#สคส Archives - Security & Privacy Combined

May 25, 2023 Article

คลายข้อสงสัย การทำ PDPA เป็นหน้าที่ของใคร

อีกเพียง 1 สัปดาห์ ก็จะครบรอบ 1 ปี ของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุลคล พ.ศ.2562 หรือ PDPA แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมา หลายองค์กรได้เริ่มเคลื่อนไหวปรับเปลี่ยนการทำงานให้สอดคล้องกับกฎหมาย ขณะเดียวกันก็มีอีกหลายองค์กรที่ยังมองข้าม เพียงเพราะไม่รู้ว่าเป็นหน้าที่ของใคร Security Pitch พาไปทำความเข้าใจ ถึงความสำคัญของการทำ PDPA และใครบ้างคือผู้รับผิดชอบในส่วนนี้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ถูกบัญญัติขึ้น โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ รวมไปถึงข้อมูลที่มีความละเอียดอ่อนของบุคคล เช่น ความเชื่อ รสนิยมทางเพศ ข้อมูลสุขภาพ…

May 12, 2023 Article

ISO 27001 มาตรฐานความปลอดภัยทางสารสนเทศที่จำเป็นต่อองค์กร

ในยุคที่กระแสข้อมูลไหลเวียนได้อย่างอิสระ และผู้คนสามารถเข้าถึงข้อมูลได้ง่าย องค์กรทั่วโลกต่างให้ความสำคัญกับข้อมูล โดยได้กำหนดนโยบาย หรือมาตรการรักษาความปลอดภัยของข้อมูล และระบบสารสนเทศที่รัดกุม ให้สอดคล้องกับกฎหมาย ไม่เพียงเท่านั้น หากมาตรการที่มียังต้องได้รับมาตรฐานระดับสากล เพื่อเป็นเครื่องยืนยันว่า องค์กรนั้น ๆ มีมาตรการด้านความปลอดภัยที่ไว้วางใจได้อย่างแท้จริง ซึ่งปัจจุบัน ISO 27001 ถือเป็นหนึ่งในมาตรฐานสากลที่ได้รับการยอมรับ กำหนดขึ้นเพื่อใช้กับระบบบริหารความปลอดภัยของข้อมูล (Security Management Systems, ISMS) ที่ยึดโยงข้อมูลจาก BS 7799 หรือ British Standard 7799) ซึ่งเป็นมาตรฐานเกี่ยวกับการจัดการความปลอดภัยของข้อมูล ที่ออกโดย British Standards Institution เมื่อปี 1995 วัตถุประสงค์ของ ISO 27001 คืออะไร…

April 5, 2023 Uncategorized

5 เหตุการณ์ใหญ่ในประเทศไทย กระทบข้อมูลส่วนบุคคล

หลังจากประเทศในแถบยุโรปได้มีการนำกฎหมาย GDPR มาใช้เพื่อคุ้มครองความเป็นส่วนตัว และข้อมูลส่วนบุคคลของประชากรในสหภาพยุโรป หลายประเทศก็เริ่มตื่นตัว และมีการออกกฎหมายมารองรับการคุ้มครองข้อมูลส่วนบุคคล และแม้จะมีมาตรการรองรับ แต่ขณะเดียวกันภัยคุกคามที่ส่งผลกระทบต่อข้อมูลก็ยังเพิ่มสูงขึ้น ซึ่งในประเทศไทยเองก็หนีไม่พ้น ที่ผ่านมาเคยเกิดเหตุการณ์ข้อมูลรั่วไหลกระทบเป็นวงกว้าง Security Pitch จะพาไปดูกันว่า ตลอด 2 ปีที่ผ่านมา มีเหตุการณ์ใดบ้างที่ข้อมูลส่วนบุคคลรั่วไหล 1. ข้อมูลส่วนบุคคลของลูกค้า 3BB และช่อง MONO รั่วไหลกว่า 8 ล้านราย เริ่มต้นกันที่เหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลของลูกค้ากว่า 8 ล้านราย ของบริษัทในกลุ่ม Jasmine International ซึ่งเป็นบริษัทแม่ของ 3BB ผู้ให้บริการอินเทอร์เน็ต และช่อง MONO เมื่อปี 2021 ซึ่งทางแฮ็กเกอร์ได้มีการเรียกร้องให้จ่ายค่าไถ่กว่า 550,000…

April 1, 2023 Uncategorized

ข้อมูลส่วนบุคคลรั่วไหล จากภาครัฐ ผิด PDPA อย่างไร ร้องเรียนอย่างไรบ้าง ?

หน่วยงานภาครัฐประมาทเลินเล่อจนทำให้ ข้อมูลส่วนบุคคลรั่วไหล และมีผู้ไม่หวังดีนำไปใช้ในทางมิชอบ ผิดกฎหมาย PDPA อย่างไร? และเจ้าของข้อมูลส่วนบุคคลจะมีขั้นตอนอย่างไรในการฟ้องร้อง หรือร้องเรียนกับใครได้บ้าง? สืบเนื่องจากเหตุการณ์ข้อมูลส่วนบุคคลของคนไทยกว่า 55 ล้านคนเกิดการรั่วไหล จากฝีมือการแฮ็กของแฮ็กเกอร์นาม 9Near ที่ขโมยข้อมูลส่วนบุคคลไปขายบนดาร์กเว็บ และมีการข่มขู่ผ่านสื่อมวลชนว่าหากไม่จ่ายค่าไถ่ข้อมูลจะทำการปล่อยข้อมูลออกไป อาจทำให้ผู้ที่มีความกังวลกลัวว่าข้อมูลส่วนบุคคลของตนจะรั่วไหลโดยคิดว่าเมื่อภาครัฐเป็นผู้ทำให้ข้อมูลส่วนบุคคลรั่วไหลเสียเองจะมีความผิดหรือไม่ และผิดอย่างไร? แล้วจะสามารถฟ้องร้องเพื่อให้ชดเชยความเสียหายได้หรือไม่ ครั้งนี้ Security Pitch จะพาไปทำความเข้าใจในเรื่องข้อกฎหมาย PDPA ที่เกี่ยวข้องให้มากขึ้น ข่าวที่เกี่ยวข้อง – กระแสสังคมจ่อฟ้อง PDPA เอาผิดหน่วยงานหลังแฮ็กเกอร์ขู่ แฉ ข้อมูลส่วนบุคคล คนไทย 55 ล้านคน ก่อนที่จะทราบว่าการรั่วไหลของข้อมูลส่วนบุคคลนั้นจะผิดตามกฎหมายอย่างไร ก็อาจต้องทำความเข้าใจว่า ไม่ว่าข้อมูลส่วนบุคคลแบบใดรั่วไหลออกไปยังสาธารณะ หรือมีการนำไปใช้ในทางมิชอบ และผิดวัตถุประสงค์ องค์กรนั้น…

March 31, 2023 Uncategorized

หากมิจฉาชีพได้ ข้อมูลส่วนบุคคล ของเราไป อาจเสี่ยงถึงขั้นเงินหายหมดบัญชี !

แค่ ข้อมูลส่วนบุคคล รั่วไหลก็แย่แล้ว หากข้อมูลส่วนบุคคลเหล่านี้ตกไปอยู่ในมือมิจฉาชีพอีก ก็ยิ่งเสี่ยง จนอาจเป็นภัยต่อชีวิตและทรัพย์สิน แต่จะป้องกันอย่างไร? ไม่ให้ข้อมูลถูกนำไปใช้ในทางมิชอบ ปัญหาการรั่วไหลของข้อมูลส่วนบุคคลที่เกิดขึ้นในปัจจุบัน เกิดขึ้นได้จากหลายสาเหตุ ไม่ว่าจะเป็นความประมาทเลินเล่อของตัวบุคคล หรือเกิดจากช่องโหว่ของระบบเครือข่ายที่ใช้ในการจัดเก็บข้อมูล ทำให้แฮ็กเกอร์ และมิจฉาชีพสามารถเข้าถึงข้อมูลเหล่านั้นได้ ดังเช่นเหตุการณ์ล่าสุดที่กลายเป็นกระแสไปทั่วประเทศ เมื่อมีการเปิดเผยว่ามีข้อมูลส่วนบุคคลของคนไทยกว่า 55 ล้านคน ถูกแฮ็กเกอร์ขโมยออกไปขายในดาร์กเว็บ และยังได้มีการข่มขู่ว่าหากไม่ได้เงินสกุลดิจิทัลจากภาครัฐ เป็นค่าไถ่ข้อมูล จะทำการปล่อยข้อมูลทั้งหมดเพื่อเป็นการตอบโต้ อ่านเพิ่มเติม – กระแสสังคมจ่อฟ้อง PDPA เอาผิดหน่วยงานหลังแฮ็กเกอร์ขู่ แฉ ข้อมูลส่วนบุคคล คนไทย 55 ล้านคน จากเหตุการณ์ดังกล่าวได้สร้างความกังวลใจให้กับผู้คนอยู่ไม่น้อย เพราะการรั่วไหลของข้อมูลดังกล่าว ไม่ใช่แค่การถูกนำข้อมูลส่วนบุคคลที่ควรเป็นความลับมาเปิดเผย แต่ยังเป็นช่องทางให้มิจฉาชีพหาผลประโยชน์จากข้อมูลเหล่านี้ได้ โดยเฉพาะข้อมูลส่วนบุคคล อย่าง เบอร์โทรศัพท์ รหัสประจำตัวประชาชน…

March 31, 2023 Uncategorized

กระแสสังคมจ่อฟ้อง PDPA เอาผิดหน่วยงานหลังแฮ็กเกอร์ขู่ แฉ ข้อมูลส่วนบุคคล คนไทย 55 ล้านคน

ชาวโซเชียลเดือด! จ่อเอาผิดหน่วยงานรัฐ หลังแฮ็กเกอร์ออกโรงขู่ว่าจะแฉ ข้อมูลส่วนบุคคล ของคนไทยกว่า 55 ล้านคน งานนี้นักข่าวชื่อดังอย่างคุณสรยุทธ เจอกับตัวเข้าเต็ม ๆ กลับมาเป็นกระแสสังคมอีกครั้ง หลังจากที่คุณสรยุทธ สุทัศนะจินดา ผู้ประกาศข่าวดัง ได้ออกมาโพสต์โซเชียลแจ้งข่าวว่า มีข้อความส่งมาหาตน โดยสามารถระบุข้อมูลส่วนบุคคลได้อย่างถูกต้องทุกอย่าง จนตัวเองยังตกใจ ไม่เพียงเท่านั้น คุณชูวัส ฤกษ์ศิริสุข พิธีกรรายการ Wake Up Thailand ก็ได้ออกมาเสริมอีกด้วยว่าตนเองก็ประสบเหตุการณ์แบบนี้ด้วยเช่นกัน สิ่งที่เกิดขึ้นทำให้บรรดาชาวโซเชียลออกมาแสดงความคิดเห็นกันเป็นจำนวนมาก โดยต่างให้ความคิดเห็นไปในทิศทางเดียวกันว่า รู้สึกกังวลใจเกี่ยวกับความปลอดภัยของข้อมูลส่วนตัวของตัวเอง และจี้ให้หน่วยงานที่เกี่ยวข้องออกมาแสดงความรับผิดชอบในเหตุการณ์ครั้งนี้ ทั้งนี้เหตุการณ์ข้อมูลส่วนบุคคลคนไทยกว่า 55 ล้านคนรั่วไหล เกิดขึ้นมาตั้งแต่กลางเดือนที่ผ่านมา ด้วยฝีมือของแฮ็กเกอร์ที่ใช้ชื่อว่า 9Near ซึ่งข้อมูลที่ถูกแฮ็กนั้นประกอบด้วย ชื่อสกุล เบอร์โทร เลขประจำตัวประชาชน…

March 2, 2023 Uncategorized

สคส. เปิดกรณีศึกษาเกี่ยวกับการใช้กฎหมาย PDPA สำหรับ DPO

#PDPAKnowledge | สคส. เปิดกรณีศึกษาเกี่ยวกับการใช้กฎหมาย PDPA สำหรับ DPO สคส. เผยแพร่เอกสารแนวปฎิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคล (DPO) และผู้ประมวลข้อมูลส่วนบุคคล เพื่อเป็นแนวทางการปฏิบัติที่ถูกต้องตามกฎหมาย PDPA เมื่อวันที่ 10 กุมภาพันธ์ที่ผ่านมา สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ดำเนินการภายใต้การควบคุมดูแลของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้เผยแพร่เอกสารแนวปฏิบัติ จากกรณีศึกษาที่มาจากการหารือเกี่ยวกับการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมีจุดประสงค์เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลข้อมูลส่วนบุคคลในทุกองค์กร สามารถปฎิบัติได้อย่างถูกต้องตามกฎหมาย และเพื่อลดความสับสนหากเกิดกรณีละเมิดข้อมูลส่วนบุคคลขึ้น ทั้งนี้เอกสารเผยแพร่ดังกล่าวประกอบไปด้วยแนวปฎิบัติ 4 หมวด ได้แก่ หมวดที่ 1 – ขอบเขตการบังคับใช้กฎหมาย รวบรวมประเด็นการหารือเรื่อง ขอบเขตการบังคับใช้ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล…

December 6, 2022 advertising, Article

อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR

#PDPACase | อ่วมอีกแล้ว ! Meta ถูกปรับอีกครั้ง ละเมิดกฎ GDPR ! Meta พบกับศึกหนักอีกครั้ง หลังถูกตัดสินให้มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงกว่า 275 ล้านเหรียญสหรัฐฯ ดูเหมือนว่าวิกฤตของ Meta ที่เกี่ยวกับด้านการละเมิดข้อมูลส่วนบุคคลจะยังไม่จบลงโดยง่าย เพราะล่าสุด คณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรปได้มีการตัดสินให้บริษัท Meta ซึ่งมีที่ตั้งอยู่ในประเทศไอร์แลนด์ มีความผิดฐานละเมิดกฎหมาย GDPR และถูกปรับสูงถึง 275 ล้านเหรียญสหรัฐฯ พร้อมเงื่อนไขให้บริษัทปรับเปลี่ยนนโยบายด้านความปลอดภัยทางไซเบอร์ จากการสืบสวนของคณะกรรมการคุ้มครองข้อมูลของสหภาพยุโรป ซึ่งถูกจัดตั้งขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลตามกฏหมาย GDPR หลังจากค้นพบการรั่วไหลของข้อมูลส่วนบุคคลในเดือนเมษายน 2021 ล่าสุดได้มีการรายงานว่า Facebook ที่อยู่ภายใต้บริษัท Meta ได้มีการละเมิดกฎหมาย GDPR…

October 23, 2022 Article

5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้!

#PDPAKnowledge | 5 เช็กลิสต์สำคัญเกี่ยวกับ PDPA ที่เจ้าของเว็บไซต์ต้องรู้! กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ pdpa ได้มีผลบังคับใช้มาแล้วระยะหนึ่ง ซึ่งหลังจากการบังคับใช้แล้ว ทำให้หลาย ๆ เว็บไซต์เริ่มมีการตื่นตัว และปรับเปลี่ยนให้ถูกต้องตามที่กฎหมายระบุกันมากขึ้น แต่ก็ยังมีเจ้าของเว็บไซต์บางส่วนที่ยังไม่เข้าใจว่า จะต้องจัดการกับเว็บไซต์อย่างไรเพื่อให้ถูกต้องตามกฎหมาย PDPA วันนี้ OneFence เลยขอนำเอาเช็กลิสต์ที่ เจ้าของเว็บไซต์ควรรู้ และควรทำเพื่อให้เว็บไซต์ของคุณปฏิบัติถูกต้องตาม PDPA มาฝาก 1. เว็บไซต์ต้องมีความปลอดภัย เนื่องจากเมื่อเข้าใช้งานเว็บไซต์ จะมีคุกกี้คอยเก็บข้อมูลส่วนบุคคล ที่ต้องมีการขอความยินยอมโดยชัดแจ้ง ดังนั้นทางเว็บไซต์จึงต้องมีการจัดเก็บข้อมูลดังกล่าวอย่างปลอดภัย และป้องกันไม่ให้ผู้ที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากนี้ยังควรมีมาตรการรองรับการถูกโจมตีทางไซเบอร์อีกด้วย 2. วัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลบนเว็บไซต์ หากเว็บไซต์ของคุณมีการจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไปหรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว สิ่งสำคัญที่คุณต้องทราบคือ วัตถุประสงค์ในการจัดเก็บข้อมูลว่าจัดเก็บไว้เพื่ออะไร มีระยะเวลาในการจัดเก็บนานแค่ไหน อีกทั้งยังต้องทราบด้วยว่าข้อมูลดังกล่าวจะมีการโอนไปยังบุคคลที่สามหรือไม่…

October 12, 2022 Article

ระวัง ! สั่งเปิดกล้องระหว่างทำงาน อาจละเมิดความเป็นส่วนตัว

#PDPACase | สั่งให้พนักงานเปิดกล้องระหว่างทำงาน อาจเสี่ยงละเมิดความเป็นส่วนตัวของบุคคลอื่นโดยไม่รู้ตัว เป็นอีกหนึ่งกรณีที่น่าสนใจ เมื่อศาลเนเธอร์แลนด์ตัดสินให้พนักงานทางไกลของบริษัทสหรัฐฯ ซึ่งโดนไล่ออกเพราะเขาปฏิเสธ ไม่ยอมเปิดกล้องคอมพิวเตอร์ระหว่างทำงาน ได้รับเงินชดเชยราว 75,000 ยูโร หรือประมาณ 2.7 ล้านบาท จากบริษัท โดยถือว่าเป็นการไล่ออกที่ไม่สมเหตุผลและละเมิดความเป็นส่วนตัวของพนักงาน จากรายงานข่าวระบุว่า อดีตพนักงานคนดังกล่าวได้ทำงานให้บริษัทพัฒนาซอฟท์แวร์แห่งหนึ่งในรัฐฟลอริดา สหรัฐอเมริกา ชื่อว่า Chetu Inc. สาขาประจำเมืองไรส์ไวก์ ประเทศเนเธอร์แลนด์ อยู่ในตำแหน่งพนักงานขายทางโทรศัพท์ ซึ่งสามารถทำงานจากทางไกลได้โดยไม่ต้องเข้าบริษัท ซึ่งก่อนที่จะโดนไล่ออก เขาได้รับคำสั่งให้เข้าร่วมการอบรมพนักงานในโครงการประเมินและแก้ไขจุดบกพร่อง (Corrective Action Program) ซึ่งเขาจะต้องล็อกอินเข้าระบบของบริษัท รวมทั้งแชร์ภาพหน้าจอคอมพิวเตอร์และเปิดกล้องคอมพิวเตอร์ตลอดเวลาทำงานในระหว่างเข้าโครงการ หลังจากนั้น 2 วัน เขาได้แจ้งทางบริษัทว่า รู้สึกอึดอัดที่โดนจับตามองผ่านกล้องตลอดเวลา 9 ชม.…

Tag: #สคส