ในยุคดิจิทัลที่ข้อมูลกลายเป็นสิ่งมีค่ามหาศาล การรั่วไหลของข้อมูล โดยเฉพาะอย่างยิ่งข้อมูลบัตรเครดิตถือเป็นฝันร้ายของทั้งบริษัทและลูกค้า เหตุการณ์เหล่านี้ไม่เพียงแต่สร้างความเสียหายทางการเงิน แต่ยังบั่นทอนความเชื่อมั่นและชื่อเสียงขององค์กรอย่างรุนแรง
หนึ่งในคดีความที่โด่งดังที่สุดและส่งผลกระทบต่อวงการธุรกิจอย่างกว้างขวางคือ คดี Target Corporation Data Security Breach ในปี 2013 Target ซึ่งเป็นบริษัทค้าปลีกรายใหญ่ของสหรัฐอเมริกา ถูกแฮ็กเกอร์โจมตีจนทำให้ข้อมูลบัตรเครดิตและเดบิตของลูกค้ากว่า 40 ล้านคนรั่วไหล
เหตุการณ์นี้ส่งผลให้ Target ถูกฟ้องร้องดำเนินคดีแบบกลุ่ม(Class Action) ในข้อหาละเลยและไม่ปฏิบัติตามมาตรฐานความปลอดภัย ส่งผลให้ Target ต้องจ่ายเงินชดเชยกว่า 100 ล้านดอลลาร์เพื่อครอบคลุมค่าใช้จ่ายในการตรวจสอบเครดิต ค่าธรรมเนียมทางกฎหมาย และการชดเชยความเสียหายอื่นๆ
คดีที่คล้ายคลึงกันนี้เกิดขึ้นกับ Home Depot ในปี 2014 ซึ่งข้อมูลบัตรเครดิตของลูกค้ากว่า 56 ล้านคนถูกขโมยไป Home Depot ถูกฟ้องร้องในข้อหาละเลยเช่นเดียวกับ Target และต้องจ่ายเงิน 179 ล้านดอลลาร์เป็นค่าชดเชยและค่าใช้จ่ายในการต่อสู้คดี และค่าปรับปรุงระบบให้เป็นไปตามมาตรฐาน
นอกจากนี้ ยังมีคดี Equifax Inc. Customer Data Security Breach ในปี 2017 ซึ่งเป็นหนึ่งในคดีละเมิดข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์ Equifax ซึ่งเป็นบริษัทจัดเก็บข้อมูลเครดิต ถูกแฮ็กข้อมูลส่วนบุคคล รวมถึงข้อมูลบัตรเครดิตของผู้คนเกือบ 147 ล้านคน
คดีนี้เน้นย้ำถึงความล้มเหลวของบริษัทในการใช้มาตรการรักษาความปลอดภัยที่เพียงพอ และการแจ้งเตือนการละเมิดล่าช้า Equifax ต้องจ่ายเงินชดเชยกว่า 700 ล้านดอลลาร์ ซึ่งรวมถึงเงินทุนสำหรับการตรวจสอบเครดิต การป้องกันการโจรกรรมข้อมูลประจำตัวและการชดเชยสำหรับผู้ได้รับผลกระทบ
นอกจากคดีความที่เกิดจากการฟ้องร้องของผู้เสียหายแล้ว หน่วยงานกำกับดูแลยังมีบทบาทสำคัญในการบังคับใช้กฎหมายและมาตรฐานความปลอดภัย
ตัวอย่างเช่น คดี Wyndham Worldwide Corporation Data Breach Litigation ซึ่ง Federal Trade Commission (FTC) ของสหรัฐอเมริกา ฟ้องร้อง Wyndham Hotels and Resorts ในข้อหาละเมิดมาตรฐานความปลอดภัยข้อมูล
FTC ระบุว่า Wyndham ไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องข้อมูลบัตรเครดิตของลูกค้า อันที่จริงบริษัทต้องปฏิบัติตามมาตรฐานความปลอดภัยที่เกี่ยวข้อง เช่น Payment Card Industry Data Security Standard (PCI DSS) อยู่แล้ว แต่มาตรฐานที่ว่านี้เป็นเพียงมาตรฐานขั้นต่ำซึ่งไม่ได้แปลว่า หากปฏิบัติตามมาตรฐานแล้วทุกบริษัทจะมีความมั่นคงปลอดภัยทางไซเบอร์ร้อยเปอร์เซนต์
ปัญหาที่เกิดขึ้นส่วนหนึ่งมาจากคอมพิวเตอร์ของลูกค้าที่ติดต่อกับคอมพิวเตอร์ของบริษัท ขณะเดียวกัน บริษัทก็บกพร่องในการตรวจตราและวิธีปฏิบัติ (compliance) เกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ที่ดีพอ
คดีความเหล่านี้สะท้อนให้เห็นถึงความรับผิดชอบที่เพิ่มขึ้นของบริษัทต่าง ๆ ในการปกป้องข้อมูลลูกค้า บริษัทไม่สามารถเพิกเฉยต่อภัยคุกคามทางไซเบอร์ได้อีกต่อไป
แหล่งข้อมูล