ขโมยข้อมูล Database

Blog

ป้องกันการโดยขโมยข้อมูล Database กรณีของ PDPA ที่ระบุว่า เราต้องมีการป้องกันไม่ให้ข้อมูลหลุด ไม่งั้นจะต้อง โดนค่าปรับ หรือ อาจจะติดคุก นั้น วันนี้เราจะมาดูกันในเรื่องป้องกัน Database กันบ้าง ซึ่งใน Clip ตัวอย่างนี้เราจะยกตัวอย่างของ Azure และมี Database ที่เป็น Microsoft SQL ครับ สำหรับเรื่องพื้นฐานของการป้องกัน ก็จะมีหลักการดังนี้ 1. ข้อมูลสำคัญ (Sensitive Data) อยู่ที่ไหนผู้ดูแลระบบฐานข้อมูลจำเป็นต้องระบุ และรู้ว่าข้อมูลใดที่เก็บในฐานข้อมูลเป็นข้อมูลที่สำคัญ รวมทั้งต้องรู้ว่าเก็บอยู่ที่ฐานข้อมูลใดด้วย เพื่อที่จะได้วางแผนออกแบบระบบรักษาความปลอดภัยเน้นย้ำตรงที่ฐานข้อมูลนั้นๆได้อย่างเหมาะสม เช่น กำหนดสิทธิ์ในการเข้าถึงฐานข้อมูลเฉพาะผู้ที่เกี่ยวข้อง หรือทำการเข้ารหัสฐานข้อมูลโดยใช้อัลกอริธึมที่มีความปลอดภัยสูง เป็นต้น 2. ตรวจสอบ (Audit) การใช้งานฐานข้อมูลอยู่เสมอโดยปกติแล้ว แนะนำให้ตรวจสอบและสรุปการใช้งานฐานข้อมูลอย่างน้อยเดือนละ 1 ครั้ง โดยเน้นตรงส่วนข้อมูลสำคัญของบริษัท เช่น ใครเข้าถึงข้อมูลชุดดังกล่าวบ้าง, เข้าถึงจากที่ใด (หมายเลข IP ใด), บ่อยแค่ไหน และทำอะไรไปบ้าง เพื่อตรวจสอบพฤติกรรมที่อาจจะผิดปกติไปจากเดิม…