ไทย
ค้นหา

คลังความรู้

พ.ร.บ. ไซเบอร์และ พ.ร.บ. ข้อมูลส่วนบุคคล

เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ได้มีการประกาศ พ... 2 ฉบับที่กำลังโด่งดัง และมีผลบังคับใช้แล้วตั้งแต่วันที่ 28 พฤษภาคม 2562 นี้

 

 

เราลองเริ่มจากพ.ร.บ.ไซเบอร์ มีเจตนาที่ต้องการให้บังคับให้หน่วยงานที่ต้องปฏิบัติตามมาตรฐาน เรียกหน่วยงานประเภทนี้ว่า Critical Information Infrastructure หรือ CII คือผู้ให้บริการคอมพิวเตอร์แก่ประชาชนเป็นส่วนใหญ่ มีอยู่ หน่วยงานตามมาตรา 49 เป็นหน่วยงานตามโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้งภาครัฐและเอกชน เพื่อให้ CII ทั้ง แห่งเตรียมพร้อมรับมือกับการโจมตีด้วยการพัฒนาระบบรักษาความปลอดภัยไปในทิศทางเดียวกัน

ส่วน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่คุ้มครองและรักษาสิทธิประโยชน์ข้อมูลของผู้ใช้บริการเป็นหลัก ดังนั้นหน้าที่ของ พ.ร.บ.ทั้งสอง จึงเป็นการคุ้มครองคนละส่วนกัน แต่ทั้งสอง พ.ร.บ.นั้นก็มีเพื่อปกป้องพิทักษ์สิทธิของประชาชนผู้ใช้บริการทั้งสิ้น

แม้ว่า พ.ร.บ.ไซเบอร์จะมุ่งใช้กับ CII เป็นหลัก แต่ผู้ใช้บริการเองก็ต้องตระหนักและศึกษาผลกระทบจากข้อกฎหมายในส่วนนี้ด้วย คงต้องติดตามกันต่อไปว่า หลังมีการประกาศใช้แล้ว บรรดากฎหมายลูกที่ออกมาจะมีความชัดเจนอย่างไรบ้าง

อย่างไรก็ตามก็มีเนื้อหาบางส่วนที่ดูแล้วก็เหมือนมาเสริมกัน เช่น พ.ร.บ. ข้อมูลส่วนบุคคล บอกว่าจะ ‘เก็บ’ ต้องขอความยินยอมก่อนตามมาตรา 19 ในเอกสาร แต่มีข้อยกเว้น กรณีที่กฎหมายอื่นให้กระทำได้ และกรณีการเก็บข้อมูลเป็นการปฏิบัติตามกฎหมายตามมาตรา 24 คณะกรรมการมั่นคงไซเบอร์ไม่ต้องขอความยินยอมตามกฎหมายคุ้มครองข้อมูลฯ

และถ้าเรามองโลกในแง่ดี ความสำคัญของพ..ทั้ง ฉบับดังกล่าว อาจจะช่วยสร้างความพร้อมให้กับประเทศในการรับมือความเสี่ยงและภัยคุกคามทางไซเบอร์ยุคใหม่ จากความก้าวหน้าของเทคโนโลยีดิจิทัล ที่อาจส่งผลกระทบสร้างความเสียหายต่อความมั่นคงประเทศและเศรษฐกิจโดยรวม ตลอดจนถึงการคุ้มครองข้อมูลประชาชนทั่วไปก็เป็นได้

Secure code Services
หนึ่งในปัญหาที่พบบ่อยสุดเวลาทำ Penetration Testing คือ เมื่อเจอช่องโหว่ระดับ application แล้ว developer ไม่อยากแก้ไข
 
 
 
แต่ทีม Infrastruture จำเป็นต้องปิดช่องโหว่ให้เร็วที่สุด บางองค์กรจึงลงทุนซื้อ Webapp firewall มากั้น ซึ่งเป็นการลงทุนที่ใช้เงินสูงและไม่สามารถแก้ไขปัญหาได้ 100%
 อย่างไรก็ตาม ทุกคนรู้ว่าถ้า Application Developer เขียน code ให้ secure ตั้งแต่แรกจะลดช่องโหว่และต้นทุนส่วนนี้ลงไปได้ เมื่อก่อนการเพิ่ม skill เรื่อง Secure Coding ให้กับ developer เป็นเรื่องยาก เพราะมีคนที่สอนได้น้อย ภาษาก็จำกัด อีกทั้งทีมงานไม่ค่อยมีเวลาเข้าอบรม การวัดผลจากการเรียนแบบ classroom ก็ทำได้ยาก และไม่สามารถสร้าง awareness ด้าน Security ให้เกิดขึ้นได้ 
จึงขอนำเสนอ Training platform ที่พัฒนาการสอนเรื่อง Secure Coding ในรูปแบบ Gamification เหมาะสำหรับ Developer, IT Security รวมถึงIT Auditor เพื่อเรียนรู้วิธีเขียน Code ให้ปลอดภัย
 
ถ้าท่านสนใจ สามารถติดต่อฝ่ายขายเพื่อนัดหมายเข้าไปนำเสนอได้ครับ
รู้ทัน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

เมื่อต้นสัปดาห์ที่ผ่านมา ทุกท่านน่าจะพอทราบแล้วว่ามีประกาศ ราชกิจจานุเบกษา เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ. 2562 เป็นที่เรียบร้อย

ซึ่งเนื้อหาหลัก ก็จะกล่าวถึง

1. ต้องขอความยินยอม

2. แจ้งวัตถุประสงค์ในการจัดเก็บ

3. การกระทำกับข้อมูลเท่าที่จำเป็น

4. หน้าที่ของผู้ควบคุมข้อมูล

5. การโอนย้ายข้อมูล

6. กฏเกณฑ์การค้มครองข้อมูลส่วนบุคคลในองค์กร

ึ7. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

8. สิทธิของเจ้าของข้อมูล

9. ความรับผิดชอบทางแพ่ง

10. บทกำหนดโทษ

ดังนั้นหลังจากประกาศ ก็มีเวลาให้ดำเนินการประมาณ 1 ปี เพื่อให้องค์กรต่างๆ เตรียมความพร้อมในการดำเนินการให้เป็นไปตามประกาศฉบับนี้ ซึ่งรวมไปถึงการปรับตัวของเราๆ ท่านๆ ด้วย

ว่าบทลงโทษนี้จะดำเนินการได้และประสิทธิภาพมากน้อยขนาดไหน เพราะแค่ปัจจุบันเรายังรับสายบุคคลแปลกหน้าที่มาขายของทั้งประกัน บัตรเครดิต หรืออื่นๆ อยู่ตลอดเวลา

Security for o365

หลายๆ องค์กรเริ่มมีการใช้งาน o365 เป็นระบบงานหลักทั้งใช้ในมุมธุรกิจและการบริหารจัดการภายใน Back Office

ดังนั้นในด้าน Security ก็ควรจะมีการเฝ้าระวังอยู่สม่ำเเสมอด้วย เช่น

  • ตั้งค่า Mailbox Auditing ให้กับผู้ใช้งาน
  • ใช้ Multi-Factor Authentication        
  • การทำ Audit log ในส่วน Security เป็นต้น

อีกส่วนหนึ่งคือต้องเลือกให้ทีมงาน Security มีส่วนร่วมในการกำหนดการตั้งค่าหลายๆ อย่าง นอกจากเราจะให้ IT Support/System Engineer หรือแม้แต่ Supplier มาดำเนินการ

เพราะอย่าลืมว่าเอกสารหรือข้อมูลที่มีความลับขององค์กรก็อยู่ในนี้เป็นจำนวนมาก ซึ่งถ้าเกิดการรั่วไหลหรือมีการเข้าถึงข้อมูลที่ไม่เหมาะสม ก็จะสร้างปัญหาอย่างใหญ่หลวงให้แก่องค์กรได้

การประเมินความเสี่ยงองค์กร

การประเมินความเสี่ยงแบบปกติจะประเมินจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และผลลัพธ์ที่ตามมา (Consequence) อีกทั้งส่วนใหญ่ทั่วๆไปก็เป็นการประเมินแบบ Manual ไม่ได้มีเครื่องมือมาช่วย

 

ในงาน BLACK HAT ASIA 2019 Richard Bussiere, Technical Director ของ Tenable ได้นำเสนอแนวคิดการประเมินความเสี่ยงแบบ Predictive Prioritization ซึ่งจะทำการประเมินอย่าง Real time ตามเหตุการณ์ที่เปลี่ยนไป ส่งผลให้การประเมินความเสี่ยงของช่องโหว่มีความแม่นยำมากขึ้น รวมไปถึงหน่วยงาน ERM ในองค์กรสามารถสอดประสานการทำงานกับทีม Security ได้ดียิ่งขึ้น อีกทั้งการประเมินความเสี่ยงแบบนี้ก็จะไม่เป็นแบบ Reactive อีกต่อไปที่จะต้องมาประเมินตามรอบประจำปี

ISO 20000 New Version

ปัจจุบัน ISO/IEC 20000-1:2011 ได้มีการปรับ Version ไปเมื่อปี 2018 เป็น ISO/IEC 20000-1:2018

 

 

 ความแตกต่างของข้อกำหนดตามมาตรฐาน ISO/IEC 20000 เวอร์ชัน 2018 (ใหม่) กับ เวอร์ชัน 2011 (เดิม) มีอยู่หลายส่วน หลักๆ มีการเพิ่มกระบวนการ ได้แก่

  • Knowledge management
  • Asset management
  • Demand management
  • Service delivery

และมีการปรับเปลี่ยนคำหลายๆ ส่วน รวมไปถึงแบ่งกระบวนการบางอย่างออกมา เพื่อความชัดเจน เช่น Incident management กับ Service request management เป็นต้น อีกทั้งได้เพิ่มเนื้อหาบางอย่างให้ Integrated กันได้อย่างเหมาะสมกับมาตรฐานอื่นๆ ข้างเคียง โดยเฉพาะ ISO/IEC 27001:2013

ดังนั้น การทำมาตรฐานดังกล่าว ถ้าองค์กรมีมาตรฐานอื่นๆ อยู่แล้ว หรือมีมาตรฐานเบอร์นี้แต่เป็นเวอร์ชั่นเก่า ก็สามารถทำได้ง่ายขึ้น อีกทั้งการที่มาตรฐานมีการปรับเนื้อหาให้มีความทันสมัยให้เหมาะกับโลกปัจจุบันมากขึ้นก็จะยิ่งทำให้การขอรับรองมาตรฐานนี้สามารถใช้งานได้จริงและเป็นประโยชน์ต่อองค์กร

 

กฎการรักษาความมั่นคงไซเบอร์สหภาพยุโรป

หลายๆ ท่านอาจจะทราบข่าวที่เรากำลังจะมี พรบ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการเร็วๆ นี้

 

 

ทางพราวด์ขอนำเสนอของที่อื่นๆ ให้ทราบ ว่าเขาทำอย่างไรกัน ขอยกตัวอย่างของฝั่งยุโรปนะครับ หรือที่รู้จักกันทั่วไปว่า “กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Directive)” ถูกเสนอโดยคณะกรรมาธิการยุโรป ใน พ.ศ. 2557 โดยมีจุดมุ่งหมายเพื่อสร้างความเชื่อมั่นว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย หลักๆ เขาต้องการให้

1. ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายข้อมูลรักษาความมั่นคงปลอดภัย (National Information Security: NIS) ของตน ตลอดจนจัดตั้งเจ้าหน้าที่ผู้มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศนอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานคอมพิวเตอร์ฉุกเฉิน (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงจากเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์

2. เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์

3. กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น ธนาคาร สุขภาพ พลังงาน ขนส่ง และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน (นั้นคือคล้ายๆ GDPR)

ดังนั้นจะเห็นได้ว่า เขาเน้นเรื่องความร่วมมือระหว่างกันทั้งภาครัฐและเอกชน รวมไปถึงการวางมาตรฐานขั้นต่ำในตลาดทางด้าน Cyber เพื่อป้องกันความเสี่ยงองค์กรเป็นหลัก เราๆ ท่านๆ จึงต้องดูต่อไปว่า พรบ. ที่จะประกาศนั้นจะเป็นไปในทิศทางใด และประเทศไทยจะได้ประโยชน์มากน้อยแค่ไหนครับ

 

 

 

Security for Healthcare

ในปัจจุบันโรงพยาบาลหรือสถานประกอบการด้านการแพทย์ เริ่มมีนำเอามาตรฐานด้าน Security เข้ามาใช้มากขึ้น

 

ส่วนหนึ่งคือมาจากการที่กลุ่มธุรกิจนี้มีข้อมูลที่สำคัญอยู่หลายประเภท เช่น ข้อมูลคนไข้ ประวัติการรักษา ค่ายา เป็นต้น ดังนั้นการที่นำเอากระบวนการด้าน Security เข้ามาช่วยจึงเป็นสิ่งสำคัญ

อย่าลืมว่ายุคนี้ Social เร็วมาก ยิ่งถ้ามีข้อมูลรั่วไหล หรือ Data Leakage ที่มีการส่งผ่านข้อมูลสารสนเทศโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล ก็มีโอกาสสูงที่สามารถถูกฟ้องร้องได้ง่ายๆ

แล้วที่น่ากลัวคือธุรกิจนี้ขายความน่าเชื่อถือของสถานประกอบการและความชำนาญของแพทย์เป็นสำคัญ จึงเป็นความท้าทายสำหรับ CIO หรือ CISO ของหน่วยงานที่จะต้องทำให้องค์กรมีความมั่นคงปลอดภัยสารสนเทศอยู่ตลอด

ซึ่งมีตัวอย่างหลายโรงพยาบาลก็ได้รับรองมาตรฐาน ISO/IEC 27001:2013 ไปเรียบร้อยแล้ว และมีหลายๆ แห่งก็อยู่ในช่วงดำเนินการ ทั้งภาครัฐและเอกชน ทำให้เราๆทั้งหลายเชื่อมั่นได้ว่าการเข้ามาใช้บริการโรงพยาบาล อย่างน้อยข้อมูลเราก็มีการดูแลและป้องกันที่ดีระดับหนึ่ง

Information Security for Data Message Generation, Transfer and Storage Service Provider

เมื่อวันที่ 11 มกราคม 2562 ทางสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) มีประกาศฉบับหนึ่งออกมา

 

ว่าด้วย "ข้อกำหนดและแนวทางปฏิบัติสำหรับผู้ให้บริการจัดทำ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ ( Digital Services Provider)" โดยอ้างอิงมาตรฐานหรือประกาศหลายๆ ฉบับได้แก่

1. European Union Agency for Network and Information Security (ENISA), Technical guideline for the implementation of minimum security measures for Digital Service Provider, December 2016

2. ISO/IEC 27001:2013 Information Technology – Security Techniques – Information Security Management Systems – Requirements, 2013.

3. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for Information Security Control, 2013.

4. ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีแบบปลอดภัย พ.ศ. 2555

เพื่อเป็นแนวทางการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับผู้ให้บริการจัดทำส่งมอบ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ หรือหน่วยงานอื่นๆ ที่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ นำไปใช้เป็นแนวปฏิบัติเพื่อช่วยให้บริการมีการความมั่นคงปลอดภัย และสร้างความน่าเชื่อถือให้กับผู้ให้บริการ

ดังนั้นอีกไม่นาน ภาครัฐและเอกชนคงต้องขยับตัวครั้งใหญ่อีกครั้ง ในการเริ่มทำมาตรฐานและกระบวนการต่างๆ ให้สอดคล้องกับประกาศดังกล่าวนี้

Integrated Standards

หลายๆ องค์กรคงเคยประสบปัญหาในการดูแลและบริหารจัดการมาตรฐานหลายๆ มาตรฐาน ที่องค์กรได้รับการรับรอง

 

ยกตัวอย่างมาตรฐานที่หลายองค์กรได้การรับรอง เช่น ISO/IEC 27001:2013, ISO/IEC 20000-1:2018, ISO 22301, CSA STAR, PCI DSS หรือ CMMI เป็นต้น จริงๆ แล้ว Controls หรือ Annex บางหัวข้อในแต่ละมาตรฐาน มีความเชื่อมโยงกันได้อยู่ ที่เห็นได้ชัดคือ Management System ที่ส่วนใหญ่จะพูดถึง Intenal Audit, Management Reivew ซึ่งส่วนนี้สามารถใช้ร่วมกันได้

แต่ก็จะมีบางหัวข้อที่เราก็สามารถเลือก Integrated ได้เช่นกัน เช่น Incident Management, Change Management หรือกระบวนการประเมินความเสี่ยง อย่างไรก็ตามอย่างที่เราทราบๆ มาตรฐานแต่ละอัน ก็มีจุดแข็งของแต่ละมาตรฐาน ดังนั้น Controls พวกนั้นก็อาจจะเชื่อมโยงไม่ได้ 100%

อันหนึ่งที่นิยมนำมาใช้ในการเอามาเป็น Concept ในการ Integrated มาตรฐาน นั้นคือ ISO/IEC 27013:2015 ที่เชื่อมโยงระหว่าง ISO/IEC 27001 และ ISO/IEC 20000-1 นั้นคือกรอบคร่าวๆ ที่นำเข้ามาใช้เพื่อลดจำนวนเอกสารและระยะเวลาในการ Maintain แต่สิ่งที่จำเป็นที่สุดคือองค์กรเหล่านั้นอาจจะจำเป็นต้องใช้ที่ปรึกษาหรือผู้เชี่ยวชาญเข้ามาช่วยวิเคราะห์และพิจารณาเอกสารที่มีอยู่ในแต่ละมาตรฐานว่าเป็นเช่นไร สามารถเชื่อมโยงได้หรือไม่ หรือจะต้องทำเอกสารใหม่ นั้นคือความท้าทายขององค์กรเหล่านี้ ที่ต้องทำตาม PDCA ในการธำรงค์รักษาไว้ซึ่งมาตรฐานในหน่วยงานและขอบเขตที่ดูแล