លោក Ronald Allen រស់នៅរដ្ឋ Oklahoma គឺជាម្នាក់ក្នុងចំណោមមនុស្សរាប់សិបនាក់ដែលនិយាយថាជីវិតរបស់ពួកគេកាន់តែលំបាកនៅឆ្នាំ 2022 បន្ទាប់ពីទិន្នន័យអតិថិជនដូចជាឈ្មោះ អាសយដ្ឋានអ៊ីមែល និងកាលបរិច្ឆេទកំណើតត្រូវបានលួចពី Samsung ក្រុមហ៊ុនអេឡិចត្រូនិកកូរ៉េ។
បន្ទាប់ពីលោក Allen ត្រូវបានជូនដំណឹងអំពីការលួចចូលនោះ លោកនិយាយថា មាននរណាម្នាក់បានព្យាយាមបើកគណនីក្នុងនាមរបស់លោក។ ធនាគារមួយបានជូនដំណឹងដល់លោកថា ព័ត៌មានកាតឥណទានរបស់លោកត្រូវបានរកឃើញនៅលើ Dark Web ដែលជាផ្នែកមួយនៃអ៊ីនធឺណិតដែលជនល្មើសតែងតែលក់និងទិញព័ត៌មានផ្ទាល់ខ្លួន។ លោក Allen និយាយថា លោកបានចំណាយពេលជាច្រើនម៉ោងនៅលើទូរស័ព្ទដើម្បីលុបចោលគណនី ជម្លោះការចោទប្រកាន់ និងផ្លាស់ប្តូរពាក្យសម្ងាត់របស់លោក។ លោកនិយាយថា លោកចំណាយពេលមួយចំនួនរៀងរាល់សប្តាហ៍ដើម្បីពិនិត្យគណនីហិរញ្ញវត្ថុរបស់លោកសម្រាប់សកម្មភាពមិនមែនជាក់ស្តែង យោងតាម ។
ពាក្យបណ្តឹងបានអះអាងថា ខ្សែសង្វាក់នៃការលួចចូលទិន្នន័យគឺជាសូចនាករនៃការអនុវត្តសន្តិសុខដែលមិនតឹងរឹង។ ប៉ុន្តែកិច្ចខិតខំប្រឹងប្រែងក្នុងការធ្វើឱ្យ Samsung ទទួលខុសត្រូវគឺមិនបានជោគជ័យទេ។ អតិថិជនមិនបានបង្ហាញថាពួកគេបានរងគ្រោះជាក់លាក់ដោយសារការលួចចូលទិន្នន័យនោះទេ លោកស្រីចៅក្រមស្រុក Christine O’Hearn នៃរដ្ឋ New Jersey បានសរសេរនៅក្នុង នៅថ្ងៃទី 3 ខែមករា។ ព័ត៌មានរបស់មនុស្សត្រូវបានលួចគ្រប់ពេលវេលា លោកស្រី O’Hearn បានសន្និដ្ឋាន ហើយគ្មានវិធីណាដឹងថាលោក Allen ឬអ្នកដទៃបានបាត់បង់អត្តសញ្ញាណរបស់ពួកគេដោយសារការលួចចូលទិន្នន័យនោះទេ។
Samsung បានជំទាស់នៅក្នុងឯកសារច្បាប់ថា ដោយសារតែព័ត៌មានដូចជាលេខសន្តិសុខសង្គមនិងលេខកាតឥណទានមិនត្រូវបានលួចនៅក្នុងការលួចចូលនោះ ហើយដោយសារតែវាមិនអាចដឹងថាព័ត៌មានលួចចូលទិន្នន័យត្រូវបានប្រើប្រាស់សម្រាប់គោលបំណងអាក្រក់ឬអត់នោះ ពួកដើមបណ្តឹងមិនមានករណីទេ។ “តុលាការត្រូវតែបដិសេធសកម្មភាពបណ្តឹងជាក្រុមលួចចូលទិន្នន័យដែលពួកដើមបណ្តឹងបរាជ័យក្នុងការ ‘អះអាងយ៉ាងគ្រប់គ្រាន់’ ការខូចខាត ‘ដែលបណ្តាលមកពីការលួចចូលទិន្នន័យ’” មេធាវីសម្រាប់ក្រុមហ៊ុនបានសរសេរនៅក្នុងសេចក្តីស្នើសុំបដិសេធ។
ហេតុការណ៍ដូចជាការលួចចូលទិន្នន័យ Samsung បានក្លាយជារឿងធម្មតានៅពេលដែលមនុស្សនិងក្រុមហ៊ុនរក្សាទុកព័ត៌មានបន្ថែមទៀតតាមអ៊ីនធឺណិត។ មានការលួចចូលទិន្នន័យចំនួន 3,158 ករណីនៅឆ្នាំ 2024 កើនឡើង 70% ពីឆ្នាំ 2021 ដែលបានធ្វើឱ្យមានការជូនដំណឹងជិត 1.7 ពាន់លានសារទៅដល់បុគ្គលដែលទំនងជារងផលប៉ះពាល់ យោងតាម ដោយ Identity Theft Resource Center (ITRC)។
មានការលួចចូលទិន្នន័យធំៗចំនួន 6 ករណីនៅឆ្នាំ 2024 ដែលមានអ្នករងគ្រោះយ៉ាងតិច 100 លាននាក់ យោងតាម ITRC។ ការលួចចូលទិន្នន័យចំនួន 4 ក្នុងចំណោមនោះអាចត្រូវបានការពារបានប្រសិនបើអង្គការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ច្រើនកត្តា វិធីសាស្ត្រសន្តិសុខដែលតម្រូវឱ្យអ្នកប្រើប្រាស់ផ្តល់ទម្រង់នៃការផ្ទៀងផ្ទាត់ច្រើនជាងមួយដើម្បីចូលប្រើគណនី យោងតាម ITRC។ មួយក្នុងចំណោមក្រុមហ៊ុនដែលពាក់ព័ន្ធនឹងការលួចចូលទិន្នន័យធំៗ គឺ ជាក្រុមហ៊ុនបុត្រសម្ព័ន្ធរបស់ United Health បានទទួលស្គាល់យ៉ាងច្រើននៅក្នុងសវនកម្មសភានៅខែឧសភា ឆ្នាំ 2024 ។
ការលួចចូលទិន្នន័យនីមួយៗធ្វើឱ្យការលួចចូលបន្ថែមទៀតមានភាពប្រសើរឡើង។ នៅពេលដែលជនលួចចូលលួចព័ត៌មានផ្ទាល់ខ្លួន ពួកគេអាចប្រើព័ត៌មាននោះដើម្បីចូលទៅក្នុងប្រព័ន្ធរបស់ក្រុមហ៊ុនផ្សេងទៀតនិងចាប់ផ្តើមការលួចចូលទិន្នន័យបន្ថែមទៀត។ នោះគឺជាហេតុផលមួយដែលមានលទ្ធភាពធ្វើឱ្យចំនួនការលួចចូលទិន្នន័យកើនឡើង។ ប៉ុន្តែក្រុមហ៊ុនជាច្រើនដែលត្រូវបានប៉ះពាល់ទទួលបានការដាក់ទណ្ឌកម្មតិចតួច—ប្រសិនបើមាន។
ទោះបីជាក្រុមហ៊ុនសាធារណៈនិងអ្នកដទៃដែលត្រូវបានគ្រប់គ្រងដោយរដ្ឋាភិបាលសហព័ន្ធត្រូវប្រឈមមុខនឹង សម្រាប់ការលួចចូលទិន្នន័យក៏ដោយ មានតែប្រហែល 7% នៃការលួចចូលទិន្នន័យទាំងអស់មកពីក្រុមហ៊ុនដែលជាសាធារណៈ យោងតាម ITRC។ គ្មានច្បាប់ជាតិណាគ្របដណ្តប់អ្វីដែលអង្គការផ្សេងទៀតគួរធ្វើប្រសិនបើពួកគេត្រូវបានប៉ះពាល់នោះទេ។ “យើងមិនមានច្បាប់ឯកជនភាពពិតប្រាកដ ឬស្តង់ដារអប្បបរមាដូចគ្នាទេ” លោក James Lee ប្រធាន ITRC និយាយ។
នៅពេលដែលក្រុមហ៊ុនដឹងថាទិន្នន័យរបស់អតិថិជនរបស់ខ្លួនត្រូវបានប៉ះពាល់ វាប្រហែលជាមិនចាំបាច់ជូនដំណឹងពួកគេអំពីបញ្ហានោះទេ។ ច្បាប់រដ្ឋកំណត់អ្វីដែលក្រុមហ៊ុនត្រូវធ្វើនៅពេលព័ត៌មានរបស់វាត្រូវបានចូលដំណើរការដោយភាគីមិនមែនជាក់ស្តែង។ ហើយនៅក្នុងរដ្ឋភាគច្រើន លោក Lee និយាយថា ក្រុមហ៊ុនដែលត្រូវបានប៉ះពាល់អាចសម្រេចចិត្តថាតើមានហានិភ័យនៃការប៉ះពាល់ដល់បុគ្គលឬអត់។ ប្រសិនបើវា កំណត់ថាគ្មានហានិភ័យទេ ពួកគេមិនចាំបាច់ផ្ញើការជូនដំណឹងនោះទេ។ សូម្បីតែពួកគេធ្វើក៏ដោយ នៅក្នុងរដ្ឋជាច្រើន ក្រុមហ៊ុនកំណត់អ្វីដែលការជូនដំណឹងទាំងនោះនិយាយ។ វាអាចបដិសេធមិនជូនដំណឹងដល់អតិថិជនពីរបៀបដែលព័ត៌មានត្រូវបានប៉ះពាល់ ឬព័ត៌មានផ្ទាល់ខ្លួនណាដែលត្រូវបានលួចនោះទេ។
ជាការពិតណាស់ ការផ្ញើការជូនដំណឹងទៅអតិថិជនមិនជួយពួកគេច្រើនទេ។ ពួកគេអាចបង្កកឥណទានរបស់ពួកគេ ឬតាមដានគណនីរបស់ពួកគេយ៉ាងជិតស្និទ្ធ ប៉ុន្តែពួកគេនឹងមិនទទួលបានសំណងសម្រាប់ពេលវេលារបស់ពួកគេ ឬប្រាក់សងប្រាក់វិញដោយសារតែព័ត៌មានរបស់ពួកគេត្រូវបានប៉ះពាល់នោះទេ។ សម្រាប់រឿងនោះ ពួកគេនឹងត្រូវฟ้องរឿង ឬមាននរណាម្នាក់ធ្វើវាក្នុងនាមរបស់ពួកគេ។ ប៉ុន្តែវាពិបាកខ្លាំងណាស់ក្នុងការฟ้องរឿងក្រុមហ៊ុនដោយជោគជ័យសម្រាប់ការជួយសង្គ្រោះហិរញ្ញវត្ថុបន្ទាប់ពីការលួចចូលទិន្នន័យ លោក Lee និយាយ។ ជាមួយនឹងការវាយប្រហារជាច្រើន វាស្ទើរតែមិនអាចដឹងថាការវាយប្រហារមួយណាបានបណ្តាលឱ្យមានបញ្ហារបស់អតិថិជននោះទេ។
ជាលទ្ធផល ក្រុមហ៊ុនមួយចំនួនតិចតួចអាចត្រូវបានគេចាត់ទុកថាទទួលខុសត្រូវខាងហិរញ្ញវត្ថុសម្រាប់ការលួចចូលទិន្នន័យ។ រដ្ឋ Florida ថែមទាំង ដែលនិយាយថា ក្រុមហ៊ុនមិនអាចត្រូវបានฟ้องរឿងសម្រាប់ការលួចចូលទិន្នន័យទេ ប្រសិនបើពួកគេបង្ហាញថាពួកគេបានអនុវត្តនីតិវិធីសន្តិសុខមួយចំនួន។
ទោះជាយ៉ាងណាក៏ដោយ អ្នកជំនាញសន្តិសុខនិយាយថា មានរឿងងាយៗមួយចំនួនដែលក្រុមហ៊ុនអាចធ្វើបានដើម្បីការពារព័ត៌មាន—និងអ្វីដែលជាច្រើនមិនបានធ្វើនោះទេ។ ជំហានទាំងនេះរួមមានការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ច្រើនកត្តា ធានាថាបុគ្គលិកកំពុងផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ពួកគេញឹកញាប់ និងធានាថាអ្នកលក់និងក្រុមហ៊ុនផ្សេងទៀតដែលពួកគេធ្វើការជាមួយមានវិធានការសមស្រប។
“វាជាវដ្តមួយបន្តិចដែលការលួចចូលមុនបានចិញ្ចឹមទៅក្នុងការលួចចូលនាពេលអនាគត” លោក Aaron Cookstra នាយកនៃក្រុមអ្នកស៊ើបការណ៍គំរាមកំហែងនៅ Aon Cyber Solutions និយាយ។ “ប៉ុន្តែយើងមិនឃើញក្រុមហ៊ុនចាំបាច់ចាត់វិធានការដែលពួកគេត្រូវការដើម្បីជៀសវាងការក្លាយជាបញ្ហានៅពេលក្រោយសម្រាប់ពួកគេនោះទេ។
លោក Lee នៃ ITRC កំពុងរង់ចាំច្បាប់ឯកជនភាពជាតិដែលនឹងកំណត់ស្តង់ដារអប្បបរមាសម្រាប់ការការពារសន្តិសុខស៊ីប៊័រដែលក្រុមហ៊ុនត្រូវតែមាននិងអ្វីដែលពួកគេត្រូវធ្វើនៅពេលទិន្នន័យរបស់ពួកគេត្រូវបានប៉ះពាល់។ វាពិបាកក្នុងការបង្កើតស្តង់ដារទាំងនោះព្រោះជនលួចចូលកាន់តែឆ្លាតជាងមុន ហើយក្រុមហ៊ុនត្រូវផ្លាស់ប្តូរនីតិវិធីសន្តិសុខរបស់ពួកគេជាបន្តបន្ទាប់ដើម្បីរក្សាសុវត្ថិភាពព័ត៌មាន។ ប៉ុន្តែសូម្បីតែនិយាយថាក្រុមហ៊ុនត្រូវធ្វើអ្វីមួយដើម្បីការពារព័ត៌មានរបស់អតិថិជន លោក Lee និយាយថា នឹងជាជំហានធំមួយទៅកាន់ទិសដៅត្រឹមត្រូវ។
“`