Cyber Security หลาย ๆ ธุรกิจอาจจะมองเป็นเรื่องไกลตัว เพราะของแบบนี้ ต้องโดนกับตัวถึงรู้สึก !! ทว่าจากข้อเท็จจริงที่เกิดขึ้นในโลกปัจจุบัน ปัญหาความปลอดภัยของข้อมูล หรือการโดนโจมตีทางไซเบอร์ได้กลายเป็นภัยคุกคามที่ส่งผลร้ายแรงต่อเศรษฐกิจโลก

จากข้อมูลของสำนักงานสืบสวนของสหรัฐอเมริกา (FBI) ระบุสถิติตั้งแต่ช่วง COVID-19 เริ่มระบาดเป็นต้นมา มีคดีอาชญากรรมทางอินเทอร์เน็ตที่เป็นอาชญากรรมทางเศรษฐกิจมีการรายงานเพิ่มขึ้นมาเป็นอันดับ 2 (อันดับ 1 คือ คดีฉ้อโกง) แต่ที่น่าตกใจคือ มีการกระทำผิดเพิ่มขึ้นสูงถึง 300 % เมื่อเทียบกับสถิติช่วงก่อนเกิด COVID-19 ทั้งมีแนวโน้มเพิ่มขึ้นอย่างรวดเร็วตามการก้าวกระโดดของเทคโนโลยี

ด้วยเหตุนี้ จะเห็นว่าธุรกิจหรือบริษัทต่างชาติจะให้ความสำคัญต่อเรื่อง Cyber Security มากเป็นพิเศษ เพราะไม่เพียงจะเกิดความเสียหายจากการโดน ‘แฮคเกอร์’ โจมตีระบบคอมพิวเตอร์ภายในองค์กร หรือเทรนด์ที่ฮิตกันในช่วงหลังๆ มานี้ คือการใช้ Ransomware รู้จักกันในชื่อ ‘ซอฟต์แวร์เรียกค่าไถ่’ รวมถึงการการใช้อีเมลหรือลิงค์ปลอมเพื่อล่อลวงข้อมูล หรือ Phishing ซึ่งเป็นที่ทราบดีว่า หากธุรกิจใดโดนโจมตี ก็มีความเป็นไปได้น้อยมากที่จะสามารถกู้ข้อมูลคืน แม้แต่จะจ่ายเงินให้แฮคเกอร์ก็ไม่มีอะไรรับประกันได้ว่าแฮคเกอร์จะทำตามข้อตกลง

ดังนั้น หลายๆ ธุรกิจที่เคยโดนโจมตีทางไซเบอร์หากไม่มีข่าวใหญ่โตก็มักจะพยายาม ‘ปกปิด’ เพราะไม่ใช่เรื่องดีงามเลยที่อยู่ๆ ข้อมูลขององค์กร ข้อมูลทางธุรกิจ ข้อมูลลูกค้าจะถูกนำไปเปิดเผย หรือจำหน่ายใน Dark Web

ประกอบกับภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ที่กำหนดหลักปฏิบัติในกรณีที่บริษัทโดนโจมตี และข้อมูลส่วนบุคคลเกิดการรั่วไหล อาจนำไปสู่การฟ้องร้องดำเนินคดีเรียกค่าเสียหาย ต้องจ่ายค่าสินไหมทดแทนเป็นเงินจำนวนมาก

นับเป็นเคราะห์ซ้ำกรรมซัดที่อาจจะพบได้ในประเทศไทยเร็วๆ นี้เช่นกัน เพราะภายใต้การประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act.) ก็มีการกำหนดข้อควรปฏิบัติและบทลงโทษไว้เช่นกัน และมีความเสี่ยงที่จะถูกฟ้องร้องดำเนินคดีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เรื่องนี้ธุรกิจจึงต้องใส่ใจมากเป็นพิเศษ

‘ข้อมูลเกิดการรั่วไหล’ ตามกฎหมาย PDPA ควรจัดการอย่างไร

ตามบทบัญญัติของกฎหมาย PDPA ที่จะบังคับใช้ในวันที่ 1 มิถุนายน นี้ ในกรณีที่ธุรกิจเกิดการรั่วไหลของข้อมูล ก่อนอื่นก็ต้องเข้าใจบทบาทของตนเองก่อน หากธุรกิจของคุณเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ก็มีบทบาทและหน้าที่ดังนี้

1.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล และเมื่อเทคโนโลยีมีการเปลี่ยนแปลงก็ต้องมีการปรับปรุงให้อุปกรณ์หรือเจ้าหน้าที่ด้านเทคนิคต่างๆ อยู่เสมอ และแน่นอนว่าหากไม่มีการจัดการใดๆ ในด้านนี้ แล้วเกิดการละเมิด คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็อาจพิจารณาว่า ‘ไม่มีความปลอดภัยเพียงพอ’

2.ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่แหล่งอื่น ต้องมีการจัดดำเนินการเพื่อป้องกันไม่ให้มีการเปิดเผยข้อมูลส่วนบุคคลโดยที่เจ้าของข้อมูลไม่ยินยอม

3.มีระบบการตรวจสอบเพื่อลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการจัดเก็บ หรือมองว่าไม่มีความจำเป็นอีกต่อไป หรือปฏิบัติตามคำร้องของเจ้าของข้อมูลส่วนบุคคล

4.หากเกิดการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องแจ้งเหตุแก่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชม. นับตั้งแต่ทราบเหตุ แต่หากมองว่าเป็นความเสียหาย ‘ร้ายแรง’ อาจจะต้องมีแผนสำหรับการ ‘เยียวยา’ ความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลอย่างไม่ล่าช้า

ในทำนองเดียวกัน แต่สถานะของธุรกิจคุณคือเป็น ประมวลผลข้อมูล (Data Processor) ก็ต้องทำความเข้าใจบทบาทหน้าที่หากถูกแฮคและข้อมูลเกิดการรั่วไหลขึ้นมา ดังนี้ :

1. หน้าที่ในการเก็บรวบรวม ใช้ และเปิดเผยตามคำสั่งจากผู้ควบคุมข้อมูลเท่านั้น

2. มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเจ้าของข้อมูลสามารถเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งแจ้งผู้ควบคุมข้อมูลหากเกิดการละเมิด

3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนดเพื่อเป็นหลักฐานอ้างอิง

จากกรณีศึกษาบริษัทเดินเรือทะเลโดนซอฟต์แวร์เรียกค่าไถ่

ถึงตรงนี้จะสังเกตว่า บทบทหน้าที่ของผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล ซึ่งมีส่วนสำคัญที่กฎหมายบัญญัติไว้ ‘กว้าง’ พอสมควร อาทิ กรณีที่ต้องมีการรักษาความปลอดภัยที่เหมาะสม โดยคำว่า ‘เหมาะสม’ ในที่นี้อยู่ที่การตีความของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรืออาจต้องรอกฎหมายลูกมารองรับอีกที

อีกกรณีคือนิยามของ ‘ความเสียหายร้ายแรง’ และการ ‘เยียวยา’ ซึ่งเบื้องต้นธุรกิจเองอาจยังไม่สามารถประเมินความเสียหายได้อย่างแน่นอน ยกตัวอย่างกรณีบริษัทเดินเรือทะเลรายหนึ่ง โดน Ransomware เรียกค่าไถ่ แต่ด้วยเป็นบริษัทขนาดใหญ่ที่มีรายชื่อลูกค้าเป็นจำนวนมาก จึงมีการเจรจาจ่ายค่าเสียหายแก่แฮคเกอร์เพื่อประวิงเวลา แล้วให้เจ้าหน้าที่ฝ่ายไอทีเร่งกู้ข้อมูลคืน

เคสนี้กว่าจะกู้คืนสำเร็จก็ใช้เวลา 7 วัน ทั้งยังประเมินความเสียหายได้ยาก คงไม่ต้องพูดถึงการเยียวยา เพราะบริษัทเดินเรืออ้างว่าสามารถกู้คืนได้หมด แต่ภายหลังก็เกิดเป็นคดีฟ้องร้องเรียกค่าเสียหายจากข้อมูลลูกค้า ข้อมูลธุรกิจที่มีการนำไปเปิดเผยในเว็บมืดเพื่อเป็นการอวดผลงานของเหล่าแฮคเกอร์ …เรียกว่าฟาดเคราะห์ไปขนานใหญ่เลยทีเดียว!

คำถามคือ กรณีแบบนี้ ธุรกิจจะมีหลักจัดการเพื่อให้การจัดการมีความเหมาะสมกับสถานการณ์และสอดคล้องกับกฎหมาย PDPA ได้อย่างไร

คำตอบของกรณีศึกษาแบบนี้ อาจจะตอบได้แบบกลางๆ ว่า ในกรณีที่เจ้าของธุรกิจ พบการโจมตีทางไซเบอร์และเกิดการรั่วไหลหรือข้อมูลส่วนบุคคลสูญหาย หากเป็นผู้ควบคุมข้อมูลก็ต้องแจ้งคณะกรรมการคุ้มครองข้อมูลฯ โดยไม่ชักช้า แต่หากเกิดกับผู้ประมวลผลข้อมูลก็แจ้งไปที่ผู้ควบคุมเป็นอันดับแรก

แต่หากในบริษัทมีตำแหน่ง DPO (Data Protection Officer) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก็มอบหมายให้เป็นผู้แจ้งและติดตามความคืบหน้าแก่คณะกรรมการคุ้มครองฯ แต่ก่อนแจ้งควรมีการสรุปความเสียและผลกระทบที่อาจจะเกิดขึ้นด้วย เพราะกฎหมายบอกให้แจ้งไม่เกิน 72 ชม.

ส่วนจะมีการดำเนินการเพื่อต่อรอง หรือกู้ข้อมูลคืนอย่างไรนั้น ก็สุดแล้วแต่กรณีไป แต่โดยส่วนใหญ่ ธุรกิจจะมีการสำรองข้อมูลอยู่เสมอ ประเด็นจึงย้อนกลับมาที่การดำเนินการของธุรกิจว่ามี ‘ความปลอดภัย’ และ ‘เหมาะสม’ เพียงพอจากการละเมิดข้อมูลส่วนบุคคลและการโจมตีทางไซเบอร์ที่สถิติเพิ่มมากขึ้นทุกปีหรือไม่

ทั้งนี้ กรณีการโดนโจมตีทางไซเบอร์ก็อาจมีเฉพาะการชดใช้ค่าสินไหม หรือการเยียวยา เพราะภายใต้หลักปฏิบัติของกฎหมาย PDPA คือ ให้บรรดาธุรกิจต่างๆ มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ‘อย่าระมัดระวัง’ แต่ก็อาจมีอีกหลายๆ ประเด็นที่อาจจะเกิดขึ้นและเป็นกรณีศึกษา ซึ่งเราจะนำมาเสนอในแง่มุมต่าง ๆ ต่อไป เพราะอย่างที่ระบุไว้ว่า กฎหมายใหม่นี้ค่อนข้างกว้าง และมีรายละเอียดปลีกย่อยที่เจ้าของธุรกิจจะต้องทำความเข้าใจอีกมาก