ความปลอดภัยของข้อมูล เป็นประเด็นร้อนในทุกวันนี้และด้วยเหตุผลที่ดี ในปี 2560 เพียงปีเดียวมีการละเมิดข้อมูล 1579 ครั้งในสหรัฐอเมริกาโดยมีค่าใช้จ่ายเฉลี่ย 7.35 ล้านดอลลาร์ต่อการละเมิด จากการตรวจสอบการละเมิดข้อมูลประจำปีในปี 2017 ที่เผยแพร่โดย Identity Theft Resource Center (ITRC) และ CyberScout การละเมิดในปี 2560 แสดงให้เห็นถึงการเพิ่มขึ้น 44.7% เป็นประวัติการณ์จากจำนวนการละเมิดในปี 2559 และคาดว่าจำนวนนี้จะเพิ่มขึ้นเท่านั้น . ในความเป็นจริงมีการคาดการณ์ว่าค่าใช้จ่ายของอาชญากรรมไซเบอร์ทั่วโลกจะเกิน $ 6tnภายในปี 2021 เพิ่มขึ้นจาก $ 3tn ตั้งแต่ปี 2015
การละเมิดข้อมูลส่งผลกระทบต่อความเป็นส่วนตัวและความปลอดภัยของบุคคลธุรกิจและรัฐบาลในขณะเดียวกันก็ส่งผลเสียต่อองค์กรที่ละเมิดอย่างกว้างขวาง ค่าใช้จ่ายรวมทุกอย่างตั้งแต่การตรวจสอบเครดิตสำหรับบุคคลที่ได้รับผลกระทบไปจนถึงการตัดสินคดีความสูญเสียทางธุรกิจและชื่อเสียง จากการสำรวจของ Soha Systems เกี่ยวกับการจัดการความเสี่ยงของบุคคลที่สามพบว่า 63% ของการละเมิดข้อมูลทั้งหมดเชื่อมโยงกับบุคคลที่สามเช่นผู้ขายผู้รับเหมาหรือซัพพลายเออร์ในขณะที่ผู้เชี่ยวชาญด้านไอทีเพียง 2% มองว่าการรักษาความปลอดภัยของบุคคลที่สามเป็นเรื่องสำคัญ เห็นได้ชัดว่าความสำคัญของการรักษาความปลอดภัยของข้อมูลตลอดวงจรชีวิตรวมถึงการสิ้นสุดอายุการใช้งาน (ซึ่งโดยทั่วไปแล้วจะถูกควบคุมโดย บริษัท จัดการสินทรัพย์ไอทีของบุคคลที่สามหรือเพิกเฉยโดยสิ้นเชิง) ไม่สามารถพูดเกินจริงได้
เป็นเรื่องง่ายที่จะแสดงให้เห็นถึงความรุนแรงของความไม่ปลอดภัยของข้อมูลที่เกิดจากบุคคลที่สาม กานาซึ่งเป็นที่รู้จักกันดีว่าเป็นแหล่งอาชญากรรมไซเบอร์อันดับต้น ๆ ของโลกเป็นที่ตั้งของ Agbogbloshie สุสานดิจิทัลในสลัมริมฝั่งทะเลสาบ Korle ที่มีมลพิษมาก พื้นที่นี้รู้จักกันในชื่อเมืองโซโดมและโกโมราห์โดยบุคคลภายนอกเป็นหนึ่งในหลุมฝังกลบคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์จำนวนมากทั่วโลก คอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ที่ถูกทิ้งที่พบใน Agbogbloshie มาจากประเทศที่พัฒนาแล้วทั่วโลกรวมถึงสหรัฐอเมริกา จากเดิมที่ชาวบ้านเสนอให้เป็นช่องทางในการช่วยแบ่งแยกทางดิจิทัล ‘การบริจาค’ ทางอิเล็กทรอนิกส์เหล่านี้มีคอมพิวเตอร์ที่ใช้งานได้น้อยกว่า 50% ส่วนที่เหลือเป็นเพียงถังขยะอิเล็กทรอนิกส์ ผู้อยู่อาศัยได้เรียนรู้ที่จะกอบกู้อุปกรณ์หรือชิ้นส่วนของพวกเขาเพื่อทำกำไรเล็กน้อย ความปลอดภัยของข้อมูล
ในฐานะที่เป็นส่วนหนึ่งของการตรวจสอบพื้นที่ทิ้งขยะดิจิทัลนักศึกษาวารสารศาสตร์จากมหาวิทยาลัยแวนคูเวอร์บริติชโคลัมเบียได้ซื้อฮาร์ดไดรฟ์เจ็ดตัวในราคา 35 ดอลลาร์จากตัวแทนจำหน่ายขยะอิเล็กทรอนิกส์ Agbogbloshie สิ่งที่พวกเขาพบที่น่าตกใจคือหมายเลขบัตรเครดิตหมายเลขประกันสังคมใบแจ้งยอดธนาคารตลอดจนข้อมูลส่วนตัวและภาพถ่าย พวกเขายังดึงสัญญาการป้องกันที่มีความละเอียดอ่อนมูลค่า 22 ล้านเหรียญสหรัฐจากฮาร์ดไดรฟ์ของ บริษัท Northrop Grumman ผู้รับเหมาทางทหารของสหรัฐฯซึ่งมีสัญญาที่ละเอียดอ่อนกับ NASA, Transportation Security Administration (TSA) และ Homeland Security ทั้งหมดนี้มาจากฮาร์ดไดรฟ์เพียงเจ็ดตัว
ในการศึกษาในปี 2003 Tom Spring จากPC World Magazineได้ซื้อฮาร์ดไดรฟ์ที่ใช้แล้ว 10 ตัวในบอสตันเขต MA จากร้านค้าที่เจริญเติบโตอย่างรวดเร็วและหลากู้ซาก เก้าในสิบไดรฟ์เหล่านี้มีข้อมูลที่ละเอียดอ่อนซึ่งรวมถึงหมายเลขประกันสังคมหมายเลขบัตรเครดิตและใบแจ้งยอดบัญชีธนาคารตลอดจนบันทึกภาษีทางการแพทย์และกฎหมาย โดยใช้ข้อมูลที่พบในไดรฟ์ Spring จึงติดต่อเจ้าของไดรฟ์ดั้งเดิมซึ่งบางรายได้ทำสัญญากับ บริษัท กำจัดอุปกรณ์อิเล็กทรอนิกส์หรือรีไซเคิลเพื่อลบฮาร์ดไดรฟ์
ในปี 2549 บริษัทไอดาโฮพาวเวอร์ได้เรียนรู้ว่าฮาร์ดไดรฟ์ 84 จาก 230 ตัวที่พวกเขาทำสัญญากับ Grant Korth ผู้ให้บริการกอบกู้เพื่อฆ่าเชื้อและรีไซเคิลได้ถูกขายให้บุคคลที่สามบน eBay ไดรฟ์เหล่านี้มีข้อมูลที่ละเอียดอ่อนรวมถึงข้อมูล บริษัท ที่เป็นกรรมสิทธิ์การติดต่อที่เป็นความลับและข้อมูลพนักงานรวมถึงหมายเลขประกันสังคม เราสามารถดำเนินต่อไปได้
เมื่อกำจัดข้อมูลที่หมดอายุการใช้งาน บริษัท จำนวนมากหันไปหาผู้ขายที่ทิ้งข้อมูลหรือรีไซเคิลและถือว่าไดรฟ์และข้อมูลที่มีอยู่นั้นได้รับการจัดการอย่างมีความรับผิดชอบและปลอดภัย ความเป็นจริงนั้นแตกต่างกันมาก แม้ว่าจะมี บริษัท ล้างข้อมูลที่มีชื่อเสียงหลายแห่ง แต่ก็มีความเสี่ยงเกินไปที่จะมอบข้อมูลที่ละเอียดอ่อนให้กับบุคคลที่สามเพียงเพราะไม่ทราบ นอกเหนือจาก บริษัท จำหน่ายสินทรัพย์ไอทีของบุคคลที่สามที่เลอะเทอะหรือละโมบแล้วยังมีผู้รีไซเคิลที่หลอกลวง จำนวนมากขึ้นเรื่อย ๆ – บริษัท ที่เสนอให้รับและรีไซเคิลพีซีฟรีจากนั้นขายให้กับอาชญากรไซเบอร์โดยเฉพาะเพื่อให้พวกเขาสามารถขุดได้ ข้อมูลที่มีสำหรับกิจกรรมที่ผิดกฎหมาย วิธีเดียวที่ปลอดภัยอย่างแท้จริงในการจัดการสินทรัพย์ไอทีคือการทำลายไดรฟ์ภายในองค์กร. หน่วยงานความมั่นคงแห่งชาติทราบความจริงนี้มานานแล้วและกำหนดให้ฮาร์ดไดรฟ์ที่ใช้แผ่นดิสก์แบบหมุนได้ทั้งที่ถูกย่อยสลาย (ลบ) และทำลายทางกายภาพก่อนที่จะนำไปทิ้ง ไม่เพียง แต่ผลักดันให้เกิดการทำลายล้างโดยการบดย่อยหรือการแตกตัวทำให้มั่นใจได้ถึงความเป็นส่วนตัวและความปลอดภัยของข้อมูล แต่ยังรับผิดชอบต่อสิ่งแวดล้อมอีกด้วย เศษซากฮาร์ดไดรฟ์ที่หั่นแล้วสามารถคัดแยกได้ง่ายกว่าสำหรับการรีไซเคิลโลหะทำให้เหลือขยะจริงในปริมาณที่น้อยกว่าและมีโอกาสน้อยที่จะลงเอยด้วย Agbogbloshie
มาตรการป้องกันระดับชาติขนาดใหญ่
ข้อเสนอแนะหลักประการหนึ่งของรายงานนี้คือการสร้างความรับผิดชอบกลางสำหรับการตอบสนองที่ประสานกันต่อภัยคุกคามเหล่านี้แทนที่จะเป็นแนวทาง “ร้อนแรง” โดยไม่มีหน่วยงานของรัฐใดเป็นผู้นำและเมื่อการประสานงานระหว่างหน่วยงานและหน่วยงานเกิดความสับสน
หน่วยข่าวกรองถูกเรียกร้องให้เป็นผู้นำในการปกป้องกระบวนการประชาธิปไตยและขอเรียกร้องให้ทุกหน่วยงานของรัฐทำงานร่วมกันมากขึ้นเพื่อจัดการกับภัยคุกคามนี้ สิ่งนี้สอดคล้องกับคำแนะนำของ Nominet สำหรับความมั่นคงของรัฐบาลซึ่งมีไว้สำหรับการแทรกแซงการป้องกันระดับชาติขนาดใหญ่เพื่อทำให้พลเมืองธุรกิจและเศรษฐกิจของพวกเขามีสภาพแวดล้อมที่ปลอดภัยมากขึ้น
การแทรกแซงการป้องกันระดับชาติหมายถึงนโยบายขั้นตอนและเทคโนโลยีด้านความปลอดภัยที่ประสานงานและปรับใช้จากระดับสูงสุดในทุกระดับของรัฐบาล แนวทางนี้กล่าวถึงข้อเสนอแนะของรายงานสำหรับหน่วยงานกลางที่รับผิดชอบซึ่งจะมีการมองเห็นภัยคุกคามมากขึ้นและมีอำนาจมากขึ้นในการบรรเทาปัญหาดังกล่าว
นอกจากนี้ยังช่วยให้ประเทศต่างๆสามารถจัดการกับสองด้านที่สำคัญที่สุดของความมั่นคงของรัฐบาลนั่นคือความกว้างและความลึก หน่วยงานหน่วยงานและคณะกรรมการส่วนใหญ่ที่เสี่ยงต่อการถูกโจมตีจะต้องมีระดับความปลอดภัยในเชิงลึกและขั้นตอนในการปกป้องทรัพย์สินที่สำคัญที่สุด
อย่างไรก็ตามโดยธรรมชาติแล้วรัฐบาลสามารถเข้าถึงได้อย่างกว้างขวาง – นอกเหนือจากรัฐบาลกลางและหน่วยงานต่างๆแล้วยังมีรัฐบาลท้องถิ่นโรงเรียนการดูแลสุขภาพ ดังนั้นจึงจำเป็นต้องมีการรักษาความปลอดภัยที่กว้างขวางในทุกพื้นที่มิฉะนั้นจุดอ่อนอาจถูกใช้ประโยชน์จากอิทธิพลได้
การแทรกแซงการป้องกันในระดับชาติมีความสำคัญต่อการรักษาความปลอดภัยระดับสูงในทุกหน่วยงานและเพื่อป้องกันภัยคุกคามจำนวนมากที่รัฐบาลต้องเผชิญเพื่อให้สามารถใช้ทรัพยากรในการป้องกันภัยคุกคามที่ซับซ้อนมากขึ้นได้
เราเชื่อว่าการทำงานร่วมกันระหว่างรัฐบาลและอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์สามารถบรรลุโครงการที่มีประสิทธิภาพสูงสุดเพื่อสร้างความแตกต่างในโลกแห่งอาชญากรรมไซเบอร์การรักษาความปลอดภัยห่วงโซ่อุปทานและอุตสาหกรรมที่สำคัญและสร้างระบบนิเวศที่ปลอดภัยยิ่งขึ้น
สิ่งนี้ไม่เพียง แต่จะอำนวยความสะดวกในการรักษาความปลอดภัยภายในประเทศที่แข็งแกร่งขึ้นเท่านั้น แต่ยังช่วยเพิ่มโอกาสในการทำงานร่วมกันระหว่างประเทศซึ่งเป็นอีกหนึ่งคำแนะนำที่สำคัญจาก ISC รายงานดังกล่าวเรียกร้องให้มี“ หลักคำสอนระหว่างประเทศเกี่ยวกับการใช้ Offensive Cyber” ที่นำโดยสหราชอาณาจักรร่วมกับพันธมิตรเป็นกฎการสู้รบแบบดั้งเดิมและถูกแทนที่ด้วยกิจกรรมในขอบเขตไซเบอร์
ในขณะที่กลุ่มไอเอสซีพยายามใช้อิทธิพลที่เป็นอันตรายโดยรัฐต่างประเทศ“ ปกติใหม่” ไม่เคยมีความสำคัญมากไปกว่านี้สำหรับประเทศต่างๆที่จะเรียนรู้จากรายละเอียดของการโจมตีของรัสเซียต่อสหราชอาณาจักรและประเมินขีดความสามารถทางไซเบอร์ของตนเองตามการค้นพบ ด้วยการใช้มาตรการป้องกันระดับชาติที่เข้มแข็งและทำงานร่วมกับรัฐบาลอื่น ๆ ประเทศต่างๆสามารถบรรเทาภัยคุกคามทางไซเบอร์ต่อพลเมืองของตนได้
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.rh
