คลังความรู้

เมื่อต้นสัปดาห์ที่ผ่านมา ทุกท่านน่าจะพอทราบแล้วว่ามีประกาศ ราชกิจจานุเบกษา เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ. 2562 เป็นที่เรียบร้อย

ซึ่งเนื้อหาหลัก ก็จะกล่าวถึง

1. ต้องขอความยินยอม

2. แจ้งวัตถุประสงค์ในการจัดเก็บ

3. การกระทำกับข้อมูลเท่าที่จำเป็น

4. หน้าที่ของผู้ควบคุมข้อมูล

5. การโอนย้ายข้อมูล

6. กฏเกณฑ์การค้มครองข้อมูลส่วนบุคคลในองค์กร

ึ7. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

8. สิทธิของเจ้าของข้อมูล

9. ความรับผิดชอบทางแพ่ง

10. บทกำหนดโทษ

ดังนั้นหลังจากประกาศ ก็มีเวลาให้ดำเนินการประมาณ 1 ปี เพื่อให้องค์กรต่างๆ เตรียมความพร้อมในการดำเนินการให้เป็นไปตามประกาศฉบับนี้ ซึ่งรวมไปถึงการปรับตัวของเราๆ ท่านๆ ด้วย

ว่าบทลงโทษนี้จะดำเนินการได้และประสิทธิภาพมากน้อยขนาดไหน เพราะแค่ปัจจุบันเรายังรับสายบุคคลแปลกหน้าที่มาขายของทั้งประกัน บัตรเครดิต หรืออื่นๆ อยู่ตลอดเวลา

หลายๆ องค์กรเริ่มมีการใช้งาน o365 เป็นระบบงานหลักทั้งใช้ในมุมธุรกิจและการบริหารจัดการภายใน Back Office

ดังนั้นในด้าน Security ก็ควรจะมีการเฝ้าระวังอยู่สม่ำเเสมอด้วย เช่น

• ตั้งค่า Mailbox Auditing ให้กับผู้ใช้งาน
• ใช้ Multi-Factor Authentication        
• การทำ Audit log ในส่วน Security เป็นต้น

อีกส่วนหนึ่งคือต้องเลือกให้ทีมงาน Security มีส่วนร่วมในการกำหนดการตั้งค่าหลายๆ อย่าง นอกจากเราจะให้ IT Support/System Engineer หรือแม้แต่ Supplier มาดำเนินการ

เพราะอย่าลืมว่าเอกสารหรือข้อมูลที่มีความลับขององค์กรก็อยู่ในนี้เป็นจำนวนมาก ซึ่งถ้าเกิดการรั่วไหลหรือมีการเข้าถึงข้อมูลที่ไม่เหมาะสม ก็จะสร้างปัญหาอย่างใหญ่หลวงให้แก่องค์กรได้

การประเมินความเสี่ยงแบบปกติจะประเมินจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และผลลัพธ์ที่ตามมา (Consequence) อีกทั้งส่วนใหญ่ทั่วๆไปก็เป็นการประเมินแบบ Manual ไม่ได้มีเครื่องมือมาช่วย

ในงาน BLACK HAT ASIA 2019 Richard Bussiere, Technical Director ของ Tenable ได้นำเสนอแนวคิดการประเมินความเสี่ยงแบบ Predictive Prioritization ซึ่งจะทำการประเมินอย่าง Real time ตามเหตุการณ์ที่เปลี่ยนไป ส่งผลให้การประเมินความเสี่ยงของช่องโหว่มีความแม่นยำมากขึ้น รวมไปถึงหน่วยงาน ERM ในองค์กรสามารถสอดประสานการทำงานกับทีม Security ได้ดียิ่งขึ้น อีกทั้งการประเมินความเสี่ยงแบบนี้ก็จะไม่เป็นแบบ Reactive อีกต่อไปที่จะต้องมาประเมินตามรอบประจำปี

ปัจจุบัน ISO/IEC 20000-1:2011 ได้มีการปรับ Version ไปเมื่อปี 2018 เป็น ISO/IEC 20000-1:2018

 ความแตกต่างของข้อกำหนดตามมาตรฐาน ISO/IEC 20000 เวอร์ชัน 2018 (ใหม่) กับ เวอร์ชัน 2011 (เดิม) มีอยู่หลายส่วน หลักๆ มีการเพิ่มกระบวนการ ได้แก่

• Knowledge management
• Asset management
• Demand management
• Service delivery

และมีการปรับเปลี่ยนคำหลายๆ ส่วน รวมไปถึงแบ่งกระบวนการบางอย่างออกมา เพื่อความชัดเจน เช่น Incident management กับ Service request management เป็นต้น อีกทั้งได้เพิ่มเนื้อหาบางอย่างให้ Integrated กันได้อย่างเหมาะสมกับมาตรฐานอื่นๆ ข้างเคียง โดยเฉพาะ ISO/IEC 27001:2013

ดังนั้น การทำมาตรฐานดังกล่าว ถ้าองค์กรมีมาตรฐานอื่นๆ อยู่แล้ว หรือมีมาตรฐานเบอร์นี้แต่เป็นเวอร์ชั่นเก่า ก็สามารถทำได้ง่ายขึ้น อีกทั้งการที่มาตรฐานมีการปรับเนื้อหาให้มีความทันสมัยให้เหมาะกับโลกปัจจุบันมากขึ้นก็จะยิ่งทำให้การขอรับรองมาตรฐานนี้สามารถใช้งานได้จริงและเป็นประโยชน์ต่อองค์กร

หลายๆ ท่านอาจจะทราบข่าวที่เรากำลังจะมี พรบ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการเร็วๆ นี้

ทางพราวด์ขอนำเสนอของที่อื่นๆ ให้ทราบ ว่าเขาทำอย่างไรกัน ขอยกตัวอย่างของฝั่งยุโรปนะครับ หรือที่รู้จักกันทั่วไปว่า “กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Directive)” ถูกเสนอโดยคณะกรรมาธิการยุโรป ใน พ.ศ. 2557 โดยมีจุดมุ่งหมายเพื่อสร้างความเชื่อมั่นว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย หลักๆ เขาต้องการให้

1. ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายข้อมูลรักษาความมั่นคงปลอดภัย (National Information Security: NIS) ของตน ตลอดจนจัดตั้งเจ้าหน้าที่ผู้มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศนอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานคอมพิวเตอร์ฉุกเฉิน (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงจากเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์

2. เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์

3. กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น ธนาคาร สุขภาพ พลังงาน ขนส่ง และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน (นั้นคือคล้ายๆ GDPR)

ดังนั้นจะเห็นได้ว่า เขาเน้นเรื่องความร่วมมือระหว่างกันทั้งภาครัฐและเอกชน รวมไปถึงการวางมาตรฐานขั้นต่ำในตลาดทางด้าน Cyber เพื่อป้องกันความเสี่ยงองค์กรเป็นหลัก เราๆ ท่านๆ จึงต้องดูต่อไปว่า พรบ. ที่จะประกาศนั้นจะเป็นไปในทิศทางใด และประเทศไทยจะได้ประโยชน์มากน้อยแค่ไหนครับ

ในปัจจุบันโรงพยาบาลหรือสถานประกอบการด้านการแพทย์ เริ่มมีนำเอามาตรฐานด้าน Security เข้ามาใช้มากขึ้น

ส่วนหนึ่งคือมาจากการที่กลุ่มธุรกิจนี้มีข้อมูลที่สำคัญอยู่หลายประเภท เช่น ข้อมูลคนไข้ ประวัติการรักษา ค่ายา เป็นต้น ดังนั้นการที่นำเอากระบวนการด้าน Security เข้ามาช่วยจึงเป็นสิ่งสำคัญ

อย่าลืมว่ายุคนี้ Social เร็วมาก ยิ่งถ้ามีข้อมูลรั่วไหล หรือ Data Leakage ที่มีการส่งผ่านข้อมูลสารสนเทศโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล ก็มีโอกาสสูงที่สามารถถูกฟ้องร้องได้ง่ายๆ

แล้วที่น่ากลัวคือธุรกิจนี้ขายความน่าเชื่อถือของสถานประกอบการและความชำนาญของแพทย์เป็นสำคัญ จึงเป็นความท้าทายสำหรับ CIO หรือ CISO ของหน่วยงานที่จะต้องทำให้องค์กรมีความมั่นคงปลอดภัยสารสนเทศอยู่ตลอด

ซึ่งมีตัวอย่างหลายโรงพยาบาลก็ได้รับรองมาตรฐาน ISO/IEC 27001:2013 ไปเรียบร้อยแล้ว และมีหลายๆ แห่งก็อยู่ในช่วงดำเนินการ ทั้งภาครัฐและเอกชน ทำให้เราๆทั้งหลายเชื่อมั่นได้ว่าการเข้ามาใช้บริการโรงพยาบาล อย่างน้อยข้อมูลเราก็มีการดูแลและป้องกันที่ดีระดับหนึ่ง

เมื่อวันที่ 11 มกราคม 2562 ทางสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) มีประกาศฉบับหนึ่งออกมา

ว่าด้วย "ข้อกำหนดและแนวทางปฏิบัติสำหรับผู้ให้บริการจัดทำ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ ( Digital Services Provider)" โดยอ้างอิงมาตรฐานหรือประกาศหลายๆ ฉบับได้แก่

1. European Union Agency for Network and Information Security (ENISA), Technical guideline for the implementation of minimum security measures for Digital Service Provider, December 2016

2. ISO/IEC 27001:2013 Information Technology – Security Techniques – Information Security Management Systems – Requirements, 2013.

3. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for Information Security Control, 2013.

4. ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีแบบปลอดภัย พ.ศ. 2555

เพื่อเป็นแนวทางการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับผู้ให้บริการจัดทำส่งมอบ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ หรือหน่วยงานอื่นๆ ที่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ นำไปใช้เป็นแนวปฏิบัติเพื่อช่วยให้บริการมีการความมั่นคงปลอดภัย และสร้างความน่าเชื่อถือให้กับผู้ให้บริการ

ดังนั้นอีกไม่นาน ภาครัฐและเอกชนคงต้องขยับตัวครั้งใหญ่อีกครั้ง ในการเริ่มทำมาตรฐานและกระบวนการต่างๆ ให้สอดคล้องกับประกาศดังกล่าวนี้

หลายๆ องค์กรคงเคยประสบปัญหาในการดูแลและบริหารจัดการมาตรฐานหลายๆ มาตรฐาน ที่องค์กรได้รับการรับรอง

ยกตัวอย่างมาตรฐานที่หลายองค์กรได้การรับรอง เช่น ISO/IEC 27001:2013, ISO/IEC 20000-1:2018, ISO 22301, CSA STAR, PCI DSS หรือ CMMI เป็นต้น จริงๆ แล้ว Controls หรือ Annex บางหัวข้อในแต่ละมาตรฐาน มีความเชื่อมโยงกันได้อยู่ ที่เห็นได้ชัดคือ Management System ที่ส่วนใหญ่จะพูดถึง Intenal Audit, Management Reivew ซึ่งส่วนนี้สามารถใช้ร่วมกันได้

แต่ก็จะมีบางหัวข้อที่เราก็สามารถเลือก Integrated ได้เช่นกัน เช่น Incident Management, Change Management หรือกระบวนการประเมินความเสี่ยง อย่างไรก็ตามอย่างที่เราทราบๆ มาตรฐานแต่ละอัน ก็มีจุดแข็งของแต่ละมาตรฐาน ดังนั้น Controls พวกนั้นก็อาจจะเชื่อมโยงไม่ได้ 100%

อันหนึ่งที่นิยมนำมาใช้ในการเอามาเป็น Concept ในการ Integrated มาตรฐาน นั้นคือ ISO/IEC 27013:2015 ที่เชื่อมโยงระหว่าง ISO/IEC 27001 และ ISO/IEC 20000-1 นั้นคือกรอบคร่าวๆ ที่นำเข้ามาใช้เพื่อลดจำนวนเอกสารและระยะเวลาในการ Maintain แต่สิ่งที่จำเป็นที่สุดคือองค์กรเหล่านั้นอาจจะจำเป็นต้องใช้ที่ปรึกษาหรือผู้เชี่ยวชาญเข้ามาช่วยวิเคราะห์และพิจารณาเอกสารที่มีอยู่ในแต่ละมาตรฐานว่าเป็นเช่นไร สามารถเชื่อมโยงได้หรือไม่ หรือจะต้องทำเอกสารใหม่ นั้นคือความท้าทายขององค์กรเหล่านี้ ที่ต้องทำตาม PDCA ในการธำรงค์รักษาไว้ซึ่งมาตรฐานในหน่วยงานและขอบเขตที่ดูแล

สืบเนื่องจากวันที่ 18 ธันวาคม 2561 ที่ผ่านมา คณะรัฐมนตรีได้ให้ความเห็นชอบ "ร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย" เรียบร้อยแล้ว

คงปฏิเสธกันไม่ได้ว่าไม่มีใครไม่รู้จัก "ร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย" วันนี้เราจะมาอัพเดทสถานะปัจจุบัน และใจความสำคัญเกี่ยวกับร่างกฎหมายฉบับนี้กัน

ล่าสุดร่างกฎหมายฉบับนี้ ได้ถูกนำเข้าวาระ "การรับฟังความคิดเห็น" ไปเมื่อวันที่ 11 กันยายน 2561