ท่านผู้อ่านจะต้องแยกเป็น 2 ประเด็นจากคำกล่าวข้างต้น ถึงผลดีและผลเสีย
- ผลดี ดีอย่างไรถ้าไม่เปิดเผยว่าโดยแฮ็ค ชื่อเสียงของบริษัทไม่เสีย ดีอย่างไรกันแน่ ?
- ผลเสีย แล้วข้อมูลที่รั่วไหลออกไปจะสามารถจัดการอย่างไร เจ้าของข้อมูลที่โดนแฮ็คต้องรับผิดชอบเองหรือไม่ ?
มาลองมองไปที่ระบบที่โดนโจมตีและถูกดึงข้อมูลออกไป คือ โดนแฮ็คแล้วนั้นเอง ไม่ว่าจะด้วยวิธีการไหน ก็หนีไม่พ้นระบบโดนขโมยข้อมูลไปแล้ว ผู้เขียนจะแยกเป็นประเด็นตรงนี้ย้อนกลับไปที่เจ้าของระบบ
ประเด็นที่ 1 : เจ้าของระบบรู้ว่าระบบโดนแฮ็ค โดย hacker เดินมาบอก ใช่หรือไม่
ประเด็นที่ 2 : เจ้าของระบบไม่รู้ว่าระบบโดนแฮ็ค แต่มีข้อมูลขายกันในตลาดข้อมูล หรือ DarkWeb
ประเด็นที่ 3 : เจ้าของระบบไม่รู้อะไรเลย แล้วก็ให้บริการต่อไป ผู้ใช้งานหรือเจ้าของข้อมูลก็ไม่รู้ว่าตัวเองโดยแฮ็คจากที่ไหนเหมือนกัน เช่น Email , ข้อมูลส่วนตัว หรือแม้กระทั่งเลขบัตรเครดิต เป็นต้น
ดูภาพรวมแล้วยิ่งปกปิดข้อมูลว่าระบบไม่เป็นอะไรแล้วรู้ทีหลังนั้น ยิ่งทำให้ตัวบริษัทนั้นดูแย่ลงไปอีกการออกมาแถลงการณ์ และ ขอโทษอย่างจริงใจนั้น จะเป็นผลดีกว่า ด้วยซ้ำ พร้อมทั้งพัฒนาระบบให้ปลอดภัยมากขึ้น แบบนั้นจะดีกว่าปกปิดข้อมูล หรือ ไม่ประกาศข่าวเยอะเลย
แล้วเจ้าของระบบทำอะไรอย่างไรได้บ้าง ในกรณีเจ้าของระบบที่เสียหายโดยแฮ็ค ก็ต้องดูว่าบริษัท สามารถรวบรวมหลักฐานในการฟ้องร้องได้มากน้อยแค่ไหน แต่ไม่ง่ายเลยต้องระบุให้ได้และดูข้อกฎหมายให้ชัดเจนว่าธุรกิจของตัวเองด้วยกฎหมายดิจิตอลของเราสามารถฟ้องร้องได้ขนาดไหน
- พรบ.คุ้มครองข้อมูลส่วนบุคคล - พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2560
- พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
แผนกกฎหมายของบริษัทนั้นๆต้องศึกษากันให้ถ่องแท้เลยทีเดียว ไว้บทความหน้าจะมาขยายความแต่ละกฎหมายให้เข้าใจกันอีกรอบหนึ่ง
ลองมามองย้อนไปมุมของเจ้าของข้อมูล หรือ ผู้ใช้บริการบ้าง โดนองค์รวมแล้วมีแต่ข้อเสียเลย ถ้ากรณีเจ้าของข้อมูลทำการปกปิดข่าว หรือ ไม่เปิดเผยว่าระบบ โดนแฮ็ค และ ขโมยข้อมูลออกไป ซึ่งแน่นอนเจ้าของข้อมูลไม่รู้ด้วยซ้ำว่าข้อมูลอะไรบ้างที่รั่วไหลออกไป แล้วทางออกจะมีอะไรบ้างสำหรับเจ้าของข้อมูล
- ได้แต่รอให้ พรบ.คุ้มครองข้อมูลส่วนบุคคลประกาศบังคับใช้อย่างเดียวเลย ข้อมูลของเจ้าของข้อมูลถึงจะถูกปกป้อง และสามารถฟ้องร้องความเสียหายจาก ผู้ควบคุม และ ผู้จัดเก็บข้อมูลได้
- ต้องหมั่นดูแล Password ของตัวเองทั้งๆ ที่ไม่ใช่ความผิดของเราเลย ในการบริหารจัดการ Password
- ต้องดูสินค้าและบริการที่น่าเชื่อถือต่อจากนี้ด้วยตัวเองว่า ระบบของบริษัทไหน บริการไหนที่เราใช้มีความน่าเชื่อถือ และ สามารถฝากข้อมูลส่วนตัวไว้ที่บริษัทได้ และทั้งนี้ทั้งนั้น การยินยอมให้เปิดเผยข้อมูล หรือ ใช้ข้อมูล หลังจาก พรบ.คุ้มครองข้อมูลส่วนบุคคลประกาศ เราถึงจะสามารถปกป้องสิทธิของเราได้
[สำหรับผู้ใช้บริการ หลัง ระบบโดนโจมตีแล้วสิ่งที่ต้องรีบทำ ให้เร็วที่สุด ]
- วิเคราะห์ปัญหาแล้วความเสียหายให้เร็วที่สุด ว่ากระทบกับผู้ใช้งานมากน้อยแค่ไหน แล้วใครเสียหายบ้าง
- ออกแถลงการณ์ขอโทษ และ ขออภัย สำหรับการที่มีข้อมูลรั่วไหล และ ได้มีการเพิ่มมาตรการ การปกป้องไว้เรียบร้อยแล้ว และ จะ เข้มงวดให้มากขึ้น
- ส่วนการแนะนำเจ้าของข้อมูลที่เสียหายทางบริษัทนี้ก็แนะนำดังต่อไปนี้ o เปลี่ยน password ของ account ที่ถูกแฮ็ค
o เปลี่ยน password ของ account ที่ถูกแฮ็คกับ Website หรือ บริการอื่น ทั้งหมดที่ใช้อันเดียวกับที่ใช้ในบริการที่ถูกแฮ็ค
o สุดท้ายหากมีการผูกบัตรไว้ แนะนำให้เฝ้าระวังให้ดี ถ้าเจอ transaction ผิดปกติรีบทำการอายัดทันที - ส่วนของระบบหรือผู้ให้บริการคงต้องเพิ่มมาตรการด้านความปลอดภัยให้รัดกุมมากขึ้น
o ใช้ Security Framework เป็นตัวอย่างอิงเช่น NIST Cybersecurity , ISO 27001 , COBIT
o นำเทคโนโลยี 2 Factor Authentication มาใช้หรือหาบริการที่มีระบบความปลอดภัยในการยืนยันมาใช้กับตัวเอง กับระบบให้มากขึ้น
o ทบทวนนโยบายการเข้าถึง Data จากทุกแหล่ง หรือลงทุนด้าน Data Security เพิ่มเติมในการปกป้องข้อมูลให้ปลอดภัยจากทุกๆการใช้งาน
เป็นอย่างไรกันบ้างสำหรับการเสนอแนวทาง การปฏิบัติ หรือ แนวทางการตอบคำถาม ที่ตั้งไว้ตั้งแต่ต้น แต่สุดท้ายแล้วนั้น อยู่ที่ระบบใครจะ Design แบบไหน และการออกแบบเรื่องความปลอดภัยแต่ละองค์กรก็ต่างกันดังนั้นขึ้นอยู่กับความจำเป็นในการปกป้องและป้องกันระบบว่าจะออกแบบ อย่างไร ส่วนการจะเปิดเผยข้อมูลว่าระบบโดนแฮ็คแล้วจะแจ้งไหมนั้น ขึ้นอยู่กับผู้บริหารแต่ละท่านอีกที ผู้เขียนขอเคารพในการตัดสินใจทุกๆความคิดเห็น และ สิ่งที่เกิดขึ้นอยู่แล้ว ขอให้ระบบปลอดภัย แต่จงอย่าประมาท