ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

"ลูกเสือ" ดูจะไม่เกี่ยวกับแวดวง IT หรือ Cyber Security เท่าไหร่นัก

แต่เมื่อเราอ่านข่าวนี้แล้วก็ตกใจ รู้สึกได้ว่า Cyber Security มันใกล้ตัวกว่าที่พวกเราคิดซะแล้ว

เมื่อวันที่ 28 กันยายน 2563 ที่ผ่านมานี้เองมีรายงานว่าเกิดเหตุข้อมูลรั่วไหลที่ค่ายลูกเสือวิกตอเรียในออสเตรเลีย มีรายงานว่าข้อมูลสำคัญของคนกว่า 900 คน อาจถูกคุกคามได้

แต่ถ้าถามว่าเกิดจากอะไร เขาต้องการอะไรจากสิ่งนี้? เราขอเล่าไปทีละ Step ดีกว่า

ที่ค่ายลูกเสือวิกตอเรียแห่งนี้มีเยาวชนกว่า 17,000 คนที่เข้าค่ายไปเพื่อดำรงชีวิตแบบลูกเสือสามัญ โดยมีสตาฟที่เป็นผู้ใหญ่กว่า 5,000 คน

เหตุการณ์ทางไซเบอร์เกิดขึ้นในช่วงปลายเดือนกรกฎาคมและสิงหาคม 2563 เมื่อจู่ ๆ บัญชีอีเมลของพนักงานแต่ละคนก็ถูกเข้าถึงโดยไม่ได้รับอนุญาต นี่ถือว่าเป็นการโดน Phishing Mail ที่ประสบความสำเร็จเลยทีเดียว

ข้อมูลที่ละเอียดอ่อน อย่างพวก ชื่อ, หมายเลขโทรศัพท์, ข้อมูลบัตรเครดิต, เอกสารประจำตัว, ข้อมูลหนังสือเดินทาง, รายละเอียดใบขับขี่ และรายละเอียดธนาคาร โดนขโมยไปหมด ที่น่ากลัวคือไม่สามารถระบุได้ว่าข้อมูลที่โดนขโมยนี่เป็นของสตาฟผู้ใหญ่ หรือผู้ปกครองของเด็กที่ลงทะเบียนในองค์กรซะด้วยนี่สิ

เมื่อข้อมูลรั่วไหลไปแล้วก็ต้องเข้าสู่กระบวนการแจ้งเตือนว่าข้อมูลถูกรั่วไหลออกไป (Data Breach Notification) ทางฝั่งของค่ายลูกเสือวิกตอเรียกล่าวว่า ทางองค์กรได้แจ้งให้เหยื่อทราบถึงการละเมิด และก็ได้ติดต่อหน่วยงานของรัฐที่เกี่ยวข้อง รวมถึงสำนักงานคณะกรรมการข้อมูลออสเตรเลีย (OAIC) และกรมทรัพยากรบุคคล ตามกระบวนการที่ควรเป็นไป

หลังจากนั้นก็มีแถลงการณ์ออกมา ซึ่งระบุไว้ว่า การตรวจสอบทางนิติวิทยาศาสตร์และการตรวจสอบด้านความปลอดภัยเป็นไปอย่างครอบคลุมครบถ้วน และตอนนี้ก็ดำเนินการตรงส่วนนี้เสร็จสิ้นแล้ว

จากการสืบสวนพบว่ามีความสอดคล้องกันของจำนวนบุคคลหลายคนที่เกี่ยวข้องกับค่ายลูกเสือวิกตอเรียอาจถูกเข้ามาได้โดยไม่ได้รับอนุญาตจากบุคคลภายนอก

สุดท้ายแล้วทางค่ายก็ได้ติดต่อบุคคลที่อาจได้รับผลกระทบโดยตรงจากเหตุการณ์นี้และจะดำเนินการเพื่อจัดการกับปัญหาในลำดับต่อไป

จากคำถามเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นจากบุคคลที่สามที่เข้าสู่ระบบของพนักงานคนหนึ่งได้โดยไม่ต้องรับอนุญาต ซึ่งก็อาจหลายทางไม่ว่าจะเป็น...

  • รหัสผ่านที่คาดเดาได้ง่าย
  • การเข้าสู่ระบบค้างไว้จากคอมพิวเตอร์
  • การแฮก
  • ฯลฯ

สิ่งที่เราพูดไปเราได้ยินกันมานาน แต่น่าแปลกว่าเราไม่สามารถแก้ไขปัญหาที่ว่าได้เพราะเราต่าง "ไม่เตรียมพร้อม" และมองว่า "เป็นเรื่องไกลตัว" ที่สำคัญคือคนทั่วไปที่ไม่อยู่ในแวดวง Cyber Security ลืมมองว่าข้อมูลส่วนตัว (Personal Data) "ไม่มีค่าขนาดนั้น"

ซึ่งเมื่อตอบคำถามต่อมาว่า "เขา (ผู้ที่ขโมยข้อมูลส่วนตัว) จะได้อะไรจากสิ่งนี้" ในทาง Cyber Security มองข้อมูล (Data) โดยเฉพาะอย่างยิ่งในด้านข้อมูลส่วนตัว พวกเขาจะมองข้อมูลเหล่านี้เป็นเหมือนคลังน้ำมัน ซึ่งแน่นอนว่าไม่ว่าใครก็สามารถเอาน้ำมันเหล่านี้ไปใช้ประโยชน์ได้เต็มไปหมดไม่ว่าจะ...

  • ปลอมแปลงตัวตนจากข้อมูลที่ได้มา
  • นำไปใช้งานแบบผิดกฎหมาย
  • ฯลฯ

แบบนี้คุณก็น่าจะเริ่มเห็นแล้วว่าภัยอันตรายจากไซเบอร์ใกล้ตัวขนาดไหน ข้อมูลของคุณสามารถเอาไปทำประโยชน์ (สำหรับโจร) อะไรได้บ้าง

แต่อย่างเหตุการณ์นี้โชคดีตรงที่ทางค่ายลูกเสือนี้วางระบบป้องกันข้อมูลส่วนบุคคลไว้เรียบร้อย (แต่ไม่มาก) อย่างการแจ้งเตือนเมื่อมีเหตุข้อมูลรั่วไหลนี้เอง

สำหรับเราทีม Ragnar ก็มีเจ้าแพลตฟอร์มนี้ที่ผลิตจากความสั่นกลัวตอนที่มีทีมงานโดนเปิดเผยข้อมูลส่วนตัวจากใครก็ไม่รู้นี่เอง ซึ่งก็ตรงกับเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่ถูกบังคับใช้ เรามี Product ที่ตอบโจทย์เรื่องนี้โดยตรงให้คุณได้สบายใจได้เสมอ เหมาะกับองค์กรทุกแบบ เพราะนอกจากจะป้องกันการรั่วไหลของข้อมูลแล้ว ยังครอบคลุม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย ลองเข้าไปดูได้ที่ https://t-reg.co/


Related products

Pakawadee Chanhom

เลี้ยงแมวที่คล้ายสุนัข / Introvert / เรียนจบจากศิลปศาสตร์ มธ. เอกภาษาไทย / รักภาษาไทย / สะกดคำ สระ และวรรณยุกต์ตามราชบัณฑิตยสถาน / แต่ชอบใช้ภาษาวิบัติ

Similar tags

Pakawadee Chanhom

สัมมนาออนไลน์สำหรับองค์กรที่ต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

งานสัมมนาออนไลน์สำหรับองค์กรทั้งภาครัฐและเอกชนที่ต้องการจะปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่มีเวลาและทรัพยากรจำกัดในการทำ

Read more...
Purichaya Narongpan

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer

Read more...
Pakawadee Chanhom

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

แม้แต่ลูกเสือที่เตรียมพร้อมขนาดไหน หากขาดความรู้ด้าน Cyber security ไปก็ข้อมูลลูกค้ารั่วไหลหากไม่เตรียมตัว

Read more...