121/68 (IT) ประจำวันศุกร์ที่ 28 มีนาคม 2568

สำนักงานคณะกรรมการด้านข้อมูลแห่งสหราชอาณาจักร (ICO) ได้ประกาศปรับบริษัท Advanced Computer Software Group Ltd เป็นจำนวนเงิน 3.07 ล้านปอนด์ (ประมาณ 135 ล้านบาท) หลังเกิดเหตุโจมตีด้วยแรนซัมแวร์ในปี 2022 ที่ทำให้ข้อมูลส่วนบุคคลของผู้คนกว่า 79,404 ราย รวมถึงผู้ป่วยในระบบบริการสุขภาพแห่งชาติ (NHS) รั่วไหล เหตุการณ์ดังกล่าวส่งผลกระทบต่อบริการด้านสุขภาพหลายส่วน เช่น บริการฉุกเฉิน 111 โดยเหตุโจมตีเกิดขึ้นผ่านทางผู้ให้บริการจัดการระบบ (MSP) ของสหราชอาณาจักร คือบริษัท Advanced การสืบสวนภายหลังพบว่ากลุ่ม LockBit เป็นผู้ก่อเหตุ โดยใช้ข้อมูลรับรองที่ถูกเจาะผ่านการเข้าสู่ระบบ Remote Desktop Protocol (RDP) บนเซิร์ฟเวอร์ Citrix ของโปรแกรม Staffplan ก่อนที่จะเคลื่อนย้ายไปยังระบบส่วนอื่น ๆ ขององค์กร แม้ว่าบริษัท Advanced จะได้รับความช่วยเหลือจากผู้เชี่ยวชาญของ Mandiant และ Microsoft แต่การกู้คืนข้อมูลใช้เวลานานกว่าที่คาดไว้ ICO ระบุว่าบริษัท Advanced ล้มเหลวในการรักษาความปลอดภัยของข้อมูลและระบบให้ปลอดภัยจากการโจมตี โดยเน้นถึงข้อบกพร่องในกระบวนการสแกนหาช่องโหว่ การจัดการแพตช์ซอฟต์แวร์ และการใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) อย่างครอบคลุม
การปรับครั้งนี้นับเป็นบทลงโทษครั้งแรกในสหราชอาณาจักรที่ลงโทษกับผู้ประมวลผลข้อมูล (data processor) โดยตรง แทนที่จะเป็นผู้ควบคุมข้อมูล (data controller) เช่นกรณีปรับสายการบิน British Airways เป็นเงิน 20 ล้านปอนด์จากเหตุการณ์ข้อมูลรั่วไหลในปี 2018 และการปรับโรงแรม Marriott เป็นเงิน 18.4 ล้านปอนด์ จากเหตุโจมตีในปี 2014 แม้ว่าโทษปรับครั้งนี้จะลดลงจากจำนวนเดิมที่ ICO เคยพิจารณาไว้ที่ 6.09 ล้านปอนด์ ในเดือนสิงหาคม 2024 แต่ยังคงสะท้อนถึงความสำคัญของการปกป้องข้อมูลที่เข้มงวดในยุคที่การโจมตีทางไซเบอร์ทวีความซับซ้อนมากขึ้น