ไทย
ค้นหา

คลังความรู้

PDPA เราควรเริ่มได้หรือยัง???

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะเริ่มมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคล ภาครัฐหรือรัฐวิสาหกิจที่จะต้องปฏิบัติตาม (ยกเว้นองค์กรที่เข้าข่ายตามมาตรา 4)  โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ครอบคลุมไปถึงข้อมูลลูกค้า พนักงาน หรืออื่นที่เกี่ยวข้องด้วย

ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง อีกทั้งเจ้าของข้อมูลสามารถถอนความยินยอมได้ และเมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

องค์กรเหล่านั้นจึงจำเป็นต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

ดังนั้นองค์กรควรเริ่มพิจารณาตนเองว่าทำหน้าที่อะไร Data Controller, Data Proccessor มีกระบวนการจัดเก็บข้อมูลอย่างไร จัดเก็บอย่างถูกต้องและขออนุญาตหรือไม่ รวมไปถึงตรวจสอบรูปแบบการรักษาความมั่นคงปลอดภัย และระบบแจ้งเตือนเมื่อเกิดเหตุละเมิดให้เหมาะสม

เหลือเวลาอีกไม่นานแล้ว เราควรจะเริ่มได้หรือยัง? ต้องถามองค์กรท่านดู

Work From Home: COVID-19

อย่างที่ทราบกัน ตอนนี้โรคระบาด COVID-19 กำลังกระจายตัวในประเทศไทยอย่างน่าตกใจ จนในกรุงเทพฯ จะเป็นเมืองร้าง ปราศจากคนเดินทางไปไหนมาไหน

 

หลายๆที่ องค์กรเริ่มมีมาตรการค่อยๆ ออกมาเรื่อยๆ เพื่อป้องกันเหตุที่ไม่พึงประสงค์ รวมไปถึงในมุมของการ Work From Home ซึ่งเป็นจุดเริ่มที่ดีในการควบคุมโรคระบาดและตอบโจทย์ภาครัฐในแง่การการบริหารจัดการตามาตรฐานสากล สิ่งที่สำคัญที่สุดคือชีวิตประชาชนที่คงต้องปรับเปลี่ยนจากการทำงานแบบปกติเป็นการทำงานแบบ Virtual มากขึ้น เช่น

1. ทำงานที่่บ้านผ่านการประชุมทางไกล

2. คุยกับลูกค้าผ่านทางไลน์หรือ Web Chat 

3. การแชร์เอกสารผ่านทางระบบ Cloud

4. การเดินทางที่ต้องระมัดระวัง Social Distance

5. หลีกเลี่ยงพื้นที่ชุมนุมคนจำนวนมาก

เป็นต้น

สิ่งที่สำคัญที่สุด คือใช้เวลาช่วงนี้ดูแลครบครัวและตัวเองให้มีสุขภาพแข็งแรง พร้อมรับสถานการร์ทั้งที่แย่และทั้งที่ดีในอนาคต

เราจะผ่านมันไปด้วยกัน!!!!

หลอกติดตั้งมัลแวร์เว็บอัปเดตสถานการณ์ COVID-19

ช่วงนี้ทุกคนนิยมเข้า Website ที่มีการ Update ข้อมูลของผู้ติดเชื้อ Covid-19 แต่หารู้ไม่ว่ามีภัยแฝงซ่อนตัวอยู่

มีการเตือนจากผู้เชีย่วชาญจากหลายๆ Product เช่น Check Point เป็นต้น ว่ามีเว็บไซต์ปลอม ที่อัปเดตการแพร่กระจายของไวรัสโคโรน่า จำนวนผู้ติดเชื้อ สถิติการเสียชีวิต โดยพบว่าผู้ไม่ประสงค์ดีจะใช้วิธีล่อลวงให้ดาวน์โหลดแอปพลิเคชันเพื่อติดตามสถานการณ์ แต่อันที่จริงแล้วก็คือมัลแวร์ที่สามารถขโมยข้อมูลส่วนบุคคลจากทางเราได้ 

ดังนั้นการทำอะไรก็ตามในช่วงนี้จึงต้องระวังตัวเป็นพิเศษ อีกทั้งระยะนี้ก็มี FAKE NEWS ออกมาเป็นช่วงๆ จึงทำให้มีช่องทางที่สามารถถูกโจมตีทาง Cyber มากยึ่งขึ้น

FAKE NEWS!!!

ทุกวันนี้หากใครใช้งานสือสังคมออนไลน์ โพสต์สือแบบสาธารณะ  ยิ่งมีเพื่อนหรือผู้ติดตามเยอะ  การแพร่กระจายสือจะเป็นไปอย่างรวดเร็ว 

เพียงแต่โพสต์ลงบนหน้า Feed หรือเพจ ก็ถือเป็นการกระจายสือ ที่แทบไม่มีต้นทุนใดๆ ใครก็สามารถเป็นผู้ผลิตสือได้ จึงเกิดสือที่ ไม่มีคุณภาพ ข้อมูลผิด ทั้งที่เกิดจากความตั้งใจหรือไม่ตั้งใจ จึงเกิดเป็นที่มาของคำว่า "Fake News"

โดยมีหลักการการเป็นผู้รับสือ เพื่อการป้องกันและรับมือข่าวปลอม ดังต่อไปนี้

  1. รับข่าวจากสือที่น่าเชื่อถือได้ สามารถตรวจสอบได้
  2. ไม่อ่านข่าวหรือรับข่าวจากสือใดสือหนึ่งเพียงด้านเดียว ต้องเช็คหลายๆ แหล่งเพื่อความชัดเจน
  3. อย่ากดแชร์ข้อมูลที่เราไม่รู้แหล่งที่มา หรือไม่รู้ว่าข่าวดังกล่าวเป็นข่าวจริงหรือเปล่า เพราะอาจสร้างความเสียหายที่เกิดจาก Fake News ได้

 

Phishing and E-Learning Services
เนื่องด้วยปัจจุบันองค์กรและธุรกิจหลายๆ แห่งมีความเสี่ยงในการถูกโจมตีทางด้าน Cyber
 
 
  
จึงทำให้ผู้บริหารจำเป็นต้องมีการสื่อสารและทำ Security Awareness ให้แก่ผู้ใช้งานและพนักงานอย่างเป็นรูปธรรมและเป็นประจำ
บริษัท พราวด์ คอนซัลติ้ง จำกัด ซึ่งเป็นบริษัทที่ให้คำปรึกษาทางด้าน IT Standards จึงมีความประสงค์นำเสนอบริการทางด้าน
Phishing Solutions ซึ่งสามารถเชื่อมต่อกับ E-Learning Services เพื่อให้องค์กรสามารถใช้ระบบในการทำ Awareness ได้อย่างมีประสิทธิภาพและเพื่อตอบสนองกฏระเบียบหรือข้อบังคับในหลายๆ Regulators

 

อาชญากรรมไซเบอร์ (Cybercrime) ภัยใกล้ตัวเรา

ภัยคุกคามทางไซเบอร์ได้เพิ่มระดับความรุนแรง และมีความซับซ้อนในการโจมตีมากขึ้น ความเสียหายที่เกิดจากการอาชญากรรมและการโจมตีทางไซเบอร์จะมีผลต่อธุรกิจทั้งภาครัฐและเอกชนอย่างร้ายแรง

รูปแบบของอาชญกรรมไซเบอร์มีตั้งแต่เจาะเข้าไปในระบบปฏิบัติการคอมพิวเตอร์ของสถาบันการเงินแล้วโจรกรรมข้อมูลบัญชีธนาคารของลูกค้า จากนั้นก็นำไปแสวงหาประโยชน์ทางการเงินในรูปแบบต่างๆ หรือการได้มาซึ่งข้อมูลความลับทางธุรกิจ เช่น การสั่งซื้อ-ขายสินค้าระหว่างกัน รวมถึงเลขที่บัญชีธนาคารคู่ค้าของบริษัท แม้แต่การเข้าไปล้วงข้อมูลส่วนตัวของผู้ป่วย ไม่ว่าจะเป็นเลขบัตรประชาชน วันเกิด ที่อยู่ เบอร์โทรศัพท์ อีเมล์ เลขบัตรเครดิต 

เนื่องจากการปัจจุบันเทคโนโลยีใหม่ๆ เกิดขึ้นตลอดเวลา ทำให้องค์กรต้องมีการตื่นตัวและให้ความสำคัญในความมั่นคงปลอดภัยไซเบอร์เพิ่มมากขึ้น อย่างไรก็ตามการรักษาความปลอดภัยของระบบงานในองค์กรนั้น ไม่ใช่เรื่องง่าย เนื่องจากมุมมองของความเข้าใจในเรื่อง Cyber ระหว่างผู้บริหารและทีมงานด้าน IT ที่มีความแตกต่างกัน ก็เป็นอุปสรรคสำคัญในการขับเคลื่อนกระบวนการด้าน Cybersecurity และจากที่ได้กล่าวไปแล้ว ความสะดวกในการเข้าถึงระบบโดยใช้เทคโนโลยีจึงทำให้มีการเชื่อมต่อองค์กรกับโลกภายนอกอย่างหลีกเลี่ยงไม่ได้ ซึ่งจะเป็นเป้าหมายสำหรับอาชญากรทางไซเบอร์ที่สูงขึ้น 

การป้องกันจึงเป็นสิ่งจำเป็น โดยเริ่มจากการดูแลระบบรักษาความปลอดภัยของระบบคอมพิวเตอร์ให้ทันสมัยอยู่เสมอ การหมั่นตรวจสอบป้องกันช่องโหว่ที่อาจเกิดขึ้น การสำรองข้อมูลทางธุรกิจของตนเองไว้อย่างสม่ำเสมอ รวมไปถึงการให้ความรู้แก่พนักงานผู้เกี่ยวข้องให้ตระหนักถึงความปลอดภัยของระบบปฏิบัติการคอมพิวเตอร์ หากทำได้ก็จะช่วยป้องกันภัยจากอาชญากรรมไซเบอร์ได้ในระดับหนึ่ง จะเห็นว่าความเสี่ยงที่เกิดขึ้นจากอาชญากรรมไซเบอร์สามารถป้องกันได้ หากสร้างวิธีการป้องกันอย่างรัดกุม เพื่อไม่ให้ภัยคุกคามเหล่านั้นสร้างความเสียหายแก่ธุรกิจของผู้ประกอบการในยุค Digitalized Economy ได้

Thailand| Data Privacy

การลงมติเห็นชอบร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเมื่อไม่นานมานี้ ถือเป็นอีกหนึ่งก้าวสำคัญของประเทศไทย

ด้วยการวางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดขั้นตอนที่องค์กรหรือผู้ให้บริการจะต้องกระทำในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้น จึงถือเป็นการกำหนดมาตรฐานด้านการบริหารจัดการข้อมูลประเภทนี้ในประเทศไทยให้เป็นไปตามมาตรฐานสากล

ขณะเดียวกัน อาชญากรไซเบอร์ยังคงมุ่งจู่โจมด้วยเทคนิควิธีการต่างๆ อย่างต่อเนื่อง โดยรายงาน Security Intelligence Report (SIR) ฉบับที่ 24 ของไมโครซอฟท์ สรุปว่าภัยร้าย 4 อันดับแรกสำหรับผู้ใช้อินเทอร์เน็ตในประเทศไทย ได้แก่มัลแวร์ทั่วไป สูงกว่าค่าเฉลี่ยโลก 107 เปอร์เซ็นต์  มัลแวร์ที่ขุดสกุลเงินดิจิทัล สูงกว่าค่าเฉลี่ยโลก 133% มัลแวร์เรียกค่าไถ่ สูงกว่าค่าเฉลี่ยโลก 140 เปอร์เซ็นต์ และการหลอกล่อด้วยเว็บไซต์ สูงกว่าค่าเฉลี่ยโลก 33 เปอร์เซ็นต์

ดังนั้นองค์กรควรจะเตรียมรับมือทั้งด้านกระบวนการให้เป็นไปตามมาตรฐานและกฏระเบียบบังคับ รวมไปถึงคงจะต้องพิจารณาเทคโนโลยีที่เลือกนำมาใช้เพื่อให้กระบวนการภายในมีความมั่นคปลอดภัยและมีความเป็น Privacy มากยิ่งขึ้น

ตำแหน่ง DPO สำคัญอย่างไร?

ทุกๆ ท่านคงทราบดีอยู่แล้วว่า GDPR หรือ PDPA ในประเทศไทย กล่าวว่าองค์กรต้องแต่งตั้ง DPO (Data Protection Officer)

โดยเฉพาะอย่างยิ่งควรจะมีประสบการณ์และความเชี่ยวชาญด้านกฎหมายและด้านการป้องกันข้อมูล ซึ่ง Functions หลักๆ ของ DPOั้ นั้นได้แก่

- ทำหน้าที่เป็นผู้ติดต่อแรกของเจ้าหน้าที่กำกับดูแลและ Data Processor (ผู้ประมวลผลข้อมูล)

- ให้คำแนะนำแก่พนักงานเกี่ยวกับการปฏิบัติตาม GDPR และกฎหมายคุ้มครองข้อมูลอื่น ๆ

- ตรวจสอบความสอดคล้องกับ GDPR และกฎหมายคุ้มครองข้อมูลอื่น รวมทั้งนโยบายการปกป้องข้อมูล รวมถึงกิจกรรมการคุ้มครองข้อมูลภายใน การสร้างความตระหนักเกี่ยวกับประเด็นการคุ้มครองข้อมูล การฝึกอบรมพนักงานและการดำเนินการตรวจสอบภายใน

- ให้คำแนะนำและการกำกับดูแลการประเมินผลกระทบด้านการป้องกันข้อมูล

GDPR/PDPA กล่าวว่า องค์กรสามารถมอบหมายงานนี้ให้กับองค์กรอื่น (Outsourced) ได้ ตราบเท่าที่พวกเขาไม่ได้นำไปสู่ความขัดแย้งทางผลประโยชน์ (Conflict of Interest) ดังนั้นตำแหน่งดังกล่าวจึงเป็นที่ต้ิองการและได้รับความนิยมมากๆ ในปัจจุบัน

Security Awareness Campaign

เดี๋ยวนี้ หลายๆ องค์กรเริ่มมีการทำการสื่อสารองค์กรในระดับผู้ใช้งาน IT มากขึ้น ทั้งในมุมของการทำการฝึกอบรม การทดสอบ (Drill) การทำเกมส์หรือการทำ Seminar ในองค์กร

 

ซึ่งถือเป็นจุดเริ่มที่ดี เพราะผู้ใช้งานคือช่องโหว่ที่ทำให้ Secuirty มีประเด็น คนส่วนใหญ่คิดว่าการ Implement Solutions ที่ดีหรือแพงๆ จะช่วยได้และป้องกันทุกอย่างได้ แต่อย่าลืมว่ามนุษย์นี้คือช่องโหว่ที่สำคัญที่สุด ดังนั้นเราจึงควรให้ความรู้ ความเข้าใจ ให้คนกลุ่มนี้รู้สึกว่าเรื่อง Sucurity เป็นสิ่งที่เใกล้ตัวและวัดผลได้ และทำให้องค์กรมีการปรับปรุงกระบวนการที่ดีอย่างมีประสิทธิภาพตลอดเวลา

อบรม ISO/IEC 27001:2013 Foundation

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้มีการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation

ให้กับคณะกรรมการป้องกันและปราบปรามยาเสพติด (ปปส.) เมื่อวันที่ 19 เมษายน 2562 ที่ผ่านมา