เมื่อเครื่องคิดเงินโดนโจมตี

 

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

 

ข้อมูลทุกอย่างในโลกดิจิทัลเป็นของสำคัญที่เหล่าแฮกเกอร์หมายปอง

ข้อมูลทุกอย่างในโลกดิจิทัลเป็นของสำคัญที่เหล่าแฮกเกอร์หมายปอง เพราะแน่นอนสิ่งที่เหล่าแฮกเกอร์จะได้ไปไม่ใช่แค่เงินที่จบในครั้งเดียว แต่แฮกเกอร์สามารถนำข้อมูลเหล่านั้นไปต่อยอดเพื่อเพิ่มรายได้ได้อีกหลายต่อ หนึ่งในข้อมูลสำคัญ คือ เหล่าบัตรเครดิต ทางแฮกเกอร์ จึงต้องคอยค้นหาช่องทางเพื่อขโมยข้อมูลเหล่านี้ โดยใครจะคิดว่าเครื่องคิดเงินหรือที่เรียกกันว่า เครื่อง POS (Point-of-Sale) จะตกเป็นเป้าหมายในที่สุด

แน่นอนเครื่องคิดเงิน POS คือแหล่งรวมข้อมูลทางการเงินสำคัญของร้านค้าต่างๆ เหตุการณ์ตัวอย่างของการโจมตีเครื่องคิดเงินเกิดขึ้นแล้วที่สหรัฐอเมริกากับแฟรนไชส์ร้านอาหาร Fast-Food แบบ Drive-Through ชื่อดังอย่าง Sonic ที่มีสาขาถึง 3,500 สาขาทั่วโลก ที่ปล่อยให้ข้อมูลบัตรเครดิตลูกค้ารั่วไหลไปถึง 5 ล้านแอคเคาท์ และในที่สุดในปีนี้ได้ถูก American Airlines Federal Credit Union ทำการฟ้องร้องค่าเสียไปถึง 5 ล้านดอลลาร์

ที่จริงแล้วเหตุการณ์ข้อมูลรั่วไหลของ Sonic เกิดขึ้นในปี 2017 โดยเครื่องเครื่องคิดเงิน POS ของ Sonic โดนโจมตีและได้ขโมยบัตรเครดิตของลูกค้าจากกว่า 325 สาขาทั่วประเทศ จากนั้นค้นพบว่าแฮกเกอร์ได้นำข้อมูลบัตรเครดิตไปขายในตลาดมืดหรือ ดาร์ก เว็บ (Dark Web) ที่ชื่อว่า Joker’s Stash โดยมีการขายอยู่ที่ราคา 25-50 ดอลลาร์ต่อ 1 เลขบัตรเครดิต แน่นอนว่า เครื่องคิดเงินไม่ใช่แค่เป้าหมายเดียว แหล่งรวมข้อมูลและเงินสำคัญยังคงมีอีกหลากหลายช่องทางอย่างอย่างตู้เอทีเอ็ม ที่มีข่าวโดนโจมตีอยู่ตลอดเวลา

ที่สำคัญ คือ เหล่าสถาบันการเงิน ที่ต้องตกเป็นเป้าหมายหลักของเหล่าอาชญากร และยิ่งมีการทำธุรกรรมออนไลน์ซึ่งกลายเป็นเครื่องมือหลักของการค้าขายและความสะดวกสบายของคนในยุคดิจิทัล

ดังนั้นแล้วสถาบันการเงินหรือผู้ให้บริการออนไลน์ต่างๆ ที่จำเป็นต้องมีการทำธุรกรรม จำเป็นอย่างยิ่งที่ต้องสร้างระบบความปลอดภัยที่แข็งแกร่งและครอบคลุมอย่างมาก โดยเฉพาะระบบการยืนยันตัวตน เป็นสิ่งที่ต้องระมัดระวัง และต้องมีความปลอดภัยแม่นยำอย่างมาก มิฉะนั้นแล้วความเสียหายที่เกิดขึ้นยากที่จะคาดเดา ไม่ว่าจะค่าเสียหายจากการจ่ายค่าชดเชย ยังมีค่าปรับต่างๆ จากกฎหมายและข้อบังคับทั่วโลก และที่สำคัญ คือ ความเชื่อถือและความมั่นใจจากลูกค้าที่เรียกคืนกลับได้ยาก

 

ที่มา: กรุงเทพธุรกิจ

บทเรียนค่าปรับ ที่ทุกองค์กรต้องจำ

 

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

 

ต้องหันมาใส่ใจ ดูแลระบบความปลอดภัยให้รัดกุม

ตลอดหลายปีหลังที่ผ่านมาเรียกได้ว่า เหตุการณ์ข้อมูลรั่วไหล เป็นเหตุการณ์น่าสะพรึงที่สร้างความเสียหายให้กับองค์กรใหญ่จำนวนมาก โดยความเสียหายที่เกิดขึ้นไม่ได้หยุดอยู่แค่ค่าไถ่ของข้อมูลที่หลุดหายไป แต่หมายถึงชื่อเสียงหรือภาพลักษณ์

และแน่นอนเมื่อกฎหมายหรือข้อบังคับด้านการคุ้มครองข้อมูลส่วนบุคคลถูกบังคับใช้โดยเฉพาะกฎหมายคุ้มครองข้อมูลส่วนบุคคลทางฝั่งประเทศยุโรปหรือที่รู้จักกันว่าจีดีพีอาร์(General Data Protection Regulation) นั่นยิ่งทำให้เหล่าองค์กรที่ปล่อยให้ข้อมูลลูกค้าหรือผู้ใช้บริการรั่วไหลต้องโดนค่าปรับจำนวนมากอย่างคาดไม่ถึง

สถิติค่าปรับของไอซีโอ (Information Commissioner’s Office) หรือ สำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสารแห่งประเทศสหราชอาณาจักร รายงานจำนวนค่าปรับที่เกิดขึ้นในปี 2561 ว่า มีจำนวนค่ารวมกันมากกว่า 22 ครั้ง และมีมูลค่ารวมกันถึง 1,428 ล้านปอนด์ หรือ 58,000 ล้านบาท

จากทั้งบริษัทเอกชนและองค์กรการกุศลและองค์กรภาครัฐต่างๆ โดยบริษัทที่สูญเสียค่าปรับมากที่สุด ได้แก่ Equifax บริษัทข้อมูลบัตรเครดิต โดนค่าปรับไปถึง 500,000 ปอนด์ จากการปล่อยให้ข้อมูลของชาวยุโรปรั่วไหลไปถึง 15 ล้านคน ตามมาด้วย Carphone Warehouse โดนค่าปรับไปถึง 400,000 ปอนด์ และอูเบอร์โดนค่าปรับไปถึง 385,000 ปอนด์

ขณะที่องค์กรการกุศลและหน่วยงานภาครัฐอย่าง British and Foreign Bible Society ที่ปล่อยให้ข้อมูลผู้สนับสนุนองค์กรรั่วไหลไปถึง 417,000 คน จึงโดนค่าปรับไปถึง 100,000 ปอนด์ ด้านมหาวิทยาลัยGreenwich โดนค่าปรับไปอีกถึง 120,000 ปอนด์

กรณีโด่งดังอย่างเฟซบุ๊คโดนค่าปรับไปถึง 500,000 ปอนด์ จากเหตุการณ์ ปล่อยให้ข้อมูลรั่วไหลจากแอพพลิเคชั่นที่พัฒนาโดย Cambridge Analytica และในปี 2562 บริษัทยักษ์ใหญ่อย่างกูเกิลต้องเผชิญค่าปรับถึง 50 ล้านปอนด์ จากปัญหาที่ไม่สามารถชี้แจ้งถึงการนำข้อมูลส่วนตัวของผู้ใช้งานไปใช้งานได้ ซึ่งขัดต่อกฎข้อบังคับของจีดีพีอาร์

ล่าสุดกรณีร้านดังอย่าง Wendy’s ซึ่งเป็นร้านขายเบอร์เกอร์ชื่อดังในสหรัฐ โดนค่าปรับไปที่ 50 ล้านดอลลาร์ หลังจากปล่อยให้ข้อมูลบัตรเครดิตของลูกค้ากว่า 1,000 สาขาโดนขโมยไป

นับเป็นเรื่องท้าทายสำคัญของหลายองค์กรที่ต้องเตรียมรับมือกฎข้อบังคับต่างๆ ทั้งต้องหันมาใส่ใจและดูแลระบบความปลอดภัยให้รัดกุมและครอบคลุม ถ้าไม่ต้องการเผชิญบทเรียนราคาแพง ที่ต้องสูญเสียทั้งค่าไถ่ ค่าปรับ และที่สำคัญคือ เสียชื่อเสียงและความน่าเชื่อถือจากลูกค้าหรือพาร์ทเนอร์ทางธุรกิจ

ที่มา: กรุงเทพธุรกิจ