ภัยไซเบอร์พุ่งเป้า ข้อมูลส่วนบุคคล
ประธาน TB-CERT เตือนภัยไซเบอร์ พุ่งเป้าข้อมูลส่วนบุคคล เหตุยุคดิจิทัลข้อมูลเชื่อมโยงกัน ควรติดตามข่าวสาร เผยภัยคุกคามแบงก์ยังมาในรูป “คนหลอกคน” รอบปี 63 ธนาคารยังเป็นเป้าโจมตีอันดับ 3 รองจากบริษัทเทคโนโลยีและธุรกิจ
การเลื่อนบังคับใช้พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ออกไปอีก 1 ปีจนถึงวันที่ 1 มิถุนายน 2565 จากเดิมที่กำหนดใช้ในวันที่ 1 มิถุนายน 2564 ทั้งจากผลกระทบของการแพร่ระบาดของโควิด-19 กฎหมายมีรายละเอียดซับซ้อน ต้องใช้เทคโนโลยีขั้นสูงและมีบทลงโทษทั้งความรับผิดทางแพ่งและโทษทางปกครองและอาญาค่อนข้างแรง
แหล่งข่าวจากสถาบันการเงินระบุว่า ภาครัฐไม่ควรจะเลื่อนการบังคับใช้ออกไป แต่ควรจะปรับใช้ในเรื่องของการสนับสนุนและบทบาท เพราะหากย้อนดูกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปคือ GDPR (General Data Protection Regulation (GDPR)นั้น ในปีแรกของการบังคับใช้กฎหมาย ก็ไม่ได้มีการปรับจริงคือ หากมีการกระทำ ความผิดตามที่กฎหมายกำหนด ภาครัฐจะเข้าไปสนับสนุนและสร้างความเข้าใจว่าหน่วยงานนั้น ไม่พร้อมในส่วนไหนไม่ใช่ตั้งใจจะปรับเพราะจุดประสงค์ของกฎหมายดีอยู่แล้ว
การเลื่อน PDPA ในเวลาที่ใกล้จะบังคับใช้ เข้าใจว่าทุกภาคส่วนพยายามจะเตรียมความพร้อมและทำความเข้าใจ อาจจะเสียโมเมนตัมในทางปฎิบัติ(Compliance) เพราะปกติช่วงแบบนี้ควรจะเตรียมความพร้อม แต่
ควรใช้ช่องว่างช่วงนี้ ที่ทุกคนมีโมเมนตัมทำเรื่องนี้อยู่แล้วเพียงแต่ปรับโหมดเป็นการสนับสนุน เพื่อให้สำนักงานเดินไปข้างหน้า แต่เมื่อมีการเลื่อนออกไป คนที่เตรียมพร้อมจะมีปัญหากับบุคคลที่3 บริษัทพันธมิตรที่ต้องส่งข้อมูลไปมาจำนวนมาก
“ข้อเสียของการเลื่อนน่าจะมากกว่าข้อดี แต่เข้าใจได้ว่า รัฐอาจจะกลัวผู้ประกอบการมีภาระค่าใช้จ่ายในการทำพวกนี้ และกรณีที่กลัวโทษทั้ง 3คือ ทางแพ่ง ทางอาญาและทางปกครองนั้น ในทางปฏิบัติสำนักงานคุ้มครองข้อมูลส่วนบุคคลก็ยังไม่พร้อมเหมือนกัน เพราะยังไม่มีประกาศกฎหมายลูกออกมาเลยจึงไม่มีรายละเอียด ฉะนั้นแม้จะเกิดความผลก็ยังปรับไม่ได้”แหล่งข่าวระบุ
พ.ต.อ.ดร.สีหนาท ประยูรรัตน์ นายกสมาคมแลกเปลี่ยนเงินตราต่างประเทศ(TAFEX)กล่าวว่า เห็นด้วยกับการเลื่อนใช้พ.ร.บ.ดังกล่าวเพราะธุรกิจรายเล็กยังไม่พร้อม จะเป็นผลดีต่อ
ผู้ประกอบการ เพราะสถานการณ์โควิดทำให้การปฎิบัติตามกฎหมายมีข้อจำกัด ในการเตรียมความพร้อม การอบรมและซักซ้อมทำความเข้าใจ แต่ในแง่ของธุรกิจรายใหญ่ เข้าใจว่าได้เตรียมความพร้อมไประดับหนึ่งแล้วสามารถเดินหน้าต่อไปได้
ดร.กิตติ โฆษะวิสุทธิ์ ประธานกรรมการศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคธนาคาร(TB-CERT)กล่าวว่า แม้จะเลื่อนการบังคับใช้ออกไป แต่เหตุการณ์ข้อมูลรั่วไหลไม่ได้จำกัดความรับผิดชอบแค่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลเท่านั้น ตราบใดที่ข้อมูลเหล่านั้น ยังคงจะสร้างผลกระทบให้กับเจ้าของข้อมูล ด้วยความเชื่อมโยงของข้อมูลและด้วยการที่ใช้ข้อมูลส่วนบุคคลชุดเดียวกันในการพิสูจน์ตัวตน การวิเคราะห์ผลกระทบของกลไก ข้อมูลรั่วไหลของหน่วยงานอื่นต้องได้รับความร่วมมือและควบคุมดูแลความปลอดภัยให้กับเจ้าของข้อมูล จึงเป็นเรื่องสำคัญ
จากรายงานของ TB-CERT พบว่าในรอบปี 2563 ทั่วโลกมีการส่งอีเมลหลอกลวงเพิ่มขึ้นกว่า 600% โดยภาคการเงินมีภัยคุกคามที่บริการคลาวด์โตขึ้นกว่า 571%,การขนส่งมีภัยคุกคามสูงสุด 1,350% รองลงมาคือ ภาคการศึกษา 1,114% โดยแรงจูงใจในการเจาะระบบมาจากความต้องการด้านการเงิน 86% เริ่มจากหาทางหลอกเอาข้อมูลที่จะใช้ในการเข้าถึงบริการทางการเงินออนไลน์ของเหยื่อ โดยใช้ฟิชชิง
หรือเจาะระบบเข้าถึงข้อมูลองค์กรเพื่อฝัง/ปล่อยมัลแวร์และเข้ารหัสข้อมูล
เพื่อเรียกค่าไถ่/ข่มขู่จะเปิดเผยข้อมูลเพื่อเรียกค่าไถ่/นำข้อมูลไปขายต่อในตลาดมืด
สำหรับแนวโน้มภัยไซเบอร์ ยังคงเป็นภัยเดิมๆที่เป็นเทคนิคเก่า จะยังคงใช้งานอยู่และเทคโนโลยีใหม่ที่จะนำมาใช้ เช่น ไบโอเมตรตริกหรืออื่นๆ ซึ่งฐานข้อมูลมีความสำคัญ เป็นความได้เปรียบทางธุรกิจ เพราะถ้าสามารถวิเคราะห์ได้ดีจะมีความได้เปรียบ แต่ก็จะมาคู่กับความเสี่ยงเช่นกันในแง่การนำข้อมูลมาใช้
นอกจากนั้น ภัยคุกคามธนาคารจะมุ่งกลุ่มเป้าที่คนหลอกคน(Social Engineering) เพราะการที่ธนาคารนำเทคโนโลยีใหม่ๆมาใช้ จะเป็นช่องว่างความเข้าใจของคนคือ คนใช้อาจจะตามไม่ทันหรือใช้งานไม่เป็น เช่น QR Code บางคนไม่คุ้น บางคนส่องอย่างเดียว ก็มีโอกาสเจอฟิชชิ่งอีก
“แนะนำทุกคนติดตามข่าวสาร ซึ่งเปลี่ยนแปลงเร็วและหนีไม่พ้นดิจิทัล โดยเฉพาะช่วงหลังภัยจะพุ่งเป้าข้อมูลส่วนบุคคล ฉะนั้นอะไรที่แตะข้อมูลส่วนบุคคล จะต้องตั้งคำถามทำไมต้องให้เขา ซึ่งการตั้งคำถามจะช่วยชะลอและเรียกสติทำให้ลดความเสี่ยง จึงอยากให้ทุกคนระวัง”ดร.กิตติกล่าว
ทั้งนี้ TB-CERT คาดการณ์แนวโน้มภัยไซเบอร์ในปีนี้คือ 1.การโจมตีสิ่งแวดล้อมการทำงานในยุค New Normal เพราะการแพร่ระบาดของโควิด-19 ทำให้มีการใช้เทคโนโลยีมากอาจเกิดความเสี่ยงหลายมิติ 2.การละเมิดความเป็นส่วนตัวจากระบบ IoT จึงควรคำนึงถึงความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน และ 3.การโจมตีในลักษณะ Supply Chain Attack มากขึ้น ซึ่งเกิดขึ้นกับบริษัทผู้ผลิตอุปกรณ์ด้านเทคโนโลยีสารสนเทศทั่วโลก
หน้า 14 หนังสือพิมพ์ฐานเศรษฐกิจ ฉบับที่ 3,679 วันที่ 16 - 19 พฤษภาคม พ.ศ. 2564