‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์

Last updated: 8 Jan 2024

354 Views

Blackbaud กับบทเรียน ราคาแพง 49.5 ล้านดอลล์

การโจมตีที่ส่งผลกระทบกับลูกค้าจากทั้งสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ หลังมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐเพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ ต้องจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์

ช่วงสัปดาห์ที่ผ่านมา ต้องยอมรับว่ากรณีของ Blackbaud ซึ่งเป็นผู้ให้บริการโซลูชันซอฟต์แวร์ให้กับองค์กรที่ไม่แสวงหาผลกำไรอย่าง องค์กรการกุศล โรงเรียน มหาวิทยาลัย ศูนย์ดูแลสุขภาพ กลุ่มผู้บริจาคและองค์กรทางวัฒนธรรม ซึ่งถูกแรนซัมแวร์บุกโจมตีตั้งแต่ปี 2020 ได้กลายเป็นข่าวใหญ่ในสหรัฐอีกครั้งหนึ่ง

หลังจากมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐของสหรัฐ เพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ พร้อมจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์

สืบเนื่องจาก Blackbaud ถูกแรนซัมแวร์โจมตีเมื่อเดือน พ.ค. 2020 ส่งผลให้ลูกค้าที่ใช้บริการซอร์ฟแวร์นี้ถูกแฮกข้อมูลสำคัญที่มีความอ่อนไหวสูงอย่าง หมายเลขประกันสังคม หมายเลขใบขับขี่ ข้อมูลการติดต่อ ข้อมุลส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลการจ้างงาน ข้อมูลทรัพย์สิน ประวัติการบริจาค และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง

แต่ทาง Blackbaud ไม่ได้ออกประกาศแจ้งเรื่องการละเมิดต่อสาธารณะหรือเริ่มแจ้งให้ลูกค้าที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบมากกว่า 13,000 รายทราบ จนเดือน ก.ค. 2020 ถึงเริ่มดำเนินการแจ้งผู้บริจาคในฐานข้อมูลทราบเกี่ยวกับการถูกละเมิดและโจมตี

จากการโจมตีครั้งนี้ได้ส่งผลกระทบกับลูกค้าจากสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ ซึ่งส่งผลกระทบต่อเนื่องกับบุคคลอีกหลายล้านคนเลยก็ว่าได้ โดยภายในเดือน พ.ย.2020 อัยการสูงสุดของรัฐอย่างน้อย 43 คนและเขตโคลัมเบียกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นนี้และ Blackbaud ถูกฟ้องร้องถึง 23 คดีที่เกี่ยวข้องกับการละเมิดความปลอดภัยทั้งในสหรัฐอเมริกาและแคนาดา

ในเวลาต่อมา บริษัทได้ตกลงจ่ายเงิน 3 ล้านดอลลาร์ให้กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐฯ ในข้อกล่าวหาที่ว่าบริษัทไม่เปิดเผยรายละเอียดข้อมูลที่ถูกโจรกรรมทั้งหมดรวมถึงผลกระทบและความเสี่ยงที่จะเกิดขึ้นกับลูกค้า

อีกทั้งยังมีการตรวจพบอีกว่า พนักงานที่ดูแลรับผิดชอบไม่แจ้งให้ฝ่ายบริหารของ Blackbaud ทราบว่ามีข้อมูลส่วนใดที่ถูกขโมยไปบ้าง

มีการตั้งขอกล่าวหาว่า Blackbaud ละเมิดกฎหมายคุ้มครองผู้บริโภคของรัฐ กฎหมายการแจ้งการละเมิด และกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ของรัฐบาลกลาง เพราะความล้มเหลวในการรักษาความปลอดภัยของข้อมูล ไม่สามารถให้ข้อมูลที่ถูกต้องครบถ้วนและตรงเวลาตามที่กฏหมายกำหนด และในสัปดาห์ที่ผ่านมา Blackbaud จึงได้ตกลงจ่ายเงินค่าเสียหาย 49.5 ล้านดอลลาร์ ให้กับรัฐต่างๆ และทำสัญญาประนีประนอมเพื่อเสริมสร้างความปลอดภัยของข้อมูลรวมถึงแนวทางปฏิบัติในการแจ้งเตือนการละเมิดดังนี้

ดำเนินการและจัดการแผนตอบสนองเพื่อเตรียมพร้อมและตอบสนองต่อเหตุการณ์การละเมิดความปลอดภัยในอนาคต
ให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในกรณีที่มีการละเมิด
รายงานเหตุการณ์ด้านความปลอดภัยต่อซีอีโอ และคณะกรรมการ และจัดให้มีการฝึกอบรมพนักงานและใช้ทรัพยากรที่เหมาะสมเพื่อเพิ่มความปลอดภัยทางไซเบอร์
การป้องกันและการควบคุมข้อมูลส่วนบุคคลที่ต้องใช้การเข้ารหัสฐานข้อมูลทั้งหมดและการตรวจสอบเว็บมืด
ปรับปรุงการป้องกันด้านความปลอดภัยผ่านการแบ่งส่วนเครือข่าย การจัดการแพตช์ การตรวจจับการบุกรุก ไฟร์วอลล์ การควบคุมการเข้าถึง การบันทึกและการตรวจสอบ และการทดสอบการเจาะระบบ
การประเมินจากบุคคลที่สามเกี่ยวกับการปฏิบัติตามกฏระเบียบเป็นเวลา 7 ปี

ในกรณีนี้ผมมองว่า ผลกระทบที่เกิดขึ้นนั้นมีความรุนแรงและสร้างความเสียหายให้กับหลายฝ่าย โดยเฉพาะอย่างยิ่งคือลูกค้า เพราะทุกคนก็ต้องการเลือกใช้ผลิตภัณฑ์ที่ได้รับการรับรองเกี่ยวกับความปลอดภัยและสามารถปกป้องข้อมูลได้อย่างมีประสิทธิภาพ

ดังนั้นบริษัทที่จัดจำหน่ายผลิตภัณฑ์ จึงมีหน้าที่ในการปกป้องระบบในระดับสูงสุด และเตรียมพร้อมโดยการปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อป้องกันภัยคุกคามที่จะมาในรูปแบบต่าง ๆ ครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 23 ตุลาคม 2566)

https://www.bangkokbiznews.com/tech/gadget/1095108