ถือเป็นกรณีศึกษาครั้งใหญ่ของวงการการเงินและระบบซีเคียวริตี้ของสหรัฐอเมริกากับการที่บริษัทอีควิแฟกซ์ (Equifax) ผู้ให้บริการด้านฐานข้อมูลทางการเงินและสินเชื่อรายใหญ่ทำข้อมูลลูกค้าจำนวน 143 ล้านคนรั่วไหล ซึ่งข้อมูลที่หลุดออกไปนั้น นอกจากจะมีชื่อนามสกุลแล้ว อาชญากรยังได้วันเดือนปีเกิด, Social Secutiry Number, ที่อยู่ และอื่น ๆ อีกมากมายด้วย
โดยลูกค้าของ Equifax ที่ได้รับผลกระทบนั้นไม่เฉพาะชาวสหรัฐอเมริกา หากแต่ชาวอังกฤษและแคนาดาก็มีรายชื่อ ปรากฏอยู่ในฐานข้อมูลนี้ และได้รับผลกระทบไปด้วยเช่นกัน ที่มากไปกว่านั้นคือ เวลานี้ไม่ว่านักลงทุนรายเล็กหรือ รายใหญ่เมื่อตกเป็นเหยื่อแล้วก็มีสิทธิที่จะถูกนำข้อมูลไปใช้ในทางที่ผิดเท่า ๆ กันทั้งสิ้น
โดยทาง Equifax ชี้แจงว่า จากการตรวจสอบข้อมูลพบว่าแฮกเกอร์เจาะระบบเข้ามาเมื่อช่วงกลางเดือนพฤษภาคม จนถึงวันที่ 29 กรกฎาคมทางบริษัทจึงพบได้ถึงความผิดปกติ แต่สำนักข่าวบลูมเบิร์กรายงานว่า ทาง Equifax เลือกที่จะเงียบเอาไว้อีกสักพักจึงปรากฏเป็นข่าว ซึ่งสิ่งที่แฮกเกอร์นำออกไปได้นั้นคือหมายเลขบัตรเครดิต 209,000 รายการ รวมถึงข้อมูลอื่น ๆ อีกมากมาย
ซีอีโอของ Equifax อย่างริชาร์ด สมิธ (Richard Smith) ออกมาแสดงความเสียใจต่อเหตุการณ์ดังกล่าว และขอโทษลูกค้า พร้อมกล่าวว่า การปล่อยให้เกิดเหตุการณ์เช่นนี้ได้ถือเป็นเรื่องที่น่าผิดหวังมาก
นอกจากนั้น ทาง Equifax ได้แจ้งว่า มีการว่าจ้างทีมงานด้านไซเบอร์ซีเคียวริตี้เข้ามาวิเคราะห์ปัญหา ว่าเกิดจากอะไรแล้ว รวมถึงเอฟบีไอก็เข้ามามอนิเตอร์สถานการณ์ของบริษัทให้ด้วยเช่นกัน
โดยในตอนนี้ Equifax ต้องร่วมมือกับหน่วยงานของสหรัฐอเมริกา อังกฤษ และแคนาดาในการสืบสวน รวมถึงได้สร้างเว็บไซต์ชื่อ www.equifaxsecurity2017.com สำหรับให้ผู้บริโภคเข้ามาตรวจสอบว่า ข้อมูลของตนเองนั้นตกเป็นเหยื่อของการโจมตีครั้งนี้หรือไม่ รวมถึงจ้างคอลล์เซนเตอร์เพิ่มอีก 2,000 รายเพื่อมาตอบคำถามโดยเฉพาะ
กระนั้น เว็บไซต์ก็ไม่ได้ช่วยให้สถานการณ์ของ Equifax ดีขึ้น เพราะมีลูกค้าหลายคนพยายามเข้ามาที่เว็บไซต์ และพบว่าซอฟต์แวร์ด้านซีเคียวริตี้ในเครื่องคอมพิวเตอร์ - สมาร์ทโฟนมีการแจ้งเตือนว่าเว็บไซต์ดังกล่าวเป็นอันตราย
ด้านหน่วยงานของอังกฤษอย่าง Information Commissioner (ICO) เผยว่า การที่มีข้อมูลของชาวอังกฤษรั่วไหล ออกไปทำให้เกิดความวิตกกังวลอย่างมาก และได้มีการพยายามติดต่อกับ Equifax เพื่อสอบถามให้ชัดเจน ว่ามีชาวอังกฤษกี่คนที่ได้รับผลกระทบจากการถูกเจาะระบบครั้งนี้
อาวิวาห์ ไลแทน (Avivah Litan) นักวิเคราะห์จากการ์ทเนอร์ (Gartner) มองว่า เหตุการณ์ดังกล่าวเป็นการถูก เจาะระบบครั้งใหญ่ครั้งหนึ่งของสหรัฐอเมริกา ที่หากต้องให้คะแนนความเสียหายจาก 1 ถึง 10 กรณีนี้ก็คือ 10 คะแนนเต็ม เพราะมันกระทบระบบเครดิตทั้งระบบ ทุกคนใช้ข้อมูลเดียวกัน
สำหรับวงการไซเบอร์ซีเคียวริตี้ กรณีนี้น่าศึกษาตรงที่ว่า ธุรกิจขนาดใหญ่เช่น Equifax นี้ เมื่อเกิดเหตุการณ์ถูกเจาะระบบ ควรหรือไม่ที่จะปิดบังเรื่องราวเอาไว้อีกระยะหนึ่ง โดยหากมองย้อนไปในอดีต บริษัทที่ถูกเจาะระบบครั้งใหญ่ เช่น Equifax นั้นก็อาจมีชื่อของยาฮู (Yahoo) ปรากฏขึ้นมา และผลจากการถูกเจาะระบบในปี 2013 และ 2014 ที่เพิ่งมาเปิดเผยในภายหลังนั้น ก็เกือบทำให้ดีลการขายกิจการที่ยาฮูจะขายธุรกิจอีเมลให้กับค่ายเวอไรซอน (Verizon) ต้องล่มมาแล้ว
กรณีศึกษากรณีที่สองก็คือ หลังจากวันที่พบว่าถูกเจาะระบบ เพียง 2 - 3 วันหลังจากนั้นได้มีผู้บริหารระดับสูงของ Equifax สามรายตัดสินใจขายหุ้นมูลค่า 1.8 ล้านเหรียญสหรัฐออกมาก่อน จนเกิดเสียงอื้ออึง ถามไถ่ถึงความโปร่งใสของพฤติกรรมนี้กันอย่างกว้างขวาง ร้อนถึงทีมประชาสัมพันธ์ของบริษัทที่ต้องออกมาชี้แจงว่า ผู้บริหารทั้งสามคนนั้น ไม่ทราบว่าบริษัทถูกเจาะระบบ และหุ้นที่ขายออกมานั้นก็คิดเป็นเปอร์เซ็นต์เพียงน้อยนิดเมื่อเทียบกับหุ้นที่เหลืออยู่
กรณีศึกษาข้อสุดท้ายคือ แนวทางแก้ไขของ Equifax ที่ในตอนนี้ หากลูกค้ารายใดถูกขโมยข้อมูล บริษัทจะเสนอให้บริการ Credit Monitoring ให้ฟรีเป็นเวลา 1 ปี แต่ในเงื่อนไขที่กำหนดไว้ดูเหมือนว่า ลูกค้ารายได้ที่รับข้อเสนอนี้จะเท่ากับไม่มีสิทธิ ฟ้องร้องบริษัทเพื่อเรียกค่าเสียหาย ได้อีก ทำให้เกิดความไม่พอใจจากผู้เสียหายจำนวนมาก โดยในตอนนี้ Equifax เริ่มถูกดำเนินคดีแล้วจากบรรดาลูกค้าที่ถูกขโมยข้อมูล ซึ่งหนึ่งในเอกสารฟ้องร้องมาจากบริษัทชื่อ Geragos & Geragos ที่เรียกค่าเสียหาย เป็นมูลค่า 70,000 ล้านเหรียญสหรัฐ และทำให้หุ้นของ Equifax ตกถึง 14 เปอร์เซ็นต์ในวันศุกร์ที่ผ่านมา
ุถ้าเช่นนั้นแล้ว สิ่งที่บริษัทที่ถูกเจาะระบบควรทำเพื่อเป็นการแสดงความรับผิดชอบต่อลูกค้าและทุกฝ่ายที่เกี่ยวข้องควรเป็นอย่างไรนั้น อาจสรุปได้ดังนี้
1. เปิดช่องทางให้ลูกค้าหรือผู้ที่เกี่ยวข้องได้สอบถามได้ง่ายที่สุด และมั่นใจได้มากที่สุดว่าช่องทางนั้นจะให้ข้อมูลที่ถูกต้อง เพื่อที่ลูกค้าจะได้หายร้อนใจว่าตนเองเป็นหนึ่งในเหยื่อของกรณีการเจาะระบบหรือไม่ ซึ่งกรณีของ Equifax นั้น ไม่ผ่าน เพราะมีรายงานว่าทั้งพนักงานคอลล์เซ็นเตอร์ อีเมล เว็บไซต์ล้วนไม่สามารถให้บริการได้อย่างถูกต้อง ลูกค้าบางรายลองป้อนชื่อคนอื่นมั่ว ๆ ลงไป (เช่นชื่อโดนัลด์ ทรัมป์ พร้อมรหัส Social Security Number แบบผิด ๆ) ก็พบว่าระบบทำงานและให้คำตอบว่าไม่ได้รับผลกระทบ
2. ช่องทางที่เปิดให้ลูกค้าสอบถามได้นั้น ต้องแสดงความจริงใจให้ถึงที่สุด อย่าแสดงพฤติกรรมซับซ้อนซ่อนเงื่อน เหมือนเช่นที่ Equifax ทำ โดยกรณีนี้ เป็นเหตุการณ์ที่เกิดกับ Ron Lieber คอลัมนิสต์จากนิวยอร์กไทม์ที่เข้าไปยังเว็บไซต์ของ Equifax เพื่อสอบถามว่าข้อมูลของตนเองถูกขโมยด้วยหรือไม่ ซึ่งคำตอบจากระบบในเวลานั้นคือไม่ แต่หน้าถัดไป เขากลับพบว่าได้รับข้อเสนอบริการ Credit Monitoring ฟรีเป็นเวลา 1 ปี ต่อมาในช่วงเช้าของวันศุกร์ เขาได้รับข้อความแจ้งเตือนว่า ข้อมูลส่วนตัวของเขานั้นได้รับผลกระทบจากการเจาะระบบครั้งนี้
การถูกโจมตีโดยอาชญากรไซเบอร์ในสหรัฐอเมริกาครั้งนี้อาจฟังเป็นเรื่องไกลตัว แต่สิ่งหนึ่งที่น่ากังวลไม่แพ้กันก็คือ ผลสำรวจจากหลาย ๆ องค์กรด้านซีเคียวริตี้ที่ พบว่า ภาคธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ของเรานั้นก็ไม่ได้ปลอดภัยมากไปกว่าสหรัฐอเมริกาเลย ดังนั้นอาจเป็นการดีกว่าที่จะศึกษาวิธีตัดไฟแต่ต้นลมกันเอาไว้ก่อน หรือมองหาทางออกหากเกิดเหตุการณ์ในลักษณะเดียวกันนี้ขึ้นมานั่นเอง
เรียบเรียงข้อมูลจาก
https://www.bloomberg.com/news/articles/2017-09-08/equifax-sued-over-massive-hack-in-multibillion-dollar-lawsuit
https://www.bloomberg.com/news/articles/2017-09-07/three-equifax-executives-sold-stock-before-revealing-cyber-hack
https://www.bloomberg.com/news/articles/2017-09-08/equifax-s-hacking-nightmare-gets-worse-thanks-to-arbitration-clause
http://www.seattletimes.com/business/equifax-breach-exposes-143-million-people-to-identity-theft/
http://www.cbc.ca/news/canada/kitchener-waterloo/equifax-hack-security-breach-what-to-do-1.4281704
