การรักษาความมั่นคงปลอดภัยของข้อมูลและการแจ้งเหตุการละเมิด

Loading

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องปฏิบัติ เมื่อดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล   หน้าที่ที่สำคัญประการหนึ่งขององค์กร คือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Security of Processing/Data Security)   และในกรณีที่ “มาตรการรักษาความมั่นคงปลอดภัย” ดังกล่าวที่องค์กรดำเนินการไม่เป็นไปตามมาตรฐานหรือเกิดข้อผิดพลาด อันอาจนำไปสู่เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach)   องค์กรก็จะมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification)   หน้าที่ในส่วนของ “การมีมาตรการรักษาความมั่นคงปลอดภัย” และ “การแจ้งเหตุการละเมิด” จึงเป็นสองหน้าที่ที่มาควบคู่กันเสมอ   ในระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรนำเข้าและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรก็มีหน้าที่ต้องดูแลรักษา และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล   องค์กรก็ต้องรีบดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมาย   เพื่อให้มีการประเมินและพิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเร็ว   พร้อมทั้งดำเนินการเยียวยาแก้ไขความเสียหายและผลกระทบใด ๆ ที่อาจมีต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการปกป้องส่วนได้เสียต่าง ๆ ของผู้ใช้บริการ/ประชาชน   ตามประกาศฯ มาตรการรักษาความมั่นคงปลอดภัย ข้อ…

แฮ็กเกอร์บอกเอง มีอะไรซ่อนอยู่บน DarkWeb

Loading

    เว็บไซต์ Vice ได้เปิดเผยคลิปที่สัมภาษณ์ Hacker คนหนึ่ง ที่เคยเป็น BlackHat มาก่อน ซึ่งสิ่งที่เขานำมาแชร์เป็นเบื้องลึกที่น่าสนใจของ DarkWeb ว่า มันมีอะไรอยู่ในนั้น ทำไมแฮ็กเกอร์ นักฆ่า เจ้าพ่อค้ายาเสพติด และกลุ่มอื่น ๆ ถึงชอบเข้าไปใช้งานกันนักหนา   เขาบอกว่า ปัจจุบัน ถ้าเป็นแฮ็กเกอร์ จะแบ่งออกเป็นสองกลุ่มใหญ่ ๆ คือ Whitehat กับ Blakchat ก็ตามชื่อเลยครับ ฝั่ง BlackHat ก็จะทำให้ในสิ่งที่ผิดกฏหมายนั่นแหละ ปัจจุบันแฮ็กเกอร์สายหมวกดำ จะเน้นใช้ Ransomware ในการหาเงินให้กับตัวเอง และมีอีกบางกลุ่มที่อยากเห็นโลก “มอดไหม้” ด้วยมือของเขาเอง (ทำแล้วสนุกนั่นแหละ) พร้อมกับอธิบายว่า ระบบใด ๆ ก็ตามที่เชื่อมต่อกับอินเทอร์เน็ต มีความเสี่ยงที่จะถูกโจมตี   เขาเคยเฝ้าดูโรงพยาบาลที่ถูกโจมตีด้วย Ramsomware และเห็นถึงทางเลือกของคนป่วยแค่ 2 แบบคือ ยอมจ่ายเงินเพื่อกู้คืนระบบกลับมา หรือยอมเสี่ยงชีวิต…

ยูเครนคือสมรภูมิ ประลองอาวุธ AI

Loading

    สมรภูมิรบในยูเครนได้กลายเป็น “โชว์รูม” แห่งอาวุธที่ใช้เทคโนโลยีก้าวล้ำกว่าสงครามโลกครั้งที่สองหลายมิติ   เป็นสนามประลองที่เราได้เห็นการใช้ “โดรนกามิกาเซ่” ที่มีประสิทธิภาพสูงกว่าสงครามครั้งก่อนๆ   เราเห็นการใช้ AI เพื่อประเมินข้อมูลที่มีความสำคัญต่อการวางยุทธศาสตร์การสู้รบ   เราเห็นเครือข่ายดาวเทียม StarLink ของ SpaceX ของอีลอน มัสก์ ที่มีดาวเทียมจิ๋วๆ จำนวนมากลอยอยู่เหนือยูเครนเพื่อให้ทหารได้ใช้อินเตอร์เน็ตเชื่อมต่อกับสัญญาณจากสถานีภาคพื้นดินแม้ในแนวรบที่ห่างไกล   การที่กองทัพยูเครนไม่ถูกทหารรัสเซียถล่มโจมตีจนต้องยกธงขาวในสองสามสัปดาห์แรกก็เพราะหน่วยงานด้านเทคโนโลยีของยูเครนโดยการสนับสนุนจากตะวันตกส่งข้อมูลสำคัญๆ บนคลาวด์เพื่อจะปกป้องข้อมูลหลักๆ ไม่ให้ถูกทำลายด้วยขีปนาวุธรัสเซียที่ถล่ม “โครงสร้างพื้นฐาน” ด้านทหารและความมั่นคงของยูเครน   กระทรวงดิจิทัลของยูเครนที่เพิ่งตั้งขึ้นก่อนสงครามเกิดประมาณสองปีปรับตัวทันทีที่ทหารรัสเซียบุก…ด้วยการใช้ Apps ที่ชื่อ Diia เพื่อเก็บข้อมูลจาก open source intelligence หรือข้อมูลข่าวกรองที่ได้จากแหล่งข่าวที่เปิดเผย   เมื่อมี apps นี้แล้วประชาชนยูเครนทั้งหลายสามารถที่จะส่งรูปและคลิปวิดีโอขึ้นไปเพื่อรายงานที่ตั้งของฝ่ายศัตรูให้หน่วยงานทางการได้รับรู้   เหมือนประชาชนเป็นสายข่าวทหารให้กับทั้งกองทัพผ่านมือถือของตน   พอรัสเซียส่งโดรนที่ทำจากอิหร่านมาโจมตีเป้าหมายในสนามรบ ยูเครนก็โต้ตอบด้วยการส่งโดรนของตนที่ออกแบบมาเพื่อการสกัดโครนคู่ต่อสู้โดยเฉพาะ   และทหารยูเครนก็ได้รับการฝึกฝนให้ใช้อาวุธจากตะวันตกที่ตนไม่คุ้นเคยมาก่อน   เกิดปรากฏการณ์ที่เรียกว่าการแข่งขันใช้นวัตกรรมแบบ “แมวกับหนู” ระหว่างรัสเซียกับยูเครนในสนามรบ   เมื่อยูเครนตัวเล็กกว่า…

ช่องทางทำกิน!! ชี้คนไทยฟ้องแพ่งรัฐได้หากพบทำข้อมูลรั่วสูงสุด 5 ล้านบาท

Loading

    ขู่องค์กรเตือนหน่วยงานเก็บข้อมูลส่วนบุคคลต้องได้มาตรฐานทำรั่วไหลโดนปรับทางปกครอง- ปชช.ฟ้องแพ่งได้ ย้ำตามกฎหมายต้องรีพอร์ตสำนักงานสคส. ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูล ให้รับทราบด้วย   นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า ปัจจุบันปัญหาข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากระบบการเก็บข้อมูลส่วนบุคคลขององค์กรต่างๆ ที่เป็นผู้ควบคุมข้อมูล ยังไม่ได้มาตรฐาน และบุคคลในองค์กรเป็นผู้ทำรั่วไหลเอง รวมถึงการถูกแฮ็กเกอร์ทำการแฮ็กข้อมูลในระบบ ฯลฯ ซึ่งตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ พีดีพีเอ ผู้ควบคุมข้อมูลจำเป็นต้องเก็บข้อมูลส่วนบุคคล ให้มีความปลอดภัย ไม่ให้รั่วไหล   หากเกิดกรณีทำข้อมูล ของประชาชนรั่วไหลแล้ว ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูลให้รับทราบด้วย ซึ่งหากการสอบสวนผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) พิจารณา ออกมาว่าองค์กรนั้นๆ มีความบกพร่อง ไม่ได้มาตรฐานขั้นต่ำ มีความผิดจริง ก็จะมีโทษปรับทางปกครองตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท…

ฮ่องกงออกกฎหมายคุมเข้มการชุมนุม ต้องถือเทปล้อมขบวน เช็คเนื้อหา ห้ามกระทบความมั่นคง

Loading

    สื่ออาวุโสในฮ่องกงชี้ปัญหากฎหมายควบคุมการชุมนุมฉบับใหม่ของฮ่องกงที่มีเงื่อนไขยาวเหยียด คุมเข้มทั้งเนื้อหาที่ห้ามกระทบความมั่นคงและรูปแบบการชุมนุมที่คนร่วมต้องติดแท็กเบอร์ ต้องถือเทปกั้นล้อมขบวนชุมนุมเองและห้ามออกนอกแนวเทปกั้น แม้แต่ผู้ชุมนุมยังมองว่ามันเป็นกฎที่ “ไร้สาระจนน่าหัวเราะ”   ย้อนไปเมื่อปี 2562 ในช่วงที่มีการลุกฮือของประชาชนในฮ่องกงที่ต่อสู้เรียกร้องประชาธิปไตยและเสรีภาพทางการเมืองจากจีนแผ่นดินใหญ่ ในตอนนั้นมีนักกิจกรรมฮ่องกงที่ร้องเรียนว่าเจ้าหน้าที่ตำรวจฮ่องกงไม่ยอมปฏิบัติตามกฎหมาย เพราะไม่ยอมแสดงหมายเลขประจำตัวหรือยศขณะเข้าปราบปรามผู้ชุมนุม   ทิม แฮมเลตต์ ที่ทำงานสื่อในฮ่องกงมาตั้งแต่ปี 2523 และปัจจุบันเกษียณอายุแล้ว ระบุว่ามันกลายเป็นเรื่องย้อนแย้งในแบบที่อธิบดีกรมตำรวจฮ่องกงไม่ทันได้นึกถึง เนื่องจากกฎหมายควบคุมการประท้วงฉบับใหม่ของฮ่องกงบังคับให้ประชาชนที่มาชุมนุมต้องติดป้ายหมายเลขลำดับด้วย แต่กลับไม่บังคับให้ตำรวจทำในสิ่งเดียวกัน   กฎหมายฉบับนี้ออกมาเมื่อช่วงปลายเดือน มี.ค. ที่ผ่านมา และหลังจากนั้นไม่นานก็มีการประท้วงเล็กๆ ที่ย่านเจิ้งกวนโอ แม้สื่อจะรายงานว่าเป็นการเดินขบวน “ทางการเมือง” ครั้งแรกนับตั้งแต่เกิดโควิด แต่ก็เป็นเพียงการประท้วงต่อต้านการปรับปรุงภูมิทัศน์หน้าบ้านของพวกเขา เช่น การเทคอนกรีต และวางสิ่งของอื่นๆ   ทางอธิบดีกรมตำรวจฮ่องกงออก “จดหมายแจ้งไม่ขัดข้อง” ให้กับผู้ชุมนุมกลุ่มดังกล่าว ซึ่งจดหมายนี้เป็นจดหมายที่ผู้ประท้วงฮ่องกงต้องได้มาเมื่อจะชุมนุม แต่การจะได้จดหมายที่ว่านี้ต้องผ่านเงื่อนไขยาวเหยียด   ในการชุมนุมดังกล่าวนี้มีผู้ชุมนุมเข้าร่วม 80 ราย ซึ่งอาจจะน้อยกว่าตำรวจที่วางกำลังเพื่อรักษาความปลอดภัยเสียอีก และผู้ชุมนุมเหล่านี้ก็ถูกกำหนดให้ต้องติดหมายเลขของผู้ชุมนุม นอกจากนี้ยังต้องให้ผู้ชุมนุมคอยถือเทปกั้นเขตของตำรวจล้อมขบวนไว้ระหว่างเดินจัดเป็น “เขตประท้วง” ซึ่งชาวเน็ตเรียกมันว่า “เทปสถานที่เกิดเหตุอาชญากรรม”   ในกฎการชุมนุมฉบับใหม่ของฮ่องกงยังกำหนดอีกว่าเมื่อการเดินขบวนเริ่มต้นแล้ว จะไม่มีใครอนุญาตให้เข้าไปในพื้นที่ที่มีเทปกั้นเด็ดขาด ถึงแม้ว่าคุณจะมาประท้วงสายก็ตาม…

Bluebik Titans แนะวิธีปกป้ององค์กรขั้นต้น ก่อนถูกโจมตีขโมยข้อมูลไปขายใน Dark Web

Loading

    หลังจากทั้งโลกได้ทรานส์ฟอร์มเข้าสู่ยุคดิจิทัลมากขึ้นเรื่อย ๆ ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ก็ได้กลายเป็นหนึ่งในเรื่องที่ทุกองค์กรต้องพิจารณาและให้ความสำคัญอย่างต่อเนื่อง เพราะถ้าหากเกิดเหตุภัยคุกคามไม่ว่าจะเป็นการถูกละเมิดข้อมูล (Data Breach) ข้อมูลถูกทำลาย หรือเอาไปขายใน Dark Web แล้วเรียกค่าไถ่ สิ่งต่าง ๆ อาจผลกระทบรุนแรงจนทำให้ธุรกิจจำต้องหยุดชะงักลงได้   เมื่อวานนี้ ทีมงาน TechTalk Thai ได้มีโอกาสสัมภาษณ์พูดคุยกับคุณพลสุธี ธเนศนิรัตศัย ผู้อำนวยการแห่ง Bluebik Titans และคุณรชต ถาวรเศรษฐ รองผู้อำนวยการแห่ง Bluebik Titans ซึ่งทั้งสองท่านได้แนะนำวิธีการปกป้ององค์กรขั้นต้น ที่ทุกองค์กรควรต้องดำเนินการเป็นอย่างน้อย เพื่อปกป้องไม่ให้ผู้ไม่ประสงค์ดีมาโจมตีหรือขโมยข้อมูลองค์กรเอาไปขายใน Dark Web ได้อย่างง่ายดายจนเกินไป     เว็บไซต์บนโลก มีมากกว่าที่เห็น   ปัจจุบันที่ทุกคนท่องเว็บไซต์อยู่บนโลกอินเทอร์เน็ตนั้น ถือว่าเป็นเพียงแค่ 5% ของเว็บทั้งหมดบนโลกเท่านั้น เพราะว่าเว็บไซต์บนโลก แบ่งออกเป็น 3 ประเภทใหญ่ ๆ ได้แก่  …