[PR] จีดีพีอาร์ (GDPR) และการรักษาความปลอดภัยของข้อมูล: สิ่งที่คุณต้องทำ

0
Padlock over EU map, symbolizing the EU General Data Protection Regulation or GDPR. Designed to harmonize data privacy laws across Europe.

โดย นายสตีฟ ทรีกัสต์ ผู้อำนวยการด้านอุตสาหกรรม การเงิน ทรัพยากรมนุษย์ยุคใหม่ และกลยุทธ์ระดับโลก และนายเทโร ฮันนิเนน ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ บริษัท ไอเอฟเอส

แฮกเกอร์เหรอ พวกเขาคือใคร แล้วมีลักษณะแบบไหนกันบ้าง คนกลุ่มนี้เคยเป็นเด็กอายุ 17 ปีที่ใช้เวลาหมกตัวอยู่ในห้องใต้ดินของที่บ้าน และตอนนี้ได้เติบใหญ่จนมีอายุ 35-40 ปีแล้ว และได้เข้ามามีส่วนเกี่ยวข้องกับการก่ออาชญากรรมอย่างเป็นระบบ

Padlock over EU map, symbolizing the EU General Data Protection Regulation or GDPR. Designed to harmonize data privacy laws across Europe.

 

พวกเขาทำอะไรกันบ้าง

  • มัลแวร์ (Malware)น่าจะเป็นสิ่งที่พบเจอได้มากที่สุดและมีการนำไปใช้หาประโยชน์เป็นจำนวนมาก แน่นอนว่าย่อมมีมัลแวร์เรียกค่าไถ่  หรือ แรนซัมแวร์ (Ransomware) รวมอยู่ด้วย โดยแฮกเกอร์บางคนจะทำหน้าที่เขียนมัลแวร์ ส่วนอีกหลายคนจะคอยแจกจ่ายมัลแวร์ ทั้งยังมีบริการสนับสนุนทางโทรศัพท์ตลอด 24 ชั่วโมงในทุกวันอีกด้วย!
  • APTภัยคุกคามขั้นสูงแบบต่อเนื่อง คือมัลแวร์ที่มีการกำหนดเป้าหมายไว้ในระดับสูง และพยายามที่จะละเมิดและแทรกซึมเข้าสู่เครือข่ายของคุณ
  • กลุ่มต่อต้านหัวรุนแรง (Activists)มีเป้าหมายการทำลายล้างที่ชัดเจน
  • คนวงใน (Insiders)เช่น Edward Snowdon อดีตผู้ดูแลระบบ SharePoint
  • ระดับชาติ (Nation states)อาจไม่ใช่เรื่องใหญ่ในระดับที่ต้องมีการรายงานข่าว แต่ถ้าเกิดผลกระทบระดับชาติแล้ว ลองคิดว่าจะเกี่ยวข้องกับงบประมาณมากเพียงใด

และแน่นอนแฮกเกอร์เหล่านี้ทำเพื่อเงิน ในขณะที่เรากำลังแปรรูปสิ่งต่างๆ ให้เป็นระบบดิจิทัล ฝั่งอาชญากรเองก็กำลังดำเนินการเช่นเดียวกับเรา พวกเขามีเส้นทางดิจิทัลทรานส์ฟอร์เมชั่นเป็นของตัวเองด้วยเหมือนกัน

ตัวอย่าง: Equifax

อีควิกแฟกซ์ (Equifax) เป็นหน่วยงานรายงานเครดิตสำหรับผู้บริโภคที่ถูกแฮกระบบ การแก้ไขข้อบกพร่องที่ตรวจพบเป็นไปอย่างเชื่องช้าและเป็นช่วงจังหวะที่เหมาะกับการถูกโจมตี และนี่คือวิธีการทำงานของแฮกเกอร์: พวกเขาลักลอบเข้ามา ใช้เวลาชั่วครู่ในระบบ และเริ่มดำเนินการคัดแยกข้อมูล

ตัวอย่าง: การโจมตีซัพพลายเชนของซอฟต์แวร์

มีซอฟต์แวร์ธุรกิจที่สำคัญ 2 ชุดที่คุณต้องใช้หากต้องการทำธุรกิจในประเทศยูเครน หนึ่งในนั้นก็คือ MeDoc ซึ่งถูกโจมตีไปเรียบร้อยแล้ว ซอฟต์แวร์ดังกล่าวมีระบบแพทช์สำหรับแก้ไขข้อบกพร่องโดยอัตโนมัติ แต่ระบบอัพเดตของพวกเขาถูกแฮกและถูกใช้ในการเผยแพร่แพทช์ทางประตูหลังของระบบ ไม่มีใครรู้ว่าเกิดอะไรขึ้นหลังจากที่ระบบถูกบุกรุก แต่ในที่สุดแฮกเกอร์ก็ปล่อยไวรัสที่มีความสามารถในการทำลายล้างออกมา ส่งผลให้เกิดการเข้ารหัสคอมพิวเตอร์ของผู้คนไปทั่ว

ดังนั้น เมื่อต้องคอยอัพเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ คุณจะต้องเชื่อมั่นในแพทช์ที่นำมาใช้ในการติดตั้งด้วย นั่นคือสิ่งที่เรากำลังพูดคุยกันอยู่ภายในองค์กร

ตอนนี้ครึ่งหนึ่งของโลกได้เชื่อมต่อกับอินเทอร์เน็ตกันแล้ว  แรนซัมแวร์ เป็นธุรกิจที่มีมูลค่าหลายพันล้านดอลลาร์ มีอุปกรณ์ ไอโอที (IoT) มากถึง 200,000 ล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งคาดกันว่าอาชญากรรมไซเบอร์จะมีมูลค่ามากถึง 6 ล้านล้านดอลลาร์ในปี 2564

และนั่นจะก่อให้เกิดความสับสนวุ่นวายมากขึ้น เว้นแต่ว่าเราจะลงมือจัดการ และจะต้องเป็นการลงมือร่วมกันด้วย กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) หรือ General Data Protection Regulation เป็นสัญญาณแรกที่รัฐบาลนำมาใช้และไม่คิดว่าธุรกิจด้านมืดดังกล่าวจะยินยอมปฏิบัติตามโดยง่าย

จีดีพีอาร์ (GDPR)

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจะช่วยปกป้องพลเมืองในสหภาพยุโรป ดังนั้นจึงส่งผลกระทบต่อทุกบริษัทที่ครอบครองและจัดเก็บข้อมูลของผู้บริโภคอยู่ นี่เป็นเครื่องมือที่ไม่ได้มีความซับซ้อนแต่อย่างใด และมีความเกี่ยวข้องโดยตรงกับบุคคลใน 3 บทบาท ได้แก่

  1. เจ้าของข้อมูลบุคคลที่เป็นเจ้าของข้อมูลที่ถูกจัดเก็บไว้
  2. ผู้กำกับดูแลข้อมูลบุคคลที่ตัดสินใจว่าจะทำอะไรกับข้อมูลบ้าง
  3. ผู้ประมวลผลข้อมูลบุคคลที่ทำหน้าที่วิเคราะห์หรือดำเนินการกับข้อมูล

หลักการทั่วไปก็คือคุณควรเก็บข้อมูลเพื่อวัตถุประสงค์อันจำกัดภายใต้การอนุญาตให้ดำเนินการได้เท่านั้น    ควรเก็บข้อมูลไว้ไม่ให้นานเกินกว่าที่กำหนดไว้และควรทำลายทิ้งเมื่อไม่ได้ใช้อีกต่อไป

มีมูลเหตุอันจะอ้างกฎหมายได้ 6 อย่างที่เกี่ยวข้องกับการเก็บข้อมูลซึ่งมีความสำคัญอย่างมากและคุณจะต้องพิสูจน์ให้เห็นว่าคุณได้ปฏิบัติตามแล้ว ได้แก่

  1. ความยินยอม
  2. การปฏิบัติตามสัญญา
  3. ภาระผูกพันตามกฎหมาย
  4. ผลประโยชน์ที่สำคัญยิ่ง
  5. งานสาธารณะ
  6. ผลประโยชน์อันชอบธรรมตามกฎหมาย

การกำหนดตำแหน่ง GDPR ใน GRC

คุณต้องการข้อมูล กิจกรรมด้านการกำกับดูแล และกิจกรรมที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ คุณจะจัดการเรื่องการละเมิดได้อย่างไร คุณทำอย่างไรจึงจะสามารถปฏิบัติตามกฎระเบียบได้ หากตอบคำถามดังกล่าวได้ คุณสามารถนำเอา GDPR ไปใส่ไว้ในขั้นตอนการปฏิบัติตามกฎระเบียบที่หน่วยงานของรัฐกำหนด (GRC) ได้แน่นอน

###

เกี่ยวกับไอเอฟเอส

ไอเอฟเอส (IFS™) เป็นผู้นำระดับโลกด้านการพัฒนาและนำเสนอซอฟต์แวร์สำหรับการวางแผนทรัพยากรองค์กร (Enterprise Resource Planning หรือ ERP) การบริหารจัดการสินทรัพย์ขององค์กร (Enterprise Asset Management หรือ EAM) และ การบริหารจัดการงานบริการขององค์กร (Enterprise Service Management หรือ ESM) ทั้งนี้ ไอเอฟเอสก่อตั้งขึ้นในปี .. 2526 โดยมีส่วนช่วยสนับสนุนให้ลูกค้าที่เป็นกลุ่มเป้าหมายสามารถดำเนินธุรกิจได้ดีขึ้น ตลอดจนผลักดันให้เกิดความคล่องตัวในการดำเนินงาน พร้อมทั้งจัดเตรียมสิ่งต่างๆ สำหรับอุตสาหกรรมเพื่อให้พร้อมรับมือกับอนาคต ไอเอฟเอส มีพนักงาน 2,800 คนที่พร้อมให้การสนับสนุนผู้ใช้ทั่วโลกมากกว่า 1 ล้านคนผ่านสำนักงานสาขาในเขตพื้นที่ต่างๆ และผ่านเครือข่ายพันธมิตรที่กำลังขยายตัวเพิ่มมากขึ้น สำหรับข้อมูลเพิ่มเติม โปรดไปที่เว็บไซต์: IFSworld.com

ติดตามเราทาง Twitter: @ifsworld

เยี่ยมชมบล็อกของไอเอฟเอสเกี่ยวกับเทคโนโลยี นวัตกรรม และผลงานสร้างสรรค์ต่างๆ: http://blog.ifsworld.com/