การเปิดเผยข้อมูล ในระบบนิเวศของเศรษฐกิจข้อมูลทั่วโลกในปัจจุบัน ธุรกิจต่างๆ จะรวบรวมและจัดเก็บข้อมูลที่ละเอียดอ่อนจำนวนมากเกี่ยวกับบุคคลภายในสภาพแวดล้อมไอทีของตน ความประมาทในการปกป้องข้อมูลที่ละเอียดอ่อนนี้มักจะเปิดโปงความเสี่ยงในการละเมิดข้อมูลที่เพิ่มขึ้น ซึ่งค่าใช้จ่ายได้เพิ่มขึ้นเป็น4.24 ล้านดอลลาร์ต่อการละเมิดตามตัวเลขล่าสุด การละเมิดข้อมูลแตกต่างจากการเปิดเผยข้อมูล การละเมิดจำเป็นต้องมีผู้คุกคามที่เป็นอันตรายในการเข้าถึงข้อมูล ในขณะที่การเปิดเผยข้อมูลหมายความว่าข้อมูลไม่ได้รับการรักษาความปลอดภัยอย่างเพียงพอและไม่ได้รับการปกป้อง
นอกเหนือจากค่าใช้จ่ายสูงในการละเมิดข้อมูล การตรวจสอบสื่อเชิงลบ ความเสียหายต่อชื่อเสียง เวลาหยุดทำงาน และการสูญเสียข้อมูลเป็นผลเสียหายเพิ่มเติมที่เกิดขึ้นหลังจากเหตุการณ์การละเมิดส่วนใหญ่ ความล้มเหลวของกระบวนการที่ทำให้ข้อมูลถูกเปิดเผยตั้งแต่แรกจะทำให้เกิดการละเมิดข้อมูลส่วนใหญ่ในที่สุด ด้วยเหตุนี้ คุณลักษณะการเปิดเผยข้อมูลที่ละเอียดอ่อนในเว็บแอปพลิเคชัน 10 อันดับแรกของ OWASP สำหรับความเสี่ยงด้านความปลอดภัย (แม้ว่าจะได้รับการจัดหมวดหมู่ใหม่ในเวอร์ชันล่าสุดแล้วก็ตาม)
บทความนี้เจาะลึกข้อมูลการเปิดเผยข้อมูลที่ละเอียดอ่อน รวมถึงวิธีการเกิดขึ้น เหตุใดคุณจึงควรสนใจ และประเภทของการโจมตีที่ใช้ประโยชน์จากข้อมูลดังกล่าว นอกจากนี้ คุณยังจะได้รับคำแนะนำที่นำไปปฏิบัติได้เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ละเอียดอ่อนในสภาพแวดล้อมของคุณและป้องกันการละเมิดส่วนใหญ่
ข้อมูลที่ละเอียดอ่อนคืออะไร?
ข้อมูลที่ละเอียดอ่อนคือข้อมูลที่ต้องการการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต เพื่อลดอันตรายที่อาจเกิดขึ้นต่อบุคคลและธุรกิจ เมื่อข้อมูลที่ละเอียดอ่อนตกไปอยู่ในมือของผู้ไม่ประสงค์ดี ผู้คนอาจถูกคุกคามความเป็นส่วนตัว ขโมยข้อมูลประจำตัว หรือการฉ้อโกงในชื่อของพวกเขา เมื่อความลับทางการค้า ทรัพย์สินทางปัญญา หรือข้อมูลของบริษัทที่ละเอียดอ่อนอื่นๆ ตกไปอยู่ในมือของผู้อื่น ธุรกิจต่างๆ จะประสบกับการสูญเสียความสามารถในการแข่งขัน
แม้ว่าผลที่ตามมาของการเปิดเผยข้อมูลของบริษัทที่มีความละเอียดอ่อนอาจเป็นเรื่องร้ายแรง แต่ผลที่ตามมาเหล่านี้จำกัดอยู่ที่ระดับธุรกิจ การเปิดเผยข้อมูลส่วนบุคคลส่งผลกระทบต่อผู้คน ทำให้การปกป้องข้อมูลประเภทนี้อย่างเหมาะสมเป็นข้อกังวลเร่งด่วนโดยเฉพาะสำหรับธุรกิจใดๆ
กฎระเบียบความเป็นส่วนตัวของข้อมูลจำนวนมากมีจุดมุ่งหมายเพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่เป็นของบุคคล ค่าใช้จ่ายส่วนใหญ่ของการละเมิดข้อมูลเกิดจากบทลงโทษ การดำเนินคดี และการจ่ายเงินชดเชยให้กับบุคคลที่ได้รับผลกระทบ กฎระเบียบแต่ละข้ออาจแตกต่างกันเล็กน้อยในสิ่งที่กำหนดเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน แต่ความคล้ายคลึงบางอย่างรวมถึง:
- ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI)ซึ่งรวมถึงประวัติทางการแพทย์ ผลการทดสอบ และข้อมูลการประกันเกี่ยวกับบุคคล
- ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)ที่สามารถระบุหรือสามารถใช้เพื่ออนุมานได้ว่าบุคคลนั้นเป็นใคร (เช่น ชื่อ วันเกิด หมายเลขประกันสังคม หมายเลขใบอนุญาตขับขี่ ข้อมูลบัญชีธนาคาร ที่อยู่)
- ข้อมูลไบโอเมตริกซ์เช่น ลายนิ้วมือและการสแกนเรตินา
ไม่ว่าคุณจะใช้งานเว็บไซต์อีคอมเมิร์ซหรือองค์กร คุณมักจะรวบรวมและจัดเก็บข้อมูลที่สำคัญจำนวนมากที่จุดติดต่อลูกค้าต่างๆ รวมถึงการชำระเงินเว็บไซต์แบบฟอร์มใบเสนอราคา หรือแอปพลิเคชันมือถือ หากข้อมูลนี้ถูกเปิดเผย แสดงว่าคุณมีปัญหาร้ายแรงกับเงินหลายล้านดอลลาร์
ข้อมูลที่ละเอียดอ่อนถูกเปิดเผยอย่างไร
ดังนั้นการเปิดเผยข้อมูลที่ละเอียดอ่อนเกิดขึ้นได้อย่างไร? เมื่อพิจารณาถึงสภาพแวดล้อมไอทีที่ซับซ้อนที่เปลี่ยนไปโดยธุรกิจสมัยใหม่ส่วนใหญ่ อาจไม่น่าแปลกใจเลยที่สิ่งต่าง ๆ จะผิดพลาดเมื่อพยายามปกป้องข้อมูลที่ละเอียดอ่อน การขาดการควบคุมและข้อผิดพลาดของพนักงานเป็นสาเหตุที่เป็นไปได้ การแบ่งวิธีการเปิดเผยข้อมูลจะเป็นประโยชน์โดยพิจารณาจากว่าข้อมูลอยู่นิ่งหรืออยู่ระหว่างการส่ง
ข้อมูลที่ละเอียดอ่อนเมื่ออยู่นิ่ง
เมื่อข้อมูลที่ละเอียดอ่อนหยุดนิ่ง ข้อมูลดังกล่าวจะถูกเก็บไว้ในระบบและไม่ได้เข้าถึงหรือใช้งานในปัจจุบัน ข้อมูลนี้อาจเปิดเผยด้วยวิธีต่อไปนี้:
- การเข้ารหัสไม่ได้ใช้กับข้อมูลซึ่งหมายความว่าใครก็ตามที่สามารถเข้าถึงไฟล์หรือฐานข้อมูลที่จัดเก็บไว้สามารถดูข้อมูลที่ละเอียดอ่อนได้อย่างง่ายดาย
- ข้อผิดพลาดในการกำหนดค่า ผิดพลาดเช่น การตั้งค่าที่เก็บข้อมูลบนคลาวด์ซึ่งมีข้อมูลที่ละเอียดอ่อนให้เผยแพร่ต่อสาธารณะผ่านทางอินเทอร์เน็ต (ในปี 2564 ผู้ป่วย 50,000 รายถูกเปิดเผยข้อมูลด้านการดูแลสุขภาพต่อสาธารณะในฐานข้อมูลที่ทุกคนสามารถดาวน์โหลดทางออนไลน์ได้อย่างง่ายดาย)
- ความล้มเหลวในการควบคุมการเข้าถึงที่ให้การเข้าถึงข้อมูลที่ละเอียดอ่อนมากเกินไปแก่ผู้ใช้ที่ไม่ต้องการ
ข้อมูลที่ละเอียดอ่อนระหว่างทาง
ข้อมูลในการส่งผ่านจะข้ามเครือข่ายของคุณระหว่างระบบต่างๆ หรือระหว่างเครือข่ายของคุณกับอินเทอร์เน็ต ตัวอย่าง ได้แก่ เมื่อข้อมูลถูกส่งผ่านอีเมลเมื่อข้อมูลย้ายจากภายในองค์กรไปยังระบบคลาวด์และมีการแชร์ข้อมูลระหว่างแอปพลิเคชันต่างๆ สาเหตุบางประการของการเปิดเผยข้อมูลที่ละเอียดอ่อนขณะขนส่ง ได้แก่:
- การขาดการเข้ารหัสสำหรับข้อมูลระหว่างการขนส่งทำให้ทุกคนสามารถสกัดกั้นข้อมูลนั้นขณะเดินทางได้
- การควบคุมนโยบายที่ไม่ดีและการขาดการมองเห็นข้อมูลทำให้ผู้ใช้สามารถดาวน์โหลดและ/หรือแชร์ข้อมูลไปยังอุปกรณ์ที่ไม่ได้รับอนุมัติหรือยังไม่ได้ตรวจสอบ
- พนักงานที่ใช้การเชื่อมต่อที่ไม่ปลอดภัยเพื่อส่งอีเมลที่มีข้อมูลที่ละเอียดอ่อน ซึ่งผู้คุกคามสามารถสกัดกั้นได้
การโจมตีใดที่สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้
ผู้คุกคามใช้การโจมตีหลายแบบโดยตรงเพื่อเปิดเผยและเข้าถึงข้อมูลที่ละเอียดอ่อน เช่น:
- การโจมตีแบบฉีด SQLที่ใช้คำสั่ง SQL ที่เป็นอันตรายซึ่งสามารถให้การเข้าถึงที่เก็บข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
- บุคคลที่อยู่ตรงกลางการโจมตีเช่น การจี้เซสชัน ซึ่งแฮ็กเกอร์ขโมยเซสชันของผู้ใช้บนเว็บไซต์หรือเว็บแอป และอาจเข้าถึงข้อมูลที่ละเอียดอ่อน
- การโจมตีทางวิศวกรรมสังคมที่ใช้การบิดเบือนทางจิตวิทยาเพื่อเกลี้ยกล่อมพนักงานหรือคู่ค้าทางธุรกิจให้เปิดเผยข้อมูลที่ละเอียดอ่อน การเปิดเผยข้อมูล
วิธีหลีกเลี่ยงการเปิดเผยข้อมูลที่ละเอียดอ่อน
การเปิดเผยข้อมูลที่ละเอียดอ่อนเป็นพื้นที่ของการรักษาความปลอดภัย การได้รับข้อมูลพื้นฐานที่ถูกต้องทำให้เกิดความแตกต่างอย่างมากในการบรรเทาผลลัพธ์ที่ไม่พึงประสงค์ เช่น การละเมิดหรือเหตุการณ์ข้อมูลสูญหาย
ต่อไปนี้คือเคล็ดลับ 4 ข้อที่นำไปปฏิบัติได้เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ละเอียดอ่อน
- ปรับปรุงการจัดประเภทข้อมูลและการมองเห็น
ในท้ายที่สุด เหตุการณ์การเปิดเผยข้อมูลจำนวนมากเกิดจากการมองเห็นที่ไม่ดีและการจัดหมวดหมู่ข้อมูลที่ละเอียดอ่อน ธุรกิจไม่เข้าใจว่าไฟล์/ฐานข้อมูลใดมีข้อมูลที่ละเอียดอ่อนและข้อมูลนั้นอยู่ที่ใด หากไม่มีทัศนวิสัยที่ดี เป็นไปไม่ได้ที่จะวางระบบป้องกันที่จำเป็นซึ่งรักษาข้อมูลให้ปลอดภัยและห่างไกลจากการสอดรู้สอดเห็น ประเภทของโซลูชันในอุดมคติช่วยให้สามารถค้นหาและจัดประเภทข้อมูลที่มีความละเอียดอ่อนได้โดยอัตโนมัติ
- การทดสอบการเจาะปกติ
ผู้คุกคามใช้วิธีการต่างๆ เพื่อให้บรรลุเป้าหมายในการเข้าถึงข้อมูลที่ละเอียดอ่อน ซึ่งมักจะใช้ช่องโหว่ในแอปพลิเคชัน การทดสอบการเจาะระบบในสภาพแวดล้อมของคุณเป็นประจำจะจำลองว่าผู้คุกคามในโลกแห่งความเป็นจริงตรวจสอบแอปพลิเคชันสำหรับจุดอ่อนอย่างไร คุณสามารถใช้ผลการทดสอบด้วยปากกาเพื่อเน้นและจัดการจุดอ่อนหรือแนวทางการพัฒนาที่ไม่ปลอดภัย
- ปรับปรุงการควบคุมการเข้าถึง
การรู้ว่าข้อมูลที่ละเอียดอ่อนของคุณอยู่ที่ใด เป็นฐานที่ดีเยี่ยมในการเริ่มรักษาความปลอดภัยให้ดีขึ้น วิธีหนึ่งในการเพิ่มความปลอดภัยของข้อมูลคือการปรับปรุงการควบคุมการเข้าถึง ตรวจสอบให้แน่ใจว่าคุณมีนโยบายการจัดการข้อมูลประจำตัวและการเข้าถึงที่กำหนดไว้ อย่างดี ซึ่งใช้หลักการของสิทธิ์ขั้นต่ำสำหรับการเข้าถึงแหล่งข้อมูลที่ละเอียดอ่อนของผู้ใช้อย่างสมเหตุสมผล
- ปกป้องข้อมูลที่หยุดนิ่งและเคลื่อนไหว
วิธีที่สำคัญอีกวิธีหนึ่งในการหลีกเลี่ยงการเปิดเผยข้อมูลคือการปกป้องข้อมูลที่หยุดนิ่งและเคลื่อนไหว การเข้ารหัสไม่ใช่วิธีเดียวที่จะทำเช่นนี้ได้ วิธีการต่างๆ เช่น tokenization ทำงานได้ดีสำหรับบัตรเครดิตหมายเลขประกันสังคม และฐานข้อมูลอื่นๆ ที่มีรูปแบบและโครงสร้างที่กำหนดไว้อย่างดี การเข้ารหัสทำงานได้ดีที่สุดเพื่อให้มั่นใจว่า เนื้อหา ข้อมูลที่ไม่มีโครงสร้าง เป็นความลับ เช่น PDF, เอกสาร Word และสเปรดชีต
ปกป้องข้อมูลที่ละเอียดอ่อนและหลีกเลี่ยงการเปิดเผยด้วย Polar Security
ในโลกของนโยบายการทำงานแบบไฮบริดและโครงสร้างพื้นฐานด้านไอทีแบบผสม กระบวนการใดๆ ในการติดตามและปกป้องข้อมูลอาจล้มเหลวได้อย่างง่ายดาย ความล้มเหลวในการปกป้องข้อมูลที่ละเอียดอ่อนมีโอกาสสูงที่จะถูกเปิดเผยและการละเมิดที่ตามมา โดยเฉพาะอย่างยิ่งกับการเกิดขึ้นอย่างต่อเนื่องของผู้คุกคามที่แสวงหาผลกำไรที่ต้องการขโมยข้อมูลและระงับธุรกิจเพื่อเรียกค่าไถ่หรือขายต่อข้อมูลที่สำคัญทางออนไลน์
สิ่งที่ธุรกิจต้องการจริงๆ เพื่อเริ่มลดความเสี่ยงการเปิดเผยข้อมูลคือการตรวจจับอัตโนมัติ การจัดประเภท และการทำแผนที่ของกระแสข้อมูลที่ละเอียดอ่อนตามขนาด Polar Security มอบ แพลตฟอร์ม การจัดการความปลอดภัยข้อมูล แบบไม่ใช้เอเจนต์ เพื่อให้คุณมองเห็นได้ชัดเจนซึ่งเป็นรากฐานสำหรับการรักษาความปลอดภัยข้อมูลที่แข็งแกร่งยิ่งขึ้น
THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
Leave A Comment?