นานมากแล้วที่ทางเว็บไซต์ databreaches.net ไม่ได้รับความเคลื่อนไหวจากกลุ่มแฮกเกอร์ที่ชื่อว่า Desorden ล่าสุดเมื่อ 1 เดือนที่ผ่านมา มีการประกาศจากกลุ่มแฮกเกอร์ดังกล่าว อ้างถึงการเข้าถึงข้อมูลส่วนบุคคลของ บริษัท เบทเตอร์เวย์ (ประเทศไทย) จำกัด หรือที่เรารู้จักกันในชื่อ “มิสทีน” ว่ากลุ่มแฮกเกอร์ได้ทำการละเมิดข้อมูล ผู้บริโภค กว่า 20 ล้านรายการ แต่ไม่ได้รับการติดต่อกลับจากมิสทีนเลย จึงเป็นที่น่ากังวลว่าทำไมบริษัทไม่แคร์ข้อมูลส่วนบุคคลจำนวนมหาศาลนี้ ทั้งๆ ที่ PDPA มีการประกาศใช้เต็มรูปแบบแล้ว
ข้อมูลส่วนบุคคล 1 ใน 3 ของไทยหลุดรั่ว
Desorden อ้างว่าการละเมิดข้อมูลครั้งนี้เกี่ยวข้องกับข้อมูลขนาด 180 GB ซึ่งเป็นข้อมูลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้าและตัวแทนขายมากกว่า 20 ล้านรายการ ซึ่งคิดเป็นเกือบ 1 ใน 3 ของประชากรไทยทั้งหมด
Desorden ได้เจาะเข้าไปในเซิร์ฟเวอร์ 20 แห่งในทุกแบรนด์ของบริษัท ไม่ว่าจะเป็น Flormar, Fairs, Friday, Mistine, MYSS, Yupin และ NingNong โดยเป็นข้อมูลของตัวแทน, พนักงาน, ซัพพลายเออร์, การส่งออก, อีคอมเมิร์ซ และการเงิน ซึ่งข้อมูลดังกล่าวสามารถระบุตัวบุคคลได้กว่า 20 ล้านรายการ
ข้อมูล ผู้บริโภค กำลังจะถูกขาย
ทางเว็บไซต์ DataBreaches.net ได้รับการแจ้งจากทางกลุ่มแฮกเกอร์ว่า พวกเขาไม่ได้รับการติดต่อกลับจากมีสทีนเลย ทั้งๆ ที่พวกเขาส่งข้อเรียกร้องไปตั้งแต่วันที่ 8 กรกฎาคม และเมื่อไม่มีการติดต่อกลับพวกเขาก็เตรียมที่จะทำการขายข้อมูลที่ได้ในตลาดมืด
DataBreaches.net อ้างว่าพยายามติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมิสทีน ผ่านอีเมลที่ระบุไว้ในเว็บไซต์ของมีสทีนในส่วนของนโยบายความเป็นส่วนตัว แต่อีเมลที่ส่งไปถูกตีกลับ จึงพยายามส่งอีเมลไปยังผู้ที่มีรายชื่ออยู่ในไฟล์ที่ทาง Desorden มอบให้ ผลที่ได้คืออีเมลไม่ตีกลับแต่ไม่มีข้อความตอบรับใดๆ กลับมาเลย
ความจริงในเรื่องนี้เป็นไปได้หลายทาง
ลงท้าย DataBreaches.net ก็พอที่จะสรุปได้ว่า หลายครั้งที่บรรดาแฮกเกอร์อ้างถึงข้อมูลที่หลุดรั่วมากเกินจริง อย่างในกรณีมีสทีน หากข้อมูลหลุดรั่วมากขนาดนี้แล้วบริษัทไม่แสดงความรับผิดชองหรือตอบสนองใดๆ คำตอบก็มีอยู่สองทาง ทางหนึ่งจำนวนข้อมูลไม่ได้มากมายอย่างที่แฮกเกอร์อ้าง หรืออีกทางหนึ่งบริษัทปัดความรับผิดชอบไม่อยากให้คนอื่นรู้
แต่ไม่ว่าจะด้วยคำตอบไหน เมื่อ PDPA บังคับใช้แล้ว ไม่ว่าข้อมูลจะหลุดมากหลุดน้อยจะสำคัญหรือไม่สำคัญ DPO ของบริษัทควรจะทำการชี้แจงหรือตอบรับในเรื่องแบบนี้ได้ การที่อีเมลของ DPO ไม่สามารถติดต่อได้อย่างที่ทาง DataBreaches.net กล่าวอ้างก็ไม่ควรจะเกิดขึ้น
มีสทีนต้องมีคำตอบเรื่องนี้
การที่สื่อต่างชาติ ได้มีการเผยแพร่ถึงเนื้อหาการถูกโจมตีและเรียกค่าไถ่ทางไซเบอร์กลุ่มบริษัท เบทเตอร์เวย์ (ประเทศไทย) จำกัด อันมีผลกระทบต่อข้อมูลผู้ที่เกี่ยวข้องของบริษัททั้งหมด ผู้บริหารหรือคณะกรรมการบริษัท ควรมีคำชี้แจงข้อเท็จจริงว่า บริษัทได้เกิดขึ้นจริงหรือไม่ตามที่สื่อกล่าวอ้างถึง และการแสดงออกถึงการให้ความเชื่อมั่นต่อผู้ที่เกี่ยวข้องในห่วงโซ่ทางธุรกิจทุกกลุ่มในแนวทาง หรือมาตรฐานการรักษาความปลอดภัยของข้อมูลมากกว่าการเพิกเฉย
การถถูกโจมตีครั้งนี้ครอบคลุมในทุกๆ กลุ่มธุรกิจ ไม่เว้นแม้แต่ช่องทางซื้อขายผ่านระบบออนไลน์อย่างแอปมิสทิน หรือแอปยุพินซึ่งเป็นแอปพลิเคชันแค็ตตาล็อกออนไลน์ ที่รวบรวมเอกสารแค็ตตาล็อกและใบปลิวต่างๆ ของมิสทิน ฟรายเดย์ และ ฟาริส ไปไว้บนมือถือสมาร์ทโฟน ที่ทำการเปิดตัวไปเมื่อเดือนเมษายน 2559 และมีผู้ดาวน์โหลดไปแล้วมากกว่า 2 ล้าน สร้างยอดขายกว่า 3,000 ล้านบาท (ข้อมูลเดือนพฤษภาคม 2561) นอกจากนี้ยังมีฐานข้อมูลลูกค้ากลุ่มประเทศแถบเอเชียตะวันออกเฉียงใต้, แถบตะวันออกกลาง และแอฟริกา ไม่นับรวมตลาดยุโรป ซึ่งมี GDPR ให้การคุ้มครองในเรื่องข้อมูลส่วนบุคคล ซึ่งหากบริษัทฯ เพิกเฉย อาจจะส่งผลกระทบในด้านความเชื่อมั่นในระบบการรักษาความปลอดภัยข้อมูลลูกค้า การตระหนักความปลอดภัยในข้อมูล สิทธิของลูกค้า คู่ค้าทางธุรกิจ และธรรมาภิบาลในการดำเนินธุรกิจมากยิ่งขึ้น
ประกาศ Privacy Notices แล้วต้องทำตาม
อย่างไรก็ตาม บริษัท เบทเตอร์เวย์ (ประเทศไทย) จำกัด ได้มีการจัดทำ คำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notices) ปรับปรุงล่าสุด เดือนพฤษภาคม 2565 (ในเว็บไซต์ https://www.mistine.co.th/privacy-notices.php ) โดยใน ข้อ 8. ได้ระบุไว้ว่า … “บริษัทคุ้มครองข้อมูลส่วนบุคคลของท่านอย่างไร” … บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตราการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) เพื่อรักษาความมั่นคงปลอดภัย ในการประมวลผลข้อมูลส่วนบุคคล ที่เหมาะสมและเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ ในการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรฐานความปลอดภัย ของระบบเทคโนโลยีสารสนเทศ และมาตรการเพื่อป้องกัน ไม่ให้ผู้รับข้อมูล ไปจากบริษัทใช้หรือเปิดเผยข้อมูล นอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยไม่ชอบ และบริษัทได้มีการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะๆ ตามความจำเป็นและเหมาะสม
นอกจากนี้ ผู้บริหาร พนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัท มีหน้าที่ ต้องรักษาความลับข้อมูลส่วนบุคคล ตามมาตรการรักษาความลับ ที่บริษัทกำหนดขึ้น
การเขียนระบุไว้ หากมีอะไรที่เกิดขึ้นบริษัทฯ ก็สามารถให้การชี้แจง ถึงแม้ว่าเรื่องดังกล่าวนั้นเกิดขึ้นก่อน 1 มิถุนายน 65 ที่จะดำเนินการเต็มรูปแบบ แต่ในความเป็นจริวแล้วเรื่องที่เกิดขึ้นจะแสดงถึงศักยภาพและความพร้อมในการบริหารจัดการ การควบคุมระบบรักษาความปลอดภัย หากบริษัทคิดว่า เป็นช่วงของการผ่อนปรน ก็อาจจะเป็นการเพิกเฉยที่ไม่เหมาะสมอย่างยิ่ง
อ้างอิง:
บทความแนะนำ: พบการรั่วไหลข้อมูลผู้บริโภคของไทย
