ไมโครซอฟท์ ประเทศไทย เผยแนวทางให้องค์กรยกระดับความปลอดภัย เสริมสร้างความเป็นส่วนตัวของข้อมูล พร้อมนำเสนอผลิตภัณฑ์และบริการให้ทุกภาคส่วนได้ต่อยอดจากการปฏิบัติตามมาตรฐานใหม่ของประเทศไทย ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act; PDPA) และมุ่งสู่การสร้างรากฐานแห่งความไว้วางใจให้กับทุกคนและทุกองค์กรในการใช้เทคโนโลยีให้เต็มประสิทธิภาพ
ถึงแม้ว่า พ.ร.บ. ฉบับดังกล่าวจะยังไม่มีผลบังคับใช้อย่างเต็มรูปแบบก่อนวันที่ 1 มิถุนายน 2565 แต่ทุกองค์กรในประเทศไทยก็ยังต้องมุ่งหน้าสู่จุดหมายปลายทางเดียวกัน ด้วยระบบการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลที่เป็นไปตามมาตรฐานของกฎหมายใหม่นี้ โดยผู้เป็นเจ้าของข้อมูลจะต้องมีสิทธิในการได้รับแจ้งถึงจุดประสงค์และรายละเอียดในการเก็บข้อมูลของตนไปประมวลผล และยังสามารถเลือกเข้าถึง แก้ไข ลบ และโอนย้ายข้อมูลนี้ หรือเพิกถอนความยินยอม และห้ามหรือคัดค้านการประมวลผลข้อมูลนั้นๆ ตามกฎหมาย
นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า “ก่อนที่จะไปถึงความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคล ต้องไม่ลืมว่าการรักษาให้ข้อมูลนี้ยังคงความเป็น ‘ส่วนบุคคล’ ดังนั้น การปฏิบัติตาม PDPA จึงต้องครอบคลุมถึงการยกระดับด้านความปลอดภัยสารสนเทศให้แข็งแรงไปพร้อมๆ กัน เพราะทั้งสองเรื่องต่างเป็นพื้นฐานของกันและกัน”
ตรวจเช็คลิสท์ 3 ข้อ พร้อมสิ่งสำคัญที่ต้องมี เพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย
ไม่ว่าจะทำธุรกิจอยู่ในอุตสาหกรรมใด หรือมีขนาดกิจการเท่าไร องค์กรแทบทุกแห่งต่างก็ต้องรับมือกับข้อมูลส่วนบุคคลในรูปแบบที่คล้ายคลึงกัน จึงทำให้ขั้นตอนในการยกระดับให้ระบบข้อมูลได้มาตรฐานตาม PDPA นั้น สรุปออกมาได้เป็น 3 ขั้นตอนใหญ่ๆ ที่ต้องทำดังนี้
1. “รู้” ให้ลึกทุกซอกมุม กับข้อมูลทั่วทั้งองค์กร (Know Your Data)
หากเทียบระบบขององค์กรเป็นเหมือนบ้านหลังหนึ่ง การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง และข้อมูลส่วนบุคคลก็เช่นกัน
องค์กรในปัจจุบันต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่นระบบฐานข้อมูลต่างๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบเป็นงานที่ยากไม่ใช่น้อย ไมโครซอฟท์จึงได้พัฒนา Azure Purview บริการคลาวด์ล่าสุดที่ทำหน้าที่สแกนหาข้อมูลจากฐานข้อมูลทั่วทั้งองค์กรมาให้จัดระเบียบได้จากที่เดียว และยังช่วยให้มองเห็นเส้นทางการใช้งานของข้อมูลที่ชัดเจน ช่วยในการระบุจุดที่ต้องแก้ไขให้ระบบปลอดภัยอย่างสมบูรณ์
นอกจากนี้ บริการ Microsoft 365 ยังมีเครื่องมือครบชุดให้องค์กรได้จัดระเบียบการใช้งานข้อมูลให้ลงตัว เช่น Content Explorer ที่เปิดแค่จอเดียวก็ได้เห็นสถานะข้อมูลสำคัญของทั้งองค์กร
2. “คุม” ให้รอบด้าน จัดการใช้งานข้อมูลให้ถูกหลัก (Manage your data)
เมื่อรู้แล้วว่าในบ้านหลังนี้มีสิ่งของอะไรอยู่บ้าง ลำดับต่อไปก็ต้องคอยดูแลรักษาให้ของแต่ละชิ้นถูกใช้งานอย่างเหมาะสม ไม่เสียหายหรือกระจายไปจนผิดที่ผิดทาง
องค์กรที่เลือกใช้ Microsoft 365 สามารถใช้คุณสมบัติในด้านการจัดจำแนกข้อมูล (data classification) เพื่อระบุว่าข้อมูลชิ้นไหน ประเภทใด ที่ควรปกป้องเป็นพิเศษ เช่นห้ามไม่ให้ส่งออกไปภายนอก หรือต้องเก็บรักษาไว้ในระบบเป็นระยะเวลาอย่างต่ำเท่าไร ผ่านทางระบบ sensitivity label และ retention label โดยการจัดประเภทข้อมูลนี้ ไม่จำเป็นต้องลงมือทำด้วยตัวเองกับข้อมูลทีละชิ้น แต่สามารถกำหนดกฎเกณฑ์ให้ระบบจัดแจงข้อมูลจนเข้าพวกได้แบบอัตโนมัติ รวมถึงการขยายไปใช้คุณสมบัติในด้านการจัดและจำแนกข้อมูล บน Azure Purview ได้อีกด้วย ซึ่งทั้งหมดนี้ นับเป็นส่วนหนึ่งของชุดบริการเพื่อการปกป้องและบริหารจัดการข้อมูล (Information Protection and Governance) นั่นเอง
เมื่อการใช้ข้อมูลขององค์กรอยู่ในระบบที่ชัดเจนแล้ว ก็ต้องให้ความสำคัญกับการตรวจสอบตัวผู้ใช้งานและอุปกรณ์ที่เชื่อมต่อเข้ามาด้วย เพื่อให้มั่นใจได้ว่าข้อมูลจะไม่ต้องเผชิญกับความเสี่ยงที่ไม่จำเป็นจากอุปกรณ์ที่ไม่ปลอดภัย หรือผู้ใช้ที่ไม่ควรมีสิทธิ์ในการเข้าถึงข้อมูลชิ้นนั้น โดยในเคสของอุปกรณ์ สามารถดูแลได้ด้วย Microsoft Endpoint Manager ที่ช่วยบริหารจัดการอุปกรณ์ปลายทางได้ทุกรูปแบบ ตั้งแต่เครื่องพีซีไปจนถึงสมาร์ทโฟน ส่วน Azure Active Directory ก็ช่วยระบุตัวตนและกำหนดสิทธิการใช้งานของผู้ใช้แต่ละคน แต่ละระดับในองค์กร ให้เป็นไปตามความเหมาะสม ลดความเสี่ยงที่จะเกิดเหตุข้อมูลรั่วไหลโดยไม่ตั้งใจ
3. “กัน” ทุกความเสี่ยง ล้อมรั้วให้แกร่ง ต้านทานภัยรอบด้าน (Protect your data)
ไม่ว่าบ้านหลังนี้จะจัดการได้เรียบร้อยขนาดไหน แต่โอกาสที่จะเกิดอุบัติเหตุหรือตกเป็นเป้าของผู้ประสงค์ร้ายจากภายนอกก็ยังคงมีอยู่ ดังนั้น ระบบรักษาความปลอดภัยที่แข็งแกร่งจึงเป็นเหมือนปราการด่านสุดท้าย ยับยั้งหรือจำกัดความเสียหายไม่ให้ลุกลาม
ฐานข้อมูลบนคลาวด์ของไมโครซอฟท์ ไม่ว่าจะเป็นระบบ Azure SQL DB หรือ Azure Synapse ต่างรองรับการเก็บซ่อนข้อมูลบางส่วน (data masking) เพื่อคัดกรองข้อมูลส่วนที่เป็นความลับไม่ให้หลุดออกไปอยู่ในมือของผู้ใช้ที่ไม่มีสิทธิเข้าถึง ขณะที่ข้อมูลทั้งหมดบนแพลตฟอร์ม Microsoft 365 จะถูกเข้ารหัส (encrypt) มาเป็นมาตรฐานด้วยกุญแจที่ไมโครซอฟท์เป็นผู้ดูแล แต่ถ้าอยากปลอดภัยยิ่งกว่านั้น ก็ยังสามารถเลือกใช้กุญแจรหัสของตัวเองมาปกป้องข้อมูลให้แน่นหน้าไม่แพ้กับเปิดห้องนิรภัยใหม่ของตัวเอง โดยการเข้ารหัสข้อมูลบนแพลตฟอร์มไมโครซอฟท์สามารถทำได้ในทุกขั้นตอนและสภาวะการทำงาน
ส่วนในกรณีที่เกิดเหตุพลั้งเผลอ มีการพยายามแนบเอกสารลับของบริษัท หรือรายละเอียดสำคัญอย่างหมายเลขบัตรเครดิต เพื่อส่งออกไปภายนอก ฟังก์ชัน Data Loss Prevention ใน Microsoft 365 ก็สามารถเบรกไม่ให้ข้อมูลนั้นหลุดรั่วออกไปได้ ตามกฎที่ผู้ดูแลระบบสามารถตั้งเองได้
นอกจากนี้ ระบบยืนยันตัวตนอย่าง Azure Active Directory และฟังก์ชัน Multi-Factor Authentication หรือการยืนยันตัวตนด้วยหลายปัจจัย ยังเป็นวิธีที่ดีในการตรวจสอบว่าผู้ที่กำลังพยายามเข้ามาใช้งานระบบเป็น “ตัวจริง” ที่มีสิทธิใช้งานถูกต้องเหมาะสมหรือไม่ หรือหากเกิดการจู่โจมโดยผู้ไม่หวังดี ก็ยังมี Microsoft 365 Defender คอยตรวจจับและหยุดยั้งอาวุธร้ายของอาชญากรไซเบอร์ นับตั้งแต่การตรวจจับมัลแวร์ทั่วไป ไปจนถึงการค้นหาสัญญาณและพฤติกรรมผิดปกติ เช่นการพยายามเข้าใช้งานระบบติดต่อกันหลายร้อยครั้งจากผู้ใช้รายเดียวในระยะเวลาสั้นๆ เป็นต้น
นายโอมกล่าวเสริมอีกว่า “เทคโนโลยีที่เสริมสร้างความปลอดภัยทั้งหมดนี้ ล้วนมีคลาวด์เป็นหัวใจสำคัญ ดังนั้น การเลือกแพลตฟอร์มคลาวด์ที่ได้มาตรฐานในด้านความปลอดภัยจึงเป็นสิ่งที่สำคัญมาก สำหรับระบบคลาวด์อย่าง Microsoft Azure และ Microsoft 365 ผ่านการรับรองกว่า 90 มาตรฐานจากทั่วโลก ซึ่งในจำนวนนี้ รวมถึง 35 มาตรฐานเฉพาะทางที่ถูกออกแบบขึ้นมาสำหรับอุตสาหกรรมต่างๆ และข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR ของยุโรป และ PDPA ของไทย จึงพร้อมรองรับทุกความต้องการขององค์กรไทย โดยองค์กรที่สนใจในรายละเอียดจะสามารถค้นหาข้อมูลเชิงลึกในเงื่อนไขการบริการได้โดยตรงจากเรา เพื่อสร้างความชัดเจนและมั่นใจในการทำงานต่อไป”
สำหรับองค์กรที่สนใจเรียนรู้เพิ่มเติมด้านความปลอดภัยและการรับมือกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สามารถลงทะเบียนร่วมกิจกรรมเวิร์คช็อปออนไลน์ชุด “Digital Clinic for Your Business” กับพันธมิตรของไมโครซอฟท์ บริษัท M.I.S. Outsourcing ได้ตามรายละเอียดข้างล่างนี้:
- “เตรียมพร้อมรับมือ พ.ร.บ. คุ้มครองส่วนบุคคล” วันพุธที่ 19 พฤษภาคม 2564 เวลา 13:00-15:00 น. ลงทะเบียน
นอกจากนี้ ไมโครซอฟท์ยังมีการบรรยายพิเศษในหัวข้อ “Express Route to comply with PDPA for Data Processor” ที่สามารถรับชมได้ทันที ด้วยเนื้อหาเข้มข้นสำหรับบุคลากรและหน่วยงานที่ต้องดูแลข้อมูลส่วนบุคคล โดยสามารถลงทะเบียนรับชมได้ที่ https://aka.ms/ExpressPDPA_ OnDemandTH