เมื่อ 'Ransomware' จู่โจมข้อมูลที่เข้ารหัสควรปฏิบัติอย่างไร

เมื่อวันที่ 14 ม.ค.2564 European Data Protection Board (EDPD) ซึ่งทำหน้าที่ในการให้คำแนะนำเกี่ยวกับการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกในสหภาพยุโรป ได้เผยแพร่แนวทางปฏิบัติ (Guidelines 01/2021) เกี่ยวกับการจัดการเหตุการละเมิดข้อมูลส่วนบุคคล เพื่อเป็นกรณีศึกษาสำหรับผู้เกี่ยวข้องทุกฝ่ายในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งตาม Guidelines 01/2021 ได้นำกรณีศึกษาทั้งสิ้นจำนวน 18 ตัวอย่าง เพื่อให้ใช้เป็นแนวทางในการรับมือภัยคุกคามทางไซเบอร์รูปแบบต่างๆ ที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล

ในวันนี้ผู้เขียนขอนำกรณีศึกษาเกี่ยวกับ Ransomware มาเล่าให้ท่านผู้อ่านฟัง ซึ่งเมื่อไม่นานมานี้ก็มีข่าวในประเทศไทยเกี่ยวกับการที่โรงพยาบาลแห่งหนึ่งถูกเรียกค่าไถ่ด้วยมัลแวร์ประเภทนี้เช่นกัน แม้ว่า Ransomware เป็นภัยคุกคามทางไซเบอร์ที่พบอยู่มาก แต่ก็สามารถป้องกันได้เพื่อลดความเสี่ยงหรือความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลและความเสียหายทางธุรกิจที่อาจจะเกิดขึ้น

ตามกรณีศึกษาของ Guidelines 01/2021 บริษัทแห่งหนึ่งถูกโจมตีด้วย Ransomware ซึ่งเป็นมัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่นๆ กล่าวคือมันไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานแต่อย่างใด แต่จะทำการเข้ารหัสหรือล็อกไฟล์ ทำให้ไม่สามารถเปิดไฟล์ใดๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส

กรณีศึกษานี้ได้เกิดขึ้นกับระบบคอมพิวเตอร์ของบริษัทขนาดเล็กแห่งหนึ่งที่ถูกโจมตีโดย Ransomware และข้อมูลที่เก็บไว้ในระบบเหล่านั้นพยายามถูกเข้ารหัสโดยผู้โจมตี แต่ทางบริษัทได้ดูแลการเก็บข้อมูลแบบ encryption at rest กล่าวคือมีการเข้ารหัสข้อมูลอยู่แล้วขณะจัดเก็บข้อมูล 

ดังนั้น การเข้าถึงข้อมูลโดย Ransomware ทั้งหมดในกรณีนี้จึงเป็นเพียงการเข้าถึงข้อมูลที่เข้ารหัสไว้อยู่แล้วด้วยเทคนิคการเข้ารหัสข้อมูลที่ทันสมัยที่สุด (state-of-the-art encryption algorithm) รหัสใหม่ที่ทางผู้จู่โจมพยายามจะใช้เข้ารหัส จึงไม่มีผลกระทบต่อข้อมูลที่ถูกเข้ารหัสเดิมไว้แล้วและไม่สามารถเข้าถึงข้อมูลทั้งทางตรงและทางอ้อม ดังนั้น แม้ผู้จู่โจมได้เข้าถึงข้อมูลส่วนบุคคลก็ไม่ทำให้บริษัทได้รับผลกระทบจากเหตุการละเมิดข้อมูลในครั้งนี้

ภายหลังจากเกิดเหตุ ทางบริษัทได้จ้างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ เพื่อตรวจสอบเหตุการณ์ดังกล่าวจาก log บันทึกการใช้งานและข้อมูลทั้งหมดที่ออกจากบริษัท (รวมถึงอีเมลขาออกด้วย) และจากวิเคราะห์ log บันทึกการใช้งานและข้อมูลที่รวบรวมโดยระบบตรวจจับ จากการตรวจสอบภายในโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ 

จึงมั่นใจได้ว่าผู้กระทำผิดได้เพียงแค่โจมตีในส่วนของข้อมูลที่ปกป้องจากการเข้ารหัสแล้วตั้งแต่ตอนจัดเก็บเท่านั้น และไม่ได้มีการเอาข้อมูลออกโดยมิชอบจากการโจมตีดังกล่าว และมีข้อมูลส่วนบุคคลของลูกค้าและพนักงานในองค์กรเพียงเล็กน้อยเท่านั้น (หลักสิบคน) ที่ได้รับผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลในครั้งนี้

นอกจากนี้ บริษัทยังสามารถนำข้อมูลสำรองที่มีอยู่ในสภาพพร้อมใช้งานเข้ามาใช้แทนที่ได้ และในขณะเดียวกันข้อมูลที่ได้รับความเสียหายก็ได้รับการกู้คืนภายในระยะเวลาไม่กี่ชั่วโมงหลังจากเกิดเหตุการละเมิดข้อมูล ทั้งนี้ เหตุการละเมิดดังกล่าวไม่ได้ส่งผลกระทบใดๆ ในการทำงานปกติของบริษัทที่ต้องอาศัยข้อมูลส่วนบุคคลดังกล่าวในการให้บริการลูกค้าและการจ่ายเงินเดือนพนักงาน

• มาตรการและการประเมินความเสี่ยง

จากกรณีศึกษาข้างต้นจะพบว่าความเสี่ยงทั้งหมดนั้นเกิดจากผู้กระทำภายนอก แต่การโจมตีของ Ransomware ให้สำเร็จได้นั้นจะมีความเป็นไปได้น้อยลงอย่างมากหากผู้ควบคุมข้อมูลส่วนบุคคลมีการจัดทำการประเมินความเสี่ยง (risk assessment หรือกระบวนการ data protection impact assessment) เพื่อประเมินว่าองค์กรมีมาตรการด้านความมั่นคงปลอดภัยหรือจัดให้มีสภาพแวดล้อมและเทคโนโลยีที่เหมาะสมแล้วหรือไม่

 ตัวอย่างของมาตรการดังกล่าว เช่น การจัดการแพตช์ (patch management) เพื่อช่วยมั่นใจได้ว่าระบบมีการอัพเดทช่องโหว่ที่เหมาะสมแล้ว ประการสำคัญเนื่องจากการโจมตีของ Ransomware ส่วนใหญ่ใช้มักอาศัยช่องโหว่ที่มีอยู่ในระบบเป็นช่องทางการเข้าถึงและทำการโจมตี ดังนั้น การใช้ระบบตรวจจับมัลแวร์ที่เหมาะสมและการแยกส่วนของการสำรองข้อมูลไว้หลายที่ จึงเป็นมาตรการในทางเทคนิคที่จะช่วยลดความเสี่ยงจากเหตุการละเมิดได้

ประการสำคัญ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่พิจารณาผลกระทบและความรุนแรงของการละเมิดทุกครั้งต่อสิทธิและเสรีภาพของเจ้าของข้อมูล อันเป็นผลมาจากความไม่สมบูรณ์ของข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเนื่องจากมีข้อมูลส่วนบุคคลบางส่วนขาดหายไป (availability) และสภาพความเป็นความลับของข้อมูลส่วนบุคคล (confidentiality) นั้นยังคงดีอยู่หรือไม่ เพราะผู้กระทำความผิดอาจจะทำการคัดลอกข้อมูลก่อนที่จะลบทิ้ง ดังนั้น ส่วนของข้อมูลส่วนบุคคลอาจจะผสมอยู่ในข้อมูลเหล่านั้นด้วย ซึ่งหลังจากการประเมินในกรณีนี้ทำให้เห็นได้ว่าผลกระทบอันเกิดจากเหตุการละเมิดได้ลดลงอย่างมาก

• หน้าที่ตามกฎหมายกรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้นตาม GDPR กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องดำเนินในสองกรณี กล่าวคือ 1.หากเหตุการละเมิดข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล GDPR Article 33 กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งเหตุดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่รู้ หรือควรจะรู้ถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้นๆ

และ 2.หากเหตุการละเมิดข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรง GDPR Article 34 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล คำอธิบายที่เกี่ยวข้องกับเหตุการณ์ ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และมาตรการที่เหมาะสมต่อการลดความเสี่ยงที่เกิดขึ้นไปยังเจ้าของข้อมูลส่วนบุคคลโดยทันที

จากกรณีศึกษาข้างต้นจะเห็นว่าเมื่อผลกระทบของเหตุการละเมิดข้อมูลส่วนบุคคลครั้งนี้ “ไม่” ก่อให้เกิดผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด ผู้ควบคุมข้อมูลส่วนบุคคลในกรณีนี้จึงไม่ต้องดำเนินการแจ้งตาม GDPR Article 33 และ 34

หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย

เมื่อพิจารณาตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 33 จะเห็นได้ว่าในเรื่องของการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปยังสำนักงานคณะกรรมการข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลนั้นมีเงื่อนไขและระยะเวลาใกล้เคียงกับ GDPR กล่าวคือผู้ควบคุมข้อมูลส่วนบุคคลไม่จำเป็นต้องแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลถ้าเหตุการณ์นั้นๆ ไม่ส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล 

อย่างไรก็ตาม ในส่วนของการแจ้งตามมาตรา 33 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ยังคงต้องรอวิธีการและแนวทางการปฏิบัติที่ชัดเจนอีกครั้งหลังจากที่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและมีการตราอนุบัญญัติต่างๆ ตามกฎหมายแล้ว