ไทย
ค้นหา

คลังความรู้

Thailand| Data Privacy

การลงมติเห็นชอบร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเมื่อไม่นานมานี้ ถือเป็นอีกหนึ่งก้าวสำคัญของประเทศไทย

ด้วยการวางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดขั้นตอนที่องค์กรหรือผู้ให้บริการจะต้องกระทำในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้น จึงถือเป็นการกำหนดมาตรฐานด้านการบริหารจัดการข้อมูลประเภทนี้ในประเทศไทยให้เป็นไปตามมาตรฐานสากล

ขณะเดียวกัน อาชญากรไซเบอร์ยังคงมุ่งจู่โจมด้วยเทคนิควิธีการต่างๆ อย่างต่อเนื่อง โดยรายงาน Security Intelligence Report (SIR) ฉบับที่ 24 ของไมโครซอฟท์ สรุปว่าภัยร้าย 4 อันดับแรกสำหรับผู้ใช้อินเทอร์เน็ตในประเทศไทย ได้แก่มัลแวร์ทั่วไป สูงกว่าค่าเฉลี่ยโลก 107 เปอร์เซ็นต์  มัลแวร์ที่ขุดสกุลเงินดิจิทัล สูงกว่าค่าเฉลี่ยโลก 133% มัลแวร์เรียกค่าไถ่ สูงกว่าค่าเฉลี่ยโลก 140 เปอร์เซ็นต์ และการหลอกล่อด้วยเว็บไซต์ สูงกว่าค่าเฉลี่ยโลก 33 เปอร์เซ็นต์

ดังนั้นองค์กรควรจะเตรียมรับมือทั้งด้านกระบวนการให้เป็นไปตามมาตรฐานและกฏระเบียบบังคับ รวมไปถึงคงจะต้องพิจารณาเทคโนโลยีที่เลือกนำมาใช้เพื่อให้กระบวนการภายในมีความมั่นคปลอดภัยและมีความเป็น Privacy มากยิ่งขึ้น

ตำแหน่ง DPO สำคัญอย่างไร?

ทุกๆ ท่านคงทราบดีอยู่แล้วว่า GDPR หรือ PDPA ในประเทศไทย กล่าวว่าองค์กรต้องแต่งตั้ง DPO (Data Protection Officer)

โดยเฉพาะอย่างยิ่งควรจะมีประสบการณ์และความเชี่ยวชาญด้านกฎหมายและด้านการป้องกันข้อมูล ซึ่ง Functions หลักๆ ของ DPOั้ นั้นได้แก่

- ทำหน้าที่เป็นผู้ติดต่อแรกของเจ้าหน้าที่กำกับดูแลและ Data Processor (ผู้ประมวลผลข้อมูล)

- ให้คำแนะนำแก่พนักงานเกี่ยวกับการปฏิบัติตาม GDPR และกฎหมายคุ้มครองข้อมูลอื่น ๆ

- ตรวจสอบความสอดคล้องกับ GDPR และกฎหมายคุ้มครองข้อมูลอื่น รวมทั้งนโยบายการปกป้องข้อมูล รวมถึงกิจกรรมการคุ้มครองข้อมูลภายใน การสร้างความตระหนักเกี่ยวกับประเด็นการคุ้มครองข้อมูล การฝึกอบรมพนักงานและการดำเนินการตรวจสอบภายใน

- ให้คำแนะนำและการกำกับดูแลการประเมินผลกระทบด้านการป้องกันข้อมูล

GDPR/PDPA กล่าวว่า องค์กรสามารถมอบหมายงานนี้ให้กับองค์กรอื่น (Outsourced) ได้ ตราบเท่าที่พวกเขาไม่ได้นำไปสู่ความขัดแย้งทางผลประโยชน์ (Conflict of Interest) ดังนั้นตำแหน่งดังกล่าวจึงเป็นที่ต้ิองการและได้รับความนิยมมากๆ ในปัจจุบัน

Security Awareness Campaign

เดี๋ยวนี้ หลายๆ องค์กรเริ่มมีการทำการสื่อสารองค์กรในระดับผู้ใช้งาน IT มากขึ้น ทั้งในมุมของการทำการฝึกอบรม การทดสอบ (Drill) การทำเกมส์หรือการทำ Seminar ในองค์กร

 

ซึ่งถือเป็นจุดเริ่มที่ดี เพราะผู้ใช้งานคือช่องโหว่ที่ทำให้ Secuirty มีประเด็น คนส่วนใหญ่คิดว่าการ Implement Solutions ที่ดีหรือแพงๆ จะช่วยได้และป้องกันทุกอย่างได้ แต่อย่าลืมว่ามนุษย์นี้คือช่องโหว่ที่สำคัญที่สุด ดังนั้นเราจึงควรให้ความรู้ ความเข้าใจ ให้คนกลุ่มนี้รู้สึกว่าเรื่อง Sucurity เป็นสิ่งที่เใกล้ตัวและวัดผลได้ และทำให้องค์กรมีการปรับปรุงกระบวนการที่ดีอย่างมีประสิทธิภาพตลอดเวลา

อบรม ISO/IEC 27001:2013 Foundation

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้มีการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation

ให้กับคณะกรรมการป้องกันและปราบปรามยาเสพติด (ปปส.) เมื่อวันที่ 19 เมษายน 2562 ที่ผ่านมา

การประเมินความพร้อมการรับมือภัยคุกคามไซเบอร์

เมื่อวันที่ 15 สิงหาคม 2562 ที่ผ่านมา ทางธนาคารแห่งประเทศไทย (ธปท.) มีประกาศเรื่อง "การประเมินความพร้อมการรับมือภัยคุกคามไซเบอร์"

 

โดยธปท. ได้กำหนดกรอบการประมเิน Cyber Resillience Assessment Framework ให้สถาบันการเงินใช้สำหรับประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherent Risk Assessment) และแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ด้วยตนเอง

ซึ่งการประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherenet Risk Assessment) จะพิจารณาปัจจับความเสี่ยงพื้นฐานทาง IT 5 ด้าน

- ประเภทขอบเขตและปริมาณการใช้เทคโนโลยีสารสนเทศในรูปแบบต่างๆ

- ความหลากหลายของช่องทางการให้บริการ Electronics

- รูปแบบ ปริมาณและความซับซ้อนของ Product/Service จำนวนลูกค้าและปริมาณการใช้งาน

- ขนาดและลักษณะเฉพาะขององค์กร

- ประวัติภัยคุกคามทางไซเบอร์

เมื่อพิจารณาปัจจัยทั้ง 5 ด้านแล้ว ก็จะแบ่งเป็น 3 ระดับ ได้แก่ ต่ำ ปานกลางหรือสูง เพื่อกำหนดแนวทางการบริหารจัดการความเสี่ยงต่อไป

ส่วนแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ก็จะมีการประเมินใน 6 ด้านคือ

- กรอบการดูแล (Governance)

- การระบุความเสี่ยง (Risk Identification)

- การป้องกัน (Protection)

- การเฝ้าระวังและตรวจจับ (Detection)

- การตอบสนองต่อเหตุการณ์และการกู้คืน (Response and Recovery)

- การบริหารความเสี่ยงด้านภัยคุกคามไซเบอร์ที่เกิดจากหน่วยงานภายนอก (Third party risk management)

โดยระดับความพร้อมในการบริหารจัดการความเสี่ยงจากภัยคุกคามไซเบอร์ (Maturity) แบ่งเป็น 3 ระดับ ได้แก่ Baseline Intermediate  และ Advanced 

ซึ่งสถาบันการเงินจะต้องประเมินอย่างน้อยปีละ 1 ครั้งหรือเมื่อมีการเปลี่ยนแปลงใดๆ ที่มีนัยสำคัญต่อโครงสร้าง IT โดยต้องส่งผลการประเมินมาที่ธปท. ภายใน 30 วันนับจากวันที่ 31 ธันวาคมของปีที่ประเมินหรือเมื่อธปท. ร้องขอ

 

ISO/IEC 27701:2019 Privacy Information Management

เมื่อช่วงเดือนสองเดือนที่ผ่านมา ทาง ISO ได้ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management โดยเป็นมาตรฐานในการบริหารจัดการข้อมูลส่วนบุคคลอย่างมั่นคงปลอดภัย 

 

เนื้อหาจะเป็นการต่อยอดจาก ISO/IEC 27001 และ ISO/IEC 27002 โดยเพิ่มข้อกำหนดเกี่ยวกับการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งจะเป็นการวางกรอบการทำงานสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ดังนั้นการทำมาตรฐานนี้ก็เป็นการ Compile ในส่วนของกฎหมายและข้อบังคับในปัจจุบัน เช่น GDPR หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ด้วย

Security Awareness Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากบริษัท ไอแอม คอนซัลติ้ง จำกัด ในการจัดการฝึกอบรม Security Awareness

 

ให้แก่ผู้บริหารและพนักงานในองค์กร ในการเสริมสร้างความรู้ ความเข้าใจและเป็นการสร้างความตระหนักในด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้สอดคล้องกับมาตรฐานและกฎระเบียบต่าง ๆเช่น เช่น PDPA, Cybersecurity ACT. เป็นต้น โดยได้จัดการฝึกอบรมไปเมื่อวันที่ 28 สิงหาคม 2562 ที่ผ่านมา

Congratulation for SIAM to certify ISO/IEC 27001:2013

บริษัท สยามฟาร์มาซูดิคอล จำกัด ได้ให้ความไว้วางใจบริษัท พราวด์ คอนซัลติ้ง จำกัด ในการเป็นที่ปรึกษาโครงการ ISO/IEC 27001:2013

 

 โดยบริษัทได้รับการรับรองมาตรฐานดังกล่าวไปเมื่อเดือนพฤษภาคม 2562 ที่ผ่านมา ทางผู้บริหารบริษัท พราวด์ คอนซัลติ้ง จำกัด จึงขอเข้าพบเพื่อขอแสดงความยินดีแก่ตัวแทนผู้บริหารระดับสูงของบริษัท สยามฟาร์มาซูดิคอล จำกัด เมื่อวันที่ 22 สิงหาคม 2562

อันแสดงถึงวิสัยทัศน์ของบริษัทที่ให้ความสำคัญด้านความมั่นคงปลอดภัยสารสนเทศ และเป็นการสร้างความตระหนักด้านการทำมาตรฐานที่เป็นประโยชน์แก่องค์กรอย่างยั่งยืนต่อไป

 

Personal Data Privacy ACT.

บริษัท พราวด์ คอนซัลติ้ง จำกัด มีความยินที่ได้เข้าไปทำการ Awareness แก่ทีมผู้บริหารของบริษัท กรุงเทพ พยาธิ-แลป จำกัด

ไปเมื่อวันที่ 19 กรกฎาคม 2562 ที่ผ่านมา โดยเนื้อหาจะเป็นไปตาม พรบ. การคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีการรประกาศไปเมื่อเดือนพฤษภาคม 2562 ซึ่งเป็นจุดเริ่มที่ดีในการสร้างความรู้ ความเข้าใจ กฏระเบียบดังกล่าว ที่จะต้องนำมาปรับใช้ภายในองค์กรwได้อย่างมีประสิทธิภาพ

Strong Password

การตั้ง Password นั้นมีหลายรูปแบบ แต่ในความเห็นของพราวด์ เราควรตั้งตาม Concept ง่ายๆ ดังนี้

1. อย่าง่ายไป

รหัสผ่านที่ดีจำเป็นต้องมีความซับซ้อนและความยาวเพื่อให้การคาดเดาทำได้ยากและเสียเวลาเดานาน โดยปกติควรมีความยาวประมาณ 12 ตัวอักษร โดยประกอบด้วยตัวเลข ตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ และอักขระ อย่าตั้งอะไรที่ง่ายต่อการจดจำ เช่น "1234567"  "password" "qwerty"

2. อย่าใช้รหัสผ่านซ้ำ

การใช้รหัสซ้ำนั้นมีความเสี่ยงสูงมาก แนะนำให้ใช้รหัสที่แตกต่างกันในการตั้งของแต่ละระบบ On-line หรือ Social System เนื่องจากรหัสผ่านเราอาจจะหลุดไปแล้วก็ได้ตามข่าวในระบบ On-line ชื่อดังที่มีการแจ้งว่ารหัวผ่านหลักหลายพัน Account ที่มีการรั่วไหล

3. อย่าสื่อถึงตัวเรา

บางคนตั้งตามชื่อสัตว์เลี้ยง ชื่อคนรัก วันเกิดเรา บ้านเลขที่ เพราะอย่าลืมว่ายิ่งเป็นตัวตนเราเท่าไรยิ่งถูกเดาง่าย ถ้าจะตั้งก็ควรจะใช้อักขระพิเศษมาแทนตัวอักษรปกติ เช่น 0 แทน o หรือ @ แทน a เป็นต้น

นี้คือพื้นฐานการช่วยให้ตั้ง Password ได้ดียิ่งขึ้นนะครับ สำคัญที่สุดคืออย่าแชร์ Password ร่วมกับใครเด็ดขาด!!!