Bulgaria, the lasted victim of data breach but not the final

บัลแกเรียเหยื่อรายล่าสุดของการละเมิดข้อมูล ที่ยังคงไม่ใช่รายสุดท้าย

 

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

 

ยังคงมีข่าวให้ได้ยินกันอย่างต่อเนื่องสำหรับข่าวการละเมิดข้อมูลส่วนบุคคล ทั้งที่ในตอนนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (The EU General Data Protection Regulation – GDPR) นั้นมีผลบังคับใช้แล้ว และได้เห็นคำสั่งปรับที่ออกโดยหน่วยงานที่รับผิดชอบไปยังหลายบริษัทที่ตกเป็นเหยื่อในการถูกละเมิดข้อมูลก่อนหน้านี้ เช่นในกรณีของบริติสแอร์เวย์ (British Airways – €204 million) และโรงแรมในเครือแมริออท (Marriott International – €110 million) ให้เห็นเป็นตัวอย่างก่อนหน้านี้

เหยื่อคราวนี้ถึงทีของกรมสรรพากรของประเทศบัลแกเรีย (The National Revenue Agency – NRA of Bulgaria) ที่ถูกขโมยข้อมูลด้านการเงินและข้อมูลส่วนบุคคลของประชาชนที่เสียภาษีจำนวนห้าล้านคนจากประชากรทั้งประเทศจำนวนเจ็ดล้านคน คิดเป็นเจ็ดสิบเปอร์เซ็นต์ของประชากรทั้งหมด แต่หากมองเฉพาะตัวเลขของประชากรวัยทำงานผู้มีหน้าที่เสียภาษีให้กับรัฐ ข้อมูลห้าล้านรายนี้ถือเป็นฐานข้อมูลหนึ่งร้อยเปอร์เซ็นต์ ย้ำตัวโต ๆ ตรงนี้อีกครั้งว่านี่คือข้อมูลของผู้เสียภาษีทั้งหมดของคนทั้งประเทศ นับว่าเป็นเหตุการณ์การละเมิดข้อมูลครั้งร้ายแรงที่สุดในประวัติศาสตร์ของบัลแกเรีย

จากรายงานของสื่อท้องถิ่นหลายรายระบุว่าแฮกเกอร์ที่ไม่เปิดเผยตัวได้ส่งลิงค์สำหรับดาวน์โหลดข้อมูลของผู้เสียภาษีที่มีขนาดสิบเอ็ดกิกะไบต์ (11GB) ไปยังสื่อเหล่านั้นเพื่อเป็นการยืนยันว่าเกิดการละเมิดข้อมูลขึ้นจริง แต่ข้อมูลที่ถูกปล่อยออกมานี้เป็นเพียงส่วนหนึ่งจากฐานข้อมูลทั้งหมดที่แฮกเกอร์ได้ไปจำนวนยี่สิบเอ็ดกิกะไบต์ (21GB)

จากการสอบสวนเบื้องต้นของหน่วยงานความมั่นคงแห่งชาติ (State Agency for National Security – SANS) ยังไม่สามารถระบุได้ว่าแฮกเกอร์เข้าถึงฐานข้อมูลผู้เสียภาษีได้จากช่องทางใด

แต่สิ่งที่ยืนยันได้แน่นอนว่ากรมสรรพากรของประเทศบัลแกเรียมีโอกาสถูกปรับสูงสุดถึงยี่สิบล้านยูโร (€20 million) หรือสี่เปอร์เซ็นต์ (4%) ของรายได้ทั้งปีของหน่วยงานนี้ขึ้นอยู่กับว่าตัวเลขใดสูงกว่าภายใต้การบังคับใช้ของกฏหมาย GDPR.