โดย…นายวรเทพ ว่องธนาการ
ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น
บริษัท ยิบอินซอย จำกัด
13 สิงหาคม 2563 : โลกยุคโลกาภิวัตน์ที่เราเริ่มคุ้นชินแบบแผนการเชื่อมต่ออินเทอร์เน็ตและแพลตฟอร์มการใช้งานออนไลน์ ซึ่งทำให้การรับส่งและใช้งานข้อมูลมีการไหลเวียนเข้าออกทั้งในและนอกองค์กร หรือข้ามพรมแดน ด้วยรูปแบบที่หลากหลายทั้งตัวอักษร ไฟล์เสียง ภาพนิ่ง หรือวิดีโอ ยิ่งเมื่อข้อมูลถูกนำขึ้นสู่ระบบบริการคลาวด์โดยเจ้าของข้อมูลโดยตรง เช่น ไลน์ เฟสบุ๊ก อินสตาแกรม ยูทูป
โดยมีข้อสงสัยที่ว่า ข้อมูลของเหล่านั้นของตนถูกเก็บ ถูกนำไปใช้หรือกระจายต่อไปเพื่อการใดบ้าง ในมุมมองขององค์กรธุรกิจ ต้องอาศัยข้อมูลลูกค้าเพื่อประกอบการบริการจัดการและวางแผนการดำเนินงาน อาทิ ธุรกิจสื่อสารโทรคมนาคม ธนาคาร สถาบันการเงิน ธุรกิจบริการสุขภาพ โรงพยาบาล เป็นต้น ทำให้ข้อมูลเหล่านี้กลายเป็น ข้อมูลที่สร้างมูลค่าทางเศรษฐกิจ ซี่งต่อยอดไปสู่การพัฒนาสินค้าบริการ หรือสร้างความได้เปรียบทางธุรกิจในอนาคต พอ ๆ กับการตกเป็นเป้าโจมตีของอาชญากรไซเบอร์ที่พร้อมจะนำข้อมูลเหล่านี้ไปใช้แบบผิดกฎหมาย หรือสร้างความเสียหายย้อนกลับมาสู่เจ้าของข้อมูลหรือองค์กรธุรกิจได้เช่นกัน
จาก GDPR และ NIST สู่ พรบ. ไซเบอร์ฯ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
เมื่อเราไม่สามารถปิดกั้นการไหลเวียนของข้อมูลไว้เฉพาะในองค์กรหรือในประเทศได้อีกต่อไป จึงจำเป็นที่แต่ละประเทศต้องมีกฎหมายหรือข้อบังคับไว้คุ้มครองข้อมูลประชากรที่ครอบคลุมถึงการนำไปใช้ข้ามพรมแดน และเพื่อเป็นแนวทางกำกับให้องค์กรต้องมีมาตรการความปลอดภัยของข้อมูลส่วนบุคคลที่รอบด้าน ทั้งการใช้งานในและนอกองค์กร และผ่านบริการคลาวด์ โดยต้องกำหนดไว้ในแผนธุรกิจ ดังเช่น มาตรการคุ้มครองข้อมูลส่วนบุคคล GDPR ของประชากรอียูที่ครอบคลุมไปทุกประเทศทั่วโลก กรอบความปลอดภัยไซเบอร์ NIST ของสหรัฐอเมริกา เพื่อสร้างกระบวนการบริหารจัดการความเสี่ยงในระบบไอที เครือข่าย และข้อมูล เป็นต้น
ขณะที่ไทยเองได้มีการวางมาตรฐานใหม่ในการคุ้มครองข้อมูลและความมั่นคงทางไซเบอร์ผ่านกฎหมายสำคัญ 2 ฉบับ ได้แก่ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการกำหนดมาตรการหรือแผนดำเนินงานสำหรับรับมือ ป้องกัน หรือลดความเสี่ยงจากภัยคุกคามไซเบอร์จากในและนอกประเทศ รวมทั้งให้อำนาจรัฐในการร่วมสืบสวนตรวจสอบกรณีมีภัยคุกคามเกิดขึ้น และ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act – PDPA) ซึ่งเป็นการออกกฎหมายที่อ้างอิง GDPR บนหลักการสำคัญ 3 ประการ คือ การปกป้องข้อมูล (Data Privacy) การป้องกันการรั่วไหลของข้อมูล (Data Breaches) และการประมวลผลหรือการดำเนินการใด ๆ เกี่ยวกับข้อมูลต้องได้รับ การยินยอม (Consent) จากเจ้าของข้อมูล
3 องค์ประกอบหลัก ที่เสริมสร้างความปลอดภัยให้ข้อมูล
องค์ประกอบแรกที่สำคัญ คือ คน (People) ที่มีบทบาทโดยตรงต่อการสร้างมาตรการความปลอดภัยให้กับข้อมูล ได้แก่ รัฐ ซึ่งเป็นผู้ออกกฎหมายคุ้มครองตัวข้อมูล (Data) และการประมวลผลข้อมูล (Processing) โดยสร้างไม่ให้กระทบต่อผู้เป็นเจ้าของข้อมูล ระบบเศรษฐกิจ สังคม และประเทศ โดยที่ตัวกฎหมายจะต้องสอดคล้องกับการใช้งานเทคโนโลยีที่เปลี่ยนไป และ ผู้ต้องปฏิบัติตามกฎหมาย หมายถึง บุคคล หน่วยงานหรือองค์กรต่าง ๆ จะต้องมีการแต่งตั้งผู้รับผิดชอบโดยตรงในการคุ้มครองความปลอดภัยให้ข้อมูลที่เรียกว่า DPO หรือ Data Protection Officer ในการทำงานร่วมกับหน่วยงานไอที เพื่อกำหนดแนวทางหรือปรับปรุงกฎระเบียบ (Compliance) และเทคโนโลยีให้เหมาะสมในการกำกับและตรวจติดตามการใช้งานข้อมูลให้ถูกต้องสอดคล้องตามกฎหมายและข้อบังคับทั้งในและระหว่างประเทศ
องค์ประกอบที่สอง การจัดกระบวนการ (Process) ที่เกี่ยวข้องกับข้อมูลบุคคลของลูกค้า ได้แก่ การควบคุมข้อมูล (Data Controller) ทั้งการแจ้งผู้ใช้งานหรือผู้ที่เกี่ยวข้องให้ทราบถึงขอบเขตของข้อมูลที่นำไปใช้ การอนุญาตให้ข้อมูลมีการเคลื่อนไหว รับและส่งผ่านไปยังที่ใดได้บ้าง การเข้ารหัสข้อมูลเพื่อความปลอดภัยในการเข้าถึงและนำไปใช้ และ การจัดการประมวลผลข้อมูล (Data Processor) ให้ครอบคลุมทั้งในและนอกองค์กร โดยเฉพาะเมื่อเป็นการใช้งานผ่านบริการคลาวด์
องค์ประกอบที่สาม เทคโนโลยี (Technology) เพื่อให้เกิดผลทางการปฏิบัติใน 2 ประเด็น คือ ข้อมูลต้องมีความเป็นประชาธิปไตย (Data Democratization) หมายถึง ทุกคนสามารถเข้าถึงเครื่องมือหรือเทคโนโลยีในการวิเคราะห์และประมวลผลข้อมูลตามความยินยอมที่เจ้าของข้อมูลได้ให้อนุญาตไว้ ขณะเดียวกัน ต้องมี ระบบปฏิบัติซึ่งทำหน้าที่เสมือนเป็นเจ้าของข้อมูล (Data Ownership) เพื่อตรวจสอบการเข้าถึงข้อมูลส่วนบุคคลว่า ได้รับการอนุญาตและนำไปใช้อย่างตรงวัตถุประสงค์ ไม่ขัดต่อกฎหมาย ตลอดจนคอยสอดส่องปัญหาการรั่วไหลของข้อมูลเพื่อการแก้ไขปัญหาที่รวดเร็ว
ไอที 5 ขั้น เพิ่มการคุ้มครองข้อมูลส่วนบุคคล
สำหรับองค์กรที่กำลังมองหาเทคโนโลยีซึ่งจะมาช่วยให้การจัดการระบบความปลอดภัยข้อมูลส่วนบุคคลให้เกิดประสิทธิภาพสมบูรณ์ แนะนำให้เริ่มจาก การค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification) เป็นโครงสร้างเริ่มต้นที่ทำให้องค์กรสามารถนิยามความสำคัญของข้อมูลแต่ละประเภทเพื่อกำหนดกลุ่มบุคคลที่อนุญาตให้เข้าถึงและใช้งานข้อมูลได้ ชุดข้อมูลที่มีความอ่อนไหวสูงและซับซ้อน เช่น ข้อมูลส่วนบุคคลของลูกค้าที่ต้องผูกกับระเบียบการออกเอกสารฐานความยินยอม (Consent) จากเจ้าของข้อมูลก่อนนำไปใช้ จะต้องใช้เครื่องมือ ไอที เช่น Data Discovery มาเป็นตัวช่วยในการสืบหาข้อมูลทั้งหมดว่าเก็บในรูปแบบใดหรือเก็บอยู่ที่ไหนในองค์กร Data Catalog จะช่วยในการจัดทำรายการบัญชีข้อมูล หรือปรับปรุงข้อมูลที่เก็บในรูปแบบเอกสารให้เป็นแบบดิจิทัลด้วยเทคโนโลยี OCR หรือ Optical Character Recognition ซึ่งทำให้การจัดเก็บดูแลสะดวกง่ายดายมากขึ้น
การหาช่องโหว่และประมินความเสี่ยง (Vulnerability and Risk Assessment) เป็นขั้นตอนการค้นหาช่องโหว่ต่าง ๆ เพื่อประเมินความเสี่ยงและความเสียหายที่อาจเกิดขึ้น และดำเนินการจัดหาวิธีการป้องกันต่อไป
การปกป้องข้อมูล (Data Protection) จะป้องกันข้อมูลที่สำคัญด้วยการเข้ารหัสข้อมูล (Data Encryption) และการกำหนดนโยบายการเข้าถึงข้อมูลให้เหมาะสม การรั่วไหลของข้อมูล สามารถเกิดขึ้นได้ทุกที่ทุกเวลาระหว่างการเดินทางของข้อมูล ทั้งใน Server, Storage, Network, Application, Database, Endpoint Device และ Cloud Services การเพิ่มความปลอดภัยด้วยการเข้ารหัสระหว่างการรับส่งข้อมูลจากต้นทางถึงปลายทาง (End-to-End Encryption) จึงมีความจำเป็นอย่างยิ่ง เพื่อให้มั่นใจว่าในกรณีที่เกิดการรั่วไหลของข้อมูลออกไปสู่ภายนอก ข้อมูลเหล่านั้นจะไม่สามารถนำไปใช้งานได้
การสอดส่องกิจกรรมการใช้ข้อมูล (Data Activity Monitoring) เพื่อดูว่าข้อมูลส่วนบุคคลเป็นไปตามนโยบายที่กำหนดหรือไม่ กำลังเคลื่อนไปที่ไหน เมื่อไหร่ ต้องมีการเข้ารหัสหรือถอดรหัสตรงจุดใด ซึ่งอาจจะเป็นการติดตั้งโซลูชันไว้ดูแลข้อมูลจราจรในระบบ (Log Management) เพื่อบันทึกที่มาที่ไป เวลา หรือเส้นทางส่งต่อข้อมูลของผู้ใช้งาน การติดตั้งเอเจนต์ (Agents) ที่เครื่องของผู้ใช้เพื่อสอดส่องการใช้ข้อมูลภายในและตรวจจับการโจมตีจากภายนอก มีระบบแจ้งเตือนพฤติกรรมผิดปกติแบบหลายจุด (Point to Multi-Point) หรือ จุดต่อจุด (Point to Point) ในการสอดส่องการเชื่อมต่อทุกช่องทางรับ-ส่งข้อมูลลูกค้า เป็นต้น เพื่อให้เราสามารถรู้ได้โดยเร็วว่าข้อมูลถูกโจมตีหรือเกิดรอยรั่วตรงจุดไหนและดำเนินการแก้ไขได้ทันท่วงที
การปิดกั้นและกักเก็บข้อมูล (Blocking และ Quarantine) เช่น เทคโนโลยีในการบล็อกการเรียกค้นไฟล์ข้อมูลหรือปิดผนึกข้อมูลแบบถาวรไว้ก่อนในสถานการณ์การรั่วไหลของข้อมูลในระบบ หรือการบล็อกการเข้าถึงข้อมูลในสถานการณ์ที่คอมพิวเตอร์หรืออุปกรณ์โมไบล์ที่ใช้งานสูญหายแม้จะมีรหัสผ่านที่ถูกต้องก็ตาม
เพียงเท่านี้ องค์กรธุรกิจก็สามารถสร้างระบบคุ้มครองส่วนบุคคลที่มีประสิทธิภาพ เพื่อสร้างความเชื่อมั่นให้กับลูกค้าว่า ข้อมูลของเขาจะได้รับการดูแลและดำเนินการด้วยความโปร่งใสและปลอดภัย