การโจมตีทางไซเบอร์ของ Allianz Life เมื่อเร็วๆ นี้ ซึ่งทำให้ข้อมูลส่วนบุคคลของลูกค้าส่วนใหญ่จาก 1.4 ล้านคนถูกบุกรุก ได้จุดประกายการอภิปรายอย่างร้อนแรงในชุมชนเทคโนโลยีเกี่ยวกับความรับผิดชอบของบริษัท แรงจูงใจด้านความปลอดภัย และความจำเป็นในการมีผลทางกฎหมายที่เข้มงวดมากขึ้น การรั่วไหลครั้งนี้เกิดขึ้นเมื่อวันที่ 15 กรกฎาคม 2023 ผ่านกลยุทธ์ social engineering ที่มุ่งเป้าไปที่ระบบ CRM ของบุคคลที่สาม ซึ่งเป็นอีกหนึ่งตัวอย่างของการที่แนวทางความปลอดภัยทางไซเบอร์ในปัจจุบันล้มเหลวในการปกป้องข้อมูลผู้บริโภค
รายละเอียดการละเมิดข้อมูลของ Allianz Life :
- วันที่: 15 กรกฎาคม 2023
- วิธีการ: การโจมตีแบบ Social engineering บนระบบ CRM ของบุคคลที่สาม
- ผลกระทบ: ลูกค้าส่วนใหญ่จากทั้งหมด 1.4 ล้านคนได้รับผลกระทบ
- บริษัทแม่: Allianz (ลูกค้าทั่วโลกกว่า 125 ล้านคน)
- กำหนดเวลาการแจ้งเตือน: 1 สิงหาคม 2023
ปัญหาแรงจูงใจ: เหตุใดบริษัทจึงไม่ให้ความสำคัญกับความปลอดภัย
ชุมชนเทคโนโลยีได้ระบุข้อบกพร่องพื้นฐานในการจัดการการรั่วไหลข้อมูลในปัจจุบัน บทลงโทษในปัจจุบันมีขนาดเล็กมากจนบริษัทพบว่าการจัดการกับการรั่วไหลหลังจากเกิดขึ้นแล้วนั้นถูกกว่าการลงทุนอย่างเหมาะสมในการป้องกัน สิ่งนี้สร้างวงจรอันตรายที่ความปลอดภัยยังคงเป็นเรื่องรองจนกว่าจะเกิดภาวะฉุกเฉิน
สมาชิกชุมชนหลายคนโต้แย้งว่าการเปลี่ยนแปลงที่มีความหมายจะเกิดขึ้นได้ก็ต่อเมื่อผลทางการเงินรุนแรงพอที่จะคุกคามการดำรงอยู่ของบริษัท ข้อเสนอให้ปรับค่าปรับหลายหมื่นพันล้านดอลลาร์สำหรับการรั่วไหลครั้งใหญ่อย่าง Equifax สะท้อนความหงุดหงิดกับแนวทางการตบมือเบาๆ ในปัจจุบัน เมื่อบริษัทสามารถเสนอการตรวจสอบเครดิตฟรีและดำเนินต่อไปได้ ก็ไม่มีแรงจูงใจมากนักที่จะเปลี่ยนแปลงแนวปฏิบัติด้านความปลอดภัยอย่างพื้นฐาน
ต้นทุนการรั่วไหลข้อมูลปัจจุบันเทียบกับการป้องกัน:
- ต้นทุนการฉ้อโกงข้อมูลประจำตัวรายปี: ประมาณ 20 พันล้าน USD
- ผลกระทบทั่วไปจากการรั่วไหลข้อมูล: การติดตามเครดิตฟรี ค่าปรับเล็กน้อย
- ค่าปรับที่ชุมชนเสนอ: 1,000 GBP ต่อข้อมูลที่สูญหาย
- ตัวอย่างผลกระทบ: ค่าปรับที่ทำให้บริษัทล้มละลายสำหรับการรั่วไหลข้อมูลลูกค้าหลายล้านราย
ปัญหาของ White Hat Hacker
การถกเถียงที่น่าสนใจได้เกิดขึ้นรอบการให้การคุ้มครองทางกฎหมายแก่นักวิจัยด้านความปลอดภัยและ white hat hacker ระบบปัจจุบันสร้างความขัดแย้งที่ผู้กระทำผิดสามารถสำรวจระบบเพื่อหาช่องโหว่ได้อย่างอิสระ ในขณะที่นักวิจัยที่มีเจตนาดีต้องเผชิญกับผลทางกฎหมายที่รุนแรงสำหรับกิจกรรมเดียวกัน แนวทางที่ย้อนแย้งนี้อาจทำให้ความปลอดภัยโดยรวมอ่อนแอลงด้วยการท้อแท้นักวิจัยด้านความปลอดภัยที่ถูกต้องตามกฎหมาย
ชุมชนชี้ให้เห็นว่าช่องโหว่หลายอย่างถูกค้นพบโดยบังเอิญโดยนักวิจัยที่ต่อมาต้องเผชิญกับการคุกคามทางกฎหมายเมื่อพยายามรายงานอย่างมีความรับผิดชอบ สิ่งนี้ทำให้บางคนรายงานช่องโหว่แบบไม่เปิดเผยตัวตนผ่านวิธีทางเทคนิคที่ซับซ้อน ซึ่งเน้นให้เห็นว่ากรอบกฎหมายปัจจุบันกีดกันพฤติกรรมที่อาจปรับปรุงความปลอดภัยได้อย่างแข็งขัน
ปัญหาศัพท์เฉพาะของการขโมยตัวตน
จุดอภิปรายที่สำคัญมุ่งเน้นไปที่ลักษณะที่ทำให้เข้าใจผิดของการขโมยตัวตนในฐานะแนวคิด สมาชิกชุมชนโต้แย้งว่าปัญหาที่แท้จริงไม่ใช่การที่ตัวตนถูกขโมยจากบุคคล แต่เป็นการที่บริษัทล้มเหลวในการตรวจสอบอย่างเหมาะสมว่าพวกเขากำลังทำธุรกิจกับใคร การเปลี่ยนมุมมองนี้ชี้ให้เห็นว่าความรับผิดชอบควรตกอยู่กับสถาบันที่ยอมรับใบสมัครที่เป็นการฉ้อโกงมากกว่าเหยื่อที่ข้อมูลถูกบุกรุก
หากธนาคารให้สินเชื่อแก่คุณในนามของฉัน มันควรเป็นปัญหาของพวกเขา ไม่ใช่ของฉัน มันจะหายไปเป็นปัญหาในทางปฏิบัติในชั่วข้ามคืนหากเปลี่ยนแปลงเช่นนั้น
แนวทางนี้จะสร้างแรงจูงใจที่เหมาะสมสำหรับบริษัทในการนำระบบการตรวจสอบที่แข็งแกร่งมาใช้ เนื่องจากพวกเขาจะต้องรับผิดชอบผลทางการเงินจากความล้มเหลวในการตรวจสอบของตนเอง
โซลูชันทางเทคนิคและข้อจำกัด
ชุมชนยังได้สำรวจแนวทางทางเทคนิคเพื่อลดผลกระทบจากการรั่วไหล การเข้ารหัสแบบ end-to-end เช่นที่ใช้โดย Proton Mail ให้การป้องกันที่แข็งแกร่งแต่มาพร้อมกับการแลกเปลี่ยนที่สำคัญ คุณสมบัติอย่างการค้นหา การจัดทำดัชนี การวิเคราะห์ และการรายงานกลายเป็นเรื่องยากหรือเป็นไปไม่ได้เมื่อข้อมูลถูกเข้ารหัสทุกที่ยกเว้นฝั่งไคลเอนต์
บางคนเสนอว่าปัญหาพื้นฐานอยู่ที่การจัดเก็บข้อมูลที่ละเอียดอ่อนเลย หากบริษัทไม่เก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลจำนวนมหาศาล ก็จะมีสิ่งให้ขโมยน้อยลง อย่างไรก็ตาม โมเดลธุรกิจปัจจุบันมักขึ้นอยู่กับการเก็บรวบรวมข้อมูล ทำให้เกิดการต่อต้านแนวทางนี้
ความท้าทายด้านความปลอดภัยทางเทคนิค:
- การแลกเปลี่ยนของการเข้ารหัสแบบ end-to-end: ความปลอดภัยที่แข็งแกร่ง เทียบกับการสูญเสียฟังก์ชันการทำงาน
- ฟีเจอร์ที่ได้รับผลกระทบจากการเข้ารหัส E2E: การค้นหา การจัดทำดัชนี การวิเคราะห์ข้อมูล การรายงาน
- เป้าหมายของ social engineering: ระบบ helpdesk ข้อมูลประจำตัวของพนักงาน
- ความเสี่ยงจากระบบบุคคลที่สาม: แพลตฟอร์ม CRM การรวมระบบบริการคลาวด์
ช่องว่างการตอบสนองด้านกฎระเบียบ
แม้จะมีกฎระเบียบอย่าง GDPR ที่สัญญาว่าจะมีการบังคับใช้ที่เข้มงวดขึ้น ชุมชนยังคงสงสัยเกี่ยวกับความรับผิดชอบที่แท้จริงสำหรับผู้บริหาร ความท้าทายในการพิสูจน์ความประมาทเลินเล่ออย่างรุนแรงในศาลให้พื้นที่หลบหนีมากเกินไปสำหรับบริษัทที่จะหลีกเลี่ยงผลที่มีความหมาย สิ่งนี้ทำให้เกิดการเรียกร้องกรอบความรับผิดชอบที่ตรงไปตรงมามากขึ้นที่ไม่ต้องการการตัดสินทางกฎหมายที่ซับซ้อน
บทบาทของอุตสาหกรรมประกันภัยในปัญหานี้ก็ได้รับการเน้นย้ำเช่นกัน เมื่อบริษัทสามารถทำประกันภัยต่อความเสี่ยงทางไซเบอร์แทนการลงทุนในการป้องกัน มันสร้างแรงจูงใจที่บิดเบี้ยวอีกอย่างหนึ่งที่ให้ความสำคัญกับการโอนความเสี่ยงมากกว่าการลดความเสี่ยง
มองไปข้างหน้า
การรั่วไหลของ Allianz Life ทำหน้าที่เป็นอีกหนึ่งการเตือนใจว่าแนวทางความปลอดภัยทางไซเบอร์ปัจจุบันมีข้อบกพร่องพื้นฐาน หากไม่มีการเปลี่ยนแปลงที่สำคัญต่อกรอบกฎหมาย แรงจูงใจทางการเงิน และความรับผิดชอบของบริษัท เหตุการณ์เหล่านี้จะยังคงเกิดขึ้นอย่างสม่ำเสมอที่คาดเดาได้ การอภิปรายของชุมชนเทคโนโลยีเผยให้เห็นทั้งความซับซ้อนของปัญหาและความจำเป็นเร่งด่วนสำหรับการปฏิรูปที่ครอบคลุมซึ่งจัดแนวแรงจูงใจของบริษัทให้สอดคล้องกับผลประโยชน์ด้านความปลอดภัยสาธารณะ
เส้นทางไปข้างหน้าน่าจะต้องการการรวมกันของการคุ้มครองทางกฎหมายที่เข้มแข็งขึ้นสำหรับนักวิจัยด้านความปลอดภัย ผลทางการเงินที่มีความหมายสำหรับบริษัทที่ล้มเหลวในการปกป้องข้อมูล และการเปลี่ยนแปลงพื้นฐานในวิธีที่เราคิดเกี่ยวกับการตรวจสอบตัวตนและความรับผิดชอบด้านข้อมูลในยุคดิจิทัล
อ้างอิง: Allianz Life says 'majority of customers' personal data stolen in cyberattack
 |
|---|
| โลโก้งาน DISRUPT เป็นสัญลักษณ์ของการผลักดันให้เกิดการเปลี่ยนแปลงเชิงนวัตกรรมในแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์และความรับผิดชอบขององค์กร |