งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

ถือเป็นหนึ่งในวิกฤตออนไลน์ซึ่งสื่ออเมริกันให้ความสนใจมากในขณะนี้ สำหรับบริษัท Epsilon Data Management บริษัทการตลาดออนไลน์ซึ่งถูกโจรไฮเทคเจาะระบบเข้าไปขโมยข้อมูลส่วนตัวของผู้บริโภคที่ Epsilon เก็บรักษาไว้ เพราะปรากฏว่าส่วนหนึ่งของข้อมูลที่ถูกขโมยไปนั้นเป็นข้อมูลชื่อและอีเมลของลูกค้าขององค์กรยักษ์ใหญ่ในสหรัฐฯมากกว่า 50 แห่ง ทำให้ขณะนี้ บริษัทยักษ์ใหญ่ในสหรัฐฯต่างออกมาประกาศเตือนภัยลูกค้าของตัวเองให้ระมัดระวัง อย่าหลงเชื่ออีเมลปลอมซึ่งอาจแพร่ระบาดในอนาคตอันใกล้
       
       ขณะนี้ บริษัทสถาบันการเงิน ร้านค้าปลีก และบริษัทเอกชนยักษ์ใหญ่อเมริกันอย่าง JPMorgan Chase, Kroger, TiVo, Best Buy, Walgreen, Capital One และบริษัทอื่นๆ เริ่มประกาศเตือนภัยลูกค้าให้ระวังภัยล่อลวงในอีเมล เนื่องจากข้อมูลชื่อและอีเมลลูกค้าบางส่วนนั้นตกอยู่ในมือของโจรไฮเทคทันทีที่บริษัท Epsilon ถูกเจาะระบบ โดยบริษัท Epsilon นั้นเป็นบริษัทรับเอาท์ซอร์สบริการส่งอีเมลแทนองค์กรอเมริกันมากกว่า 2,500 แห่ง
       
       อย่างไรก็ตาม สิ่งที่เกิดขึ้นไม่ได้สร้างความหวั่นใจให้ผู้บริโภคอย่างเดียว แต่ยังนำไปสู่ความไม่พอใจด้วย เพราะชาวอเมริกันมองว่าบริษัทเหล่านี้ไม่มีสิทธิ์ส่งต่อข้อมูลส่วนตัวให้กับบริษัทอื่นโดยที่ไม่ได้รับความเห็นชอบ ที่สำคัญ นักวิเคราะห์นั้นมองว่า การโจมตี Epsilon นั้นเป็นสัญญาณที่แสดงว่านับจากนี้ นักเจาะระบบจะหันมาให้ความสำคัญกับการเจาะระบบบริษัทเอาท์ซอร์สลักษณะเดียวกับ Epsilon เนื่องจากกรณีที่เกิดขึ้นถือเป็นสุดยอดกรณีศึกษาที่ทำให้เห็นความคุ้มค่าในการลงมือเจาะระบบเดียวแต่ได้ข้อมูลเหยื่อจากหลายบริษัท
       
       จุดนี้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยคอมพิวเตอร์มองว่า นับจากนี้โลกจะกังวลกับช่องโหว่ในบริษัทเอาท์ซอร์สซึ่งเก็บข้อมูลส่วนบุคคลของผู้บริโภคมากยิ่งขึ้น โดย John Pescatore นักวิเคราะห์ด้านความปลอดภัยของการ์ทเนอร์ ให้ความเห็นว่ากรณี Epsilon คือหนึ่งในตัวอย่างมากมายที่แสดงถึงเหตุผลที่บริษัทซึ่งรับเอาท์ซอร์สงานจากบริษัทหลายพันแห่ง จะต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่มากกว่าบริษัทซึ่งเก็บข้อมูลเฉพาะลูกค้าของตัวเอง
       
       สิ่งที่เกิดขึ้นทำให้ผู้เชี่ยวชาญแสดงความกังวลว่า ชาวอเมริกันกำลังตกอยู่ในความเสี่ยงถูกล่อลวงด้วยภัยออนไลน์ทางอีเมล โดยเฉพาะภัยฟิชชิง (phishing) ซึ่งมักทำให้โจรร้ายได้รับข้อมูลสำคัญเช่น รหัสผ่าน ข้อมูลลับทางการเงิน และข้อมูลอื่นๆ แม้ฟิชชิงจะได้รับการระบุว่าเข้าสู่ช่วงขาลงเมื่อปี 2009 ที่ผ่านมา
       
       ฟิชชิงคือการตบตาผู้บริโภคด้วยอีเมลปลอม โดยโจรขโมยข้อมูลจะส่งอีเมลปลอมซึ่งจงใจสร้างให้เหมือนว่าเป็นอีเมลจากธนาคาร สถาบันการเงิน หรือหน่วยงานใหญ่ที่น่าเชื่อถือ เนื้อหาในเมลคือการแต่งเรื่องเพื่อจูงใจให้ผู้ใช้หลงคลิกลิงก์เว็บไซต์ปลอมที่แนบมาในเมล เว็บไซต์ปลอมเหล่านี้จะมีช่องให้ผู้ใช้กรอกข้อมูลสำคัญเพื่อยืนยันตัวบุคคล เช่นชื่อยูสเซอร์เนม พาสเวิร์ด เลขที่บัตรเครดิต หรือข้อมูลสำคัญตามที่โจรต้องการ และเมื่อผู้ใช้หลงกลกรอกและส่งข้อมูลไป ข้อมูลสำคัญก็จะตกไปอยู่ในมือโจรร้ายแทน
       
       ฟิชชิงที่พบบ่อยคือ อีเมลปลอมแจ้งผู้ใช้ว่าธุรกรรมการเงินมีปัญหา และต้องได้รับการยืนยันข้อมูลอย่างเร่งด่วน อย่างไรก็ตาม ปลายปี 2009 ผลสำรวจสแปมเมลจากยักษ์ใหญ่ไอบีเอ็ม (IBM) พบว่าช่วงเวลาดังกล่าวคือภาวะขาลงของอีเมลลวงประเภทฟิชชิงอย่างชัดเจน โดยพบว่าสัดส่วนเมลฟิชชิงครึ่งปีแรกของปี 2009 มีจำนวนน้อยกว่าสัดส่วนในช่วงเวลาเดียวกันของปี 2008 ซึ่งสามารถตรวจพบเมลฟิชชิงราว 0.2-0.8% ของสแปมเมลทั้งหมด
       
       สำหรับกรณีของ Epsilon ประชาสัมพันธ์ Jessica Simon ปฏิเสธที่จะให้ข้อมูลความเสียหายจากการถูกเจาะระบบครั้งนี้ ทั้งในแง่จำนวนชื่อและอีเมลแอดเดรสที่ถูกขโมย รวมถึงแนวทางแก้ไขในอนาคต แต่ยืนยันว่านอกจากชื่อและอีเมล ไม่มีข้อมูลส่วนตัวอื่นใดของลูกค้าที่ถูกขโมย โดยขณะนี้บริษัทกำลังอยู่ระหว่างการสอบสวนและป้องกันปัญหาอย่างเต็มกำลัง
       
       ล่าสุด มีการประเมินจาก SecurityWeek บริษัทอินเทอร์เน็ตซีเคียวริตี้ในสหรัฐฯ ว่า Epsilon นั้นมีการส่งออกอีเมลมากกว่า 4 หมื่นล้านฉบับต่อปี ซึ่งดำเนินการแทนบริษัทอเมริกันมากกว่า 2,500 แห่ง โดยตัวเลขดังกล่าวไม่ได้รับการยืนยันใดๆจาก Epsilon
       
       นอกจากการเตือนภัยลูกค้าของแต่ละบริษัท รายงานระบุว่าบริษัทซึ่งเป็นลูกค้าที่เอาท์ซอร์สงานให้บริษัท Epsilon กำลังมีการสอบสวนภายในเพื่อวิเคราะห์และยืนยันข้อมูลที่ส่งให้ Epsilon โดยทั้งหมดยังไม่มีการให้ข้อมูลผลกระทบที่ลูกค้าได้รับในขณะนี้

ปรับปรุงข้อมูล : 9/11/2554 15:54:16     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6658

กลุ่มข่าวสาร : ข่าวประกาศ

ข่าวล่าสุด

โครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน”
คุณธนชาต วิวัฒนภูติ Business Development & Marketing Manager จากบริษัท ลานนาคอม จำกัด ที่ได้มาให้ความรู้โครงการ "ChatGPT กับการเพิ่มประสิทธิภาพการทำงาน" กองเทคโนโลยีดิจทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ ได้ดำเนินการจัดโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” เพื่อเพิ่มประสิทธิภาพในการทำงาน ประยุกต์ใช้ให้ทันโลกแห่งการเปลี่ยนแปลง เรียนรู้วิธีการใช้งาน ChatGPT ให้เป็นประโยชน์ต่อมหาวิทยาลัยแม่โจ้ ในวันพฤหัสบดีที่ 22 มิถุนายน 2566 เวลา 9.00-12.00 น. ผ่านระบบ Webinar MS Teamsเอกสารที่เกี่ยวข้องวิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 1วิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 2
16 กรกฎาคม 2566     |      318
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้ • ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น • โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร • ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ • ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้ หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้ 1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้ 2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก 3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา 4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง 5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล 6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors 8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้ มีคำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้ 1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร 2. ตั้งงบประมาณ 3. แต่งตั้งทีมรับผิดชอบ 4. กำหนดประเภทข้อมูลและวัตถุประสงค์ 5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด 6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง 7. พัฒนาทักษะและกระบวนการตรวจสอบ 8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียดได้แบ่งออกเป็น 5 ขั้นตอน คือ 1. Data Discovery ค้นหาและตรวจสอบข้อมูลส่วนบุคคล 2. Privacy Policy กำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล 3. Security Measurement วางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล 4. Data Transfer วางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล 5. DPO แต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล PDPA in Action เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System เอกสารที่เกี่ยวข้องกับ PDPAเอกสารโครงการเตรียมความพร้อมรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) วันอังคารที่ 26 เมษายน 2565 วิดีโอโครงการฝึกอบรม “ความรู้ ความเข้าใจ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” วันศุกร์ ที่ 19 พฤษภาคม พ.ศ. 2566เอกสารอ้างอิงของมหาวิทยาลัยแม่โจ้คำสั่งแต่งตั้งคณะทำงานเพื่อศึกษาและวางแนวนโยบายในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562ประกาศมหาวิทยาลัยแม่โจ้ เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคลCookies-Policy - MJUข้อตกลงการประมวลผลข้อมูลส่วนบุคคล - MJUคำประกาศเกี่ยวกับความเป็นส่วนตัว-Privacy-Notice-MJUนโยบายการคุ้มครองข้อมูลส่วนบุคคล-Privacy-Policy - MJUแนวปฎิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล - MJUบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ-MJUเอกสารแสดงความยินยอม-Consent-Form - MJU
22 พฤษภาคม 2566     |      856