ผลกระทบเมื่อข้อมูลโดนแฮก แนะนำวิธีการรับมืออย่างมืออาชีพ

November 29, 2021

ผลกระทบเมื่อข้อมูลโดนแฮก แนะนำวิธีการรับมืออย่างมืออาชีพ

ความปลอดภัยด้านข้อมูลเป็นสิ่งที่ทุกองค์กรควรให้ความสำคัญ โดยเฉพาะอย่างยิ่งเรื่องความปลอดภัยด้านข้อมูลส่วนบุคคล ซึ่งในปัจจุบันไทยก็มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลบังคับอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้

อย่างไรก็ตาม แม้ว่า PDPA จะถูกเลื่อนออกไป ภาคธุรกิจก็ยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่ทางภาครัฐกำหนดไว้ เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจนำความเสียหายต่อทั้งตัวลูกค้า และภาคธุรกิจ แม้ว่าข้อมูลที่ถูกแฮกอาจไม่ได้เกิดจากความผิดของภาคธุรกิจโดยตรง อาจเกิดจากความไม่ตั้งใจ อาจเกิดจากการถูกแฮกหรือเกิดจากโปรแกรมไวรัสก็ตาม แต่ภาคธุรกิจซึ่งเป็นผู้ดูแลข้อมูลส่วนบุคคลก็มีหน้าที่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น โดยตามกฎหมาย PDPA กำหนดโทษทั้งทางอาญา ทางแพ่ง และโทษทางปกครอง

นอกจากไทยจะมีกฎหมาย PDPA แล้ว ต่างประเทศอย่างสหภาพยุโรปหรือสหรัฐอเมริกาก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน สำหรับกรณีศึกษาที่หลายบริษัทเคยถูกฟ้องร้องเกี่ยวกับการละเมิดความคุ้มครองข้อมูลส่วนบุคคลก็มีหลากหลายเคสและประเด็นที่น่าสนใจ ตัวอย่างเช่น

1. Google

เมื่อปี 2019 สำนักงานด้านการคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส (CNIL) ปรับ Google เป็นเงิน 50 ล้านยูโร (ประมาณ 200 ล้านบาท) ในฐานละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (GDPR) เนื่องจากไม่มีการแจ้งการใช้ข้อมูลส่วนบุคคลกับผู้ใช้งานในรูปแบบที่เหมาะสมและด้วยภาษาที่เข้าใจง่าย อีกทั้งไม่ได้ขอความยินยอมการใช้ข้อมูลส่วนตัวจากผู้ใช้งานเพื่อใช้ทำแคมเปญโฆษณาแบบเจาะกลุ่มเป้าหมาย

2. บริษัท ทรูมูฟ เอช

เมื่อปี 2018 ผู้เชี่ยวชาญด้านไอทีชาวต่างชาติพบสำเนาบัตรประชาชนของผู้ใช้งาน เว็บไซต์ iTrueMart ประมาณ 46,000 ไฟล์ อยู่ในพื้นที่จัดเก็บข้อมูลออนไลน์ (Amazon S3 bucket) โดยไม่มีการเข้ารหัสป้องกัน จึงได้แจ้งเตือนไปยังทรูมูฟ เอชให้แก้ไข ซึ่งกรณีดังกล่าวทรูมูฟ เอชแจ้งว่าเกิดจากการถูกแฮกข้อมูลลูกค้าที่ได้ซื้อมือถือพร้อมแพคเกจบริการทรูมูฟ เอช โดยมีการลงทะเบียนซิมผ่านช่องทาง iTrueMart กสทช. จึงมีคำสั่งให้ทรูมูฟ เอช รับผิดชอบและเยียวยาความเสียหายต่อลูกค้าทั้งทางแพ่งและอาญา กรณีความผิดฐานละเมิดความคุ้มครองข้อมูลส่วนบุคคล พร้อมทั้งให้จัดทำรายงานผลการดำเนินการและมาตรการป้องกันและรักษาความปลอดภัยข้อมูลลูกค้า หากไม่ดำเนินการมีโทษปรับทางปกครองวันละ 2 หมื่นบาท จนกว่าจะดำเนินการแล้วเสร็จ

3. Wongnai

Wongnai พบว่ามีการดึงข้อมูลจากระบบออกไปกว่า 4.3 ล้านครั้ง โดยข้อมูลบางส่วนที่ถูกดึงออกไป เช่น ชื่อจริง ชื่อ Facebook อีเมล รหัสผ่านที่ถูกเข้ารหัสแล้ว (Hash) วันเกิด เบอร์โทร ทั้งนี้ Wongnai แจ้งว่าไม่มีการเข้าถึงข้อมูลทางการเงิน บัญชีบัตร หรือธนาคารใด ๆ เพราะทาง Wongnai ไม่มีการเก็บข้อมูลดังกล่าวเอาไว้ในฐานข้อมูล โดยเบื้องต้น Wongnai แนะนำให้ผู้ใช้งานทั้งหมดในระบบเปลี่ยน Password ซึ่งจะมีการบังคับ Reset Password ใหม่ทั้งหมด เพื่อให้มั่นใจว่าบัญชีทั้งหมดจะยังคงปลอดภัย

หากมีการเข้าถึงและละเมิดข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดให้ภาคธุรกิจอาจต้องรับผิด ดังนี้

  • ความรับผิดทางแพ่ง ตามความเสียหายจริง และอาจต้องชดใช้ค่าสินไหมทดแทน สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • โทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

สิ่งที่ภาคธุรกิจต้องทำ เมื่อข้อมูลโดนแฮก

แม้ว่าบริษัทจะมีมาตรการป้องกันรักษาความปลอดภัยข้อมูลของลูกค้าอย่างเต็มที่แล้วก็ตาม แต่การโดนแฮกก็อาจเกิดขึ้นได้ทุกเมื่อ ตัวอย่างจากกรณีศึกษาทำให้เห็นว่าบริษัทที่ออกมายอมรับและรีบแจ้งเหตุการณ์ที่เกิดขึ้นกับผู้ใช้งานทันที จะช่วยสร้างความเชื่อมั่นให้กับลูกค้าได้มากกว่าบริษัทที่ไม่สื่อสารกับลูกค้าเลย เพราะเมื่อแจ้งเตือนเร็วก็จะเสียหายน้อยลง โทษของบริษัทที่ต้องรับผิดกรณีที่ข้อมูลถูกละเมิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ก็จะน้อยลงตามไปด้วย นี่คือวิธีที่ภาคธุรกิจควรทำ เมื่อข้อมูลโดนแฮก

1. แจ้งเตือนผู้ใช้งานโดยเร็วที่สุด

บริษัทอาจส่งเป็นอีเมลที่ระบุเนื้อหาที่สื่อสารอย่างชัดเจนและยืนยันผู้ใช้งานว่าเกิดอะไรขึ้นบ้าง เช่น มีการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต พยายามอธิบายเหตุการณ์ที่เกิดขึ้นด้วยภาษาที่เข้าใจง่าย แต่ไม่สร้างความตื่นตระหนก

2. สร้างความมั่นใจให้กับผู้ใช้งานว่าบริษัทกำลังตรวจสอบข้อมูลและแก้ไขปัญหาอยู่

บริษัทยืนยันกับผู้ใช้งานว่ากำลังดำเนินการหรือได้ปิดกั้นการเข้าถึงข้อมูลของผู้ใช้ไว้ชั่วคราว รับรองว่าข้อมูลผู้ใช้ปลอดภัย และให้ความเชื่อมั่นกับมาตรการจัดการของบริษัทว่าจะเร่งแก้ปัญหากับปรับปรุงระบบให้ดีขึ้นโดยเร็วที่สุด โดยสร้างความมั่นใจว่าจะไม่เกิดเหตุการณ์แบบนี้เกิดขึ้นอีก

3. ให้คำแนะนำกับผู้ใช้งาน

บริษัทควรแนะนำผู้ใช้งานเพื่อปิดกั้นการเข้าถึงข้อมูลด้วยตนเอง เช่น การแนบ link ให้ผู้ใช้งานเปลี่ยนพาสเวิร์ดเข้าระบบทันที เพื่อป้องกันแฮกเกอร์นำข้อมูลที่หลุดไปใช้เข้าระบบของผู้ใช้งานอีก

จะเห็นได้ว่าหากมีการรั่วไหลของข้อมูลส่วนบุคคลแล้ว ภาคธุรกิจอาจต้องเสียทั้งทรัพย์ เสียทั้งแรงงานที่ต้องใช้บุคลากรเพื่อแก้ไขให้ระบบความปลอดภัยข้อมูลส่วนบุคคลกลับมาใช้งานได้อย่างปลอดภัยดังเดิม อีกทั้งเสียชื่อเสียง เพราะมาตรฐานความปลอดภัยที่หละหลวมเป็นเหตุให้ความน่าเชื่อถือ และความเชื่อใจของลูกค้าลดลง ดังนั้น เพื่อให้การดำเนินการของภาคธุรกิจสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บริการจาก PDPA Core ที่ให้คำปรึกษา พร้อมจัดทำ PDPA ครบวงจร จะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา และเตรียมความพร้อมที่ PDPA จะมีผลบังคับใช้ในปีหน้าได้ทันที

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-9119

sales@datawow.io

ISO