PDPA กับมาตรการปกป้องข้อมูลบน Smart Device
2021.04.20
CONTENTS
PDPA คืออะไร
PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 ในบางส่วน และหมวดเฉพาะที่เกี่ยวกับภาคธุรกิจถูกเลื่อนการประกาศออกไปอีก 1 ปี เนื่องจากเรื่องของความพร้อม ประกอบกับสถานการณ์ COVID-19 ที่ทำให้ภาคธุรกิจเกิดปัญหาด้านการดำเนินการ เรื่องภาระค่าใช้จ่ายที่ต้องเกิดขึ้น จึงต้องการเลี่ยงการลงทุนเพื่อฟื้นฟูธุรกิจ ซึ่งพ.ร.บ จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 เป็นต้นไป
เกี่ยวกับ PDPA
แนวปฏิบัติสากล (Security Framework) ที่สามารถนำมาประยุกต์ใช้กับการคุ้มครองข้อมูล
เพื่อที่จะได้ปฏิบัติตามตามกฏหมายของ PDPA หรือ GDPR ในหลายๆองค์กรก็ได้นำแนวปฏิบัติสากลมาปรับใช้เพื่อที่จะบรรลุเป้าหมายในการคุ้มครองข้อมูลดังนี้
• Policies (Business Goals) เป้าหมาย เช่น การหลีกเลี่ยงข้อมูลขององค์กรเกิดการรั่วไหล (Data leakage)
• Standards (IT/Security Goals) ทำการกำหนดมาตรฐานที่เชื่อมโยงเข้ากับเป้าหมายนั้นๆ
• Procedures ทำขั้นตอนปฏิบัติเพื่อบรรลุเป้าหมายนั้น
NIST Cybersecurity Framework เป็น Guidelines ที่เป็น Best Practice ที่นิยมนำไปประยุกต์ใช้กัน
NIST Cybersecurity Framework เป็นหนึ่งในกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นที่นิยมใช้อย่างมากในปัจจุบัน ซึ่ง Framework ดังกล่าวเป็นที่แพร่หลายไปทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กรเริ่มนำ Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัยคุกคามบนโลกไซเบอร์ (Cyber Threat)
Framework นี้นำเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหารจัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดำเนินต่อไปได้อย่างเนื่อง โดยหัวใจสำคัญของ Framework แบ่งออกเป็น 5 ฟังก์ชันหลัก คือ
9 มาตรการรักษาความปลอดภัยบนอุปกรณ์พกพาเพื่อปรับใช้กับ PDPA
โทรศัพท์มือถือเกือบทุกรุ่นมีหน้าจอล็อกที่มี PIN หรือล็อคแบบ การพิสูจน์ตัวตนระดับนี้เพียงอย่างเดียวสามารถหยุดการเข้าถึงที่ไม่ได้รับอนุญาตเป็นด่านแรกได้ เนื่องจากผู้ใช้งานหลายคนไม่ได้ตั้งล๊อกหน้าจอแบบ PIN ไว้เวลาเครื่องหาย ผู้ที่เก็บเครื่องได้ก็สามารถเข้าถึงข้อมูลได้ทันที
ด้วย Wizberry ทำให้สามารถใช้นโยบายการตั้งการล๊อคหน้าจอหรือรหัสผ่านก่อนการใช้งานได้อย่างง่าย และในฝั่งของผู้ดูแลจะสามารถตรวจสอบได้ว่าอุปกรณ์เครื่องไหนปฏิบัติตามนโนบาย (Policy Compliance) หรือไม่ ซึ่งสิ่งนี้จะพิสูจน์ได้ว่ามีประโยชน์อย่างยิ่งภายใต้ข้อกำหนดของ PDPA สำหรับ “การสร้างนโยบายความเป็นส่วนตัว”
การเข้ารหัสข้อมูลคือจัดเก็บข้อมูลบนอุปกรณ์ของคุณให้เป็นแบบที่อ่านไม่ได้และมีสัญญาณรบกวน ซึ่งเมื่อคุณป้อน PIN รหัสผ่าน หรือรูปแบบบนหน้าจอล็อคอุปกรณ์ของคุณก็จะถอดรหัสข้อมูลทำให้เข้าใจได้ ถ้าหากมีผู้ที่ไม่รู้จักรหัส PIN การเข้ารหัสหรือรหัสผ่านพวกเขาจะไม่สามารถเข้าถึงข้อมูลของบนอุปกรณ์ของคุณได้
การเข้ารหัสจะเป็นการช่วยปกป้องข้อมูลที่สำคัญบนอุปกรณ์ของคุณ เช่น มีข้อมูลสำคัญบนอุปกรณ์ของบริษัทเช่นข้อมูลการเงินหรือลูกค้า จะต้องการใช้การเข้ารหัส เพื่อช่วยปกป้องข้อมูลนั้นจากการจารกรรมขององค์กร ผู้โจมตีจะไม่สามารถเข้าถึงข้อมูลได้โดยไม่ต้องใช้คีย์เข้ารหัสแม้ว่าจะมีวิธีการถอดรหัสขั้นสูงที่ทำให้เป็นไปได้.
Wizberry จะช่วยในการตรวจสอบสถานะของอุปกรณ์ว่ามีการเข้ารหัสข้อมูลหรือไม่ ซึ่งถ้าอุปกรณ์เครื่องไหนที่ยังไม่ทำการเข้ารหัสก็สามารถดำเนินการตามนโยบายขององค์กรเพื่อเพิ่มมาตรการรักษาความปลอดภัยของข้อมูลได้
เพื่อให้สอดคล้องกับ PDPA สิ่งสำคัญคือต้องมีมาตรการในการจัดเก็บข้อมูลในอุปกรณ์ และจำเป็นอย่างยิ่งที่จะต้องลบและรีเซ็ตอุปกรณ์อย่างเหมาะสมเมื่อไม่อนุญาตให้อุปกรณ์ดังกล่าวสามารถเข้าถึงข้อมูลขององค์กรได้ เช่นในกรณีที่พนักงานลาออกและใช้อุปกรณ์ส่วนตัวในการเข้าถึงอีเมล์ขององค์กร หรือเวลาที่พนักงานทำเครื่องหาย ทางองค์กรก็สามารถจัดการลบข้อมูลขององค์กรหรือล้างเครื่องได้จากระยะไกลได้
ด้วยฟังก์ชั่นการใช้งานของ Wizberry สามารถแบ่งส่วนที่เป็นการทำงานขององค์กรและส่วนตัวบนอุปกรณ์เครื่องเดียวได้ โดยจะมีส่วนของ Contrainer ที่ใช้สำหรับเข้าถึงข้อมูลขององค์กรเช่น E-Mail, File Sharing ต่างๆ ซึ่งในส่วนของการทำงานนี้จะมีการเข้ารหัสไว้ เพื่อป้องการการโจรกรรมข้อมูล และยังสามารถตั้งนโยบายให้ผู้ใช้งานตั้งรหัสก่อนเข้าถึงส่วนการทำงานได้ และในฝั่งของการใช้งานส่วนบุคคล ผู้ดูแลระบบขององค์กรจะไม่สามารถเห็นข้อมูลต่างๆได้เลย ซึ่งเป็นไปตามนโยบายของ พรบ.คุ้มครองข้อมูลส่วนบุคคล
ในการใช้งานแอฟพลิเคชั่นบางครั้งก็มีอาจมีช่องโหว่เนื่องจากแอฟพลิชั่นนั้นเป็น Version เก่า หรือระบบปฏิบัติการของอุปกรณ์ถ้าเราไม่อัพเดตหรือยังใช้งานใน version เก่าๆก็อาจจะทำให้อุปกรณ์ของเราสามารถถูกโจมตีจากผู้ไม่หวังดีได้เนื่องจากช่องโหว่ของอุปกรณ์ความปลอดที่เกิดขึ้นได้ Wizberry ซึ่งมีการใช้งานร่วมกับ AI จะช่วยผู้ดูแลในการตรวจสอบอุปกรณ์ว่า มีอุปกรณ์เครื่องไหนที่ยังไม่มีการอัพเดต และถ้ายังไม่มีการอัพเดตจะส่งผลเสียหรือมีช่องโหว่อะไรบ้าง และ Wizberry ยังสามารถสร้างนโยบายให้อุปกรณ์มีการอัพเดตซอฟแวร์ของระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดเพื่อให้อุปกรณ์มีความปลอดภัยเสมอ
ตามข้อกำหนดของ PDPA เราจะต้องทราบได้ว่าข้อมูลของเราใครเป็นคนเข้าถึง มีสิทธิ์การใช้งานแค่ไหน และเข้าถึงข้อมูลจากที่ไหน ซึ่งแน่นอนว่าในการใช้งานแอฟพลิเคชั่นขององค์กรพนักงานสามารถเข้าถึงอุปกรณ์ได้จากแอฟนั่นบนเครื่องไหนก็ได้ ในกรณีที่เราให้พนักงานดาวน์โหลดแอฟพลิเคชั่นขององค์กรบน App store ซึ่ง Wizberry จะสามารถเข้ามาช่วยจัดการให้องค์กรสามารถใช้งาน App catalog ขององค์กรเองได้โดยการจัดการบน Admin portal และเรายังจะสามารถทราบถึงจำนวนผู้ใช้งาน และตัวอุปกรณ์ที่ใช้งานแอฟพลิเคชั่นของเรา และเมื่อพนักงานลาออกเราก็สามารถจัดการถอนการติดตั้งแอฟพลิเคชั่นจากเครื่องของพนักงานได้
อุปกรณ์พกพาจำพวก Smartphone, Tablet, Laptop เป็นอุปกรณ์ที่เราพกพาไปไหนมาไหนได้อย่างสะดวกสบายเนื่องจากมีน้ำหนักเบาและใช้งานง่าย ซึ่งหลายครั้งก็มีความเสี่ยงที่อุปกรณ์จะถูกขโมยได้ง่าย ซึ่งหลายองค์กรก็ต้องมีมาตรการในการจัดการความเสี่ยงตรงนี้ ไม่ว่าจะเป็นสามารถตรวจสอบได้ว่าอุปกรณ์ที่ถูกขโมยอยู่ที่ไหน ซึ่งผู้ดูแลสามารถส่งคำสั่งไปล๊อคหรือลบข้อมูลขององค์กรเพื่อป้องกันข้อมูลรั่วไหลได้ และไม่ใช่เฉพาะแค่การขโมยตัวอุปกรณ์ เรายังต้องเฝ้าระวังการโจมตีในการขโมยข้อมูลจากเหล่า Hacker ต่างๆ ซึ่ง Wizberry สามารถช่วยในการสร้างนโยบายความปลอดภัยของตัวอุปกรณ์ได้
ในการจัดการอุปกรณ์หลายเครื่องหลายกลุ่มการใช้งานมีการใช้งานและนโยบายที่แตกต่างกันเช่นพนักงานขายเราต้องการที่จะจำกัดการใช้งานให้สามารถใช้งานได้เฉพาะแอฟพลิชั่นขององค์กรเท่านั้น (Kiosk Mode) และฝ่ายผู้บริหารสามารถใช้งานได้ทุกฟังก์ชั่นการใช้งานและมีความปลอดภัย ทางผู้ดูแลระบบสามารถจัดการคำสั่งเพื่อตั้งค่าความปลอดภัยได้จากระยะไกล แล้วการใช้งาน VPN และ WiFi ทางผู้ดูแลระบบสามารถตั้งค่าจากหน้าจอของผู้ดูแลระบบได้เลย โดยไม่จำเป็นต้องส่งข้อมูลการตั้งค่าให้กับผู้ใช้งาน
9. ป้องกันภัยคุกความจาก Malware
บริษัทบางแห่งมีนโยบายให้พนักงานนำอุปกรณ์ส่วนตัวมาใช้ในการทำงาน ทำให้บางทีการป้องกันมัลแวร์มักจะถูกมองข้าม เนื่องจากเป็นอุปกรณ์ของพนักงานเอง ดังนั้นโซลูชัน Threat Management ของ Wizberry จึงเข้ามาทำหน้าที่ในการช่วยทำให้พนักงานทำงานได้อย่างอิสระ โดยสามารถดาวน์โหลดแอปพลิเคชันหรือไฟล์ต่างๆ ในอุปกรณ์ของตนเองได้อย่างปลอดภัย เนื่องจากมีระบบอัตโนมัติในการตรวจจับแอปพลิเคชันที่สุ่มเสี่ยงและอันตรายได้ หากมีการดาวน์โหลดแอฟพลิเคชั่นที่สุ่มเสี่ยงในการติดมัลแวร์ ระบบการจะทำการตรวจจับให้อัตโนมัติ
บทความที่เกี่ยวข้อง
กฎหมาย
ข่าว
ความปลอดภัย
เว็บไซต์ของแก๊งแรนซัมแวร์ LockBit ถูกยึดครองโดยหน่วยงานบังคับใช้กฎหมายระหว่างประเทศ
เว็บไซต์ .onion ของกลุ่มกลุ่ม LOCKBIT จะแสดงข้อความ "ขณะนี้เว็บไซต์นี้อยู่ภายใต้การควบคุมของการบังคับใช้กฎหมาย" ของสำนักงานอาชญากรรมแห่งชาติ (NCA) ของสหราชอาณาจักร
2024.02.27
กฎหมาย
กรณีศึกษา
ข่าว
ChatGPT ถูกกล่าวหาว่าละเมิดกฎการคุ้มครองข้อมูล
ChatGPT ถูกกล่าวหาว่าละเมิดกฎการคุ้มครองข้อมูล
2024.02.08
กฎหมาย
ข่าว
ความปลอดภัย
SBU ของยูเครนจับกุมสมาชิกกลุ่มแฮกเกอร์ Cyber Army of Russia
SBU ของยูเครนจับกุมสมาชิกกลุ่มแฮกเกอร์ Cyber Army of Russia
2024.01.30