ปรับตัวสู่องค์กรยุคใหม่ เพิ่มระดับความปลอดภัยของข้อมูลด้วย Data Sovereignty | CloudCast Central EP 7

ในยุคที่ข้อมูลข่าวสารแพร่กระจายไปอย่างรวดเร็วในโลกโซเชียลมีเดีย และการจัดเก็บข้อมูลที่สำคัญของบุคคลทั่วไป รวมไปถึงองค์กรรายย่อยและรายใหญ่บนระบบคลาวด์ต่างประเทศ เริ่มส่งผลต่อความมั่นคง และความปลอดภัยของข้อมูล ทั้งยังมีโอกาสเกิดภัยคุกคามทางไซเบอร์โดยไม่รู้ตัว

ความเสี่ยงที่คาดว่าจะเกิดขึ้นนี้ อาจกลายเป็นชนวนสำคัญที่ทำให้องค์กรและหน่วยงานหลายแห่ง หันมาใช้ “Local Cloud” กันมากขึ้น เพราะถือเป็นระบบคลาวด์ที่ดำเนินการอยู่ภายใต้กฎหมายของประเทศนั้น ๆ ซึ่งจะเป็นประโยชน์ต่อการเก็บข้อมูล และประมวลผลด้วยทรัพยากรข้อมูลที่มีทั้งหมดภายในประเทศได้อย่างมีประสิทธิภาพ อย่างไรก็ตามการนำเทคโนโลยีคลาวด์เข้ามาใช้ในการดำเนินงานทุกด้านยังคงมีประเด็นที่ต้องเรียนรู้เพิ่มเติม ซึ่งหนึ่งในนั้นคือเรื่อง Data Sovereignty

Data Sovereignty หรืออธิปไตยทางข้อมูล คือการจัดการควบคุมข้อมูลที่เก็บอยู่บนระบบคลาวด์ให้ตรงตามข้อกำหนดทางกฎหมาย โดยครอบคลุมตั้งแต่สิทธิ์การเข้าถึงข้อมูล การบริหารจัดการ ตลอดจนการรักษาความปลอดภัยของข้อมูลไม่ให้มีการรั่วไหลไปยังโลกภายนอกได้

**Data Sovereignty **ถือเป็นเรื่องที่ท้าทายในโลกยุคดิจิทัล เพราะเมื่อหันกลับมาดูองค์กรไทยที่จัดเก็บข้อมูลไว้บนระบบคลาวด์ต่างชาติ อาจมีความเสี่ยงต่อการถูกโจมตีหรือเข้าถึงข้อมูลโดยไม่ได้รับความยินยอม ตัวอย่างเช่น บริษัท A ในประเทศไทย มีการจัดเก็บรวบรวมข้อมูลสำคัญบนระบบคลาวด์ของต่างชาติ แต่หากในช่วงเวลาหนึ่ง รัฐบาลต่างชาติของประเทศนั้น ต้องการตรวจสอบข้อมูลที่อยู่บนระบบคลาวด์ภายในประเทศ ผู้ให้บริการคลาวด์ก็จะต้องมีการเปิดเผยข้อมูล ซึ่งอาจทำให้ข้อมูลที่เป็นความลับขององค์กรรั่วไหลและตกไปอยู่ในมือของคู่แข่งได้

ดังนั้น การใช้บริการคลาวด์ต่างชาติ โดยที่ผู้ให้บริการอาจไม่ได้มีการปกป้องข้อมูลของเราได้ดีพอ จึงทำให้มีองค์กรในหลายประเทศได้หันมาใช้ Local Cloud ที่เป็น Data Sovereignty เป็นของตนเอง ซึ่งจะช่วยปกป้องข้อมูลไม่ให้มีใครนำไปใช้ประโยชน์โดยไม่ได้รับอนุญาตได้ต่อไป

นอกจากนี้ในหลาย ๆ ประเทศเริ่มออกกฎหมายเกี่ยวกับ Data Sovereignty เพื่อควบคุมการใช้ข้อมูลให้ดำเนินการอยู่ภายในประเทศเท่านั้น แต่ก็อาจจะทำให้องค์กรหรือหน่วยงานที่ต้องใช้ข้อมูล สามารถทำงานได้ยากลำบากขึ้น เพราะการที่แต่ละประเทศเขียนกฎหมายเกี่ยวกับ Data Sovereignty แม้จะมีข้อแตกต่างทางกฎหมายกันบ้างเล็กน้อย แต่ความแตกต่างจุดเล็ก ๆ นี้ ก็อาจก่อให้เกิดความขัดแย้งระหว่างประเทศได้เลยทีเดียว

แม้ว่าในประเทศมหาอำนาจต่างๆ จะมีผู้ให้บริการระบบคลาวด์รายใหญ่อยู่หลายราย แต่ในยุคที่ข้อมูลเปรียบเสมือนทองคำ ใครที่ไม่เท่าทันก็อาจถูกเอาเปรียบได้ โดยเฉพาะในเรื่องของการปกป้องข้อมูลตนเอง นั่นจึงเป็นเหตุผลที่จะต้องสร้างกฎหมายออกมาเพื่ออุดช่องโหว่ทางกฎหมายที่อาจเกิดขึ้น ตัวอย่างเช่นในสหรัฐอเมริกาและสหภาพยุโรป ก็ได้มีการปฏิรูปทางกฎหมายเพื่อปกป้องข้อมูลของตนเอง

**- CLOUD Act **พระราชบัญญัติการให้อำนาจรัฐบาลสหรัฐอเมริกา ที่จะขอข้อมูลจากทุกองค์กรในประเทศของตนเองที่อยู่บนระบบคลาวด์ ซึ่งในกรณีที่บริษัทประเทศอื่น หรือแม้แต่ประเทศไทยใช้บริการคลาวด์ของสหรัฐอเมริกา แม้จะมีระบุไว้ว่าจะไม่มีการแชร์ข้อมูลให้บุคคลอื่น แต่หากรัฐบาลของสหรัฐอเมริกาขอข้อมูล ผู้ให้บริการคลาวด์ก็จะต้องเปิดเผยข้อมูลต่อรัฐบาล โดยไม่มีข้อยกเว้นใด ๆ

**- GDPR **กฎระเบียบการคุ้มครองข้อมูลทั่วไปแห่งสหภาพยุโรป โดยจะมีการระบุในทางกฎหมายว่า ผู้ให้บริการคลาวด์จะสามารถถ่ายโอนข้อมูลส่วนบุคคลออกไปภายนอกยุโรปได้ เฉพาะในกรณีที่ข้อมูลได้รับการคุ้มครองในระดับที่มากเพียงพอเท่านั้น

โดยเหตุผลที่ทางสหภาพยุโรปออกกฎหมาย GDPR ขึ้นมาก็เพื่อป้องกันการรั่วไหลของข้อมูลจากองค์กรที่อาจมีการเผยแพร่ข้อมูลตาม CLOUD Act ของสหรัฐอเมริกา ซึ่งหากเป็นเช่นนั้นก็จะถือว่าองค์กรละเมิดกฎ GDPR ของสหภาพยุโรป แต่ในบางกรณี รัฐบาลก็สามารถบรรลุข้อตกลงทวิภาคีระหว่าง EU และ US หรือบางองค์กรก็หันไปใช้การเข้ารหัส (Encryption) ซึ่งจะมีเพียงผู้ส่งและผู้รับที่จะสามารถถอดรหัสข้อมูลได้ อย่างไรก็ตามทั้งสหรัฐอเมริกาและสหภาพยุโรป ต่างก็พยายามออกกฎหมายขึ้นมา เพื่อไม่ให้ประเทศอื่นเข้าถึงข้อมูลของประเทศตนเองได้เพียงเท่านั้น

ขณะที่ต่างประเทศเริ่มตื่นตัวและตระหนักในเรื่องการรักษาความปลอดภัยของข้อมูลภายในประเทศ แต่เมื่อหันกลับมาที่องค์กรในประเทศไทยที่เก็บข้อมูลสำคัญไว้บนระบบคลาวด์ต่างประเทศไว้เป็นจำนวนมากซึ่งในการทำแบบนี้ ถือว่ามีความเสี่ยงที่อาจจะถูกเข้าถึงข้อมูลโดยที่ไม่ได้รับการยินยอม เพราะอย่างที่กล่าวว่าในสหรัฐอเมริกานั้น มีกฎหมายด้าน CLOUD Act ที่สามารถเข้าถึงข้อมูลคนไทยได้ตามต้องการ แต่กลับกัน ในประเทศไทยไม่ได้มีกฎหมายที่จะมาคัดค้านหรือปกป้องข้อมูลภายในประเทศ เหมือนอย่างที่สหภาพยุโรปมีกฎระเบียบคุ้มครองข้อมูลขึ้นมา

องค์กรหลายแห่งในประเทศไทย โดยเฉพาะหน่วยงานภาครัฐและเอกชนที่อาจมีข้อมูลส่วนบุคคลที่อ่อนไหว และในบางหน่วยงานที่อาจมีข้อมูลสำคัญ ซึ่งอาจส่งผลกระทบต่อความมั่นคงในระดับประเทศได้ ควรที่จะเริ่มปรับตัวในเรื่องของการเก็บข้อมูลที่สำคัญให้อยู่ใน Local Cloud ของไทย ไม่ให้อยู่บนคลาวด์ต่างชาติที่อาจจะถูกนำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับอนุญาตด้วยช่องโหว่ทางกฎหมายต่างๆ ได้

การปรับตัวสู่องค์กรยุคใหม่โดยที่ยังรักษาความปลอดภัยของข้อมูลได้นั้น ต้องเริ่มต้นจากยกระดับประสิทธิภาพ Data Sovereignty ให้รัฐบาลหรือผู้ที่เกี่ยวข้องในประเทศสามารถควบคุมและปกป้องข้อมูลได้อย่างเต็มที่ ซึ่งเป็นปัจจัยสำคัญที่จะรักษาความเป็นส่วนตัวของข้อมูลในโลกยุคดิจิทัลได้อย่างมีประสิทธิภาพ