IT & gadget

‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์

By นักรบ เนียมนามธรรม23 ต.ค. 2023 เวลา 21:51 น.
‘Blackbaud’ กับบทเรียน ราคาแพง 49.5 ล้านดอลล์

การโจมตีที่ส่งผลกระทบกับลูกค้าจากทั้งสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ หลังมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐเพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ ต้องจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์

ช่วงสัปดาห์ที่ผ่านมา ต้องยอมรับว่ากรณีของ “Blackbaud” ซึ่งเป็นผู้ให้บริการโซลูชันซอฟต์แวร์ให้กับองค์กรที่ไม่แสวงหาผลกำไรอย่าง องค์กรการกุศล โรงเรียน มหาวิทยาลัย ศูนย์ดูแลสุขภาพ กลุ่มผู้บริจาคและองค์กรทางวัฒนธรรม ซึ่งถูกแรนซัมแวร์บุกโจมตีตั้งแต่ปี 2020 ได้กลายเป็นข่าวใหญ่ในสหรัฐอีกครั้งหนึ่ง 

หลังจากมีการตกลงไกล่เกลี่ยกับอัยการจาก 49 รัฐของสหรัฐ เพื่อยุติการสอบสวนและทำสัญญาประนีประนอมยอมความ พร้อมจ่ายเงินค่าเสียหายมูลค่ากว่า 49.5 ล้านดอลลาร์

สืบเนื่องจาก Blackbaud ถูกแรนซัมแวร์โจมตีเมื่อเดือน พ.ค. 2020 ส่งผลให้ลูกค้าที่ใช้บริการซอร์ฟแวร์นี้ถูกแฮกข้อมูลสำคัญที่มีความอ่อนไหวสูงอย่าง หมายเลขประกันสังคม หมายเลขใบขับขี่ ข้อมูลการติดต่อ ข้อมุลส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลการจ้างงาน ข้อมูลทรัพย์สิน ประวัติการบริจาค และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง 

แต่ทาง Blackbaud ไม่ได้ออกประกาศแจ้งเรื่องการละเมิดต่อสาธารณะหรือเริ่มแจ้งให้ลูกค้าที่ใช้ซอฟต์แวร์ที่ได้รับผลกระทบมากกว่า 13,000 รายทราบ จนเดือน ก.ค. 2020 ถึงเริ่มดำเนินการแจ้งผู้บริจาคในฐานข้อมูลทราบเกี่ยวกับการถูกละเมิดและโจมตี 

จากการโจมตีครั้งนี้ได้ส่งผลกระทบกับลูกค้าจากสหรัฐ แคนาดา สหราชอาณาจักร และเนเธอร์แลนด์ ซึ่งส่งผลกระทบต่อเนื่องกับบุคคลอีกหลายล้านคนเลยก็ว่าได้ โดยภายในเดือน พ.ย.2020 อัยการสูงสุดของรัฐอย่างน้อย 43 คนและเขตโคลัมเบียกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นนี้และ Blackbaud ถูกฟ้องร้องถึง 23 คดีที่เกี่ยวข้องกับการละเมิดความปลอดภัยทั้งในสหรัฐอเมริกาและแคนาดา

ในเวลาต่อมา บริษัทได้ตกลงจ่ายเงิน 3 ล้านดอลลาร์ให้กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐฯ ในข้อกล่าวหาที่ว่าบริษัทไม่เปิดเผยรายละเอียดข้อมูลที่ถูกโจรกรรมทั้งหมดรวมถึงผลกระทบและความเสี่ยงที่จะเกิดขึ้นกับลูกค้า 

อีกทั้งยังมีการตรวจพบอีกว่า พนักงานที่ดูแลรับผิดชอบไม่แจ้งให้ฝ่ายบริหารของ Blackbaud ทราบว่ามีข้อมูลส่วนใดที่ถูกขโมยไปบ้าง

มีการตั้งขอกล่าวหาว่า Blackbaud ละเมิดกฎหมายคุ้มครองผู้บริโภคของรัฐ กฎหมายการแจ้งการละเมิด และกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ของรัฐบาลกลาง 

เนื้อหาที่เกี่ยวข้อง

เพราะความล้มเหลวในการรักษาความปลอดภัยของข้อมูล ไม่สามารถให้ข้อมูลที่ถูกต้องครบถ้วนและตรงเวลาตามที่กฏหมายกำหนด และในสัปดาห์ที่ผ่านมา Blackbaud จึงได้ตกลงจ่ายเงินค่าเสียหาย 49.5 ล้านดอลลาร์ ให้กับรัฐต่างๆ และทำสัญญาประนีประนอมเพื่อเสริมสร้างความปลอดภัยของข้อมูลรวมถึงแนวทางปฏิบัติในการแจ้งเตือนการละเมิดดังนี้

  1. ดำเนินการและจัดการแผนตอบสนองเพื่อเตรียมพร้อมและตอบสนองต่อเหตุการณ์การละเมิดความปลอดภัยในอนาคต
  2. ให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในกรณีที่มีการละเมิด
  3. รายงานเหตุการณ์ด้านความปลอดภัยต่อซีอีโอ และคณะกรรมการ และจัดให้มีการฝึกอบรมพนักงานและใช้ทรัพยากรที่เหมาะสมเพื่อเพิ่มความปลอดภัยทางไซเบอร์
  4. การป้องกันและการควบคุมข้อมูลส่วนบุคคลที่ต้องใช้การเข้ารหัสฐานข้อมูลทั้งหมดและการตรวจสอบเว็บมืด
  5. ปรับปรุงการป้องกันด้านความปลอดภัยผ่านการแบ่งส่วนเครือข่าย การจัดการแพตช์ การตรวจจับการบุกรุก ไฟร์วอลล์ การควบคุมการเข้าถึง การบันทึกและการตรวจสอบ และการทดสอบการเจาะระบบ
  6. การประเมินจากบุคคลที่สามเกี่ยวกับการปฏิบัติตามกฏระเบียบเป็นเวลา 7 ปี

ในกรณีนี้ผมมองว่า ผลกระทบที่เกิดขึ้นนั้นมีความรุนแรงและสร้างความเสียหายให้กับหลายฝ่าย โดยเฉพาะอย่างยิ่งคือลูกค้า เพราะทุกคนก็ต้องการเลือกใช้ผลิตภัณฑ์ที่ได้รับการรับรองเกี่ยวกับความปลอดภัยและสามารถปกป้องข้อมูลได้อย่างมีประสิทธิภาพ 

ดังนั้นบริษัทที่จัดจำหน่ายผลิตภัณฑ์ จึงมีหน้าที่ในการปกป้องระบบในระดับสูงสุด และเตรียมพร้อมโดยการปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อป้องกันภัยคุกคามที่จะมาในรูปแบบต่างๆ ครับ