11 สิ่ง Cyber Security ที่คุณควรรู้สำหรับ PDPA

    องค์กรที่ใช้หรือเก็บรวบรวมข้อมูลจำเป็นต้องจัดให้มีมาตรการที่เก็บรักษาข้อมูลให้เป็นความลับ (confidentiality) มีความถูกต้องสมบูรณ์ (integrity) และความมั่นคงปลอดภัย (security) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative) ด้านเทคนิค (technical) และทางกายภาพ (physical) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มาตรา 37 องค์กรจะต้องมีแนวปฏิบัติที่ดีเพื่อปกป้องรักษาระบบ IT ให้ปลอดภัย โดยมีคำแนะนำสำหรับ cyber security ดังนี้

1. Perimeter protection

บริษัทจะต้องรักษาระบบ IT ให้ปลอดภัยโดยคุ้มครองข้อมูลส่วนบุคคลที่ลูกจ้างเก็บรวมรวมหรือใช้ โดยใช้ Firewall ซึ่งเป็นวิธีที่ง่าย firewall เปรียบเสมือนกำแพงความปลอดภัยและเป็นตัวกรอง traffic ทางอินเตอร์เน็ตก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในบริษัท firewall ที่ตั้งค่าดีจะป้องกันองค์กรจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตได้

2. Identity

cyber security ที่สำคัญอีกอย่างคือ การระบุตัวตน (identity) เพื่อการจำกัดการเข้าถึงข้อมูลสำคัญ และอนุญาตให้บุคคลที่ไว้วางใจเข้าถึงข้อมูลนั้นได้ ดังนั้น พนักงานในองค์กรจะต้องได้รับอนุญาตในการเข้าใช้งานก่อน จึงจะเข้าถึงข้อมูลดังกล่าวได้

3. Access

แนวปฏิบัติที่ดีสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลต่อมาคือ การเข้าถึงข้อมูลไม่ควรให้ใช้ account ร่วมกัน โดยแต่ละคนควรมี account, username, password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก log ได้ในกรณีที่ข้อมูลถูกละเมิด

4. Password

องค์กรควรมีนโยบายให้พนักงานตั้ง password ที่คาดเดาได้ยาก โดยให้ประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ เพื่อป้องกันไม่ให้มีการเข้าถึงโดยไม่ได้รับอนุญาตและให้ปลอดภัยจากการใช้โปรแกรมเดาสุ่ม password (brute force attacks) องค์กรควรจำกัดอัตราการล็อคอินที่ไม่สำเร็จ ซึ่งถ้าพยายามล็อคอินเกินจำนวนที่กำหนด account ก็จะโดนล็อค และใช้ two-factor authentication ในการเข้าถึงข้อมูลสำคัญอย่าง online banking หรือโปรแกรม password manager นอกจากนี้ เมื่อพนักงานหมดสถานะลูกจ้างหรือลาระยะยาว ก็ควรระงับการใช้ user และ password โดยทันทีด้วย

5. Endpoint security

เป็นการรักษาความปลอดภัยแบบภาพรวม โดยใช้วิธีการรักษาความปลอดภัยเบื้องต้นอย่างการใช้โปรแกรมแอนตี้ไวรัส องค์กรควรใช้โปรแกรมสแกนเครือข่ายเพื่อตรวจหามัลแวร์และประเมินผลเป็นประจำ นอกจากการใช้โปรแกรมแล้ว สิ่งสำคัญที่ควรทำคือการวิเคราะห์การแจ้งเตือนและแก้ปัญหาการถูกบุกรุกข้อมูล ซึ่งในบางครั้ง เราอาจไม่สนใจการแจ้งเตือนจากโปรแกรมแอนตี้ไวรัส และเมื่อรู้อีกทีว่าข้อมูลรั่วไหลก็สายไปแล้ว จากผลการศึกษามูลค่าความเสียหายจากข้อมูลที่รั่วไหลของ IBM พบว่าใช้เวลาเฉลี่ยถึง 280 วันเพื่อแยกแยะและเรียกคืนข้อมูลที่รั่วไหลกลับมา

6. Patch management

การจัดการแพตช์ คือ การอัพเดทซอฟต์แวร์ในองค์กรให้ทันสมัยอยู่เสมอ หรือหากซอฟต์แวร์ยังเป็นเวอร์ชั่นเก่า ก็ให้ตรวจสอบและประเมินว่าซอฟต์แวร์ที่ใช้อยู่มีความปลอดภัยเพียงพอหรือไม่

7. Vulnerability management

การบริหารความเสี่ยงโดยให้องค์กรพิจารณาการทำ Penetration test เพื่อตรวจสอบช่องโหว่ในระบบกับทำ security updates เพื่อให้แน่ใจว่าระบบยังใช้การได้ดีอยู่ และทำ vulnerability management โดยทดสอบระบบ OS และแอปพลิเคชั่น เพื่อปิดช่องโหว่ในระบบ

8. Backup management

องค์ประกอบความมั่นคงปลอดภัยของข้อมูล (CIA) ได้แก่ Confidential คือ สิทธิและการเข้าถึงข้อมูล, Integrity คือ ความถูกต้องของข้อมูล และ Availability คือ ความพร้อมใช้งานข้อมูล เมื่อข้อมูลได้รับผลกระทบหรือถูกบุกรุก จึงขาด Availability ไป เพื่อป้องกันไม่ให้เกิดการสูญเสียข้อมูลทั้งจากภัยธรรมชาติ มัลแวร์หรือจากแฮกเกอร์ องค์กรจะต้องมีการสำรองและกู้คืนข้อมูลได้ มิฉะนั้น จะมีโทษตามกฎหมาย PDPA การสำรองข้อมูลทำได้ด้วยการเก็บข้อมูลสำรองทั้งหมดอย่างน้อย 1 ชุดไว้นอกเครือข่าย ข้อมูลเหล่านี้จะถูก encrypted ไว้หรือสามารถลบทำลายได้

9. การฝึกอบรมพนักงานด้าน Cyber security

นโยบายรักษาข้อมูลส่วนบุคคลอีกวิธีคือการฝึกอบรมให้พนักงานในองค์กรรู้วิธีรับมือกับปัญหาทาง cyber security อย่างสม่ำเสมอ พนักงานในองค์กรอาจมีความรู้จำกัดเกี่ยวกับภัยคุกคามทางไซเบอร์ ซึ่งข้อผิดพลาดของมนุษย์อาจทำให้ข้อมูลส่วนบุคคลรั่วไหลได้ เช่น การส่งอีเมลที่มีข้อมูลส่วนบุคคลไปที่ผู้รับผิดคน หรือเปิดอีเมลไวรัส ดังนั้น พนักงานทุกระดับจะต้องรู้หน้าที่ มีความรับผิดชอบและควรเรียนรู้ แยกแยะความแตกต่างของภัยคุกคามแต่ละประเภท เช่น อีเมลฟิชชิ่ง หรือรับรู้ถึงความเสี่ยงที่เกี่ยวข้องกับการเผยแพร่ข้อมูลทางธุรกิจผ่านช่องทางโซเชียลมีเดีย

10. Data encryption

การเข้ารหัสข้อมูล (encryption) เป็นวิธีการรักษาความมั่นคงปลอดภัยเพื่อให้ปฏิบัติตามกฎหมาย PDPA การ เข้ารหัสข้อมูลส่วนบุคคลทั้ง data at rest และ data in transit จะช่วยป้องกันข้อมูลให้ปลอดภัยจากอาชญากรรมไซเบอร์ นอกจากนี้ ยังแนะนำให้ใช้ https certificates เพื่อเพิ่มความปลอดภัยทางออนไลน์อีกด้วย

11. Data minimization

คือ การจัดเก็บข้อมูลเท่าที่จำเป็น เพื่อเป็นการปฏิบัติตามกฎหมาย PDPA องค์กรจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลให้ถูกต้องแม่นยำและไม่เกินระยะเวลาที่ขอความยินยอมไว้ ซึ่งในบางองค์กรอาจเก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากที่ไม่จำเป็นต้องใช้แล้ว ถ้าข้อมูลยังอยู่ในช่วงเวลาที่ใช้ได้หรืออยู่ในระยะเวลาการเก็บรักษา ก็จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม หากไม่จำเป็นต้องใช้ข้อมูลนั้นแล้ว ก็ควรลบทำลายข้อมูลตามนโยบายการเก็บรักษาข้อมูลขององค์กร

การจัดให้มีสิ่งแวดล้อมด้าน IT ที่มั่นคงปลอดภัยนับว่าเป็นภารกิจที่ท้าทายอย่างยิ่ง อย่างไรก็ตาม คำแนะนำที่กล่าวมาถือเป็นจุดเริ่มต้นที่ดีที่จะทำให้องค์กรของคุณปฏิบัติตาม PDPA ได้อย่างถูกต้อง

อ้างอิง : Cost of a Data Breach Study | IBM