เมื่อบริษัทข้อมูลเครดิตทำข้อมูลรั่วไหล

เมื่อบริษัทข้อมูลเครดิตทำข้อมูลรั่วไหล

เมื่อบัตรเครดิตกลายเป็นสิ่งพื้นฐานในชีวิต จึงไม่แปลกที่ถูกพุ่งเป้าเล่นงานจากเหล่าแฮกเกอร์ 

เมื่อช่วงต้นเดือนกันยายนที่ผ่านมา ทั่วโลกต้องตกตะลึงกับข่าวบริษัท Equifax ซึ่งเป็นบริษทข้อมูลเครดิตรายใหญ่ของสหรัฐอเมริกา โดยมีข้อมูลที่ทางบริษัทเก็บรักษาถึง 820 ล้านคนและกว่า 91 ล้านบริษัททั่วโลก

ทาง Equifax ออกมายอมรับว่าได้ทำข้อมูลรั่วไหลไปถึง 143 ล้านคน โดยถูกแฮกเกอร์เล่นงานเจาะผ่านซอฟท์แวร์ Apache Struts ผ่านช่องโหว่ที่ชื่อ CVE-2017-5638 และทำให้ทางบริษัท Equifax ต้องทำการการปิดระบบTrustedID Premier Service เพื่อป้องกันการรั่วไหลเพิ่มเติมโดยข้อมูลของ 143 ล้านชื่อที่รั่วออกไปสามารถใช้ปลอมแปลงตัวบุคคลได้เนื่องจากครอบคลุมชื่อนามสกุลหมายเลขประกันสังคม วันเกิด ที่อยู่ หมายเลขใบขับขี่และเลขบัตรเครดิต

กรณีที่เกิดขึ้นนี้ส่งผลให้ผู้บริหารบริษัท Equifax ได้แก่ ริชาร์ด สมิท (Richard Smith) ประธานและซีอีโอถูกปลดและแต่งตั้ง มาร์ค เฟดเลอร์ (Mark Feidler) ขึ้นดำรงตำแหน่งประธานบริษัทชั่วคราวพร้อมกันนี้แต่ง พอลลิโน่ โด เรโก้ บารอส จูเนียร์ (Paulino do Rego Barros,Jr.) ขึ้นดำรงตำแหน่งซีอีโอชั่วคราว อย่างไรก็ตามทางบริษัท Equifax ได้รับการแจ้งเตือนเรื่องความเสี่ยงในการเจาะระบบล่วงหน้าถึงสองเดือน โดยทางบริษัทผู้พัฒนาซอฟท์แวร์ Apache Struts ได้ออกอัพเดทแพทช์เพื่อป้องกันช่องโหว่ แต่ทาง Equifax กลับไม่ได้อัพเดทจนเป็นเหตุให้ทาง Equifax โดนเจาะระบบได้ในที่สุด

เหตุการณ์ที่เกิดขึ้นกับ Equifax ถือเป็นบทเรียนสำคัญของทุกองค์กร โดยเฉพาะองค์กรด้านการเงินเพราะข้อมูลที่รั่วไหลเหล่านี้สามารถสร้างความเสียหายได้เป็นมูลค่ามหาศาล ดังนั้น การมีระบบซีเคียวริตีที่ดีในการป้องกันการเจาะระบบรวมไปถึงการป้องการข้อมูลรั่วไหลหรือ Data Leak Prevention (DLP) เป็นสิ่งสำคัญที่ทุกองค์กรต้องตระหนักและใส่ใจเพราะจะช่วยกำจัดความเสี่ยงของข้อมูลสูญหายหรือรั่วไหล การเลือกอุปกรณ์หรือระบบการป้องกันข้อมูลรั่วไหลหรือ Data Leak Prevention (DLP) ต้องเลือกที่มีประสิทธิภาพสูงอย่างความสามารถในการควบคุมและเข้าถึงเนื้อหา รวมถึงการตรวจสอบย้อนหลังได้ เพราะจะช่วยลดความเสี่ยงที่สูญเสียข้อมูลสำคัญต่างๆที่อาจจะสร้างความเสียหายจำนวนมากอย่างที่ไม่สามารถคาดการณ์ได้

ในขณะที่ผู้บริหารองค์กรเหล่านี้โดยเฉพาะในต่างประเทศอย่างกรณี Equifax ที่ผู้บริหารต้องแสดงความรับผิดชอบที่โชว์สปิริตลาออกหากเกิดเหตุการณ์ที่สร้างความเสียหายต่อบริษัท จึงเป็นสิ่งสำคัญที่ผู้บริหารเองต้องควบคุมและตรวจสอบระบบและการทำงานของพนักงานอยู่เสมอนอกจากปัจจัยภายนอกอย่างระบบต่างๆที่มาช่วยป้องกันแล้วการหมั่นตรวจสอบและอัพเดทแพทช์ต่างๆรวมถึงการให้ความรู้ในการระวังภัยร้ายเหล่านี้กับผู้ใช้งานหรือพนักงานเป็นอีกเรื่องที่ควรให้ความสำคัญเป็นระดับต้นเลยก็ว่าได้