Pen Test ในบริบทกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Pen Test ในบริบทกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Penetration Test หรือ Pen Test เป็นการแฮ็กที่มีจริยธรรมทดสอบการป้องกันขององค์กร โดยการเจาะเข้าไปในระบบคอมพิวเตอร์หรืออุปกรณ์อย่างถูกกฎหมาย

 HIGHLIGHTS

  • Pen Test จำเป็นต้องทำด้วยความระมัดระวังและภายใต้การดูแลของผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล
  • ในการทำ Pen Test ควรหลีกเลี่ยงการสุ่มตัวอย่างข้อมูลส่วนบุคคลที่แท้จริง เนื่องจากอาจเป็นการผิดวัตถุประสงค์ของการเก็บรวบรวมและใช้ข้อมูลดังกล่าว และยังอาจส่งผลให้มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่ไม่ได้รับอนุญาตอีกด้วย
  • การป้องกันและประเมินความเสี่ยงเป็นหลักการหนึ่งที่กำหนดไว้ใน GDPR และเป็นการปฏิบัติตามหลักการที่กำหนดให้ผู้ควบควบข้อมูลส่วนบุคคลสามารถแสดงออกซึ่งความรับผิดชอบต่อข้อมูลได้

 การทดสอบการเจาะระบบ Penetration Test หรือที่เรามักเรียกกันว่า Pen Test มีจุดมุ่งหมายเพื่อประเมินความเสี่ยงและค้นหาจุดอ่อนในการเข้าถึงระบบต่างๆ โดยใช้ผู้เชี่ยวชาญเฉพาะด้าน ซึ่งการทดสอบจะช่วยให้สามารถประเมินความเสี่ยงของระบบเครือข่ายว่ามีความเสี่ยงตรงจุดไหน พร้อมสรุปผลการทดสอบและประเมินความเสี่ยงเพื่อเตรียมการป้องกันไว้ก่อนได้อย่างถูกต้อง ซึ่งในทางปฏิบัติ การทดสอบการเจาะระบบมีข้อดีดังนี้

1.เปิดเผยช่องโหว่และความเสี่ยงที่แท้จริงปัจจุบันขององค์กร

การทดสอบการเจาะระบบช่วยระบุจุดอ่อนที่อาจเกิดขึ้นในระบบขององค์กร องค์กรจำเป็นต้องตรวจสอบให้แน่ใจว่าพบช่องโหว่เหล่านี้และได้รับการแก้ไขก่อนที่ผู้โจมตีจะดำเนินการโจมตี ผู้ทดสอบการเจาะระบบไม่เพียงแสดงให้เห็นช่องโหว่ แต่ช่วยให้เห็นผลลัพธ์ด้วยว่าผู้โจมตีสามารถทำอะไรได้บ้างใน “โลกแห่งความจริง” ในระบบปัจจุบันขององค์กร

2.ทดสอบความสามารถในการป้องกันทางไซเบอร์ปัจจุบันขององค์กร

การทดสอบยังช่วยเปิดเผยว่าทีมรักษาความปลอดภัยขององค์กรจัดการกับสถานการณ์ดังกล่าวได้อย่างไร ทีมรักษาความปลอดภัยขององค์กรสามารถตรวจจับการโจมตีและตอบสนองได้หรือไม่ รวมถึงการตรวจสอบการโจมตีค้นหาผู้บุกรุกและการสกัดกั้นการโจมตีอย่างไร  การทดสอบจะให้ข้อเสนอแนะที่เป็นประโยชน์แก่องค์กรเพื่อดูว่าจำเป็นต้องดำเนินการเพื่อปรับปรุงการป้องกันรักษาความปลอดภัยขององค์กรหรือไม่

3.เสียค่าใช้จ่ายน้อยกว่าค่าปรับจากเหตุการละเมิดข้อมูลส่วนบุคคล

การโจมตีด้วยการแฮ็กและเหตุการละเมิดข้อมูลส่วนบุคคลส่งผลกระทบอย่างมากต่อธุรกิจ และทำให้สูญเสียความเชื่อมั่นจากนักลงทุนอย่างมาก ตัวอย่างเช่น ในสหราชอาณาจักร หลังจากการถูกโจมตีพบว่าจะผลต่อราคาหุ้นลดลงอย่างถาวรโดยเฉลี่ย 1.8% เลยทีเดียวสำหรับบริษัทที่จดทะเบียนใน FTSE 100

แม้ว่าการลงทุนในมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เหมาะสมนั้น อาจเป็นเรื่องยากสำหรับธุรกิจขนาดเล็ก แต่ด้วยความเสี่ยงในปัจจุบันก็อาจกลายเป็นค่าใช้จ่ายที่จำเป็นไปแล้ว และแม้ว่าการทดสอบอาจไม่ได้ราคาถูก แต่การทดสอบเป็นประจำจะช่วยให้องค์กรประหยัดเงินได้ในระยะยาว ซึ่งไม่ใช่แค่ค่าปรับที่อาจเกิดขึ้นเท่านั้น แต่ยังรวมถึงการสูญเสียความเชื่อมั่นของลูกค้าจากการถูกโจมตีทางไซเบอร์ด้วย

4.สามารถช่วยรักษาธุรกิจได้

ตามรายงานล่าสุดของ Hiscox ซึ่งเป็นบริษัทประกันภัยของอังกฤษที่เป็นผู้ให้บริการโซลูชั่นประกันภัยสำหรับความปลอดภัยจากแฮ็กเกอร์ ระบุว่าค่าใช้จ่ายเฉลี่ยของเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับไซเบอร์อยู่ที่ประมาณ 34,604 ดอลลาร์สำหรับธุรกิจขนาดเล็กและ 1.05 ล้านดอลลาร์สำหรับธุรกิจขนาดใหญ่

และเนื่องจากธุรกิจขนาดเล็กจำนวนมากอาจไม่ได้เตรียมพร้อมสำหรับจากการโจมตีทางไซเบอร์ จึงมักไม่มีกลยุทธ์ที่จะช่วยควบคุมเหตุการณ์ได้แต่เนิ่น ๆ และไม่สามารถจำกัดความเสียหายได้  ซึ่งนั่นหมายความว่าค่าใช้จ่ายที่จำเป็นต้องจ่ายหลังจากถูกโจมตีนั้นมีแนวโน้มสูงจากการที่ถูกละเมิดข้อมูลส่วนบุคคลและอาจไม่สามารถจ่ายค่าปรับตามกฎหมายได้

5.เป็นการปฏิบัติตามข้อบังคับและการรับรอง

การทดสอบการเจาะระบบอาจมีความจำเป็นสำหรับอุตสาหกรรมบางประเภทและข้อกำหนดด้านการปฏิบัติตามกฎหมาย ตัวอย่างเช่น หากต้องการได้รับการรับรอง ISO 27001 ซึ่งเป็นมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) มาตรฐานนี้ให้ต้นแบบสำหรับการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยและการนำไปปฏิบัติ รวมถึงการบริหารจัดการความปลอดภัยมาตรฐาน ISO 27001 ได้ระบุแนวทางการดำเนินงานและการบริหารจัดการที่จะช่วยในการเก็บรักษาข้อมูลได้อย่างปลอดภัย เป็นต้น

ท่านผู้อ่านจะเห็นได้ว่าการทำ Pen Test ดังกล่าวมีประโยชน์อย่างมาก แต่ก็อาจจำเป็นต้องทำด้วยความระมัดระวังและโดยผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลเช่นกัน โดย European Data Protection Board (EDPB) ได้ให้ข้อแนะนำว่าในขั้นตอนการทดสอบนั้น ควรหลีกเลี่ยงการสุ่มตัวอย่างข้อมูลส่วนบุคคลที่แท้จริง

เนื่องจากอาจเป็นการผิดวัตถุประสงค์ของการเก็บรวบรวมและใช้ข้อมูลดังกล่าว (purpose limitation) และในสภาพแวดล้อมการทดสอบยังอาจส่งผลให้มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่ไม่ได้รับอนุญาตอีกด้วย (data breach) ในกรณีที่เป็นไปได้จึงควรใช้ข้อมูลทดสอบที่สร้างขึ้นโดยเทียมเท่านั้น (artificially created test data)

แนวคิดในเรื่อง “การป้องกันและประเมินความเสี่ยงนั้นเป็นหลักการหนึ่งที่กำหนดไว้ใน GDPR และเป็นการปฏิบัติตามหลักการที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถแสดงออกซึ่งความรับผิดชอบต่อข้อมูลได้ (accountability principle) โดยมาตรา 32 ของ GDPR กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการความปลอดภัยที่ เหมาะสมกับความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล

มาตรการเหล่านี้อาจรวมถึง

(​1) การเข้ารหัสข้อมูลส่วนบุคคล

(2) การดูแลให้ระบบประมวลผลและบริการมีความปลอดภัยและยืดหยุ่น

(3) ระบบสามารถเรียกคืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลภายในระยะเวลาที่เหมาะสม หลังจากมีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น และ

(4) การจัดให้มีกระบวนการสำหรับการทดสอบประเมินและประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ เพื่อรับรองความปลอดภัยของการประมวลผล

สำหรับประเทศไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  กำหนดไว้ในมาตรา 37(1) ว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม” 

ในขณะที่มาตรา 40 กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเช่นกัน ซึ่งผู้เขียนเห็นว่าสอดคล้องกับ GDPR มาตรา 32 และข้อแนะนำของ EDPB ข้างต้น

การไม่มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมก็อาจนำมาซึ่งความรับผิดตามกฎหมายได้เช่นกัน ด้วยเหตุนี้ การทำ Pen Test จึงเป็นวิธีการหนึ่งเพื่อสร้างและรักษาระบบความปลอดภัยตามที่กฎหมายกำหนด.

*บทความโดย ศรุต อัศวกุล Optimum Solution Defined (OSD), 

ศุภวัชร์ มาลานนท์ Certified Information Privacy Professional/ Europe

คณะนิติศาสตร์ ม.สงขลานครินทร์ 

อ้างอิง

  • IT Governance Europe, Penetration testing and the EU GDPR
  • https://businesscasestudies.co.uk/how-penetration-testing-can-protect-your-business/
  • ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on Personal data breach notification under Regulation 2016/679 (Revised and Adopted on 6 February 2018)
  • EDPB, Guidelines on the protection of personal data in IT governance and IT management of EU institutions (23 March 2018)