EU ยกระดับการแจ้งเตือนข้อมูลรั่วไหล

ในขณะที่ประเทศไทยของเรามีแว่วๆ ว่าจะบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ใช่ไหม แต่อีกฟากนึงของโลกเตรียมรับมือเรื่องการแจ้งเตือนข้อมูลรั่วไหลแล้ว

คณะกรรมาธิการคุ้มครองข้อมูลส่วนบุคคลของยุโรป (European Data Protection Board หรือ EDPB) เขาเริ่มขยับไปอยู่ในส่วนของการรับมือหลังข้อมูลรั่วไหลแล้ว ซึ่งนี่เป็นกระบวนการหลังๆ แล้วเมื่อเราทำ PDPA (ถ้ายังไม่เข้าใจว่ากระบวนการ PDPA เป็นยังไง ลองเข้าไปอ่านบทความในนี้ก่อนได้ มีวิธีการดำเนินงานเดียวกันกับ GDPR เลย https://t-reg.co/blog/pdpa/how-to-comply-pdpa/)

คงไม่มีใครต้องการให้เกิดข้อมูลรั่วไหลแน่นอน แต่ถ้าเกิดขึ้นแล้วจะรับมือกับมันอย่างไร ลองดูว่าเขาให้ความสำคัญกับข้อมูลรั่วไหลยังไง ด้วยวิธีใด

ข้อมูลรั่วไหลและการแจ้งเตือน

เรียกได้ว่านี่เป็นฝันร้ายสำหรับ DPO และทุกบริษัทถ้าเกิดข้อมูลมันรั่วไหล คราวนี้ต้องรับมือยังไงให้มันเป็นมืออาชีพและให้คนที่ข้อมูลส่วนบุคคลของตัวเองรั่วไหลเนี่ยเขาเข้าใจสิ่งที่เกิดขึ้น

ทางคณะกรรมาธิการ EDPB ที่เขาเป็นตัวกลางในการดำเนินทุกเรื่องด้าน GDPR เนี่ยเขาก็เริ่มขอความคิดเห็นจากหลายๆ อุตสาหกรรมมาหาทางแก้ที่ Common และเข้ากับกฎหมายนี้ว่า รับมือยังไงดีหลังข้อมูลส่วนบุคคลรั่วไหลแล้วต้องแจ้งเตือนบุคคลนั้นๆ

ถ้าข้อมูลรั่วไปแล้ว ขั้นไหนที่ต้องเริ่มแจ้งเตือนถ้ามีเหตุการณ์ผิดปกติเกิดขึ้น แล้วต้องแจ้งเตือนใครบ้าง

แต่ถ้าพูดเป็นภาษาบ้านๆ EDPB เขายอมรับว่าเรื่องนี้มันใหม่มากๆ ไม่มีข้อมูลเพียงพอ เลยมาให้อุตสาหกรรมใน EU รวมถึงประชาชนของเขาช่วยให้ความเห็น

เริ่มต้นหารือ

ฝั่งคณะกรรมาธิการก็ได้เอา Case Study มาสร้างเป็นตัวอย่าง 18 ตัวอย่างมาจัดทำ PDF ไว้เป็นแนวทางตัวอย่างเกี่ยวกับการแจ้งเตือนการละเมิดข้อมูล ในเอกสารรวมทุกอย่าง ตั้งแต่การโจมตีด้วย Ransomware หรือวิธีที่ควรทำหากมีอีเมลแปลกๆ ส่งมาหาเรา

โดยเริ่มการหารือด้วยการยก Case Study ต่างๆ ตัวอย่างที่ถูกยกมาก็เช่น บริษัททางการเกษตรที่โดน Ransomware ไม่เคย Backup ข้อมูล ทางแก้ปัญหาคือ ให้สำรองข้อมูลไว้แล้วเข้ารหัส (Encryption) ตัวข้อมูลด้วยเพื่อไม่ให้บุคคลภายนอกขโมยข้อมูลไปใช้ได้ง่ายๆ พร้อมแจ้งเตือนข้อมูลรั่วไหลกับเจ้าหน้าที่และ เจ้าของข้อมูลที่โดนเปิดเผย หากไม่ทราบว่า เจ้าหน้าที่ที่ดูแลและเจ้าของข้อมูลคือใคร อ่านเพิ่มเติมได้ที่ https://t-reg.co/blog/pdpa/check-who-have-to-comply-pdpa/

และในการหารือก็ยังมีอีกหลากหลาย Case Study ด้วยกันที่ถูกยกมาแลกเปลี่ยนความคิดเห็นเพื่อให้เข้าใจหน้าที่ของผู้ดูแลข้อมูลว่าควรมีท่าทีอย่างไรกับสิ่งที่เกิดขึ้น ตั้งแต่การดูแลไม่ให้เหตุการณ์ข้อมูลรั่วไหลเกิดขึ้น การประเมินความเสี่ยงของสถานการณ์

หัวข้อข้อมูลรั่วไหลเกี่ยวกับองค์กรที่น่าสนใจ

  • พนักงานที่ Work From Home แล้วทำเกี่ยวข้องกับข้อมูลอ่อนไหวผ่านระบบที่ไม่ผ่านการจัดการด้านความปลอดภัย เป็นช่องโหว่ให้ให้ถูกแฮก ต้องปฏิบัติตามหลักการที่ EDPB กำหนดไว้

  • ถ้ามีสถานการณ์ข้อมูลรั่วไหลคล้ายๆ กันเกิดขึ้น จะดีมากถ้ามีการกำหนดแนวทางไปเลย ทางองค์กรจะได้ไม่ต้องเข้าไปเสียเวลาในส่วนนั้น

  • มีหัวข้อที่ Common กันเช่น Cloud ที่ใช้งาน

    • ถ้าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นและขอความช่วยเหลือจากทีมงาน Cloud มักจะได้คำตอบให้ช่วยเหลืออย่าง “ให้ทางบริษัทหยุดการใช้งาน Cloud ในระบบเปิด” แค่นั้น

    • เมื่อข้อมูลรั่วไหล คนมักลืมว่าสิ่งที่เกิดขึ้นมาจากการรั่วไหลของ Cloud ที่เราใช้งานกันอยู่ ทางผู้ให้บริการ Cloud ควรดำเนินการอย่างไร

เห็นแบบนี้แล้วก็อุ่นใจ (ถ้าเราเป็นคนยุโรป) แต่ในฐานะคนไทยเราต้องดูแลตัวเองกันไปก่อนเพราะกฎหมายยังไม่เริ่มบังคับ น่าสนใจดีว่าถ้าเริ่มบังคับใช้ขึ้นมาจะเป็นยังไงนะ?

Ref : https://portswigger.net/daily-swig/call-for-comments-european-data-protection-board-lays-out-data-breach-notification-guidelines-for-organizations

Recommended Posts

No comment yet, add your voice below!


Add a Comment

Your email address will not be published. Required fields are marked *