TOPICS

TOPICS

PDPA กับมาตรการปกป้องข้อมูลบน Smart Device


2021.04.20

PDPA คืออะไร

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 ในบางส่วน และหมวดเฉพาะที่เกี่ยวกับภาคธุรกิจถูกเลื่อนการประกาศออกไปอีก 1 ปี เนื่องจากเรื่องของความพร้อม ประกอบกับสถานการณ์ COVID-19 ที่ทำให้ภาคธุรกิจเกิดปัญหาด้านการดำเนินการ เรื่องภาระค่าใช้จ่ายที่ต้องเกิดขึ้น จึงต้องการเลี่ยงการลงทุนเพื่อฟื้นฟูธุรกิจ ซึ่งพ.ร.บ จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 เป็นต้นไป

เกี่ยวกับ PDPA

 

แนวปฏิบัติสากล (Security Framework) ที่สามารถนำมาประยุกต์ใช้กับการคุ้มครองข้อมูล

เพื่อที่จะได้ปฏิบัติตามตามกฏหมายของ PDPA หรือ GDPR ในหลายๆองค์กรก็ได้นำแนวปฏิบัติสากลมาปรับใช้เพื่อที่จะบรรลุเป้าหมายในการคุ้มครองข้อมูลดังนี้

• Policies (Business Goals) เป้าหมาย เช่น การหลีกเลี่ยงข้อมูลขององค์กรเกิดการรั่วไหล (Data leakage)
• Standards (IT/Security Goals) ทำการกำหนดมาตรฐานที่เชื่อมโยงเข้ากับเป้าหมายนั้นๆ
• Procedures ทำขั้นตอนปฏิบัติเพื่อบรรลุเป้าหมายนั้น

NIST Cybersecurity Framework เป็น Guidelines ที่เป็น Best Practice ที่นิยมนำไปประยุกต์ใช้กัน

NIST Cybersecurity Framework เป็นหนึ่งในกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นที่นิยมใช้อย่างมากในปัจจุบัน ซึ่ง Framework ดังกล่าวเป็นที่แพร่หลายไปทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กรเริ่มนำ Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัยคุกคามบนโลกไซเบอร์ (Cyber Threat)

Framework นี้นำเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหารจัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดำเนินต่อไปได้อย่างเนื่อง โดยหัวใจสำคัญของ Framework แบ่งออกเป็น 5 ฟังก์ชันหลัก คือ

  • Identify – การระบุและเข้าใจถึงบริบทต่างๆ เพื่อการบริหารจัดการความเสี่ยง
  • Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร
  • Detect – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
  • Respond – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
  • Recovery – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

9 มาตรการรักษาความปลอดภัยบนอุปกรณ์พกพาเพื่อปรับใช้กับ PDPA

    1. ล๊อคหน้าจอและตั้งรหัสผ่านป้องกันภัยคุมคามด่านแรก

    โทรศัพท์มือถือเกือบทุกรุ่นมีหน้าจอล็อกที่มี PIN หรือล็อคแบบ การพิสูจน์ตัวตนระดับนี้เพียงอย่างเดียวสามารถหยุดการเข้าถึงที่ไม่ได้รับอนุญาตเป็นด่านแรกได้ เนื่องจากผู้ใช้งานหลายคนไม่ได้ตั้งล๊อกหน้าจอแบบ PIN ไว้เวลาเครื่องหาย ผู้ที่เก็บเครื่องได้ก็สามารถเข้าถึงข้อมูลได้ทันที

    ด้วย Wizberry ทำให้สามารถใช้นโยบายการตั้งการล๊อคหน้าจอหรือรหัสผ่านก่อนการใช้งานได้อย่างง่าย และในฝั่งของผู้ดูแลจะสามารถตรวจสอบได้ว่าอุปกรณ์เครื่องไหนปฏิบัติตามนโนบาย (Policy Compliance) หรือไม่  ซึ่งสิ่งนี้จะพิสูจน์ได้ว่ามีประโยชน์อย่างยิ่งภายใต้ข้อกำหนดของ PDPA สำหรับ “การสร้างนโยบายความเป็นส่วนตัว”

Easy way to bypass passcode lock screens on iPhones, iPads running iOS 12

  1. ย้ายข้อมูลที่ไม่มีการเข้ารหัสถือว่ามีความผิด

การเข้ารหัสข้อมูลคือจัดเก็บข้อมูลบนอุปกรณ์ของคุณให้เป็นแบบที่อ่านไม่ได้และมีสัญญาณรบกวน  ซึ่งเมื่อคุณป้อน PIN รหัสผ่าน หรือรูปแบบบนหน้าจอล็อคอุปกรณ์ของคุณก็จะถอดรหัสข้อมูลทำให้เข้าใจได้ ถ้าหากมีผู้ที่ไม่รู้จักรหัส PIN การเข้ารหัสหรือรหัสผ่านพวกเขาจะไม่สามารถเข้าถึงข้อมูลของบนอุปกรณ์ของคุณได้

การเข้ารหัสจะเป็นการช่วยปกป้องข้อมูลที่สำคัญบนอุปกรณ์ของคุณ เช่น มีข้อมูลสำคัญบนอุปกรณ์ของบริษัทเช่นข้อมูลการเงินหรือลูกค้า จะต้องการใช้การเข้ารหัส เพื่อช่วยปกป้องข้อมูลนั้นจากการจารกรรมขององค์กร ผู้โจมตีจะไม่สามารถเข้าถึงข้อมูลได้โดยไม่ต้องใช้คีย์เข้ารหัสแม้ว่าจะมีวิธีการถอดรหัสขั้นสูงที่ทำให้เป็นไปได้.

Wizberry จะช่วยในการตรวจสอบสถานะของอุปกรณ์ว่ามีการเข้ารหัสข้อมูลหรือไม่  ซึ่งถ้าอุปกรณ์เครื่องไหนที่ยังไม่ทำการเข้ารหัสก็สามารถดำเนินการตามนโยบายขององค์กรเพื่อเพิ่มมาตรการรักษาความปลอดภัยของข้อมูลได้

  1. ควรทำลายข้อมูลที่ไม่จำเป็น

เพื่อให้สอดคล้องกับ PDPA สิ่งสำคัญคือต้องมีมาตรการในการจัดเก็บข้อมูลในอุปกรณ์ และจำเป็นอย่างยิ่งที่จะต้องลบและรีเซ็ตอุปกรณ์อย่างเหมาะสมเมื่อไม่อนุญาตให้อุปกรณ์ดังกล่าวสามารถเข้าถึงข้อมูลขององค์กรได้ เช่นในกรณีที่พนักงานลาออกและใช้อุปกรณ์ส่วนตัวในการเข้าถึงอีเมล์ขององค์กร  หรือเวลาที่พนักงานทำเครื่องหาย  ทางองค์กรก็สามารถจัดการลบข้อมูลขององค์กรหรือล้างเครื่องได้จากระยะไกลได้

Remote Data Wiping and Lock Software: Critical to Compliance | QliqSOFT

  1. ควบคุมข้อมูลและแอปบนอุปกรณ์ที่นำมาใช้งานในธุรกิจโดยแยกข้อมูลส่วนตัวและการทำงาน (Workplace Persona)

ด้วยฟังก์ชั่นการใช้งานของ Wizberry สามารถแบ่งส่วนที่เป็นการทำงานขององค์กรและส่วนตัวบนอุปกรณ์เครื่องเดียวได้  โดยจะมีส่วนของ Contrainer ที่ใช้สำหรับเข้าถึงข้อมูลขององค์กรเช่น E-Mail, File Sharing ต่างๆ  ซึ่งในส่วนของการทำงานนี้จะมีการเข้ารหัสไว้ เพื่อป้องการการโจรกรรมข้อมูล  และยังสามารถตั้งนโยบายให้ผู้ใช้งานตั้งรหัสก่อนเข้าถึงส่วนการทำงานได้  และในฝั่งของการใช้งานส่วนบุคคล  ผู้ดูแลระบบขององค์กรจะไม่สามารถเห็นข้อมูลต่างๆได้เลย ซึ่งเป็นไปตามนโยบายของ พรบ.คุ้มครองข้อมูลส่วนบุคคล

BYOD – How to configure Android Enterprise Work Profile — Mobile Mentor

  1. รู้ถึงช่องโหว่และการอัพเดตซอฟแวร์ของอุปกรณ์

ในการใช้งานแอฟพลิเคชั่นบางครั้งก็มีอาจมีช่องโหว่เนื่องจากแอฟพลิชั่นนั้นเป็น Version เก่า หรือระบบปฏิบัติการของอุปกรณ์ถ้าเราไม่อัพเดตหรือยังใช้งานใน version เก่าๆก็อาจจะทำให้อุปกรณ์ของเราสามารถถูกโจมตีจากผู้ไม่หวังดีได้เนื่องจากช่องโหว่ของอุปกรณ์ความปลอดที่เกิดขึ้นได้  Wizberry ซึ่งมีการใช้งานร่วมกับ AI จะช่วยผู้ดูแลในการตรวจสอบอุปกรณ์ว่า  มีอุปกรณ์เครื่องไหนที่ยังไม่มีการอัพเดต  และถ้ายังไม่มีการอัพเดตจะส่งผลเสียหรือมีช่องโหว่อะไรบ้าง  และ Wizberry ยังสามารถสร้างนโยบายให้อุปกรณ์มีการอัพเดตซอฟแวร์ของระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดเพื่อให้อุปกรณ์มีความปลอดภัยเสมอ

5 Reasons Why You Need To Update Your Mobile App - UPLARN

  1. ทราบถึงแอฟพลิเคชั่นของกลุ่มอุปกรณ์ที่ใช้งานอยู่

ตามข้อกำหนดของ PDPA เราจะต้องทราบได้ว่าข้อมูลของเราใครเป็นคนเข้าถึง  มีสิทธิ์การใช้งานแค่ไหน  และเข้าถึงข้อมูลจากที่ไหน  ซึ่งแน่นอนว่าในการใช้งานแอฟพลิเคชั่นขององค์กรพนักงานสามารถเข้าถึงอุปกรณ์ได้จากแอฟนั่นบนเครื่องไหนก็ได้  ในกรณีที่เราให้พนักงานดาวน์โหลดแอฟพลิเคชั่นขององค์กรบน App store ซึ่ง Wizberry จะสามารถเข้ามาช่วยจัดการให้องค์กรสามารถใช้งาน App catalog ขององค์กรเองได้โดยการจัดการบน Admin portal และเรายังจะสามารถทราบถึงจำนวนผู้ใช้งาน  และตัวอุปกรณ์ที่ใช้งานแอฟพลิเคชั่นของเรา  และเมื่อพนักงานลาออกเราก็สามารถจัดการถอนการติดตั้งแอฟพลิเคชั่นจากเครื่องของพนักงานได้

https://designgeekz.com/wp-content/uploads/2018/08/Enterprise-Mobile-App.jpg

  1. จัดการกับความเสี่ยงของการโจรกรรม

อุปกรณ์พกพาจำพวก Smartphone, Tablet, Laptop เป็นอุปกรณ์ที่เราพกพาไปไหนมาไหนได้อย่างสะดวกสบายเนื่องจากมีน้ำหนักเบาและใช้งานง่าย  ซึ่งหลายครั้งก็มีความเสี่ยงที่อุปกรณ์จะถูกขโมยได้ง่าย  ซึ่งหลายองค์กรก็ต้องมีมาตรการในการจัดการความเสี่ยงตรงนี้  ไม่ว่าจะเป็นสามารถตรวจสอบได้ว่าอุปกรณ์ที่ถูกขโมยอยู่ที่ไหน  ซึ่งผู้ดูแลสามารถส่งคำสั่งไปล๊อคหรือลบข้อมูลขององค์กรเพื่อป้องกันข้อมูลรั่วไหลได้  และไม่ใช่เฉพาะแค่การขโมยตัวอุปกรณ์  เรายังต้องเฝ้าระวังการโจมตีในการขโมยข้อมูลจากเหล่า Hacker ต่างๆ ซึ่ง Wizberry สามารถช่วยในการสร้างนโยบายความปลอดภัยของตัวอุปกรณ์ได้

  1. ปรับใช้และบังคับใช้การตั้งค่าจากระยะไกล

ในการจัดการอุปกรณ์หลายเครื่องหลายกลุ่มการใช้งานมีการใช้งานและนโยบายที่แตกต่างกันเช่นพนักงานขายเราต้องการที่จะจำกัดการใช้งานให้สามารถใช้งานได้เฉพาะแอฟพลิชั่นขององค์กรเท่านั้น (Kiosk Mode) และฝ่ายผู้บริหารสามารถใช้งานได้ทุกฟังก์ชั่นการใช้งานและมีความปลอดภัย  ทางผู้ดูแลระบบสามารถจัดการคำสั่งเพื่อตั้งค่าความปลอดภัยได้จากระยะไกล  แล้วการใช้งาน VPN และ WiFi ทางผู้ดูแลระบบสามารถตั้งค่าจากหน้าจอของผู้ดูแลระบบได้เลย โดยไม่จำเป็นต้องส่งข้อมูลการตั้งค่าให้กับผู้ใช้งาน

7 Steps That Need to Be Part of Your Mobile Management Policy

9. ป้องกันภัยคุกความจาก Malware

บริษัทบางแห่งมีนโยบายให้พนักงานนำอุปกรณ์ส่วนตัวมาใช้ในการทำงาน ทำให้บางทีการป้องกันมัลแวร์มักจะถูกมองข้าม เนื่องจากเป็นอุปกรณ์ของพนักงานเอง ดังนั้นโซลูชัน Threat Management ของ Wizberry จึงเข้ามาทำหน้าที่ในการช่วยทำให้พนักงานทำงานได้อย่างอิสระ โดยสามารถดาวน์โหลดแอปพลิเคชันหรือไฟล์ต่างๆ ในอุปกรณ์ของตนเองได้อย่างปลอดภัย เนื่องจากมีระบบอัตโนมัติในการตรวจจับแอปพลิเคชันที่สุ่มเสี่ยงและอันตรายได้ หากมีการดาวน์โหลดแอฟพลิเคชั่นที่สุ่มเสี่ยงในการติดมัลแวร์  ระบบการจะทำการตรวจจับให้อัตโนมัติ

ไปที่หน้าบทความ

บทความที่เกี่ยวข้อง


pagetop