ละเมิดข้อมูลจากอุปกรณ์ แม้ว่ายุคของ Big Data จะทำให้ชีวิตของเราดีขึ้นในหลาย ๆ ด้าน แต่ก็มีข้อเสียที่อาจเกิดขึ้นได้ไม่เท่ากัน อัตราเอ็กซ์โพเนนเชียลที่ปริมาณข้อมูลเพิ่มขึ้นทำให้เกิดกิจกรรมทางไซเบอร์ แบบไม่หยุดยั้งในการใช้ข้อมูลนี้เพื่อวัตถุประสงค์ ที่ผิดกฎหมาย อันตรายไม่ได้รุนแรงไปกว่านี้ – หรือเป็นจริงมากกว่านั้น: ในโลกที่ถูกครอบงำทางอินเทอร์เน็ตในปัจจุบัน ผู้ที่ต้องการขโมยข้อมูลที่ละเอียดอ่อน เป็นความลับหรือเป็นกรรมสิทธิ์ (เช่นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) ไม่จำเป็นต้องละเมิดสถานที่
อย่างไรก็ตามสิ่งสำคัญที่ต้องจำไว้คือการโจรกรรมข้อมูลไม่ได้ จำกัด เฉพาะกิจกรรมทางออนไลน์หรือทางไซเบอร์ ทรัพย์สินด้านไอที เป็นฮาร์ดแวร์ที่มีอยู่จริงซึ่งเสี่ยงต่อการถูกโจรกรรมเช่นเดียวกัน ดังนั้นจึงเป็นเรื่องสำคัญที่ บริษัท ต่างๆจะต้องปกป้องทรัพย์สินไอทีตลอดวงจรชีวิตทั้งหมดรวมถึงการทำลายทางกายภาพจนถึงจุดที่ไม่สามารถย้อนกลับได้ ค่าใช้จ่ายของข้อมูลที่ถูกขโมยอาจเกี่ยวข้อง กับค่าปรับเป็นเงินหลายล้านดอลลาร์ ในขณะที่ค่าใช้จ่ายที่จับต้องไม่ได้ที่เกี่ยวข้องกับความเสียหายของชื่อเสียงการขโมยข้อมูลประจำตัวและการเปิดเผยข้อมูลที่เป็นความลับ / ละเอียดอ่อนอาจสูงกว่าการวัดทั้งหมดได้อย่างง่ายดาย
การละเมิดข้อมูลที่เกี่ยวข้องกับไซเบอร์กลายเป็นการทำลายล้างมากขึ้น … และมีราคาแพงมากขึ้น ละเมิดข้อมูลจากอุปกรณ์
ในช่วงกลางปี 2019 สำนักงานคณะกรรมการข้อมูล (ICO) ของสหราชอาณาจักรได้สร้างสถิติโดยการปรับสายการบินบริติชแอร์เวย์สเป็นมูลค่า 230 ล้านดอลลาร์จากการละเมิดกฎระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรป กลุ่มอาชญากรไซเบอร์ Magecart ที่น่าอับอายได้แฮ็กเข้าสู่ระบบของ British Airways และใช้รหัสเพียง 22 บรรทัดเพื่อรวบรวมข้อมูลส่วนบุคคลและข้อมูลการชำระเงินของลูกค้าประมาณ 500,000 รายในระยะเวลาสองสัปดาห์
หลายวันต่อมา ICO ตบแมริออทอินเตอร์เนชันแนลด้วยค่าปรับ 124 ล้านดอลลาร์หลังจากประสบปัญหาการฝ่าฝืนซึ่งทำลายสถิติผู้เข้าพักกว่า 339 ล้านคนทั่วโลกระหว่างการเข้าซื้อกิจการของ Starwood Hotels & Resorts Worldwide แมริออทรายงานการละเมิดไม่นานหลังจากการค้นพบในเดือนพฤศจิกายน 2018 ซึ่งในเวลานั้นผู้โจมตีได้อยู่ในระบบเป็นเวลาสี่ปีแล้ว
บางทีการโจรกรรมที่เกี่ยวข้อง กับไซเบอร์ที่ใหญ่ที่สุดในตอนนี้อาจเกิดขึ้นในปี 2560 เมื่อบิตของเฟรมเวิร์กที่ไม่ได้แพตช์ในฐานข้อมูลหนึ่งของ Equifax อนุญาตให้มีการขโมยข้อมูลที่เกี่ยวข้องกับผู้คนประมาณ 147 ล้านคน หลังจากพบการละเมิด Equifax รอมากกว่าหนึ่งเดือนเพื่อรายงาน ความประมาทของ บริษัท จะต้องเสียค่าปรับในช่วง 575 ล้านดอลลาร์ถึง 700 ล้านดอลลาร์หลังจากการระงับ ข้อตกลงในเดือนกรกฎาคม 2019 กับ Federal Trade Commission (FTC), Consumer Financial Protection Bureau (CFPB) และทุกรัฐและดินแดนของสหรัฐอเมริกา
การรอคอยสิ่งที่หลีกเลี่ยงไม่ได้: สินทรัพย์ไอทีที่มีอยู่จริงและความล้มเหลว ในการทำลายข้อมูลที่สิ้นสุดอายุการใช้งาน
ด้วยความประมาทที่หลายองค์กรรัฐบาลบุคคล และ บริษัท บุคคลที่สามทิ้งทรัพย์สินด้านไอทีจึงเป็นเรื่องน่าอัศจรรย์ ที่การรั่วไหลของข้อมูลในช่วงท้ายชีวิต ที่หายนะยังไม่เกิดขึ้น ก่อนหน้านี้เราได้พูดคุยกันว่าเหตุใด แผนการทำลายข้อมูลภายในที่ครอบคลุมสำหรับข้อมูลที่หมดอายุจึงมี ความสำคัญเนื่องจากคุณไม่รู้ว่าเกิดอะไรขึ้นกับข้อมูลเว้นแต่องค์กรของคุณจะดูแลวงจรชีวิตข้อมูลทั้งหมดโดยตรง
มีการศึกษาหลายชิ้นที่ดำเนินการในช่วงหลายปีที่ผ่านมา ซึ่งเน้นว่าข้อมูลส่วนบุคคลและข้อมูลลับมักพบในฮาร์ดไดรฟ์และไดรฟ์ USB ที่ใช้แล้ว – เช่นการศึกษาในปี 2019 จาก Ontrack และ Blancco Technology Group ที่ประมาณการว่าข้อมูลที่ละเอียดอ่อนจะเหลืออยู่ประมาณ 42% ฮาร์ดไดรฟ์มือสองที่ขายบน eBay ก่อนหน้านี้ในปี 2019 นักวิจัยจาก University of Hertfordshire ได้ซื้อแฟลชไดรฟ์ USB ที่ใช้แล้ว 100 ชิ้นในสหราชอาณาจักรและ 100 ในสหรัฐอเมริกาจาก eBay 68% ในสหรัฐอเมริกาและ 67% ในสหราชอาณาจักรมีข้อมูลที่สามารถกู้คืนได้จากเจ้าของเดิมและมากกว่าครึ่งหนึ่งของไดรฟ์เหล่านั้นมีข้อมูลทางธุรกิจและข้อมูลส่วนบุคคลที่ละเอียดอ่อน
ในปี 2017 สารคดีThe Trash Trailของ Channel NewsAsia ได้ ติดตามการซื้อฮาร์ดไดรฟ์เก้าตัวจากร้านค้าต่างๆที่ Sim Lim Square ในสิงคโปร์ ผู้ซื้อมั่นใจได้จากเจ้าของร้านว่าไดรฟ์ทั้งหมดได้รับการล้างข้อมูลและฟอร์แมตใหม่แล้ว ความจริงก็คือห้าในไดรฟ์เหล่านั้นมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและหนึ่งในนั้นมีเวชระเบียนและรายละเอียดหนังสือเดินทางครบถ้วน ฮาร์ดไดรฟ์เพิ่มเติมสองตัวมีข้อมูลสำคัญขององค์กร
ในปี 2009 การศึกษาของ British Telecommunications ‘Security Research Center, University of Glamorgan ในเวลส์, Edith Cowan University ในออสเตรเลียและ Longwood University ในสหรัฐอเมริกาได้ตรวจสอบฮาร์ดไดรฟ์มือสอง 300ชิ้น ในไดรฟ์เหล่านั้นมีข้อมูลที่ละเอียดอ่อนหลายอย่างรวมถึงประสิทธิภาพการซื้อขายและเอกสารงบประมาณของ บริษัท แฟชั่นข้อมูลองค์กรจาก บริษัท ผู้ผลิตยานยนต์และขั้นตอนการเปิดตัวทดสอบสำหรับขีปนาวุธพื้นสู่อากาศ (THAAD) ระบบ.
ในตัวอย่างทั้งหมดนี้ลองนึกดูว่าจะเกิดอะไรขึ้น หากข้อมูลนั้นตกอยู่ในมือของอาชญากรแทนที่จะเป็นข้อมูลของบุคคลที่ทำการศึกษาเชิงสืบสวน การละเมิดข้อมูลที่สิ้นอายุการใช้งานหายนะจะเกิดขึ้น – เป็นเพียงเรื่องของเวลาดังนั้นจึงไม่มีใครจัดการข้อมูลที่ละเอียดอ่อนควรนิ่งนอนใจหรือใช้แนวทางที่หละหลวมในการรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อน บรรทัดล่าง: อุปกรณ์จัดเก็บข้อมูลไอทีที่ใช้แล้วใด ๆ ที่ไม่ได้อยู่ในห่วงโซ่การดูแลขององค์กรของคุณโดยตรงตลอดอายุการใช้งานหรือหมดอายุการใช้งานแล้วควรถูกทำลายอย่างทั่วถึงภายในองค์กรและทำให้อุปกรณ์ที่ตรงตามหรือสูงกว่ามาตรฐานอุตสาหกรรมไม่สามารถใช้งานได้
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
