การรั่วไหลของข้อมูลลูกค้ากว่า 500 ล้านรายของ Marriott ส่งผลกระทบลูกโซ่มากกว่าที่คุณคิด - Forbes Thailand

การรั่วไหลของข้อมูลลูกค้ากว่า 500 ล้านรายของ Marriott ส่งผลกระทบลูกโซ่มากกว่าที่คุณคิด

Marriott กำลังถูกฟ้องร้องดำเนินคดีแบบกลุ่มและหุ้นยังร่วงอย่างต่อเนื่องไปถึง 5.6% หลังบริษัทยอมรับว่ามีการรั่วไหลของข้อมูลลูกค้ากว่า 500 ล้านราย และ 327 ล้านรายในนั้นถูกจารกรรมไปทั้งข้อมูลชื่อ ที่อยู่ และหมายเลขพาสปอร์ต ผลักดันให้ Chuck Schumer สมาชิกวุฒิสภา ถึงกับเรียกร้องให้บริษัทออกค่าใช้จ่ายทำพาสปอร์ตใหม่ให้ และเขาไม่ใช่สมาชิกวุฒิสภารายเดียวที่เดือดจัดกับเรื่องนี้

“ซีอีโอหลายคนไม่เคยมองประเด็นการป้องกันการจัดเก็บข้อมูลของพวกเราอย่างจริงจัง นอกเสียจากว่าจะมีผลกับหน้าที่การงานของตัวเอง” Elizabeth Warren สมาชิกวุฒิสภาอีกรายหนึ่งกล่าว “สภาคองเกรสควรเน้นย้ำการเรียกร้องความรับผิดชอบจากบริษัทต่อเหตุความผิดพลาดครั้งใหญ่นี้” ด้าน Marriott International เปิดเผยว่าบริษัทกำลังศึกษาหารอยรั่วที่ทำให้เกิดการจารกรรมข้อมูล ขณะเดียวกัน วิธีปฏิบัติของบริษัทก็สร้างคำถามว่า ทำไม Marriott จึงเพิ่งจะตรวจพบปัญหาซึ่งมีหลักฐานว่าเกิดขึ้นมาตั้งแต่ 4 ปีก่อน  

จุดบอดจากการควบรวม Starwood ปี 2015

Andrei Barysevich นักวิจัยด้านภัยคุกคามอัจฉริยะ (threat intelligence) บริษัท Recorded Future กล่าวว่า บริษัทที่มีทรัพยากรในระดับนี้ควรจะชี้เป้านักจารกรรมข้อมูลที่เข้ามาในระบบได้ตั้งแต่ปี 2015 นั่นคือช่วงที่ Marriott ประกาศการควบรวมกิจการ Starwood Hotels and Resorts Worldwide และนั่นคือจุดที่ทำให้เกิดปัญหาทั้งหมดขึ้น เนื่องจากจุดรั่วไหลของข้อมูลเกี่ยวพันถึงระบบฐานข้อมูลการจองห้องพักของลูกค้า Starwood แต่เป็นเรื่องเหลือเชื่อว่า Marriott จะมองไม่เห็นความเสี่ยงในขณะนั้น หนึ่งในความเสี่ยงที่ปรากฏคือ หลังจากการควบรวมกิจการเพียง 2 เดือน Starwood เพิ่งรายงานว่าบริษัทถูกจารกรรมข้อมูลบัตรเครดิตขนานใหญ่ตั้งแต่เมื่อปี 2014 นอกจากนี้ Alex Holden ผู้ก่อตั้งบริษัท Hold Security ยังเปิดเผยกับ FORBES ว่า ในปีเดียวกันนั้นเว็บไซต์ของบริษัท Starwood ยังเป็นฐานฝังบั๊กการจารกรรมข้อมูลแบบ SQL injection และมีข้อเสนอให้แฮกเว็บไซต์นี้แพร่กระจายไปในเว็บไซต์ใต้ดินต่างๆ
Marriott International ควบรวบกิจการเครือ Starwood ในปี 2015 และนั่นอาจเป็นจุดเริ่มต้นของการรั่วไหลของข้อมูลลูกค้า (PHOTO CREDIT: hospitality-on.com)
Marriott International ควบรวบกิจการเครือ Starwood ในปี 2015 และนั่นอาจเป็นจุดเริ่มต้นของการรั่วไหลของข้อมูลลูกค้า (PHOTO CREDIT: hospitality-on.com)
ดังนั้นการควบรวมกิจการ Starwood โดย Marriott นั้น จะต้องมีการประเมินความเสี่ยงมาแล้ว เพียงแต่ว่าเหตุผลของการนิ่งเฉยของ Marriott นั้นจะเป็นเพราะบริษัทไม่ได้ตระหนักถึงอันตรายที่จะเกิดขึ้น หรือพวกเขาเพียงแค่เป็นอีกเวอร์ชันหนึ่งของระบบ ‘recall coordinator’s formula’ (อ้างอิงภาพยนตร์ Fight Club ซึ่งตัวเอกของเรื่องเป็นพนักงานเรียกคืนรถยนต์ เขาอธิบายว่าบริษัทเลือกที่จะไม่เรียกคืนรถยนต์ที่มีปัญหา ถ้าหากประเมินแล้วว่าค่าชดเชยที่จ่ายให้กับลูกค้าหลังปัญหาเกิดขึ้นแล้วจะต่ำกว่าค่าใช้จ่ายในการเรียกคืนสินค้าทั้งหมด - ผู้แปล) โดย Marriott อาจให้ผู้บริโภครับความเสี่ยง เพราะบริษัทประเมินแล้วว่าค่าใช้จ่ายชดเชยการรั่วไหลของข้อมูลจะต่ำกว่าค่าใช้จ่ายในการเพิ่มการป้องกันความปลอดภัยให้ดีกว่าเดิม  

กฎหมายต้านการเก็บและซื้อขายข้อมูลส่วนบุคคล

“ขณะนี้หลายบริษัทเลือกที่จะใช้ระบบรักษาความปลอดภัยที่ไม่ดีพอเพราะราคาถูก มากกว่าจะคิดถึงผลที่จะตามมาหากเกิดการรั่วไหลของข้อมูล” John M. Simpson ผู้อำนวยการโครงการด้านเทคโนโลยีและความเป็นส่วนตัวจาก Consumer Watchdog กล่าว “พ.ร.บ.ความเป็นส่วนตัวของลูกค้าจะช่วยแก้ไขปัญหาดังกล่าวและบีบให้บริษัทมีความรับผิดชอบมากขึ้น” Simpson เชื่อว่าเหตุการณ์การรั่วไหลข้อมูลของ Marriott จะเป็นหลักฐานชั้นดีถึงความจำเป็นของกฎหมาย California Consumer Privacy Act (CCPA) เขากล่าวว่า ถ้าหากกฎหมาย CCPA บังคับใช้แล้วในวันนี้ Marriott จะต้องหลังชนฝาเพราะเหยื่อของเหตุการณ์แฮกข้อมูลจะสามารถฟ้องร้องบริษัทได้ กฎหมาย CCPA นั้นให้สิทธิพลเมืองรัฐ California ที่จะรับรู้ว่าข้อมูลส่วนตัวใดบ้างที่บริษัทนำไปเก็บสะสมไว้ รวมถึงได้มีการขายหรือเปิดเผยข้อมูลนั้นให้ใครหรือไม่ และยังสามารถเลือกปฏิเสธไม่ให้มีการขายข้อมูลได้ด้วย ซึ่งกฎหมายฉบับนี้จะเริ่มมีผลบังคับใช้ในปี 2020 ถึงแม้ว่าจะเป็นการออกกฎหมายที่ฟังดูเป็นเหตุเป็นผล แต่ก็ต้องเผชิญการต่อต้านอย่างรุนแรง ทั้ง Amazon, Facebook, Google, Microsoft, Twitter, Uber แม้แต่บริษัทผู้ให้บริการอินเทอร์เน็ตอย่าง AT&T และ Verizon ต่างพยายามล็อบบี้เพื่อเอาชนะการออกกฎหมาย CCPA อย่างไรก็ตาม กฎหมายลักษณะนี้เป็นกระแสที่กำลังมาแรงในโลก ตัวอย่างเช่นการออกกฎหมาย General Data Protection Regulation (GDPR) ในสหภาพยุโรป และกฎหมายควบคุมการซื้อขายข้อมูลในรัฐ Vermont ซึ่งเพิ่งตราขึ้นเมื่อเดือนพฤษภาคมที่ผ่านมา  

ผลกระทบลูกโซ่: ไม่ใช่แค่การรั่วไหลของข้อมูลส่วนตัว แต่เป็นความมั่นคงของชาติ

สำหรับภาคธุรกิจโรงแรม การต้องเผชิญกับคลื่นการออกกฎหมายความปลอดภัยทางข้อมูลเป็นสิ่งที่ดีเช่นกัน เพราะผลกระทบลูกโซ่จากการรั่วไหลข้อมูลของธุรกิจโรงแรมนั้นจะส่งผลมากกว่าลูกค้ารายบุคคล “ด้วยการโยงใยระหว่างธุรกิจที่อยู่ภายในโรงแรม ไม่ว่าจะเป็นร้านค้า ร้านอาหาร บริการซักแห้ง ศูนย์ธุรกิจ และอื่นๆ การรั่วไหลข้อมูลสามารถแพร่กระจายไปได้ทั่วองค์กรและอาจจะซับซ้อนรวมถึงมีค่าใช้จ่ายสูงเกินกว่าจะเยียวยาได้” บริษัทประกัน Axa XL ให้ความเห็น
ภายในโรงแรมยังมีร้านค้า ร้านอาหาร บริการซักแห้ง ศูนย์ธุรกิจ และอื่นๆ ทำให้การรั่วไหลของข้อมูลสามารถแพร่กระจายไปมากกว่าที่คิด
ภายในโรงแรมยังมีร้านค้า ร้านอาหาร บริการซักแห้ง ศูนย์ธุรกิจ และอื่นๆ ทำให้การรั่วไหลของข้อมูลสามารถแพร่กระจายไปมากกว่าที่คิด
ภัยคุกคามดิจิทัลยังขยายวงกว้างได้มากกว่านั้น เมื่อปีก่อน Fancy Bear กลุ่มนักจารกรรมข้อมูลชาวรัสเซีย ซึ่งมีความเชื่อมโยงกับหน่วยสายลับทหาร GRU ใน Moscow ถูกพบว่าพวกเขาใช้เครื่องมือจารกรรมข้อมูล Eternal Blue ที่รั่วไหลออกมาจาก NASA ในการแฮกข้อมูลเหยื่อผ่านการเชื่อมต่อสัญญาณไวไฟของโรงแรม ถ้าหากคุณสงสัยว่าทำไมรัฐบาลรัสเซียต้องสนใจว่าคุณเช็กอีเมลกี่ครั้งระหว่างไปพักผ่อนที่ Santo Domingo ลองอ่านข้อความนี้จาก Michael Daly ซีทีโอด้านความปลอดภัยทางไซเบอร์ของ Raytheon Intelligence ด้านล่าง “นี่เป็นสิ่งที่มากกว่าแค่การรั่วไหลของข้อมูลส่วนตัวของลูกค้า ถ้าใช้มุมคิดแบบสายลับที่กำลังรวบรวมข้อมูลต่างๆ ข้อมูลเหล่านี้จะฉายภาพให้เห็นวิถีดำเนินชีวิตของผู้นำทางการเมืองและผู้นำธุรกิจทั่วโลก รวมไปถึงว่าพวกเขาเดินทางกับใคร ที่ไหน และเมื่อไหร่ สิ่งนี้เปรียบเหมือนการบินลาดตระเวนที่ทรงประสิทธิภาพอย่างเหลือเชื่อในการรวบรวมข้อมูล และกลายเป็นการยกระดับการรั่วไหลของข้อมูลสู่ปัญหาความมั่นคงของชาติ”   แปลและเรียบเรียงบางส่วนจาก Marriott Breach Exposes Far More Than Just Data โดย David Volodzko บรรณาธิการของ Brightwire บริษัทด้านเทคโนโลยีข้อมูล ตีพิมพ์ใน forbes.com