Guidelines on Examples regarding Data Breach Notification
ในเล่มนี้ มีศัพท์ใหม่ “Data Exfiltration” … ก็คือ ข้อมูลขององค์กร โดนเอาออกไปโดยมิชอบ “Filter” คือ “กรอง” เติม Ex ข้างหน้า คือ Hacker กรองเอาสิ่งที่อยากได้ แล้วเอาออกไปข้างนอก (องค์กร)
Guideline เล่มนี้ เขียนโดยยกสถานการณ์ ตัวอย่างต่าง ๆ ของข้อมูลรั่วไหล แล้วอธิบาย เช่น CASE No. 01: Ransomware with proper backup and without exfiltration คือ กรณี องค์กร โดน Ransomware โจมตี ทำให้ระบบคอมพ์ ชะงัก แต่เนื่องจากมีการ backup ข้อมูลและ เข้ารหัสและจัดเก็บแยกส่วนไว้ จนโหลดออกไปไม่ได้ ตัว hacker ก็เลย ไม่สามารถเอาข้อมูลองค์กรออกไปได้ (without exfiltration)
หรือ กรณีพื้น ๆ ก็มี เช่น การเผลอส่งอีเมลล์ที่มีข้อมูลส่วนบุคคลหลุดไปด้วย (Personal data sent by mail by mistake) ในแต่ละเคส จะสรุปด้วยตารางสั้น ๆ ว่าความเสี่ยงต่อความเสียหายสูงไหม และต้องแจ้ง (notification) ให้ใครทราบบ้าง
เขาแบ่งเป็น 3 ระดับ ตามความเสี่ยงต่อผลเสียที่ (อาจ) เกิดขึ้นตามมา คือ
1. เสี่ยงน้อย : บันทึกเหตุการณ์ไว้ก็พอ
2. เสี่ยงปานกลาง : ต้องแจ้ง หน่วยงาน (ของประเทศ) ที่รับผิดชอบด้านข้อมูลส่วนบุคคล
3. เสี่ยงมาก : ต้องแจ้ง Data Subject ทราบ
ซึ่งเขียนให้เข้าใจอ่านง่ายดี…
ดาวน์โหลด Guideline ได้ที่
ขอขอบคุณแหล่งที่มา :
Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม
