ကိုယ်ရေးကိုယ်တာအချက်အလက်များအား ကာကွယ်ပေးရေးဆိုင်ရာလစ်ဟင်းမှုများအပေါ် AYA Bank ၏ အချက်အလက်ပေါက်ကြားမှုဖြစ်စဉ်ဖြင့်ချဉ်းကပ်သုံးသပ်ခြင်းနှင့်ကာကွယ်ရေးဆိုင်ရာအစီအမံများဆောင်ရွက်ရန် တိုက်တွန်းခြင်း

၂၀၂၆ ခုနှစ် ဇွန်လ(၂၄)ရက်နေ့ မြန်မာစံတော်ချိန် ၀၁:၂၂ ၌ မြန်မာနိုင်ငံရှိ ငွေကြေးဝန်ဆောင်မှုလုပ်ငန်းတစ်ခုဖြစ်သော “AYA Bank”၏ဒစ်ဂျစ်တယ်ဘဏ်စနစ်အတွင်းသို့ ဝင်ရောက်ခဲ့ပြီး အချက်အလက်များစွာကို “lapsus$”ဟက်ကာအဖွဲ့က ခိုးယူခဲ့ကြောင်း ကြေညာခဲ့သည်။  “lapsus$”အဖွဲ့ထံ ပေါက်ကြားသွားသောအချက်အလက်များတွင် “အမည်၊ မှတ်ပုံတင်နံ ပါတ်၊ မွေးသက္ကရာဇ်၊ ဖုန်းနံပါတ်နှင့်နေရပ်လိပ်စာ”စသည့်အချက်အလက်များအပါအဝင် ဘဏ်အကောင့်ဖွင့်ရာတွင်အသုံးပြုရသော အသုံးပြုသူ၏အထောက်အထားများ(Know Your Customer - KYC)လည်း ပါဝင်သွားနိုင်သည်။ ထို့အပြင် တစ်ကြိမ်တစ်ခါပေါက်ကြားသွားလျှင်ပင် ပြန်လည်ပြင်ဆင်ရန်ခက်ခဲသော အမည်၊ မှတ်ပုံတင်အမှတ်နှင့်ဖုန်းနံပါတ်ကဲ့သို့ ကိုယ်ရေးကိုယ်တာအချက်အလက်(Personally Identifiable Information - PII)များလည်း ပါဝင်နိုင်သေးသည်။ အ ဆိုပါဖြစ်စဉ်သည် “AYA Bank”အား ဦးတည်ကျူးလွန်ခြင်းဟု ဆိုသည်ထက် မြန်မာနိုင်ငံတွင် အသုံးပြုနေသော ဒစ်ဂျစ်တယ်ဘဏ်စနစ်အပါအဝင် ကိုယ်ရေးကိုယ်တာအချက်အလက် လုံခြုံရေးအကာအကွယ်ပေးနိုင်ရေးဆိုင်ရာ လစ်ဟင်းမှုများအ တွက်စိန်ခေါ်မှုတစ်ရပ်ဖြစ်သည်။

lapsus$ အဖွဲ့နှင့်သက်ဆိုင်သော အချက်အလက်များ

“lapsus$ Hacker Group”သည် ၂၀၂၁ ခုနှစ် နှစ်လယ်ခန့်တွင်ပေါ်ပေါက်လာပြီး နာမည်ကြီးလာသောဟက်ကာအဖွဲ့တစ်ခုဖြစ်သည်။ ယင်းတို့အား “Strawberry Tempest”ဟု “Microsoft”က အမည်ပေးထားသည်။ ဆိုက်ဘာရာဇဝတ်မှုသ မိုင်းအစဥ်အလာများအား ရိုက်ချိုး၍ အလွန်လက်စောင်းထက်နေသော ဆိုက်ဘာရာဇဝတ်ဂိုဏ်းတစ်ခုအဖြစ်လည်း မှတ်တမ်း တင်ခံထားရသည်။ ၂၀၂၁ ခုနှစ်၌ ဘရာဇီးကျန်းမာရေးဝန်ကြီးဌာနအား ဆိုက်ဘာတိုက်ခိုက်မှုပြုလုပ်ခဲ့ရာမှစတင်၍ နာမည် ကြီးခဲ့သည်။ ယင်းနောက်ပိုင်းတွင် “NVIDIA”, “Samsung”, “Microsoft”, “Okta”နှင့်နာမည်ကျော် “Grand Toheft Auto” ဂိမ်းထုတ်လုပ်သည့် “Rockstar Games”ကုမ္ပဏီများကိုလည်း တိုက်ခိုက်ခဲ့သည်။

နည်းပညာမြင့်သော “Malware”နှင့်“Zero-day Exploit”များကို မသုံးစွဲဘဲ “Social Engineering”ခေါ် လူကိုလှည့်စားခြင်း (ဥပမာ - လုံခြုံရေးအသိမရှိသော ဝန်ထမ်းများအား ဟက်၍ ကုမ္ပဏီ “Database”များအားဝင်ရောက်ခြင်း)ဖြင့် ကြီး မားသော ကုမ္ပဏီများအား “lapsus$”က တိုက်ခိုက်နိုင်ကြောင်း သက်သေပြလိုသည့်အစဥ်အလာလည်း ရှိသည်။ ထိုကဲ့သို့ တိုက်ခိုက်အောင်မြင်မှုများအား “Subscriber”ထောင်ပေါင်းများစွာရှိသော “Telegram Group”များမှတစ်ဆင့် ထုတ်ဖော်ကြွားဝါလေ့ရှိပြီး မည်သည့်ကုမ္ပဏီအား နောက်တစ်ခေါက်တိုက်ခိုက်စေလိုသည်ကို “Subscriber”များမှ “Poll”လုပ်စေခြင်းဖြင့် ပဏာယူလေ့ရှိကြသည်။

‌အချက်အလက်ပေါက်ကြားမှု အနေအထားနှင့်အတိမ်အနက်

ယခုပေါက်ကြားမှု၌ “lapsus$” က “AYA Bank”၏ ပင်မစနစ်ထဲသို့ဝင်ရောက်ပြီး 120Gb စာချုံ့ထားသည့်အချက်အလက် များကို ရယူခဲ့သည်။ ထိုသို့ ခိုးယူထားသောအချက်အလက်အတွက် “AYA Bank”က ငွေကြေးပေးဆောင်မှုမရှိခဲ့ပါက အ ချက်အလက်များအား ရောင်းချသွားမည်”ဟု ဆိုထားသည်။ ရောင်းချမည့်အချက်အလက်များထဲတွင် “PII”ဟုခေါ်သော ကိုယ် ရေးကိုယ်တာအချက်အလက်(Personally Identifiable Information - PII)များပါဝင်သည်။ ထိုအချက်အလက်များ သည် မည်သူမည်ဝါဖြစ်ကြောင်း ဖော်ထုတ်နိုင်သော အချက်အလက်များဖြစ်သည်။ ခိုးယူရရှိသွားသောအချက်အလက်များ နှင့်ပတ်သက်၍ ထုတ်ပြလာသောမျက်မြင်တွေ့ရှိချက်အရ လုပ်ခလစာစာရင်း(payroll)များဖြင့် ချိတ်ထားခြင်း၊ အကြွေးဝယ် ကဒ်(credit card)နှင့်ဗီဇာကဒ်(visa card)အချက်အလက်များပါဝင်ခြင်းနှင့် အရစ်ကျငွေပေးဆောင်မှု စာရင်းဇယာများပါဝင်နေခြင်းများ ရှိနိုင်ကြောင်း တွေ့ရသည်။

“အချက်အလက်ရောင်းချမည်”ဟုဆိုသော“lapsus$”၏ပို့စ်တစ်ခုအရ ယင်းတို့အား ဇူလိုင်လ(၈)ရက်၌ ရောင်းချမည်ဟု သိ ရသည်။ ယင်းအဖွဲ့၏လုပ်ဆောင်လေ့ရှိသော လုပ်နည်းလုပ်ဟန်များအရ “အချက်အလက်ရောင်းချမှု” မအောင်မြင်ပါက အ ဆိုပါအချက်အလက်များအား “လူသိရှင်ကြား ထုတ်ပြခံရမည့်အခြေအနေ”ဖြစ်သည်။

ဖြစ်စဉ်အပေါ်  မြန်မာအင်တာနက်ပရောဂျက်၏သုံးသပ်ချက်

“ထိရောက်ပြည့်စုံသော ကိုယ်ရေးကိုယ်တာအချက်အလက်ကာကွယ်ရေးဥပဒေနှင့်အချက်အလက်ပေါက်ကြားမှုအပေါ် အသိ ပေးအကြောင်းကြားမှုမူဘောင်(Breach Notification Framework)ရှိမနေကြောင်း” မြန်မာနိုင်ငံ၌ ပြဋ္ဌာန်းထားသည့်ဥပဒေများအပေါ် မြန်မာအင်တာနက်ပရောဂျက်(MIP)က လေ့လာသုတေသနပြုလုပ်ထားမှုအရ တွေ့ရသည်။

ထို့အပြင် “ကိုယ်ရေးကိုယ်တာအချက်အလက်ကာကွယ်ရေး”တွင်ထင်ရှားသော ဥရောပသမဂ္ဂ(EU)၏“GDPR ဥပဒေ ပုဒ်မ (၃၃)၊ ပုဒ်မခွဲ(၁)”တွင် “သုံးစွဲသူ၏အချက်အလက်များအား ထိန်းချုပ်ကိုင်တွယ်သူများအနေဖြင့် သုံးစွဲသူများ၏အခွင့်အရေး နှင့်လွတ်လပ်ခွင့်များအပေါ် အန္တရာယ်ရှိနိုင်သောအခြေအနေဖြစ်ပါက သက်ဆိုင်ရာအစိုးရထိန်းသိမ်းရေးအဖွဲ့(Regulator) ထံသို့ (၇၂)နာရီအတွင်းအကြောင်းကြားရန်”အတိအလင်းပြဋ္ဌာန်းထားကြောင်း တွေ့ရသည်။ “GDPR ဥပဒေ ပုဒ်မ ၈၃” အရ ပြင်းထန်သောချိုးဖောက်မှုများအတွက် ယူရိုသန်း(၂၀)အထိ သို့မဟုတ် ကုမ္ပဏီ၏တစ်ကမ္ဘာလုံးဆိုင်ရာ နှစ်ချုပ်ဝင်ငွေ၏ ၄% အထိ ဒဏ်ရိုက်နိုင်ပြီး ယင်းနှစ်ခုအနက် ပိုများသောပမာဏကို ဒဏ်ကြေးချမှတ်နိုင်သည်ဟု ရှင်းလင်းစွာ ဖော်ပြထားသည်။

အမေရိကန်ပြည်ထောင်စု(US)၏ FTC(Federal Trade Commission)နှင့်ပြည်နယ်အလိုက်ဥပဒေများ(ဥပမာ ကာလီဖိုးနီးယား၏ CCPA)အရ သုံးစွဲသူများအား အကာအကွယ်မပေးနိုင်ပါက ဒေါ်လာသန်းပေါင်းများစွာ ဒဏ်ရိုက်နိုင်သည်အထိ ပြစ်ဒဏ်များ ပြင်းထန်စွာပြဋ္ဌာန်းထားကြောင်း တွေ့ရသည်။

မြန်မာနိုင်ငံ၏ဆိုက်ဘာလုံခြုံရေးဥပဒေ၊ ပုဒ်မ (၂၉)၊ ပုဒ်မခွဲ(ဇ)၌ “ဆိုက်ဘာလုံခြုံရေးထူးခြားဖြစ်စဉ်ဖြစ်ပေါ်ပါက ဦးစီးဋ္ဌာနသို့ ချက်ခြင်းအကြောင်းကြားရန်”ဟု ဖော်ပြထားသည်။ ထို့အပြင် ဆိုက်ဘာတိုက်ခိုက်မှုများအတွက်“ကြိုတင်ပြင်ဆင်မှုများပြု လုပ်ရန်နှင့်ဖြစ်ပေါ်လာပါက အရေးပေါ်အစီအစဉ်များဆောင်ရွက်ရန်”တို့ကို ပုဒ်မခွဲ(ဃ)နှင့်(င)တို့တွင် ထည့်သွင်းပြဋ္ဌာန်းထား ကြောင်း တွေ့ရသည်။ 

သို့သော်လည်း ယင်းပုဒ်မ(၂၉)၏နိဒါန်တွင် “ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာဝန်ဆောင်မှုလုပ်ငန်း”ဟု ထည့်သွင်းဖော်ပြထားရာ  ကိုယ်ရေးကိုယ်တာအချက်အလက်(Personally Identifiable Information - PII)များအား ကိုင်တွယ်ဆောင်ရွက်နေသောအခြားသော အဖွဲ့အစည်းများနှင့်သက်ဆိုင်ခြင်း ရှိ၊ မရှိဆိုသည်ကို ဝိရောဓိဖြစ်စေသည်။ ဆိုက်ဘာလုံခြုံရေဥပဒေ ပုဒ်မ(၄) (ဈ)တွင်ဖော်ပြထားသော “ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာ ဝန်ဆောင်မှုလုပ်ငန်း၏ဖွင့်ဆိုချက်”တွင် “ဆိုက်ဘာလုံခြုံ ရေးဆိုင်ရာ ဝန်ဆောင်မှုလုပ်ငန်း”ဆိုသည်မှာ ဆိုက်ဘာအရင်းအမြစ် သို့မဟုတ် အလားတူနည်းပညာနှင့်ဆက်စပ်ပစ္စည်းများကို အသုံးပြု၍ ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာဝန်ဆောင်မှုပေးသောလုပ်ငန်းအား ဆိုလိုသည်ဟု ဖွင့်ဆိုထားကြောင်း တွေ့ရသည်။ ဘဏ်ဆိုသည်မှာ ငွေကြေးဝန်ဆောင်မှုလုပ်ငန်းဖြစ်ပါသဖြင့် ယခုဖြစ်ပေါ်လာသောအခြေအနေတွင် ဆိုက်ဘာလုံခြုံရေးဥပဒေဖြင့် အကျုံးဝင်မှု ရှိ၊ မရှိဆိုသည်မှာ အငြင်းပွားဖွယ်ရာအခြေအနေတစ်ခု ဖြစ်နေသည်။

“သက်ဆိုင်သည်”ဟု ဖွင့်ဆိုခဲ့ပါကလည်း ပုဒ်မ(၅၁) ပြစ်မှုပြစ်ဒဏ်ပြဋ္ဌာန်းချက် စီမံခန့်ခွဲရေးနည်းလမ်းအရ အရေးယူရာတွင် “သတိပေးခြင်း”ဖြင့် အပြီးသတ်သွားနိုင်ကြောင်း တွေ့ရသည်။ ပုဒ်မ (၃၃)တွင် ဝန်ဆောင်မှုပေးသူများအနေဖြင့် သုံးစွဲသူ၏အ ချက်အလက်များအား (၃)နှစ်အထိသိမ်းဆည်းထားရန်ပြဋ္ဌာန်းထားပြီး ပုဒ်မ (၃၄)တွင် အခွင့်အာဏာရရှိထားသော ပုဂ္ဂိုလ် (သို့မဟုတ်) အဖွဲ့အစည်းက တောင်းခံလာပါက ထုတ်ပေးရမည်ဟု ပြဋ္ဌာန်းထားကြောင်း တွေ့ရသည်။ ထို့အပြင် အချက်အ လက်သိမ်းဆည်းရာတွင်(Encryption)စနစ်များဖြင့် လုံခြုံစွာသိမ်းဆည်းထားမှုကဲ့သို့ အရေးကြီးသည့်သတ်မှတ်ချက်များကို အတိအကျထည့်သွင်းမထားကြောင်းလည်း တွေ့ရသည်။

မြန်မာနိုင်ငံ၏ဆိုက်ဘာနယ်ပယ်တွင် ကျင့်သုံးနေသောဥပဒေများသည် လူတစ်ဦးချင်း၏ကိုယ်ရေးကိုယ်တာအချက်အလက် အား ကာကွယ်ပေးရန်ထက် ယင်းအချက်အလက်များကို အုပ်ချုပ်သူအစုအဖွဲ့များက အသုံးချရန်သာ ပိုမိုရည်ရွယ်ထားလေ့ရှိ ကြောင်း တွေ့ရသည်။

ဧရာဝတီဘဏ်(AYA Bank)ဖြစ်စဉ်ကဲ့သို့ ဘဏ်စနစ်အသုံးပြုသူများ၏ကိုယ်ရေးကိုယ်တာအချက်အလက်ပေါက်ကြားမှုအ ခြေအနေအရ “သက်ဆိုင်ရာတာဝန်ရှိသူများအား ကိုယ်ရေးကိုယ်တာအချက်အလက်များအတွက် ဥပဒေကြောင်းအရ အကာ အကွယ်ပေးနိုင်ရေး တောင်းဆိုနိုင်မှုအခြေအနေများအတွက် ပြဋ္ဌာန်းထားသောဥပဒေများတွင် အားနည်းချက်များရှိနေပြီး အကာအကွယ်မဲ့နေခြင်းဖြစ်ကြောင်း” အထင်အရှားတွေ့ရသည်။

ထို့အပြင် စစ်အုပ်စုက ဆက်လက်အကောင်အထည်ဖော်ဆောင်ရွက်နေသော နေရှင်နယ်ဒေတာဘေ့စ်(National Database)စနစ်၌ နိုင်ငံသားတစ်ဦးချင်း၏ဇီဝအချက်အလက်(Biometric Data)များသည် တစ်နေရာထဲတွင် စုစည်းသိမ်းဆည်းထားနိုင်ခြေ ရှိသည်။ ယင်းဒေတာဘေ့စ်(Database)တွင် တစ်ဦးချင်း၏ကိုယ်ရေးအချက်အလက်အစုအဝေးများပါ ပါဝင်နေသည့်အတွက် ဟက်ကာ(Hacker)များ၏ မျက်စိကျစရာနေရာ ဖြစ်လာနိုင်သည်။ ဥပဒေအရလည်းကောင်း၊ နည်းပညာအရလည်းကောင်း အားနည်းများရှိနေသောအခြေအနေတွင် နေရှင်နယ်ဒေတာဘေ့စ်(National Database) တိုက် ခိုက်ခံရပြီး အချက်အလက်များပေါက်ကြားခဲ့ပါက နစ်နာဆုံးရှုံးမှုပမာဏနှင့်နောက်ဆက်တွဲသက်ရောက်မှုများမှာ အလွန်ကြီး မားနိုင်သည်။

ဖြစ်ပေါ်လာသောအခြေအနေများအပေါ် ပွင့်လင်းမြင်သာစွာထုတ်ပြန်ပေးရန်နှင့်

သုံးစွဲသူများအား အကာအကွယ်ပေးရန် ဧရာဝတီဘဏ်(AYA Bank)တောင်းဆိုခြင်း 

“lapsus$” ဟက်ကာအဖွဲ့၏ခြိမ်းခြောက်မှုများ ခံနေရချိန်တွင် သုံးစွဲသူများ၏အခွင့်အရေးနှင့်လုံခြုံရေးယုံကြည်ရမှုများအ တွက် ဧရာဝတီဘဏ်(AYA Bank)သည် အောက်ပါအချက်များကို ဆောင်ရွက်သင့်ကြောင်း တိုက်တွန်းသည်။

၁။ ဖြစ်ပေါ်လာသောအခြေအနေများကို ပွင့်လင်းမြင်သာစွာ ထုတ်ပြန်ပေးရန်

ဆိုက်ဘာတိုက်ခိုက်မှုဖြစ်စဉ်နှင့်ဒေတာပေါက်ကြားမှုစွပ်စွဲချက်များအပေါ် စစ်ဆေးဆောင်ရွက်နေမှုအခြေအနေကို ဧရာဝတီ ဘဏ်(AYA Bank)ကထုတ်ပြန်ရာတွင် “AYA Bank တွင် အသုံးပြုသည့် Application Portal အဟောင်းတစ်ခုမှ ငွေ ကြေးဆိုင်ရာမပါသောလျှောက်လွှာပေါ်ရှိ အချက်အလက်အချို့ ပြင်ပသို့ပေါက်ကြားခဲ့သောဖြစ်စဉ် ဖြစ်ပွားခဲ့ပါသည်”ဟု ထုတ်ပြန်ခဲ့သည်။

“ယင်း Portal သည် ဘဏ်၏ Core Banking System နှင့် ချိတ်ဆက်ထားသည့်မရှိ”ဟုဖော်ပြထားသော်လည်း ထို Portalမှ“ငွေကြေးဆိုင်ရာမပါသော လျှောက်လွှာပေါ်ရှိ”အချက်အလက်များတွင် သုံးစွဲသူများ၏ကိုယ်ရေးအချက်အလက် (Personally Identifiable Information - PII)များပါဝင်သွားပါက နောက်ဆက်တွဲသက်ရောက်မှုများ ဆက်လက်ဖြစ်နိုင်သောကြောင့် မည်သည့်အချက်အလက်များကို ခိုးယူသူများမှ ရရှိသွားကြောင်း ပွင့်လင်းမြင်သာစွာ ထုတ်ပြန်သင့်သည်။

ထို့အပြင် ဧရာဝတီဘဏ်(AYA Bank)သည် ဆိုက်ဘာလုံခြုံရေးနှင့်ဒစ်ဂျစ်တယ်ရာဇဝတ်မှုဆိုင်ရာ(digital forensic) လွတ်လပ်သောကျွမ်းကျင်သူအဖွဲ့အစည်းများဖြင့် စစ်ဆေးမှုများပြုလုပ်၍ သုံးစွဲသူများသိသင့်သိထိုက်သော အချက်အလက်များအား အများပြည်သူသို့အစီအရင်ခံစာ ထုတ်ပြန်ပေးရန် လိုအပ်သည်။

၂။ အရေးပေါ်ကာကွယ်ရေးအစီအမံများ သုံးစွဲသူများအတွက် ဆောင်ရွက်ပေးရန် 

Portal အဟောင်းမှပေါက်ကြားသွားသည့်အချက်အလက်များတွင် ကိုယ်ရေးကိုယ်တာအချက်အလက်များပါဝင်သွားပါက “Social Engineering”ပြုလုပ်၍ တိုက်ခိုက်ခံရနိုင်မှုမှာ ဆက်လက်မြင့်မားနေဆဲဖြစ်သည်။  ထို့ကြောင့် ထိခိုက်နိုင်ခြေမြင့် မားသည့် လက်ရှိသုံးစွဲသူများထံ ဘဏ်၏တရားဝင်ဆက်သွယ်ရေးလမ်းကြောင်းမျိုးစုံ(SMS၊ app notification၊ email စသည့်)မှတစ်ဆင့် ဆက်သွယ်အသိပေးခြင်းအား ချက်ခြင်းဆောင်ရွက်ပေးရန် လိုအပ်သည်။ ထိုသို့ အသိပေးရာတွင် ထိခိုက် နိုင်ခြေရှိသည့် သုံးစွဲသူနှင့်သက်ဆိုင်သည့်အချက်အလက်များ၊ ဘဏ်ဘက်မှဆောင်ရွက်ပေးမည့်ကာကွယ်ရေးအစီအမံများ နှင့်သုံးစွဲသူလုပ်ဆောင်ပေးရမည့်အစီအစဉ်များကို ရှင်းလင်းစွာဖော်ပြရမည်။ 

၃။ အချက်အလက်ပေါက်ကြားမှုမှတစ်ဆင့် ဆက်လက်ဖြစ်လာနိုင်သောအခြေအနေများအပေါ် တာဝန်ယူတုန့်ပြန်ရန် 

ဒေတာပေါက်ကြားမှု စွပ်စွဲချက်များကြောင့် ဘဏ်ဝန်ထမ်းအယောင်ဆောင် ဖုန်းခေါ်ဆိုမှု၊ SMS scam၊ phishing link ပေးပို့မှုများ မြင့်မားလာနိုင်ခြေရှိရာ ယင်းအခြေအနေများအား ကိုင်တွယ်ရန်လိုအပ်သည့် အသိပေးကြေညာချက်၊ သုံးစွဲသူများ လျှင်မြန်စွာဆက်သွယ်နိုင်သည့် Hot Line အင်အားများကို တိုးမြှင့်ခြင်းများ ဆောင်ရွက်ရမည်။

သုံးစွဲသူများသိရှိခြင်းမရှိသော ငွေကြေးလွှဲပြောင်းမှုများဖြစ်ပေါ်လာပါက ဆောင်ရွက်တိုင်ကြားရမည့်လုပ်ငန်းစဉ်များကို စီစဉ်ဆောင်ရွက်ရမည်ဖြစ်ပြီး ဘဏ်၏လုံခြုံရေးအားနည်းမှုများ ဖြစ်ပေါ်လာသည့်ဆုံးရှုံးများများအား သုံးစွဲသူများအပေါ် ဝန်ထုတ်ဝန်ပိုးမဖြစ်စေရန်အတွက် တာဝန်ယူဆောင်ရွက်ရန် လိုအပ်မည်။ 

၄။ ကိုယ်ရေးအချက်အလက်များ ပေါက်ကြားနိုင်ခြေအတွက် ရေရှည်ကာကွယ်ရေးအစီအမံများ ချမှတ်ရန် 

“lapsus$”အဖွဲ့ထံ ပေါက်ကြားသွားသောအချက်အလက်များတွင် “အမည်၊ မှတ်ပုံတင်နံပါတ်၊ မွေးသက္ကရာဇ်၊ ဖုန်းနံပါတ်နှင့် နေရပ်လိပ်စာ”စသည့်အချက်အလက်များအပါအဝင် ဘဏ်အကောင့်ဖွင့်ရာတွင်အသုံးပြုရသော အသုံးပြုသူ၏အထောက်အ ထားများ(Know Your Customer - KYC)လည်း ပါဝင်သွားနိုင်သည်။

“ကိုယ်ရေးအချက်အလက်ပေါက်ကြားမှုပြဿနာ”မှာ “လျှို့ဝှက်နံပါတ်(Password)”ပြောင်းလဲခြင်းနှင့် ဘဏ်ကဒ်အစားထိုး လဲလှယ်ခြင်းစသည့် ဖြေရှင်းမှုများဖြင့် ဆောင်ရွက်နိုင်စွမ်းမရှိသော ပြဿနာဖြစ်သည်။ ကိုယ်ရေးအချက်အလက်အဖြစ် ပါ ဝင်နေသော “အမည်၊ မှတ်ပုံတင်နှင့်ဖုန်းနံပါတ်”များသည် လွယ်လင့်တကူ အစားထိုးပြောင်းလဲလိုက်နိုင်သော အခြေအနေ တွင် မရှိပါ။

ထို့ကြောင့် -

• PII ပေါက်ကြားသွားသည့်သုံးစွဲသူများအတွက် ကာလရှည်စောင့်ကြည့်ဖြေရှင်းမှုများ ပြုလုပ်ပေးရန်။

• ဘဏ်အကောင့်နှင့်ဆက်စပ်သော ဖုန်းနံပါတ်ပြောင်းလဲခြင်း၊ အကောင့် Recovery ပြုလုပ်ခြင်း၊ လိပ်စာပြောင်းလဲခြင်း၊ Password ပြောင်းလဲခြင်း စသည့် ကိစ္စများအတွက် သုံးစွဲသူမှန်း ပိုမိုသေချာသည့် Verification အဆင့်များ ပိုမိုဖြည့်သွင်းရန်။

• PII ပေါက်ကြားမှုကြောင့်ဖြစ်ပေါ်နိုင်သော scam call, phishing message နှင့် identity theft ဖြစ်စဉ်များကို တိုင်ကြားနိုင်မည့် ချန်နယ်များ ဖွင့်လှစ်ရန်။

စသည်တို့ကိုလည်း ချက်ချင်းလုပ်ဆောင်ရန် တိုက်တွန်းသည်။

“Cyber Security နည်းပညာဆိုင်ရာ လုံခြုံရေးအဆင့်မြှင့်တင်မှုများကိုလည်း တိုးမြှင့်ဆောင်ရွက်ထားလျက်ရှိပါသည်”ဟု ဖြစ်ပေါ်လာသော အခြေအနေများအတွက် တာဝန်ခံရမည့်သက်ဆိုင်ရာအဖွဲ့အစည်းက ထုတ်ပြန်ရုံဖြင့် မလုံလောက်ကြောင်း နှင့်ကာလရှည် ကာကွယ်ရေးဆိုင်ရာအစီအမံများကို ပြင်ဆင်ဆောင်ရွက်ရန်လိုအပ်ကြောင်းလည်း တိုက်တွန်းသည်။

Recommended Citation Style - Myanmar Internet Project (2026, June 26),

ကိုယ်ရေးကိုယ်တာအချက်အလက်များအား ကာကွယ်ပေးရေးဆိုင်ရာလစ်ဟင်းမှုများအပေါ်

AYA Bank ၏ အချက်အလက်ပေါက်ကြားမှုဖြစ်စဉ်ဖြင့် ချဉ်းကပ်သုံးသပ်ခြင်းနှင့်

ကာကွယ်ရေးဆိုင်ရာအစီအမံများဆောင်ရွက်ရန်တိုက်တွန်းခြင်း,

https://www.myanmarinternet.info/my/post/ayabank_lapsus_26_june_2026