share

‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์

Last updated: 8 Jan 2024
438 Views
‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์
Blackbaud กับบทเรียน ราคาแพง 49.5 ล้านดอลล์
 
การโจมตีที่ส่งผลกระทบกับลูกค้าจากทั้งสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ หลังมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐเพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ ต้องจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์
 
ช่วงสัปดาห์ที่ผ่านมา ต้องยอมรับว่ากรณีของ Blackbaud ซึ่งเป็นผู้ให้บริการโซลูชันซอฟต์แวร์ให้กับองค์กรที่ไม่แสวงหาผลกำไรอย่าง องค์กรการกุศล โรงเรียน มหาวิทยาลัย ศูนย์ดูแลสุขภาพ กลุ่มผู้บริจาคและองค์กรทางวัฒนธรรม ซึ่งถูกแรนซัมแวร์บุกโจมตีตั้งแต่ปี 2020 ได้กลายเป็นข่าวใหญ่ในสหรัฐอีกครั้งหนึ่ง 
 
หลังจากมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐของสหรัฐ เพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ พร้อมจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์
 
สืบเนื่องจาก Blackbaud ถูกแรนซัมแวร์โจมตีเมื่อเดือน พ.ค. 2020 ส่งผลให้ลูกค้าที่ใช้บริการซอร์ฟแวร์นี้ถูกแฮกข้อมูลสำคัญที่มีความอ่อนไหวสูงอย่าง หมายเลขประกันสังคม หมายเลขใบขับขี่ ข้อมูลการติดต่อ ข้อมุลส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลการจ้างงาน ข้อมูลทรัพย์สิน ประวัติการบริจาค และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง 
 
แต่ทาง Blackbaud ไม่ได้ออกประกาศแจ้งเรื่องการละเมิดต่อสาธารณะหรือเริ่มแจ้งให้ลูกค้าที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบมากกว่า 13,000 รายทราบ จนเดือน ก.ค. 2020 ถึงเริ่มดำเนินการแจ้งผู้บริจาคในฐานข้อมูลทราบเกี่ยวกับการถูกละเมิดและโจมตี 
 
จากการโจมตีครั้งนี้ได้ส่งผลกระทบกับลูกค้าจากสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ ซึ่งส่งผลกระทบต่อเนื่องกับบุคคลอีกหลายล้านคนเลยก็ว่าได้ โดยภายในเดือน พ.ย.2020 อัยการสูงสุดของรัฐอย่างน้อย 43 คนและเขตโคลัมเบียกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นนี้และ Blackbaud ถูกฟ้องร้องถึง 23 คดีที่เกี่ยวข้องกับการละเมิดความปลอดภัยทั้งในสหรัฐอเมริกาและแคนาดา
 
ในเวลาต่อมา บริษัทได้ตกลงจ่ายเงิน 3 ล้านดอลลาร์ให้กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐฯ ในข้อกล่าวหาที่ว่าบริษัทไม่เปิดเผยรายละเอียดข้อมูลที่ถูกโจรกรรมทั้งหมดรวมถึงผลกระทบและความเสี่ยงที่จะเกิดขึ้นกับลูกค้า 
 
อีกทั้งยังมีการตรวจพบอีกว่า พนักงานที่ดูแลรับผิดชอบไม่แจ้งให้ฝ่ายบริหารของ Blackbaud ทราบว่ามีข้อมูลส่วนใดที่ถูกขโมยไปบ้าง
 
มีการตั้งขอกล่าวหาว่า Blackbaud ละเมิดกฎหมายคุ้มครองผู้บริโภคของรัฐ กฎหมายการแจ้งการละเมิด และกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ของรัฐบาลกลาง เพราะความล้มเหลวในการรักษาความปลอดภัยของข้อมูล ไม่สามารถให้ข้อมูลที่ถูกต้องครบถ้วนและตรงเวลาตามที่กฏหมายกำหนด และในสัปดาห์ที่ผ่านมา Blackbaud จึงได้ตกลงจ่ายเงินค่าเสียหาย 49.5 ล้านดอลลาร์ ให้กับรัฐต่างๆ และทำสัญญาประนีประนอมเพื่อเสริมสร้างความปลอดภัยของข้อมูลรวมถึงแนวทางปฏิบัติในการแจ้งเตือนการละเมิดดังนี้
  1. ดำเนินการและจัดการแผนตอบสนองเพื่อเตรียมพร้อมและตอบสนองต่อเหตุการณ์การละเมิดความปลอดภัยในอนาคต
  2. ให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในกรณีที่มีการละเมิด
  3. รายงานเหตุการณ์ด้านความปลอดภัยต่อซีอีโอ และคณะกรรมการ และจัดให้มีการฝึกอบรมพนักงานและใช้ทรัพยากรที่เหมาะสมเพื่อเพิ่มความปลอดภัยทางไซเบอร์
  4. การป้องกันและการควบคุมข้อมูลส่วนบุคคลที่ต้องใช้การเข้ารหัสฐานข้อมูลทั้งหมดและการตรวจสอบเว็บมืด
  5. ปรับปรุงการป้องกันด้านความปลอดภัยผ่านการแบ่งส่วนเครือข่าย การจัดการแพตช์ การตรวจจับการบุกรุก ไฟร์วอลล์ การควบคุมการเข้าถึง การบันทึกและการตรวจสอบ และการทดสอบการเจาะระบบ
  6. การประเมินจากบุคคลที่สามเกี่ยวกับการปฏิบัติตามกฏระเบียบเป็นเวลา 7 ปี
 
ในกรณีนี้ผมมองว่า ผลกระทบที่เกิดขึ้นนั้นมีความรุนแรงและสร้างความเสียหายให้กับหลายฝ่าย โดยเฉพาะอย่างยิ่งคือลูกค้า เพราะทุกคนก็ต้องการเลือกใช้ผลิตภัณฑ์ที่ได้รับการรับรองเกี่ยวกับความปลอดภัยและสามารถปกป้องข้อมูลได้อย่างมีประสิทธิภาพ 
 
ดังนั้นบริษัทที่จัดจำหน่ายผลิตภัณฑ์ จึงมีหน้าที่ในการปกป้องระบบในระดับสูงสุด และเตรียมพร้อมโดยการปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อป้องกันภัยคุกคามที่จะมาในรูปแบบต่าง ๆ ครับ
 
สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget
 
ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 23 ตุลาคม 2566)
https://www.bangkokbiznews.com/tech/gadget/1095108
Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare