Skip to Content

Blog Archives

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล – ทำอย่างไรให้ทันเวลา!

ในยุค 4.0 ที่ข้อมูลหลาย ๆ อย่างเคลื่อนไหวอยู่บนโลกออนไลน์ ไม่ว่าจะเป็นข้อมูลส่วนตัวอย่าง ชื่อ นามสกุล อีเมล เบอร์โทร รวมถึงประวัติการเข้าถึง เข้าชม ทุกอย่างล้วนถูกจัดเก็บไว้บนโลกออนไลน์ แน่นอนว่าข้อมูลต่าง ๆ ที่กล่าวไปนั้น เป็นข้อมูลที่สามารถนำไปใช้ต่อยอดทำธุรกรรมหรืออื่น ๆ ได้อย่างมากมาย ซึ่งมีทั้งด้านดีและไม่ดี ฉะนั้นเราจึงต้องการตื่นตัวกับการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของตัวเอง ไปจนถึงระดับองค์กรที่เก็บข้อมูลผ่านระบบต่าง ๆ และนำข้อมูลของบุคคลอื่นมาใช้

 

สำหรับประเทศไทยเรา ก็ไม่ได้นิ่งนอนใจกับเรื่องความปลอดภัยของข้อมูล เพราะในช่วงเดือนพฤษภาคมที่ผ่านมา ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ก็ได้รับความเห็นชอบ เกิดเป็น “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” เรามาทำความเข้าใจ พ.ร.บ. ฉบับนี้ว่ามีส่วนใดที่น่าสนใจและจำเป็นต้องคำนึงถึง

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำหรับ พ.ร.บ. ฉบับล่าสุดนี้ เกิดขึ้นเนื่องจากในปัจจุบันมีหลายองค์กรที่เก็บข้อมูลของลูกค้าไว้เป็นข้อมูลทางดิจิทัล ซึ่งข้อมูลเหล่านี้อาจส่งผลให้เจ้าของข้อมูลถูกล่วงละเมิดสิทธิ์และความเป็นส่วนตัวได้มากขึ้น เป็นเหตุให้รัฐบาลต้องเข้ามาควบคุมดูแล โดยหัวข้อหลัก ๆ ใน พ.ร.บ. ได้แก่

 

  • การรักษาความปลอดภัยของข้อมูล – ผู้เก็บข้อมูลจะเปิดเผยข้อมูลต่าง ๆ ไม่ได้เด็ดขาด หากไม่ได้รับการยินยอม จะต้องมีมาตรการชัดเจนในการรักษาความปลอดภัยของข้อมูลที่เก็บไว้ทั้งในประเทศและต่างประเทศ ถ้าหากมีการโอนข้อมูลไปยังต่างประเทศนั้น ประเทศปลายทางก็จำเป็นที่จะต้องมีระบบรักษาความปลอดภัยด้านข้อมูลที่ได้มาตรฐานเช่นกัน ทั้งนี้จะต้องมีการทำรายงานวัดผลการป้องกันข้อมูลนั้น ๆ

 

  • การชี้แจงวัตถุประสงค์ในการใช้ข้อมูล – ผู้เก็บข้อมูลจะต้องไม่นำข้อมูลที่เก็บไว้ไปใช้นอกเหนือจากที่ได้ทำการชี้แจงกับเจ้าของข้อมูล ในการเก็บข้อมูลทุกส่วน ผู้ที่ทำการเก็บข้อมูลจะต้องชี้แจงอย่างชัดเจนว่าจะนำไปใช้ในส่วนใดบ้าง ไม่ว่าจะเป็นการใช้งานหรือการนำไปเปิดเผยก็ตาม

 

  • เจ้าของข้อมูลมีสิทธิ์ในการเรียกร้อง – เจ้าของข้อมูลนั้น ๆ สามารถติดต่อองค์กรหรือบุคคลที่ทำการเก็บข้อมูลได้ตลอด โดยสิทธิ์ในส่วนนี้รวมไปถึงสิทธิ์ในการขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนเอง อีกทั้งยังสามารถขอให้เปิดเผยที่มาในการได้รับข้อมูลจนกระทั่งเรียกร้องให้ทำการลบทำลายข้อมูลดังกล่าวได้อีกด้วย โดยผู้เก็บข้อมูลนั้นต้องปฏิบัติตามอย่างเคร่งครัด ห้ามปฏิเสธแต่อย่างใด ยกเว้นจะมีคำสั่งศาลให้ปฏิเสธเท่านั้น

 

  • มีบทลงโทษทางอาญาหากเปิดเผยข้อมูลโดยไม่ได้รับการยินยอม – หากผู้เก็บข้อมูลไม่ทำตามกฎข้อบังคับดังกล่าว หรือมีการละเมิด มีการเปิดเผยข้อมูลโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล ก็มีสิทธิ์ที่จะต้องโทษทางอาญาได้ โดยบทลงโทษคือการจำคุก 6 เดือน ถึง 1 ปี หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

 

จากข้อกำหนดข้างต้นที่ให้องค์กรหรือผู้ที่มีหน้าที่เก็บรวบรวมข้อมูล การใช้งาน หรือมีการเปิดเผยข้อมูลส่วนบุคคลต่าง ๆ นั้น จะต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนเสียก่อนจึงจะนำข้อมูลส่วนนั้นไปใช้งานได้ ดังนั้นผู้ที่ได้รับผลกระทบที่สุดนั้นก็คือองค์กรทุกภาคส่วน ซึ่งให้เวลาองค์กรในการเตรียมแผนรับมือเพียง 1 ปี ตั้งแต่ออก พ.ร.บ. โดยจะมีผลบังคับใช้ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ.2563

ฉะนั้น ภายใต้เนื้อหาของ พ.ร.บ. ฉบับนี้ บุคคลากรภายในองค์กรจำเป็นอย่างยิ่งที่จะต้องศึกษารายละเอียดในส่วนนี้ให้ถี่ถ้วนและให้ความร่วมมือ เพื่อหลีกเลี่ยงหรือลดความเสี่ยงที่อาจจะเกิดภัยคุกคามนั้นขึ้น ในฐานะที่ Stream เรามีความเชี่ยวชาญในการเป็นที่ปรึกษาด้านไอทีมาอย่างยาวนานกว่า 20 ปี และมีโซลูชั่นด้านความปลอดภัยของข้อมูลและระบบไซเบอร์แบบครบวงจร พร้อมให้บริการองค์กรของคุณ

 

โซลูชั่นของเราครอบคลุมทุกมิติ ได้แก่

 

  • Data Security Platform ช่วยปกป้องข้อมูลไม่ให้รั่วไหล ด้วยการเข้ารหัสข้อมูล เพื่อเพิ่มความปลอดภัยในการเข้าถึงข้อมูลขั้นสูง และยังช่วยในการบริหารจัดการผู้ที่จะเข้าถึงข้อมูล เพื่อดูหรือใช้ข้อมูลดังกล่าว โดยการแบ่งระดับของ user รวมไปถึง admin แต่ละคน ให้มีสิทธิ์ในการเข้าถึงข้อมูลที่แตกต่างกัน
    นอกจากนั้นยังมั่นใจได้ว่า ระบบของเรามีการบริหารจัดการ key (กุญแจดิจิทัล) เพื่อให้มั่นใจว่ากุญแจของแต่ละ ระบบ อาทิ Database, File Server และ Cloud อยู่ในที่ปลอดภัย และยังสามารถใช้เป็นระบบตรงกลางที่เชื่อมต่อกับระบบอื่น ๆ ได้อย่างสะดวก รวมถึงสามารถเข้ารหัสข้อมูลได้พร้อมกันทั้งหมด ไม่ต้องทำทีละ application จึงลดต้นทุนและสะดวกในการบริหารจัดการ เหมาะอย่างยิ่งกับองค์กรที่กำลังมองหาโซลูชั่นที่ตอบโจทย์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแบบครบวงจร

 

  • Privileged Access Security สถิติข้อมูลรั่วไหล (Data breach) ในปี 2561 ที่ผ่านมา พบว่าข้อมูลที่รั่วไหลเกิดขึ้นจากการถูกโจมตีในรูปแบบที่พบมากที่สุดคือการขโมยตัวตน (Identity Theft) หรือการถูกปลอมแปลงสิทธิ์เพื่อเข้าถึงระบบขององค์กรนั่นเอง เพราะฉะนั้นเพื่อเป็นการปกป้องและควบคุมสิทธิ์การเข้าถึงหรือ Privileged Account ที่ใช้ในการเข้าถึงระบบสำคัญขององค์กร ไม่ว่าจะเป็นเซิร์ฟเวอร์ ฐานข้อมูล หรือแอปพลิเคชัน เพื่อเป็นช่องทางในการเข้าถึงข้อมูลส่วนบุคคล และเนื่องจากในปัจจุบันการโจมตีในรูปแบบที่พบมากเป็นลำดับต้น ๆ คือการโจมตีด้วยสิทธิของผู้ดูแลระบบหรือสิทธิสูงสุดของระบบ โดยผู้โจมตีจะพยายามขโมยรหัสผ่านของระบบสำคัญ ๆ ภายในองค์กร และพยายามกระจายตัวอยู่ในองค์กรให้ได้นานที่สุด (Lateral Movement) เพื่อเสาะหาข้อมูลสำคัญ เช่น ข้อมูลทางการเงิน, ข้อมูลพนักงาน, ข้อมูลลูกค้า เป็นต้น จากนั้นจึงขโมยข้อมูลออกไปเปิดเผยและสร้างความเสียหายต่อองค์กรต่อไป โดยโซลูชั่นนี้จะสามารถเปลี่ยนรหัสการใช้งานได้ตามนโยบายขององค์กร ควบคุมสิทธิ์ในการใช้งานระบบให้สามารถใช้งานได้โดยผู้ที่ได้รับอนุญาตเท่านั้น ยกเลิกใช้รหัสผ่านตั้งต้น และมีการเปลี่ยนรหัสผ่านของผู้ดูแลระบบอย่างสม่ำเสมอ รวมไปถึงสามารถเก็บบันทึกการเข้าถึงระบบในรูปของ Log และวิดีโอซึ่งสามารถดูย้อนหลังได้ นอกจากนี้ยังมีฟังก์ชั่นการวิเคราะห์พฤติกรรมการเข้าถึงระบบต่าง ๆ ของผู้ดูแลระบบ (Admin Behavior Analytics) เพื่อตรวจจับและป้องกันเหตุไม่พึงประสงค์ที่อาจเกิดขึ้นได้อย่างทันท่วงที ทั้งยังสามารถแจ้งเตือนและหยุดการใช้งาน Privileged Account ที่ผิดปกติได้อีกด้วย นอกจากนี้โซลูชั่นนี้จะรองรับการปกป้อง Privileged Account ทั้งบนระบบที่เป็น On-premises และระบบ Cloud ขององค์กร รวมไปถึงสามารถปกป้อง Credentials ของแอปพลิเคชั่นเชิงธุรกิจและภัยคุกคามอันเนื่องมาจาก Robotic Process Automation ได้อีกด้วย

 

 

  • DNS Security Assessment and Data Exfiltration ป้องกัน Malware ที่มาใช้ DNS Server เป็นช่องทางในการโจรกรรมข้อมูลสำคัญ โดยเมื่อใดที่ Malware ได้เข้ามาฝังตัวในองค์กรแล้ว และเข้าถึงข้อมูลสำคัญขององค์กรรวมถึงข้อมูลส่วนบุคคล มันก็จะเริ่มการปฏิบัติการโดยติดต่อสื่อสารกลับไปยัง C&C Server เพื่อหวังจะขโมยข้อมูลสำคัญนั้นส่งออกไปข้างนอกองค์กร ผ่านช่องทาง DNS ที่เป็นจุดเปราะบาง โซลูชั่น DNS Security Assessment and Data Exfiltration จะช่วยทำให้ DNS เปลี่ยนบทบาทจากการเป็นเป้าโจมตีและช่องทางการจารกรรม มาเป็นผู้ป้องกันการโจมตี ด้วยการตรวจจับความไม่ชอบมาพากลทั้งหลาย ไม่ว่าจะเป็นในระดับ Signature Based, Reputation Based รวมถึง Behavior Based ด้วย โดยการใช้ AI และ Machine Learning ที่ติดตั้งสำเร็จมากับ DNS เพื่อตรวจจับพฤติกรรมที่ผิดปกติ จะปกป้องการถูกหลอกให้เข้าถึงไซต์อันตรายต่างๆ และป้องกันระบบ DNS ที่สำคัญขององค์กร โดยจะบล็อกการเข้าถึงโดเมนหรือไซต์ที่อันตรายตั้งแต่ก่อนเริ่มต้นการเชื่อมต่อกับไซต์เหล่านั้น รวมทั้งยังสามารถสกัดอุปกรณ์ที่ติดมัลแวร์ในการรับส่งข้อมูล C&C Server ของแฮกเกอร์ตั้งแต่เริ่มแรก และยังสามารถป้องกันการรั่วไหลของข้อมูลออกสู่ภายนอกผ่านทาง DNS Query อีกด้วย

 

  • Vulnerability Risk Management (VRM) เพื่อป้องกันภัยคุกคามที่เกิดจากช่องโหว่ของระบบ ทุกวันนี้ Attacker ที่เข้ามาขโมยข้อมูลอันสำคัญไปนั้นจำนวนไม่น้อยมาจากการเจาะระบบเข้ามาผ่านช่องโหว่ของระบบเอง ซึ่งถ้าไม่มีการบริหารจัดการช่องโหว่ที่ดีพอ ไม่มีการมั่นตรวจสอบ อัปเดท ประเมินช่องโหว่บนระบบอย่างสม่ำเสมอ เพื่อวางแผนดำเนินการปิดช่องโหว่ที่พบเหล่านั้นด้วยการ Patching ย่อมเกิดเป็นความเสี่ยงในการตกเป็นเป้าหมายของกลุ่ม Attacker ได้เป็นอย่างดีทีเดียว

 

  • Web Security เพื่อป้องกันผู้ใช้จากภัยคุกคามบนอินเตอร์เน็ต และช่วยให้องค์กรสามารถบังคับใช้นโยบายเพื่อควบคุมการเข้าถึงอินเตอร์เน็ตเว็บไซต์ตามข้อกำหนดต่างๆ ขององค์กรได้
    รวมถึงใช้ตรวจสอบการใช้งานของบุคคลากรภายในองค์กรโดยจะมีการทำ Logging ไว้เพื่อตรวจสอบการโพสข้อมูลอันระบุไว้ใน พ.ร.บ.
    ไม่ว่าจะเป็นข้อความ รูปภาพ ไฟล์วิดีโอ ออกไปเผยแพร่บนเว็บไซต์ ว่าเกิดจากบุคคลใด เกิดขึ้นเมื่อไหร่ ด้วยวิธีการหรืออุปกรณ์อะไร ทั้งนี้จะต้องสามารถระบุตัวตนผู้กระทำ และทำการเก็บข้อมูลไว้ยืนยันการกระทำเหล่านั้นได้ และตัวระบบจะสามารถปกป้องมิให้เกิดการกระทำความผิดดังกล่าวในการเผยแพร่ออกไปสู่ภายนอกเพื่อปกป้ององค์กร และเพื่อความปลอดภัยในกรณีเครื่องภายในองค์กรถูกใช้เป็นเครื่องมือของผู้ไม่หวังดีด้วย

 

  • Email Security เป็นการรักษาความปลอดภัยด่านแรกบนระบบเครือข่ายขององค์กรซึ่งทำหน้าที่เพื่อปกป้องมิให้ Mail Domain หรือ Mail server หยุดชะงักหรือกระทำการส่ง Email อันเป็นการก่อกวน สร้างความรำคาญ (Spam) ให้ผู้อื่น ลดจำนวนอีเมล์สแปมที่ไม่ต้องการ และสามารถตรวจสอบแนวโน้มที่จะเกิดขึ้นในอนาคตได้ด้วย นอกจากนี้ยังมีระบบอัพเดตข้อมูลสแปมและไวรัสอัตโนมัติ รวมทั้งยังสามารถป้องกันปัญหาการโจมตีในรูปแบบต่าง ๆ ได้อีก และระบบรักษาความปลอดภัยอีเมลยังได้รับการเสริมด้วยระบบเข้ารหัสอีเมล์เพื่อเป็นการป้องกันข้อมูลสำคัญไม่ให้รั่วไหล หรือการแอบอ้างใช้ชื่อโดเมนอีเมลอีกด้วย ทั้งนี้ยังรวมไปถึงการตรวจสอบการปกป้องอีเมลอันตรายที่ส่งเพื่อโจมตี ยึดเครื่อง หรือขโมยข้อมูลบนเครื่องของผู้ใช้งานได้ เป็นลักษณะการส่งไฟล์อันตราย หรือ Phishing Mail ซึ่งก็คือ ภัยอินเตอร์เน็ตที่ใช้วิธีการสร้างอีเมล์ต่าง ๆ หรือเว็บไซต์ปลอมขึ้นมา เพื่อหลอกล่อให้ผู้ใช้งาน เกิดความสับสนในการใช้เว็บ หลงเข้ามาทำธุรกรรมต่าง ๆ บนเว็บไซต์ปลอม ทำให้เจ้าของเว็บปลอมนั้นได้ข้อมูลส่วนตัวที่ผู้ใช้กรอกให้ไป

 

  • Intrusion Prevention System (IPS) เพื่อปกป้องไม่ให้บุคคลากรภายในองค์กรเอง หรือผู้มีความประสงค์ร้ายกระทำการนำเครื่องลูกข่ายภายในองค์กรไปทำการโจมตีเป้าหมายในรูปแบบต่าง ๆ หรือทำให้ผู้อื่นเดือดร้อน ระบบเกิดความเสียหาย ระบบหยุดชะงัก ชะลอ โดนขัดขวาง โดยอุปกรณ์จะทำการปกป้องภัยอันตราย จากความเสียหายที่จะเกิดขึ้น และช่วยตรวจสอบภัยคุกคามจากภายใน รวมทั้งกรณีเป็นผู้สร้างความเสียหายต่อภายนอกด้วย

 

  • Data Encryption เพื่อปกป้องข้อมูลสำคัญของคุณด้วยการเข้ารหัสข้อมูลในรูปแบบไฟล์ โฟลเดอร์ ข้อมูลที่จัดเก็บอยู่บน Disk, Storage อุปกรณ์ต่าง ๆ ไม่ว่าจะเป็น Server, Desktop, Laptop, Tablet, Smartphone รวมถึงข้อมูลที่อยู่บน Cloud Storage โดยกำหนดบังคับใช้นโยบายด้านความปลอดภัยจากศูนย์กลางอย่างมีประสิทธิภาพเพื่อป้องกันข้อมูลรั่วไหล

 

Cybersecurity

  • Security Information and Event Management (SIEM) เพื่อตอบโจทย์การเก็บข้อมูลการจราจรจากทุก ๆ อุปกรณ์ในระบบเครือข่าย โดยจะแบ่งการเก็บข้อมูลทั้ง ผู้ใช้ และช่วงเวลาที่ใช้ โดยอุปกรณ์ที่ต้องมีเป็นอย่างน้อยเพื่อให้ได้ข้อมูลตามที่พรบ.ต้องการ เช่น การตรวจสอบการเข้าออกระบบเครือข่าย (Firewall), การตรวจสอบการเข้าออก Web Site (Proxy), การยืนยันตัวตนเข้าระบบหรือใช้งาน (Authenticate), การแจก IP ของระบบ (DHCP & DNS), การตรวจสอบการใช้งาน Email (Email Security Gateway) เป็นอย่างน้อย

 

ด้วยโซลูชั่นด้านความปลอดภัยทางไอทีข้างต้นทั้งหมดของ สตรีม ไอ.ที. คอนซัลติ้ง จะทำให้องค์กรเตรียมพร้อมและรับมือกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างทันท่วงทีแน่นอน

 

หากท่านต้องการทราบข้อมูลเพิ่มเติม หรือสนใจโซลูชั่นด้านดิจิทัลอื่น ๆ สามารถติดต่อได้ที่ marketing@stream.co.th หรือโทร. 02-679-2233

0 5 Continue Reading →

Next Level Security with DNS for Digital Transformation

สตรีมฯ ได้ร่วมกับ Infoblox และ McAfee จัดงาน “Next Level Security with DNS for Digital Transformation” ขึ้น ณ โรงแรม Grande Centre Point Terminal 21 เมื่อวันที่ 5 มิถุนายน ที่ผ่านมา

ระบบ Domain Name System (DNS) เป็นโครงสร้างพื้นฐานสำคัญ ถือเป็นหัวใจสำคัญสำหรับระบบแอปพลิเคชันในองค์กรของลูกค้าในปัจจุบัน ยิ่งระบบ DNS มีประสิทธิภาพมากเท่าไหร่ ผู้ใช้ย่อมสามารถเข้าถึงแอปพลิเคชันได้เร็วมากเท่านั้น ในทางกลับกัน ถ้าระบบ DNS ไม่สามารถให้บริการได้ ระบบแอปพลิเคชันจะล่มตามทันที ทำให้ DNS นั้นเป็นเป้าหมายหลักในการถูกคุกคามในปัจจุบัน โดยแฮ็กเกอร์ยังสามารถโจมตีระบบ DNS เพื่อหลอกขโมยข้อมูล ลอบส่งมัลแวร์กลับเข้ามาในองค์กร หรือใช้เป็นเครื่องมือโจมตีแบบ DDoS ได้อีกด้วย
ในอดีตที่ผ่านมา โซลูชันทางด้านความปลอดภัยส่วนใหญ่จะเน้นไปที่ Firewalls, IDS/IPS และ Proxy เป็นหลัก ซึ่งถือเป็นโซลูชันที่อยู่ขอบๆ รอบๆ องค์กร แต่ปัจจุบันภัยคุกคามที่เกิดกับระบบ DNS มีมากขึ้นเรื่อยๆ งานนี้จึงจัดขึ้นเพื่อให้ลูกค้าตระหนักถึงการป้องกันภัยคุกคามที่เกิดขึ้นจากการโจมตีระบบ DNS ขององค์กรลูกค้า และนำเสนอโซลูชันเพื่อป้องกันภัยคุกคามนั้นก่อนที่จะสายเกินไป

งานนี้นอกจากจะแลกเปลี่ยนความรู้กันแล้ว ยังให้ผู้มาร่วมงานได้ร่วมสนุก ด้วยการจับสลากผู้โชคดี เพื่อรับ iPad mini 2019 และรับประทานอาหารกลางวันร่วมกัน

สนใจโซลูชันด้าน Security ติดต่อสอบถามได้ที่ Marketing@stream.co.th ค่ะ

0 0 Continue Reading →