ใบรับรองมาตรฐานความปลอดภัยของผู้ให้บริการ IaaS ไม่ได้ปกป้องข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างที่เข้าใจ

Posted on by

ในยุคที่การใช้บริการคลาวด์กำลังเติบโตอย่างรวดเร็ว หลายองค์กรมักจะพิจารณาใบรับรองมาตรฐานความปลอดภัยต่างๆ เช่น ISO27701, ISO27018 และ ISO27799 เป็นเครื่องรับประกันว่าข้อมูลของพวกเขาจะปลอดภัยเมื่อใช้บริการคลาวด์แบบ Infrastructure as a Service (IaaS) อย่างไรก็ตาม ความเข้าใจนี้อาจไม่ถูกต้องทั้งหมด เนื่องจากใบรับรองเหล่านี้ไม่ได้เป็นหลักประกันว่าข้อมูลส่วนบุคคลของผู้ใช้บริการจะได้รับการปกป้องอย่างสมบูรณ์

ความหมายของใบรับรองมาตรฐานความปลอดภัย

  1. ISO 27701: เป็นมาตรฐานระบบการจัดการความเป็นส่วนตัวของข้อมูล (Privacy Information Management System – PIMS) ซึ่งขยายมาจาก ISO 27001 และ ISO 27002 มาตรฐานนี้ให้แนวทางในการจัดการและปกป้องข้อมูลส่วนบุคคลในองค์กรของผู้ให้บริการเท่านั้น แต่ไม่ได้รับประกันว่าจะไม่มีการรั่วไหลของข้อมูล และไม่ครอบคลุมถึงข้อมูลของผู้ใช้บริการ
  2. ISO 27018: เป็นแนวปฏิบัติสำหรับการปกป้องข้อมูลส่วนบุคคลในระบบคลาวด์สาธารณะ มุ่งเน้นที่ผู้ให้บริการคลาวด์ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลในระบบและการใช้งานของตนเอง แต่ไม่ครอบคลุมถึงการใช้งานและการกำหนดค่าของผู้ใช้บริการ
  3. ISO 27799: เป็นมาตรฐานการจัดการความปลอดภัยของข้อมูลในภาคสุขภาพ ให้แนวทางในการปกป้องข้อมูลสุขภาพส่วนบุคคล แต่ไม่ได้ครอบคลุมทุกแง่มุมของการใช้งานบริการคลาวด์.

เหตุผลที่ใบรับรองไม่ใช่หลักประกันความปลอดภัยทั้งหมด

  1. ขอบเขตจำกัดของการรับรอง: ใบรับรองมาตรฐานความปลอดภัยมักจะครอบคลุมเฉพาะโครงสร้างพื้นฐานและกระบวนการของผู้ให้บริการคลาวด์เท่านั้น แต่ไม่ได้รวมถึงวิธีการที่ผู้ใช้บริการจัดการกับข้อมูลของตนเองบนแพลตฟอร์มนั้น
  2. ความรับผิดชอบร่วม: ในโมเดล IaaS ผู้ให้บริการคลาวด์รับผิดชอบเพียงความปลอดภัยของโครงสร้างพื้นฐาน ในขณะที่ผู้ใช้บริการต้องรับผิดชอบความปลอดภัยของแอปพลิเคชัน ข้อมูล และการกำหนดค่าต่างๆ ด้วยตนเอง
    Shared_Responsibility_Model
  3. การเปลี่ยนแปลงอย่างรวดเร็วของภัยคุกคาม: แม้ว่าผู้ให้บริการจะได้รับการรับรองมาตรฐาน แต่ภัยคุกคามด้านความปลอดภัยมีการพัฒนาอย่างรวดเร็ว ทำให้มาตรการที่เคยมีประสิทธิภาพอาจล้าสมัยได้ในเวลาอันสั้น
  4. ข้อจำกัดของการตรวจสอบ: การตรวจสอบเพื่อออกใบรับรองมักเป็นการตรวจสอบแบบจุดเดียว (point-in-time) ซึ่งไม่สามารถรับประกันความปลอดภัยอย่างต่อเนื่องได้
  5. ความซับซ้อนของการกำหนดค่า: ผู้ใช้บริการอาจกำหนดค่าระบบผิดพลาด ทำให้เกิดช่องโหว่ด้านความปลอดภัย แม้ว่าผู้ให้บริการจะมีใบรับรองมาตรฐานก็ตาม

ตัวอย่างเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากการใช้บริการ IaaS

  1. Amazon Web Services (AWS):
    • ในปี 2019 บริษัท Capital One ถูกแฮ็กข้อมูลลูกค้ากว่า 100 ล้านราย ผ่านช่องโหว่ในการตั้งค่า AWS S3 bucket ที่ไม่ถูกต้อง แม้ว่า AWS จะมีมาตรฐานความปลอดภัยสูง แต่การกำหนดค่าที่ไม่เหมาะสมของผู้ใช้บริการก็นำไปสู่การรั่วไหลของข้อมูล
  2. Microsoft Azure:
    • ในปี 2021 มีการค้นพบว่าฐานข้อมูล Cosmos DB ของ Azure มีช่องโหว่ที่อาจทำให้แฮ็กเกอร์เข้าถึงข้อมูลของลูกค้าได้ แม้ว่า Microsoft จะแก้ไขปัญหาอย่างรวดเร็ว แต่ก็แสดงให้เห็นว่าแม้แต่ผู้ให้บริการรายใหญ่ก็อาจมีจุดอ่อนด้านความปลอดภัยได้
  3. Google Cloud Platform (GCP):
    • ในปี 2020 มีรายงานว่าข้อมูลส่วนบุคคลของผู้ใช้แอพพลิเคชัน GO-JEK ซึ่งเก็บไว้บน Google Cloud ถูกเปิดเผยโดยไม่ได้ตั้งใจ เนื่องจากการกำหนดค่าความปลอดภัยที่ไม่เหมาะสม
  4. Huawei Cloud:
    • แม้ว่าจะไม่มีรายงานการรั่วไหลขนาดใหญ่ แต่ในปี 2019 มีข้อกังวลเกี่ยวกับความปลอดภัยของ Huawei Cloud ในแง่ของการเข้าถึงข้อมูลโดยรัฐบาลจีน ซึ่งแสดงให้เห็นว่านอกจากความปลอดภัยทางเทคนิคแล้ว ยังมีประเด็นด้านความไว้วางใจและกฎหมายที่ต้องพิจารณา
  5. Tencent Cloud:
    • ในปี 2019 มีรายงานว่าข้อมูลส่วนบุคคลของผู้ใช้แอพพลิเคชันเกมมือถือในจีนที่ใช้บริการ Tencent Cloud ถูกเปิดเผยเนื่องจากการกำหนดค่าความปลอดภัยที่ไม่เพียงพอ

สิ่งที่ผู้ใช้บริการควรทำนอกเหนือจากการพิจารณาใบรับรอง

  1. การเข้ารหัสข้อมูล: ควรเข้ารหัสข้อมูลสำคัญทั้งในขณะจัดเก็บและระหว่างการส่งข้อมูล
  2. การจัดการสิทธิ์การเข้าถึง: ใช้หลักการให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น (Principle of Least Privilege) ในการกำหนดสิทธิ์การเข้าถึงข้อมูลและทรัพยากร
  3. การตรวจสอบและเฝ้าระวัง: ดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอและติดตั้งระบบเฝ้าระวังเพื่อตรวจจับกิจกรรมที่น่าสงสัย
  4. การฝึกอบรมพนักงาน: ให้ความรู้แก่พนักงานเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยและความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการคลาวด์
  5. การวางแผนรับมือเหตุการณ์: จัดทำแผนรับมือเหตุการณ์ด้านความปลอดภัยและทดสอบแผนอย่างสม่ำเสมอ

สรุปแล้ว แม้ว่าใบรับรองมาตรฐานความปลอดภัยจะเป็นสิ่งสำคัญในการพิจารณาเลือกผู้ให้บริการคลาวด์ แต่ไม่ควรถือเป็นหลักประกันเดียวในการปกป้องข้อมูลส่วนบุคคล ผู้ใช้บริการจำเป็นต้องมีส่วนร่วมในการรักษาความปลอดภัยของข้อมูลของตนเองอย่างแข็งขันและต่อเนื่อง เพื่อลดความเสี่ยงและปกป้องข้อมูลสำคัญอย่างมีประสิทธิภาพ ตัวอย่างเหตุการณ์ที่เกิดขึ้นกับผู้ให้บริการชั้นนำแสดงให้เห็นว่าแม้แต่ระบบที่มีความปลอดภัยสูงก็ยังมีความเสี่ยง โดยเฉพาะอย่างยิ่งเมื่อผู้ใช้บริการไม่ได้ปฏิบัติตามแนวทางด้านความปลอดภัยอย่างเคร่งครัด