วันนี้เป็นวันเลือกตั้งผู้ว่า กทม. 2013

สิ่งที่อยากจะแชร์ในวันนี้คือ Security ในเขตเลือกตั้งครับ ผมล่ะแปลกใจว่าหน่วยงานรัฐที่เกี่ยวข้องละเลยเรื่องพวกนี้ได้อย่างไร หรือคิดว่าเป็นเรื่องปกติ ทำกันมานานไม่เห็นมีปัญหาหรืออย่างไร

1. บอร์ดเลือกตั้ง มีข้อมูล Privacy ที่สำคัญของประชาชนในเขต โดยข้อมูลที่ถูกเปิดเผยบนบอร์ดนั้นได้แก่ เลขที่บ้าน ชื่อ-นามสกุล ลำดับที่ เลขที่บัตรประชาชน วันเกิด โดยปกติก่อนการเลือกตั้งจะมีจดหมายมาแจ้งที่บ้านว่าบุคคลในบ้านผู้ใดมีสิทธิ์ไปเลือกตั้งบ้าง และแต่ละคนอยู่ลำดับที่เท่าไร เพื่อไปแจ้งที่ศูนย์เลือกตั้งเพื่อใช้สิทธิ์

Privacy Data

ผมเห็นว่าบอร์ดที่ติดอยู่นั้นหากจะมี ก็มีได้ แต่เรื่องข้อมูลต่าง ๆ ควรจะต้องมีการ Filter ออกบ้าง เพราะคงจะไม่มีคนไปนั่งไล่วันเกิด หรือ เลขบัตรประชาชน เพื่อหาลำดับที่ในการใช้สิทธิ์หรอกครับ

ข้อมูลเหล่านี้หากแยกกันอยู่โดด ๆ คงไม่สำคัญอะไร แต่พอนำมารวมกันเราก็ควรจะให้ความสำคัญเพิ่มขึ้นครับ หากมีคนสามารถนำข้อมูลเหล่านี้ออกไปได้ หรือ หากมีการควบคุมหรือทำลายข้อมูลไม่ถูกต้อง ก็น่ากลัวนะครับ ข้อมูลเหล่านี้อาจจะถูกนำไปใช้ในทางที่ไม่ดี เช่น Identity Theft ก็ได้ครับ หรือหากโจรร้ายดูข้อมูลเหล่านี้ก็จะทราบว่าบ้านแต่ละหลังมีคนอยู่จำนวนเท่าไร

2. ผู้ที่ไปต่อแถวใช้สิทธิ์ โดยส่วนใหญ่มักจะถือบัตรประชาชนไว้ในมือ บางทีก็เอามือไพล่หลัง ซึ่งอาจจะถูกผู้ที่อยู่ด้านหลังนำข้อมูลไปใช้ได้นะครับ

สิ่งที่ควรจะทำเป็นอย่างน้อย

1. Data Filtering – การตัดข้อมูลบางอย่างออก เพื่อปกป้องไม่ให้ข้อมูลสำคัญรั่วไหล เช่น บอร์ดแจ้งรายละเอียดผู้มีสิทธิ์ควรจะต้องมีการพิจารณาให้เห็นเฉพาะข้อมูลที่จำเป็นจริง ๆ เท่านั้น
2. Data Classification & Data Handling – ตาม Standard ISO27001 เรื่องการจัดชั้นความลับถือเป็นเรื่องสำคัญมาก ๆ โดยเอกสารหรือข้อมูลต่าง ๆ ควรจะมีการจัดชั้นความลับให้เหมาะสมกับความสำคัญของเอกสาร โดยแต่ละชั้นความลับก็ควรจะมีวิธีการเข้าถึง, ควบคุม และทำลาย อย่างเหมาะสม หากไม่มีการจัดการที่ดี วันนึงข้างหน้าเราอาจจะเห็นกระดาษที่มีข้อมูลสำคัญเหล่านี้ ถูกนำไปถูกพับถุงขายก็ได้ครับ