You are here
Home > Top Story > อังกฤษเอาจริงเตรียมคิดค่าปรับบริษัทที่ไม่ใส่ใจระบบรักษาความปลอดภัยสูงสุดถึง 770 ล้านบาท

อังกฤษเอาจริงเตรียมคิดค่าปรับบริษัทที่ไม่ใส่ใจระบบรักษาความปลอดภัยสูงสุดถึง 770 ล้านบาท

ในช่วง 2 – 3  ปีที่ผ่านมา ต้องยอมรับว่ามีหลายบริษัทที่ตกเป็นข่าวครึกโครมเกี่ยวกับการถูกเจาะระบบโดยแฮกเกอร์ที่อาจส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานหลายร้อยล้านแอคเคาน์ตกอยู่ในความเสี่ยง

 

แต่ก็ใช่ว่าองค์กรทุกแห่งจะตระหนักถึงความร้ายแรงของปัญหานี้ เพราะบางองค์กรก็ยังไม่มีทีท่าว่าจะลงทุนด้านระบบรักษาความปลอดภัยเพื่อดูแลรักษาข้อมูลให้กับลูกค้าเพิ่มเติมแต่อย่างใด ส่งผลให้รัฐบาลอังกฤษต้องออกมาอัปเดตกฎหมายการปกป้องข้อมูล (Data Protection Law) เพิ่มเติม โดยร่างกฎหมายใหม่นี้จะคิดค่าปรับกับองค์กรใดก็ตามที่ไม่ลงทุนระบบรักษาความปลอดภัย และปล่อยให้องค์กรของตนเองโดนอาชญากรอินเทอร์เน็ตโจมตีได้ ซึ่งค่าปรับสูงสุดนั้นมีให้เลือกสองแบบก็คือ คิดเป็นมูลค่าที่ 22 ล้านเหรียญสหรัฐ หรือ 4% จากมูลค่าขององค์กรในระดับโลกอยู่ที่ว่ามูลค่าตัวใดจะสูงกว่ากัน

002-1

อย่างไรก็ดี ใช่ว่าทุกองค์กรที่โดนแฮกเกอร์เล่นงานจะต้องจ่ายค่าปรับนี้เสมอไป เพราะหากมีการประเมินโดยผู้ที่ได้รับมอบหมายแล้วว่าทางองค์กรได้มีมาตรการป้องกันอย่างเหมาะสม และมีการประเมินความเสี่ยงอยู่เป็นระยะ แต่บังเอิญตกเป็นเหยื่อ ก็อาจไม่เรียกเก็บค่าปรับนี้ก็ได้ โดยการตัดสินว่าจะลงโทษหรือไม่นั้นจะทำโดยเจ้าหน้าที่ด้านการปกป้องข้อมูลอย่าง Information Commissioner’s Office หรือ ICO

 

ด้านรัฐมนตรีกระทรวงดิจิตอลของอังกฤษ แมทท์ แฮนค็อก (Matt Hancock) กล่าวว่า วัตถุประสงค์ของร่างกฎหมายใหม่ฉบับนี้คือ

– ต้องการเปิดโอกาสให้ผู้บริโภคสามารถเรียกร้องให้บริษัทผู้ให้บริการลบข้อมูลส่วนตัวของพวกเขาที่องค์กรเก็บไว้ออกจากระบบได้

– ในกรณีที่ผู้ใช้งานเป็นเด็ก ต้องได้รับการยินยอมจากพ่อแม่ก่อน บริษัทจึงจะสามารถนำข้อมูลของเด็กไปใช้ได้

– ต้องได้รับการยืนยันที่ “ชัดเจน” จากผู้ใช้งานก่อนจึงจะสามารถนำข้อมูลส่วนตัวของผู้ใช้งานไปใช้ประโยชน์ได้

– มีการขยายคำจำกัดความของ “ข้อมูลส่วนตัว” ให้ครอบคลุมไปถึง IP Address, DNA และคุ้กกี้

– ห้ามบริษัทคิดค่าใช้จ่ายในการเปิดเผยข้อมูลส่วนตัวของผู้ใช้งานที่บริษัทเก็บเอาไว้

– ผู้บริโภคต้องได้รับความสะดวกในการโอนย้ายข้อมูลระหว่างผู้ให้บริการ

 

โดยร่างกฎหมายดังกล่าวอยู่ระหว่างการพิจารณา และจะแยกออกจากกฎหมาย The General Data Protection Regulations (GDPR) ที่เน้นเรื่องการปกป้องข้อมูลมากกว่าบริการ ซึ่ง GDPR จะเข้ามาบังคับใช้แทนกฎหมาย The British Data Protection Act 1998 ตั้งแต่วันที่ 25 พฤษภาคม 2018  และกระบวนการในการถอนตัวออกจากสหภาพยุโรปที่จะเกิดขึ้นก็ไม่สามารถเปลี่ยนแปลงแก้ไขกฎหมายนี้ได้

 

ทั้งนี้ ร่างกฎหมายฉบับใหม่นี้มีขึ้นเพื่อปกป้องโครงสร้างพื้นฐาน เช่น ระบบขนส่ง, สุขภาพ, พลังงาน ไม่ให้ตกเป็นเหยื่อของอาชญากรอินเทอร์เน็ตเป็นหลัก เหมือนเช่นที่เกิดขึ้นที่ยูเครน หรือกรณีมัลแวร์เรียกค่าไถ่ WannaCry ที่ทำให้ NHS ของอังกฤษตกเป็นเหยื่อ จนระบบของโรงพยาบาลไม่สามารถใช้งานได้อีกนั่นเอง

 

ที่มา http://thehackernews.com/2017/08/.html

Leave a Reply

Top
ปิดโหมดสีเทา