จากกรณีเกิดแฮกเกอร์รายหนึ่ง โพสต์ขายข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายการ โดยอ้างว่าขโมยมาจากหน่วยงานรัฐแห่งหนึ่งนั้นเมื่อสัปดาห์ที่ผ่านมา ซึ่งมีความเสี่ยงที่มิจฉาชีพจะนำข้อมูลเหล่านี้ไปประกอบธุรกรรมที่ผิดกฎหมายบนโลกออนไลน์
ทางสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) แนะแนวทางป้องกันกรณีข้อมูลส่วนบุคคลรั่วไหล สำหรับคนทั่วไป และหน่วยงานที่ทำการพิสูจน์และยืนยันตัวตน
ทำอย่างไรเมื่อข้อมูลส่วนบุคคลรั่วไหล
1. หยุด: หลีกเลี่ยงการโอนเงิน ให้ข้อมูลส่วนบุคคล หรือข้อมูลสำคัญ กับบุคคลที่ไม่รู้จัก ที่ติดต่อมาทางอีเมล SMS หรือโทรศัพท์ เพราะผู้ไม่หวังดีอาจปลอมตัวเป็นเจ้าหน้าที่ของหน่วยงานต่างๆ ติดต่อมา และใช้ข้อมูลที่รั่วไหล สร้างความน่าเชื่อในการพูดคุย
2. คิดก่อนคลิก: หลีกเลี่ยงการเปิดลิงก์หรือไฟล์แนบ จากอีเมลหรือ SMS ที่ไม่รู้จัก เพราะผู้ไม่หวังดี อาจส่งลิงก์หรือไฟล์แนบ มายังอีเมลหรือ SMS และหวังให้หลงกล กดคลิกติดตั้ง malware เพื่อขโมยข้อมูลสำคัญไปใช้ทำธุรกรรมการเงินต่อได้
ดังนั้น เมื่อได้รับการติดต่อจากคนที่ไม่รู้จัก หรือไม่แน่ใจว่าเป็นตัวจริง ให้หยุดโอนเงิน ให้ข้อมูล หรือคลิกลิงก์ แล้วตรวจเช็คข้อมูลกับหน่วยงานก่อน โดยควรตรวจสอบผ่านช่องทางการติดต่อทางการของหน่วยงานนั้นๆ เช่น เบอร์โทรศัพท์ ที่เผยแพร่บนเว็บไซต์หน่วยงาน เป็นต้น
วิธีป้องกันตัวเองไม่ให้ข้อมูลรั่วไหล
1. เปิดใช้ “วิธีการยืนยันตัวแบบหลายปัจจัย” กับบริการสำคัญ (ถ้ามี) นอกเหนือจากการใช้ Password หรือ PIN เพียงอย่างเดียว เช่น OTP เพื่อให้มั่นใจว่าเป็นตัวจริงเท่านั้นที่เข้าใช้งานได้
2. เปิดใช้งาน “ระงับบัญชี (Account) ชั่วคราว” (ถ้ามี) เมื่อไม่ได้ใช้งานบัญชีหรือ Account ในขณะนั้น เพื่อป้องกันการเข้ามาทำธุรกรรมของผู้ไม่หวังดี
3. หมั่นตรวจสอบประวัติการเข้าใช้งาน (Log in) บัญชีออนไลน์หรือแอปพลิเคชันต่างๆ หากพบว่ามีการใช้งานจากอุปกรณ์ที่ไม่รู้จัก หรือไม่ใช่ของตน ควรรีบลงชื่อออก (Log out) และเปลี่ยน Password ทันที
4. หมั่นตรวจสอบข้อมูลหรือประวัติการทำธุรกรรมทางการเงิน ว่า มีการโอนเงินเข้าออกที่ผิดปกติหรือไม่ หากผิดปกติให้รีบติดต่อธนาคารโดยเร็ว
5. เมื่อข้อมูลรั่วไหล ให้แจ้งธนาคารทราบว่าข้อมูลสำคัญได้รั่วไหล เพื่อธนาคารจะได้เพิ่มกลไกตรวจสอบตัวตน หรือให้คำแนะนำที่เหมาะสมต่อไป
วิธีรับมือ-ป้องกัน เมื่อข้อมูลของผู้ใช้บริการ รั่วไหลจากหน่วยงานอื่น
หากเป็นหน่วยงานที่ให้บริการ e-Service และให้ผู้ใช้บริการใช้ Digital ID ที่ออกให้ เช่น บัญชีผู้ใช้งาน (User Account) เข้าถึงบริการออนไลน์ได้ ควรมีแนวทางป้องกันสำหรับหน่วยงานที่ทำการพิสูจน์และยืนยันตัวตน ดังนี้
1. การป้องกันในขั้นตอนการพิสูจน์ตัวตน (identity proofing): เพื่อป้องกันไม่ให้ผู้ไม่หวังดี ใช้ข้อมูลส่วนบุคคลที่รั่วไหล มาสวมรอยเป็นบุคคลอื่น ในขั้นตอนการพิสูจน์ตัวตน ทั้งที่ไม่ใช่ตัวจริง
– หน่วยงานควรตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคล กับหน่วยงานที่ออกหลักฐานแสดงตน เช่น ตรวจสอบข้อมูลโดยใช้เครื่องอ่านบัตรประจำตัวประชาชน เพื่อเปรียบเทียบกับข้อมูลจากชิป
– หน่วยงานควรหลีกเลี่ยงการพิสูจน์ตัวตน โดยใช้แค่การตรวจสอบข้อมูลหน้าบัตรประชาชน และหมายเลขหลังบัตรประจำตัวประชาชน (laser code) เท่านั้น
2. การป้องกันในขั้นตอนการยืนยันตัวตน (authentication) : เพื่อป้องกันไม่ให้ผู้ไม่หวังดี สวมรอยใช้ Digital ID หรือบัญชีผู้ใช้งาน (User Account) เข้าถึงบริการออนไลน์ได้
– หน่วยงานควรใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) ซึ่งมีการใช้ปัจจัยของการยืนยันตัวตน (authentication factor) ที่แตกต่างกันมากกว่าหนึ่งปัจจัย เช่น การกรอกรหัสผ่าน (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณรู้) ร่วมกับรหัส OTP ที่ส่งมายังโทรศัพท์ของผู้ใช้บริการ (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณมี) หรือการเปรียบเทียบชีวมิติ (biometrics) ของผู้ใช้บริการ (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณเป็น) และเรียกใช้กุญแจเข้ารหัสที่อยู่ในแอปพลิเคชัน (ซึ่งเป็นปัจจัยประเภทสิ่งที่คุณมี) เพื่อนำมากุญแจเข้ารหัสมาใช้ยืนยันตัวตน (cryptographic software)
โดย สำนักข่าวอินโฟเควสท์ (07 เม.ย. 66)
Tags: ข้อมูลรั่ว, ข้อมูลส่วนบุคคล