ข้อมูลที่ไม่ปลอดภัย เรื่องของความปลอดภัยของข้อมูลที่ส่งผลกระทบ ต่อภาคอุตสาหกรรมต่างๆเป็นเรื่องที่น่าสนใจ ตัวอย่างเช่นอุตสาหกรรมการเงินมีความสำคัญอย่างไรในแง่ของความปลอดภัยของข้อมูลเมื่อเทียบกับภาคสุขภาพ หรือธุรกิจบันเทิง มีบางภาคส่วนที่เผชิญกับภัยคุกคามทางไซเบอร์และความเสี่ยงมากกว่าภาคอื่น ๆ หรือไม่? บางคนทำงานได้ดีขึ้นในการรักษาความปลอดภัยของข้อมูลหรือไม่และถ้าเป็นเช่นนั้นอย่างไรและทำไม
งานวิจัยจากผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ Netwrix เปิดเผยว่าหลายองค์กรในภาคการศึกษามีความเสี่ยง ที่จะเกิดเหตุการณ์ด้านความปลอดภัย ของข้อมูลเนื่องจากการควบคุมความปลอดภัย ในการแบ่งปันข้อมูลที่อ่อนแอโดยการย้ายไปสู่การเรียนรู้ทางไกล และระยะไกลเมื่อเร็ว ๆ นี้อันเป็นผลมาจากความห่างเหินทางสังคมของ COVID-19 ที่เพิ่มความเสี่ยง กำลังเผชิญ ข้อมูลที่ไม่ปลอดภัย
จากการวิจัยรายงานความเสี่ยง และความปลอดภัยของข้อมูล Netwrix ประจำปี 2020บริษัท พบว่า 82% ขององค์กรด้านการศึกษาไม่ติดตามการแชร์ข้อมูล เลยหรือดำเนินการด้วยตนเอง ในขณะที่พนักงานมากกว่าครึ่งหนึ่งของ บริษัท ในภาคการศึกษาใช้แอปพลิเคชันคลาวด์ เพื่อแบ่งปันข้อมูล ที่ละเอียดอ่อนภายนอกการควบคุม และความรู้ด้านไอทีซึ่งเป็นเปอร์เซ็นต์ที่สูงที่สุด ในบรรดาแนวดิ่งทั้งหมดที่สำรวจโดย Netwrix
ยิ่งไปกว่านั้น 63% ขององค์กรการศึกษาไม่ตรวจสอบสิทธิ์เป็นประจำ และ 24% ของผู้ดูแลระบบยอมรับว่าให้สิทธิ์การเข้าถึงโดยตรง ตามคำขอของผู้ใช้ ในความเป็นจริง 28% ขององค์กรการศึกษาที่สำรวจมีข้อมูลนอกสถานที่ ที่ปลอดภัยซึ่งเป็นจำนวนสูงสุดของอุตสาหกรรมทั้งหมดที่สำรวจ ข้อมูลนี้ถูกปล่อยทิ้งไว้เป็นเวลาหลายวัน (40%) หรือหลายเดือน (33%)
“ การเรียนทางไกลสร้างความท้าทายมากมาย ให้กับองค์กรการศึกษา และการรักษาความปลอดภัยในโลกไซเบอร์ มักเป็นปัจจัยสำคัญในการสร้างความยืดหยุ่น ในการปฏิบัติงาน การสำรวจของ Netwrix แสดงให้เห็นว่า กระบวนการรักษาความปลอดภัย ไม่เหมาะอย่างยิ่งก่อนที่จะเกิดการระบาดทำให้สถาบันเหล่านี้ เสี่ยงต่อการคุกคามทางไซเบอร์ที่เพิ่มมากขึ้น ในปัจจุบัน” สตีฟดิกสันซีอีโอของ Netwrix กล่าว
เพื่อให้แน่ใจว่าสถาบันเหล่านี้สามารถรักษาความปลอดภัย ของข้อมูลนักเรียน และพนักงานได้ผู้เชี่ยวชาญด้านไอทีจำเป็น ต้องกลับไปสู่พื้นฐานเบื้องต้นเขากล่าวเสริม
“ อันดับแรกพวกเขาต้องเข้าใจว่าข้อมูลที่ละเอียดอ่อน มีอะไรบ้างและจำแนกตามระดับความอ่อนไหว และคุณค่าต่อองค์กร ประการที่สองพวกเขาต้องแน่ใจว่า ข้อมูลถูกจัดเก็บอย่างปลอดภัยโดยจัดลำดับความสำคัญ ของข้อมูลที่สำคัญที่สุด ประการสุดท้ายพวกเขาจำเป็นต้องนำแนวทางปฏิบัติด้านความปลอดภัย ที่เหมาะสมมาใช้ในการให้สิทธิ์ เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลมากเกินไป”
การละเมิดในอดีตที่ซัพพลายเออร์บุคคลที่สาม ทำให้ข้อมูลของผู้ป่วย NHS นับไม่ถ้วนตกอยู่ในความเสี่ยงตามรายงานฉบับใหม่
การตรวจสอบโดยSunday Telegraphเปิดเผยการละเมิดในปี 2559 ที่ธุรกิจฝึกอบรมออนไลน์ Embrace Learning เปิดเผยที่อยู่อีเมลและรหัสผ่านที่ไม่ได้เข้ารหัสของเจ้าหน้าที่สาธารณสุขในภาครัฐ 10,000 คน
ความเสี่ยงคือหากคนงานที่ได้รับผลกระทบเหล่านี้นำข้อมูลรับรอง Embrace Learning กลับมาใช้กับบัญชี NHS ของพวกเขาในทางทฤษฎีแฮกเกอร์อาจใช้พวกเขาเพื่อเจาะเข้าไปในเครือข่ายเพื่อค้นหาข้อมูลผู้ป่วยที่มีกำไร
ความไว้วางใจของ NHS และองค์กร 19 แห่งรวมถึงสภาท้องถิ่นได้รับผลกระทบซึ่งไม่มีใครตระหนักถึงการละเมิดเมื่อได้รับการติดต่อจากหนังสือพิมพ์
แถลงการณ์จาก บริษัท การเรียนทางไกลยืนยันการละเมิดครั้งประวัติศาสตร์และอ้างว่า“ ไม่มีการโจมตีเซิร์ฟเวอร์ของเราประสบความสำเร็จนับตั้งแต่มีการใช้มาตรการใหม่ในปี 2559 อย่างไรก็ตามไม่ครอบคลุมถึงความเป็นไปได้ที่องค์กรอื่น ๆ จะได้รับผลกระทบจากการขโมยรหัสผ่าน
“ในการสะท้อนให้เห็น ถึงมาตรการรักษาความปลอดภัย ของเราในเวลาที่มีความชัดเจนไม่ซับซ้อนพอที่จะป้องกันไม่ให้ข้อมูลถูกขโมย” ก็ตั้งข้อสังเกต
“ การละเมิดแจ้งให้ดำเนินการทันที ในการปรึกษาหารือกับ ISP UKFast ของเราเราได้เพิ่มระดับและความซับซ้อนของการรักษาความปลอดภัยและการเข้ารหัสอย่างมาก ตั้งแต่นั้นมาเราได้ใช้มาตรการเพิ่มเติมเพื่อปกป้องข้อมูลจากความพยายามในการแฮ็กที่ซับซ้อนมากขึ้น”
ความหวังคือความไว้วางใจที่ได้รับผลกระทบ ดำเนินนโยบายบังคับใช้การเปลี่ยนรหัสผ่านเป็นประจำหรืออื่น ๆ ต้องใช้ 2FA สำหรับการเข้าสู่ระบบซึ่งทั้งสองอย่างนี้จะช่วยบรรเทาภัยคุกคามได้เป็นส่วนใหญ่
Cumbria Partnership NHS Foundation Trust ซึ่งมีรหัสผ่านที่ถูกขโมยจากพนักงาน 200 คนบอกกับกระดาษที่ติดต่อกับเจ้าหน้าที่แต่ละคนที่ได้รับผลกระทบ
“ ด้วยความไว้วางใจเราให้ความสำคัญกับความปลอดภัย ของข้อมูลเป็นอย่างมากและด้วยเหตุนี้เจ้าหน้าที่ทุกคนจึงถูกบังคับให้เปลี่ยนรหัสผ่านเป็นประจำดังนั้นเราจึงมั่นใจว่ารายละเอียดพนักงานของเรายังคงปลอดภัย” กล่าว “ เรามีนโยบายและกระบวนการที่เข้มงวดและมีการอัปเดตพนักงานของเราอย่างสม่ำเสมอถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ทุกประเภท”
Jamie Graves ซีอีโอของZoneFoxกล่าวว่ากรณีดังกล่าวเน้นถึงความซับซ้อนและความเสี่ยงทางไซเบอร์ที่เกี่ยวข้องกับห่วงโซ่อุปทานสมัยใหม่
“ โปรแกรมการศึกษาที่แข็งแกร่งทั่วทั้ง บริษัท มีความสำคัญต่อการปกป้องข้อมูลที่เป็นความลับ” เขากล่าวเสริม “ ยิ่งไปกว่านั้นผู้จัดการรหัสผ่านที่มีประสิทธิภาพยังเป็นสิ่งจำเป็นสำหรับทุกคนไม่ใช่อย่างน้อยเจ้าหน้าที่ NHS แถวหน้าของเราซึ่งงานช่วยชีวิตย่อมนำไปสู่การเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ป่วยอย่างหลีกเลี่ยงไม่ได้”
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
