บทเรียน “กรณีความบกพร่องต่อการรักษาความลับของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ”

Loading

สำนักข่าวรอยเตอร์ได้รายงานข่าวในวันที่ 6 ตุลาคม 2559 ตามเวลาประเทศสหรัฐฯ หัวข้อข่าว “N.S.A. contractor charged with stealing secret data” ระบุว่าสำนักงานสืบสวนกลางสหรัฐฯ (FBI) ได้จับกุมนายแฮโรลด์มาร์ติน เจ้าหน้าที่บริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน อิงค์ (Booz, Allen & Hamilton Inc.) ผู้รับเหมาของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (N.S.A.) โดยนายมาร์ตินถูกดำเนินคดีในความผิดทางอาญาข้อหาขโมยทรัพย์สินของทางราชการ เคลื่อนย้ายหรือเก็บรักษาสิ่งที่เป็นเอกสารหรือวัสดุที่มีชั้นความลับของราชการหรือของบริษัทรับเหมาโดยไม่ได้รับอนุญาต โดยหลักฐานถูกพบในที่พักและยานพาหนะเป็นเอกสารและข้อมูลดิจิทัลที่เป็นข้อมูลชั้นลับที่สุดและ/หรือมีเนื้อหาอ่อนไหว นอกจากนั้นยังมีคำสั่งหรือโค๊ดในโปรแกรม ซึ่งเขียนด้วยภาษาคอมพิวเตอร์ (source code) ที่สหรัฐใช้สำหรับการแฮ็กระบบของรัฐบาลในรัสเซีย จีน เกาหลีเหนือ และอิหร่าน มุมมองด้านการรักษาความปลอดภัย การให้บุคคลภายนอกหรือภาคเอกชนเป็นผู้สร้างและพัฒนา รวมถึงดูแล ซ่อมบำรุงระบบ (Network) ของหน่วยงาน/องค์กรรัฐซึ่งทำให้สามารถเข้าถึงข้อมูลของระบบได้ทั้งหมด ทำให้ง่ายต่อการแฮ็กข้อมูลหรือขโมยข้อมูลและจากกรณีศึกษาดังกล่าวบริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน ประกอบธุรกิจที่ปรึกษาเกี่ยวกับการบริหารจัดการองค์กรและเทคโนโลยี ซึ่งหลายหน่วยงานภาครัฐของสหรัฐฯ ใช้บริการ เช่น กระทรวงกลาโหม สำนักงานความมั่นคงแห่งชาติสหรัฐฯ…

ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย

Loading

กสทช. ร่วมกับเครือข่ายพลเมืองเน็ต (Thai Netizen Network) จัดประชุม NBTC Public Forum ครั้งที่ ๖/๒๕๕๙ เรื่อง “ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย” เมื่อวันที่ ๑๓ ตุลาคม ๒๕๕๙ ณ โรงแรมเอเชีย กรุงเทพฯ สรุปสาระสำคัญ ดังนี้ ๑.  หลักการป้องกันข้อมูลที่ต้องคำนึงถึง ได้แก่ ๑) วัตถุประสงค์และรูปแบบ/วิธีการเก็บข้อมูล ๒) ความถูกต้องของข้อมูลและกำหนดระยะเวลาการเก็บรักษาข้อมูล ๓) วิธีการใช้ข้อมูลส่วนบุคคล ๔) การรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การเข้ารหัส (Encryption) การซ่อนข้อมูล (Masking/Hiding) ๕) ข้อมูลข่าวสารพร้อมใช้งานทั่วไป และ ๖) การเข้าถึงข้อมูลส่วนบุคคล ทุกประเด็นที่กล่าวมามีใจความสำคัญด้านการรักษาความปลอดภัย คือ ๑) การรักษาความปลอดภัยข้อมูลส่วนบุคคล ๒) การเก็บรักษาข้อมูล ๓) การลบข้อมูล โดยหน่วยงานต้องมีการจำกัดระดับ (Level) และกำหนดสิทธิ์ของผู้ใช้งาน…