อังกฤษเตรียมคิดค่าปรับบริษัทที่ไม่ลงทุนระบบรักษาความปลอดภัยแล้ว
ในช่วง 2 – 3 ปีที่ผ่านมา ต้องยอมรับว่ามีหลายบริษัทที่ตกเป็นข่าวครึกโครมเกี่ยวกับการถูกเจาะระบบโดยแฮกเกอร์ที่อาจส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานหลายร้อยล้านแอคเคาน์ตกอยู่ในความเสี่ยง
แต่ก็ใช่ว่าองค์กรทุกแห่งจะตระหนักถึงความร้ายแรงของปัญหานี้ เพราะบางองค์กรก็ยังไม่มีทีท่าว่าจะลงทุนด้านระบบรักษาความปลอดภัยเพื่อดูแลรักษาข้อมูลให้กับลูกค้าเพิ่มเติมแต่อย่างใด ส่งผลให้รัฐบาลอังกฤษต้องออกมาอัปเดตกฎหมายการปกป้องข้อมูล (Data Protection Law) เพิ่มเติม โดยร่างกฎหมายใหม่นี้จะคิดค่าปรับกับองค์กรใดก็ตามที่ไม่ลงทุนระบบรักษาความปลอดภัย และปล่อยให้องค์กรของตนเองโดนอาชญากรอินเทอร์เน็ตโจมตีได้ ซึ่งค่าปรับสูงสุดนั้นมีให้เลือกสองแบบก็คือ คิดเป็นมูลค่าที่ 22 ล้านเหรียญสหรัฐ หรือ 4% จากมูลค่าขององค์กรในระดับโลกอยู่ที่ว่ามูลค่าตัวใดจะสูงกว่ากัน
อย่างไรก็ดี ใช่ว่าทุกองค์กรที่โดนแฮกเกอร์เล่นงานจะต้องจ่ายค่าปรับนี้เสมอไป เพราะหากมีการประเมินโดยผู้ที่ได้รับมอบหมายแล้วว่าทางองค์กรได้มีมาตรการป้องกันอย่างเหมาะสม และมีการประเมินความเสี่ยงอยู่เป็นระยะ แต่บังเอิญตกเป็นเหยื่อ ก็อาจไม่เรียกเก็บค่าปรับนี้ก็ได้ โดยการตัดสินว่าจะลงโทษหรือไม่นั้นจะทำโดยเจ้าหน้าที่ด้านการปกป้องข้อมูลอย่าง Information Commissioner’s Office หรือ ICO
ด้านรัฐมนตรีกระทรวงดิจิตอลของอังกฤษ แมทท์ แฮนค็อก (Matt Hancock) กล่าวว่า วัตถุประสงค์ของร่างกฎหมายใหม่ฉบับนี้คือ
– ต้องการเปิดโอกาสให้ผู้บริโภคสามารถเรียกร้องให้บริษัทผู้ให้บริการลบข้อมูลส่วนตัวของพวกเขาที่องค์กรเก็บไว้ออกจากระบบได้
– ในกรณีที่ผู้ใช้งานเป็นเด็ก ต้องได้รับการยินยอมจากพ่อแม่ก่อน บริษัทจึงจะสามารถนำข้อมูลของเด็กไปใช้ได้
– ต้องได้รับการยืนยันที่ “ชัดเจน” จากผู้ใช้งานก่อนจึงจะสามารถนำข้อมูลส่วนตัวของผู้ใช้งานไปใช้ประโยชน์ได้
– มีการขยายคำจำกัดความของ “ข้อมูลส่วนตัว” ให้ครอบคลุมไปถึง IP Address, DNA และคุ้กกี้
– ห้ามบริษัทคิดค่าใช้จ่ายในการเปิดเผยข้อมูลส่วนตัวของผู้ใช้งานที่บริษัทเก็บเอาไว้
– ผู้บริโภคต้องได้รับความสะดวกในการโอนย้ายข้อมูลระหว่างผู้ให้บริการ
โดยร่างกฎหมายดังกล่าวอยู่ระหว่างการพิจารณา และจะแยกออกจากกฎหมาย The General Data Protection Regulations (GDPR) ที่เน้นเรื่องการปกป้องข้อมูลมากกว่าบริการ ซึ่ง GDPR จะเข้ามาบังคับใช้แทนกฎหมาย The British Data Protection Act 1998 ตั้งแต่วันที่ 25 พฤษภาคม 2018 และกระบวนการในการถอนตัวออกจากสหภาพยุโรปที่จะเกิดขึ้นก็ไม่สามารถเปลี่ยนแปลงแก้ไขกฎหมายนี้ได้
ทั้งนี้ ร่างกฎหมายฉบับใหม่นี้มีขึ้นเพื่อปกป้องโครงสร้างพื้นฐาน เช่น ระบบขนส่ง, สุขภาพ, พลังงาน ไม่ให้ตกเป็นเหยื่อของอาชญากรอินเทอร์เน็ตเป็นหลัก เหมือนเช่นที่เกิดขึ้นที่ยูเครน หรือกรณีมัลแวร์เรียกค่าไถ่ WannaCry ที่ทำให้ NHS ของอังกฤษตกเป็นเหยื่อ จนระบบของโรงพยาบาลไม่สามารถใช้งานได้อีกนั่นเอง
ที่มา http://thehackernews.com/2017/08/data-breach-security-law.html