ไขความต่างระหว่าง “ข้อมูลรั่วในยุค New Normal & ข้อมูลรั่วที่เกิดจากการกระทำ”
หลายคนอาจจะยังไม่ลึกซึ้งกับคำว่า “ข้อมูลรั่ว” ซึ่งในยุคนี้ควรต้องทำความเข้าใจกับคำว่า “ข้อมูลรั่ว” ให้ถ่องแท้ เพื่อให้เป็นประโยชน์ต่อการจัดการและการบริหารความเสี่ยงจากการเกิดปัญหาข้อมูลรั่วไหล
ในบทความนี้จะกล่าวถึงข้อมูลรั่วสองประเภท โดยทั้งสองประเภท มีความแตกต่างกันอย่างสิ้นเชิง ประเภทที่ 1 เป็นข้อมูลรั่วในยุค New Normal และประเภทที่ 2 เป็นข้อมูลรั่วที่เกิดจากการกระทำ ความแตกต่างจะเป็นอย่างไรอธิบายได้ ดังนี้
ประเภทที่ 1 ข้อมูลรั่วในยุค New Normal
ที่ผ่านมาเราอาจจะคุ้นเคยกับข้อมูลรั่วที่เกิดจากการถูกแฮกข้อมูล และไม่เคยคิดเลยว่าข้อมูลของเราจะรั่วไหลได้โดยไม่มีการถูกแฮกข้อมูลแต่อย่างได แต่ในยุคปัจจุบัน ข้อมูลรั่วที่ไม่ได้เกิดจากการถูกแฮกได้อุบัติขึ้นแล้ว ซึ่งในบทความนี้เรียกว่า “ข้อมูลรั่วในยุค New Normal” โดยไม่ได้มีแฮกเกอร์เข้ามาเกี่ยวข้องแต่ประการใด
ข้อมูลรั่วในยุค New Normal เกิดจากการที่เราเป็นฝ่ายให้ข้อมูลส่วนบุคคลของตัวเราเองกับแพลตฟอร์ม ยกตัวอย่างเช่น การที่เราสมัครเข้าใช้แพลตฟอร์มโซเชียลมีเดียรายใหญ่ต่างๆ ที่มีการขอความยินยอมในการอนุญาตให้แพลตฟอร์มใช้ข้อมูลของเราได้ หรือที่เรียกว่าแพลตฟอร์มได้ขอ Consent จากเราเป็นที่เรียบร้อยแล้ว
นั่นก็คือระหว่างที่สมัครแพลตฟอร์มจะมีเงื่อนไขให้เราอ่าน ตัวหนังสือเล็กๆ ความยาวหลายหน้า และส่วนใหญ่เป็นภาษาอังกฤษ เพื่อขอความยินยอมก่อนที่จะเข้าใช้แพลตฟอร์มนั้นๆ และมักจะเป็นส่วนสำคัญของสัญญาการใช้งาน (Contract) ซึ่งที่ผ่านมาเรามักจะไม่อ่านแล้วก็เลื่อนลงไปข้างล่างเพื่อไปกดยอมรับ (Accept) จากนั้นก็เข้าไปใช้งานแพลตฟอร์มนั้นได้ทันที
การยอมรับ หรือ Accept ทำให้แพลตฟอร์มนั้นสามารถนำข้อมูลของเราไปใช้ได้อย่างถูกกฎหมาย ไม่ว่าจะนำไปใช้ทางการตลาด แชร์ให้พาร์ทเนอร์ และอาจถูกนำไปขายก็สามารถทำได้ ดังนั้นจึงไม่ต้องแปลกใจว่า มักจะมีคนโทรมาหาเรา รู้ข้อมูลส่วนตัวของเรา ทั้งชื่อ นามสกุล ที่อยู่ อีเมล เบอร์โทร เพื่อนำเสนอสินค้าและบริการให้แก่เรา
และไม่ต้องสงสัยเลยว่า ทำไมมีโฆษณาโรงแรมที่เขาใหญ่ขึ้นมาให้เราเห็นมากมายหลังจากที่เราค้นหาข้อมูล (Search) โรงแรมที่เขาใหญ่ ฯลฯ เป็นต้น
คำตอบคือ แพลตฟอร์มเหล่านั้นนำข้อมูลของเราไปทำ Data Monetization ซึ่งเป็นการเก็บรวบรวมข้อมูล ทำการประมวลผล ทำการวิเคราะห์ มีการประยุกต์ใช้ข้อมูลของเราในการ Make Money นั่นเอง
ดังนั้นจึงสรุปได้ว่า ข้อมูลส่วนบุคคลของเราตลอดจนข้อมูลที่เกี่ยวข้องกับไลฟ์สไตล์และความชอบต่างๆ ที่ถูกแพลตฟอร์มยักษ์ใหญ่ นำไปใช้ นำไปแชร์ เป็นการเกิดข้อมูลรั่วในยุค New Normal ที่เกิดขึ้นมายาวนานกว่า 10 ปี โดยที่เราอาจไม่เคยรู้มาก่อน
ประเภทที่ 2 ข้อมูลรั่วที่เกิดจากการกระทำ
ในที่นี้ขอเริ่มต้นจากการอธิบายคำจำกัดความของข้อมูลรั่วในรูปแบบต่างๆ ได้แก่ Data Loss, Data Leak และ Data Breach หรือ Cloud Breach
- Data Loss : ข้อมูลสูญหาย ข้อมูลที่เคยอยู่ในระบบแต่ต่อมาไม่อยู่แล้ว
- Data Leak : ข้อมูลรั่วออกสู่สาธารณะโดยข้อมูลเรายังอยู่ครบถ้วนไม่สูญหาย อาจเกิดจากคนในหรือ Insider Threats อาจเกิดขึ้นโดยไม่ได้ตั้งใจ อาจไม่ได้เกิดจากการถูกแฮกก็เป็นได้
- Data Breach หรือ Cloud Breach : เป็นการละเมิดข้อมูลจากการโจมตีทางไซเบอร์ที่มักจะเกิดจากแฮกเกอร์ โดยที่ข้อมูลของเรายังอยู่ที่เดิมแต่มีผู้ไม่หวังดีสามารถเข้ามาดูโดยไม่ได้รับอนุญาต ซึ่งปัจจุบันข้อมูลที่ถูกละเมิดมีทั้งที่อยู่ในระบบภายในขององค์กรที่จัดเก็บแบบ On-premise และข้อมูลที่อยู่บนระบบคลาวด์ ซึ่งหมายถึง Cloud Breach
บทความนี้ขอให้มุมมองว่า Data Loss, Data Leak และ Data Breach หรือ Cloud Breach เป็น “ข้อมูลรั่วที่เกิดจากการกระทำ” ได้แก่ ข้อมูลรั่วจากการถูกแฮก ข้อมูลรั่วจากความประมาท ข้อมูลรั่วและถูกทำลายจนสูญหายหรือใช้งานไม่ได้ ข้อมูลรั่วที่เกิดจากการกระทำ ที่ทำให้ผู้ที่ไม่เกี่ยวข้องได้เข้ามาเห็นข้อมูลส่วนบุคคล ซึ่งเมื่อมีเหตุการณ์ข้อมูลรั่วที่เกิดจากการกระทำบ่อยครั้งมากขึ้น จึงจำเป็นต้องมีการป้องกันข้อมูล (Data Protection) อย่างเป็นระบบ จนเป็นที่มาให้มีการประกาศให้กฎหมายคุ้มครองข้อมูลมีผลบังคับใช้ โดยในประเทศไทย ได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ ที่เรารู้จักกันดีในชื่อ PDPA
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ Personal Data Protection Act หรือ PDPA มีการจัดทำขึ้นมาให้สอดคล้องกับ General Data Protection Regulation หรือ GDPR ซึ่งมีการประกาศใช้ในยุโรป กฏหมายทั้งสองแม้จะมีเป้าหมายในด้านการคุ้มครองข้อมูลส่วนบุคคลเหมือนกัน สังเกตได้ว่าอักษรย่อตรงกลางหรือ “DP” คือ “Data Protection” หมายถึงการป้องกัน ไม่ใช่ “DP” ที่ย่อมาจาก “Data Privacy” แต่อย่างใด
ทั้งนี้เนื่องจากเจตนารมณ์ของ PDPA และ GDPR เพื่อปกป้องข้อมูล ป้องกันข้อมูลส่วนบุคคลรั่วไหลหรือถูกละเมิด ดังนั้นการที่จะปฏิบัติตาม (Comply) กฎหมาย จะกล่าวถึงแต่เรื่อง Data Privacy อย่างเดียวโดยไม่กล่าวถึง Data Protection ไม่ได้ นอกจากนี้ยังต้องให้ความสำคัญกับเรื่อง Data Security ด้วย เพราะ Data Security คือหัวใจสำคัญขั้นพื้นฐานของการป้องกันข้อมูลส่วนบุคคล
คำแนะนำจากผู้เขียน
- การแก้ปัญหาข้อมูลรั่วในยุค New Normal แนะนำให้ ตระหนักถึงการใช้สื่อโซเชียลที่ควรไตร่ตรองก่อนจะโพสต์และก่อนที่จะให้ข้อมูลกับแพลตฟอร์มต่างๆ หากเป็นข้อมูลความลับ ข้อมูลส่วนบุคคลที่ Sensitive ภาพส่วนบุคคลที่ไม่ต้องการเผยแพร่สาธารณะ ควรจัดเก็บในฮาร์ดดิสก์ของตัวเอง ไม่ควรที่จะนำไปจัดเก็บไว้บนคลาวน์สาธารณะหรือ Public Cloud
ก่อนที่จะ Accept หรือยอมรับเงื่อนไขการเข้าใช้งานแพลตฟอร์ม จะต้องอ่านเงื่อนไขที่แพลตฟอร์มแจ้ง มาว่าจะเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเราอย่างไรบ้าง หากไม่ต้องการให้แพลตฟอร์มเก็บ ใช้ และเผยแพร่ข้อมูลบุคคลของเราก็ไม่ควรที่จะ Accept แต่เราอาจจะลงทะเบียนเข้าใช้ไม่สำเร็จ ในทางกลับกันถ้าเราต้องการใช้สื่อโซเชียลแพลตฟอร์มนั้นเราก็อาจจะจำเป็นต้องแลกกับการให้ข้อมูลส่วนบุคคลไป อย่างไรก็ตามเรายังสามารถควบคุมได้ด้วยการที่ไม่โพสต์ในเรื่องที่ Sensitive และมีความเสี่ยง
- การแก้ปัญหาข้อมูลรั่วที่เกิดจากการกระทำ แนะนำให้ องค์กรเริ่มต้นจากเรื่อง Data Security ก่อนที่จะดำเนินการเรื่อง Data Privacy ใน PDPA เพราะไม่เช่นนั้นแล้ว องค์กรก็จะไม่มีทางไปถึงเรื่องการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection ส่วนแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของข้อมูล องค์กรสามารถยึดตามหลักการ CIA Triad ซึ่งประกอบด้วย Confidentiality, Integrity และ Availability
ภาพจาก : https://websitesecuritystore.com/blog/what-is-the-cia-triad/
ผู้เขียนหวังว่าคำแนะนำดังกล่าวนี้จะเป็นประโยชน์ต่อทั้งบุคคลทั่วไปและองค์กรในทุกระดับ