Ilustrasi Penggodaman Internet

(SeaPRwire) –   Penduduk Oklahoma, Ronald Allen, adalah salah seorang daripada berpuluh-puluh orang yang mengatakan kehidupan mereka menjadi lebih susah pada tahun 2022 setelah data pelanggan seperti nama, alamat emel, dan tarikh lahir dicuri daripada Samsung, syarikat elektronik Korea itu.

Setelah Allen dimaklumkan tentang pelanggaran data tersebut, katanya, seseorang cuba membuka akaun atas namanya. Sebuah bank memberitahunya bahawa maklumat kad kreditnya telah dijumpai di Dark Web, sebahagian daripada Internet di mana penjenayah sering menjual dan membeli maklumat peribadi. Allen berkata dia telah menghabiskan banyak masa di telefon untuk membatalkan akaun, membantah caj, dan menukar kata laluannya. Katanya dia menghabiskan sebahagian besar masa setiap minggu untuk memeriksa akaun kewangannya bagi aktiviti yang tidak dibenarkan.

Aduan itu mendakwa bahawa rentetan pelanggaran data menunjukkan amalan keselamatan yang longgar. Tetapi usaha untuk meminta Samsung bertanggungjawab telah gagal. Para pelanggan tidak membuktikan bahawa mereka telah menderita secara khusus kerana pelanggaran data tersebut, Hakim Daerah Christine O’Hearn dari New Jersey menulis dalam satu keputusan pada 3 Januari. Maklumat orang ramai dicuri sepanjang masa, O’Hearn beralasan, dan tidak ada cara untuk mengetahui bahawa Allen atau orang lain telah mengalami kompromi identiti kerana pelanggaran data tersebut.

Samsung berhujah dalam dokumen undang-undang bahawa kerana maklumat seperti nombor Keselamatan Sosial dan nombor kad kredit tidak dicuri dalam pelanggaran tersebut, dan kerana mustahil untuk mengetahui sama ada maklumat pelanggaran data itu digunakan untuk tujuan jahat, plaintif tidak mempunyai kes. “Mahkamah mesti menolak tindakan undang-undang kelas pelanggaran data di mana Plaintif gagal ‘menyatakan secara mencukupi’ kerosakan ‘berpunca daripada pelanggaran data’,” tulis peguam syarikat itu dalam satu usul untuk membatalkan kes tersebut.

Kejadian seperti pelanggaran data Samsung telah menjadi biasa apabila orang ramai dan syarikat menyimpan lebih banyak maklumat dalam talian. Terdapat 3,158 pelanggaran data pada tahun 2024, meningkat 70% berbanding tahun 2021, yang mengakibatkan hampir 1.7 bilion notis dihantar kepada individu yang berpotensi terjejas, menurut satu laporan oleh Identity Theft Resource Center (ITRC).

Terdapat enam megapelanggaran pada tahun 2024, di mana sekurang-kurangnya 100 juta mangsa terjejas, menurut ITRC. Empat daripada pelanggaran tersebut boleh dicegah jika organisasi menggunakan pengesahan pelbagai faktor, kaedah keselamatan yang memerlukan pengguna memberikan lebih daripada satu bentuk pengesahan untuk mengakses akaun, menurut ITRC. Salah satu syarikat yang terlibat dalam megapelanggaran, Optum, subsidiari United Health, mengakuinya dalam satu pendengaran kongres pada Mei 2024.

Setiap pelanggaran data menjadikan pelanggaran selanjutnya lebih mungkin. Apabila penggodam mencuri maklumat peribadi, mereka boleh menggunakan maklumat tersebut untuk memasuki sistem syarikat lain dan melancarkan lebih banyak pelanggaran data. Itulah salah satu sebab yang mungkin mengapa bilangan pelanggaran data telah meningkat mendadak. Tetapi banyak syarikat yang dikompromi hanya dikenakan hukuman ringan—jika ada.

Walaupun syarikat awam dan lain-lain yang dikawal selia oleh kerajaan persekutuan menghadapi penalti untuk pelanggaran data, hanya kira-kira 7% daripada semua pelanggaran datang daripada syarikat tersenarai awam, menurut ITRC. Tiada undang-undang kebangsaan yang meliputi apa yang patut dilakukan oleh organisasi lain jika mereka telah dikompromi. “Kita tidak mempunyai undang-undang privasi sebenar, atau sebarang piawaian minimum yang seragam,” kata James Lee, presiden ITRC.

Apabila sebuah syarikat mengetahui bahawa data pelanggannya telah dikompromi, ia mungkin tidak perlu memaklumkan mereka tentang masalah tersebut. Undang-undang negeri menentukan apa yang perlu dilakukan oleh sebuah syarikat apabila maklumatnya telah diakses oleh pihak yang tidak dibenarkan. Dan di kebanyakan negeri, kata Lee, syarikat yang dikompromi boleh memutuskan sama ada terdapat risiko bahaya kepada individu. Jika ia menentukan bahawa tidak ada risiko, mereka tidak perlu menghantar notis. Walaupun mereka melakukannya, di banyak negeri syarikat itu menentukan apa yang dikatakan oleh notis tersebut. Ia boleh menolak untuk memaklumkan kepada pelanggan bagaimana maklumat itu dikompromi atau maklumat peribadi mana yang dicuri.

Sudah tentu, menghantar notis kepada pelanggan tidak membantu mereka banyak. Mereka boleh membekukan kredit mereka atau memantau akaun mereka dengan teliti, tetapi mereka tidak akan mendapat pampasan untuk masa mereka atau wang dikembalikan kerana maklumat mereka telah dikompromi. Untuk itu, mereka perlu menyaman, atau meminta seseorang melakukannya bagi pihak mereka. Tetapi amat sukar untuk berjaya menyaman sebuah syarikat untuk bantuan kewangan selepas pelanggaran data, kata Lee. Dengan begitu banyak serangan yang berbeza, hampir mustahil untuk mengetahui serangan mana yang menyebabkan masalah pelanggan.

Akibatnya, sedikit syarikat boleh dipertanggungjawabkan dari segi kewangan untuk pelanggaran data. Florida telah meluluskan undang-undang yang menyatakan bahawa syarikat tidak boleh disaman sama sekali untuk pelanggaran data jika mereka menunjukkan bahawa mereka telah melaksanakan prosedur keselamatan tertentu.

Namun pakar keselamatan mengatakan terdapat beberapa perkara mudah yang boleh dilakukan oleh syarikat untuk melindungi maklumat—dan banyak yang tidak melakukannya. Langkah-langkah ini termasuk menggunakan pengesahan pelbagai faktor, memastikan bahawa pekerja menukar kata laluan mereka dengan kerap, dan memastikan bahawa vendor dan syarikat lain yang mereka bekerjasama mempunyai langkah-langkah yang sesuai.

“Ia adalah satu kitaran di mana pelanggaran terdahulu memberi makan kepada pelanggaran masa hadapan,” kata Aaron Cookstra, pengarah pasukan risikan ancaman di Aon Cyber Solutions. “Tetapi kita tidak melihat syarikat mengambil langkah-langkah yang diperlukan untuk mengelakkan perkara itu menjadi masalah pada masa hadapan bagi mereka.”

Lee dari ITRC menantikan undang-undang privasi kebangsaan yang akan menetapkan piawaian minimum untuk kawalan keselamatan siber yang perlu dimiliki oleh syarikat dan apa yang perlu mereka lakukan apabila data mereka telah dikompromi. Sukar untuk menetapkan piawaian tersebut kerana penggodam semakin bijak, dan syarikat perlu sentiasa menukar prosedur keselamatan mereka untuk memastikan maklumat selamat. Tetapi walaupun mengatakan bahawa syarikat perlu melakukan sesuatu untuk melindungi maklumat pelanggan, kata Lee, akan menjadi satu langkah besar ke hadapan.

Artikel ini disediakan oleh pembekal kandungan pihak ketiga. SeaPRwire (https://www.seaprwire.com/) tidak memberi sebarang waranti atau perwakilan berkaitan dengannya.

Sektor: Top Story, Berita Harian

SeaPRwire menyampaikan edaran siaran akhbar secara masa nyata untuk syarikat dan institusi, mencapai lebih daripada 6,500 kedai media, 86,000 penyunting dan wartawan, dan 3.5 juta desktop profesional di seluruh 90 negara. SeaPRwire menyokong pengedaran siaran akhbar dalam bahasa Inggeris, Korea, Jepun, Arab, Cina Ringkas, Cina Tradisional, Vietnam, Thai, Indonesia, Melayu, Jerman, Rusia, Perancis, Sepanyol, Portugis dan bahasa-bahasa lain.