fbpx

เราเตรียมรับมือกับข้อมูลส่วนบุคคลรั่วไหลแล้วหรือยัง?

what-should-you-do-if-your-personal-data-leaked

เนื้อหาในบทความ

จากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากการถูกแฮกของหน่วยงานรัฐและเอกชนในช่วงผ่านมา เป็นสัญญาณบ่งบอกให้เห็นถึงจุดมุ่งหมายของเหล่าบรรดาแฮกเกอร์ที่จะเจาะระบบ นำข้อมูลส่วนบุคคลไปขายในอินเทอร์เน็ต ดังนั้นหน่วยงานและบริษัทต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคลของประชาชนไว้ ต้องเพิ่มความปลอดภัยเพื่อป้องกันภัยคุกคามทางด้านไซเบอร์อย่างดีที่สุด ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562 เพื่อป้องกันข้อมูลรั่วไหลในฐานของ ผู้ควบคุมข้อมูล (Data Controller) นั้นเอง

แต่ในอีกด้านหนึ่งคือในด้านของเจ้าของข้อมูล (Data Subjects) คือพวกเรานั้นเอง นอกจากจะต้องพิจารณานโยบายการรักษาข้อมูลส่วนบุคคลของหน่วยงานและบริษัทต่าง ๆ ให้มั่นใจ ก่อนให้ข้อมูลแล้ว แต่หากเกิดเหตุไม่คาดฝัน ข้อมูลของเราถูกแฮก ถูกเปิดเผยในโลกอินเทอร์เน็ต โดยข้อมูลนั้นไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หรือ ข้อมูลสำคัญอื่น ๆ ที่ล้วนระบุและติดต่อมาสร้างความเสียหายให้เราได้นั้น เราควรทำอย่างไร

ต้องระวังการหลอกลวงในรูปแบบ Social Engineering

hacker-social-engineering

SOCIAL ENGINEERING คือ

เป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย ผู้ที่ตกเป็นเหยื่อของ Social Engineering อาจจะตกเป็นเหยื่อโดยความตั้งใจหรือไม่ตั้งใจของผู้ไม่หวังดีก็ได้ กล่าวคือ ถ้าผู้ไม่หวังดีมีเป้าหมายเฉพาะเจาะจง เช่น ต้องการข้อมูลความลับขององค์กรใดองค์กรหนึ่ง เหยื่อในที่นี้ก็มักจะเป็นผู้ที่มิสิทธิในการเข้าถึงข้อมูลความลับขององค์กรนั้น แต่หากเป้าหมายของผู้ไม่หวังดีเป็นแบบที่ไม่ได้เจาะจงเหยื่อ เช่น ต้องการรหัสบัตรเครดิต หรือบัญชีผู้ใช้และรหัสผ่านของบริการต่าง ๆ ของใครก็ได้ เหยื่อของผู้ไม่หวังดีนี้จะเป็นใครก็ตามซึ่งหลงเชื่อการหลอกลวงนั้น

ที่มา https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html

ในการหลอกลวงรูปแบบนี้มักจะมาในรูปแบบ อีเมล, SMS และ แก็งคอล์เซ็นเตอร์ ที่จะติดต่อมาหาเราเพื่อหลอกให้เราทำตามที่มิจฉาชีพต้องการเช่น กรอก username / password , โอนเงิน เป็นต้น ยิ่งถ้ามีข้อมูลส่วนตัวเรามากเท่าไร ยิ่งหลอกเราได้แยบยลมากขึ้น เช่น
มีอีเมลหรือ SMS หลอกมาว่าบัญชีธนาคารของเรามีการโอนเงินไปบัญชีอื่น “โปรดคลิกลิงก์ทำการล็อกอินเพื่อระงับการโอนเงิน” อันนี้ก็ดูเหมือนจะธรรมดาใช่ไหมครับ แต่ถ้ามิจฉาชีพเพิ่มข้อมูลส่วนตัวของเราเข้าไปว่า “บัญชีของคุณ ชื่อ-นามสกุล หมายเลขบัตรประชาชนเลขที่…. มีการโอนเงิน…..” ซึ่งเป็นข้อมูลเราถูกต้องแน่นอน ก็จะทำให้เราหลงเชื่อคลิกลิงก์ไปกรอก username password internet bankingให้มิจฉาชีพไป

และก็อาจจะมาในรูปแบบแก็งคอล์เซ็นเตอร์โทรมาหลอกเราด้วยข้อมูลส่วนตัวทำให้เราหลงเชื่อ ทำการโอนเงินหรือ username password รหัส OTP ได้เช่นกัน

อีกทั้งยังอาจถูกแฮกบัญชี อีเมล หรือ Social Network หากเราใช้รหัสผ่านที่ไม่ปลอดภัย เช่น ใช้เบอร์มือถือ หรือ วันเดือนปีเกิดในการตั้งรหัสผ่าน

นี้เป็นส่วนหนึ่งที่อาจจะเกิดขึ้นได้เท่านั้นนะครับ

แล้วเราต้องทำอย่างไรเมื่อรู้ว่าข้อมูลตัวเองรั่วไหล

  1. มีสติทุกครั้งเมื่อได้รับโทรศัทพ์หรืออีเมล SMS ที่พยายามหลอกล่อ หรือ ขู่เราให้บอกข้อมูล หรือทำธุรกรรมทางการเงิน
  2. ไม่คลิกลิงก์กรอก username password หรือ ติดตั้งโปรแกรม จากอีเมลที่มีลักษณะเชิญชวนด้วยข้อเสนอเกินจริงหรือข่มขู่เด็ดขาด
  3. ติดตั้ง Application “Whoscall” เพื่อเป็นการสกีนเบอร์ที่โทรเข้ามาว่าเป็นมิจฉาชีพหรือไม่
  4. เปลี่ยนรหัสผ่าน Internet Banking, อีเมล และ Social Network ต่าง ๆ และจะต้องไม่ใช้รหัสผ่านเดียวกัน
  5. เปิดใช้งาน 2 Factor Authentication ในบัญชีอีเมล และ Social Network ให้หมดทุกอัน
  6. ไม่ติดตั้ง Application ลงบนมือถือหากมีการส่งลิงก์มาทาง SMS หรือ โปรแกรมแชท โดยเด็ดขาด

นี้เป็นเพียงขั้นตอนบางอย่างที่ทำให้เราปลอดภัยขึ้นเมื่อเกิดเหตุข้อมูลส่วนตัวของเรารั่วไหลเท่านั้น และที่สำคัญที่สุดคือ “สติ” และ “สงสัย” ทุกครั้งที่มีอะไรก็ตามพยายามให้เราเปิดเผยข้อมูลหรือทำธุรกรรมทางการเงินครับ

what should you do if your data leaked
Facebook
Twitter
LinkedIn
Email

บทความที่เกี่ยวข้อง

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ

อ่านต่อ »

รู้จัก PDPA Awareness และ Security Awareness

ในปีพ.ศ. 2565 นี้ สังคมไทยกำลังก้าวเข้าสู่สังคมแห่งความปลอดภัยทางด้านไซเบอร์มากขึ้น ด้วยการบังคับใช้กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ควบคู่กับกฎหมายไซเบอร์ที่มีมาก่อนหน้านี้อย่าง พ.ร.บ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกฎหมายทั้งสองก่อให้เกิด PDPA Awareness และ Security Awareness ซึ่งจะมีความสำคัญต่อองค์กรอย่างไรนั้น วันนี้เราจะพาทุกท่านมาหาคำตอบกันในบทความนี้ กฎหมายด้านไซเบอร์ที่เกี่ยวข้อง ก่อนที่จะเริ่มรู้จักการสร้างความตระหนักในข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์ทุกคนต้องรู้จักกฎหมายที่เกี่ยวข้องกับทั้งสองก่อน ซึ่งได้แก่ กฎหมาย

อ่านต่อ »