Category Archives: บทความน่าสนใจ

แนวคิดในการนำเอไอมาใช้กับข้อมูลส่วนบุคคล

โดย จรัล งามวิโรจน์เจริญ Chief Data Scientist & VP of Data Innovation Lab ในโลกปัจจุบัน เรามีข้อมูลที่ถูกสร้างและถูกเก็บจำนวนมาก โดยมาจากสิ่งต่างๆ รอบตัวเรา เช่น พฤติกรรมการใช้งานฟังก์ชันต่างๆ จากโทรศัพท์มือถือและจากในโลกอินเทอร์เน็ต ที่ถูกแปลงไปอยู่ในโลกดิจิทัล เพื่อช่วยให้เอไอและแมชชีนเลิร์นนิง (AI & machine learning) ทำการประมวลผลบางอย่าง เพื่อนำไปใช้ให้เกิดประโยชน์ต่อภาคธุรกิจและสังคม ทั้งในด้านของการช่วยตัดสินใจ การคาดการณ์ (prediction) การทำงานอย่างอัตโนมัติ (automation) โดยองค์กรอาจนำเอาข้อมูลส่วนตัวมาร่วมใช้วิเคราะห์ตัดสินใจควบคู่กันไปด้วย เพื่อทำให้ลูกค้ามีประสบการณ์การใช้งานที่ดี (user experience) และอยู่ใช้บริการกับองค์กรได้นานยิ่งขึ้น ซึ่งแน่นอนว่าจะช่วยสร้างรายได้ให้กับธุรกิจมากยิ่งขึ้นเช่นกัน จากประโยชน์ของการนำข้อมูลส่วนบุคคลมาใช้เพื่อประโยชน์ขององค์กรหรือภาคธุรกิจต่างๆ นี้เอง ทำให้ช่วงที่ผ่านมาหลายๆ ประเทศ รวมทั้งประเทศไทยได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรและผู้ประกอบการเกิดความตระหนักและต้องคิดให้รอบคอบมากขึ้นในกรณีที่ต้องการนำข้อมูลต่างๆ มาใช้งาน ซึ่งแน่นอนว่าการที่จะทำ personalization ที่ดีได้นั้น ต้องอาศัยข้อมูลเกี่ยวกับพฤติกรรมของบุคคลจำนวนมาก แต่จะทำอย่างไรให้การนำข้อมูลมาใช้ยังคุ้มครองสิทธิส่วนบุคคล ในขณะที่ก็ให้ประโยชน์กับผู้ใช้งานด้วยเช่นกัน เรียกได้ว่าเป็นสิ่งที่ท้าทายมาก โดยองค์กรหรือผู้ประกอบการอาจจะเป็นผู้ที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้ได้ ภายใต้ข้อบังคับของกฎหมาย บทความนี้ผมอยากนำเสนอแนวคิด…

โปรดเกล้าฯ ประกาศนโยบายและแผนระดับชาติว่าด้วยความมั่นคง

เป็นไปตาม รธน. มาตรา 52 รัฐต้องพิทักษ์รักษาไว้ซึ่งสถาบันพระมหากษัตริย์ เอกราช อธิปไตย ความสงบเรียบร้อยของประชาชน และ พ.ร.บ.ยุทธศาสตร์ชาติ ปี 2560 เนื้อหาส่วนหนึ่งระบุปัญหาอ้างความเท็จบ่อนทำลายสถาบันฯ รวมถึงความผูกพันของเยาวชนรุ่นใหม่ที่มีต่อสถาบันฯ น้อยลงเนื่องจากขาดความตระหนักรู้ถึงความสำคัญของสถาบันฯ 22 พ.ย. 2562 วันนี้ ราชกิจจานุเบกษาเผยแพร่ ประกาศเรื่อง นโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ (พ.ศ.2562-2565) ความว่า พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการ โปรดเกล้าโปรดกระหม่อม ให้ประกาศว่า โดยที่คณะรัฐมนตรีได้พิจารณาเห็นชอบให้ประกาศใช้นโยบายและแผนระดับชาติ ว่าด้วยความมั่นคงแห่งชาติ (พ.ศ.2562-2565 ) ตามบทบัญญัติมาตรา 13 แห่งพระราชบัญญัติสภาความมั่นคงแห่งชาติ พ.ศ.2559 เพื่อเป็นแผนหลักของชาติที่เป็นกรอบทิศทางการดำเนินการป้องกัน แจ้งเตือน แก้ไข หรือระงับยับยั้งภัยคุกคามเพื่อธำรงไว้ซึ่งความมั่นคงแห่งชาติ ซึ่งมีสาระสำคัญตามที่แนบท้ายนี้ จึงทรงพระกรุณาโปรดเกล้าโปรดกระหม่อม ให้ใช้นโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ (พ.ศ. 2562-2565) ตั้งแต่วันถัดจากวันที่ประกาศในราชกิจจานุเบกษา จนถึงวันที่ 30 กันยายน 2565 ประกาศ ณ วันที่ 19 พฤศจิกายน พุทธศักราช 2562 เป็นปีที่…

กรณีศึกษา กลุ่มแฮกเกอร์เผยวิธีเจาะระบบธนาคาร Cayman ขโมยเงินไปได้หลายแสนปอนด์

กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Phineas Phisher ได้โพสต์รายละเอียดขั้นตอนวิธีที่ใช้ในการเจาะระบบของธนาคารแห่งชาติหมู่เกาะเคย์แมน (Cayman National Isle of Man Bank) โดยเป็นเหตุการณ์ที่เกิดขึ้นเมื่อปี 2016 มูลค่าความเสียหายรวมกว่าหลายแสนปอนด์ ก่อนหน้านี้ทางธนาคารไม่ได้ออกมาให้ข้อมูลรายละเอียดของเหตุการณ์นี้โดยตรง แต่ก็มีเอกสารที่เป็นรายงานผลการตรวจวิเคราะห์การโจมตีหลุดออกมา เว็บไซต์ CSO Online ได้วิเคราะห์โพสต์ของกลุ่มแฮกเกอร์ Phineas Phisher (โพสต์ต้นฉบับเป็นภาษาสเปน) ร่วมกับข้อมูลจากรายงานผลการวิเคราะห์ที่หลุดออกมาก่อนหน้านี้ แล้วสรุปเป็นกรณีศึกษา ซึ่งมีประโยชน์สำหรับผู้ที่สนใจการวางแผนรับมือการโจมตี ในรายงานการตรวจวิเคราะห์ ทางผู้วิเคราะห์พบว่าการเจาะระบบในครั้งนั้นเริ่มต้นจากการจดโดเมนที่สะกดชื่อให้ใกล้เคียงกับโดเมนที่มีการใช้งานจริง จากนั้นใช้โดเมนดังกล่าวส่งอีเมลฟิชชิ่งไปยังเจ้าหน้าที่ของธนาคารโดยหลอกว่าเป็นเอกสารแจ้งเปลี่ยนราคาซื้อขายพร้อมกับแนบไฟล์โปรแกรมมัลแวร์ชื่อ Adwind หลังจากเจ้าหน้าที่ธนาคารเผลอเปิดไฟล์แนบ มัลแวร์ก็ถูกเรียกขึ้นมาทำงานและส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายภายในของธนาคารได้ อย่างไรก็ตาม ทางกลุ่มแฮกเกอร์ปฏิเสธว่าไม่ได้โจมตีผ่านช่องทางดังกล่าว โดยอ้างว่าสามารถเข้าถึงระบบภายในของธนาคารได้ผ่านการโจมตีช่องโหว่ของบริการ VPN ซึ่งทางกลุ่มแฮกเกอร์คาดว่าอีเมลฟิชชิ่งฉบับนั้นน่าจะเป็นการโจมตีจากกลุ่มอื่นหรือบุคคลอื่นที่ลงมือในช่วงเวลาใกล้เคียงกันมากกว่า ถึงแม้การเจาะระบบภายในของธนาคารจะสำเร็จไปตั้งแต่ช่วงเดือนสิงหาคม 2015 แต่การลงมือขโมยเงินจริงๆ เกิดขึ้นในเดือนมกราคม 2016 โดยระหว่างนั้นทางกลุ่ม Phineas Phisher ได้ใช้เวลาในการศึกษาระบบเครือข่ายภายในของธนาคาร ติดตั้งเครื่องมือช่วยอำนวยความสะดวกในการเจาะระบบ ติดตามพฤติกรรมของเจ้าหน้าที่ธนาคารเพื่อศึกษาขั้นตอนการโอนเงินผ่านระบบ SWIFT รวมถึงศึกษาเอกสารต่างๆ ที่เกี่ยวข้องกับการโอนเงินเพื่อให้การขโมยเงินนั้นแนบเนียนที่สุด การโจมตีในครั้งนั้นทางกลุ่ม Phineas Phisher สามารถโอนเงินสำเร็จได้หลายครั้ง รวมมูลค่าความเสียหายหลายแสนปอนด์…

นิวยอร์กไทม์เปิดเอกสารลับซินเจียง รัฐบาลจีนคุมขังชาวอุยกูร์ในค่ายกักกัน

ตลาดการค้าที่เมืองคาชการ์ เขตปกครองตนเองซินเจียงอุยกูร์ เมื่อ ค.ศ. 1986 (ที่มา: แฟ้มภาพ/Flickr/Urban J. Kinet/UC Berkeley, Department of Geography) นิวยอร์กไทม์เปิดโปงเอกสารลับ ‘ซินเจียงเปเปอร์ส’ ซึ่งระบุถึงคำสั่งของผู้นำจีนให้ใช้ “กลไกเผด็จการ” กวาดต้อนจับกุมชาวมุสลิมในซินเจียงจำนวนมากเข้าค่ายกักกันปรับทัศนคติ ซึ่งจีนอ้างว่าเป็นเพียง “ศูนย์ฝึกวิชาชีพ” นอกจากนี้เอกสารลับยังระบุถึงแนวทางในการกดดันนักศึกษาที่กลับบ้านเกิดในซินเจียงแล้วสงสัยเรื่องที่ครอบครัว-เพื่อนบ้านหายไปให้เงียบ รวมถึงการปราบปรามเจ้าหน้าที่ผู้ขัดขืนนโยบาย เป็นอีกหนึ่งหลักฐานที่บ่งชี้ว่าค่ายกักกันในซินเจียงมีอยู่จริง นักศึกษาในประเทศจีนตีตั๋วกลับบ้านในช่วงปิดเทอมเพื่อพักผ่อนหลังการสอบ และหวังจะได้ใช้วันหยุดฤดูร้อนไปกับครอบครัวที่อาศัยอยู่ในทางตะวันตกของจีน แต่ทว่าเมื่อเขากลับไปถึงบ้านก็พบพ่อแม่กับญาติพี่น้องหายไปกันหมด เพื่อนบ้านของเขาทุกคนก็หายไปด้วย เพราะทั้งหมดถูกคุมขังอยู่ในสถานกักกันที่ใช้ควบคุมตัวชนกลุ่มน้อยชาวมุสลิมในเขตปกครองตนเองซินเจียงอุยกูร์ เมื่อไม่นานนี้ สื่อนิวยอร์กไทม์นำเสนอเอกสารลับที่รั่วไหลของทางการจีนเกี่ยวกับค่ายกักกันชนกลุ่มน้อยในซินเจียงซึ่งส่วนใหญ่เป็นชาวอุยกูร์ โดยเอกสารความยาว 403 หน้า ที่ถูกนำมาเปิดโปงนี้มีเนื้อหาเกี่ยวกับคำสั่งชี้แนะของทางการต่อเจ้าหน้าที่ในท้องถิ่นว่าพวกเขาควรจะปฏิบัติอย่างไรกับนักเรียนนักศึกษาที่กลับจากการไปเรียนในเมืองอื่นๆ และบีบให้นักเรียนนักศึกษาเหล่านี้เงียบลงได้อย่างไร โดยเริ่มต้นจากข้อสงสัยที่ผู้เดินทางกลับมาน่าจะสงสัยมากที่สุดคือ ครอบครัวของพวกเขาหายไปไหน เอกสารดังกล่าวนี้มีความสำคัญในแง่ที่ว่ารัฐบาลจีนพยายามปฏิเสธข้อวิพากษ์วิจารณ์จากประชาคมโลกเสมอมาว่าสิ่งที่เกิดขึ้นในซินเจียงเป็นค่ายกักกัน แต่ทางการจีนอ้างว่าค่ายเหล่านี้เป็น “ศูนย์ฝึกพัฒนาวิชาชีพ” เพื่อต่อต้านแนวคิดหัวรุนแรง อย่างไรก็ตามเอกสารที่รั่วไหลนี้แสดงให้เห็นว่าทางการจีนใช้วีธีในเชิงข่มขู่คุกคามผ่านคำสั่งสู่เจ้าหน้าที่ทางการ ถึงแม้ว่านักเรียนนักศึกษาที่กลับบ้านเกิดจะรู้สึกกังวลว่าเมื่อพ่อแม่เขาถูกพาตัวไปแล้วใครจะเป็นคนส่งเสียค่าเล่าเรียนของพวกเขา และไร่นาที่บ้านใครจะเป็นคนดูแล แต่เจ้าหน้าที่ทางการกลับถูกสั่งจากรัฐบาลกลางให้บอกผู้คนที่ร้องทุกข์เหล่านี้ว่าขอให้พวกเขาซาบซึ้งในบุญคุณของความช่วยเหลือจากพรรคคอมมิวนิสต์และขอให้พวกเขาเงียบในเรื่องนี้ นิวยอร์กไทม์ระบุว่า เอกสารที่รั่วไหลนี้ชี้ให้เห็นว่าจีนมีกลไกลับๆ ในการดำเนินค่ายกักกันที่กินจำนวนประชากรเป็นวงกว้างที่สุดนับตั้งแต่ยุคสมัยของเหมาเจ๋อตุง เนื้อหาหลักๆ ในเอกสารเหล่านี้เปิดเผยว่า ประธานาธิบดีสีจิ้นผิง เป็นคนที่วางรากฐานในการปราบปรามชาวอุยกูร์ โดยมีคำพูดของเขาที่แนะนำต่อเจ้าหน้าที่หลังจากที่เคยมีเหตุการณ์กลุ่มติดอาวุธอุยกูร์สังหารคนไป 31 คน…

บทเรียนขึงลวดไฟฟ้า

โดย “สหบาท” คนถูกไฟช็อตเพราะเจ้าของบ้านปล่อยกระแสไฟป้องกัน “โจร-ขโมย” อีกแล้ว รู้สึกสะท้อนใจ เพราะเป็นคดีที่เกิดขึ้นโดยไม่จำเป็น ถ้าบ้านเมืองสงบสุข โจรผู้ร้ายชุกชุมแบบนี้? เลยเอาข้อกฎหมายมาให้อ่านก่อนตัดสินใจ กลายเป็นผู้ต้องหามีคดีติดตัว… ในกฎหมายอาญามีกรณีบัญญัติว่า ให้การกระทำนั้นไม่เป็นความผิดเลยคือ การป้องกันโดยชอบ เขียนไว้ในมาตรา 68 ความว่า“ผู้ใดจำต้องกระทำการใดเพื่อป้องกันสิทธิ์ของตนหรือของผู้อื่น ให้พ้นภยันตรายซึ่งเกิดจากการประทุษร้ายอันละเมิดต่อกฎหมาย และเป็นภยันตรายใกล้จะถึง ถ้ากระทำพอสมควรแก่เหตุ การกระทำนั้นเป็นการป้องกันโดยชอบ ผู้นั้นไม่มีความผิด” เหตุผลที่กฎหมายยอมให้อ้าง “ป้องกัน” ได้ เพราะกฎหมายยอมรับความจริงว่า รัฐไม่สามารถให้ความคุ้มครองประชาชนได้ทันทุกกรณี จำต้องให้อำนาจประชาชนผู้บริสุทธิ์ขจัดปัดเป่าภยันตรายที่กำลังมาถึง ส่วนเรื่อง “การป้องกันภยันตรายไว้ล่วงหน้า” เกิดเป็นข่าวบ่อย เช่น การขึงลวดไฟฟ้าเดินไฟรอบบ้าน พอมีคนมาโดนก็ช็อตตาย มีปัญหาว่า เจ้าของบ้านผิดหรือไม่? มีแนวคำพิพากษาหลายแนวครับ หลักๆคือ ถ้ามีเหตุอ้างได้ว่ามีภยันตรายจะเกิดขึ้นจริง ก็อ้างป้องกันได้ ไม่เป็นความผิด ไม่ต้องติดคุก แต่ถ้าอ้างแล้วฟังไม่ขึ้นก็ต้องมีความผิด! ดูคำพิพากษาฎีกาสุดคลาสสิกที่ 1923/2519 จำเลยเจ้าบ้านเก็บของมีค่าไว้ในโรงเก็บของในสวน ย่านดังกล่าวมีโจรผู้ร้ายชุกชุม ผู้ตายกับพวกบุกเข้าไปยามวิกาลเจตนาลักเอาของดังกล่าว ถูกเส้นลวดที่จำเลยขึงปล่อยกระแสไฟฟ้าไว้ถึงแก่ความตาย จำเลยมีสิทธิ์ทำร้ายผู้ตายกับพวกเพื่อป้องกันทรัพย์สินได้ การกระทำเป็นการป้องกันสิทธิ์พอสมควรแก่เหตุ จำเลยไม่มีความผิด ให้ยกฟ้อง… มาดูอีกตัวอย่าง อันนี้จะอ้างสิทธิ์ป้องกันไม่ได้เลย…

10 ความเสี่ยงด้านความปลอดภัยของข้อมูลที่มีผลต่อบริษัท

ช่วงไม่กี่ปีนี้ บุคคลากรด้านไอทีอย่างพวกเรามักจะได้ยินข่าวคราวเกี่ยวกับข้อมูลรั่วไหลของบริษัทต่างๆ กันอยู่ตลอด แม้แต่ในไทยเองก็ตาม จะเห็นว่าการเก็บรักษาข้อมูลให้ปลอดภัยนั้นนับเป็นเรื่องยากและการป้องกันระวังรักษาข้อมูลจากภัยคุกคามทางไซเบอร์ในปัจจุบันก็ยากยิ่งกว่า แต่ก็เป็นเรื่องที่องค์กรหลีกเลี่ยงไม่ได้และหลายๆ แห่งก็มีความตื่นตัวในการหาโซลูชันส์ เพื่อมาช่วยป้องกันข้อมูลซึ่งถือว่าเป็นทรัพยากรอันมีค่าในแง่ของธุรกิจของตน และเพื่อตอบสนองกับพรบ.คุ้มครองข้อมูลส่วนบุคคลและพรบ.ไซเบอร์ฉบับปี 2562 ที่เพิ่งประกาศในราชกิจจานุเบกษาเมื่อปลายเดือนพฤษภาคมที่ผ่านมานี้ โดยระบุไว้ว่าให้เวลาหน่วยงานต่างๆ เตรียมความพร้อมระบบและบุคลากรเป็นเวลา 1 ปี ดังนั้นการรักษาความปลอดภัยของข้อมูลจึงถือเป็นประเด็นพื้นฐานที่สำคัญที่สุดสำหรับทุกๆบริษัทสำหรับการมุ่งหน้าสู่ปี 2020 อย่างไรก็ดีภัยคุกคามทางไซเบอร์นั้นก็มีหลากหลายประเภทซึ่งก่อให้เกิดความเสี่ยงรุนแรงมากน้อยต่างกัน บริษัทสามารถดำเนินการเสริมความเข้มแข็งด้านความปลอดภัยของระบบได้หลากหลายรูปแบบ แต่นี่คือความเสี่ยงด้านข้อมูลส่วนบุคคลสิบข้อที่อาจเป็นอุปสรรคต่อหน่วยงานของคุณในปี 2020 1. การเผยแพร่ข้อมูลโดยไม่ได้ตั้งใจ จริงอยู่ที่อาชญากรไซเบอร์อาจเป็นจำเลยหลักที่เข้ามาขโมยข้อมูล แต่จากข่าวที่เกี่ยวกับข้อมูลรั่วไหลหลายๆครั้งกลับเกิดจากความประมาทเลินเล่อของพนักงานในองค์กรเองที่ส่งข้อมูลออกไปภายนอก 2. ทีมรักษาความปลอดภัยทางไซเบอร์ทำงานหนักเกินไป การมีบุคลากรจำกัด หรือความรู้ความสามารถที่จำกัดทำให้ไม่สามารถทำงานได้อย่างมีประสิทธิภาพเต็มที่หรือหนักเกินไป ไม่สามารถตอบสนองต่อเหตุการณ์ต่างๆได้ทันท่วงที 3. การโจรกรรมข้อมูลโดยพนักงาน คล้ายกับข้อแรกที่กล่าวมาแล้ว รายงานการคุกคามภายในของ Verizon ปี 2019 พบว่า 57% ของการที่ข้อมูลรั่วไหลมาจากคนใน และ61% ของพนักงานเหล่านั้นเป็นเจ้าหน้าที่ทั่วไป ทว่ายังถือเป็นโชคดีที่มีโซลูชันส์สำหรับป้องกันข้อมูลรั่วไหลซึ่งบริษัทสามารถจัดหามาได้ 4. Ransomware การโจมตีเหล่านี้ยังคงอยู่และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ หน่วยงานที่เป็นธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) มักตกเป็นเหยื่อของการเรียกค่าไถ่(คืน)ข้อมูลสำคัญ การโจมตีผ่าน ransomware ส่วนใหญ่เริ่มต้นที่ระดับพนักงาน จากการถูกหลอกลวงแบบฟิชชิ่ง 5. การตั้งรหัสผ่านไม่ปลอดภัยพอ เมื่อเร็วๆนี้ทางกูเกิ้ลได้ทำการศึกษาเกี่ยวกับข้อมูลการล็อกอิน และสรุปว่ารหัสผ่านสำหรับการล็อกอินในอินเตอร์เน็ตนั้นเป็นจุดอ่อนที่จะนำไปสู่การขโมยข้อมูลในองค์กร…