Data Security เก็บข้อมูลอย่างไรให้ปลอดภัย

คงปฏิเสธไม่ได้ว่าหนึ่งในภัยคุกคามทางไซเบอร์ที่ไม่ควรมองข้าม ต้องมีปัญหา “ความปลอดภัยของข้อมูล” (Data Security) โดยเฉพาะวงการธุรกิจการแพทย์และสุขภาพ ที่ต้องตอบโจทย์การทำงานทางไกลได้ ทำให้สถานพยาบาลหลาย ๆ แห่ง เริ่มให้ความสำคัญกับความปลอดภัยของการจัดเก็บข้อมูลเพิ่มมากขึ้น รวมทั้งการดูแลรักษาความปลอดภัยของข้อมูลให้รอดพ้นจากอาชญากรทางไซเบอร์นำข้อมูลต่างๆ ไปใช้ในทางที่ผิด อย่างไรก็ตาม แม้จะมีการป้องกันมากขนาดไหน แต่สุดท้ายก็พบช่องโหว่ให้สร้างภัยคุกคามต่างๆ โดยแฮ็กเกอร์ได้ ทั้งความผิดพลาดทางเทคนิคของคนเราหรือปัจจัยภายนอกองค์กร

ความปลอดภัยของข้อมูล สำคัญกว่าที่คุณคิด

จากสถิติของ Critical Insight บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ เปิดเผยข้อมูลเวชรด้านสุขภาพที่ได้รับการคุ้มครองของผู้ป่วยในปี 2021 ที่ผ่านมา พบว่ามีจำนวนผู้ถูกละเมิดความปลอดภัยทางไซเบอร์มากที่สุดเป็นประวัติการณ์มากกว่า 45 ล้านคนเป็นจำนวนที่เพิ่มขึ้นจากปี 2020 ถึง 11 ล้านคน นอกจากนี้ กระทรวงสุขภาพและบริการมนุษย์ของสหรัฐฯ (HHS)เปิดเผยข้อมูลที่น่าตกใจว่า การละเมิดข้อมูลด้านการรักษาพยาบาลในปี 2022 เพิ่มสูงถึง 686 รายการ และอาจมีแนวโน้มที่ปริมาณการละเมิดข้อมูลด้านสุขภาพ จะแตะไปถึง 700 รายการในอนาคต ในจำนวนนี้มีเกือบ 80 รายการที่ส่งผลกระทบต่อการดูแลสุขภาพของบุคคลมากกว่า 1 แสนราย และรายการบางส่วนส่งผลกระทบต่อผู้ได้รับการคุ้มครองทางสุขภาพมากกว่า 1 ล้านคน โดยสาเหตุสำคัญของการถูกละเมิดข้อมูลด้านสุขภาพ มาจากการแฮ็กข้อมูล หรือเหตุการณ์ด้านไอทีอื่นๆ มากถึง 73.9% หรือเกือบ 3 ใน 4

“ความปลอดภัยของข้อมูล” (Data Security) จึงเป็นวิธีปกป้องข้อมูลดิจิทัลจากจากการเข้าถึง การทุจริต หรือการโจรกรรมโดยไม่ได้รับอนุญาต ด้วยแนวคิดในการรักษาความปลอดภัยข้อมูลทุกรูปแบบ ตั้งแต่การรักษาความปลอดภัยทางกายภาพ ไปจนถึงการควบคุมการดูแลระบบและการเข้าถึง รวมถึงการรักษาความปลอดภัยเชิงตรรกะของแอปพลิเคชันซอฟต์แวร์ แต่ด้วยเทคโนโลยีที่ทันสมัย และระบบอินเทอร์เน็ตที่ตอบโจทย์การใช้ชีวิตของผู้คนในปัจจุบัน ทำให้เกิดระบบที่ซับซ้อนจนยากต่อการเฝ้าติดตามและรักษาความปลอดภัยอีกทั้งพฤติกรรมของผู้บริโภคเริ่มตระหนักถึงความสำคัญของความเป็นส่วนตัวของข้อมูล ทำให้สถาบันต่างๆ ทั่วโลกจึงเริ่มออกกฎระเบียบเพื่อปกป้องข้อมูลส่วนบุคคลมากขึ้น เช่น สหภาพยุโรป ออกกฎหมายใหม่เพื่อปกป้องข้อมูลส่วนบุคคล เรียกว่า General Data Protection Regulation(GDPR)หรือกฎหมายคุ้มครองผู้บริโภคในแคลิฟอร์เนีย ของสหรัฐฯ ที่มีข้อกำหนดด้านความปลอดภัยของข้อมูลด้วย เป็นต้น ทั้งนี้ ธุรกิจของข้อมูลมีมูลค่ามหาศาล หากสูญเสียความลับทางการค้าหรือทรัพย์สินทางปัญญา (IP) อาจส่งผลกระทบต่อความน่าเชื่อถือขององค์กรในอนาคต

ประเภทของความปลอดภัยของข้อมูล

การดูแลรักษาความปลอดภัยของข้อมูล มีหลายรูปแบบ แต่เราจะขอยกส่วนสำคัญที่มีผลกระทบโดยรวม ดังนี้

  • การเข้ารหัส (Encryption)

    เป็นรูปแบบการใช้อัลกอริธึมแปลงข้อความปกติจากเจ้าของข้อมูลให้เป็นภาษาข้อมูลที่อ่านไม่ได้ และจะมีโซลูชั่นในการเข้ารหัสไฟล์หรือฐานข้อมูลต่างๆ เพื่อป้องกันข้อมูลที่ละเอียดอ่อน โดยการปิดบังเนื้อหาผ่านการเข้ารหัสต่างๆ ให้มีความปลอดภัย

  • การลบข้อมูล (Data Erasure)

    เป็นการลบข้อมูลโดยใช้ระบบปฏิบัติการหรือซอฟต์แวร์ เพื่อเขียนทับข้อมูลบนอุปกรณ์จัดเก็บข้อมูลใดๆ เป็นการตรวจสอบว่าข้อมูลไม่สามารถกู้คืนได้ และให้ประสิทธิภาพในการรักษาความปลอดภัยของข้อมูลมากกกว่าการล้างข้อมูลแบบทั่วไป

  • การปกปิดซ่อนเร้นข้อมูล (Data Masking)

    โซลูชั่นนี้ องค์กรสามารถอนุญาตให้ทีมพัฒนาระบบหรือผู้ดูแล สามารถปิดบังข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personal Identifiable Information) เมื่อถึงเวลาจำเป็น เพื่อให้การพัฒนา สามารถเกิดขึ้นได้ในสภาพแวดล้อมอันเหมาะสม

  • ความยืดหยุ่นของข้อมูล (Data Resiliency)

    เป็นการเตรียมความพร้อมเรื่องของการกู้คืนระบบให้กลับมาใช้ใหม่ได้ในกรณีที่ระบบมีการถูกเจาะ อาทิ นโยบายการจัดการเข้าถึงข้อมูล ระเบียบการเข้าใช้งานระบบ การจัดเก็บข้อมูล การสำรองข้อมูลหลายแห่ง และการดูแลรักษาระบบให้สามารถอัพเดท และใช้งานได้ดีอยู่เสมอ

 

กลยุทธ์การรักษาความปลอดภัยของข้อมูล

การรักษาความปลอดภัยของข้อมูลที่ดี ต้องมีปัจจัยสำคัญต่างๆ ทั้งบุคลากรที่เชี่ยวชาญ กระบวนการต่างๆ ตลอดจนเทคโนโลยีที่ทันสมัย ที่จะเป็นตัวชี้วัดความปลอดภัยของข้อมูลในองค์กร มีความมั่นคงและปลอดภัยเพียงพอต่อการสร้างความเชื่อมั่นต่อผู้บริโภคได้หรือไม่ โดยมีกลยุทธ์ต่างๆ ที่สำคัญ ดังนี้

  • ความปลอดภัยทางกายภาพของระบบเซิร์ฟเวอร์ และอุปกรณ์ฮาร์ดแวร์

    ผู้ดูแลต้องตรวจสอบให้มั่นใจว่าอุปกรณ์หรือระบบเซิร์ฟเวอร์นั้น ปลอดภัย และมีมาตรการต่างๆ รองรับความปลอดภัยของข้อมูลจากภัยต่างๆ อย่างเพียงพอ โดยผู้ให้บริการระบบคลาวด์ จะรับผิดชอบต่อมาตรการป้องกันเหล่านี้ในนามขององค์กรของคุณ  

  • การควบคุมและจัดการความปลอดภัยของข้อมูล

    ควรปฏิบัติตามหลักการของ “การเข้าถึงที่มีสิทธิ์น้อยที่สุด” ทั่วทั้งสภาพแวดล้อมด้านไอทีขององค์กร ซึ่งหมายถึง การให้สิทธิ์ในการเข้าถึงฐานข้อมูล เครือข่าย และบัญชีผู้ดูแลระบบ แก่บุคคลที่ต้องการจริงๆ ให้น้อยที่สุดเท่าที่จะเป็นไปได้

  • ความปลอดภัยของระบบแอพพลิเคชั่นและการแพทช์

    เมื่อไรก็ตามที่ระบบแอพพลิเคชั่นต้องมีการอัพเดตหรือออกแพทช์เวอร์ชั่นใหม่ ซอฟต์แวร์ทั้งหมดควรได้รับการอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

  • การแบคอัพข้อมูล

    อีกหนึ่งกลยุทธ์ที่สามารถรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ ต้องมีวิธีการแบคอัพข้อมูล หรือรักษาสำเนาข้อมูลสำคัญที่ใช้งานได้

  • อบรมผู้ปฏิบัติงานให้ตระหนักถึงความปลอดภัยในการรักษาข้อมูล

    ระบบปฏิบัติการหรือเทคโนโลยีที่ทันสมัย ก็ถือว่าเป็นสิ่งที่ช่วยให้การรักษาความปลอดภัยของข้อมูลเป็นไปอย่างมีประสิทธิภาพ แต่หากขาดบุคคลากรที่มีความรู้ความเข้าใจ สิ่งที่กล่าวมาทั้งหมดแทบจะไร้ค่าไปทันที ฉะนั้น องค์กรต่างๆ ต้องมีการฝึกอบรมแก่พนักงานเพื่อตระหนักถึงการปกป้องข้อมูลสำคัญขององค์กรด้วยวิธีการต่างๆ เช่น การรักษารหัสผ่าน การสอนให้รู้จักวิธีการป้องกันภัยไซเบอร์ในรูปแบบต่างๆ ที่จะมีผลต่อการปกป้องข้อมูลสำคัญ

  • การตรวจสอบและควบคุมความปลอดภัยของระบบเครือข่ายทั้งต้นทางและปลายทาง

    การใช้อุปกรณ์และชุดเครื่องมือ หรือแพลตฟอร์มการจัดการภัยคุกคาม ทั้งระบบการตรวจจับหรือการตอบสนองที่ครอบคลุมทั่วทั้งสภาพแวดล้อมภายในองค์กรและแพลตฟอร์มคลาวด์ เป็นสิ่งที่ช่วยในการลดความเสี่ยงต่อการเกิดปัญหาการละเมิดข้อมูลได้

สิ่งต่างๆ ที่กล่าวมานั้น เป็นเพียงตัวอย่างเบื้องต้นของการดูแลรักษาความปลอดภัยของข้อมูลภายในองค์กร ซึ่งสามารถเกิดขึ้นได้ทุกธุรกิจ ไม่เว้นแม้กระทั่งธุรกิจการแพทย์และสุขภาพ แต่ในปี 2022 เทรนด์ด้านการรักษาความปลอดภัยของข้อมูลมีความเข้มข้นมากขึ้นเพื่อรับมือกับอาชญากรไซเบอร์ที่นับวันทวีความรุนแรงมากขึ้นเรื่อย ๆ โดยสิ่งที่ต้องจับตามอง ประกอบไปด้วย

  • เทคโนโลยีควอนตัม

    หลายคนคงอาจจะคุ้นหูกับคำว่า “เทคโนโลยีควอนตัม” ซึ่งเทคโนโลยีดังกล่าวมีการยืนยันว่า จะยกระดับเทคโนโลยีแบบเดิมให้เพิมจำนวนมากขึ้นแบบทวีคูณ โดยเฉพาะอัลกอริธึมการเข้ารหัสจะมีรายละเอียดที่ซับซ้อนมากขึ้น และปลอดภัยมากขึ้น

  • ความสามารถของระบบคลาวด์

    บรรดาองค์กรต่างๆ ต้องการโซลูชั่นที่ซับซ้อน เพื่อรองรับการปกป้องข้อมูล รวมถึงแอพพลิเคชั่น ระบบซอฟท์แวร์ หรือกระบวนการทางธุรกิจที่เป็นความลับเฉพาะให้ปลอดภัยยิ่งขึ้น ซึ่งทำงานบนระบบคลาวด์ทั้งแบบสาธารณะและส่วนตัว ดังนั้น การรักษาความปลอดภัยของข้อมูลในระบบคลาวด์ จะได้รับการพัฒนาขึ้นด้วยเช่นกัน 

  • ปัญญาประดิษฐ์ (AI)

    ระบบปัญญาประดิษฐ์ (AI) จะขยายความสามารถของระบบรักษาความปลอดภัยข้อมูลได้ดีมากขึ้น เพราะจะช่วยประมวลผลข้อมูลจำนวนมากได้ โดยเฉพาะ “Cognitive Computing” ซึ่งเป็นชุดย่อยของระบบ AI แม้จะทำงานเหมือนกับระบบ AI อื่น ๆ แต่สามารถจำลองกระบวนการคิดของมนุษย์ในการรักษาความปลอดภัยข้อมูลได้ดี ช่วยให้สามารถตัดสินใจได้อย่างรวดเร็วในช่วงเวลาที่จำเป็นอย่างยิ่ง

การรักษาความปลอดภัยของข้อมูล นับเป็นสิ่งสำคัญที่องค์กรหรือธุรกิจต่างๆ ไม่ควรมองข้าม เพราะนั่น คือการสร้างความน่าเชื่อถือให้กับองค์กรได้เป็นอย่างดี ยิ่งในธุรกิจด้านสุขภาพและการแพทย์ ความปลอดภัยของข้อมูลเป็นสินทรัพย์ที่จะรักษาผู้บริโภคให้อยู่กับเราไปนานๆ โดยเฉพาะในปัจจุบันที่มีเทคโนโลยีอันทันสมัย ช่วยให้การจัดเก็บข้อมูลเป็นไปด้วยความปลอดภัยสูงสุด มีประสิทธิภาพสูงสุด และรวดเร็วมากที่สุด อย่างไรก็ตาม แม้เทคโนโลยีจะก้าวหน้าขนาดไหน แต่ปัจจัยที่ขาดไม่ได้ในการรักษาความปลอดภัย คือ ผู้ถือข้อมูลอย่างพวกเราที่ต้องปกปิดให้ดีที่สุด และเปิดเผยในสถานการณ์เหมาะสมและมีประโยชน์กับเรามากที่สุด จะช่วยให้ความปลอดภัยของข้อมูล ทำงานได้อย่างมีประสิทธิภาพสูงสุดต่อไป

 

 


Sources
  1. No Head in the Clouds! How Health Providers Can Avert Cloud Security Breaches 
  2. What is data security? 
  3. The Importance of Data Security in 2022 
  4. The importance of data security in the healthcare industry 
  5. Data Privacy คืออะไร ทำไมถึงแตกต่างจาก Data Security 
  6. Healthcare data breaches hit all-time high in 2021, impacting 45M people 
  7. Largest Healthcare Data Breaches of 2021