โดย วรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด
เชื่อว่าหลายองค์กรในขณะนี้ต่างมีความเข้าใจถึงความสำคัญของการบังคับใช้กฎหมาย PDPA ซึ่งหัวใจสำคัญอยู่ที่ การจัดการข้อมูลส่วนบุคคล ซึ่งจะเป็นการเสริมความมั่นคงปลอดภัยและความมั่นใจให้กับลูกค้า หรือผู้ใช้งาน เพื่อเป็นการส่งท้ายก่อนกฎหมาย PDPA จะมีผลบังคับใช้อย่างเป็นทางการในกลางปีนี้ จึงอยากเชิญชวนองค์กรมาเช็คความพร้อมของระบบไอทีไม่ให้ตกหล่นเครื่องมือสำคัญที่ต้องมีเพื่อให้การดำเนินการตามกฎหมายมีประสิทธิภาพและปลอดภัยสูง นั่นคือ
เครื่องมือค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification)
เพราะแต่ละองค์กรต่างมีการจัดเก็บและเรียกใช้และปรับปรุงข้อมูลมากมาย กระจัดกระจายอยู่ในระบบทั้งในองค์กร นอกองค์กร บนคลาวด์ หรือแม้ในปลายทาง หรือ เอนด์พอยต์ อย่างโทรศัพท์มือถือ หรือ BYOD ต่าง ๆ ดังนั้น การค้นหาและจัดประเภทข้อมูล จึงเป็นก้าวเริ่มต้นที่สำคัญในการวางระบบความปลอดภัยให้ข้อมูล เพราะเราคงไม่สามารถคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลใด ๆ ได้เลยหากไม่รู้ว่าข้อมูลนั้นอยู่ที่ไหน ข้อมูลใดสำคัญหรือไม่สำคัญและควรกำหนดแนวทางคุ้มครองอย่างไร การมีเครื่องมือไอทีที่ดีในการจัดทำคลังข้อมูลส่วนบุคคล นับเป็นการสร้างกระบวนการบริหารเชิงรุกไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์หรือผิดกฎหมาย ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพในการค้นหา ระบุตำแหน่งที่จัดเก็บ และคัดแยกประเภทของข้อมูลส่วนบุคคลในระบบ การกำหนดสิทธิในการเข้าถึงผ่านการกำกับดูแลได้จากจุดเดียว สามารถติดตามกิจกรรมที่เกิดขึ้นกับการเรียกหรือใช้งานข้อมูลเหล่านั้นได้ทั้งการตรวจสอบย้อนหลัง หรือป้องปรามโดยการแจ้งเตือนทันทีที่เกิดการละเมิดนโยบายหรือข้อตกลง รวมถึงป้องกันการเข้าถึงข้อมูลด้วยการเข้ารหัส หรือเพิ่มการวิเคราะห์ตรวจประเมินช่องโหว่ตามมาตรฐานความปลอดภัยสากลต่าง ๆ เช่น DoD STIG, CIS, CVE ซึ่งในตลาดขณะนี้ก็มีโซลูชันให้เลือกใช้ได้อย่างครอบคลุม อาทิ IBM Security Guardium
ดังนั้นการบริหารจัดการกับปริมาณข้อมูลส่วนบุคคลที่มีปริมาณมากและเพิ่มขึ้นตลอดเวลา การมีเครื่องมือช่วยบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามกฎระเบียบข้อบังคับอย่างมีประสิทธิภาพ จะสามารถเพิ่มความน่าเชื่อถือให้กับองค์กร และลดความเสี่ยงของความเสียหายที่อาจเกิดขึ้นได้เป็นอย่างดี
เครื่องมือป้องกันการรั่วไหลของข้อมูล (Breach Management)
แนวทางป้องกันข้อมูลไม่ให้เกิดการรั่วไหลได้อย่างมีประสิทธิภาพ ควรดำเนินการควบคู่กันทั้งสองด้าน ได้แก่ การติดตั้งเครื่องมือหรือแพลตฟอร์มใน การจัดการกับระบบจัดเก็บข้อมูล เพื่อรองรับปริมาณข้อมูลที่กำลังเพิ่มขึ้นอย่างรวดเร็วให้สามารถขยายการใช้งานได้ไม่จำกัด และสามารถทำการสำรองและกู้คืนข้อมูล พร้อมกับการตรวจจับภัยคุกคามตัวป่วนอย่างแรนซั่มแวร์ได้อย่างมีประสิทธิภาพ ที่สำคัญคือ ควรเป็นแพลตฟอร์มที่รองรับการทำงานร่วมกับโซลูชันจัดเก็บข้อมูลและฐานข้อมูลหลากหลาย รวมถึงคลาวด์ต่าง ๆ เพื่อการลงทุนที่คุ้มค่าและใช้งานกันไปยาว ๆ ดังเช่น แพลตฟอร์ม HPE Cohesity
เครื่องมือการร่วมตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cross-Layer Detection and Response)
การมีระบบร่วมตรวจจับภัยคุกคามหลายช่องทางที่อยู่บนระบบคอมพิวเตอร์ ไม่ว่าภัยคุกคามที่แฝงตัวมากับ อีเมล์ ระบบเครือข่าย และ อุปกรณ์ปลายทาง เช่น เซิร์ฟเวอร์ เครื่องคอมพิวเตอร์ คลาวด์ iOT จะทำให้ให้องค์กรมีมุมมองในเรื่องทิศทางการโจมตีของภัยคุกคามที่หลากหลาย เราสามารถตรวจจับได้อย่างแม่นยำ และรวดเร็วมากยิ่งขึ้น ตัวอย่างเครื่องมือเหล่านี้ได้แก่ Trend Micro Vision One ( Extended Detection & Response) ที่มีความสามารถตรวจจับได้หลายช่องทางและมีความสามารถในการเชื่อมโยงความสัมพันธ์ของภัยคุกคามได้อย่างดีเยี่ยม
นอกจากนี้ยังมีโซลูชันในการจัดการกับอุปกรณ์ปลายทาง (Endpoint) โดยเฉพาะ BYOD (Bring Your Own Device) ที่มีแนวโน้มการใช้งานที่เพิ่มขึ้นหลายเท่าตัวในทุก ๆ ปี ให้มีความครบครันในแบบ ยูนิฟายด์ เอนด์พอยต์ (Unified Endpoint Management) โดยทำหน้าที่ตรวจจับหรือปิดกั้นการใช้แอปพลิเคชันหรือบริการที่สุ่มเสี่ยงให้เกิดภัยคุกคามตามมา การควบคุมการใช้งานให้เป็นไปตามระเบียบที่องค์กรกำหนด การปกป้องข้อมูลภายในเครื่องไม่ให้ถูกโจมตีขณะใช้งาน หรือกรณีอุปกรณ์เกิดสูญหายก็สามารถบล็อกการเข้าถึงข้อมูลได้แม้มีรหัสผ่าน ตัวอย่างเช่น โซลูชัน VMware Carbon Black เป็นต้น
เครื่องมือในการจัดการกับฐานข้อมูลคำยินยอม (Consent Management)
ข้อมูลอีกประเภทหนึ่งที่จะเติบโตมากขึ้นหลังการบังคับใช้กฎหมาย PDPA คือ ฐานข้อมูลคำยินยอมที่องค์กรธุรกิจกับลูกค้าจะต้องกระทำต่อกันเพื่อให้เกิดผลคุ้มครองข้อมูลส่วนบุคคล องค์กรจึงต้องมีเครื่องมือที่มาช่วยจัดทำระบบฐานข้อมูลคำยินยอม (Consent) เพื่อกำหนดสิทธิของเจ้าของข้อมูลในการเข้าถึง ทบทวนหรือแก้ไขข้อมูลของตัวเอง มีระบบให้บริการจัดทำ ติดตาม ตรวจสอบ หรือเก็บรวบรวมคำยินยอมต่าง ๆ ที่เกิดขึ้นตามกระบวนการทำงาน หรือการดำเนินธุรกิจขององค์กรอย่างเป็นทางการ รวมทั้งการขอความยินยอมในการจัดเก็บไฟล์คุกกี้ หรือ ข้อมูลของผู้ใช้งาน (Cookie Consent) กรณีเข้าชมเว็บไซต์ ซึ่งตามกฎหมาย PDPA ถือว่าเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องมีการขอคำยินยอมก่อนใช้ โดยเจ้าของข้อมูลสามารถขอแก้ไข ยกเลิกหรือถอนคำยินยอมเมื่อไหร่ก็ได้ ซึ่งถ้าองค์กรไม่ปฏิบัติให้ถูกต้องก็จะมีบทลงโทษทางกฎหมายเช่นเดียวกัน
ดังนั้น องค์กรใดที่มีความพร้อมในการเดินหน้าระบบคุ้มครองข้อมูลส่วนบุคคลตรงตามการประกาศใช้ PDPA จึงนับเป็นอีกหนึ่งการันตีถึงความเชื่อมั่นและภาพลักษณ์ทางธุรกิจที่ยึดโยงถึงประโยชน์และความมั่นคงปลอดภัยของลูกค้าเป็นสำคัญ