เราอยู่ในยุคของข้อมูลขนาดใหญ่ที่จัดเก็บแบบดิจิทัล และข้อมูลบางส่วนเกี่ยวกับคุณ ตัวอย่างเช่น รัฐบาลเก็บข้อมูลประกันสังคมและภาษีของคุณ ธนาคารเก็บข้อมูลทางการเงินของคุณ และผู้ให้บริการโทรศัพท์เก็บข้อมูลเมตา ของคุณ อาจมีข้อมูลลับของคุณในที่จัดเก็บข้อมูลขององค์กรต่างๆ มากกว่าที่คุณมีในตู้เก็บเอกสารของคุณเอง สิ่งนี้จะกลายเป็นจริงมากขึ้นเรื่อย ๆ เมื่อการเข้าถึงเทคโนโลยีโซเชียลมีเดียเพิ่มมากขึ้น รูปภาพ วิดีโอ และเรื่องราวการออกเดท
ส่วนตัวของคุณมากขึ้นเรื่อยๆ จะถูกแปลงเป็นบิตและไบต์ที่มีช่องโหว่
ทั้งหมดนี้เพิ่มความเสี่ยงที่เกี่ยวข้องกับการละเมิดความปลอดภัย ผู้อื่นอาจขโมยข้อมูลของคุณและใช้เพื่อวัตถุประสงค์ที่ไม่ได้ตั้งใจ เช่น การฉ้อโกงและการข่มขู่ เมื่อระบุความเสี่ยงนี้แล้ว คณะกรรมการปฏิรูปกฎหมายออสเตรเลีย ( ALRC ) จึงโน้มน้าวรัฐบาลว่าการกำหนดข้อกำหนดการแจ้งเตือนเกี่ยวกับองค์กรที่อาจประสบกับการละเมิดข้อมูล จะเป็นประโยชน์
หากข้อมูลส่วนบุคคลของคุณถูกละเมิดโดยการละเมิด การดำเนินการนี้จะช่วยให้คุณสามารถดำเนินการแก้ไขเพื่อลดผลกระทบที่ไม่พึงประสงค์ได้
ซึ่งอาจมีตั้งแต่การเปลี่ยนรหัสผ่านง่ายๆ ไปจนถึงการบอกคู่สมรส ครอบครัว หรือนายจ้างของคุณเกี่ยวกับปัญหาทางการเงิน สภาวะสุขภาพ หรือการเป็นสมาชิกลับกับ Tinder, Grindr หรือ Ashley Madison
ร่างกฎหมายแก้ไขความเป็นส่วนตัว (การละเมิดข้อมูลที่สามารถแจ้งเตือนได้) ปี 2559จึงผ่านการพิจารณาของรัฐสภาอย่างเงียบๆ ต้องได้รับความยินยอมจากราชวงศ์เท่านั้นก่อนที่จะมีการตรากฎหมายที่เกี่ยวข้อง แต่มันจะทำประโยชน์อะไรในสงครามกับอาชญากรรมทางไซเบอร์หรือไม่?
บิลนี้เป็นขั้นตอนในทิศทางที่ถูกต้องอย่างแน่นอน ดำเนินการตามคำแนะนำของ ALRC โดยกำหนดให้องค์กรที่ควบคุมโดยพระราชบัญญัติความเป็นส่วนตัวต้องแจ้งต่อคณะกรรมาธิการข้อมูลของออสเตรเลียและบุคคลที่ได้รับผลกระทบเกี่ยวกับการละเมิดข้อมูลที่มีสิทธิ์
สิ่งนี้ทำให้ทั้งบุคคลและรัฐบาลมีโอกาสติดตามและตอบสนองต่อเหตุการณ์หากพวกเขาก่อให้เกิด ” ความเสี่ยงที่น่าจะก่อให้เกิดอันตรายร้ายแรง ” ไม่ว่าจะเป็นเรื่องการเงิน จิตวิทยา เทคโนโลยีหรืออื่นๆ
อาจเป็นการละเมิดการจัดเก็บที่ปลอดภัยและการจัดการข้อมูลโดยมุ่งร้าย การสูญหายโดยไม่ได้ตั้งใจ (ส่วนใหญ่มักเกิดจากอุปกรณ์ไอทีหรือเอกสารฉบับพิมพ์)
หรือการเปิดเผยข้อมูลโดยประมาทเลินเล่อหรือไม่เหมาะสม
แต่มีปัญหาหลายอย่างที่จำกัดประสิทธิภาพของกฎหมาย เริ่มต้นด้วยวิธีการแจ้งเตือนค่อนข้างคลุมเครือและปล่อยให้เป็นที่ต้องการอีกมาก ตัวอย่างเช่นมาตรา 26WLอนุญาตให้ผู้ที่รายงานการละเมิดที่เป็นอันตรายใช้วิธีการสื่อสารใดๆ ก็ตามที่ใช้เป็นประจำกับบุคคลใดบุคคลหนึ่ง ซึ่งน่าจะเป็นทางอีเมล
แต่ไม่คำนึงถึงข้อเท็จจริงที่ว่าวิธีการสื่อสารปกติเหล่านี้เป็นวิธีที่มีความเสี่ยงมากที่สุด คนที่เปราะบางที่สุดมักเป็นคนที่ไม่เช็คอีเมลเป็นประจำ
ในกรณีที่เป็นไปไม่ได้ที่จะแจ้งบุคคลหรือกลุ่มที่ได้รับผลกระทบ ร่างกฎหมายระบุว่าองค์กรไม่จำเป็นต้องแจ้งให้ทราบโดยตรง
แต่จะต้องเผยแพร่ข้อมูลการแจ้งเตือนในเว็บไซต์ของตน แต่ร่างกฎหมายไม่ได้กำหนดสิ่งที่ก่อให้เกิดสถานการณ์ดังกล่าวหรือขอบเขตของ “การประชาสัมพันธ์” ที่จำเป็น
สิ่งนี้ทำให้มีความเป็นไปได้ที่การแจ้งเตือนการละเมิดจะถูกส่งไปยังส่วนลึกและมุมมืดของเว็บไซต์ขององค์กรที่ไม่ระมัดระวัง
ใครต้องปฏิบัติ?
แม้ว่าการเปลี่ยนแปลงกฎหมายความเป็นส่วนตัวจะมุ่งเป้าไปที่ธุรกิจและหน่วยงานรัฐบาล แต่ก็มีข้อจำกัดบางประการเกี่ยวกับกลุ่มที่กฎหมายบังคับใช้
ที่น่าเป็นห่วงคือข้อกำหนดการแจ้งเตือนการละเมิดจะใช้กับองค์กรที่คุ้มครองโดยพระราชบัญญัติความเป็นส่วนตัวฉบับเดิมเท่านั้น
อย่างไรก็ตาม หมายความว่าองค์กรของรัฐและสภาท้องถิ่น และองค์กรที่มีผลประกอบการน้อยกว่า 3 ล้านดอลลาร์ออสเตรเลียต่อปีไม่จำเป็นต้องปฏิบัติตามกฎหมาย
แต่สองรายการแรกมีข้อมูลที่เป็นความลับสูงและมีแนวโน้มที่จะถูกมองว่าเป็นเป้าหมายที่ง่ายโดยแฮ็กเกอร์ที่เป็นอันตราย
ธุรกิจต่างชาติที่ให้บริการลูกค้าชาวออสเตรเลียต้องปฏิบัติตามกฎหมาย แต่รัฐบาลออสเตรเลียขาดวิธีการที่มีประสิทธิภาพในการติดตามข้อมูลการละเมิดจากยักษ์ใหญ่ด้านเทคโนโลยีข้ามชาติซึ่งมีสำนักงานใหญ่ในต่างประเทศ หากพวกเขาลังเลที่จะปฏิบัติตาม สิ่งเหล่านี้น่าเป็นห่วงหากคุณใช้บริการดังกล่าวสำหรับอีเมลหรือการจัดเก็บข้อมูลส่วนบุคคล
หน่วยงานบังคับใช้กฎหมายที่เชื่อว่าความรู้ของสาธารณะเกี่ยวกับการละเมิดอาจส่งผลกระทบต่อการดำเนินการได้รับการยกเว้นเช่นกัน แต่การประนีประนอมกับข้อมูลที่ละเอียดอ่อนที่จัดเก็บโดยหน่วยงานดังกล่าวอาจสร้างความเสียหายได้มากกว่าข้อมูลที่จัดเก็บโดยองค์กรเอกชน
การตรวจจับการละเมิดข้อมูล
ปัญหาที่ใหญ่ที่สุดของกฎหมายใหม่คือการไม่ตระหนักว่าการละเมิดมักตรวจไม่พบเป็นเวลานาน สิ่งนี้จะชดเชยผลประโยชน์ใดๆ ที่อาจได้รับในที่สุดจากการรายงานและการแจ้งเตือน
จำนวนวันเฉลี่ยที่ผู้โจมตีอยู่บนเครือข่ายของเหยื่อก่อนที่จะถูกค้นพบนั้นลดลงจาก 205 วันในปี 2014 เป็น 146 วันในปี 2015 ตามรายงานจาก Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ
นี่เป็นการปรับปรุงอย่างแน่นอนจาก 416 วันย้อนหลังในปี 2555 แต่ก็ยังน่าเป็นห่วง
ความเสียหายใด ๆ ที่จะเกิดขึ้นมีแนวโน้มที่จะเกิดขึ้นภายในสองสามวันหรือเดือนแรก Mandiant ยังเตือนเราว่าตัวเลขเหล่านี้เป็นค่ามัธยฐาน และการละเมิดบางอย่างยังคงตรวจไม่พบเป็นเวลาหลายปี
จำเป็นต้องมีการดำเนินการเชิงรุก
สิ่งที่จำเป็นคือการออกกฎหมายเชิงรุกมากขึ้น บางอย่างระหว่างสิ่งที่กำลังดำเนินการในออสเตรเลียกับที่เพิ่งนำมาใช้ในประเทศจีนซึ่งมีหลักการทางกฎหมายที่กำหนดไว้สำหรับการคุ้มครองข้อมูลส่วนบุคคล
ดังนั้นธุรกิจที่นำเสนอผลิตภัณฑ์และบริการที่นี่อาจต้องได้รับความยินยอมเมื่อรวบรวมข้อมูลผู้ใช้ และต้องอยู่ภายใต้การบำรุงรักษาความปลอดภัยอย่างต่อเนื่องและการตรวจสุขภาพที่ได้รับคำสั่งตามช่วงเวลาที่กำหนด
ผู้ที่ถือครองข้อมูลสำคัญอาจจำเป็นต้องเก็บรักษาไว้ภายในอาณาเขตของออสเตรเลีย และบางทีอาจแม้แต่ที่ไซต์เฉพาะ (ที่มีการป้องกันอย่างสูง)
ก้าวไปไกลกว่าที่จีนได้ทำไปแล้ว ก็ควรที่จะสั่งให้ผู้ให้บริการเครือข่ายและผู้ถือครองข้อมูลหลักสร้างและรักษาความต่อเนื่องทางธุรกิจที่กว้างขึ้นและแผนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ในกรณีของการโจมตีที่นำไปสู่การรั่วไหลของข้อมูล พวกเขาสามารถรายงานไปยังหน่วยงานของรัฐที่จะไม่เลือกให้การอัปเดตเว็บไซต์แบบสดเกี่ยวกับเหตุการณ์ล่าสุดสำหรับการบริโภคสาธารณะ
Credit : เว็บแทงบอล
