Tags:
Node Thumbnail

เมื่อสัปดาห์ที่แล้ว British Airways ประกาศว่าพบข้อข้อมูลรั่วไหล กระทบลูกค้า 380,000 คน ภายในวันเดียวกัน รัฐบาลอังกฤษโดยศูนย์ความมั่นคงปลอดภัยไซเบอร์ก็ออกมาเตือนประชาชนพร้อมกัน แนวทางนี้ทำให้เราเห็นว่าเมื่อเหตุการณ์เกิดขึ้นแล้ว ในประเทศที่เจริญแล้วมีแนวทางรับมือปัญหาอย่างไร

ภายใต้กฎหมาย GDPR ทาง British Airways ถูกบังคับให้ต้องแจ้งหน่วยงานที่เกี่ยวข้องว่ามีข้อมูลรั่วไหลภายใน 72 ชั่วโมงหลังทราบเรื่อง หากปิดบังไว้โทษปรับสูงสุดถึง 4% ของรายได้บริษัท

บริษัทผู้ทำข้อมูลรั่ว: บอกข้อมูลชัด, แจ้งผลกระทบ, บอกแนวทาง, แจ้งชดเชย

หน้าเว็บแจ้งเตือนของ British Airways มีการอัพเดตเป็นระยะ อย่างไรก็ตามข้อมูลตอนนี้ค่อนข้างนิ่งแล้ว โดยการแจ้งเตือนมีดังนี้

  • แจ้งว่าเกิดอะไรขึ้น: ประโยคแรกของการแจ้งเตือนคือระบุว่ามีการขโมยข้อมูล โดยเป็นการแจ้งเตือนเร่งด่วน (matter of urgency)
  • แจ้งขอบเขตผู้ได้รับผลกระทบ: ข้อมูลแจ้งเตือนระบุชัดว่า ผู้ได้รับผลกระทบคือผู้ที่จองตั๋วในช่วงวันที่ 21 สิงหาคม 2018 เวลา 22:58 BST จนถึง 5 กันยายน 2018 เวลา 21:45 BST (แจ้งโซนเวลาในกรณีผู้ได้รับผลกระทบอยู่คนละโซนเวลา)
  • แจ้งผลกระทบ: หน้าเว็บรายงานระบุผลกระทบที่เป็นไปได้กับลูกค้า
    • ผลกระทบสำคัญคือการปลอมตัวเป็นสายการบิน เนื่องจากคนร้ายได้ข้อมูลส่วนตัวลูกค้าเหมือนที่สายการบินมี ทางสายการบินเตือนทันทีว่าให้ระวังอีเมลปลอม และย้ำว่าจะไม่ติดต่อลูกค้าเพื่อขอข้อมูลบัตรเครดิต
    • ผลกระทบจากการถูกขโมยตัวตน (identity theft)
    • ผลกระทบจากการถูกใช้ข้อมูลบัตร
  • บอกแนวทางแก้ปัญหา: เว็บบอกแนวทางแก้ปัญหาเบื้องเต้น เช่น ให้ลูกค้าที่รู้ว่าได้รับผลกระทบแจ้งธนาคารผู้ออกบัตร, แนะนำวิธีสังเกตเมื่อถูกขโมยตัวตนและขั้นตอนหลังจากตกเป็นเหยื่อ
  • แจ้งชดเชย: ประกาศแจ้งว่าลูกค้าจะต้องไม่เสียค่าใช้จ่ายหากตกเป็นเหยื่อจากข้อมูลรั่วโดยตรง, จะให้บริการมอนิเตอร์เครดิตฟรี 12 เดือน

รัฐบาลแนะนำซ้ำ ย้ำแนวทางรักษาความปลอดภัย

ศูนย์ความมั่นคงปลอดภัยไซเบอร์ (NCSC) ประกาศซ้ำโดยเตือนว่าสถาบันทางการเงินนั้นจะไม่ขอให้ลูกค้าส่งข้อมูลส่วนตัวหรือข้อมูลบัญชีทางอีเมล หากต้องการติดต่อโดยส่งข้อมูลไปด้วย ให้หาอีเมลทางการขององค์กร ไม่ใช่ตอบกลับอีเมลที่ได้รับมา และผู้ได้รับผลกระทบควรตรวจสอบบัญชีว่ามีความเคลื่อนไหวผิดปกติหรือไม่

สำหรับผู้ได้รับผลกระทบ NCSC เตือนให้เปลี่ยนรหัสผ่านสำหรับบัญชีสำคัญ, ตั้งค่าบัญชีให้เป็นล็อกอินแบบสองขั้นตอน, และตรวจสอบว่าข้อมูลรั่วสู่สาธารณะหรือไม่ผ่านทางเว็บ Have I Been Pwned

ที่มา - NCSC

No Description
ภาพจาก British Airways

Get latest news from Blognone

Comments

By: -Rookies-
ContributorAndroidWindowsIn Love
on 14 September 2018 - 21:18 #1070934

เอ...เหมือนตัั้งใจบอกใครน้าาาา


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: IDCET
Contributor
on 14 September 2018 - 21:56 #1070939 Reply to:1070934

True ตอนที่ Amazon EC3 รั่วไงครับ

By: iamfalan
iPhoneAndroidWindows
on 15 September 2018 - 07:48 #1070973 Reply to:1070939

S3 ครับ EC3 ไม่มีนะ มีแต่ EC2

By: IDCET
Contributor
on 15 September 2018 - 09:57 #1070982 Reply to:1070973

จำผิดแฮะ