'Pen Test' ในบริบท 'กฎหมายข้อมูลส่วนบุคคล'
ปัจจุบันหลายองค์กรมีการใช้ "Pen Test" หรือการแฮ็กที่มีจริยธรรมทดสอบการป้องกันขององค์กร เพื่อจำลองการถูกโจมตี ซึ่งส่วนหนึ่งสามารถเข้าถึงข้อมูลส่วนบุคคลได้ สิ่งเหล่านี้ขัดต่อ "กฎหมายข้อมูลส่วนบุคคล" หรือไม่?
การทดสอบการเจาะระบบ Penetration Test หรือที่เรามักเรียกกันว่า Pen Test หรือการแฮ็กที่มีจริยธรรมทดสอบการป้องกันขององค์กร โดยเจาะเข้าไปในระบบคอมพิวเตอร์หรืออุปกรณ์อย่างถูกกฎหมาย ผ่านการจำลองการโจมตีที่ได้รับอนุญาต จุดมุ่งหมายเพื่อประเมินความเสี่ยงและค้นหาจุดอ่อนในการเข้าถึงระบบต่างๆ โดยใช้ผู้เชี่ยวชาญเฉพาะด้าน
การทดสอบจะช่วยให้สามารถประเมินความเสี่ยงของระบบเครือข่าย พร้อมสรุปผลการทดสอบและประเมินความเสี่ยงเพื่อเตรียมการป้องกันไว้ก่อนได้อย่างถูกต้อง ซึ่งในทางปฏิบัติ การทดสอบการเจาะระบบมีข้อดีดังนี้
1.เปิดเผยช่องโหว่และความเสี่ยงที่แท้จริงปัจจุบันขององค์กร
การทดสอบการเจาะระบบช่วยระบุจุดอ่อนที่อาจเกิดขึ้นในระบบขององค์กร องค์กรจำเป็นต้องตรวจสอบให้แน่ใจว่าพบช่องโหว่เหล่านี้และได้รับการแก้ไขก่อนที่ผู้โจมตีจะดำเนินการโจมตี ผู้ทดสอบการเจาะระบบไม่เพียงแสดงให้เห็นช่องโหว่ แต่ช่วยให้เห็นผลลัพธ์ด้วยว่าผู้โจมตีสามารถทำอะไรได้บ้างใน “โลกแห่งความจริง” ในระบบปัจจุบันขององค์กร
2.ทดสอบความสามารถในการป้องกันทางไซเบอร์ปัจจุบันขององค์กร
การทดสอบยังช่วยเปิดเผยว่าทีมรักษาความปลอดภัยขององค์กรจัดการกับสถานการณ์ดังกล่าวได้อย่างไร ทีมรักษาความปลอดภัยขององค์กรสามารถตรวจจับการโจมตีและตอบสนองได้หรือไม่ รวมถึงการตรวจสอบการโจมตีค้นหาผู้บุกรุกและการสกัดกั้นการโจมตีอย่างไร การทดสอบจะให้ข้อเสนอแนะที่เป็นประโยชน์แก่องค์กร เพื่อดูว่าจำเป็นต้องดำเนินการเพื่อปรับปรุงการป้องกันรักษาความปลอดภัยขององค์กรหรือไม่
3.เสียค่าใช้จ่ายน้อยกว่าค่าปรับจากเหตุการละเมิดข้อมูลส่วนบุคคล
การโจมตีด้วยการแฮ็กและเหตุการละเมิดข้อมูลส่วนบุคคลส่งผลกระทบอย่างมากต่อธุรกิจ ทำให้สูญเสียความเชื่อมั่นจากนักลงทุนอย่างมาก ตัวอย่างเช่น ในสหราชอาณาจักร หลังจากการถูกโจมตีพบว่าราคาหุ้นลดลงอย่างถาวรโดยเฉลี่ย 1.8% เลยทีเดียวสำหรับบริษัทที่จดทะเบียนใน FTSE100
แม้ว่าการลงทุนในมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เหมาะสมนั้น อาจเป็นเรื่องยากสำหรับธุรกิจขนาดเล็ก แต่ด้วยความเสี่ยงในปัจจุบันก็อาจกลายเป็นค่าใช้จ่ายที่จำเป็นไปแล้ว และแม้ว่าการทดสอบอาจไม่ได้ราคาถูก แต่การทดสอบเป็นประจำจะช่วยให้องค์กรประหยัดเงินได้ในระยะยาว ซึ่งไม่ใช่แค่ค่าปรับที่อาจเกิดขึ้นเท่านั้น แต่ยังรวมถึงการสูญเสียความเชื่อมั่นของลูกค้าจากการถูกโจมตีทางไซเบอร์ด้วย
4.สามารถช่วยรักษาธุรกิจ
ตามรายงานล่าสุดของ Hiscox บริษัทประกันภัยของอังกฤษที่เป็นผู้ให้บริการโซลูชั่นประกันภัยสำหรับความปลอดภัยจากแฮกเกอร์ ระบุว่า ค่าใช้จ่ายเฉลี่ยของเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับไซเบอร์อยู่ที่ประมาณ 34,604 ดอลลาร์สำหรับธุรกิจขนาดเล็ก และ 1.05 ล้านดอลลาร์สำหรับธุรกิจขนาดใหญ่ และเนื่องจากธุรกิจขนาดเล็กจำนวนมากอาจไม่ได้เตรียมพร้อมสำหรับจากการโจมตีทางไซเบอร์ จึงมักไม่มีกลยุทธ์ที่จะช่วยควบคุมเหตุการณ์ได้แต่เนิ่นๆ และไม่สามารถจำกัดความเสียหาย
หมายความว่า ค่าใช้จ่ายที่จำเป็นต้องจ่ายหลังจากถูกโจมตีนั้นมีแนวโน้มสูงจากการที่ถูกละเมิดข้อมูลส่วนบุคคลและอาจไม่สามารถจ่ายค่าปรับตามกฎหมายได้
5.เป็นการปฏิบัติตามข้อบังคับและการรับรอง
การทดสอบการเจาะระบบอาจมีความจำเป็นสำหรับอุตสาหกรรมบางประเภทและข้อกำหนดด้านการปฏิบัติตามกฎหมาย ตัวอย่างเช่น หากต้องการได้รับการรับรอง ISO 27001 ซึ่งเป็นมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management Systems : ISMS) มาตรฐานนี้ให้ต้นแบบสำหรับการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยและการนำไปปฏิบัติ รวมถึงการบริหารจัดการความปลอดภัยมาตรฐาน ISO 27001 ได้ระบุแนวทางการดำเนินงานและการบริหารจัดการที่จะช่วยในการเก็บรักษาข้อมูลได้อย่างปลอดภัย เป็นต้น
ท่านผู้อ่านจะเห็นได้ว่า การทำ Pen Test ดังกล่าวมีประโยชน์อย่างมาก แต่ก็อาจจำเป็นต้องทำด้วยความระมัดระวังและโดยผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลเช่นกัน โดย European Data Protection Board (EDPB) ได้ให้ข้อแนะนำว่า ในขั้นตอนการทดสอบนั้นควรหลีกเลี่ยงการสุ่มตัวอย่างข้อมูลส่วนบุคคลที่แท้จริง เนื่องจากอาจเป็นการผิดวัตถุประสงค์ของการเก็บรวบรวมและใช้ข้อมูลดังกล่าว และในสภาพแวดล้อมการทดสอบยังอาจส่งผลให้มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่ไม่ได้รับอนุญาตอีกด้วย ในกรณีที่เป็นไปได้จึงควรใช้ข้อมูลทดสอบที่สร้างขึ้นโดยเทียมเท่านั้น
แนวคิดในเรื่อง “การป้องกันและประเมินความเสี่ยง” นั้นเป็นหลักการหนึ่งที่กำหนดไว้ใน GDPR และเป็นการปฏิบัติตามหลักการที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถแสดงออกซึ่งความรับผิดชอบต่อข้อมูลได้ โดยมาตรา 32 ของ GDPR กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการความปลอดภัยที่ “เหมาะสมกับความเสี่ยง” ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
มาตรการเหล่านี้อาจรวมถึง (1) การเข้ารหัสข้อมูลส่วนบุคคล (2) การดูแลให้ระบบประมวลผลและบริการมีความปลอดภัยและยืดหยุ่น (3) ระบบสามารถเรียกคืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลภายในระยะเวลาที่เหมาะสมหลังจากมีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น และ (4) การจัดให้มีกระบวนการสำหรับการทดสอบและประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อรับรองความปลอดภัยของการประมวลผล
สำหรับประเทศไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ในมาตรา 37 (1) ว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มี “มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม”
ขณะที่มาตรา 40 กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเช่นกัน ซึ่งผู้เขียนเห็นว่าสอดคล้องกับ GDPR มาตรา 32 และข้อแนะนำของ EDPB ข้างต้น
การไม่มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม ก็อาจนำมาซึ่งความรับผิดตามกฎหมายได้เช่นกัน ด้วยเหตุนี้การทำ Pen Test จึงเป็นวิธีการหนึ่งเพื่อสร้างและรักษาระบบความปลอดภัยตามที่กฎหมายกำหนด