กรณีศึกษา มัลแวร์ ที่ โทษปรับสูงรวมกันเกือบพันล้านบาท

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาในวันที่ 27 พฤษภาคม 2562 แต่ได้เลื่อนการบังคับใช้ออกไปจนถึงปี 2565 วันนี้ ขอนำเสนอตัวอย่าง สองคดี ที่เกิดในประเทศสหราชอาณาจักร ที่มีการละเมิดสิทธิข้อมูลส่วนบุคคลที่โด่งดัง และมีโทษปรับสูงรวมกันเกือบพันล้านบาท ซึ่งทั้งสองคดีจะเกิดขึ้นทวีปยุโรป ผ่านใต้กฎหมาย GDPR (General Data Protection Regulation) ซึ่งก็คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในประเทศไทย. กล่าวง่ายๆคือ ประเทศไทย ร่างกฎหมาย โดยเอา GDPR มาเป็น แม่แบบ

Malware (มัลแวร์) หรือ Malicious Software คือโปรแกรมที่ถูกสร้างขึ้นมาเพื่อประสงค์ร้ายต่อคอมพิวเตอร์ของเรา อาทิเช่น การขโมยข้อมูล, การเข้ารหัสข้อมูลทำให้ไม่สามารถเข้าถึงข้อมูลได้, การลบข้อมูล, การขโมยหน้า Broswer (Broswer Hijack) ,การทำลายระบบ. ซึ่งในปัจจุบันมักหวังเงินของเรา หรือ เรียกอีกชื่อ คือ มัลแวร์เรียกค่าไถ่ เช่น Ransomware ซึ่งในบทความนี้ อยากจะยกตัวอย่าง (จริง) ความเสียหายของเจ้ามัลแวร์ มาเพื่อเป็นอุทาหรณ์ เพื่อหาทางป้องกันไม่ให้เกิดขึ้นอีก โดยจะ ขอยกตัวอย่าง ของ โรงแรม Marriott และ Ticket Master

กรณีศึกษาที่ 1: โรงแรม Marriott

ข้อมูลลูกค้าโรงแรมในเครือ Starwood Hotels and Resort ประมาณ 339 ล้านคน ถูกโจมตีตั้งแต่ปี 2557 โดยไม่รู้ตัวและไม่ได้รับการแก้ไขและ ต่อมา โรงแรม Marriott ได้เข้าซื้อกิจการ เครือ Starwood Hotels and Resort ในปี 2559 โดยไม่รู้ถึงการโจมตีดังกล่าว จนกระทั่งปี 2561 ข้อมูลลูกค้าประกอบด้วย ชื่อลูกค้า อีเมล โทรศัพท์ และหนังสือเดินทางที่ไม่ได้เข้ารหัส และ สถานะสมาชิกเครือโรงแรม เป็นต้น โดย คาดว่าจำนวนผู้ได้รับผลกระทบ อาจจะถึง 7 ล้านคนในเครือสหราชอาณาจักร รูปแบบการโจมตีเป็นการฝังมัลแวร์ในระบบเครือข่ายทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลและอุปกรณ์ในระบบไม่จำกัด และ อาจรวมถึงเครื่องคอมพิวเตอร์ที่ลูกค้าเชื่อมต่ออยู่ด้วย

พนักงานขององค์กร Starwood รวมทั้งเจ้าหน้าที่เทคโนโลยีสารสนเทศการจัดการและการรักษาความปลอดภัยที่ถูกปลดออกจากงาน อุทาหรณ์สำคัญของกรณีศึกษานี้คือ การจะไปซื้อกิจกรรมอื่น ควรศึกษา กรณีการละเมิดสิทธิข้อมูลส่วนบุคคล เสียก่อน ด้วย

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/

สรุป

• โทษปรับ: 18.4 ล้านปอนด์ หรือ ประมาณ 854 ล้านบาท.

[อัตราแลกเปลี่ยน 1 ปอนด์สเตอร์ลิง เท่ากับ 46.41 บาท ณ วันที่ 7 สิงหาคม 2564]

• วันที่: 30 ตุลาคม 2563

• หน่วยงานกำกับดูแล: UK information Commissioner office (ICO)

• ประเด็นละเมิด: มาตรการเทคนิคและการจัดการรักษาความปลอดภัยข้อมูลไม่เพียงพอ

กรณีศึกษาที่ 2: กรณีศึกษา Ticket Master

UK ICO พบว่า ในช่วงเดือน กุมภาพันธ์ ถึง เดือนมิถุนายน 2561 มีการละเมิด (Hack) ที่ Ticketmaster UK เป็นผู้ควบคุมข้อมูล เป็นเหตุให้เจ้าของข้อมูลในสหราชอาณาจักรยุโรป จำนวน 9.4 ล้านคน ในจำนวนนี้เป็นคนสหราชอาณาจักรจำนวน 1.5 ล้านคน รับผลกระทบจากข้อมูลรั่วครั้งนี้

UK Information commissioner’s office (2020) Penalty Notice Section 155, Data protection act 2008 Case ref COM0759008. Available from: https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf

จากสาเหตุนี้ทำให้ ธนาคารยักษ์ ได้แก่ Barclay และ Monza ทำการยกเลิกบัตรเครดิต และออกบัตรใหม่จำนวน 66,000 ราย เพื่อลดความเสี่ยง (Mitigate risk)

การสอบสวนโดยหน่วยงานกำกับดูแล พบว่า Ticketmaster UK ใช้ ซอฟต์แวร์ Chatbot ผิดประเภท เพราะ ปกติ Chatbot จะใช้ในการตอบคำถามและให้ข้อมูลลูกค้าออนไลน์ แต่ Ticketmaster UK กลับนำมาใช้บริการบน web site ตลอดจน เพจการชำระเงิน ซึ่ง Chatbot นี้ทำงานบน Server ของ ผู้ให้บริการ (Data processor) ของบริษัท Inbenta Technology ซึ่งมีสัญญาให้บริการแก่ Ticketmaster นอกจากนี้ ยังไม่ปรากฎหลักฐานประเมินความเสี่ยงกับการใช้ Chatbot

แฮกเกอร์ (Hacker) ได้ลักลอบใส่ มัลแวร์ เข้าไปในเซิร์ฟเวอร์ของ Inbenta จึงสามารถเข้าถึงข้อมูลเครดิตลูกค้า ในหน้าเพจชำระเงินได้

จากการละเมิดข้อบังคับความปลอดภัยในการประมวลผล UK ICO จึงลงโทษปรับเป็นเงินถึง 1.5 ล้านปอนด์ แต่เมื่อพิจารณาผลกระทบโควิดที่ทำให้คอนเสิรต์ถูกยกเลิกจำนวนมาก รายได้ของบริษัทลดลง จึงลดหย่อนโทษปรับเป็น 1.25 ล้านปอนด์

สรุป

• โทษปรับ: 1.25 ล้านปอนด์ [ประมาณ 59 ล้านบาท]

[อัตราแลกเปลี่ยน 1 ปอนด์สเตอร์ลิง เท่ากับ 46.41 บาท ณ วันที่ 7 สิงหาคม 2564]

• วันที่: 15 พฤศจิกายน 2563

• ผู้ควบคุมข้อมูล: UK Information Commissioner’s Office (ICO)

• หน่วยงานกำกับดูแล: Ticketmaster UK (ผู้ให้บริการขายบัตรการแสดง)

• ประเด็นละเมิด. มาตรการทางเทคนิคและการจัดการรักษาความปลอดภัยของข้อมูลไม่เพียงพอ

• มาตรา Article 32 GDPR [https://easygdpr.eu/en/gdpr-incident/ticketmaster-uk-limited-hacker-attack/]

เอกสารอ้างอิง

1. UK Information commissioner’s office (2020) Penalty Notice Section 155, Data protection act 2008 Case ref COM0759008. Available from: https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf
2. https://news.marriott.com/news/2020/10/30/marriott-international-update-on-conclusion-of-uk-ico-investigation-into-starwood-database-security-incident
3. UK Information commissioner’s office (2020) Penalty Notice Section 155, Data protection act 2008 Case ref COM0759008. Available from: https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf