Work From Home กับมาตรการรักษาความมั่นคงปลอดภัยทางไซเบอร์
นับตั้งแต่วันที่มีการระบาดของโควิด 19 จนถึงวันนี้ Work From Home (WFH) เริ่มกลายเป็นภาวะปกติของการทำงานในหลายองค์กร
ด้วยเทคโนโลยีที่พัฒนาก้าวหน้าอย่างรวดเร็ว ไม่ว่าจะเป็น การประชุมผ่านระบบวิดิโอ การพูดคุยแลกเปลี่ยนผ่านช่องทางสื่อสารออนไลน์ ส่งผลให้ WFH เป็นเรื่องที่มีความยืดหยุ่นและสร้างความสะดวกสบายสำหรับองค์กรและพนักงาน
การที่องค์กรมีนโยบายให้พนักงานสามารถ WFH ได้ นำมาซึ่งความท้าทายของการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลขององค์กร เพราะองค์กรยังคงมีหน้าที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โดยเฉพาะอย่างยิ่ง ในส่วนหน้าที่ของการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
เพื่อธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ไม่ว่าข้อมูลเหล่านั้นจะถูกใช้ภายจากในองค์กรหรือถูกใช้จากโดยการรีโมทหรือเข้าถึงจากระบบภายนอกก็ตาม
ICO (Information Commissioners Office) หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร ได้แนะนำแนวทางสิ่งที่ต้องรู้ 10 ประการในการคุ้มครองข้อมูลส่วนบุคคลขององค์กรจากการ WFH ไว้ดังนี้
1.องค์กรควรทบทวนมาตการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างเพียงพอ โดยพนักงานต้องปฏิบัติตามนโยบาย ขั้นตอน และคำแนะนำขององค์กร และหลีกเลี่ยงการดำเนินการที่อาจสะดวกแต่ไม่ปลอดภัย เช่น การส่งอีเมลผ่านบัญชีส่วนตัวของตนเอง เป็นต้น
2.องค์กรควรมีการจัดหาเทคโนโลยีให้กับพนักงาน เช่น ฮาร์ดแวร์หรือซอฟแวร์ที่เชื่อถือได้และพนักงานต้องไม่ใช้เทคโนโลยีอื่นใดที่องค์กรไม่อนุญาตให้ใช้
3.พนักงานต้องรักษาความลับ เมื่อมีการสนทนาเรื่องงานภายในองค์กร พนักงานต้องมั่นใจว่าในบริเวณดังกล่าวไม่มีบุคคลภายนอกได้ยิน
4.พนักงานต้องมั่นใจว่า เอกสารซึ่งมีข้อมูลส่วนบุคคลต้องถูกทำลายอย่างถูกต้อง หรือมีการจัดเก็บในที่ปลอดภัย เพื่อธำรงไว้ซึ่งความลับ
5.พนักงานต้องทำงานโดยการแยกข้อมูลส่วนตัวและข้อมูลส่วนบุคคลขององค์กร ซึ่งอยู่บนอุปกรณ์และซอฟแวร์ที่องค์กรจัดหาให้ออกจากกัน เพื่อหลีกเลี่ยงการเก็บรวบรวมข้อมูลไว้นานเกินความจำเป็นโดยไม่เจตนา โดยองค์กรต้องจัดหาเทคโนโลยีที่ปลอดภัยให้กับพนักงานด้วย
6.ควรกำหนดรหัสผ่านเพื่อเข้าใช้งานอุปกรณ์ และมีการล็อกหน้าจอทุกครั้งเมื่อไม่ได้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลเมื่ออุปกรณ์ดังกล่าวสูญหายหรือถูกขโมย
7.ไม่ควรคลิกลิงก์หรือเว็บไซต์ที่ไม่คุ้นชินและไม่น่าเชื่อถือ เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลที่อยู่บนอุปกรณ์
8.ควรกำหนดรหัสผ่านการเข้าใช้งานที่คาดเดาได้ยาก ไม่ว่าจะเป็นการเข้าใช้งานบนอุปกรณ์ หรือในรูปแบบออนไลน์
9.ควรใช้เทคโนโลยีสำหรับการสื่อสารที่องค์กรจัดหาให้ หากต้องการแบ่งปันข้อมูลให้กับผู้อื่น ควรต้องเลือกใช้เทคโนโลยีที่มีความปลอดภัย มีการปกป้องข้อมูลส่วนบุคคลที่แบ่งปันโดยการเข้ารหัสผ่าน
10.ควรอัปเดทซอฟต์แวร์ให้ทันสมัยอยู่เสมอ เพื่อป้องกันไม่ให้มีการเข้าถึง แก้ไข เปลี่ยนแปลงโดยบุคคลที่ปราศจากอำนาจหรือโดยมิชอบ
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ไม่ได้กำหนดหลักเกณฑ์หรือแนวทางการดำเนินการขององค์กรในกรณีดังกล่าวไว้เป็นการเฉพาะ
แต่ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4 ได้กำหนดไว้ว่ามาตรการรักษาความมั่นคงปลอดภัย จะต้องเป็นไปตามมาตรฐานขั้นต่ำดังนี้
1.จะต้องครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (การประมวลผลข้อมูลส่วนบุคคล) ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม
2.จะต้องประกอบด้วยมาตรการเชิงองค์กร และมาตรการเชิงเทคนิคที่เหมาะสม อาจรวมถึงมาตรการทางกายภาพ ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
3.จะต้องคำนึงถึงการดำเนินการตามขั้นตอนการรักษาความมั่นคงปลอดภัยที่เป็นที่ยอมรับ ตั้งแต่การระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้นและระบุทรัพย์สินสารสนเทศที่สำคัญ การป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น การตรวจสอบ เฝ้าระวังภัยคุกคาม การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล และการรักษาและฟื้นฟูความเสียหาย
4.จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งาน ของข้อมูลส่วนบุคคลไว้ได้อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม
5.สำหรับการประมวลผลข้อมูลส่วนบุคคล ในรูปแบบอิเล็กทรอนิกส์ จะต้องครอบคลุมส่วนประกอบต่าง ๆ ของระบบสารสนเทศที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลส่วนบุคคล เครื่องคอมพิวเตอร์แม่ข่าย เครื่องคอมพิวเตอร์ลูกข่าย (clients) และอุปกรณ์ต่าง ๆ ที่ใช้ ระบบเครือข่าย ซอฟต์แวร์และแอปพลิเคชัน
6.(ก) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลโดยมีการพิสูจน์และยืนยันตัวตน และการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งานที่เหมาะสม โดยคำนึงถึงหลักการให้สิทธิเท่าที่จำเป็น
(ข) การบริหารจัดการบัญชีรายชื่อผู้ใช้งาน ที่เหมาะสมและเป็นปัจจุบัน และการบริหารจัดการมาตรการควบคุมการเข้าถึง เช่น รหัสผ่าน ที่เหมาะสม
(ค) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน
(ง) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลัง (audit trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
อย่างไรก็ตาม แม้องค์กรจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยซึ่งเป็นไปตามที่กล่าวมาแล้วข้างต้น แต่หากผู้บริหาร พนักงาน ลูกจ้าง หรือบุคลากรภายในองค์กรขาดซึ่งความตระรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (Privacy and security awareness)
การ WFH ก็ยังมีความเสี่ยงที่อาจก่อให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคลและองค์กรยังคงมีความรับผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562.
ที่มา : ICO (Information Commissioners Office) UK GDPR Guidance
คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ภัทรวิรินทร์ หมวดมณี
บริษัท ดีพีโอเอเอเอส จำกัด