Skip to content

BREACH กับ LEAK

 

สมมติว่า องค์กรหนึ่งเอาข้อมูลขึ้น Cloud บางส่วนเป็นความลับขององค์กร แล้ววันหนึ่ง มีพนักงานเกิดไปเห็นแบบนี้ เฮ้ย เฮ้ย ทำไม Web นี้มันชี้ Link มาที่ Cloud ของเราวะ  นี่มันไฟล์ความลับนี่หว่า อ้าว…แล้วคนคลิกอ่านได้ด้วย โหลด PDF ได้อีกตะหาก ซวยแว้วววววว….

Cloud Service มันก็ไม่ได้เซ็ตง่าย ๆ เสมอไปนะครับ ใครจะไปรู้ว่าต้องปิดโฟลเดอร์ นึกว่าแค่เอาข้อมูลขึ้นไปไว้บน Cloud เฉย ๆ ก็จบแล้ว ก็ไหนว่า Cloud ปลอดภัยมันก็น่าจะปิดโฟลเดอร์ให้เราไม่ใช่เหรอ เราต้องตั้ง Password ด้วยเหรอ มันน่าจะมีคำแนะนำหรือคำเตือนบอกเราบนหน้าจอนะ…..ก็ว่ากันไปนู่น

นั่นแหละครับ คือที่มาของคำว่า Data Leak ที่ไม่เหมือนกับ Data Breach

Data Breach คือการที่เจ้าของข้อมูล เขาได้ป้องกันหรือปกปิดข้อมูลแล้ว แต่มีคนพยายามเอามันออกไป แบบนี้ตาม พรบ.คอม ปี 60 (ขอเรียกสั้น ๆ ตามนี้นะครับ) เขาเรียกว่า “การเข้าถึงโดยมิชอบ ซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง” Data Breach จึงมีความผิดตาม พรบ.คอม ปี 60 ครับ

Data Leak คือการที่เจ้าของข้อมูลไม่ป้องกันข้อมูลของตัวเอง แล้วคนอื่นเข้าถึงข้อมูลนั้นได้ โดยไม่ได้ผ่านการป้องกันอะไรเลย ก็ไม่เข้าข่ายว่าเป็นการเข้าถึงโดยมิชอบ ก็จะไม่ผิดตาม พรบ.คอม ปี 60 นะครับ ส่วนข้อมูลนั้นจะเป็นข้อมูลลามกหรือเป็นภัยต่อความมั่นคง ก็ยังมีมาตราอื่นและพรบ.อื่น ๆ  เอาไว้เล่นงานคนที่นำข้อมูลนั้นไปใช้หรือสำเนาข้อมูลออกไป

ข้อมูลมันไม่ใช่ทรัพย์ ศาลฎีกามีพิพากษาที่ 5161/2547 อธิบายตาม ป.อาญา 335 ศาลฎีกาท่านพิพากษาว่า ข้อมูลไม่มีรูปร่างให้จับต้องได้ จึงไม่ใช่ทรัพย์…จั่นเจา เจ้าจงฟังไว้

ดังนั้น ใครจะมาก๊อปปี้ข้อมูลที่เราวางไว้บน Cloud หรือเปิดอ้าซ่าเอาไว้โดยไม่ป้องกัน มันก็ไม่ใช่ความผิดแบบลักทรัพย์นะครับ

ข้อมูลจะขึ้น Cloud หรือจะเก็บเอาไว้กับเซิร์ฟเวอร์ที่ออฟฟิศ ถ้าไม่ได้ใส่การป้องกันเอาไว้ เกิดมีคนมาเอาข้อมูลออกไปได้ เขาไม่ผิดนะครับ ว่ากันง่าย ๆ ตามนี้

เรามี WiFi แต่ดันไม่ใส่ Password เกิดบริษัทใกล้เคียงเขามาต่อ Wifi บริษัทเรา แล้วเซิร์ฟเวอร์เราก็เปิด Everyone Readonly เอาไว้ File Sharing ขำ ๆ แบบนี้เชิญคนให้มาดูข้อมูล ก๊อปปี้ข้อมูลออกไปหมดโฟลเดอร์ แบบที่เราเอาผิดเขาไม่ได้นะครับ กลายเป็นโจ๊กขำไม่ออกไปอีกนานเลย

เราทำ Web ใส่ข้อมูลเยอะแยะพร้อมทำหน้า Login ซะดิบดี แต่ดันเปิดอ้า FTP แบบ Anonymous เอาไว้ 55555 เดินเข้าหลังบ้านหยิบข้อมูลความลับออกไปได้ง่าย ๆ สบาย ๆ  ไม่ผิดกฎหมายนะครับพี่น้อง

แม้จะตั้ง Password ติงต๊องอย่าง 12345678 ก็ถือว่ามีการป้องกันแล้ว ตามกฎหมายก็ถือว่าได้เปลี่ยนจาก Data Leak เป็น Data Breach แม้ไม่มีผลกับ Security เพราะ Password งี่เง่าแบบนี้ใครก็เดาออก แต่ถ้าเกิดจับคนร้ายได้ มันมีผลต่อการดำเนินคดีเอาผิดกับคนร้าย ซึ่งดีกว่าเห็นคนร้ายเดินจากไป แบบที่เราทำอะไรมันไม่ได้เลย

ดังนั้น ข้อมูลอะไรที่มันเป็นความลับ ก็ปกปิดป้องกันเอาไว้ให้ดีครับ เพราะ Data Leak นั้น เราเอาผิดใครไม่ได้ กฎหมายก็ไม่ช่วย ไม่ใช่ความซวยมาเยือน โปรดอ่านคำเตือนบนฉลากก่อนดื่มทุกครั้ง

● สินค้าที่เกี่ยวข้อง LevelSync



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด