ข้อมูลส่วนบุคคลรั่วไหลกลายเป็นผู้เสียหาย จะทำอย่างไร?

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมเสนอแนวทางป้องกันกรณีข้อมูลส่วนบุคคลเรารั่วไหล และกลายเป็นผู้เสียหาย จะต้องทำหรือปฏิบัติอย่างไร

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แนะช่องทางแจ้งปัญหาภัยออนไลน์ กรณีข้อมูลส่วนบุคคลถูกเผยแพร่และเป็นผู้เสียหาย ดังนี้

1.หากรู้ว่าใครเผยแพร่ข้อมูลให้ติดต่อ และใช้สิทธิ์ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ผู้เผยแพร่ลบข้อมูลโดยเร็ว หากผู้เผยแพร่ไม่ดำเนินการสามารถติดต่อ 02-141-6996 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2.หากไม่รู้ว่าใครเป็นผู้เผยแพร่ให้รีบแจ้งความได้ที่ www.thaipoliceonline.com หรือสถานีตำรวจทั่วประเทศหรือติดต่อ 1441 ตำรวจไซเบอร์

การนำข้อมูลส่วนบุคคลที่เผยแพร่อย่างผิดกฎหมายไปใช้จะมีความผิด สามารถแจ้งปัญหาภัยออนไลน์ติดต่อได้ที่ 1212 สายด่วนกระทรวงดิจิทัลฯ

ขณะที่แนวทางป้องกันตัวเองจากผู้ไม่หวังดี ที่อาจจะแอบใช้ข้อมูลส่วนบุคคลของเราที่รั่วไหล คำแนะนำจาก ETDA 

1.หยุด

โอนเงิน ให้ข้อมูลส่วนบุคคล หรือข้อมูลสำคัญ กับบุคคลที่ไม่รู้จัก ที่ติดต่อเรา มาทาง อีเมล SMS หรือโทรศัพท์ เพราะผู้ไม่หวังดีอาจปลอมตัวเป็นเจ้าหน้าที่ของหน่วยงานต่างๆ  ติดต่อมาหาเรา และใช้ข้อมูลที่รั่วไหล สร้างความน่าเชื่อในการพูดคุยกับเรา

2.คิดก่อนคลิก

หลีกเลี่ยงการเปิดลิงก์หรือไฟล์แนบ จากอีเมลหรือ SMS ที่ไม่รู้จัก เพราะผู้ไม่หวังดีอาจส่งลิงก์หรือไฟล์แนบ มายังอีเมลหรือ SMS และหวังให้เราหลงกล กดคลิกติดตั้งมัลแวร์เพื่อขโมยข้อมูลสำคัญของเราไปใช้ทำธุรกรรมการเงินต่อได้

ดังนั้น เมื่อได้รับการติดต่อจากคนที่เราไม่รู้จัก หรือ ไม่แน่ใจว่าเป็นตัวจริง โปรดหยุดโอนเงิน ให้ข้อมูล หรือคลิกลิงก์ แล้วใช้เวลาสักนิดตรวจเช็คข้อมูลกับหน่วยงานก่อน (ควรตรวจสอบผ่านช่องทางการติดต่อทางการของหน่วยงานนั้นๆ เช่น เบอร์โทรศัพท์ ที่เผยแพร่บนเว็บไซต์หน่วยงาน เป็นต้น)

ข่าวที่เกี่ยวข้อง

- จับ ทหาร-พยาบาล ผัวเมีย แฮก 'หมอพร้อม' ข้อมูลคนไทย 55 ล้าน

- จับแฮกเกอร์ 9near ขู่ปล่อยข้อมูลส่วนตัวคนไทย 55 ล้านคน เตรียมแถลงฯวันนี้

แล้วเราจะป้องกันตัวเองได้อย่างไรก่อน

1.เปิดใช้ “วิธีการยืนยันตัวแบบหลายปัจจัย” กับบริการสำคัญ (ถ้ามี)  นอกเหนือจากการใช้ Password หรือ PIN เพียงอย่างเดียว เช่น OTP  เพื่อให้มั่นใจว่าเราที่เป็นตัวจริงเท่านั้น เข้าใช้งานได้

2.เปิดใช้งาน “ระงับบัญชี (Account) ชั่วคราว” (ถ้ามี) เมื่อไม่ได้ใช้งานบัญชีหรือ Account ในขณะนั้น เพื่อป้องกันการเข้ามาทำธุรกรรมของผู้ไม่หวังดี 

3.หมั่นตรวจสอบประวัติการเข้าใช้งาน (Log in) บัญชีออนไลน์หรือแอปพลิเคชั่นต่างๆ หากพบว่ามีการใช้งานจากอุปกรณ์ที่ไม่รู้จัก หรือไม่ใช่ของเรา ควรรีบลงชื่อออก (Log out) และเปลี่ยน Password ทันที

4.หมั่นตรวจสอบข้อมูลหรือประวัติการทำธุรกรรมทางการเงินว่า มีการโอนเงินเข้าออกที่ผิดปกติหรือไม่ หากผิดปกติให้รีบติดต่อธนาคาร โดยเร็ว

5.เมื่อข้อมูลรั่วไหล ให้แจ้งธนาคารทราบว่าข้อมูลสำคัญของเราได้รั่วไหล   เพื่อธนาคารจะได้เพิ่มกลไกตรวจสอบตัวตนของเรา หรือให้คำแนะนำที่เหมาะสมกับเราต่อไป

เมื่อข้อมูลส่วนบุคคลของผู้ใช้บริการของเรารั่วไหล จากหน่วยงานอื่น

และเราเป็นหน่วยงานที่ให้บริการ e-Service และให้ผู้ใช้บริการของเราใช้ Digital ID ที่เราออกให้ (เช่น บัญชีผู้ใช้งาน (User Account)) เข้าถึงบริการออนไลน์ของเราได้

เราจะรับมือแล้วป้องกันอย่างไร

การป้องกันในขั้นตอนการพิสูจน์ตัวตน (identity proofing) เพื่อป้องกันไม่ให้ผู้ไม่หวังดี ใช้ข้อมูลส่วนบุคคลที่รั่วไหล มาสวมรอยเป็นบุคคลอื่น ในขั้นตอนการพิสูจน์ตัวตนทั้งที่ไม่ใช่ตัวจริง

1.หน่วยงานควรตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคลกับหน่วยงานที่ออกหลักฐานแสดงตน เช่น ตรวจสอบข้อมูลโดยใช้เครื่องอ่านบัตรประจำตัวประชาชน เพื่อเปรียบเทียบกับข้อมูลจากชิป

2.หน่วยงานควรหลีกเลี่ยงการพิสูจน์ตัวตน โดยใช้แค่การตรวจสอบข้อมูลหน้าบัตรประชาชนและหมายเลขหลังบัตรประจำตัวประชาชน (laser code) เท่านั้น

การป้องกันในขั้นตอนการยืนยันตัวตน (authentication)

เพื่อป้องกันไม่ให้ผู้ไม่หวังดี สวมรอยใช้ Digital ID หรือบัญชีผู้ใช้งาน (User Account) ของเรา เข้าถึงบริการออนไลน์ของเราได้

3. หน่วยงานควรใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) ซึ่งมีการใช้ปัจจัยของการยืนยันตัวตน (authentication factor) ที่แตกต่างกันมากกว่าหนึ่งปัจจัย เช่น

• การกรอกรหัสผ่าน (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณรู้) ร่วมกับรหัส OTP ที่ส่งมายังโทรศัพท์ของผู้ใช้บริการ (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณมี)
• การเปรียบเทียบชีวมิติ (biometrics) ของผู้ใช้บริการ (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณเป็น) และเรียกใช้กุญแจเข้ารหัสที่อยู่ในแอปพลิเคชั่น (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณมี) เพื่อนำมากุญแจเข้ารหัสมาใช้ยืนยันตัวตน (cryptographic software)

ข้อมูลประกอบจาก สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม