"ลูกเสือ" ดูจะไม่เกี่ยวกับแวดวง IT หรือ Cyber Security เท่าไหร่นัก

แต่เมื่อเราอ่านข่าวนี้แล้วก็ตกใจ รู้สึกได้ว่า Cyber Security มันใกล้ตัวกว่าที่พวกเราคิดซะแล้ว

เมื่อวันที่ 28 กันยายน 2563 ที่ผ่านมานี้เองมีรายงานว่าเกิดเหตุข้อมูลรั่วไหลที่ค่ายลูกเสือวิกตอเรียในออสเตรเลีย มีรายงานว่าข้อมูลสำคัญของคนกว่า 900 คน อาจถูกคุกคามได้

แต่ถ้าถามว่าเกิดจากอะไร เขาต้องการอะไรจากสิ่งนี้? เราขอเล่าไปทีละ Step ดีกว่า

ที่ค่ายลูกเสือวิกตอเรียแห่งนี้มีเยาวชนกว่า 17,000 คนที่เข้าค่ายไปเพื่อดำรงชีวิตแบบลูกเสือสามัญ โดยมีสตาฟที่เป็นผู้ใหญ่กว่า 5,000 คน

เหตุการณ์ทางไซเบอร์เกิดขึ้นในช่วงปลายเดือนกรกฎาคมและสิงหาคม 2563 เมื่อจู่ ๆ บัญชีอีเมลของพนักงานแต่ละคนก็ถูกเข้าถึงโดยไม่ได้รับอนุญาต นี่ถือว่าเป็นการโดน Phishing Mail ที่ประสบความสำเร็จเลยทีเดียว

ข้อมูลที่ละเอียดอ่อน อย่างพวก ชื่อ, หมายเลขโทรศัพท์, ข้อมูลบัตรเครดิต, เอกสารประจำตัว, ข้อมูลหนังสือเดินทาง, รายละเอียดใบขับขี่ และรายละเอียดธนาคาร โดนขโมยไปหมด ที่น่ากลัวคือไม่สามารถระบุได้ว่าข้อมูลที่โดนขโมยนี่เป็นของสตาฟผู้ใหญ่ หรือผู้ปกครองของเด็กที่ลงทะเบียนในองค์กรซะด้วยนี่สิ

เมื่อข้อมูลรั่วไหลไปแล้วก็ต้องเข้าสู่กระบวนการแจ้งเตือนว่าข้อมูลถูกรั่วไหลออกไป (Data Breach Notification) ทางฝั่งของค่ายลูกเสือวิกตอเรียกล่าวว่า ทางองค์กรได้แจ้งให้เหยื่อทราบถึงการละเมิด และก็ได้ติดต่อหน่วยงานของรัฐที่เกี่ยวข้อง รวมถึงสำนักงานคณะกรรมการข้อมูลออสเตรเลีย (OAIC) และกรมทรัพยากรบุคคล ตามกระบวนการที่ควรเป็นไป

หลังจากนั้นก็มีแถลงการณ์ออกมา ซึ่งระบุไว้ว่า การตรวจสอบทางนิติวิทยาศาสตร์และการตรวจสอบด้านความปลอดภัยเป็นไปอย่างครอบคลุมครบถ้วน และตอนนี้ก็ดำเนินการตรงส่วนนี้เสร็จสิ้นแล้ว

จากการสืบสวนพบว่ามีความสอดคล้องกันของจำนวนบุคคลหลายคนที่เกี่ยวข้องกับค่ายลูกเสือวิกตอเรียอาจถูกเข้ามาได้โดยไม่ได้รับอนุญาตจากบุคคลภายนอก

สุดท้ายแล้วทางค่ายก็ได้ติดต่อบุคคลที่อาจได้รับผลกระทบโดยตรงจากเหตุการณ์นี้และจะดำเนินการเพื่อจัดการกับปัญหาในลำดับต่อไป

จากคำถามเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นจากบุคคลที่สามที่เข้าสู่ระบบของพนักงานคนหนึ่งได้โดยไม่ต้องรับอนุญาต ซึ่งก็อาจหลายทางไม่ว่าจะเป็น...

  • รหัสผ่านที่คาดเดาได้ง่าย
  • การเข้าสู่ระบบค้างไว้จากคอมพิวเตอร์
  • การแฮก
  • ฯลฯ

สิ่งที่เราพูดไปเราได้ยินกันมานาน แต่น่าแปลกว่าเราไม่สามารถแก้ไขปัญหาที่ว่าได้เพราะเราต่าง "ไม่เตรียมพร้อม" และมองว่า "เป็นเรื่องไกลตัว" ที่สำคัญคือคนทั่วไปที่ไม่อยู่ในแวดวง Cyber Security ลืมมองว่าข้อมูลส่วนตัว (Personal Data) "ไม่มีค่าขนาดนั้น"

ซึ่งเมื่อตอบคำถามต่อมาว่า "เขา (ผู้ที่ขโมยข้อมูลส่วนตัว) จะได้อะไรจากสิ่งนี้" ในทาง Cyber Security มองข้อมูล (Data) โดยเฉพาะอย่างยิ่งในด้านข้อมูลส่วนตัว พวกเขาจะมองข้อมูลเหล่านี้เป็นเหมือนคลังน้ำมัน ซึ่งแน่นอนว่าไม่ว่าใครก็สามารถเอาน้ำมันเหล่านี้ไปใช้ประโยชน์ได้เต็มไปหมดไม่ว่าจะ...

  • ปลอมแปลงตัวตนจากข้อมูลที่ได้มา
  • นำไปใช้งานแบบผิดกฎหมาย
  • ฯลฯ

แบบนี้คุณก็น่าจะเริ่มเห็นแล้วว่าภัยอันตรายจากไซเบอร์ใกล้ตัวขนาดไหน ข้อมูลของคุณสามารถเอาไปทำประโยชน์ (สำหรับโจร) อะไรได้บ้าง

แต่อย่างเหตุการณ์นี้โชคดีตรงที่ทางค่ายลูกเสือนี้วางระบบป้องกันข้อมูลส่วนบุคคลไว้เรียบร้อย (แต่ไม่มาก) อย่างการแจ้งเตือนเมื่อมีเหตุข้อมูลรั่วไหลนี้เอง

สำหรับเราทีม Ragnar ก็มีเจ้าแพลตฟอร์มนี้ที่ผลิตจากความสั่นกลัวตอนที่มีทีมงานโดนเปิดเผยข้อมูลส่วนตัวจากใครก็ไม่รู้นี่เอง ซึ่งก็ตรงกับเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่ถูกบังคับใช้ เรามี Product ที่ตอบโจทย์เรื่องนี้โดยตรงให้คุณได้สบายใจได้เสมอ เหมาะกับองค์กรทุกแบบ เพราะนอกจากจะป้องกันการรั่วไหลของข้อมูลแล้ว ยังครอบคลุม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย ลองเข้าไปดูได้ที่ https://t-reg.co/