จีดีพีอาร์ (GDPR) และการรักษาความปลอดภัยของข้อมูล: สิ่งที่คุณต้องทำ

11 Jun 2018
โดย นายสตีฟ ทรีกัสต์ ผู้อำนวยการด้านอุตสาหกรรม การเงิน ทรัพยากรมนุษย์ยุคใหม่ และกลยุทธ์ระดับโลก และนายเทโร ฮันนิเนน ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ บริษัท ไอเอฟเอส แฮกเกอร์เหรอ พวกเขาคือใคร แล้วมีลักษณะแบบไหนกันบ้าง คนกลุ่มนี้เคยเป็นเด็กอายุ 17 ปีที่ใช้เวลาหมกตัวอยู่ในห้องใต้ดินของที่บ้าน และตอนนี้ได้เติบใหญ่จนมีอายุ 35-40 ปีแล้ว และได้เข้ามามีส่วนเกี่ยวข้องกับการก่ออาชญากรรมอย่างเป็นระบบ พวกเขาทำอะไรกันบ้าง
จีดีพีอาร์ (GDPR) และการรักษาความปลอดภัยของข้อมูล: สิ่งที่คุณต้องทำ
  • มัลแวร์ (Malware) – น่าจะเป็นสิ่งที่พบเจอได้มากที่สุดและมีการนำไปใช้หาประโยชน์เป็นจำนวนมาก แน่นอนว่าย่อมมีมัลแวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ (Ransomware) รวมอยู่ด้วย โดยแฮกเกอร์บางคนจะทำหน้าที่เขียนมัลแวร์ ส่วนอีกหลายคนจะคอยแจกจ่ายมัลแวร์ ทั้งยังมีบริการสนับสนุนทางโทรศัพท์ตลอด 24 ชั่วโมงในทุกวันอีกด้วย!
  • APT – ภัยคุกคามขั้นสูงแบบต่อเนื่อง คือมัลแวร์ที่มีการกำหนดเป้าหมายไว้ในระดับสูง และพยายามที่จะละเมิดและแทรกซึมเข้าสู่เครือข่ายของคุณ
  • กลุ่มต่อต้านหัวรุนแรง (Activists) – มีเป้าหมายการทำลายล้างที่ชัดเจน
  • คนวงใน (Insiders) – เช่น Edward Snowdon อดีตผู้ดูแลระบบ SharePoint
  • ระดับชาติ (Nation states) – อาจไม่ใช่เรื่องใหญ่ในระดับที่ต้องมีการรายงานข่าว แต่ถ้าเกิดผลกระทบระดับชาติแล้ว ลองคิดว่าจะเกี่ยวข้องกับงบประมาณมากเพียงใด และแน่นอนแฮกเกอร์เหล่านี้ทำเพื่อเงิน ในขณะที่เรากำลังแปรรูปสิ่งต่างๆ ให้เป็นระบบดิจิทัล ฝั่งอาชญากรเองก็กำลังดำเนินการเช่นเดียวกับเรา พวกเขามีเส้นทางดิจิทัลทรานส์ฟอร์เมชั่นเป็นของตัวเองด้วยเหมือนกัน

ตัวอย่าง: Equifax

อีควิกแฟกซ์ (Equifax) เป็นหน่วยงานรายงานเครดิตสำหรับผู้บริโภคที่ถูกแฮกระบบ การแก้ไขข้อบกพร่องที่ตรวจพบเป็นไปอย่างเชื่องช้าและเป็นช่วงจังหวะที่เหมาะกับการถูกโจมตี และนี่คือวิธีการทำงานของแฮกเกอร์: พวกเขาลักลอบเข้ามา ใช้เวลาชั่วครู่ในระบบ และเริ่มดำเนินการคัดแยกข้อมูล

ตัวอย่าง: การโจมตีซัพพลายเชนของซอฟต์แวร์

มีซอฟต์แวร์ธุรกิจที่สำคัญ 2 ชุดที่คุณต้องใช้หากต้องการทำธุรกิจในประเทศยูเครน หนึ่งในนั้นก็คือ MeDoc ซึ่งถูกโจมตีไปเรียบร้อยแล้ว ซอฟต์แวร์ดังกล่าวมีระบบแพทช์สำหรับแก้ไขข้อบกพร่องโดยอัตโนมัติ แต่ระบบอัพเดตของพวกเขาถูกแฮกและถูกใช้ในการเผยแพร่แพทช์ทางประตูหลังของระบบ ไม่มีใครรู้ว่าเกิดอะไรขึ้นหลังจากที่ระบบถูกบุกรุก แต่ในที่สุดแฮกเกอร์ก็ปล่อยไวรัสที่มีความสามารถในการทำลายล้างออกมา ส่งผลให้เกิดการเข้ารหัสคอมพิวเตอร์ของผู้คนไปทั่วดังนั้น เมื่อต้องคอยอัพเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ คุณจะต้องเชื่อมั่นในแพทช์ที่นำมาใช้ในการติดตั้งด้วย นั่นคือสิ่งที่เรากำลังพูดคุยกันอยู่ภายในองค์กร

ตอนนี้ครึ่งหนึ่งของโลกได้เชื่อมต่อกับอินเทอร์เน็ตกันแล้ว แรนซัมแวร์ เป็นธุรกิจที่มีมูลค่าหลายพันล้านดอลลาร์ มีอุปกรณ์ ไอโอที (IoT) มากถึง 200,000 ล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งคาดกันว่าอาชญากรรมไซเบอร์จะมีมูลค่ามากถึง 6 ล้านล้านดอลลาร์ในปี 2564 และนั่นจะก่อให้เกิดความสับสนวุ่นวายมากขึ้น เว้นแต่ว่าเราจะลงมือจัดการ และจะต้องเป็นการลงมือร่วมกันด้วย กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) หรือ General Data Protection Regulation เป็นสัญญาณแรกที่รัฐบาลนำมาใช้และไม่คิดว่าธุรกิจด้านมืดดังกล่าวจะยินยอมปฏิบัติตามโดยง่าย

จีดีพีอาร์ (GDPR)

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจะช่วยปกป้องพลเมืองในสหภาพยุโรป ดังนั้นจึงส่งผลกระทบต่อทุกบริษัทที่ครอบครองและจัดเก็บข้อมูลของผู้บริโภคอยู่ นี่เป็นเครื่องมือที่ไม่ได้มีความซับซ้อนแต่อย่างใด และมีความเกี่ยวข้องโดยตรงกับบุคคลใน 3 บทบาท ได้แก่

  • เจ้าของข้อมูล - บุคคลที่เป็นเจ้าของข้อมูลที่ถูกจัดเก็บไว้
  • ผู้กำกับดูแลข้อมูล - บุคคลที่ตัดสินใจว่าจะทำอะไรกับข้อมูลบ้าง
  • ผู้ประมวลผลข้อมูล - บุคคลที่ทำหน้าที่วิเคราะห์หรือดำเนินการกับข้อมูล

หลักการทั่วไปก็คือคุณควรเก็บข้อมูลเพื่อวัตถุประสงค์อันจำกัดภายใต้การอนุญาตให้ดำเนินการได้เท่านั้น ควรเก็บข้อมูลไว้ไม่ให้นานเกินกว่าที่กำหนดไว้และควรทำลายทิ้งเมื่อไม่ได้ใช้อีกต่อไป

มีมูลเหตุอันจะอ้างกฎหมายได้ 6 อย่างที่เกี่ยวข้องกับการเก็บข้อมูลซึ่งมีความสำคัญอย่างมากและคุณจะต้องพิสูจน์ให้เห็นว่าคุณได้ปฏิบัติตามแล้ว ได้แก่ความยินยอม

  • การปฏิบัติตามสัญญา
  • ภาระผูกพันตามกฎหมาย
  • ผลประโยชน์ที่สำคัญยิ่ง
  • งานสาธารณะ
  • ผลประโยชน์อันชอบธรรมตามกฎหมาย

การกำหนดตำแหน่ง GDPR ใน GRC

คุณต้องการข้อมูล กิจกรรมด้านการกำกับดูแล และกิจกรรมที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ คุณจะจัดการเรื่องการละเมิดได้อย่างไร คุณทำอย่างไรจึงจะสามารถปฏิบัติตามกฎระเบียบได้ หากตอบคำถามดังกล่าวได้ คุณสามารถนำเอา GDPR ไปใส่ไว้ในขั้นตอนการปฏิบัติตามกฎระเบียบที่หน่วยงานของรัฐกำหนด (GRC) ได้แน่นอน

เกี่ยวกับไอเอฟเอส

ไอเอฟเอส (IFS) เป็นผู้นำระดับโลกด้านการพัฒนาและนำเสนอซอฟต์แวร์สำหรับการวางแผนทรัพยากรองค์กร (Enterprise Resource Planning หรือ ERP) การบริหารจัดการสินทรัพย์ขององค์กร (Enterprise Asset Management หรือ EAM) และ การบริหารจัดการงานบริการขององค์กร (Enterprise Service Management หรือ ESM) ทั้งนี้ ไอเอฟเอสก่อตั้งขึ้นในปี พ.ศ. 2526 โดยมีส่วนช่วยสนับสนุนให้ลูกค้าที่เป็นกลุ่มเป้าหมายสามารถดำเนินธุรกิจได้ดีขึ้น ตลอดจนผลักดันให้เกิดความคล่องตัวในการดำเนินงาน พร้อมทั้งจัดเตรียมสิ่งต่างๆ สำหรับอุตสาหกรรมเพื่อให้พร้อมรับมือกับอนาคต ไอเอฟเอส มีพนักงาน 2,800 คนที่พร้อมให้การสนับสนุนผู้ใช้ทั่วโลกมากกว่า 1 ล้านคนผ่านสำนักงานสาขาในเขตพื้นที่ต่างๆ และผ่านเครือข่ายพันธมิตรที่กำลังขยายตัวเพิ่มมากขึ้น สำหรับข้อมูลเพิ่มเติม โปรดไปที่เว็บไซต์: IFSworld.com

ติดตามเราทาง Twitter: @ifsworld

เยี่ยมชมบล็อกของไอเอฟเอสเกี่ยวกับเทคโนโลยี นวัตกรรม และผลงานสร้างสรรค์ต่างๆ: http://blog.ifsworld.com/

จีดีพีอาร์ (GDPR) และการรักษาความปลอดภัยของข้อมูล: สิ่งที่คุณต้องทำ