แบงก์ใหญ่จี้ ก.ล.ต. ถอนเกณฑ์ “แฉภัยไซเบอร์” ชี้สร้างช่องอาชญากร-บั่นทอนความมั่นคง

5 สมาคมการเงินยักษ์ใหญ่ของสหรัฐฯ กดดัน ก.ล.ต. ให้ยกเลิกกฎเปิดเผยเหตุการณ์โจมตีไซเบอร์ภายใน 4 วัน อ้างบั่นทอนระบบความมั่นคงระดับชาติ-เปิดช่องให้แฮกเกอร์ใช้ข้อมูลขู่เรียกค่าไถ่ ชี้ยิ่งรีบเปิด ยิ่งเสี่ยงฟ้อง ยกเคส Coinbase เป็นตัวอย่าง โดนแล้ว 7 คดี-ความเสียหายอาจพุ่งแตะ 400 ล้านดอลลาร์

กลุ่มตัวแทนของอุตสาหกรรมธนาคารและการเงินสหรัฐฯ นำโดยสมาคมธนาคารอเมริกัน (American Bankers Association) รวมตัวกับอีก 4 สมาคมใหญ่ ยื่นจดหมายอย่างเป็นทางการถึงสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ หรือ SEC เมื่อวันที่ 22 พฤษภาคมที่ผ่านมา เรียกร้องให้ "ถอนกฎ" การเปิดเผยเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ภายใน 4 วันออกจากระบบ

โดยในเนื้อหาจดหมายชี้แจงข้อมูลอย่างเผ็ดร้อนว่า กฎข้อบังคับดังกล่าวขัดแย้งโดยตรงกับภารกิจการปกป้องโครงสร้างพื้นฐานสำคัญของชาติ และสร้างความเสี่ยงใหม่ที่อาจทำลายทั้งกลไกการตอบสนองต่อเหตุการณ์ และระบบการบังคับใช้กฎหมาย”

อย่างไรก็ตามภายใต้กฎของ SEC ที่ประกาศใช้ในเดือนกรกฎาคม 2566 บริษัทมหาชนในสหรัฐฯ ต้องแจ้งเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงไซเบอร์ เช่น การถูกเจาะข้อมูลหรือแฮก ไปยังสาธารณะอย่างรวดเร็วผ่านแบบฟอร์ม 8-K ภายใน 4 วัน เพื่อความโปร่งใสต่อผู้ถือหุ้น

แต่กลุ่มธนาคารกลับมองว่ากฎนี้ “ทั้งแคบ ทั้งล่าช้า” และทำให้บริษัทที่ถูกโจมตีมีความเสี่ยงเพิ่มขึ้น เพราะข้อมูลการรั่วไหลอาจถูกนำไปใช้เป็น “เครื่องมือต่อรอง” โดยกลุ่มอาชญากรไซเบอร์ ที่มักขู่จะเผยแพร่ข้อมูล หากไม่จ่ายค่าไถ่

ตัวอย่างที่ชัดเจนที่สุดคือ Coinbase บริษัทคริปโตยักษ์ใหญ่ของสหรัฐฯ ที่เปิดเผยว่าเจ้าหน้าที่ฝ่ายบริการลูกค้าของตนถูกแฮกเกอร์ติดสินบนให้รั่วข้อมูลลูกค้า จนนำไปสู่การเรียกค่าไถ่ 20 ล้านดอลลาร์ และท้ายที่สุด บริษัทต้องเผชิญคดีฟ้องร้องอย่างน้อย 7 คดี และประเมินความเสียหายสูงสุดอาจแตะ 400 ล้านดอลลาร์

“สิ่งนี้ไม่เพียงแต่บั่นทอนความสามารถในการสื่อสารภายในองค์กร แต่ยังกระทบต่อการแบ่งปันข้อมูลเชิงลึกที่จำเป็นในการรับมือกับภัยคุกคามระดับประเทศ” จดหมายระบุ


กลุ่มผู้ยื่นคำร้องเสนอให้ “ถอนรายการ 1.05” ออกจากข้อกำหนดการรายงานแบบฟอร์ม 8-K ซึ่งใช้สำหรับแจ้งต่อสาธารณะเกี่ยวกับเหตุการณ์สำคัญที่อาจกระทบผู้ถือหุ้น รวมถึงเหตุการณ์ด้านไซเบอร์ และย้ำว่าระบบการเปิดเผยข้อมูลแบบสมัครใจหรือช่องทางอื่นๆ ที่เคยใช้อยู่เดิม มีประสิทธิภาพและปลอดภัยกว่า

“แม้ไม่มีข้อ 1.05 ผู้ลงทุนก็ยังได้รับการคุ้มครองอยู่ดี และเรามั่นใจว่าสามารถบริหารข้อมูลได้อย่างมีประสิทธิภาพผ่านกรอบเดิมที่มีอยู่” กลุ่มธนาคาร กล่าว

ทั้งนี้ เอกสารคำร้องแนบตัวอย่างเหตุการณ์จริงจากภาคธุรกิจที่เกิดความสับสนในการปฏิบัติตามกฎสำนักงาน ก.ล.ต. และผลกระทบจากการโจมตีด้วยแรนซัมแวร์หลายกรณี พร้อมเรียกร้องให้ สำนักงาน ก.ล.ต. “ทบทวนอย่างจริงจัง” ถึงผลกระทบทั้งด้านความมั่นคงและการดำเนินงานของภาคธุรกิจ ก่อนที่จะดึงภาคการเงินเข้าสู่ภาวะเสี่ยงโดยไม่จำเป็น

อย่างไรก็ตาม เสียงสะท้อนจากภาคการเงินในครั้งนี้ กำลังจุดประเด็นใหม่ในเวทีความมั่นคงทางไซเบอร์ระดับชาติว่ากฎระเบียบควรเข้มงวดเพื่อปกป้องนักลงทุน หรือยืดหยุ่นเพื่อให้บริษัทมีเวลารับมือกับภัยคุกคาม หรือต้องเปิดเผยความเสียหายต่อสาธารณะ ซึ่งถ้าหาก ก.ล.ต. ยอมถอย อาจเปลี่ยนแนวทางการรายงานเหตุการณ์ไซเบอร์ทั้งระบบในเร็ว ๆ นี้