ระบบคุ้มครองข้อมูลส่วนบุคคล เรื่องที่องค์กร และประชาชนต้องรู้ ยุคดิจิทัล ดิสรัปชั่น ยิบอินซอย เผย 3 องค์ประกอบหลัก ที่เสริมสร้างความปลอดภัยข้อมูลส่วนบุคคล
นายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด เปิดเผยว่า ประเทศไทย มีการวางมาตรฐานใหม่ ในการวาง ระบบคุ้มครองข้อมูลส่วนบุคคล และความมั่นคงทางไซเบอร์ผ่านกฎหมายสำคัญ 2 ฉบับ ได้แก่ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการกำหนดมาตรการหรือแผนดำเนินงานสำหรับรับมือ ป้องกัน หรือลดความเสี่ยงจากภัยคุกคามไซเบอร์ จากในและนอกประเทศ รวมทั้งให้อำนาจรัฐในการร่วมสืบสวนตรวจสอบกรณีมีภัยคุกคามเกิดขึ้น
ส่วนกฏหมายอีกฉบับคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act – PDPA) ซึ่งเป็นการออกกฎหมายที่อ้างอิง GDPR บนหลักการสำคัญ 3 ประการ คือ การปกป้องข้อมูล (Data Privacy) การป้องกันการรั่วไหลของข้อมูล (Data Breaches) และการประมวลผลหรือการดำเนินการใด ๆ เกี่ยวกับข้อมูลต้องได้รับ การยินยอม (Consent) จากเจ้าของข้อมูล
ทั้งนี้ เนื่องจากในโลกยุคโลกาภิวัตน์ ที่เราเริ่มคุ้นชินแบบแผนการเชื่อมต่ออินเทอร์เน็ต และแพลตฟอร์มการใช้งานออนไลน์ ซึ่งทำให้การรับส่ง และใช้งานข้อมูล มีการไหลเวียนเข้าออกทั้งในและนอกองค์กร หรือข้ามพรมแดน ด้วยรูปแบบที่หลากหลายทั้งตัวอักษร ไฟล์เสียง ภาพนิ่ง หรือวิดีโอ
ยิ่งเมื่อข้อมูลถูกนำขึ้นสู่ระบบบริการคลาวด์ โดยเจ้าของข้อมูลโดยตรง เช่น ไลน์ เฟซบุ๊ก อินสตาแกรม ยูทูป โดยมีข้อสงสัยที่ว่า ข้อมูลของเหล่านั้นของตนถูกเก็บ ถูกนำไปใช้หรือกระจายต่อไปเพื่อการใดบ้าง
ในมุมมองขององค์กรธุรกิจ ต้องอาศัยข้อมูลลูกค้า เพื่อประกอบการบริการจัดการ และวางแผนการดำเนินงาน อาทิ ธุรกิจสื่อสารโทรคมนาคม ธนาคาร สถาบันการเงิน ธุรกิจบริการสุขภาพ โรงพยาบาล เป็นต้น ทำให้ข้อมูลเหล่านี้กลายเป็น ข้อมูลที่สร้างมูลค่าทางเศรษฐกิจ ซี่งต่อยอดไปสู่การพัฒนาสินค้าบริการ หรือสร้างความได้เปรียบทางธุรกิจในอนาคต พอ ๆ กับการตกเป็นเป้าโจมตีของอาชญากรไซเบอร์ที่พร้อมจะนำข้อมูลเหล่านี้ไปใช้แบบผิดกฎหมาย หรือสร้างความเสียหายย้อนกลับมาสู่เจ้าของข้อมูลหรือองค์กรธุรกิจได้เช่นกัน
จาก GDPR และ NIST สู่ พรบ.ไซเบอร์ฯ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
เมื่อเราไม่สามารถปิดกั้นการไหลเวียนของข้อมูล ไว้เฉพาะในองค์กร หรือในประเทศได้อีกต่อไป จึงจำเป็นที่ แต่ละประเทศ ต้องมีกฎหมาย หรือข้อบังคับไว้คุ้มครองข้อมูลประชากร ที่ครอบคลุมถึงการนำไปใช้ข้ามพรมแดน และเพื่อเป็นแนวทางกำกับให้องค์กร ต้องมีมาตรการความปลอดภัย ของข้อมูลส่วนบุคคลที่รอบด้าน ทั้งการใช้งานในและนอกองค์กร และผ่านบริการคลาวด์ โดยต้องกำหนดไว้ในแผนธุรกิจ
ดังเช่น มาตรการคุ้มครองข้อมูลส่วนบุคคล GDPR ของประชากรอียูที่ครอบคลุมไปทุกประเทศทั่วโลก กรอบความปลอดภัยไซเบอร์ NIST ของสหรัฐอเมริกา เพื่อสร้างกระบวนการบริหารจัดการความเสี่ยงในระบบไอที เครือข่าย และข้อมูล เป็นต้น
3 องค์ประกอบหลัก ที่เสริมสร้างความปลอดภัยให้ข้อมูล
- องค์ประกอบแรกที่สำคัญ คือ คน (People) ที่มีบทบาทโดยตรง ต่อการสร้างมาตรการความปลอดภัยให้กับข้อมูล
คน ประกอบด้วย ได้แก่ รัฐ ซึ่งเป็นผู้ออกกฎหมายคุ้มครองตัวข้อมูล (Data) และการประมวลผลข้อมูล (Processing) โดยสร้างไม่ให้กระทบต่อผู้เป็นเจ้าของข้อมูล ระบบเศรษฐกิจ สังคม และประเทศ โดยที่ตัวกฎหมาย จะต้องสอดคล้องกับการใช้งานเทคโนโลยี ที่เปลี่ยนไป
ผู้ต้องปฏิบัติตามกฎหมาย หมายถึง บุคคล หน่วยงานหรือองค์กรต่าง ๆ จะต้องมีการแต่งตั้งผู้รับผิดชอบโดยตรง ในการคุ้มครองความปลอดภัยให้ข้อมูล ที่เรียกว่า DPO หรือ Data Protection Officer ในการทำงานร่วมกับหน่วยงานไอที เพื่อกำหนดแนวทางหรือปรับปรุงกฎระเบียบ (Compliance) และเทคโนโลยีให้เหมาะสมในการกำกับและตรวจติดตามการใช้งานข้อมูลให้ถูกต้องสอดคล้องตามกฎหมายและข้อบังคับทั้งในและระหว่างประเทศ
- องค์ประกอบที่สอง การจัดกระบวนการ (Process) ที่เกี่ยวข้องกับข้อมูลบุคคลของลูกค้า
อันได้แก่ การควบคุมข้อมูล (Data Controller) ทั้งการแจ้งผู้ใช้งานหรือผู้ที่เกี่ยวข้องให้ทราบถึงขอบเขตของข้อมูลที่นำไปใช้ การอนุญาตให้ข้อมูลมีการเคลื่อนไหว รับและส่งผ่านไปยังที่ใดได้บ้าง การเข้ารหัสข้อมูลเพื่อความปลอดภัยในการเข้าถึงและนำไปใช้ และ การจัดการประมวลผลข้อมูล (Data Processor) ให้ครอบคลุมทั้งในและนอกองค์กร โดยเฉพาะเมื่อเป็นการใช้งานผ่านบริการคลาวด์
- องค์ประกอบที่สาม เทคโนโลยี (Technology) เพื่อให้เกิดผลทางการปฏิบัติใน 2 ประเด็น คือ
1. ข้อมูลต้องมีความเป็นประชาธิปไตย (Data Democratization) หมายถึง ทุกคนสามารถเข้าถึงเครื่องมือหรือเทคโนโลยี ในการวิเคราะห์ และประมวลผลข้อมูล ตามความยินยอมที่เจ้าของข้อมูลได้ให้อนุญาตไว้
2. ต้องมี ระบบปฏิบัติซึ่งทำหน้าที่เสมือนเป็นเจ้าของข้อมูล (Data Ownership) เพื่อตรวจสอบการเข้าถึงข้อมูลส่วนบุคคลว่า ได้รับการอนุญาตและนำไปใช้อย่างตรงวัตถุประสงค์ ไม่ขัดต่อกฎหมาย ตลอดจนคอยสอดส่องปัญหา
การรั่วไหลของข้อมูล เพื่อการแก้ไขปัญหาที่รวดเร็ว
ไอที 5 ขั้น เพิ่มการคุ้มครองข้อมูลส่วนบุคคล
สำหรับองค์กรที่กำลังมองหาเทคโนโลยี ซึ่งจะมาช่วยให้การจัดการระบบความปลอดภัยข้อมูลส่วนบุคคล ให้เกิดประสิทธิภาพสมบูรณ์ แนะนำให้เริ่มจาก
- การค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification) เป็นโครงสร้างเริ่มต้น ที่ทำให้องค์กรสามารถนิยามความสำคัญของข้อมูลแต่ละประเภท เพื่อกำหนดกลุ่มบุคคลที่อนุญาตให้เข้าถึงและใช้งานข้อมูลได้ ชุดข้อมูลที่มีความอ่อนไหวสูงและซับซ้อน
- การหาช่องโหว่และประมินความเสี่ยง (Vulnerability and Risk Assessment) เป็นขั้นตอนการค้นหาช่องโหว่ต่าง ๆ เพื่อประเมินความเสี่ยงและความเสียหายที่อาจเกิดขึ้น และดำเนินการจัดหาวิธีการป้องกันต่อไป
- การปกป้องข้อมูล (Data Protection) จะป้องกันข้อมูลที่สำคัญด้วยการเข้ารหัสข้อมูล (Data Encryption) และการกำหนดนโยบาย การเข้าถึงข้อมูลให้เหมาะสม การรั่วไหลของข้อมูล สามารถเกิดขึ้นได้ทุกที่ทุกเวลาระหว่างการเดินทางของข้อมูล จึงมีความจำเป็นอย่างยิ่ง เพื่อให้มั่นใจว่าในกรณีที่เกิดการรั่วไหลของข้อมูลออกไปสู่ภายนอก ข้อมูลเหล่านั้นจะไม่สามารถนำไปใช้งานได้
- การสอดส่องกิจกรรมการใช้ข้อมูล (Data Activity Monitoring) เพื่อดูว่าข้อมูลส่วนบุคคลเป็นไปตามนโยบายที่กำหนดหรือไม่ กำลังเคลื่อนไปที่ไหน เมื่อไหร่ ต้องมีการเข้ารหัสหรือถอดรหัสตรงจุดใด ซึ่งอาจจะเป็นการติดตั้งโซลูชันไว้ดูแลข้อมูลจราจรในระบบ เพื่อบันทึกที่มาที่ไป เวลา หรือเส้นทางส่งต่อข้อมูลของผู้ใช้งาน มีระบบแจ้งเตือนพฤติกรรมผิดปกติ เพื่อให้เราสามารถรู้ได้โดยเร็วว่าข้อมูลถูกโจมตีหรือเกิดรอยรั่วตรงจุดไหนและดำเนินการแก้ไขได้ทันท่วงที
- การปิดกั้นและกักเก็บข้อมูล (Blocking และ Quarantine) เช่น เทคโนโลยีในการบล็อกการเรียกค้นไฟล์ข้อมูล หรือปิดผนึกข้อมูลแบบถาวรไว้ก่อน ในสถานการณ์การรั่วไหลของข้อมูลในระบบ หรือการบล็อกการเข้าถึงข้อมูลในสถานการณ์ที่คอมพิวเตอร์หรืออุปกรณ์โมไบล์ที่ใช้งานสูญหายแม้จะมีรหัสผ่านที่ถูกต้องก็ตาม
เพียงเท่านี้ องค์กรธุรกิจก็สามารถสร้างระบบคุ้มครองส่วนบุคคลที่มีประสิทธิภาพ เพื่อสร้างความเชื่อมั่นให้กับลูกค้าว่า ข้อมูลของเขาจะได้รับการดูแลและดำเนินการด้วยความโปร่งใสและปลอดภัย
อ่านข่าวเพิ่มเติม
- ดีอีเอส คลอด มาตรฐานความปลอดภัย ‘ข้อมูลส่วนบุคคล’
- เปิดเคล็ดลับใช้ ‘เทคโนโลยีสร้างโอกาส’ หลังวิกฤติโควิด-19
- ระวังภัยโซเชียล ใช้รางวัลล่อ ฉกข้อมูลบัญชีธนาคาร
