สปาย vs สปาย

Loading

  หัวข้อนี้วันนี้เป็นเรื่องเกี่ยวกับสปาย ทำให้คิดถึงหนังสือการ์ตูนฝรั่งระหว่าง “สปายขาว” กับ “สปายดำ” โดยใช้นกสองตัว (คล้ายกับอีกาบ้านเรา) เป็นตัวแทนของสปายแต่ละข้าง มีการเฉือนคมกันอย่างสนุกสนาน ผลัดกันแพ้ผลัดกันชนะ คนเขียนการ์ตูนเรื่องนี้นับว่าสมองอัจฉริยะจริง ๆ จึงขออนุญาตมาตั้งเป็นหัวข้อเรื่องนี้ เพราะวันนี้จะเขียนเรื่องเกี่ยวกับองค์กรสปายของโลกตามคำขอของผู้อ่านบางท่าน เพื่อจะให้หายเครียดจากโควิด 19 บ้าง   ผู้อ่านถามมาว่า หน่วยข่าวกรองของประเทศไหนที่ถือว่ายอดเยี่ยมที่สุดสิบอันแรกของโลก แต่ไม่ได้ระบุว่ายอดเยี่ยมที่สุดในแบบไหน เจ้าหน้าที่มากที่สุด หรืองบประมาณมากที่สุด หรือทำงานเก่งที่สุดแบบเจมส์บอนด์ ฯลฯ และขอให้วิเคราะห์ถึงข่าวล่าสุดที่ ซี.ไอ.เอ. ร่วมมือกับหน่วยข่าวเดนมาร์ก ดักฟังโทรศัพท์ของผู้นำเยอรมนี อังกฤษ และผู้นำอีกหลายประเทศคงจะโดนไปด้วย พร้อมกับคำถามว่า ในวงการนี้ เพื่อนกันเขาทำกับเพื่อนทำนองนี้ได้ด้วยหรือ   วันนี้ขอเขียนเรื่องสิบอันดับแรกเยี่ยมยอดของหน่วยข่าวกรองหรือสมัยก่อนเรียกว่าหน่วยสืบราชการลับที่เราเคยดูบ่อย ๆ ในภาพยนต์ซึ่งน่าตื่นเต้นดี   ยังไม่มีสถาบันจัดลำดับใดเคยจัดลำดับองค์กรข่าวกรองโลกมาก่อน จึงต้องไปค้นจาก “วิกีพีเดีย” ซึ่งตั้งหัวข้อไว้ว่า สิบอันดับหน่วยข่าวเยี่ยมของโลก คือ (1) สำนักวิจัยและวิเคราะห์ (R&A wing) ของอินเดีย (2) มอสสาด ของอิสราเอล (3)…

ความท้าทายที่มา ‘จนท.คุ้มครองข้อมูลส่วนบุคคล’

Loading

  ทำความรู้จัก “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) กลไกสำคัญในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลายๆ ประเทศ   “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ DPO (Data Protection Officer) เป็นกลไกสำคัญในการพิสูจน์ให้เห็นถึงการปฏิบัติตามหลักความรับผิดชอบ เนื่องจากเป็นกลไกสำคัญในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลายๆ ประเทศ อาทิ สหภาพยุโรปและประเทศไทย ก่อนการบังคับใช้ GDPR มีการคาดการณ์ว่าจะทำให้มีความต้องการตำแหน่ง DPO เพื่อให้สอดคล้องกับกฎหมายไม่น้อยกว่า 75,000 อัตรา (IAPP 2016)   ในขณะที่ข้อมูลการศึกษาของ IAPP-EY Annual Governance Report of 2019 ระบุว่ามีองค์กรไม่น้อยกว่า 5 แสนองค์กรได้ดำเนินการจดทะเบียน DPO กับหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่างๆ ในสหภาพยุโรป (Data Protection Authorities, DPAs) ซึ่งสูงกว่าจำนวนที่คาดไว้มาก   IAPP-EY Report 2019 ยังแสดงข้อมูลให้เห็นด้วยว่า จากจำนวนบริษัทที่ทำการสำรวจ 375 องค์กร พบว่าร้อยละ…

Cyber Attack – คลื่นใต้น้ำแห่งยุคดิจิทัลที่ต้องจับตามอง

Loading

  ในรอบหนึ่งเดือนที่ผ่านมา มีเหตุโจมตีทางไซเบอร์เกิดขึ้นกับธุรกิจขนาดใหญ่แทบทุกสัปดาห์ก็ว่าได้ โดยสองเหตุการณ์ที่สั่นคลอนความเชื่อมั่นของภาคธุรกิจมากที่สุดคงหนีไม่พ้นการโจมตีระบบท่อส่งน้ำมันของบริษัทโคโลเนียล ไปป์ไลน์ในสหรัฐโดยกลุ่มแฮกเกอร์ที่ใช้ชื่อในวงการว่า ดาร์กไซด์ (DarkSide) และเหตุโจมตีเซิร์ฟเวอร์ของบริษัท JBS SA ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกจากบราซิล ซึ่งการโจมตีทั้งสองครั้งแฮกเกอร์ได้ปล่อยแรนซัมแวร์หรือมัลแวร์เรียกค่าไถ่เข้าโจมตีระบบของบริษัทจนสร้างความปั่นป่วนไม่น้อย   In Focus สัปดาห์นี้ ขอพาผู้อ่านแกะรอยข่าวการเรียกค่าไถ่ด้วยแรนซัมแวร์ที่ครองพื้นที่สื่อทั่วโลกในช่วงที่ผ่านมา รวมถึงประเด็นที่น่าสนใจอื่นๆ เกี่ยวกับภัยจากอาชญากรรมทางไซเบอร์   ย้อนรอยเหตุจับข้อมูลเป็นตัวประกัน เรียกค่าไถ่โคโลเนียล ไปป์ไลน์-JBS SA   เมื่อวันที่ 7 พ.ค.ที่ผ่านมา สื่อหลายสำนักรายงานว่า บริษัทโคโลเนียล ไปป์ไลน์ ซึ่งเป็นผู้ดูแลท่อส่งน้ำมันรายใหญ่ของสหรัฐได้ถูกโจมตีด้วยแรนซัมแวร์ ส่งผลให้ต้องปิดเครือข่ายการส่งน้ำมันไปยังหลายรัฐทางภาคตะวันออกของสหรัฐ ซึ่งการโจมตีดังกล่าวได้สร้างความวิตกทั้งในภาครัฐและเอกชน เนื่องจากปริมาณน้ำมันเชื้อเพลิงที่บริษัทโคโลเนียล ไปป์ไลน์ทำการขนส่งนั้นมีปริมาณ 2.5 ล้านบาร์เรลต่อวัน หรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซิน และเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐ โดยไม่กี่วันหลังเหตุโจมตีดังกล่าว รัฐบาลสหรัฐได้ประกาศภาวะฉุกเฉินด้านพลังงานเพื่อแก้ปัญหาเรื่องการขนส่งน้ำมันเชื้อเพลิง และในวันที่ 11 พ.ค. โคโลเนียล ไปป์ไลน์เปิดเผยว่า ท่อส่งน้ำมันของบริษัทได้เริ่มกลับมาดำเนินการได้บางส่วนแล้ว   ด้านผู้เชี่ยวชาญซึ่งร่วมสอบสวนกรณีการโจมตีด้วยแรนซัมแวร์ระบุว่า เหตุการณ์ดังกล่าวอาจเป็นฝีมือของกลุ่มอาชญากรที่มีชื่อว่า ดาร์กไซด์…

เมื่อ Bitcoin เก็บความลับไม่อยู่ มันจึงสั่นสะเทือน

Loading

  ราคาของ Bitcoin ร่วงลงอีกครั้งในวันอังคารท่ามกลางการเทขายอย่างรุนแรงท่ามกลางการทะเขายคริปโตอย่างหนักด้วยเหตุผลต่างๆ นานา สื่อต่างประเทศบางแห่งชี้ว่าการเทขาย Bitcoin อาจเกี่ยวข้องกับความกังวลเรื่องความปลอดภัยของสกุลเงินดิจิทัล หลังจากที่เจ้าหน้าที่ของสหรัฐสามารถกู้คืนค่าไถ่ส่วนใหญ่ที่จ่ายให้กับแฮกเกอร์ในรูปของ Bitcoin ซึ่งเป็นแฮกเกอร์ที่ทำการเจาะระบบเข้าโจมตีบริษัทท่อส่ง Colonial Pipeline จนสั่นสะเทือนอุตสาหกรรมพลังงานของสหรัฐ   อันที่จริงแล้วมันก้ำกึ่งระหวาง “เรื่องความปลอดภัย” และ “ความมั่นคง” และทั้งสองคำนี้ในภาษาอังกฤษใช้คำเดียวกันคือ Security ในแง่ของผู้ใช้ Bitcoin ข้อดีข้อหนึ่งของมันคือมีความปลอดภัยในเรื่องข้อมูล แต่ในแง่ของเจ้าหน้าที่บ้านเมือง Bitcoin มีส่วนทำให้เกิดปัญหาด้วยความมั่นคงได้ถ้ามันถูกใช้โดยอาชญากรอย่างกรณีของแฮกเกอร์กลุ่มดังกล่าว   สำนักข่าว AFP รายงานว่าที่ผ่านมาหน่วยงานกำกับดูแลได้วิพากษ์วิจารณ์การเติบโตของคริปโตหลายครั้งหลายหน เช่น Bitcoin เนื่องจากความนิยมในหมู่อาชญากร อย่างไรก็ตาม ธุรกรรมที่โปร่งใสของเทคโนโลยี Bitcoin ก็สามารถนำมาใช้จัดการผู้ฝ่าฝืนกฎหมายได้เหมือนกัน   แฮกเกอร์อาชญากรไซเบอร์ที่เรียกตัวเองว่า Darkside และเป็นกลุ่มที่เรียกค่าดึงค่าไถ่ 4.4 ล้านดอลลาร์ในรูปของ Bitcoin จากบริษัทน้ำมัน Colonial Pipeline ได้รับบทเรียนจากความเป็นดาบสองคมของ Bitcoin   หลังจากการกรรโชกทรัพย์บริษัทใหญ่โดยอาศัยแรนซัมแวร์ทำให้ปิดเครือข่ายเชื้อเพลิงหลักในภาคตะวันออกของสหรัฐเมื่อเดือนที่แล้ว กระทรวงยุติธรรมสหรัฐกล่าวว่าได้เรียกคืนเงินจำนวน 2.3 ล้านดอลลาร์จากการติดตามธุรกรรมทางการเงินแล้ว…

โดรนออกล่าสังหารมนุษย์ด้วยตัวมันเองโดยไม่ได้รับคำสั่ง

Loading

  นี่ไม่ใช่พล็อตเรื่องจากภาพยนต์ แต่เป็นเรื่องจริงเมื่อปัญญาประดิษฐ์สั่งการอาวุธสังหารให้ออกไล่ล่าเอง นิตยสาร New Scientist รายงานว่าได้รับข้อมูลจากรายงานของสหประชาชาติ (UN) เรื่องโดรนติดอาวุธที่ “ตามล่าเป้าหมายของมนุษย์” โดยไม่ได้รับคำสั่ง ซึ่งน่าจะเป็นครั้งแรกที่โดรนทำนอกเนหือคำสั่งของมนุษย์ด้วยการไล่ล่าเพื่อสังหารมนุษย์ด้วยตัวมันเอง ในเหตุการณ์เมื่อเดือนมีนาคม 2020 โดรน Kargu-2 โจมตีบุคคลหนึ่งโดยอัตโนมัติระหว่างความขัดแย้งระหว่างกองกำลังของรัฐบาลลิเบียและกลุ่มทหารนำโดยคาลิฟา ฮาฟตาร์ กองทัพแห่งชาติลิเบีย Kargu-2 สร้างขึ้นในตุรกี ซึ่งเป็นโดรนโจมตีที่หวังผลถึงชีวิตออกแบบมาสำหรับการทำสงครามแบบอสมมาตรและการปฏิบัติการต่อต้านการก่อการร้าย Kargu-2 ยังเป็นโดรนที่บินได้ซึ่งใช้อัลกอริธึมการเรียนรู้ด้วยเครื่องและการประมวลผลภาพแบบเรียลไทม์เพื่อติดตามและมีส่วนร่วมกับเป้าหมายโดยอัตโนมัติ โดรน Kargu-2 ตัวนี้มุ่งเป้าไปที่ทหารคนหนึ่งของ ฮาฟตาร์ขณะที่เขาพยายามจะล่าถอย ตามรายงานของหนังสือพิมพ์ Daily Star และ New York Post รายงานว่าในเวลานั้นโดรนกำลังทำงานในโหมดอิสระที่ “มีประสิทธิภาพสูง” ซึ่งไม่จำเป็นต้องมีคนควบคุม” รายงานจากคณะผู้เชี่ยวชาญของคณะมนตรีความมั่นคงแห่งสหประชาชาติในลิเบียกล่าวว่า “ระบบอาวุธสังหารอัตโนมัติร้ายแรงได้รับการตั้งโปรแกรมให้โจมตีเป้าหมายโดยไม่ต้องมีการเชื่อมต่อข้อมูลระหว่างผู้ปฏิบัติงานกับอาวุธ อันที่จริงแล้วคือความสามารถในการ ‘ยิง ลืม และค้นหา’ (fire, forget and find) อย่างแท้จริง” ทั้งนี้ Fire-and-forget เป็นขีปนาวุธประเภทหนึ่งที่ไม่ต้องการคำสั่งเพิ่มเติมหลังจากการยิง เช่น การส่องสว่างของเป้าหมายหรือการนำทางด้วยวิทยุ และสามารถยิงถูกเป้าหมายโดยที่เครื่องยิงจรวดไม่อยู่ในแนวสายตาของเป้าหมาย…

สิ่งที่องค์กรยังต้องทำ แม้มีการเลื่อน PDPA ออกไปอีก1ปี

Loading

  แม้ว่า พ.ร.บ.คุ้มครองข้อมูลสวนบุคคล 2562 หรือที่เรียกกันติดปากว่า PDPA จะได้ถูกเลื่อนการมีผลบังคับใช้กับหน่วยงานจากการเลื่อนรอบแรกให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2564 ไปเป็น 1 มิถุนายน 2565 เป็นต้นไป แต่ยังมีเรื่องที่องค์กรยังต้องดำเนินการอยู่เรื่องหนึ่ง ที่ผู้บริหารในหลายองค์กรได้รับทราบค่อนข้างน้อยหรือรับทราบ แต่ให้ความสนใจค่อนข้างน้อย นั่น คือ   การที่ต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 โดยรัฐมนตรีฯได้ลงนามในประกาศไปเมื่อ เมื่อ วันที่ 24 มิถุนายน พ.ศ. 2563 และได้ให้มีผลบังคับใช้ไปถึงวันที่ 31 พฤษภาคม 2564 และได้มีประกาศเพิ่มเติมให้ยืดการมีผลบังคับใช้ไปจนถึง วันที่ 31 พฤษภาคม 2565   เนื้อหาหลักของประกาศฉบับนี้ได้วางแนวทางที่เป็นฐานสำคัญของการบริหารข้อมูลส่วนบุคคลคือ การกำหนดมาตรฐานความมั่นคงปลอดภัย เพราะหากการรักษาความมั่นคงปลอดภัยหรือที่เรียกกันติดปากว่า Data Security ไม่ได้มาตรฐานที่ควรจะเป็นแล้ว การดูแลข้อมูลส่วนบุคคลให้ได้ตามข้อกำหนดของพรบ.คุ้มครองข้อมูลส่วนบุคคล ก็จะทำได้บนความเสี่ยงที่จะเกิดปัญหาอย่างที่เราได้รับทราบข่าวเรื่องการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลอยู่เป็นระยะ   ประกาศฉบับนี้ได้ให้ความหมายของคำว่า “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” เอาไว้ในช้อ…