Black Hat Asia 2023

เปรียบเทียบข้อต่อข้อ Tripwire ตอบโจทย์ GDPR อย่างไร

General Data Protection Regulation (GDPR) เป็นกฎระเบียบของสหภาพยุโรปที่ออกมาเพื่อคุ้มครองความเป็นส่วนบุคคลของประชาชนในกลุ่มประเทศดังกล่าว ในขณะที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 (PDPA) ของไทยที่กำลังจะประกาศใช้ในปีหน้าก็มีเนื้อหาส่วนใหญ่ล้อมาจาก GDPR เช่นกัน บทความนี้จะแสดงให้เห็นว่า โซลูชันของ Tripwire ได้แก่ Tripwire Enterprise, IP360 และ Log Center สามารถตอบโจทย์กฏหมายเหล่านี้ได้อย่างไร

ใครต้องปฏิบัติตาม GDPR/PDPA

ทั้ง GDPR และ PDPA ต่างระบุชัดเจนว่า องค์กร หน่วยงาน หรือบริษัท แบบใดที่ต้องปฏิบัติตามกฎหมายเหล่านี้บ้าง ถ้าเป็น GDPR ก็คือใครก็ตามที่ต้องเข้าไปยุ่งเกี่ยวหรือต้องบริหารจัดการ (รวบรวม จัดเก็บ ประมวลผล และ/หรือแชร์) ข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรป ในขณะที่ PDPA ก็จะเป็นบุคคลที่อยู่ในราชอาณาจักรไทย โดยข้อมูลส่วนบุคคลประกอบด้วยข้อมูลอะไรก็ตามที่เกี่ยวข้องกับตัวบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อนามสกุล ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ รวมไปถึงข้อมูลจำเพาะทางกายภาพ สรีระ เศรษฐกิจ และสังคม สำหรับทางด้าน IT นั้น ข้อมูลส่วนบุคคลอาจรวมไปถึงหมายเลข IP และ MAC โดยผู้ที่ต้องปฏิบัติตามกฎหมายดังกล่าวจะแบ่งออกเป็น 2 กลุ่ม คือ ผู้ดูแลข้อมูล (Data Owners หรือ Data Controllers) และผู้ประมวลผลข้อมูล (Data Processors)

ทำไมถึงต้องให้ความสำคัญกับ GDPR/PDPA

เหตุ Data Breach นอกจากจะส่งผลกระทบต่อฐานลูกค้าและภาพลักษณ์ขององค์กรแล้ว ความล้มเหลวที่ไม่สามารถปฏิบัติตามข้อกำหนดของ GDPR อาจส่งผลให้บริษัทหรือองค์กรถูกปรับสูงสุดถึง 20 ล้านยูโร (ประมาณ 732 ล้านบาท) หรือ 4% ของรายได้ที่บริษัทหรือองค์กรทำได้จากทั่วโลก ถึงแม้ว่า PDPA ของไทยจะมีอัตราค่าปรับต่ำกว่า คือสูงสุด 5,000,000 บาท แต่มีโทษจำคุกพ่วงมาด้วย ระหว่าง 6 เดือนถึง 1 ปี

เตรียมพร้อมสำหรับ GDPR/PDPA

แม้ว่าหลายบริษัท/องค์กรจะมีมาตรการควบคุมสำหรับปกป้องข้อมูลสำคัญของตนอยู่แล้ว แต่ส่วนใหญ่ยังไม่ได้เตรียมพร้อมสำหรับ GDPR และ PDPA รายงานจาก Ipswitch พบว่า มากกว่า 2 ใน 3 ของผู้ที่อยู่ในสายงาน IT ระบุว่า พวกเขาจำเป็นต้องลงทุนในเทคโนโลยีหรือบริการใหม่เพื่อเตรียมธุรกิจของตนให้พร้อมรับ GDPR สำหรับ PDPA ก็ไม่ต่างกันมากนัก โดยเฉพาะเมื่อเกิดวิกฤตการณ์ COVID-19 ที่ทำให้ธุรกิจและการลงทุนของหลายๆ บริษัท/องค์กรทั่วไทยต้องชะลอตัว การเตรียมพร้อมสำหรับ PDPA หยุดชะงัก จนทำให้รัฐบาลต้องประกาศเลื่อนการบังคับใช้กฏหมายออกไปเป็นเดือนพฤษภาคม 2021 แทน

โซลูชันจาก Tripwire ตอบโจทย์ GDPR/PDPA ได้อย่างไร

Tripwire เป็นผู้นำทางด้านมาตรการควบคุมสำหรับ Compliance, Security และ IT Operations ซึ่งทั้ง GDPR และ PDPA ต่างกำหนดให้บริษัท/องค์กรต้องวางมาตรการควบคุมด้านความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคล ไม่ว่าจะเป็นของลูกค้าหรือของตัวพนักงานเอง นอกจาก Tripwire จะเข้ามาช่วยวางมาตรการควบคุมที่ได้มาตรฐานตรงตามข้อกำหนดแล้ว ยังช่วยประเมินระบบว่าดำเนินงานสอดคล้องกับ GDPR หรือไม่ รวมไปถึงช่วยจัดการเรื่อง Auditing และ Reporting อีกด้วย

โซลูชันของ Tripwire ประกอบด้วย File Integrity Monitoring, Configuration Management, Asset Discovery, Vulnerability Management และ Log Collection ซึ่งตอบโจทย์ GDPR/PDPA ที่เน้นการเฝ้าระวังและติดตามสินทรัพย์ไซเบอร์ได้เป็นอย่างดี โดยโซลูชันเหล่านี้จะช่วยค้นหาข้อมูลและสินทรัพย์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมไปถึงระบุช่องโหว่และระดับความเสี่ยงของสินทรัพย์เหล่านั้น นอกจากนี้ยังมีการจัดเก็บ Log สำหรับใช้ติดตามเหตุการณ์ที่เกิดขึ้นได้อีกด้วย

ตารางด้านล่างแสดงข้อกำหนดของ GDPA และโซลูชันของ Tripwire ช่วยตอบโจทย์ได้อย่างไร

คลิกที่นี่เพื่อดูภาพขนาดใหญ่

ถึงแม้ว่าตอนนี้ทาง Tripwire จะยังไม่ได้ออกตารางเปรียบเทียบโซลูชันกับ PDPA ของไทย แต่ด้วยความคล้ายคลึงกันระหว่าง GDPR และ PDPA สามารถนำข้อมูลด้านบนไปประยุกต์ใช้เพื่ออ้างอิงได้เช่นกัน

ผู้ที่สนใจสามารถดาวน์โหลด White Paper เรื่อง “Tripwire and GDPR: Achieve Compliance Using Foundational Controls” มาศึกษาเพิ่มเติมได้ที่ https://www.tripwire.com/solutions/compliance-solutions/gdpr/tripwire-and-gdpr-achieving-compliance-with-foundational-controls-register

สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ

  • Yong Hong Ow (ohong@tripwire.com), Tripwire Sales Manager, Tripwire
  • เอกวิทย์ พรหมสิทธิ์ (ekkawit@mtechpro.com), Product Manager, M-Solutions Technology (Thailand) Co., Ltd.

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …