‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์
การโจมตีที่ส่งผลกระทบกับลูกค้าจากทั้งสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ หลังมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐเพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ ต้องจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์
ช่วงสัปดาห์ที่ผ่านมา ต้องยอมรับว่ากรณีของ “Blackbaud” ซึ่งเป็นผู้ให้บริการโซลูชันซอฟต์แวร์ให้กับองค์กรที่ไม่แสวงหาผลกำไรอย่าง องค์กรการกุศล โรงเรียน มหาวิทยาลัย ศูนย์ดูแลสุขภาพ กลุ่มผู้บริจาคและองค์กรทางวัฒนธรรม ซึ่งถูกแรนซัมแวร์บุกโจมตีตั้งแต่ปี 2020 ได้กลายเป็นข่าวใหญ่ในสหรัฐอีกครั้งหนึ่ง
หลังจากมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐของสหรัฐ เพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ พร้อมจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์
สืบเนื่องจาก Blackbaud ถูกแรนซัมแวร์โจมตีเมื่อเดือน พ.ค. 2020 ส่งผลให้ลูกค้าที่ใช้บริการซอร์ฟแวร์นี้ถูกแฮกข้อมูลสำคัญที่มีความอ่อนไหวสูงอย่าง หมายเลขประกันสังคม หมายเลขใบขับขี่ ข้อมูลการติดต่อ ข้อมุลส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลการจ้างงาน ข้อมูลทรัพย์สิน ประวัติการบริจาค และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง
แต่ทาง Blackbaud ไม่ได้ออกประกาศแจ้งเรื่องการละเมิดต่อสาธารณะหรือเริ่มแจ้งให้ลูกค้าที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบมากกว่า 13,000 รายทราบ จนเดือน ก.ค. 2020 ถึงเริ่มดำเนินการแจ้งผู้บริจาคในฐานข้อมูลทราบเกี่ยวกับการถูกละเมิดและโจมตี
จากการโจมตีครั้งนี้ได้ส่งผลกระทบกับลูกค้าจากสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ ซึ่งส่งผลกระทบต่อเนื่องกับบุคคลอีกหลายล้านคนเลยก็ว่าได้ โดยภายในเดือน พ.ย.2020 อัยการสูงสุดของรัฐอย่างน้อย 43 คนและเขตโคลัมเบียกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นนี้และ Blackbaud ถูกฟ้องร้องถึง 23 คดีที่เกี่ยวข้องกับการละเมิดความปลอดภัยทั้งในสหรัฐอเมริกาและแคนาดา
ในเวลาต่อมา บริษัทได้ตกลงจ่ายเงิน 3 ล้านดอลลาร์ให้กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐฯ ในข้อกล่าวหาที่ว่าบริษัทไม่เปิดเผยรายละเอียดข้อมูลที่ถูกโจรกรรมทั้งหมดรวมถึงผลกระทบและความเสี่ยงที่จะเกิดขึ้นกับลูกค้า
อีกทั้งยังมีการตรวจพบอีกว่า พนักงานที่ดูแลรับผิดชอบไม่แจ้งให้ฝ่ายบริหารของ Blackbaud ทราบว่ามีข้อมูลส่วนใดที่ถูกขโมยไปบ้าง
มีการตั้งขอกล่าวหาว่า Blackbaud ละเมิดกฎหมายคุ้มครองผู้บริโภคของรัฐ กฎหมายการแจ้งการละเมิด และกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ของรัฐบาลกลาง
เพราะความล้มเหลวในการรักษาความปลอดภัยของข้อมูล ไม่สามารถให้ข้อมูลที่ถูกต้องครบถ้วนและตรงเวลาตามที่กฏหมายกำหนด และในสัปดาห์ที่ผ่านมา Blackbaud จึงได้ตกลงจ่ายเงินค่าเสียหาย 49.5 ล้านดอลลาร์ ให้กับรัฐต่างๆ และทำสัญญาประนีประนอมเพื่อเสริมสร้างความปลอดภัยของข้อมูลรวมถึงแนวทางปฏิบัติในการแจ้งเตือนการละเมิดดังนี้
- ดำเนินการและจัดการแผนตอบสนองเพื่อเตรียมพร้อมและตอบสนองต่อเหตุการณ์การละเมิดความปลอดภัยในอนาคต
- ให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในกรณีที่มีการละเมิด
- รายงานเหตุการณ์ด้านความปลอดภัยต่อซีอีโอ และคณะกรรมการ และจัดให้มีการฝึกอบรมพนักงานและใช้ทรัพยากรที่เหมาะสมเพื่อเพิ่มความปลอดภัยทางไซเบอร์
- การป้องกันและการควบคุมข้อมูลส่วนบุคคลที่ต้องใช้การเข้ารหัสฐานข้อมูลทั้งหมดและการตรวจสอบเว็บมืด
- ปรับปรุงการป้องกันด้านความปลอดภัยผ่านการแบ่งส่วนเครือข่าย การจัดการแพตช์ การตรวจจับการบุกรุก ไฟร์วอลล์ การควบคุมการเข้าถึง การบันทึกและการตรวจสอบ และการทดสอบการเจาะระบบ
- การประเมินจากบุคคลที่สามเกี่ยวกับการปฏิบัติตามกฏระเบียบเป็นเวลา 7 ปี
ในกรณีนี้ผมมองว่า ผลกระทบที่เกิดขึ้นนั้นมีความรุนแรงและสร้างความเสียหายให้กับหลายฝ่าย โดยเฉพาะอย่างยิ่งคือลูกค้า เพราะทุกคนก็ต้องการเลือกใช้ผลิตภัณฑ์ที่ได้รับการรับรองเกี่ยวกับความปลอดภัยและสามารถปกป้องข้อมูลได้อย่างมีประสิทธิภาพ
ดังนั้นบริษัทที่จัดจำหน่ายผลิตภัณฑ์ จึงมีหน้าที่ในการปกป้องระบบในระดับสูงสุด และเตรียมพร้อมโดยการปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อป้องกันภัยคุกคามที่จะมาในรูปแบบต่างๆ ครับ