การเปิดเผย ข้อมูลที่ละเอียดอ่อน : ทำไมถึงต้องระมัดระวังเรื่องนี้

ข้อมูลที่ละเอียดอ่อน ช่วงไม่กี่ปีที่ผ่านมา เราได้เห็นข้อมูลสำคัญที่เดินทางผ่านอินเทอร์เน็ตเพิ่มขึ้นอย่างมาก เว็บแอปพลิเคชันสามารถสร้างและแบ่งปันข้อมูลนี้ได้ นอกจากนี้ บริษัทต่างๆ กำลังทำงานอย่างหนักเพื่อมอบโซลูชันดิจิทัลเพิ่มเติมพร้อมการเปิดเผยข้อมูลที่ละเอียดอ่อนแก่ลูกค้าของตนมากขึ้น

เมื่อเราคิดถึงข้อมูล เราไม่ควรคิดเพียงว่าจะจัดการข้อมูลนี้ด้วยวิธีที่มีประสิทธิภาพมากขึ้นเท่านั้น สิ่งสำคัญคือเราต้องคำนึงถึงความเป็นส่วนตัวและวิธีที่จะไม่เปิดเผยข้อมูลที่ละเอียดอ่อน

ข้อมูลที่ละเอียดอ่อนคืออะไร?

นักพัฒนาซอฟต์แวร์บางคนถือว่าข้อมูลบัตรเครดิตเป็นเพียงข้อมูลที่ละเอียดอ่อนเท่านั้น ดังนั้นจึงมีความกังวลเกี่ยวกับการจัดการและการจัดเก็บข้อมูลมากกว่าข้อมูลประเภทอื่นๆ

มีแม้กระทั่งมาตรฐานที่เรียกว่าPCI-DSS (มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) บริษัทชำระเงินออนไลน์และร้านค้าอีคอมเมิร์ซที่จัดการข้อมูลบัตรเครดิตของลูกค้าต้องปฏิบัติตามมาตรฐานนี้

ไม่ใช่ทุกแอปพลิเคชันที่มีฟังก์ชันที่เกี่ยวข้องกับการชำระเงินออนไลน์ และไม่ใช่ทุกแอปพลิเคชันที่จำเป็นต้องจัดการข้อมูลบัตรเครดิต แต่แอปพลิเคชันนั้นอาจยังจัดการข้อมูลที่ละเอียดอ่อนได้!

คุณคงไม่อยากเปิดเผยข้อมูลส่วนตัว เช่น เอกสาร ที่อยู่ หรือหมายเลขโทรศัพท์บนอินเทอร์เน็ตเพื่อให้ทุกคนเข้าถึงได้

การถ่ายโอนและจัดเก็บข้อมูลประเภทนี้อย่างปลอดภัยเป็นสิ่งสำคัญ เนื่องจากเราควรพิจารณาว่าข้อมูลดังกล่าวมีความละเอียดอ่อนด้วย

โดยทั่วไป เราอาจคิดว่าข้อมูลที่ละเอียดอ่อนนั้นเกี่ยวกับบัตรเครดิตหรือหมายเลขประกันสังคมเท่านั้น นั่นไม่ถูกต้อง ข้อมูล ใด ๆที่มีข้อมูลส่วนบุคคลมีความละเอียดอ่อน ข้อมูลที่ใครบางคนสามารถใช้เพื่อเชื่อมโยงกับข้อมูลอื่น ๆ และด้วยเหตุนี้หน่วยงานประนีประนอมก็มีความละเอียดอ่อนเช่นกัน ตัวอย่างเช่น บางองค์กรใช้นามสกุลเดิมของแม่หรือยาย ชื่อของโรงเรียนประถมศึกษาหรือประถมศึกษา หรือยี่ห้อและรุ่นของรถยนต์คันแรกของบุคคลเป็นคำถามเพื่อความปลอดภัย ดังนั้น แฮ็กเกอร์สามารถใช้ข้อมูลนั้นเพื่อเดารหัสผ่านได้

นอกเหนือจากหมายเลขบัตรเครดิต

ต่อไปนี้คือตัวอย่างอื่นๆ ของข้อมูลที่ละเอียดอ่อน

โทเค็นเซสชัน
หมายเลขโทรศัพท์
ที่อยู่บ้าน
ข้อมูลรับรองการเข้าสู่ระบบ เช่น ชื่อผู้ใช้และรหัสผ่าน
ข้อมูลทางการเงิน เช่น หมายเลขบัญชีธนาคารและข้อมูลบัตรเครดิต
ข้อมูลติดต่อ เช่น ที่อยู่และหมายเลขโทรศัพท์
บันทึกสุขภาพ เช่น ผลการตรวจและเวชระเบียน
ข้อมูลอื่นๆ เช่น วันเดือนปีเกิดและนามสกุล

การเปิดเผยข้อมูลที่ละเอียดอ่อนและการละเมิดข้อมูล: อะไรคือความแตกต่าง?

ไม่น่าแปลกใจเลยที่ตัวตนดิจิทัลขององค์กรส่วนใหญ่ได้เพิ่มขึ้นในช่วงหลายปีที่ผ่านมา แทบทุกด้านของชีวิตผู้คนตอนนี้มีแนวโน้มที่จะแปลงเป็นดิจิทัลมากขึ้น ซึ่งรวมถึงเวชระเบียนและประวัติการซื้อของ

สิ่งสำคัญคือต้องแยกความแตกต่างระหว่างการเปิดเผยข้อมูลที่ละเอียดอ่อนและการละเมิดข้อมูล ดังนั้นคุณจะบอกความแตกต่างได้อย่างไร?

การละเมิดข้อมูลเป็นปัญหาที่เกิดขึ้นเมื่อมีคนได้รับข้อมูลโดยไม่ได้รับอนุญาต ในทางกลับกัน หากข้อมูลถูกเปิดเผยต่อใครก็ตาม—ไม่จำเป็นต้องมีจุดประสงค์ ก็สามารถตีความได้ว่าเป็นกรณีของการเปิดเผยข้อมูล

การเปิดเผยข้อมูลที่ละเอียดอ่อนไม่จำเป็นต้องมีอันตรายใดๆ

การละเมิดข้อมูลเกิดขึ้นจากการโจมตีที่เป็นอันตราย ในทางกลับกัน การเปิดเผยข้อมูลที่ละเอียดอ่อนเกิดขึ้นเมื่อแอปพลิเคชันไม่จัดการและปกป้องข้อมูลของฐานข้อมูลอย่างเหมาะสม

การจัดการข้อมูลที่ละเอียดอ่อนไปไกลกว่าการเข้ารหัส

เมื่อฉันพูดถึงวิธีจัดการข้อมูล ฉันไม่ได้แค่พูดถึงการเข้ารหัสและใบรับรองดิจิทัลเท่านั้น พวกเขายังมีความสำคัญแน่นอน แต่เราต้องคำนึงถึงกระบวนการทั้งหมดของแอปพลิเคชัน ตั้งแต่แพลตฟอร์มไปจนถึงสถาปัตยกรรมของแอป

มาดูกันว่าOWASPมีผลกระทบต่อปัญหานี้อย่างไร

OWASP : ก้าวให้ลึกขึ้นอีกนิด

โครงการ Open Web Application Security หรือที่รู้จักในชื่อOWASPเป็นชุมชนเปิดที่เริ่มต้นในปี 2544

วัตถุประสงค์ของ OWASP คือการให้อำนาจแก่องค์กรในการพัฒนา รับ ดำเนินการ และบำรุงรักษาแอปพลิเคชันที่เชื่อถือได้ซึ่งเกี่ยวข้องกับความปลอดภัย

โปรเจ็กต์นี้มีเอกสาร เครื่องมือ ฟอรัม และการศึกษาเรื่องความปลอดภัยในเว็บแอปพลิเคชันฟรี

หนึ่งในเอกสารยอดนิยมที่ผลิตโดย OWASP คือTop 10 รายชื่อนี้อิงจากการศึกษามีความเสี่ยงที่สำคัญที่สุดในเว็บแอปพลิเคชันตามที่กลุ่มระบุไว้

เอกสารอธิบายความเสี่ยงโดยละเอียด นอกจากนี้ยังแสดงตัวอย่างวิธีการทำงานของความเสี่ยงและสอนวิธีป้องกัน

ย้อนกลับไปในปี 2017 การเปิดเผยข้อมูลที่สำคัญ 10 อันดับแรก (ตอนนี้อยู่ในหมวดหมู่ที่เรียกว่าความล้มเหลวในการเข้ารหัส)

ด้านล่างนี้ คุณจะพบคำแนะนำที่สำคัญจากรายการล่าสุด

จำแนกข้อมูลที่แอปพลิเคชันประมวลผล จัดเก็บ หรือส่ง กำหนดว่าข้อมูลใดมีความละเอียดอ่อนตามกฎหมายความเป็นส่วนตัว ข้อกำหนดด้านกฎระเบียบ หรือความต้องการทางธุรกิจ
อย่าจัดเก็บข้อมูลที่สำคัญโดยไม่จำเป็น ทิ้งโดยเร็วที่สุด คุณยังสามารถใช้โทเค็นที่สอดคล้องกับ PCI-DSS หรือแม้แต่การตัดทอน โจรขโมยข้อมูลที่คุณไม่ได้เก็บไว้ไม่ได้!
เข้ารหัสข้อมูลที่ละเอียดอ่อนทั้งหมดที่อยู่นิ่ง
ปิดใช้งานการแคชสำหรับการตอบสนองที่มีข้อมูลที่ละเอียดอ่อน ข้อมูลที่ละเอียดอ่อน

ทำไมเรื่องนี้ถึงสำคัญ?

เหตุใดการลดการเปิดเผยข้อมูลที่ละเอียดอ่อนจึงมีความสำคัญต่อธุรกิจและผู้ใช้ของคุณ

การเข้าสู่ตลาด และที่สำคัญกว่านั้น การอยู่ในตลาด อาจเป็นเรื่องยาก ชื่อเสียงของแบรนด์ต้องใช้เวลาหลายปีในการสร้าง แต่เหตุการณ์ด้านความปลอดภัยที่สำคัญสามารถทำลายชื่อเสียงได้อย่างง่ายดายภายในเวลาไม่กี่สัปดาห์

การบ่อนทำลายความไว้วางใจของลูกค้าและผู้สนับสนุนทำให้เกิดความท้าทายด้านชื่อเสียงที่ยากต่อการซ่อมแซม และการเปิดรับประเภทนี้ไม่เพียงแต่ทำให้ภาพลักษณ์ของบริษัทแย่ลง แต่ยังสามารถสร้างผลกระทบทางการเงินอย่างมหาศาลได้อีกด้วย

ข้อมูลของเรามีค่ามาก อาชญากรในการค้นหาสมบัตินี้ต้องการดำเนินการฉ้อโกงและหลอกลวงด้วยข้อมูลของเรา อาชญากรสามารถเปิดบัญชีธนาคารหรือซื้อสินค้าจำนวนมากในนามของเหยื่อได้ ทั้งนี้ขึ้นอยู่กับข้อมูลที่รั่วไหล

นอกจากนี้ เป็นเรื่องปกติที่อาชญากรจะทำการฉ้อโกงบัตรเครดิต มีบางกรณีที่พวกเขาพยายามรีดไถ ขอเงินเพื่อไม่ใช้หรือเผยแพร่ข้อมูลที่ถูกขโมย ชื่อสามัญสำหรับสิ่งนี้คือ ransomware

ปัญหาสมัยใหม่อีกประการหนึ่งคือการขายข้อมูลบนDark Webซึ่งยากต่อการค้นหาข้อมูลระบุตัวตนของผู้ขาย

ไม่ว่าสถานการณ์จะเป็นอย่างไร การเปิดเผยข้อมูลอาจนำไปสู่ปัญหาร้ายแรงได้

เมื่อคุณมีความคิดที่ดีขึ้นเกี่ยวกับปัญหาบางอย่างแล้ว คุณจะทำอะไรกับมันได้บ้าง

ความท้าทายของการรักษาความปลอดภัยที่ถูกละเลย

นักพัฒนา หลายคนละเลยแนวคิดด้านความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุด สิ่งนี้ทำให้เกิดความเสี่ยงอย่างมาก API เป็นจุดติดต่อระหว่างโลกภายนอกและแอปพลิเคชันภายในของบริษัท อย่าลืมว่า API ยังสามารถให้การเข้าถึงการอัปเดตหรือการประมวลผลที่ส่วนหลังดำเนินการและจัดการ

เมื่อพูดถึงการทำแผนที่ปลายทางหลายบริษัทล้มเหลวในงานนี้ เรามีแอปพลิเคชันที่ซับซ้อนมากขึ้นซึ่งมีการแมปหรือจัดทำเอกสารไม่ดี มีบางกรณีที่ใบสมัครไม่มีเอกสาร นี่เป็นความท้าทายที่ยิ่งใหญ่

สิ่งสำคัญคือต้องระบุว่าข้อมูลใดจัดอยู่ในประเภทที่ละเอียดอ่อน สิ่งต่างๆ เช่น ประวัติการซื้อ รายได้ หรือหมายเลขประกันสังคมเป็นตัวอย่างที่ดี

การระบุว่าใครสามารถเข้าถึงข้อมูลที่ละเอียดอ่อน และวิธีจัดการข้อมูลนี้ในสภาพแวดล้อมต่างๆ เช่น ฐานข้อมูล บันทึก โฟลเดอร์ หรือไฟล์เป็นสิ่งสำคัญเช่นกัน

อย่างไรก็ตาม ความไร้ขอบเขตของเทคโนโลยี ความหลากหลาย และการออกแบบที่ใช้ในการสร้าง API ก็ส่งผลต่อวิธีที่เราปกป้องข้อมูลภายในด้วยเช่นกัน เราต้องเข้าใจว่า API เหนือสิ่งอื่นใดคือแอปพลิเคชัน ดังนั้น เราต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการพัฒนา

ผู้ใช้ควรมีสิทธิ์เข้าถึงเฉพาะข้อมูลที่ได้รับอนุญาตเท่านั้น เราสามารถนำมาใช้ได้โดยใช้Identity and Access Management (IAM)

พึงระลึกไว้เสมอว่าการป้องกันเหตุการณ์ประเภทนี้ต้องพิจารณากระบวนการทั้งหมดของการพัฒนา APIโดยพิจารณาจากผู้ใช้ประเภทต่างๆ ตำแหน่งต่างๆ ที่ข้อมูลอาจถูกจัดเก็บ และข้อมูลนี้จะเดินทางอย่างไรในแอปพลิเคชัน อุปกรณ์ เซิร์ฟเวอร์ และอื่นๆ

ฉันจะทำอย่างไรเพื่อให้เข้าใจปัญหาได้ดีขึ้น

เพื่อช่วยแก้ปัญหานี้Traceable AIได้สร้าง ebook ชื่อThe Price of Hubris: The Perils of Overestimating the Security of Your APIs คุณจะพบคำแนะนำและกลวิธีบางอย่างที่นั่น คุณจะได้เรียนรู้เกี่ยวกับเทคนิคที่แฮ็กเกอร์มักใช้ในการเข้าถึงข้อมูลที่ละเอียดอ่อน นอกจากนี้ ตรวจสอบบล็อก ที่เป็นประโยชน์ของ Traceable AI และพิจารณาสมัครรับข้อมูล

ด้วยจำนวนประสบการณ์และผู้เข้าร่วมที่เพิ่มขึ้น ความเสี่ยงด้านความปลอดภัยและช่องโหว่ของแพลตฟอร์มเหล่านี้มีความชัดเจนมากขึ้น มีความท้าทายด้านความปลอดภัยใหม่ๆ และทำให้มั่นใจได้ว่าการทำงานที่สมบูรณ์แบบของเครือข่ายมีความสำคัญมากขึ้นสำหรับบริษัทใดๆ คู่ค้าทางธุรกิจและประชาชนทั่วไปคาดหวังมากขึ้นจากองค์กร และนั่นส่งผลต่อคุณและทีมของคุณ

การรักษาข้อมูลสำคัญให้ปลอดภัยจากการโจรกรรมและช่องโหว่ในโลกดิจิทัลในปัจจุบันนั้นไม่ง่ายเท่ากับการล็อคตู้เก็บเอกสาร โดยเฉพาะอย่างยิ่งกับการนำคลาวด์คอมพิวติ้งไปใช้อย่างแพร่หลาย แม้ว่าคุณจะใช้ความระมัดระวังทุกประการกับบัญชีออนไลน์ของคุณและระบุข้อมูล มีหลายวิธีที่ข้อมูลสามารถเข้าสู่ระบบการจัดการข้อมูลของบุคคลหรือบริษัทอื่น ซึ่งอาจทำให้เสี่ยงต่อการขโมยข้อมูลหรือการรั่วไหลของข้อมูล

ที่เราเชี่ยวชาญในการช่วยให้ธุรกิจจัดการและรักษาความปลอดภัยข้อมูลบริษัทประเภทต่างๆ ความสำคัญสูงสุดของเราคือการช่วยให้ลูกค้าของเราเก็บข้อมูลที่สำคัญของตนไว้ในที่ที่เป็นของตนและปลอดภัยที่สุด เพื่อให้ได้ภาพที่ดีขึ้นเกี่ยวกับสถานะปัจจุบันของการปกป้องข้อมูลขององค์กร และการป้องกันการสูญหายของข้อมูลเราได้สัมภาษณ์ ผู้เชี่ยวชาญด้าน ความปลอดภัยของข้อมูลเกี่ยวกับสิ่งที่สำคัญที่สุดในการรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อน

THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด