ไม่นานมานี้ บริษัทระดับประเทศ 2 แห่งของออสเตรเลียถูกโจมตีด้วย Ramsomware นั่นคือ Optus บริษัทยักษ์ใหญ่ด้านโทรคมนาคมที่ทำให้ข้อมูลส่วนตัวของลูกค้าเกือบ 2.1 ล้านรายรั่วไหล และ Medibank ผู้ให้บริการประกันสุขภาพเอกชน ทำให้ข้อมูลลูกค้าปัจจุบันและลูกค้าเก่ากว่า 9.7 ล้านรายถูกทำลาย
เรื่องนี้สร้างความปวดหัวให้กับหน่วยงานด้านกฏหมายของออสเตรเลียมาก จนพวกเขากำลังพิจารณากฏระเบียบใหม่ที่จะบังคับบริษัทไม่ให้จ่ายเงินให้กับแฮกเกอร์อีกต่อไป เนื่องจากจะเป็นการสนับสนุนให้พวกเขาทำผิด
แต่เรื่องนี้น่าปวดหัวเพราะอะไร ? จริง ๆ แล้วก่อนที่แฮกเกอร์จะมีประกาศออกสู่สาธารณะว่า เฮ้ย ฉันโจมตีบริษัทนี้สำเร็จนะ… พวกเขาจะมีการติดต่อไปยังบริษัทนั้นอย่างลับ ๆ เพื่อบอกว่า ตูนี่แหละ เป็นคนแฮก จ่ายเงินมานะ ก่อนจะแฉ หลายองค์กรจึงมีการจ่ายเงินให้กับแฮกเกอร์ เพื่อไม่ให้พวกเขาไม่เปิดเผยข้อมูล พร้อมกับช่วยคืนไฟล์หรือปลดล็อคไฟล์ให้ ทำให้ธุรกิจดำเนินการต่อไปได้ (ในไทยก็มีเยอะนะ เขาแค่ไม่เปิดเผย)
แต่การออกกฏนี้ไม่ได้แต่ข้อดี ออสเตรเลียต้องการตัดท่อน้ำเลี้ยงของแฮกเกอร์ก็จริง แต่นั่นจะทำให้บริษัทหลายแห่งอาจต้องเผชิญกับสภาวะล้มละลายได้เลย เพาะการปล่อยให้ข้อมูลผู้บริโภคไปอยู่ในมือแฮกเกอร์ บริษัทต้องจ่ายเงินมหาศาลเพื่อชดเชยกับความผิดนั้น รวมทั้งยังทำให้บริษัทเสียชื่ออีก เมื่อพิจารณาจำนวนเงินที่จะต้องจ่ายให้แฮกเกอร์อย่างลับ ๆ แล้ว มันอาจถูกกว่าการก้มหน้าก้มตาทำตามกฏหมายครับ …
ในสหรัฐมีการออกกฏไม่ให้บริษัทจ่ายเงินให้กับแฮกเกอร์แล เพราะมันจะนำไปสู่โอกาสในการโจมตีที่เพิ่มขึ้น (ซึ่งมันก็จริงแหละ) และเมื่อเดือนที่แล้ว โจ ซัลลิแวน อดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Uber ถูกตัดสินว่ามีความผิดในข้อหาปกปิดการแฮกข้อมูลของบริษัทและยังถูกตัดสินว่ามีความผิดฐานซ่อนเร้นความผิดทางอาญาอีกด้วย งานนี้สหรัฐไม่ได้มาเล่น ๆ
ทั้งนี้ ต้องดูต่อไปแหละว่า การทำเช่นนี้ มันจะได้ประโยชน์จริง ๆ หรือไม่ แต่สิ่งที่เห็นชัดคือ มันจะทำให้องค์กรต่าง ๆ ให้ความสำคัญกับการปกป้องข้อมูลมากขึ้น ทั้งเรื่องการลงทุนระบบและการเทรนนิ่งพนักงาน เพราะเมื่อเกิดเหตุการณ์โจมตีขึ้นแล้ว จะเลือกทางไหน ยังไงก็ต้องจ่ายอยู่ดี
ที่มาข้อมูล
https://www.techspot.com/news/96669-australia-wants-criminalize-ransomware-payments.html
