สรุปคัมภีร์: 7 ขั้นตอนจัดการข้อมูลรั่วไหล
(Data Breach)

ขั้นที่ 1: Identify the Breach

สังเกตอาการผิดปกติของระบบ เช่น:

• มีการล็อกอินจากสถานที่แปลกๆ หรือเวลาที่ไม่ใช่เวลาทำงาน
• บัญชีระดับสูง (Admin) มีความเคลื่อนไหวผิดปกติ
• เครื่องมือความปลอดภัยหรือ Log ถูกปิดใช้งานแบบไม่มีปี่มีขลุ่ย

ขั้นที่ 2–3: Immediate Containment & Evidence Collection

• กักกัน: ระงับบัญชีที่ต้องสงสัย, ตัดการเชื่อมต่อเซิร์ฟเวอร์ที่โดนแฮกออกจากเครือข่ายอินเทอร์เน็ตทันที
• เก็บหลักฐาน: บันทึก Log การใช้งานและดึงข้อมูลจากหน่วยความจำ (Memory Dumps) ข้อควรระวัง: ห้ามล้างเครื่องทันทีจนกว่าจะเก็บหลักฐานครบถ้วน

ขั้นที่ 4–5: Analyze, Restrict, Eradicate, and Recover

• วิเคราะห์: ค้นหาว่าแฮกเกอร์เข้ามาทางไหน? (เช่น อีเมลหลอกลวง ฟิชชิ่ง หรือช่องโหว่ซอฟต์แวร์)
• กำจัด: ปิดช่องโหว่ (Patch), ลบมัลแวร์ที่ฝังไว้ และบังคับเปลี่ยนรหัสผ่านใหม่ทั้งหมด
• กู้คืน: ค่อยๆ นำระบบกลับมาออนไลน์หลังจากผ่านการทดสอบแล้วว่าปลอดภัย 100%

ขั้นที่ 6–7: Notify Stakeholders & Improve Post-Breach

• แจ้งเตือน: ดำเนินการตามกฎหมาย (เช่น PDPA หรือ GDPR) เพื่อแจ้งผู้เสียหายและหน่วยงานกำกับดูแลทราบ
• ปรับปรุง: อัปเกรดนโยบายความปลอดภัยขององค์กร รวมถึงฝึกอบรมพนักงานเพื่อไม่ให้เกิดข้อผิดพลาดซ้ำสอง