t-reg PDPA Platform

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วง ข้อมูลส่วนบุคคล

บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วงข้อมูลส่วนบุคคล

เริ่มปีใหม่ 2021 ก็ปวดหัวกันตั้งแต่ต้นปี เพราะบริษัทจำกัด (มหาชน) แห่งหนึ่งในไทยทำข้อมูลส่วนบุคคลรั่ว

เรื่องนี้ดูเบาไม่ได้ เพราะนอกจากจะอันตรายกับบริษัทแล้ว นี่ยังเสี่ยงต่อการโดนลงโทษ พ... คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะต้องรับโทษข้อไหน? ทำยังไงดี? และในแง่มุมลูกค้าที่จะเข้ามาฟ้องร้อง ในส่วนองค์กรหรือธุรกิจคุณสามารถทำอะไรได้บ้างเพื่อเลี่ยงความอันตรายจากการรั่วไหลของข้อมูล? (สามารถทำความเข้าใจเรื่อง PDPA ได้ที่ Blog ของเราhttps://t-reg.co/blog/pdpa/what-is-pdpa/

เริ่มมาดูกันก่อนว่า ข้อมูลส่วนบุคคล รั่วจากอะไร?

จากฝ่าย Hacker (ALTDOS) ได้อ้างว่า

เราไม่ได้ขโมยแค่ข้อมูลที่บันทึกไว้แค่บางส่วนแต่เราขโมยข้อมูลทั้งหมดข้อมูลที่ขโมยได้ไม่ใช่แค่ชื่ออายุ ด้วย Database ของ HR แล้วมันมีทุกอย่างตั้งแต่ข้อมูลพ่อ แม่ พี่น้องชายหญิง การศึกษา ประวัติการทำงาน เงินเดือน และอีกเยอะเลย

และ

ไม่พบการป้องกันหรือแม้แต่ Firewall ทั้งทีได้แจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ

พร้อมกับแนบ 2 รูปนี้

data breach-2
data breach-1

ล่าสุดทางบริษัทได้ชี้แจงว่าเป็นการขู่กรรโชกเท่านั้น แต่ ALTDOS ตอบกลับว่าได้เรียกค่าไถ่กับทางบริษัทเป็นจำนวนเงิน 5 แสนเหรียญ แต่ทางบริษัทมหาชนได้เจรจาต่อรองจ่ายเพียง 1 ใน 3 พร้อมว่าจ้างให้ทาง ALTDOS เป็นพนักงานดูแล Cyber Security ซึ่งเขาปฏิเสธ

ในเรื่องนี้ มีความผิดทางโทษของ PDPA เต็มๆ

  • ทางบริษัทต้องความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • และอาจโดนโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ข้อมูลรั่วแล้วต้องทำอย่างไรต่อ?

เหตุการณ์นี้จะไม่มีทางเกิดขึ้น หากมีการทำ PDPA ในองค์กร แต่คุณต้องเข้าใจก่อนว่าตัว พ... PDPA นั้นมีหลายกระบวนการ และ หลายขั้นตอนในการจัดการ ทั้งนี้ทั้งนั้นก็เพื่อทำให้ข้อมูลไม่รั่วไหลไปง่ายๆ และเพิ่มความปลอดภัยให้กับข้อมูลส่วนบุคคลนั่นเอง แม้ว่า PDPA จะยังไม่ได้บังคับใช้เต็มรูปแบบในส่วนขององค์กร แต่การไม่ลงมือทำนั้นนับวันยิ่งเพิ่มความเสี่ยงในการรั่วไหลของข้อมูลมากขึ้น

เบื้องต้นคุณสามารถแก้ไขความเสี่ยงได้ด้วยตนเอง

  • การจัดเตรียมข้อมูลเอกสารที่เป็นข้อมูลอ่อนไหวและข้อมูลส่วนบุคคล
  • การแต่งตั้งบุคคลพร้อมเอกสารสำหรับผู้ที่จะเข้ามาดูแลด้าน PDPA โดยเฉพาะ
  • การจัดทำระบบแสดงการไหลของข้อมูล
  • การระบุเหตุผลของการใช้ข้อมูล
  • และอีกหลายส่วนที่สำคัญในการรักษาความปลอดภัย

อย่ารอให้บริษัทคุณโดนแฮกเหมือน Use case นี้ โปรดระมัดระวังและใส่ใจด้าน Cyber Security ก่อนจะสายไป

Share this post with your friends

Share on facebook
Share on google
Share on twitter
Share on linkedin

Recent Post