เมื่อ Ransomware จู่โจมข้อมูลที่เข้ารหัสควรปฏิบัติอย่างไร

HIGHLIGHTS    

- หน้าที่ตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลกรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

- การดำเนินการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรง

- การจัดทำการประเมินความเสี่ยงจะช่วยป้องกันความเสียหายจากเหตุการละเมิดข้อมูลส่วนบุคคลได้

เมื่อวันที่ 14 มกราคม 2564 European Data Protection Board (EDPD) ซึ่งทำหน้าที่ในการให้คำแนะนำเกี่ยวกับการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกในสหภาพยุโรปได้เผยแพร่แนวทางปฏิบัติ (Guidelines 01/2021) เกี่ยวกับการจัดการเหตุการละเมิดข้อมูลส่วนบุคคลเพื่อเป็นกรณีศึกษาสำหรับผู้เกี่ยวข้องทุกฝ่ายในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งตาม Guidelines 01/2021 ได้นำกรณีศึกษาทั้งสิ้นจำนวน 18 ตัวอย่างเพื่อให้ใช้เป็นแนวทางในการรับมือภัยคุกคามทางไซเบอร์รูปแบบต่าง ๆ ที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล

ในวันนี้ผู้เขียนขอนำกรณีศึกษาเกี่ยวกับ Ransomware มาเล่าให้ท่านผู้อ่านฟัง ซึ่งเมื่อไม่นานมานี้ก็มีข่าวในประเทศไทยเกี่ยวกับการที่โรงพยาบาลแห่งหนึ่งถูกเรียกค่าไถ่ด้วยมัลแวร์ประเภทนี้เช่นกัน แม้ว่า Ransomware เป็นภัยคุกคามทางไซเบอร์ที่พบอยู่มาก แต่ก็สามารถป้องกันได้เพื่อลดความเสี่ยงหรือความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลและความเสียหายทางธุรกิจที่อาจจะเกิดขึ้น

ตามกรณีศึกษาของ Guidelines 01/2021 บริษัทแห่งหนึ่งถูกโจมตีด้วย Ransomware ซึ่งเป็นมัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่น ๆ กล่าวคือมันไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานแต่อย่างใด แต่จะทำการเข้ารหัสหรือล็อกไฟล์ ทำให้ไม่สามารถเปิดไฟล์ใด ๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส

กรณีศึกษานี้ได้เกิดขึ้นกับระบบคอมพิวเตอร์ของบริษัทขนาดเล็กแห่งหนึ่งที่ถูกโจมตีโดย Ransomware และข้อมูลที่เก็บไว้ในระบบเหล่านั้นพยายามถูกเข้ารหัสโดยผู้โจมตี แต่ทางบริษัทได้ดูแลการเก็บข้อมูลแบบ encryption at rest กล่าวคือ มีการเข้ารหัสข้อมูลอยู่แล้วขณะจัดเก็บข้อมูล ดังนั้นการเข้าถึงข้อมูลโดย Ransomware ทั้งหมดในกรณีนี้จึงเป็นเพียงการเข้าถึงข้อมูลที่เข้ารหัสไว้อยู่แล้วด้วยเทคนิคการเข้ารหัสข้อมูลที่ทันสมัยที่สุด (state-of-the-art encryption algorithm) รหัสใหม่ที่ทางผู้จู่โจมพยายามจะใช้เข้ารหัสจึงไม่มีผลกระทบต่อข้อมูลที่ถูกเข้ารหัสเดิมไว้แล้วและไม่สามารถเข้าถึงข้อมูลทั้งทางตรงและทางอ้อม ดังนั้น แม้ผู้จู่โจมได้เข้าถึงข้อมูลส่วนบุคคลก็ไม่ทำให้บริษัทได้รับผลกระทบจากเหตุการละเมิดข้อมูลในครั้งนี้  

ภายหลังจากเกิดเหตุ ทางบริษัทได้จ้างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์เพื่อตรวจสอบเหตุการณ์ดังกล่าวจาก log บันทึกการใช้งานและข้อมูลทั้งหมดที่ออกจากบริษัท (รวมถึงอีเมลขาออกด้วย) และจากวิเคราะห์ log บันทึกการใช้งานและข้อมูลที่รวบรวมโดยระบบตรวจจับ  จากการตรวจสอบภายในโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ จึงมั่นใจได้ว่าผู้กระทำผิดได้เพียงแค่โจมตีในส่วนของข้อมูลที่ปกป้องจากการเข้ารหัสแล้วตั้งแต่ตอนจัดเก็บเท่านั้น และไม่ได้มีการเอาข้อมูลออกโดยมิชอบจากการโจมตีดังกล่าว และมีข้อมูลส่วนบุคคลของลูกค้าและพนักงานในองค์กรเพียงเล็กน้อยเท่านั้น (หลักสิบคน) ที่ได้รับผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลในครั้งนี้

นอกจากนี้ บริษัทยังสามารถนำข้อมูลสำรองที่มีอยู่ในสภาพพร้อมใช้งานเข้ามาใช้แทนที่ได้และในขณะเดียวกันข้อมูลที่ได้รับความเสียหายก็ได้รับการกู้คืนภายในระยะเวลาไม่กี่ชั่วโมงหลังจากเกิดเหตุการละเมิดข้อมูล ทั้งนี้ เหตุการละเมิดดังกล่าวไม่ได้ส่งผลกระทบใด ๆ ในการทำงานปกติของบริษัทที่ต้องอาศัยข้อมูลส่วนบุคคลดังกล่าวในการให้บริการลูกค้าและการจ่ายเงินเดือนพนักงาน

มาตรการและการประเมินความเสี่ยง

จากกรณีศึกษาข้างต้นจะพบว่าความเสี่ยงทั้งหมดนั้นเกิดจากผู้กระทำภายนอก แต่การโจมตีของ Ransomware ให้สำเร็จได้นั้นจะมีความเป็นไปได้น้อยลงอย่างมากหากผู้ควบคุมข้อมูลส่วนบุคคลมีการจัดทำการประเมินความเสี่ยง (risk assessment หรือกระบวนการ data protection impact assessment) เพื่อประเมินว่าองค์กรมีมาตรการด้านความมั่นคงปลอดภัยหรือจัดให้มีสภาพแวดล้อมและเทคโนโลยีที่เหมาะสมแล้วหรือไม่ ตัวอย่างของมาตรการดังกล่าว เช่น การจัดการแพตช์ (patch management) เพื่อช่วยมั่นใจได้ว่าระบบมีการอัพเดทช่องโหว่ที่เหมาะสมแล้ว ประการสำคัญเนื่องจากการโจมตีของ Ransomware ส่วนใหญ่ใช้มักอาศัยช่องโหว่ที่มีอยู่ในระบบเป็นช่องทางการเข้าถึงและทำการโจมตี ดังนั้น การใช้ระบบตรวจจับมัลแวร์ที่เหมาะสม และการแยกส่วนของการสำรองข้อมูลไว้หลายที่จึงเป็นมาตรการในทางเทคนิคที่จะช่วยลดความเสี่ยงจากเหตุการละเมิดได้

ประการสำคัญ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่พิจารณาผลกระทบและความรุนแรงของการละเมิดทุกครั้งต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอันเป็นผลมาจากความไม่สมบูรณ์ของข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเนื่องจากมีข้อมูลส่วนบุคคลบางส่วนขาดหายไป (availability) และสภาพความเป็นความลับของข้อมูลส่วนบุคคล (confidentiality) นั้นยังคงดีอยู่หรือไม่ เพราะผู้กระทำความผิดอาจจะทำการคัดลอกข้อมูลก่อนที่จะลบทิ้ง ดังนั้น ส่วนของข้อมูลส่วนบุคคลอาจจะผสมอยู่ในข้อมูลเหล่านั้นด้วย ซึ่งหลังจากการประเมินในกรณีนี้ทำให้เห็นได้ว่าผลกระทบอันเกิดจากเหตุการการละเมิดได้ลดลงอย่างมาก

หน้าที่ตามกฎหมายกรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้นตาม GDPR กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องดำเนินในสองกรณี กล่าวคือ 1) หากเหตุการละเมิดข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล GDPR Article 33 กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งเหตุดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่รู้หรือควรจะรู้ถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ๆ และ 2) หากเหตุการละเมิดข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรง GDPR Article 34  ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล คำอธิบายที่เกี่ยวข้องกับเหตุการณ์ ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และมาตรการที่เหมาะสมต่อการลดความเสี่ยงที่เกิดขึ้นไปยังเจ้าของข้อมูลส่วนบุคคลโดยทันที

จากรณีศึกษาข้างต้นจะเห็นว่า เมื่อผลกระทบของเหตุการละเมิดข้อมูลส่วนบุคคลครั้งนี้ไม่ก่อให้เกิดผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด ผู้ควบคุมข้อมูลส่วนบุคคลในกรณีนี้จึงไม่ต้องดำเนินการแจ้งตาม GDPR Article 33 และ 34  

หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย

เมื่อพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33 จะเห็นได้ว่าในเรื่องของการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปยังสำนักงานคณะกรรมการข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลนั้นมีเงื่อนไขและระยะเวลาใกล้เคียงกับ GDPR กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลไม่จำเป็นต้องแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลถ้าเหตุการณ์นั้น ๆ ไม่ส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตามในส่วนของการแจ้งตามมาตรา 33 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ยังคงต้องรอวิธีการและแนวทางการปฏิบัติที่ชัดเจนอีกครั้งหลังจากที่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและมีการตราอนุบัญญัติต่าง ๆ ตามกฎหมายแล้ว.

*ผู้เขียน ศรุต อัศวกุล, ชิโนภาส อุดมผล Optimum Solution Defined (OSD)