เราควรจ่ายค่าปิดปากให้ Ransomware หรือจ้างทนายเก่งๆดี?

จ่ายค่าปิดปาก ransomware

PDPA ปีหน้าจะมาแล้ว ควรจ่ายค่าปิดปากให้แฮกเกอร์ไม่ให้เอาข้อมูลที่ขโมยออกไปขายดีหรือเปล่า ซึ่งหลายธุรกิจโดน Ransomware ยอมจ่ายค่ากู้ข้อมูลบ้างไม่จ่ายบ้าง ซึ่งกู้ข้อมูลด้วยตัวเองสำเร็จแทบไม่มี ปัจจุบันองค์กรไหนที่โดนแฮกเอาข้อมูลออกไปก็กลายเป็นตัวอย่างให้กับธุรกิจที่ยังไม่โดน ให้ได้ตื่นตัวกับการสำรองข้อมูล ซึ่งเป็นปัญหาปลายเหตุเท่านั้น 

Ransomware ไม่ใช่แค่จ่ายค่าไถ่ แต่เป็นต้นทุนทางธุรกิจ

จนทุกวันนี้ Ransomware เป็นแค่ภัยไม่ร้าย แค่ทำให้เสียเวลากู้คืนระบบจากฐานข้อมูลแบคอัพเท่านั้น แฮกเกอร์ก็เลยต้องเล่นมุขใหม่ไม่ใช่แค่เข้าไปใส่ Password ไม่ให้เข้าถึงไฟล์เท่านั้น แต่แฮกเกอร์เอาข้อมูลออก ออกจากฐานข้อมูลเพื่อไม่ให้กู้คืนระบบจากการแบคอัพ ซึ่งทำทั้งสองทางนั่นเอง

เรียกค่าไถ่ไม่ได้ เอาไปขายตลาดมืดก็แล้วกัน

แฮกเกอร์จะเอาข้อมูลไปขาย ถ้าธุรกิจไม่ยอมจ่ายค่าไถ่ อย่างน้อยได้ข้อมูลไปขายในตลาดมืด ก็ยังได้เงินมาบ้าง อยู่ที่ว่าขโมยข้อมูลอะไรไป สำคัญมากแค่ไหน ซึ่งคนที่ซื้อก็คือโจรด้วยกัน ที่เอาข้อมูลของเราไปใช้ก่ออาชญากรรมอีกที

เรียกค่าไถ่ไม่ได้ ก็ทำลายความน่าเชื่อถือแล้วกัน

เมื่อไม่นานมา นี้ บริษัทค้าปลีกและโรงแรมชื่อดังอย่างบริษัท เซ็นทรัล เรสตอรองส์ กรุ๊ป จำกัด ถูก Desorden Group (กลุ่มแฮกเกอร์) เข้าไปขโมยข้อมูลจากระบบผ่านทาง Web access (หลังบ้านของเว็บ) ทำให้แฮกเกอร์ได้ข้อมูลลูกค้าไปหลายล้านรายจากลูกค้าร้านอาหารและโรงแรมหรูในเครือทั่วโลก จากข้อมูลกว่า 400GB จากเซิร์ฟเวอร์ 5 เครื่อง 

ที่น่าสนใจคือมีการตกลงกับทางแฮกเกอร์ในวันที่ 26 ตุลาคมที่ผ่านมาว่าจะยอมจ่ายค่าไถ่เป็นเงิน 900,000USD แต่พอถึงกำหนด ไม่ได้มีการจ่ายค่าไถ่ โจรโมโห ก็เลยล้างแค้น ลงมือขโมยข้อมูล แล้วเอามาให้สัมภาษณ์ประจานกันซะเลย โดยยังตัดข้อมูลที่ขโมยไปได้ส่วนหนึ่ง มาแปะเป็นตัวอย่าง ประกาศขายข้อมูลชุดเต็มอีก ใครที่อยากเห็นด้วยตาตัวเองว่า คนร้ายได้ข้อมูลอะไรไปบ้าง ไม่ได้ยากที่จะค้นคำว่า Desorden CRG data download โหลดข้อมูลตัวอย่างมาดูกันเองได้ครับ

ขโมยข้อมูล แต่ไม่ได้ขโมยเลขบัตรเครดิต

แม้คนร้ายจะประจานอย่างไร ก็อย่างที่เราได้เห็นจากหน้าข่าวแล้ว วิธีที่ธุรกิจออกมาแก้ต่างคือ “โจรขโมยข้อมูลส่วนตัวออกไป ไม่ใช่ข้อมูลบัตรเครดิต” อาศัยความไม่รู้ของคนทั่วไปว่า คนร้ายเอาข้อมูลของเราไปทำอะไรได้บ้าง พรางเรื่องร้ายแรงให้จาง ๆ ลงไปได้อย่างแยบยล

PDPA จะทำให้ข้อมูลหลุดเป็นโทษปรับมหาศาล

ปีนี้ภาคธุรกิจที่ถูกขโมยข้อมูลอาจจะเพียงแค่ออกประกาศคลายความกังวลกันไป แต่ปีหน้าการบังคับใช้ พรบ ข้อมูลส่วนบุคคล PDPA จะทำให้เรื่องแบบนี้กลายเป็นเรื่องใหญ่ขึ้นไปอีก ต่อไปนี้เป็นการย่อ ราชกิจจานุเบกษา เล่ม 136 ตอนที่ 69 ก (27 พฤษภาคม 2562) เป็นภาษาที่เข้าใจง่าย โปรดอ้างกับ พรบ.ฉบับจริงเพื่อความเข้าใจครบถ้วน

  • มาตรา 37 และ 40 บอกว่า ต้องเก็บข้อมูลให้ปลอดภัย ไม่ต่ำกว่ามาตรฐานที่คณะกรรมการ PDPA กำหนด และถ้าโดนขโมยข้อมูล ก็ต้องแจ้งกับ PDPA ใน 3 วัน และแจ้งเจ้าของข้อมูลด้วย
  • มาตรา 72 และ 76 บอกว่า ผู้เชี่ยวชาญของ PDPA สามารถเข้าตรวจระบบที่เกิดข้อมูลรั่วไหลได้ด้วย
  • มาตรา 77 ถ้ามีผู้เสียหายจากการถูกขโมยข้อมูล พรบ.กำหนดให้มีการชดใช้ค่าเสียหายด้วย เท่าไหร่ก็ว่ากันไปตามจริง
  • มาตรา 83 กำหนดโทษของการที่ระบบไม่ปลอดภัยตามมาตรา 37 ปรับไม่เกิน 3 ล้าน
  • มาตรา 86 กำหนดโทษสำหรับมาตรา 40 อีกไม่เกิน 3 ล้านบาท

เมื่อมีการบังคับใช้ PDPA จะเป็นยังไง

ในกรณีที่มี Ransomware เข้าไปขโมยข้อมูลของเราแล้วเรียกค่าไถ่ด้วยการปลดรหัส แต่เรามี Backup ข้อมูลใน Server ตัวอื่นๆจึงไม่จำเป็นต้องจ่ายค่าไถ่เรียกข้อมูลกลับมา แต่ต่อจากนั้นแฮกเกอร์เอาข้อมูลออกไปขายหรือแจกสู่สาธารณะ ต่อไปนี้ถ้ามีการบังคับใช้ พรบ.ข้อมูลส่วนบุคคลอาจจะต้องมีการชดใช้สินไหมให้กับเหยื่อ และโทษของระบบที่ไม่ปลอดภัยสูงสุดรวมกันถึง 6 ล้านบาท

จุดน่าสังเกตุของข้อกฏหมายนี้

ในมาตรา 77 มีตอนท้ายว่า ถ้าเป็นเหตุสุดวิสัย ก็ไม่ต้องชดใช้ให้ผู้เสียหายและยังมีมาตรา 90 คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ ในส่วนนี้ ท้ังนี้ ในกรณีที่เห็นสมควรคณะกรรมการผู้เชี่ยวชาญจะสั่งให้แก้ไขหรือตักเตือนก่อนก็ได้

สำหรับประเทศไทยแล้ว เมื่อกฎหมายเปิดช่องให้มีการใช้ดุลยพินิจได้ เราก็พอจะทราบว่า ผลจะออกมาเป็นอย่างไร โดยเฉพาะกับธุรกิจขนาดใหญ่ ที่มีสาขาอำนาจในหลายทาง กลับมาที่คำถามตามหัวเรื่อง ถ้าโดนขโมยข้อมูลไปประจาน ธุรกิจจะจ่ายโจรค่าปิดปาก หรือจะจ่ายค่าสินไหมชดใช้ตามกฎหมาย หรือจะจ่ายใคร ก็ลองไปคิดกันดูนะครับ

สรุป

อย่างไรก็ตามการเตรียมระบบ PDPA หรือทำฟอร์มขออนุญาตต่างๆ จึงเป็นเสมือนการลดความเสี่ยงจากสิ่งที่จะเกิดขึ้นได้ แม้วันนี้ยังไม่โดนอะไร ก็จ่ายค่าทำระบบให้ปลอดภัย ให้เหมาะสมกับความเสี่ยง ด้วยบริการ PDPA ครบวงจร จากทาง Prospace จะช่วยให้คุณจบทุกปัญหาของ พรบ.คุ้มครองข้อมูลส่วนบุคคล ฉะนั้นให้ความสำคัญกับข้อมูลส่วนบุคคลให้มากขึ้น ไม่ต้องรอให้กฎหมายมาบีบบังคับ จะเป็นผลดีต่อความเชื่อมั่นทางธุรกิจ บทเรียนจากหลายธุรกิจมีเยอะพอแล้ว…เราอย่าเป็นรายต่อไปเลยครับ 


References :
Source1
Source2

Contact us