เสียหายกันไปเท่าไหร่?...กับการเก็บข้อมูลส่วนบุคคลโดยไม่มีระบบป้องกันการรั่วไหล

หลังการบังคับใช้กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีผลเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา และคาดว่าภายใน 5 ปี ประชาชนไทยทุกคนจะมีการรับรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งแน่นอนว่ามีผลกับบริษัทและองค์กรต่างๆ อย่างแน่นอน โดยเฉพาะฐานลูกค้าที่ใช้ความเชื่อมั่นในความปลอดภัยต่อข้อมูลส่วนบุคคล เป็นปัจจัยสำคัญในการเลือกใช้บริการ

โดยมีตัวอย่างฝั่งยุโรป ซึ่งผู้ใช้บริการ 60% มีแนวโน้มที่จะยกเลิกบริการกับบริษัทที่ไม่ให้ความคุ้มครองข้อมูลส่วนบุคคล และฝันร้ายที่ตามมาคือ 70% ในกลุ่มเจ้าของข้อมูล มีแนวโน้มการหันไปใช้บริการคู่แข่งที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลและมีระบบจัดการที่ดี

เมื่อตัวอย่างมีให้เห็นแบบนี้แล้ว คุณในฐานะบริษัทที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลหลากหลายกลุ่ม ควรต้องตระหนักและรีบจัดการหาตัวช่วยในการดูแลปกป้องข้อมูลต่างๆ ให้ปลอดภัยตลอด 24 ชั่วโมง

เสียหายกันไปเท่าไหร่?...กับการเก็บข้อมูลส่วนบุคคลโดยไม่มีระบบป้องกันการรั่วไหล

เราได้มีการแนะนำเรื่องราวของระบบป้องกันข้อมูลองค์กรรั่วไหล หรือ Data Loss Prevention (DLP) รวมถึงประโยชน์ และแนวทางใช้งานให้มีประสิทธิภาพมากที่สุดไปแล้วในหัวข้อ DLP ตัวช่วยองค์กรเพื่อป้องกันข้อมูลรั่วไหลพร้อมตอบรับกฎหมาย PDPA ครั้งนี้เราจะพาคุณไปดูว่าหากภายในองค์กรไม่ได้มีระบบดังกล่าวนี้เป็นตัวช่วยในการป้องกันข้อมูลองค์กร และหากข้อมูลส่วนบุคคลเกิดรั่วไหลนั้น จะมีผลเสียที่ตามมาไปในทิศทางไหนบ้าง แต่ก่อนอื่นเราไปดูความเสี่ยงต่างๆ ที่จะเกิดขึ้นกับข้อมูลส่วนบุคคลกันก่อน

เมื่อต้นปีที่ผ่านมามีข้อมูลที่น่าสนใจถูกเปิดเผยโดย IBM ในรายงาน X-Force Threat Intelligence Index 2022 เป็นการนำข้อมูลอาชญากรรมไซเบอร์ที่เกิดขึ้นในปี 2564 มาวิเคราะห์และจัดทำสถิติ พบว่ากลุ่มอาชญากรทางไซเบอร์จะคิดค้นมัลแวร์ตัวใหม่ๆ ขึ้นมาแทนตัวเดิมในทุกๆ 17 เดือน

ส่วนเป้าหมายการโจมตีในปีที่ผ่านมาจะพุ่งเป้าไปที่ธุรกิจกลุ่มอุตสาหกรรมในภาคการผลิต ซึ่งมีความสำคัญต่อ Supply Chain ของโลก และคิดเป็น 23.2% ของเป้าหมายการโจมตีทั้งหมด แน่นอนว่าวิธีนี้ทำให้บริษัทที่ตกเป็นเหยื่อส่วนใหญ่ยอมจ่ายค่าไถ่แม้จะแพงมากเพียงใด เพราะเมื่อเทียบแล้วก็คุ้มกว่าการถูกลูกค้าฟ้องร้องเรียกค่าเสียหายจากการทำข้อมูลรั่วไหล รวมถึงการเสียชื่อเสียงอีกด้วย

ความเสียหายจากการถูกโจรกรรมข้อมูลนั้น Forbes เปิดเผยว่าในปี 2020 มูลค่าความเสียหายของการถูกโจรกรรมข้อมูลรวมทั้งสิ้น 6 ล้านล้านดอลลาร์สหรัฐฯ และคาดว่าในปี 2025 จะเพิ่มไปถึง 10 ล้านล้านดอลลาร์สหรัฐฯ เมื่อมูลค่าความเสียหายเพิ่มมากขึ้นเรื่อยๆ ทำให้ภาครัฐและองค์กรเอกชนต่างตระหนักเห็นความสำคัญ และเร่งยกระดับการป้องกันข้อมูลรั่วไหลด้วยโซลูชั่นต่างๆ

ไทยเสี่ยงแค่ไหนจากการถูกโจรกรรมข้อมูลส่วนบุคคล ?

ในรายงานของ IBM ข้างต้นยังระบุอีกว่า ภูมิภาคเอเชียตกเป็นเป้าโจมตีของอาชญากรไซเบอร์สูงที่สุดในโลก โดยในปีที่ผ่านมาคิดเป็น 26% ของการโจมตีทั่วโลก และกลุ่มธุรกิจที่ถูกโจมตีมากที่สุดคืออุตสาหกรรมการเงินและประกันภัย คิดเป็นสัดส่วนประมาณ 30% รองลงมาคืออุตสาหกรรมในภาคการผลิต ซึ่งมีสัดส่วน 29%

ประเทศไทยแม้จะไม่ใช่ประเทศเป้าหมายที่ติด 3 อันดับแรก แต่จากข่าวการถูกโจมตีและการรั่วไหลของข้อมูลในปีที่ผ่านมา หากติดตามกันอย่างต่อเนื่องจะพบว่า การโจมตีทางไซเบอร์และการรั่วไหลของข้อมูลนั้นเกิดขึ้นแทบจะเดือนต่อเดือน ดังนั้นไม่ว่าองค์กร บริษัท หรือหน่วยงานในความดูแลของคุณจะมีขนาดเล็ก กลาง หรือใหญ่ และเก็บข้อมูลสำคัญๆ ของลูกค้าไว้ในมือก็ย่อมเสี่ยงอย่างเลี่ยงไม่ได้ที่วันหนึ่งจะถูกโจมตี หากยังไม่มีระบบดูแลปกป้องข้อมูลที่ดีพอ

ความเสี่ยงที่จะเกิดขึ้นหากองค์กรไม่มี DLP

DLP (Data Loss Prevention) หรือระบบป้องกันข้อมูลองค์กรรั่วไหล จะช่วยลดความเสี่ยงให้กับองค์กรกรณีที่มีการถูกโจรกรรมจากบุคคลภายนอกและจากคนภายในองค์กรเอง โดยจะทำงานด้วยการสแกนหาข้อมูลที่ถูกละเมิดหรือกระทำเกินสิทธิจากผู้ใช้งาน เมื่อพบความผิดปกติจะแจ้งเตือนไปยังผู้ดูแลข้อมูล เพื่อประเมินอนุญาตหรือไม่อนุญาตการกระทำของผู้ใช้งาน เช่น การคัดลอก ลบ แก้ไข หรือส่งออกข้อมูล

หากองค์กรไม่มีระบบ DLP ช่วยดูแล อาจมีความเสี่ยงต่างๆ ที่จะเกิดขึ้นจากสาเหตุหลัก 2 ส่วนคือ

1. ความเสี่ยงจากบุคคลภายในองค์กร ที่อาจส่งออกข้อมูลส่วนบุคคลหรือข้อมูลองค์กรออกสู่ภายนอก ทั้งโดยตั้งใจและไม่ตั้งใจ

2. ความเสี่ยงจากบุคคลภายนอก ที่ต้องการสร้างความเสียหายให้กับองค์กร โดยอาจมาในรูปแบบของการแฮกเข้าระบบฐานข้อมูล แล้วทำการแก้ไข คัดลอก หรือลบข้อมูล

เสี่ยงคูณ 2 หากไม่มี DLP ช่วยดูแลข้อมูล

การดำเนินธุรกิจให้ตอบรับกฎหมาย PDPA นอกจากการศึกษาข้อมูลอย่างละเอียดและปฏิบัติตามอย่างเคร่งครัดแล้ว ยังจำเป็นที่จะต้องมีตัวช่วยดูแลปกป้องข้อมูลอย่างระบบ DLP แต่สำหรับบางองค์กรที่ยังไม่ตื่นตัวเต็มที่กับการใช้ตัวช่วยต่างๆ เมื่ออ่านมาถึงรายละเอียดต่อไปนี้แล้ว คุณอาจจะเปลี่ยนใจหาตัวช่วยทันที

เพราะสำหรับการละเมิดหรือละเลยกฎหมาย PDPA นั้น นอกจากคุณจะถูกโจรกรรมข้อมูลเพื่อเรียกค่าไถ่แล้ว ความเสี่ยงต่อมาคือการถูกเจ้าของข้อมูลฟ้องร้องเรียกค่าเสียหาย องค์กรเสียชื่อเสียง เสียความเชื่อมั่นจากลูกค้า ที่สำคัญยังมีความผิดต่างๆ ตามกฎหมาย PDPA อีกด้วย

1. โทษทางแพ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน โดยต้องจ่าย 2 ส่วน คือ ค่าสินไหมทดแทนที่แท้จริง + ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

2. โทษทางอาญา มีโทษปรับตั้งแต่ 5 แสนบาท ไปจนถึง 5 ล้านบาท และจำคุกตั้งแต่ 6 เดือน ไปจนถึง 1 ปี หรือทั้งจำทั้งปรับ ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด

3. โทษทางปกครอง เป็นลักษณะของโทษปรับที่เป็นตัวเงิน ตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท โดยบทลงโทษเป็นไปตามลักษณะความผิด และเป็นคนละส่วนกับการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญาด้วย

องค์กรที่ควรใช้ DLP ป้องกันข้อมูลก่อนสายเกินแก้

·  องค์กรที่มีข้อมูลแผนการดำเนินธุรกิจที่เป็นความลับ หรือมีโปรเจกต์สำคัญที่ไม่ต้องการให้คู่แข่งรับรู้

·  องค์กรที่ต้องการปฏิบัติตามข้อบังคับของกฎหมาย PDPA เพื่อปกป้องข้อมูลส่วนตัวของลูกค้า คู่ค้า และบุคลากร

·  องค์กรที่ต้องการปกป้องข้อมูลสำคัญ กำหนดสิทธิการเข้าถึง และทราบทุกความเคลื่อนไหวที่เกิดขึ้นเกี่ยวกับข้อมูล

·  องค์กรที่ต้องการสร้างภาพลักษณ์ให้เกิดความน่าเชื่อถือ เพื่อดึงดูดลูกค้าให้วางใจที่จะให้ข้อมูลและเข้ามาใช้บริการ

เมื่อสังคมให้ความสำคัญกับข้อมูลส่วนบุคคล ขณะเดียวกันข้อมูลนี้ก็เป็นตัวชี้เป็นชี้ตายได้ว่าองค์กรคุณจะได้ไปต่อหรือพบจุดจบทันทีเมื่อถูกโจรกรรม ดังนั้นจึงหมดเวลาแล้วสำหรับการเก็บข้อมูลส่วนบุคคลแบบตามมีตามเกิด โดยไม่มีระบบ DLP ช่วยดูแล