งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services
หนึ่งในข่าวไอทีต่างประเทศที่ได้รับความสนใจจากโลกออนไลน์ในช่วงต้นสัปดาห์ที่ผ่านมา คือไซแมนเทค (Symantec) ยักษ์ใหญ่แห่งวงการรักษาความปลอดภัยระบบคอมพิวเตอร์ที่ถูกโจรไฮเทคกลุ่ม Anonymous เรียกเงินค่าไถ่ โดยขู่ว่าหากไซแมนเทคไม่ยอมจ่ายเงิน ซอร์สโค้ดหรือชุดคำสั่งในโปรแกรม Norton Utilities และ pcAnywhere ที่ไซแมนเทควางขายแก่ผู้ใช้ จะถูกเผยแพร่ต่อสาธารณชนบนโลกออนไลน์

ไม่พูดเปล่า แต่แฮกเกอร์โจรยังขู่ไซแมนเทคด้วยการปล่อยซอร์สโค้ดบางส่วนออกมาเมื่อวันที่ 7 กุมภาพันธ์ที่ผ่านมา ซึ่งเชื่อว่าจะมีการปล่อยซอร์สโค้ดออกมาอีกในอนาคต

การปล่อยซอร์สโค้ดโปรแกรมนั้นเป็นคำขู่ที่ยิ่งใหญ่สำหรับบริษัทจำหน่ายโปรแกรมแอนตี้ไวรัสอย่างไซแมนเทค เพราะการเผยแพร่ชุดคำสั่งสู่สาธารณชนจะมีโอกาสทำให้กลุ่มผู้ไม่ประสงค์ดี สามารถศึกษาชุดคำสั่งเพื่อเจาะระบบการป้องกันที่วางไว้ได้ ไม่ต่างกับการส่งแผนที่ให้ศัตรูรู้ว่าได้วางกับดักใดไว้ในสมรภูมิรบ ซึ่งศัตรูจะสามารถหาช่องทางเจาะแนวรบเข้ามาประชิดเมืองได้ง่ายกว่าเดิม

หากประชิดเมืองได้ ชาวเมืองย่อมตกอยู่ในอันตรายอย่างไม่ต้องสงสัย เท่ากับผู้ใช้ผลิตภัณฑ์ของไซแมนเทคกำลังอยู่ในความเสี่ยง แต่ในข่าว ไซแมนเทคยืนยันว่าผู้บริโภคจะไม่ได้รับผลกระทบอะไร แถมคาดว่าซอร์สโค้ดที่กำลังจะถูกเผยแพร่เพิ่มเติมนั้นเป็นชุดคำสั่งเก่าที่จะไม่มีผลใดๆกับผู้ใช้ในพ.ศ.นี้

คำถามคือจริงหรือไม่ อย่างไร?

คำยืนยันของไซแมนเทคมีส่วนเชื่อถือได้ เพราะ Cris Paden ประชาสัมพันธ์ของไซแมนเทคนั้นยืนยันว่าชุดคำสั่งที่ Anonymous เผยแพร่ออกมาเมื่อวันที่ 7 กุมภาพันธ์นั้นเป็นชุดคำสั่งเดียวกับที่บริษัทเคยพบว่าถูกขโมยไปตั้งแต่ปี 2006 โดยเป็นชุดคำสั่งของโปรแกรม Norton Utilities และ pcAnywhere คาดว่าชุดคำสั่งต่อไปที่โจรนักแฮกจะปล่อยออกมา อาจเป็นชุดคำสั่งของโปรแกรม Norton Antivirus Corporate Edition และ Norton Internet Security ปี 2006

ความที่เป็นโปรแกรมเก่าแก่อายุมากกว่า 5 ปี ทำให้ไซแมนเทคเชื่อว่าลูกค้าไซแมนเทคและนอร์ตันจะไม่มีความเสี่ยงเพิ่มขึ้น แถมประชาสัมพันธ์ไซแมนเทคยังย้ำว่าบริษัทไม่ได้หวั่นใจกับคำขู่ของโจรนักแฮกเลย แม้นักแฮกจะเปิดฉากข่มขู่ไซแมนเทคมาตั้งแต่เดือนมกราคมที่ผ่านมาด้วยการเปิดเผยเอกสารความยาวกว่า 2,700 คำที่อธิบายหลักการทำงานของโปรแกรม Norton Antivirus

หตุผลคือเพราะเอกสารเหล่านี้เป็นเอกสารเผยแพร่ทั่วไปที่มีอายุมากกว่า 12 ปี ไม่เพียงเก่าแต่ยังไม่มีความลับด้านความปลอดภัยใดๆ ทำให้บริษัทไม่สนใจต่อการเรียกค่าไถ่ซึ่งโจรแฮกเรียกร้องไปถึง 500,000 เหรียญสหรัฐ

ประชาสัมพันธ์ไซแมนเทคชี้แจงว่าบริษัทไม่เคยส่งอีเมลต่อรองค่าไถ่แก่โจรนักแฮก แต่อีเมลที่โจรนักแฮกนำเผยแพร่เพื่อให้โลกเข้าใจว่าได้ต่อรองกับพนักงานของไซแมนเทคเรื่องค่าไถ่นั้น เป็นอีเมลที่ส่งโดยเจ้าพนักงานสหรัฐฯ ซึ่งโต้ตอบหลอกล่อเพื่อสืบหาเบาะแสขบวนการแฮกครั้งนี้ ไม่ใช่อีเมลต่อรองในนามของไซแมนเทคแต่อย่างใด

อีกส่วนที่ผู้บริโภคควรวางใจ คือขบวนการ Anonymous ไม่ได้ประสบความสำเร็จในการแฮกระบบของไซแมนเทค เพราะ Anonymous ยอมรับว่าได้รับข้อมูลซอร์สโค้ดเหล่านี้มาจากการเจาะระบบเครือข่ายทหารของรัฐบาลอินเดีย จุดนี้ไซแมนเทคปฏิเสธไม่ให้ความเห็นเกี่ยวกับแหล่งต้นตอที่ขบวนการ Anonymous อ้างไว้ โดยระบุเพียงว่าไซแมนเทคไม่เคยตกลงแบ่งปันซอร์สโค้ดกับหน่วยงานรัฐบาลอินเดียใดๆ

แต่ลึกๆแล้ว ผู้บริโภคทั่วโลกอดหวั่นใจไม่ได้ เพราะ Norton Antivirus เป็นผลิตภัณฑ์หลักที่ทำเงินให้ไซแมนเทคในธุรกิจซอฟต์แวร์สำหรับผู้บริโภคคอนซูเมอร์ (มูลค่าตลาด 2 พันล้านเหรียญ) โดยนอร์ตันเป็นโปรแกรมแอนตี้ไวรัสที่มีผู้ใช้งานมากกว่า 150 ล้านคนทั่วโลก

ขณะเดียวกัน ขนาดสุดยอดบริษัทผู้อาสาตัวเป็นผู้ดูแลความปลอดภัยระบบคอมพิวเตอร์ของหลายบริษัททั่วโลกอย่างไซแมนเทค ยังจับพลัดจับพลูถูกนักเจาะระบบดัดหลังเรียกค่าไถ่จนสูญเสียความเชื่อมั่นเช่นนี้ ย่อมแปลว่าอะไรก็เกิดขึ้นได้ในโลกออนไลน์แม้จะมีการรักษาความปลอดภัยเพียงใด

แต่ในเบื้องต้น ไซแมนเทคได้เปิดอัปเดทฟรีสำหรับผู้ใช้โปรแกรม pcAnywhere เพื่อให้ทุกคนเปลี่ยนไปใช้โปรแกรมเวอร์ชันปัจจุบัน พร้อมกับท่องคาถาเดิมว่า ขอให้ผู้บริโภคใช้โปรแกรมรักษาความปลอดภัยเวอร์ชันใหม่อยู่เสมอ เพื่อให้มั่นใจว่าคอมพิวเตอร์ได้รับการคุ้มครองที่รัดกุมตลอดเวลา

ผลกระทบเดียวของผู้บริโภคในเรื่องนี้ จึงดูเหมือนว่าเป็นการตอกย้ำความจริงเรื่องความจำเป็นในการอัปเกรดเวอร์ชันโปรแกรมแอนตี้ไวรัส ซึ่งไม่ใช่แต่บริษัทยักษ์ใหญ่ ผู้บริโภคอย่างเราทุกคนก็ไม่ควรมองข้าม

 

ปรับปรุงข้อมูล : 1/1/2557 0:00:00     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6810

กลุ่มข่าวสาร : ข่าวกิจกรรม

ข่าวล่าสุด

โครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน”
คุณธนชาต วิวัฒนภูติ Business Development & Marketing Manager จากบริษัท ลานนาคอม จำกัด ที่ได้มาให้ความรู้โครงการ "ChatGPT กับการเพิ่มประสิทธิภาพการทำงาน" กองเทคโนโลยีดิจทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ ได้ดำเนินการจัดโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” เพื่อเพิ่มประสิทธิภาพในการทำงาน ประยุกต์ใช้ให้ทันโลกแห่งการเปลี่ยนแปลง เรียนรู้วิธีการใช้งาน ChatGPT ให้เป็นประโยชน์ต่อมหาวิทยาลัยแม่โจ้ ในวันพฤหัสบดีที่ 22 มิถุนายน 2566 เวลา 9.00-12.00 น. ผ่านระบบ Webinar MS Teamsเอกสารที่เกี่ยวข้องวิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 1วิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 2
16 กรกฎาคม 2566     |      318
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้ • ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น • โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร • ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ • ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้ หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้ 1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้ 2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก 3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา 4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง 5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล 6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors 8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้ มีคำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้ 1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร 2. ตั้งงบประมาณ 3. แต่งตั้งทีมรับผิดชอบ 4. กำหนดประเภทข้อมูลและวัตถุประสงค์ 5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด 6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง 7. พัฒนาทักษะและกระบวนการตรวจสอบ 8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียดได้แบ่งออกเป็น 5 ขั้นตอน คือ 1. Data Discovery ค้นหาและตรวจสอบข้อมูลส่วนบุคคล 2. Privacy Policy กำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล 3. Security Measurement วางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล 4. Data Transfer วางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล 5. DPO แต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล PDPA in Action เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System เอกสารที่เกี่ยวข้องกับ PDPAเอกสารโครงการเตรียมความพร้อมรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) วันอังคารที่ 26 เมษายน 2565 วิดีโอโครงการฝึกอบรม “ความรู้ ความเข้าใจ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” วันศุกร์ ที่ 19 พฤษภาคม พ.ศ. 2566เอกสารอ้างอิงของมหาวิทยาลัยแม่โจ้คำสั่งแต่งตั้งคณะทำงานเพื่อศึกษาและวางแนวนโยบายในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562ประกาศมหาวิทยาลัยแม่โจ้ เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคลCookies-Policy - MJUข้อตกลงการประมวลผลข้อมูลส่วนบุคคล - MJUคำประกาศเกี่ยวกับความเป็นส่วนตัว-Privacy-Notice-MJUนโยบายการคุ้มครองข้อมูลส่วนบุคคล-Privacy-Policy - MJUแนวปฎิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล - MJUบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ-MJUเอกสารแสดงความยินยอม-Consent-Form - MJU
22 พฤษภาคม 2566     |      855