เมื่อเกิด Data Breach เราควรทำอย่างไร ?
จากประเด็นที่ผ่านมาในเรื่องของข้อมูลจาก ฮั่นแน่ ไม่พูดหรอก เดี๋ยวบิน เอาเป็นว่า ไปอ่านข่าวกันเอาเองละกันนะ จากการแถลงข่าวของรัฐมนตรีว่าการกระทรวง DE เราเห็นแล้วปวดใจ งั้นเรามาคุยกันดีกว่าว่า ถ้าเราเป็นเจ้าของธุรกิจ หรือเจ้าของประเทศ (อันนั้นไม่ค่อยสนใจอะไรนอกจากห แหละ) เมื่อเราเจอเหตุการณ์ Data Breach หรือข้อมูลรั่วไหว และ Incident อื่น ๆ เราควรจะต้องจัดการอย่างไร
สิ่งที่ควรจะทำจริง ๆ มี 3 ขั้นตอนเหมือนเรานับ 1...2...3 เลย
1. Secure what's left
เมื่อเกิดปัญหาขึ้น อย่างแรกที่เราจะต้องทำคือ การทำสิ่งที่ยังเหลือให้รอด โดยอาจจะเป็นการจัดทีม IT เข้ามาค้นหาในระบบก่อนว่า ระบบส่วนไหนที่น่าจะเป็นปัญหา หรือเป็นจุดที่ผู้โจมตีน่าจะเข้ามา ไม่ว่าจะเป็นการขโมยข้อมูล หรือ การโจมตีอื่น ๆ แต่เมื่อ ณ เวลาที่เราพบ ระบบ หรือส่วนอื่น ๆ อาจจะโดนไปแล้วด้วย ทำให้เราจะต้องทำการตีกรอบความเสียหายออกมาว่า ระบบใด มีความเสียหายบ้าง
จากนั้น ให้เราทำการ Offline อุปกรณ์ที่ได้รับผลกระทบ ออกจากระบบให้หมด เพื่อป้องกันความเสียหายที่อาจจะลุกลามไปยังส่วนอื่น ๆ ในระบบของเราได้ แต่ ๆๆๆๆๆ แนะนำว่า อย่าปิดอุปกรณ์ที่ได้รับผลกระทบนะ แค่ให้เอาออกจาก Network พอ และ ทำการแจ้งให้กับผู้เชียวชาญ เพื่อให้เขาสามารถเข้ามา เก็บหลักฐาน และ ทำรายงานได้
และสมัยนี้เรามีกฏหมายที่เกี่ยวข้องกับการรั่วไหลของข้อมูลอย่าง PDPA เข้ามาเกี่ยวข้อง ข้อมูลที่หลุดออกไป อาจจะเป็นข้อมูลส่วนบุคคล เราอาจจะต้องปรึกษากับฝ่ายกฏหมายว่า เราควรจะจัดการกับเรื่องนี้อย่างไรต่อดี
2. Fix Vulnerabilities
เมื่อเรารู้แล้วว่าความเสียหายเราอยู่ตรงไหน และแยกออกมาแล้ว ถึงเวลาที่เราจะต้องทำการปิดช่องโหว่เหล่านั้น เพื่อไม่ให้มันเกิดขึ้นอีก ในส่วนนี้ เราแนะนำให้ทำงานกับ IT อย่างใกล้ชิดเพื่อหาที่มาของปัญหาและแก้ปัญหา หรืออาจจะคุยกับ Forensics experts เขาน่าจะช่วยเราได้เยอะ
เมื่อเรารู้แล้วว่า ความเสียหายมันอยู่ส่วนไหนบ้าง เกิดจากอะไร และเราทำการปิดช่องโหว่เรียบร้อยแล้ว เรื่องของคอมจบละ ต่อไปคือเรื่องของคนบ้างละ เราควรจะมีการวางแผนว่าเราจะสื่อสารยังไงกับคนอื่น ๆ ที่เกี่ยวข้องประเด็นสำคัญคือ ต้องพูดให้ชัดเจน ไม่ปิดบังข้อมูลสำคัญที่ทำให้ผู้เกี่ยวข้องสามารถป้องกันตัวเองได้ และ ต้องไม่มากไปจนอาจจะทำให้เกิดความเสี่ยงกับผู้เกี่ยวข้องมากขึ้นอีก
3. Communicate with Parties
อย่างที่บอก สุดท้ายคือ คนละ เราจะต้องสื่อสารออกไปให้ชัดจน ย้ำว่าชัดเจนว่า มันเกิดอะไรขึ้น ข้อมูลที่มันรั่วออกไปมันเอาไปทำอะไรได้บ้าง เราในฐานะของ Management เราทำอะไรไปแล้วบ้าง และจากเหตุที่เกิดขึ้น เราจะป้องกันตัวเองเพื่อไม่ให้เกิดขึ้นอีกได้อย่างไร อันนี้เราอาจจะทำในลักษณะของการอีเมล์ ส่งจดหมายภายใน หรือเป็นการแถลงข่าวเลยก็ได้ถ้าเราใหญ่พออะนะ ฮ่า ๆ
อีกเรื่องที่สำคัญ ที่เราอยากจะให้ความสำคัญหน่อยคือ ควรจะต้องสื่อสารด้วยว่า หลังจากนี้ เราจะติดต่อสื่อสารกับผู้เกี่ยวข้องอย่างไร เพราะถ้าเราไม่บอก และอาจจะมีคนไม่ทราบ ทำให้อาจจะตกเป็นเหยื่อของพวก Phishing ต่าง ๆ ที่อาจจะตามมาเป็นเหมือน Aftershock ก็ได้
สรุป
และนี่ก็คือ 3 ขั้นตอนที่สำคัญเมื่อเราควรทำ เมื่อเกิดเหตุการรั่วไหลของข้อมูล หรืออาจะโดนโจมตีก็ตาม อย่างที่บอกคือ เราจะเริ่มจากแยกสิ่งที่ไม่ได้รับผลกระทกออกไป ทำการค้นหาว่าส่วนไหนมีปัญหา และทำการแก้ไข ในฝั่งของกฏหมายก็อาจจะต้องมีการปรึษากับทนายที่มีความเชี่ยวชาญ และสุดท้ายให้เราสื่อสารกับผู้ที่ได้รับผลกระทบถึงเหตุการณ์ที่เกิดขึ้น แค่นั้นเลย สิ่งที่เราบอกเหมือนจะง่ายนะ แต่ในความเป็นจริง พอความลน ผสมความตกใจ และขั้นตอนที่เยอะขึ้นเรื่อย ๆ ตามขนาดขององค์กร เลยทำให้เราแนะนำว่า จะต้องมี Incident Plan เลยว่า ถ้าเกิดขึ้น เราจะมีขั้นตอนอะไรอย่างไรให้ชัดเจนไปเลยจะดีกว่า อย่าให้โดนก่อนแล้วค่อยสำนึก ความจะป้องกันไว้ดีกว่าแก้เนอะ