ข่าวไอที Blognone » บทเรียนจาก British Airways ข้อมูลหลุด บริษัทและรัฐบาลเตือนประชาชนอย่างไร

บทเรียนจาก British Airways ข้อมูลหลุด บริษัทและรัฐบาลเตือนประชาชนอย่างไร

14 กันยายน 2018
12   0

เมื่อสัปดาห์ที่แล้ว British Airways ประกาศว่าพบข้อข้อมูลรั่วไหล กระทบลูกค้า 380,000 คน ภายในวันเดียวกัน รัฐบาลอังกฤษโดยศูนย์ความมั่นคงปลอดภัยไซเบอร์ก็ออกมาเตือนประชาชนพร้อมกัน แนวทางนี้ทำให้เราเห็นว่าเมื่อเหตุการณ์เกิดขึ้นแล้ว ในประเทศที่เจริญแล้วมีแนวทางรับมือปัญหาอย่างไร

ภายใต้กฎหมาย GDPR ทาง British Airways ถูกบังคับให้ต้องแจ้งหน่วยงานที่เกี่ยวข้องว่ามีข้อมูลรั่วไหลภายใน 72 ชั่วโมงหลังทราบเรื่อง หากปิดบังไว้โทษปรับสูงสุดถึง 4% ของรายได้บริษัท

บริษัทผู้ทำข้อมูลรั่ว: บอกข้อมูลชัด, แจ้งผลกระทบ, บอกแนวทาง, แจ้งชดเชย

หน้าเว็บแจ้งเตือนของ British Airways มีการอัพเดตเป็นระยะ อย่างไรก็ตามข้อมูลตอนนี้ค่อนข้างนิ่งแล้ว โดยการแจ้งเตือนมีดังนี้

  • แจ้งว่าเกิดอะไรขึ้น: ประโยคแรกของการแจ้งเตือนคือระบุว่ามีการขโมยข้อมูล โดยเป็นการแจ้งเตือนเร่งด่วน (matter of urgency)
  • แจ้งขอบเขตผู้ได้รับผลกระทบ: ข้อมูลแจ้งเตือนระบุชัดว่า ผู้ได้รับผลกระทบคือผู้ที่จองตั๋วในช่วงวันที่ 21 สิงหาคม 2018 เวลา 22:58 BST จนถึง 5 กันยายน 2018 เวลา 21:45 BST (แจ้งโซนเวลาในกรณีผู้ได้รับผลกระทบอยู่คนละโซนเวลา)
  • แจ้งผลกระทบ: หน้าเว็บรายงานระบุผลกระทบที่เป็นไปได้กับลูกค้า
    • ผลกระทบสำคัญคือการปลอมตัวเป็นสายการบิน เนื่องจากคนร้ายได้ข้อมูลส่วนตัวลูกค้าเหมือนที่สายการบินมี ทางสายการบินเตือนทันทีว่าให้ระวังอีเมลปลอม และย้ำว่าจะไม่ติดต่อลูกค้าเพื่อขอข้อมูลบัตรเครดิต
    • ผลกระทบจากการถูกขโมยตัวตน (identity theft)
    • ผลกระทบจากการถูกใช้ข้อมูลบัตร
  • บอกแนวทางแก้ปัญหา: เว็บบอกแนวทางแก้ปัญหาเบื้องเต้น เช่น ให้ลูกค้าที่รู้ว่าได้รับผลกระทบแจ้งธนาคารผู้ออกบัตร, แนะนำวิธีสังเกตเมื่อถูกขโมยตัวตนและขั้นตอนหลังจากตกเป็นเหยื่อ
  • แจ้งชดเชย: ประกาศแจ้งว่าลูกค้าจะต้องไม่เสียค่าใช้จ่ายหากตกเป็นเหยื่อจากข้อมูลรั่วโดยตรง, จะให้บริการมอนิเตอร์เครดิตฟรี 12 เดือน

รัฐบาลแนะนำซ้ำ ย้ำแนวทางรักษาความปลอดภัย

ศูนย์ความมั่นคงปลอดภัยไซเบอร์ (NCSC) ประกาศซ้ำโดยเตือนว่าสถาบันทางการเงินนั้นจะไม่ขอให้ลูกค้าส่งข้อมูลส่วนตัวหรือข้อมูลบัญชีทางอีเมล หากต้องการติดต่อโดยส่งข้อมูลไปด้วย ให้หาอีเมลทางการขององค์กร ไม่ใช่ตอบกลับอีเมลที่ได้รับมา และผู้ได้รับผลกระทบควรตรวจสอบบัญชีว่ามีความเคลื่อนไหวผิดปกติหรือไม่

สำหรับผู้ได้รับผลกระทบ NCSC เตือนให้เปลี่ยนรหัสผ่านสำหรับบัญชีสำคัญ, ตั้งค่าบัญชีให้เป็นล็อกอินแบบสองขั้นตอน, และตรวจสอบว่าข้อมูลรั่วสู่สาธารณะหรือไม่ผ่านทางเว็บ Have I Been Pwned

ที่มา - NCSC

No Description
ภาพจาก British Airways

[source: https://www.blognone.com/node/105265]