บริษัทมหาชนในไทยต้องวุ่น เมื่อ Hacker ล้วง ข้อมูลส่วนบุคคล

เริ่มปีใหม่ 2021 ก็ปวดหัวกันตั้งแต่ต้นปี เพราะบริษัทจำกัด (มหาชน) แห่งหนึ่งในไทยทำข้อมูลส่วนบุคคลรั่ว

‍เรื่องนี้ดูเบาไม่ได้ เพราะนอกจากจะอันตรายกับบริษัทแล้ว นี่ยังเสี่ยงต่อการโดนลงโทษ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะต้องรับโทษข้อไหน? ทำยังไงดี? และในแง่มุมลูกค้าที่จะเข้ามาฟ้องร้อง ในส่วนองค์กรหรือธุรกิจคุณสามารถทำอะไรได้บ้างเพื่อเลี่ยงความอันตรายจากการรั่วไหลของข้อมูล? (สามารถทำความเข้าใจเรื่อง PDPA ได้ที่ Blog ของเรา) https://tregdotblog.wpcomstaging.com/blog/pdpa/what-is-pdpa/

เริ่มมาดูกันก่อนว่า ข้อมูลส่วนบุคคล รั่วจากอะไร?

จากฝ่าย Hacker (ALTDOS) ได้อ้างว่า

“เราไม่ได้ขโมยแค่ข้อมูลที่บันทึกไว้แค่ ‘บางส่วน’ แต่เราขโมยข้อมูล ‘ทั้งหมด’ ข้อมูลที่ขโมยได้ไม่ใช่แค่ชื่ออายุ ด้วย Database ของ HR แล้วมันมีทุกอย่างตั้งแต่ข้อมูลพ่อ แม่ พี่น้องชายหญิง การศึกษา ประวัติการทำงาน เงินเดือน และอีกเยอะเลย”

และ

“ไม่พบการป้องกันหรือแม้แต่ Firewall ทั้งทีได้แจ้งเตือนวันและเวลาก่อนการโจมตีด้วยซ้ำ”

พร้อมกับแนบ 2 รูปนี้…

ล่าสุดทางบริษัทได้ชี้แจงว่า “เป็นการขู่กรรโชก” เท่านั้น แต่ ALTDOS ตอบกลับว่าได้เรียกค่าไถ่กับทางบริษัทเป็นจำนวนเงิน 5 แสนเหรียญ แต่ทางบริษัทมหาชนได้เจรจาต่อรองจ่ายเพียง 1 ใน 3 พร้อมว่าจ้างให้ทาง ALTDOS เป็นพนักงานดูแล Cyber Security ซึ่งเขาปฏิเสธ

ในเรื่องนี้ มีความผิดทางโทษของ PDPA เต็มๆ

• ทางบริษัทต้องความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
• อาจโดนโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• และอาจโดนโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ข้อมูลรั่วแล้วต้องทำอย่างไรต่อ?

เหตุการณ์นี้จะไม่มีทางเกิดขึ้น หากมีการทำ PDPA ในองค์กร แต่คุณต้องเข้าใจก่อนว่าตัว พ.ร.บ. PDPA นั้นมีหลายกระบวนการ และ หลายขั้นตอนในการจัดการ ทั้งนี้ทั้งนั้นก็เพื่อทำให้ข้อมูลไม่รั่วไหลไปง่ายๆ และเพิ่มความปลอดภัยให้กับข้อมูลส่วนบุคคลนั่นเอง แม้ว่า PDPA จะยังไม่ได้บังคับใช้เต็มรูปแบบในส่วนขององค์กร แต่การไม่ลงมือทำนั้นนับวันยิ่งเพิ่มความเสี่ยงในการรั่วไหลของข้อมูลมากขึ้น

เบื้องต้นคุณสามารถแก้ไขความเสี่ยงได้ด้วยตนเอง

• การจัดเตรียมข้อมูลเอกสารที่เป็นข้อมูลอ่อนไหวและข้อมูลส่วนบุคคล
• การแต่งตั้งบุคคลพร้อมเอกสารสำหรับผู้ที่จะเข้ามาดูแลด้าน PDPA โดยเฉพาะ
• การจัดทำระบบแสดงการไหลของข้อมูล
• การระบุเหตุผลของการใช้ข้อมูล
• และอีกหลายส่วนที่สำคัญในการรักษาความปลอดภัย

อย่ารอให้บริษัทคุณโดนแฮกเหมือน Use case นี้ โปรดระมัดระวังและใส่ใจด้าน Cyber Security ก่อนจะสายไป