กรณีศึกษาครั้งใหญ่ของประเทศสหรัฐฯ เมื่อบริษัท Equifax 1 ใน 3 บริษัทฐานข้อมูลด้าน การเงินและสินเชื่อยักษ์ใหญ่ ออกแถลงการณ์ชี้แจงหลังบริษัทถูกล้วงข้อมูลโดยแฮกเกอร์ ส่งผลให้ ข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ นามสกุล วันเดือนปีเกิด, Social Security Number, ที่อยู่ และอื่น ๆ ของชาวอเมริกันกว่า 143 ล้านคน และข้อมูลหมายเลขใบขับขี่ รวมไปถึงหมายเลขบัตรเครดิตของอีก ประมาณ 209,000 คน รั่วไหลสู่สาธารณะ และไม่ใช่เพียงแค่ชาวอเมริกันเท่านั้นที่ได้รับผลกระทบใน ครั้งนี้ หากแต่ชาวอังกฤษและแคนาดาก็มีรายชื่อปรากฏอยู่ในฐานข้อมูลนี้ด้วย Equifax พบว่าระบบ ถูกแฮกข้อมูลในช่วงเดือนพฤษภาคม แต่ออกมาชี้แจงเมื่อวันที่ 29 กรกฎาคม 2560 ซึ่งทาง Equifax ร่วมกับหน่วยงานของสหรัฐฯ แคนาดา และอังกฤษว่าจ้างทีมงานด้านไซเบอร์เข้ามาวิเคราะห์ปัญหา รวมถึง FBI ก็เข้ามาตรวจสอบสถานการณ์ของบริษัทด้วยเช่นกัน นอกจากนี้ Equifax สร้างเว็บไซต์ชื่อ www.equifaxsecurity2017.com สำหรับให้ผู้บริโภคเข้ามาตรวจสอบว่า ข้อมูลของตนเองนั้นตกเป็น เหยื่อของการโจมตีครั้งนี้หรือไม่ รวมถึงเปิดบริการ Call Center เพื่อตอบคำถามต่างๆ แก่ลูกค้า นอกเหนือจากบริษัทยักษ์ใหญ่อย่าง Equifax ที่ถูกเจาะระบบข้อมูล ในอดีตยังมี Target และ Yahoo ที่ถูกแฮกข้อมูลและเปิดเผยในภายหลังด้วย

 

สำหรับในยุโรปมีการออกกฎหมายใหม่ที่เรียกว่า General Data Protection Regulation (GDPR) เป็นกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค โดยกฎหมายฉบับนี้มีข้อกำหนด ให้ธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจบริการทางอินเทอร์เน็ตต้องปฏิบัติตามมาตรการต่างๆ ที่เพิ่ม ความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค เช่น การกำหนดให้ธุรกิจใดๆ ที่มีกิจกรรม หลักเกี่ยวข้องกับการประมวลข้อมูลส่วนบุคคลของลูกค้าต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) และการกำหนดให้ธุรกิจที่มีข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการต้อง ระบุเงื่อนไขการใช้งานที่เกี่ยวข้องกับสิทธิส่วนบุคคลด้วยภาษาที่ชัดเจน และเข้าใจง่ายพร้อมทั้งต้อง ขอรับความยินยอมจากผู้ใช้บริการในการจัดเก็บ และใช้งานข้อมูลดังกล่าว โดยธุรกิจต่างๆ ไม่สามารถ สรุปจากการที่ของลูกค้าไม่โต้แย้งเงื่อนไข หรือการกรอกแบบฟอร์มยอมรับเงื่อนไขการใช้บริการให้แก่ ลูกค้าล่วงหน้าว่า เป็นการให้ความยินยอมโดยลูกค้า โดยกฎหมายจะเริ่มมีผลใช้ในเดือนพฤษภาคม 2561 โดย GDPR จะครอบคลุมถึงวิธีที่บริษัทจัดเก็บข้อมูลและกำหนดให้บริษัทแจ้งเตือนภายใน 72 ชั่วโมง หลังจากมีการเจาะระบบข้อมูล หากบริษัทไม่ปฏิบัติตามข้อกำหนดจะถูกปรับ 4% ของรายได้ทั้งหมด ทั่วโลก หรือ 20 ล้านยูโรโดยยึดค่าปรับจำนวนที่สูงที่สุด และที่สำคัญผลบังคับใช้จะไม่จำกัดเฉพาะ บริษัทที่ตั้งอยู่ในประเทศสมาชิก EU เท่านั้น แต่จะครอบคลุมไปถึงบริษัทที่มีลูกค้าอยู่ใน EU ด้วย เพราะฉะนั้น บริษัทอเมริกันที่มีการเก็บข้อมูลของชาวยุโรปจะต้องปฏิบัติตามกฎระเบียบการป้องกัน ข้อมูลนี้เช่นเดียวกัน สำหรับผู้ที่ไม่มีสัญชาติยุโรปมีความเป็นไปได้ที่บริษัทเลือกที่จะปฏิบัติต่อข้อมูลของ ทุกคนเช่นเดียวกัน ทางด้านผู้เชี่ยวชาญการรักษาความปลอดภัยในโลกไซเบอร์ให้ความเห็นว่า ขณะที่ สภาพแวดล้อมของอันตรายบนไซเบอร์กำลังพัฒนาตัวเองไปอย่างรวดเร็ว ควรมีการหารือในเรื่อง กฎระเบียบที่นำมาใช้เพื่อปกป้องการคุกคามทางไซเบอร์นี้ โดยเทคนิคเดิมๆ ไม่เพียงพอที่จะให้ ความปลอดภัยแก่ข้อมูลจากการโจมตีทางไซเบอร์อีกต่อไป

ที่มา: Alyssa Newcomb วันที่ 22 กันยายน 2560
Link: https://www.nbcnews.com/tech/security/could-europe-teach-u-s-lesson-about-cyber-regulation-n803656

Leave a Reply

Your email address will not be published. Required fields are marked *