เราเตรียมรับมือกับข้อมูลส่วนบุคคลรั่วไหลแล้วหรือยัง?

what-should-you-do-if-your-personal-data-leaked

เนื้อหาในบทความ

จากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากการถูกแฮกของหน่วยงานรัฐและเอกชนในช่วงผ่านมา เป็นสัญญาณบ่งบอกให้เห็นถึงจุดมุ่งหมายของเหล่าบรรดาแฮกเกอร์ที่จะเจาะระบบ นำข้อมูลส่วนบุคคลไปขายในอินเทอร์เน็ต ดังนั้นหน่วยงานและบริษัทต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคลของประชาชนไว้ ต้องเพิ่มความปลอดภัยเพื่อป้องกันภัยคุกคามทางด้านไซเบอร์อย่างดีที่สุด ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562 เพื่อป้องกันข้อมูลรั่วไหลในฐานของ ผู้ควบคุมข้อมูล (Data Controller) นั้นเอง

แต่ในอีกด้านหนึ่งคือในด้านของเจ้าของข้อมูล (Data Subjects) คือพวกเรานั้นเอง นอกจากจะต้องพิจารณานโยบายการรักษาข้อมูลส่วนบุคคลของหน่วยงานและบริษัทต่าง ๆ ให้มั่นใจ ก่อนให้ข้อมูลแล้ว แต่หากเกิดเหตุไม่คาดฝัน ข้อมูลของเราถูกแฮก ถูกเปิดเผยในโลกอินเทอร์เน็ต โดยข้อมูลนั้นไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หรือ ข้อมูลสำคัญอื่น ๆ ที่ล้วนระบุและติดต่อมาสร้างความเสียหายให้เราได้นั้น เราควรทำอย่างไร

ต้องระวังการหลอกลวงในรูปแบบ Social Engineering

hacker-social-engineering

SOCIAL ENGINEERING คือ

เป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย ผู้ที่ตกเป็นเหยื่อของ Social Engineering อาจจะตกเป็นเหยื่อโดยความตั้งใจหรือไม่ตั้งใจของผู้ไม่หวังดีก็ได้ กล่าวคือ ถ้าผู้ไม่หวังดีมีเป้าหมายเฉพาะเจาะจง เช่น ต้องการข้อมูลความลับขององค์กรใดองค์กรหนึ่ง เหยื่อในที่นี้ก็มักจะเป็นผู้ที่มิสิทธิในการเข้าถึงข้อมูลความลับขององค์กรนั้น แต่หากเป้าหมายของผู้ไม่หวังดีเป็นแบบที่ไม่ได้เจาะจงเหยื่อ เช่น ต้องการรหัสบัตรเครดิต หรือบัญชีผู้ใช้และรหัสผ่านของบริการต่าง ๆ ของใครก็ได้ เหยื่อของผู้ไม่หวังดีนี้จะเป็นใครก็ตามซึ่งหลงเชื่อการหลอกลวงนั้น

ที่มา https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html

ในการหลอกลวงรูปแบบนี้มักจะมาในรูปแบบ อีเมล, SMS และ แก็งคอล์เซ็นเตอร์ ที่จะติดต่อมาหาเราเพื่อหลอกให้เราทำตามที่มิจฉาชีพต้องการเช่น กรอก username / password , โอนเงิน เป็นต้น ยิ่งถ้ามีข้อมูลส่วนตัวเรามากเท่าไร ยิ่งหลอกเราได้แยบยลมากขึ้น เช่น
มีอีเมลหรือ SMS หลอกมาว่าบัญชีธนาคารของเรามีการโอนเงินไปบัญชีอื่น “โปรดคลิกลิงก์ทำการล็อกอินเพื่อระงับการโอนเงิน” อันนี้ก็ดูเหมือนจะธรรมดาใช่ไหมครับ แต่ถ้ามิจฉาชีพเพิ่มข้อมูลส่วนตัวของเราเข้าไปว่า “บัญชีของคุณ ชื่อ-นามสกุล หมายเลขบัตรประชาชนเลขที่…. มีการโอนเงิน…..” ซึ่งเป็นข้อมูลเราถูกต้องแน่นอน ก็จะทำให้เราหลงเชื่อคลิกลิงก์ไปกรอก username password internet bankingให้มิจฉาชีพไป

และก็อาจจะมาในรูปแบบแก็งคอล์เซ็นเตอร์โทรมาหลอกเราด้วยข้อมูลส่วนตัวทำให้เราหลงเชื่อ ทำการโอนเงินหรือ username password รหัส OTP ได้เช่นกัน

อีกทั้งยังอาจถูกแฮกบัญชี อีเมล หรือ Social Network หากเราใช้รหัสผ่านที่ไม่ปลอดภัย เช่น ใช้เบอร์มือถือ หรือ วันเดือนปีเกิดในการตั้งรหัสผ่าน

นี้เป็นส่วนหนึ่งที่อาจจะเกิดขึ้นได้เท่านั้นนะครับ

แล้วเราต้องทำอย่างไรเมื่อรู้ว่าข้อมูลตัวเองรั่วไหล

  1. มีสติทุกครั้งเมื่อได้รับโทรศัทพ์หรืออีเมล SMS ที่พยายามหลอกล่อ หรือ ขู่เราให้บอกข้อมูล หรือทำธุรกรรมทางการเงิน
  2. ไม่คลิกลิงก์กรอก username password หรือ ติดตั้งโปรแกรม จากอีเมลที่มีลักษณะเชิญชวนด้วยข้อเสนอเกินจริงหรือข่มขู่เด็ดขาด
  3. ติดตั้ง Application “Whoscall” เพื่อเป็นการสกีนเบอร์ที่โทรเข้ามาว่าเป็นมิจฉาชีพหรือไม่
  4. เปลี่ยนรหัสผ่าน Internet Banking, อีเมล และ Social Network ต่าง ๆ และจะต้องไม่ใช้รหัสผ่านเดียวกัน
  5. เปิดใช้งาน 2 Factor Authentication ในบัญชีอีเมล และ Social Network ให้หมดทุกอัน
  6. ไม่ติดตั้ง Application ลงบนมือถือหากมีการส่งลิงก์มาทาง SMS หรือ โปรแกรมแชท โดยเด็ดขาด

นี้เป็นเพียงขั้นตอนบางอย่างที่ทำให้เราปลอดภัยขึ้นเมื่อเกิดเหตุข้อมูลส่วนตัวของเรารั่วไหลเท่านั้น และที่สำคัญที่สุดคือ “สติ” และ “สงสัย” ทุกครั้งที่มีอะไรก็ตามพยายามให้เราเปิดเผยข้อมูลหรือทำธุรกรรมทางการเงินครับ

what should you do if your data leaked
Facebook
Twitter
LinkedIn
Email

บทความที่เกี่ยวข้อง

Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »