Pichitchai Sangnak

[post-views]

Pichitchai Sangnak
Pichitchai Sangnak
วันที่ 15 ตุลาคม 2568 – หน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักร หรือ Information Commissioner’s Office (ICO) แถลงการณ์สั่งปรับ บริษัท Capita plc ผู้ให้บริการด้านการบริหารจัดการกระบวนการทางธุรกิจ (Business Process Outsourcing) เพราะละเลยการปกป้องข้อมูลส่วนบุคคล ทำให้เกิดเหตุการณ์แฮก (Hack) ข้อมูลของประชาชนกว่า 6.6 ล้านคน ในปี 2566โดยข้อมูลที่รั่วไหลประกอบไปด้วย ข้อมูลเงินบำนาญ, ข้อมูลพนักงาน และข้อมูลลูกค้า รวมถึงข้อมูลบางส่วนเป็นข้อมูลอ่อนไหว เช่น ประวัติอาชญากรรม และข้อมูลทางการเงิน โดยเฉพาะในส่วนของ Capita Pension Solutions ที่ให้บริการกับกว่า 600 องค์กร และมีถึง 325 แห่งได้รับผลกระทบโดยตรง
ลักษณะของการโจมตีของ Hacker
– เริ่มจากพนักงานดาวน์โหลดไฟล์อันตรายแบบไม่ระวัง ซึ่งไฟล์นั้นติดตั้งมัลแวร์ในระบบ เมื่อติดตั้งแล้ว ทำให้อุปกรณ์ถูกฝังมัลแวร์เข้าในเครือข่าย ก่อน Hacker จะได้รับสิทธิ์ผู้ดูแลระบบ (Admin Privileges) ทำให้สามารถเข้าถึงระบบอื่น ๆ ได้ ก่อนจะขโมยข้อมูลขนาดเกือบ 1 TB ออกไป พร้อมทำการปล่อย Ransomware และ Reset รหัสผ่านทั้งหมดทำให้พนักงานเข้าใช้งานระบบไม่ได้
– จุดน่าสนใจคือ แม้ระบบแจ้งเตือนความปลอดภัยจะมีการแจ้งเตือนระดับสูง “ในเวลาเพียง 10 นาที” และมี Automated Action บางส่วนเกิดขึ้นเพื่อป้องกันแล้ว แต่บริษัทฯ ต้องใช้เวลาถึง 58 ชั่วโมง ในการจัดการและกักกันอุปกรณ์นั้นออกจากระบบได้
ผลการตรวจสอบของ ICO UK
ICO UK รายงานว่าได้รับเรื่องร้องเรียนจากประชาชนอย่างน้อย 93 ราย และหลังจากตรวจสอบพบว่าบริษัทฯ “ขาดการวางมาตรการด้านเทคนิคและการบริหารที่เหมาะสม”
  • ไม่มีระบบจำกัดสิทธิ์ผู้ดูแลระบบ (Privilege Control)
  • ศูนย์ปฏิบัติการความปลอดภัย (SOC) ขาดบุคลากรต่อเนื่องนานกว่า 6 เดือน
  • ไม่ทดสอบระบบ (Penetration Test) ซ้ำหลังเริ่มใช้งานจริง
การตัดสินโทษของ ICO UK
– เดิม ICO UK ตั้งใจจะสั่งปรับรวม 45 ล้านปอนด์ หรือประมาณ 1,900 ล้านบาท แต่บริษัทฯ มีการให้ความร่วมมือเป็นอย่างดี และมีการเยียวยาผู้เสียหายที่ได้รับผลกระทบ ทำให้ปรับลดคำสั่งปรับเหลือ 14 ล้านปอนด์ หรือประมาณ 600 ล้านบาท
กรณีศึกษาการเยียวยาผู้เสียหายที่ได้รับผลกระทบของบริษัทฯ
  • Capita มีการเสนอบริการตรวจสอบเครดิตฟรี 12 เดือน
  • Capita มีการเปิดศูนย์บริการลูกค้าเฉพาะกิจ
  • มาตรการเยียวยามีผู้ลงทะเบียนรับสิทธิ์กว่า 260,000 ราย
สรุปบทเรียนจากกรณีดังกล่าว
– แม้ว่าจะมีระบบหรือมาตรการที่เข้มแข็ง “Human Error” ก็ยังเป็นสาเหตุที่ทำให้เกิดเหตุการณ์ข้อมูลรั่วไหลได้ ดังนั้นการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล จึงเป็นสิ่งสำคัญที่องค์กรและหน่วยงานต้องให้ความสำคัญเป็นลำดับต้น ๆ เพราะการคุ้มครองข้อมูลที่มีประสิทธิภาพ ไม่ใช่แค่เรื่องของ “ระบบ”
ขอขอบคุณข้อมูลจาก: อาจารย์สันต์ภพ พรวัฒนะกิจ: https://www.facebook.com/share/p/1BmvDN9P3o/
แถลงการณ์จาก ICO: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/
แถลงการณ์จาก Capita plc: https://www.capita.com/news/capita-reaches-settlement-ico-regarding-2023-cyber-attack
dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300