เมื่อข้อมูลลูกค้ารั่ว

 

ในยุคดิจิทัลที่ข้อมูลกลายเป็นสิ่งมีค่ามหาศาล การรั่วไหลของข้อมูล โดยเฉพาะอย่างยิ่งข้อมูลบัตรเครดิตถือเป็นฝันร้ายของทั้งบริษัทและลูกค้า เหตุการณ์เหล่านี้ไม่เพียงแต่สร้างความเสียหายทางการเงิน แต่ยังบั่นทอนความเชื่อมั่นและชื่อเสียงขององค์กรอย่างรุนแรง

 

หนึ่งในคดีความที่โด่งดังที่สุดและส่งผลกระทบต่อวงการธุรกิจอย่างกว้างขวางคือ คดี Target Corporation Data Security Breach ในปี 2013

 

Target ซึ่งเป็นบริษัทค้าปลีกรายใหญ่ของสหรัฐอเมริกา ถูกแฮ็กเกอร์โจมตีจนทำให้ข้อมูลบัตรเครดิตและเดบิตของลูกค้ากว่า 40 ล้านคนรั่วไหล

 

เหตุการณ์นี้ส่งผลให้ Target ถูกฟ้องร้องดำเนินคดีแบบกลุ่ม (Class Action) ในข้อหาละเลยและไม่ปฏิบัติตามมาตรฐานความปลอดภัย

 

ส่งผลให้ Target ต้องจ่ายเงินชดเชยกว่า 100 ล้านดอลลาร์เพื่อครอบคลุมค่าใช้จ่ายในการตรวจสอบเครดิต ค่าธรรมเนียมทางกฎหมาย และการชดเชยความเสียหายอื่น ๆ

 

คดีที่คล้ายคลึงกันนี้เกิดขึ้นกับ Home Depot ในปี 2014 ซึ่งข้อมูลบัตรเครดิตของลูกค้ากว่า 56 ล้านคนถูกขโมยไป Home Depot ถูกฟ้องร้องในข้อหาละเลยเช่นเดียวกับ Target และต้องจ่ายเงิน 179 ล้านดอลลาร์เป็นค่าชดเชยและค่าใช้จ่ายในการต่อสู้คดี และค่าปรับปรุงระบบให้เป็นไปตามมาตรฐาน

 

นอกจากนี้ ยังมีคดี Equifax Inc. Customer Data Security Breach ในปี 2017 ซึ่งเป็นหนึ่งในคดีละเมิดข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์

 

Equifax ซึ่งเป็นบริษัทจัดเก็บข้อมูลเครดิต ถูกแฮ็กข้อมูลส่วนบุคคล รวมถึงข้อมูลบัตรเครดิตของผู้คนเกือบ 147 ล้านคน

 

คดีนี้เน้นย้ำถึงความล้มเหลวของบริษัทในการใช้มาตรการรักษาความปลอดภัยที่เพียงพอ และการแจ้งเตือนการละเมิดล่าช้า Equifax ต้องจ่ายเงินชดเชยกว่า 700 ล้านดอลลาร์ ซึ่งรวมถึงเงินทุนสำหรับการตรวจสอบเครดิต การป้องกันการโจรกรรมข้อมูลประจำตัวและการชดเชยสำหรับผู้ได้รับผลกระทบ

 

นอกจากคดีความที่เกิดจากการฟ้องร้องของผู้เสียหายแล้ว หน่วยงานกำกับดูแลยังมีบทบาทสำคัญในการบังคับใช้กฎหมายและมาตรฐานความปลอดภัย

 

ตัวอย่างเช่น คดี Wyndham Worldwide Corporation Data Breach Litigation ซึ่ง Federal Trade Commission (FTC) ของสหรัฐอเมริกา ฟ้องร้อง Wyndham Hotels and Resorts ในข้อหาละเมิดมาตรฐานความปลอดภัยข้อมูล

 

FTC ระบุว่า Wyndham ไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องข้อมูลบัตรเครดิตของลูกค้า อันที่จริงบริษัทต้องปฏิบัติตามมาตรฐานความปลอดภัยที่เกี่ยวข้อง เช่น Payment Card Industry Data Security Standard (PCI DSS) อยู่แล้ว

 

แต่มาตรฐานที่ว่านี้เป็นเพียงมาตรฐานขั้นต่ำซึ่งไม่ได้แปลว่า หากปฏิบัติตามมาตรฐานแล้วทุกบริษัทจะมีความมั่นคงปลอดภัยทางไซเบอร์ร้อยเปอร์เซนต์

 

ปัญหาที่เกิดขึ้นส่วนหนึ่งมาจากคอมพิวเตอร์ของลูกค้าที่ติดต่อกับคอมพิวเตอร์ของบริษัท ขณะเดียวกัน บริษัทก็บกพร่องในการตรวจตราและวิธีปฏิบัติ (compliance) เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่ดีพอ

 

คดีความเหล่านี้สะท้อนให้เห็นถึงความรับผิดชอบที่เพิ่มขึ้นของบริษัทต่าง ๆ ในการปกป้องข้อมูลลูกค้า บริษัทไม่สามารถเพิกเฉยต่อภัยคุกคามทางไซเบอร์ได้อีกต่อไป

 

 

 

———————————————————————————————————————————————————————————
ที่มา :      Bangkokbiznews       / วันที่เผยแพร่   1  ธ.ค.67
Link :  https://www.bangkokbiznews.com/tech/gadget/1155693