Human Error ภัยร้ายของเหตุข้อมูลรั่วไหล
เวลาที่เราได้ยินข่าวใหญ่เกี่ยวกับข้อมูลรั่วไหลหรือถูกล่วงละเมิด
เรามักจะนึกกันไปต่างๆ นานาว่าเหตุการณ์เหล่านั้นคงจะเป็นฝีมือของกลุ่มแฮ็กเกอร์มืออาชีพหรือองค์กรลับบางแห่ง
แต่ท่านทราบหรือไม่ว่า อันที่จริงแล้วสาเหตุหลักของภัยคุกคามข้อมูลส่วนใหญ่
เกิดขึ้นจาก “ความผิดพลาดของบุคลากร” (Human Error)
ที่ผ่านมา การที่ข้อมูลลับหรือข้อมูลส่วนตัวของบริษัทและหน่วยงานจำนวนมหาศาลถูกเปิดเผยอย่างไม่เหมาะสมนั้น
ได้รับการพิสูจน์แล้วว่าเป็นผลมาจากความผิดพลาดของพนักงานภายในนั่นเอง ซึ่งมีทั้งโดยตั้งใจและไม่ได้ตั้งใจ
โดยล่าสุดได้มีการรวบรวมสรุปเหตุการณ์เด่นๆ ที่น่าสนใจมาให้ทุกท่านได้ทราบเป็นตัวอย่าง
ดังนี้..
Facebook พลาดเปิดเผยวันเกิดของผู้ใช้งานกว่า
80 ล้านบัญชี
ย้อนกลับไปเมื่อปี 2008
Facebook ได้ทำการปรับดีไซน์ของเว็บไซต์ใหม่
แต่ด้วยความไม่รอบคอบของพนักงานจึงทำให้เกิดข้อบกพร่องบางประการจนข้อมูลวันเกิดของผู้ใช้งานกว่า
80 ล้านบัญชีสามารถถูกเข้าถึงได้แบบสาธารณะ
ซึ่งข้อมูลวันเกิดนั้นจัดได้ว่ามีความสำคัญมาก เพราะสามารถนำไปใช้คาดเดารหัสผ่านหรือใช้ประกอบกับข้อมูลส่วนตัวอื่นๆ
เพื่อการโจรกรรมตัวตนได้
รายชื่อคนไข้ติดเชื้อ HIV
ของสถานพยาบาลแห่งหนึ่งถูกเปิดเผยโดยไม่เจตนา
เมื่อปีที่แล้ว มีรายงานการรั่วไหลของรายชื่อผู้ติดเชื้อ
HIV ที่สมัครรับจดหมายข่าวของสถานพยาบาลขนาดใหญ่แห่งหนึ่งในนครลอนดอน
ซึ่งโดยปกติแล้วผู้รับอีเมล์ข่าวเหล่านี้จะต้องไม่เห็นรายชื่อของคนไข้รายอื่นๆ โดยเจ้าหน้าที่ที่ส่งออกจดหมายข่าวจะต้องใส่ที่อยู่อีเมล์ของผู้รับในช่อง
“BCC:” แต่ด้วยความเลินเล่อในครั้งนั้น
เจ้าหน้าที่กลับก๊อปปี้รายชื่อจากฐานข้อมูลแล้ววางลงในช่อง “TO:” อันนำมาซึ่งความเสียหายเกินคณนา
เพนตากอนต้องเจ็บปวดกับเหตุข้อมูลรั่วไหลเพราะอีเมล์ฟิชชิ่ง
เมื่อเจ้าหน้าที่ในออฟฟิสของเพนตากอนตกเป็นเหยื่อของอีเมล์ฟิชชิ้ง
จึงทำให้ระบบขององค์กรเกิดช่องโหว่และข้อมูลส่วนตัวของข้าราชการทหารกว่า 4,000
นายถูกล้วงความลับออกไป เหตุการณ์นี้สร้างความแตกตื่นครั้งยิ่งใหญ่ว่าเจ้าหน้าที่ของหน่วยงานสำคัญระดับเพนตากอนขาดความตระหนักรู้จนหลงกลอีเมล์ฟิชชิ่งได้อย่างไร
แฮ็กเกอร์ใช้อีเมล์ฟิชชิ่งเพื่อการเจาะระบบ
Sony
Sony Pictures Entertainment คือองค์กรอีกแห่งหนึ่งที่ตกเป็นเหยื่อของอีเมล์ฟิชชิ่ง
โดยแฮ็กเกอร์จงใจใช้เนื้อหาลวงเกี่ยวกับ “การยืนยันอีเมล์ของบัญชี Apple ID”
ซึ่งเรียกร้องความสนใจและทำให้พนักงานของ Sony พลาดกดคลิกจนเกิดความเสียหายครั้งใหญ่ตามมาในที่สุด
นี่เป็นเพียงตัวอย่างส่วนหนึ่งที่แสดงให้เห็นว่า
ทุกองค์กรจำเป็นต้องใส่ใจให้ความรู้และฝึกอบรมพนักงานเกี่ยวกับเรื่องความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสมเพียงพอ
เพราะนี่คือเกราะป้องกันสำคัญที่จะช่วยให้องค์กรของท่านพ้นจากการถูกล่วงละเมิดข้อมูล
Content Cr: IT Governance / DestinationOne Counselor
Photo Cr: CartoonStock.com
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.