วันที่ 8พ.ย.2566-จากกรณีเกิดประเด็นร้อนภายหลังจากเจ้าหน้าที่ตำรวจกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ได้แถลงผลจับกุม นายพศิน (สงวนนามสกุล) นายหน้าประกันโดยมีพฤติกรรมลักลอบนำข้อมูลส่วนบุคคลของลูกค้าไปขายให้กับกลุ่มมิจฉาชีพ ส่งผลทำให้ลูกค้าอาจได้รับความเสียหายจากการกระทำดังกล่าว กระทั่งส่งผลกระทบต่อความเชื่อมั่นต่อภาพรวมธุรกิจประกันนั้น
ล่าสุด อาจารย์ทอมมี่ (พิเชฐ เจียรมณีสิน) กรรมการผู้จัดการบริษัท แอคชัวเรียล บิสซิเนส โซลูชั่น จำกัด (ABS) และ อดีตนายกสมาคมนักคณิตศาสตร์แห่งประเทศไทย พร้อมกับ ดร.นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหารบริษัทอัลฟ่าเซคจำกัด และ นายกสมาคมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPOA) ได้ออกมาเปิดเผยถึงโอกาสการรั่วไหลข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย พร้อมทั้งระบุถึงทางออกของเรื่องนี้ว่า
“การรั่วไหลของข้อมูลส่วนบุคคลเป็นปัญหาร้ายแรงที่คาดว่าจะเกิดขึ้นมากขึ้นในยุคดิจิทัลสมัยนี้ ซึ่งอาจส่งผลกระทบที่รุนแรงต่อสิทธิและความเป็นส่วนตัวของบุคคล การแพร่กระจายข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือการที่ข้อมูลขององค์กรถูกขโมย ซึ่งเป็นสิ่งที่ทุกธุรกิจควรระวังและต้องมีการเตรียมการรับมืออย่างรอบด้าน”
โอกาสข้อมูลส่วนบุคคลรั่วไหลมากขึ้นในปัจจุบันมาจากหลากหลายสาเหตุ ได้แก่
1.การใช้งานอินเทอร์เน็ตและเทคโนโลยีที่เกี่ยวข้องกับอิเล็กทรอนิกส์มากขึ้น เป็นหนึ่งในปัจจัยสำคัญในการทำให้ข้อมูลส่วนบุคคลรั่วไหล เช่น การส่งหรือรับข้อมูลผ่านเครือข่ายอินเทอร์เน็ตทำให้มีโอกาสที่ข้อมูลถูกแอบดักระหว่างทางของการสื่อสารและนำไปใช้งานผิดวัตถุประสงค์ได้ง่ายขึ้น
2.ข้อมูลส่วนบุคคลถูกจัดเก็บหรือจัดการโดยระบบสารสนเทศ หรือ แอพพลิเคชั่น ที่ไม่มีการคำนึงถึงความปลอดภัยอย่างเหมาะสม ซึ่งอาจทำให้ข้อมูลถูกเปิดเผยหรือถูกขโมยได้ง่ายขึ้น
3.ผู้ไม่หวังดีสามารถโจมตีระบบคอมพิวเตอร์และเครือข่ายเพื่อโจรกรรมข้อมูลส่วนบุคคลหรือทำลายข้อมูลได้ ซึ่งอาจก่อให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล
ทั้งนี้ อาจารย์ทอมมี่ และ ดร.นิพนธ์ ให้คำแนะนำในการดูแลรักษาความมั่นคงปลอดภัยในระบบสารสนเทศ ที่จะช่วยลดโอกาสทำให้ข้อมูลส่วนบุคคลขององค์กรรั่วไหล ได้ดังนี้
1. การใช้เทคนิคการเข้ารหัสข้อมูลที่แข็งแกร่งทำให้ข้อมูลที่ถูกส่งผ่านเครือข่ายไม่สามารถอ่านได้ง่าย ซึ่งจะช่วยป้องกันการรั่วไหลข้อมูลเมื่อถูกดักจับ
2.บริการผ่านแอพพลิเคชั่น โดยเฉพาะบริการออนไลน์สำหรับให้บริการสาธารณะ ควรมีระบบการตรวจสอบตัวตนที่แข็งแกร่ง เพื่อป้องกันการเข้าถึงข้อมูลโดยมิชอบ หรือที่ได้ยินกันบ่อยๆ คือ Multi-Factor Authentication หรือ MFA
3.การรักษาระบบและปรับปรุงอย่างสม่ำเสมอ ช่วยลดโอกาสในการถูกโจมตีด้านเทคโนโลยีและการรั่วไหลของข้อมูล
4.การตรวจประเมินความเสี่ยงของระบบสารสนเทศหรือ Penetration Testing เพื่อค้นหาช่องโหว่ของระบบและดำเนินการแก้ไขอย่างสม่ำเสมอ
5.การมีผู้เชี่ยวชาญในการเฝ้าระวังการโจมตีระบบสารสนเทศและช่วยแก้ไขปัญหาเมื่อเกิดปัญหา โดยเฉพาะการเฝ้าระวังการโจมตีและการขโมยข้อมูลจากเครื่องของผู้ใช้งานที่เป็นสาเหตุหลักที่ทำให้ข้อมูลเกิดการรั่วไหล ซึ่งจะทำให้องค์กรมีความสามารถในการตรวจจับพฤติกรรมการพยายามเจาะระบบหรือขโมยข้อมูลขององค์กรและแก้ไขปัญหาได้อย่างทันท่วงที ซึ่งจะทำให้ผลกระทบที่อาจเกิดขึ้นไม่ลุกลามในวงกว้าง
6.การป้องกันการโดยใช้เทคโนโลยีการป้องกันการส่งต่อข้อมูลขององค์กร ระหว่างผู้ใช้งานภายในและภายนอกองค์กรโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการส่งข้อมูลในช่องทางอีเมล อินเตอร์เน็ต แอพพลิเคชั่นสนทนา รวมถึงสื่อบันทึกข้อมูลและ สื่อสังคมออนไลน์หรือที่เรียกกันว่า Data Loss Prevention หรือ DLP
7.การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยให้กับผู้บริหารและพนักงาน ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมายหรือตามนโยบายขององค์กร
อาจารย์ทอมมี่และดร.นิพนธ์ กล่าวทิ้งท้ายว่า “การรั่วไหลของข้อมูลส่วนบุคคลอาจเกิดขึ้นได้เสมอ แม้องค์กรจะมีการรักษาความมั่นคงปลอดภัยที่ดีที่สุด ดังนั้นการสร้างความตระหนักรู้และการใช้เทคโนโลยีที่มีการรักษาความปลอดภัยอย่างเหมาะสม จึงยังเป็นสิ่งสำคัญในการลดโอกาสการรั่วไหลข้อมูลส่วนบุคคลในยุคดิจิทัลนี้”
