นักพัฒนาซอฟต์แวร์จะช่วย Google ในเรื่อง Data Safety หรือไม่ Kaspersky มีคำตอบ
Google เพิ่งเปิดตัวนโยบาย Data Safety สำหรับการแสดงรายละเอียดในการปกป้องข้อมูลของผู้ใช้ที่ถูกรวบรวมที่เกิดขึ้นบนแอพพลิเคชัน และอีกส่วนคือเรื่องของการต้องขออนุญาตในการเข้าถึงข้อมูลสำคัญต่างๆ ของแต่ละแอพพลิเคชัน ซึ่งเป็นการประกาศแล้วว่าต่อไป Google นั้นจะยกหน้าที่การดำเนินการรวมถึงความรับผิดชอบที่เกี่ยวข้องกับข้อมุลได้ให้กับนักพัฒนาแทน ซึ่งก็เป็นเรื่องที่เหมาะสม
โดยที่รายละเอียดของข้อบังคับใหม่นี้จะปรากฏอยู่ในทุกๆ แอพพลิเคชันที่อยู่บน Play Store เพื่อแสดงให้ผู้ใช้ได้เห็นว่าแอพพลิเคชันนั้นๆ ได้รวบรวมข้อมูลประเภทไหนไปบ้างรวมถึงนำไปใช้เพื่อจุดประสงค์ใด รวมถึงการจัดการแม้กระทั่งระบุถึงว่าข้อมูลชุดใดถูกส่งให้กับบคคลที่สาม
และยังต้องบอกถึงแนวทางปฏิบัติด้านความปลอดภัยว่าได้ทำสิ่งใดบ้าง เช่น การเข้ารหัสข้อมูลระหว่างการส่งต่อ หรือบอกว่าผู้ใช้แอพลิเคชันนั้นสามารถร้องขอการลบข้อมูลดังกล่าวได้หรือไม่
โดยนโยบายใหม่นี้เกิดขึ้นเพราะ Google อยากนำมาใช้เพื่อแสดงความโปร่งใสและแสดงว่าระบบปฏิบัติการอย่าง Android ของตนนั้นรวมถึงบรรดานักพัฒนาแอพพลิเคชัน (ที่ตัวเองควบคุมได้นั้น) ปลอดภัย โดยที่ได้ประกาศนโยบายนี้ออกเมื่อ พฤษภาคม ปีที่แล้ว
โดยที่เมื่อเทียบกับคู่แข่งอย่าง Apple นั้น Google ถือว่ายังตามอยู่อีกขั้น เนื่องจากนโยบาย “Privacy Nutrition Labels” นั้น Apple ได้ประกาศบังคับใช้มาประมาณปี 2020
Kaspersky ชี้กฎใหม่นี้ มีความเสี่ยงและคาดการณ์ความเปลี่ยนแปลงในอนาคตดังนี้
- รูปแบบการอนุญาตใน Android มีความซับซ้อนมากขึ้นเมื่อเวลาผ่านไป สิทธิ์ที่ละเอียดอ่อนเป็นไดนามิกในขณะนี้ และรีเควสในขณะที่แอปพลิเคชันกำลังทำงาน นอกจากนี้ ค่าการอนุญาตส่วนใหญ่ไม่ได้รวมเฉพาะแค่ตัวเลือก ‘อนุญาต/ไม่อนุญาต’ อีกต่อไป แต่จะมีตัวเลือกเพิ่มเติม ขึ้นอยู่กับการอนุญาต ตัวอย่างเช่น ‘อนุญาตเฉพาะขณะใช้แอป’ ‘ถามทุกครั้ง’ ‘ไม่อนุญาต’ ซึ่งจะทำให้กระบวนการจัดการการอนุญาตของแอปและการเข้าถึงข้อมูลส่วนบุคคลแม่นยำยิ่งขึ้น และลดความเสี่ยงของการรั่วไหลของข้อมูลที่ละเอียดอ่อน
- โดยทั่วไปแล้วการริเริ่มของ Google นี้ช่วยให้ผู้ใช้ตรวจสอบได้ว่าจะเกิดอะไรขึ้นกับข้อมูลส่วนบุคคลของตน และช่วยให้เข้าใจการประมวลผลข้อมูลในทุกขั้นตอนมีความชัดเจนยิ่งขึ้น ผู้ใช้ยังสามารถเลิกใช้แอปเป็นอีกทางเลือกหนึ่งได้ หากเชื่อว่าการเปิดเผยข้อมูลนั้นไม่สมเหตุสมผล
- ในส่วนของการให้ความปลอดภัยกับข้อมูล และการขออนุญาตเข้าถึงจากแอพพลิเคชันนั้น ข้อมูลใน Google Store ที่ผู้ใช้ควรได้รับก่อนติดตั้งแอป อย่างไรก็ตาม หากเกิดความกังวลในบางประเด็น ผู้ใช้ยังคงมีตัวเลือกในการจัดการสิทธิ์ในอุปกรณ์ของตนในการตั้งค่าของแอป หรือ Settings ยิ่งไปกว่านั้น แอปต่างๆ จะไม่สามารถเข้าถึง API หรือข้อมูลส่วนตัวใดๆ ก่อนทำการติดตั้งบนอุปกรณ์ได้ ดังนั้นข้อมูลที่เป็นความลับจะได้รับการคุ้มครองและเก็บไว้เป็นส่วนตัว เพื่อให้แน่ใจว่าผู้ใช้จะไม่เลือกแบบอื่น
- สำหรับการปรับปรุงเพิ่มเติมในการปกป้องข้อมูลส่วนบุคคล ขั้นตอนต่อไปไม่เพียงแต่จะรวมถึงการควบคุมการเข้าถึงข้อมูลที่สำคัญของแอป (เช่น ข้อมูลที่ได้รับ ข้อมูลที่ใช้แล้ว และ ‘ถูกลืม’) แต่ทำความเข้าใจกับกิจกรรมในอนาคต (เช่น การบันทึก การจัดเก็บ การโอนย้ายไปยังบุคคลที่สาม เป็นต้น) โดยเฉพาะอย่างยิ่ง ประเด็นสำคัญอาจเกี่ยวข้องกับ
-
- ข้อมูลที่แอปเก็บรวบรวม (ไม่ใช่การเข้าถึงเพียงครั้งเดียว แต่เป็นที่เก็บข้อมูลในอนาคต ต้องมีจุดประสงค์ในการเก็บ)
- แอปถ่ายโอนข้อมูลดังกล่าวไปที่ไหน ถึงใคร ทำไม และภายใต้เงื่อนไขอะไร
- การจัดการต่างๆ คำอธิบายสำหรับผู้ใช้ การเข้าถึงข้อมูลใดที่จำเป็นสำหรับการทำงานของแอป (ที่จะทำให้ไม่สามารถใช้งานได้) และการเข้าถึงใดที่ไม่บังคับ
- ข้อมูลเพิ่มเติม เช่น สามารถเพิกถอนหรือลบข้อมูล หรือลบแอปได้หรือไม่ และมีการเข้ารหัสข้อมูลระหว่างการส่งหรือไม่ เป็นต้น
- แนวทางปฏิบัติอีกประการหนึ่งที่สามารถนำไปสู่การปกป้องข้อมูลของผู้ใช้ที่ได้รับการปรับปรุงให้ดีขึ้นก็คือ การตรวจสอบเพิ่มเติม (เช่น การตรวจสอบการปฏิบัติตามข้อกำหนด) เพื่อให้แน่ใจว่ามีการป้องกันระดับสูงและวิธีการประมวลผลข้อมูลที่ละเอียดอ่อนอย่างชัดเจน เราเห็นว่า Google กำลังดำเนินการในทิศทางนี้โดยเชื่อมต่อกับ MASVS
Kaspersky แนะนำเคล็ดลับเพิ่มเติมเพื่อเพิ่มความแข็งแกร่งให้กับการควบคุมความเป็นส่วนตัว ดังนี้
- ทางเลือกที่ดีคือการเลือกและติดตั้งโซลูชันการรักษาความปลอดภัยที่เชื่อถือได้ ซึ่งมีฟีเจอร์ต่างๆ ที่ช่วยให้ผู้ใช้สามารถจัดการพื้นที่จัดเก็บข้อมูลบนอุปกรณ์ของตนได้ นอกจากนี้ยังเป็นตัวเลือกที่ดีสำหรับผู้ใช้ในการดูรายการแอปที่ติดตั้งในอุปกรณ์ ดูว่าแอปใดที่ไม่ได้ใช้งาน ถอนการติดตั้ง และเพิ่มพื้นที่เก็บข้อมูลในอุปกรณ์ของตน
- การหลีกเลี่ยงการติดตั้งส่วนขยายของเบราว์เซอร์ (extension) เป็นสิ่งที่ดี เว้นแต่ว่าจำเป็นจริงๆ ควรตรวจสอบการอนุญาตอย่างรอบคอบก่อนที่จะอนุญาต รายการสิทธิ์ทั้งหมดมีอยู่ในหน้า ‘การตั้งค่า’ → ‘แอป’ → ‘เกี่ยวกับแอปนี้’ → ‘การอนุญาต’
แนวทางปฏิบัติที่ปลอดภัย คือการอัปเดตระบบปฏิบัติการและแอปที่สำคัญเมื่อมีการอัปเดต ปัญหาด้านความปลอดภัยมากมายสามารถแก้ไขได้โดยการติดตั้งซอฟต์แวร์เวอร์ชันที่อัปเดตแล้ว
เรื่องที่เกี่ยวข้องกับ Data Safety ใหม่จาก Google
Google ได้ประกาศนโยบายในการปกป้องความปลอดภัยให้กับข้อมูลที่แอพพลิเคชันใดๆ บน Play Store ต้องปฏิบัติตามเพื่อรักษาให้ข้อมูลของผู้ใช้งานยังคงปลอดภัยเช่นเดิม เพื่อเน้นประเภทของข้อมูลที่ทางกูเกิลรวบรวมและจัดเก็บร่วมกับบุคคลที่สามและองค์กรอื่น ๆ โดยที่สิ่งนี้เกิดจากความต้องการของผู้ใช้ที่ต้องการรู้ว่า ข้อมูลที่ถูกรวบรวมไปนั้นถูกนำไปใช้เพื่อประโยชน์ใด หรือถูกนำไปส่งต่อให้กับบุคคลที่สามหรือไม่
และอีกประเด็นคือความต้องการทราบถึงระดับในการปกป้องและรักษาข้อมูลที่นักพัฒนาแอพพลิเคชันทำไว้นั้นแข็งแกร่งระดับใด
โดยที่ข้อมูลเหล่านี้จะแสดงรายละเอียดในทุกๆแอปพลิเคชั่นใน Play Store แสดงให้เห็นทั้งข้อทุลที่ถูกรวบรวมข้อมูลชุดใดนำไปใช้เพื่อจุดประสงค์ใด มีวิธีจัดการอย่างไร และข้อมูลชุดใดถูกแชร์ไปยังบุคคลที่สามหรืองค์กรอื่น ๆหรือไม่และยังมีแนวทางปฏิบัติด้านความปลอดภัยของแอป เช่น การเข้ารหัสข้อมูลระหว่างทาง และผู้ใช้สามารถขอให้ลบข้อมูลได้หรือไม่ อย่างไรก็ตามฟีเจอร์ใหม่นี้จะเริ่มทยอยเปิดให้ผู้ใช้ทุกคน ส่วนนักพัฒนาแอปพลิเคชันจะต้องจัดการส่วนนี้ให้เสร็จภายในวันที่ 20 กรกฎาคมปีนี้
เกี่ยวกับ Kaspersky
แคสเปอร์สกี้เป็นบริษัทระดับโลกด้านความปลอดภัยไซเบอร์และความเป็นส่วนตัวทางดิจิทัลที่ก่อตั้งในปี 1997 ความเชี่ยวชาญด้านการรักษาความปลอดภัยและข้อมูลภัยคุกคามเชิงลึกของแคสเปอร์สกี้ได้พัฒนาเปลี่ยนแปลงอย่างต่อเนื่อง เป็นโซลูชั่นและบริการด้านนวัตกรรมความปลอดภัยเพื่อปกป้องธุรกิจ โครงสร้างพื้นฐาน หน่วยงานรัฐบาลและลูกค้าทั่วโลก การให้บริการของแคสเปอร์สกี้ประกอบด้วยการป้องกันชั้นนำสำหรับคอมพิวเตอร์เอ็นด์พอยต์ รวมถึงโซลูชั่นและบริการด้านความปลอดภัยเฉพาะทางจำนวนมากเพื่อป้องกันภัยคุกคามดิจิทัลที่ซับซ้อนและมีวิวัฒนาการ แคสเปอร์สกี้ได้ป้องกันความปลอดภัยและปกป้องสิ่งที่สำคัญที่สุดให้แก่ผู้ใช้มากกว่า 400 ล้านคน และลูกค้าองค์กรอีกกว่า 240,000 ราย ศึกษาข้อมูลเพี่มเติมได้ที่ www.kaspersky.com