลส่วนบุคคล

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วง ข้อมูลส่วนบุคคล

เนื้อหาในบทความ

เริ่มปีใหม่ 2021 ก็ปวดหัวกันตั้งแต่ต้นปี เพราะบริษัทจำกัด (มหาชน) แห่งหนึ่งในไทยทำข้อมูลส่วนบุคคลรั่ว

‍เรื่องนี้ดูเบาไม่ได้ เพราะนอกจากจะอันตรายกับบริษัทแล้ว นี่ยังเสี่ยงต่อการโดนลงโทษ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะต้องรับโทษข้อไหน? ทำยังไงดี? และในแง่มุมลูกค้าที่จะเข้ามาฟ้องร้อง ในส่วนองค์กรหรือธุรกิจคุณสามารถทำอะไรได้บ้างเพื่อเลี่ยงความอันตรายจากการรั่วไหลของข้อมูล? (สามารถทำความเข้าใจเรื่อง PDPA ได้ที่ Blog ของเรา) https://tregdotblog.wpcomstaging.com/blog/pdpa/what-is-pdpa/

เริ่มมาดูกันก่อนว่า ข้อมูลส่วนบุคคล รั่วจากอะไร?

จากฝ่าย Hacker (ALTDOS) ได้อ้างว่า

เราไม่ได้ขโมยแค่ข้อมูลที่บันทึกไว้แค่บางส่วนแต่เราขโมยข้อมูลทั้งหมดข้อมูลที่ขโมยได้ไม่ใช่แค่ชื่ออายุ ด้วย Database ของ HR แล้วมันมีทุกอย่างตั้งแต่ข้อมูลพ่อ แม่ พี่น้องชายหญิง การศึกษา ประวัติการทำงาน เงินเดือน และอีกเยอะเลย

และ

ไม่พบการป้องกันหรือแม้แต่ Firewall ทั้งทีได้แจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ

พร้อมกับแนบ 2 รูปนี้…

data breach-2
data breach-1

ล่าสุดทางบริษัทได้ชี้แจงว่า “เป็นการขู่กรรโชก” เท่านั้น แต่ ALTDOS ตอบกลับว่าได้เรียกค่าไถ่กับทางบริษัทเป็นจำนวนเงิน 5 แสนเหรียญ แต่ทางบริษัทมหาชนได้เจรจาต่อรองจ่ายเพียง 1 ใน 3 พร้อมว่าจ้างให้ทาง ALTDOS เป็นพนักงานดูแล Cyber Security ซึ่งเขาปฏิเสธ

ในเรื่องนี้ มีความผิดทางโทษของ PDPA เต็มๆ

  • ทางบริษัทต้องความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • และอาจโดนโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ข้อมูลรั่วแล้วต้องทำอย่างไรต่อ?

เหตุการณ์นี้จะไม่มีทางเกิดขึ้น หากมีการทำ PDPA ในองค์กร แต่คุณต้องเข้าใจก่อนว่าตัว พ.ร.บ. PDPA นั้นมีหลายกระบวนการ และ หลายขั้นตอนในการจัดการ ทั้งนี้ทั้งนั้นก็เพื่อทำให้ข้อมูลไม่รั่วไหลไปง่ายๆ และเพิ่มความปลอดภัยให้กับข้อมูลส่วนบุคคลนั่นเอง แม้ว่า PDPA จะยังไม่ได้บังคับใช้เต็มรูปแบบในส่วนขององค์กร แต่การไม่ลงมือทำนั้นนับวันยิ่งเพิ่มความเสี่ยงในการรั่วไหลของข้อมูลมากขึ้น

เบื้องต้นคุณสามารถแก้ไขความเสี่ยงได้ด้วยตนเอง

  • การจัดเตรียมข้อมูลเอกสารที่เป็นข้อมูลอ่อนไหวและข้อมูลส่วนบุคคล
  • การแต่งตั้งบุคคลพร้อมเอกสารสำหรับผู้ที่จะเข้ามาดูแลด้าน PDPA โดยเฉพาะ
  • การจัดทำระบบแสดงการไหลของข้อมูล
  • การระบุเหตุผลของการใช้ข้อมูล
  • และอีกหลายส่วนที่สำคัญในการรักษาความปลอดภัย

อย่ารอให้บริษัทคุณโดนแฮกเหมือน Use case นี้ โปรดระมัดระวังและใส่ใจด้าน Cyber Security ก่อนจะสายไป

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่