CEO Blog

ความผิดพลาดราคาแพง

By นักรบ เนียมนามธรรม09 พ.ย. 2020 เวลา 14:01 น.
ความผิดพลาดราคาแพง

เมื่อองค์กรหละหลวมในการดูแลข้อมูล ผลที่ตามมาอาจซับซ้อนและมีค่าใช้จ่ายสูงอย่างคาดไม่ถึง

ท่านผู้อ่านยังจำเหตุการณ์ที่ “Capital One” ธนาคารและผู้ออกบัตรเครดิตรายใหญ่อันดับ 5 ของสหรัฐที่ทำข้อมูลของลูกค้ากว่า 106 ล้านคนรั่วไหลได้ไหมครับ

ล่าสุดก็ถึงเวลาในการรับโทษที่ต้องจ่ายด้วยเงินค่าปรับมากถึง 80 ล้านดอลล่าร์ หรือ ประมาณ 2,499 ล้านบาท จากแถลงการณ์ของสำนักงานควบคุมเงินตราของสหรัฐอเมริกา หรือ The Office of The Comptroller of The Currency (OCC) 

โดยระบุว่า Capital One ล้มเหลวในกระบวนการจัดตั้งการประเมินความเสี่ยงที่มีประสิทธิภาพ ก่อนที่จะมีการย้ายการดำเนินงานทางด้านเทคโนโลยีสารสนเทศที่สำคัญไปใช้งานบนพับบลิก คลาวด์ หรือ คลาวด์ที่เปิดให้ใช้เป็นสาธารณะ นอกจากนั้นธนาคารยังล้มเหลวในการแก้ไขข้อบกพร่องในเวลาที่เหมาะสม

ย้อนกลับไปเหตุการณ์นี้เกิดขึ้นในเดือนมี.ค.ปีที่แล้ว เมื่ออดีตพนักงานของ Capital one ได้ขโมยข้อมูลของประชาชน 100 ล้านคนในสหรัฐและอีก 6 ล้านคนในแคนาดา โดยอาศัยจุดอ่อนของการตั้งค่าการควบคุมการเข้าถึงไฟล์เอกสารที่เก็บอยู่บนคลาวด์

Capital One อ้างว่าสิ่งที่เกิดขึ้นเป็นเพราะช่องโหว่ของการกำหนดค่า (Configuration) ทำให้ข้อมูลของลูกค้าเหล่านั้นถูกลักลอบนำออกไปจากระบบบริการเก็บข้อมูลของ Amazon S3 ไปสู่เว็บไซต์ Github ซึ่งในตอนนั้น Capital one กล่าวว่าข้อมูลที่รั่วไหลออกไปเป็นข้อมูลส่วนบุคคลที่ทาง Capital one เก็บจากลูกค้าที่สมัครบัตรเครดิต โดยข้อมูลดังกล่าวประกอบไปด้วยชื่อลูกค้า, ที่อยู่, หมายเลขโทรศัพท์, อีเมล, วันเดือนปีเกิด และรายการรายได้ของลูกค้า

ในส่วนของการพิจารณาเกี่ยวกับค่าปรับ OCC แจ้งว่า ได้พิจารณาถึงการแจ้งเตือนลูกค้าของ Capital One, ความพยายามในการแก้ไขความผิดพลาด รวมไปถึงการส่งเสริมความรับผิดชอบในการใช้นวัตกรรมที่ทุกธนาคารควรมี ซึ่งดูเหมือนว่าการจัดการความเสี่ยงและการดำเนินการภายในที่ดีนั้นเป็นปัจจัยที่มีความสำคัญต่อการดำเนินงานของธนาคาร ให้เกิดความมั่นคงปลอดภัย เพื่อปกป้องลูกค้าได้เพียงพอ

ผู้เชี่ยวชาญด้านไซเบอร์ให้ความเห็นว่าค่าปรับที่ทาง Capital one โดนนั้นถือว่าเป็นการย้ำเตือนถึงผลกระทบที่จะเกิดขึ้นเมื่อสถาบันทางการเงินไม่สามารถประเมินความเสี่ยงในด้านความปลอดภัยไซเบอร์ได้อย่างถูกต้อง รวมถึงเป็นการย้ำให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากการย้ายข้อมูลสำคัญจากอุปกรณ์จัดเก็บข้อมูลที่จับต้องได้ (Physical IT) ไปยังคลาวด์ ซึ่งเรื่องนี้เป็นสิ่งสำคัญที่ทุกบริษัทต้องทำอย่างระมัดระวังและถี่ถ้วน

สิ่งที่เกิดขึ้นกับ Capital one ชี้ให้เห็นว่าความรับผิดชอบต่อข้อมูลของลูกค้านั้นอยู่ที่องค์กรเอง มิใช่ผู้ให้บริการในการจัดเก็บข้อมูล และเมื่อองค์กรหละหลวมในการดูแลข้อมูลผลที่ตามมาอาจมีความซับซ้อนและมีค่าใช้จ่ายสูงอย่างคาดไม่ถึง 

ในกรณีของ Capital one ก่อนหน้านี้ทางธนาคารได้เปิดเผยว่ามีเพียงส่วนหนึ่งของข้อมูล (ข้อมูลบัตรเครดิตและ SSN) ที่ได้รับการปกป้องแบบ Token หรือการคือการเข้ารหัสให้ชุดข้อมูลเพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลนั้นโดยตรง ในขณะที่ข้อมูลส่วนที่เหลือนั้นไม่ได้รับการดูแลเช่นนี้ นั่นทำให้เมื่อคิดย้อนกลับไปหาก Capital one เลือกที่จะดูแลข้อมูลของลูกค้าทุกคนด้วยการปกป้องแบบ Token ความเสี่ยงที่ข้อมูลจะรั่วไหลเช่นนี้ก็อาจไม่เกิดขึ้น

ความตลกร้ายของการดูแลข้อมูลของลูกค้าก็คือเมื่อองค์กรไม่ได้เตรียมงบประมาณสำหรับการติดตั้งระบบที่ครอบคลุม ก็ต้องเตรียมงบสำหรับจ่ายค่าปรับแทน ซึ่งนั่นอาจมากกว่างบที่ใช้ปรับปรุงระบบเสียด้วย

แค่นั้นยังไม่พอ ความเสียหายที่เกิดกับภาพลักษณ์ขององค์กรเองนั้นก็ร้ายแรงมากจนตีเป็นมูลค่าไม่ได้ สำหรับประเทศไทย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ก็จะเริ่มบังคับใช้จริงในปีหน้า องค์กรของท่านได้เตรียมการพร้อมแล้วหรือยังครับ