การจัดเก็บ Log ตาม PDPA
เราเตรียมระบบ IT ในองค์กรเพื่อรองรับการปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) แล้วหรือยัง ?
คำถามนี้คงทำให้ผู้บริหารฝ่าย IT ในองค์กรปวดหัวไม่ใช่น้อย บางรายไม่รู้ว่าจะเริ่มต้นอย่างไร พอค้นหาข้อมูลในอินเทอร์เน็ตก็เจอข้อมูลมากมาย ซึ่งดูเหมือนว่าอะไรก็คงเกี่ยวข้องกันไปหมด แล้วเราจะเริ่มต้นอย่างไรดี บทความนี้จึงอยากจะชวนผู้อ่านโดยเฉพาะที่เป็นผู้บริหารฝ่าย IT เข้าใจ 2 เรื่องสำคัญก่อน เพื่อเป็นแนวทางปฏิบัติไปยังเรื่องอื่นๆซึ่งมีอยู่มากมายต่อไป
ข้อแนะนำฝ่าย IT เพื่อการเตรียมตัวรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
จากบทบาทหน้าที่ฝ่าย IT ที่ผู้รับผิดชอบข้อมูลในระบบสารสนเทศองค์กร สิ่งที่จะต้องคำนึงถึงมีอยู่ด้วยกัน 3 เรื่องใหญ่ๆ ดังต่อไปนี้
- ระบุตำแหน่งของข้อมูลส่วนบุคคลและกำหนดสิทธิ์การเข้าถึงสิ่งที่จำเป็นที่ฝ่าย IT จะต้องปฏิบัติคือการระบุว่าข้อมูลส่วนบุคคลที่ฝ่ายรับผิดชอบอยู่มีอยู่ที่ใดบ้าง พร้อมทั้งประเมินผลกระทบในด้านต่างๆว่าจะส่งผลกระทบต่อองค์กรอย่างไร เมื่อเราทราบเราก็จะสามารถกำหนดมาตรฐานการรักษาข้อมุลให้ปลอดภัยหรือกำหนดมาตรการรับมือหากเกิดขึ้น เราสามารถใช้หลักการ CIA – Confidentiality, Integrity, Availability เพื่อนำมาประกอบการพิจารณาวางแผนในส่วนนี้ได้ เช่น Confidentiality คือการกำหนดสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลว่าใครสามารถเข้าถึงได้บ้าง ระดับสิทธิ์ในการใช้ข้อมูลเพื่อเป็นไปตามข้อกำหนดตาม Consent เป็นต้น
- เพิ่มมาตรการรักษาความมั่นคงปลอดภัยในเรื่องของ Cybersecurity ในองค์กร
ปัจจุบันปัญหาภัยคุกคามในเครือข่ายคอมพิวเตอร์ยังคงเน้นไปที่ข้อมูลสำคัญขององค์กร โดยเฉพาะข้อมูลส่วนบุคคลของลูกค้า พนักงาน ซึ่งข้อมูลเหล่านี้มีค่า ต่อยอดได้ เราเรียกรวมข้อมูลเหล่านี้ว่า Privacy Data จากรายงานของ OWASP Top10 Privacy Risks https://owasp.org/www-project-top-10-privacy-risks/ ซึ่งมีรูปแบบการโจมตีและขโมยข้อมูลหลากหลายรูปแบบ นำไปสู่ปัญหาการรั่วไหลของข้อมูลที่เรียกว่า Data Breach ซึ่งเราพบเห็นจากข่าวบ่อยครั้ง นำมาซึ่งความเสียหายทั้งในรูปแบบทรัพย์สินและชื่อเสียง ซึ่งตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีบทบังคับไว้ว่าเมื่อตรวจพบการรั่วไหลของข้อมูลส่วนบุคคลภายใน 72 ชม. จะต้องแจ้งเจ้าของข้อมูล อีกทั้งการวางมาตรฐานรักษาความมั่นคงปลอดภัย ยังรวมไปถึงการวางระบบเชิงป้องกันให้กับระบบจัดเก็บข้อมุลส่วนบุคคล เช่น การควบคุมสิทธิ์การเข้าถึง การใช้ข้อมูลส่วนบุคคล หลายองค์กรเริ่มทำโครงการการกำหนดนโยบายการใช้ข้อมูลหรือที่เรียกว่า Data Privacy ซึ่งเป็นผลลัพธ์ของการทำ Data Governance จะเห็นได้ว่าส่วนงานที่ยากที่สุดเพราะมีหลายฝ่ายในองค์กรเข้ามาเกี่ยวข้องไม่ใช่มีเพียงลำพังฝ่าย IT ดังนั้นสิ่งที่ทำได้เร็วที่สุดคือการทำภายใต้อำนาจหน้าที่ของฝ่าย IT โดยการจัดการระบบ IT ของตนเองให้พร้อม ซึ่งมันอาจจะไม่มีคำว่าดีที่สุดในช่วงเริ่มต้น แต่เพียงเรามีแนวทางในการตรวจสอบ ติดตาม และปรับปรุง ดังนั้นระบบตรวจสอบและติดตามจึงเป็นส่วนสำคัญในเรื่องนี้ - จัดเก็บ Log และติดตามเหตุการณ์สำคัญที่มีผลต่อข้อมูลส่วนบุคคล
จากเหตุผลที่กล่าวข้างต้น การรวบรวมข้อมูลเหตุการณ์ในระบบ IT โดยเฉพาะเหตุการณ์การเข้าถึงข้อมูลส่วนบุคคลของระบบจัดเก็บข้อมูลส่วนบุคคล การใช้งานข้อมูลส่วนบุคคลใน Application ต่างๆขององค์กร ระบบติดตามการใช้งานข้อมูลส่วนบุคคล เพื่อทำการติดตาม ตรวจสอบอยู่เป็นประจำจึงเป็นแนวทางที่ฝ่าย IT ทำได้โดยง่ายก่อนในช่วงเริ่มต้น บทความนี้จึงอยากจะชวนทำความเข้าใจเพิ่มเติมว่า เราจะรวบรวมข้อมูลเหตุการณ์ในระบบ IT ของเราได้อย่างไร
Log คือข้อมูลที่บันทึกเหตุการณ์ในระบบ IT และ Log ที่เกิดขึ้นจากระบบจัดเก็บ ประมวลผล ข้อมูลส่วนบุคคลรวมทั้งระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งหมดคือสิ่งที่เราจะต้องตรวจสอบและติดตาม
ระบบจัดเก็บข้อมูลส่วนบุคคลคืออะไร
คือระบบที่ใช้บันทึกข้อมูลส่วนบุคคล ซึ่งองค์กรส่วนใหญ่มีระบบ Database ในการจัดเก็บข้อมูล ไม่ว่า Database นั้นจะทำงานร่วมกับ Application ใดๆก็ตาม เช่น CRM, ERP, HRIS ซึ่งในที่นี้จะเรียกรวมกันว่า ระบบจัดเก็บข้อมูลส่วนบุคคล ซึ่งในทุกองค์กรมีระบบลักษณะนี้ไม่มากก็น้อยอยู่แล้ว
ระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีอะไรบ้าง
คือระบบที่ใช้ร่วมกับระบบบันทึกข้อมูลส่วนบุคคล เช่น ระบบ Network, ระบบ Authentication หลายองค์กรมีการทำงานจากที่บ้าน (Work From Home) จะต้องเชื่อมต่อ VPN จากภายนอกเครือข่าย, หรือแม้กระทั่งการเชื่อมต่อ WIFI ในองค์กร ล้วนเป็นช่องทางในการเข้าถึงระบบจัดเก็บข้อมูลส่วนบุคคลทั้งสิ้น ซึ่งเราจำเป็นจะต้องให้ความสำคัญกับระบบพิสูจน์สิทธิ์ การยืนยันตัวตนก่อนเข้าใช้งานเพื่อความสามารถในการตรวจสอบ
การตรวจสอบและติดตามทำอย่างไร
เป็นที่ทราบดีว่าข้อมูลจาก Log เป็นหลักฐานที่เป็นที่ยอมรับทั่วไปและเป็นหลักฐานตามกฏหมายด้วย แต่ก็ไม่ง่ายนักที่เราจะใช้ประโยชน์ในการทำความเข้าใจ นอกจากว่าเรามีระบบที่ทำหน้าที่สรุปในลักษณะรายงานภาพรวม หรือระบบวิเคราะห์ข้อมูลทางสถิติเพื่อทำให้เราเข้าใจภาพรวม เหตุการณ์สำคัญที่เกิดขึ้นในลักษณะ Dashboard ทั้งแบบ Real Time และ Summary Report
จากตัวอย่างเป็นการทำงานของระบบ Softnix Data Platform for Log Analytics ที่ทำหน้าที่สร้าง Dashboard เพื่อช่วยให้ผู้ดูแลระบบเข้าใจภาพรวมหรือเหตุการณ์ที่เกิดขึ้นในระบบจัดเก็บข้อมูลส่วนบุคคลรวมทั้งระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
Log Data มีข้อมูลส่วนบุคคลหรือไม่
จากความหมายของข้อมูลส่วนบุคคลคือข้อมูลใดๆก็ตามที่ทำให้ทราบถึงตัวบุคคลได้ว่าคือใคร ซึ่งอาจจะต้องรวมกับข้อมูลส่วนบุคคลอื่นๆเพิ่มเติมเพื่อประกอบกันจนสามารถระบุตัวบุคคลได้ว่าคือใคร ซึ่งทั้งหมดนี้คือข้อมูลส่วนบุคคลทั้งสิ้น
ดังนั้นคำถามที่ว่า Log data มีข้อมูลส่วนบุคคลอยู่หรือไม่ ซึ่งอธิบายได้ว่าถ้าเฉพาะ Log Data อาจจะยังไม่สามารถระบุได้ว่าคือใคร แต่ถ้านำมารวมกับข้อมูลส่วนบุคคลอื่นก็จะสามารถระบุได้ว่าคือใครได้เช่นกัน เช่น IP Address ใน GDPR กำหนดว่าข้อมูล Geolocation ที่ได้จาก IP Address ถือเป็นข้อมูลส่วนบุคคล (Article 2(a)) รวมถึงกฏหมาย COPPA, CalOPPA ก็กล่าวไว้ใกล้เคียงกัน และตัวอย่างข้อมูลอื่นๆที่อาจเจอใน Log Data ที่อาจจะนำไปสู่ข้อมูลส่วนบุคคล เช่น
- User ID
- IP Address
- Email address
- First name หรือ Last name
- Phone number
- Address, Province, Postal code
- Social Media Profile Information
Log Data ประเภทอะไรอีกบ้างที่เราควรต้องเก็บ
เราสามารถใช้แนวทาง Logging and Monitoring ตามแนวทางปฏิบัติ ISO 27001:2013 เพื่อเก็บ Log สำหรับ Event Log ตามประเภทเหตุการณ์ดังต่อไปนี้
การเข้าถึงข้อมูล
Controls A 12.4.1, 12.4.2
- Object Accessed
- Object Created
- Object Modified
- Object Deleted
- Object Handle
ตัวอย่าง Dashboard การเข้าถึงข้อมูลฐานข้อมูล
การระบุตัวตน
Control 12.4.3
- Successful User Logons
- Successful User Logoffs
- Unsuccessful User Logons
- Terminal Service Session
ตัวอย่าง Dashboard การ Authentication
จากประสบการณ์ของเรา Softnix ซึ่งให้คำปรึกษาและติดตั้ง Log Management System ให้กับลูกค้ามากมายในประเทศไทย เราได้ออกแบบเอกสารประเมินเบื้องต้น สำหรับเจ้าหน้าที่ฝ่าย IT เพื่อใช้ประเมินระบบเครือข่ายของตนเองว่ามีระบบอะไรบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ท่านจะต้องจัดเก็บ Log ท่านสามารถดาวน์โหลดเอกสารประเมินการจัดเก็บ Log ตาม PDPA และสามารถติดต่อเราเพื่อขอรับคำปรึกษาเพิ่มเติม