အိုကလာဟိုးမား နေထိုင်သူ Ronald Allen သည် ၂၀၂၂ ခုနှစ်တွင် ကိုရီးယား အီလက်ထရွန်းနစ် ကုမ္ပဏီ Samsung ထံမှ နာမည်များ၊ အီးမေးလ်လိပ်စာများနှင့် မွေးသက္ကရာဇ်များကဲ့သို့သော သုံးစွဲသူဒေတာများ ခိုးယူခံရပြီးနောက် သူ၏ဘဝပိုမိုခက်ခဲလာကြောင်း ပြောကြားသူ လူအများထဲမှ တစ်ဦးဖြစ်သည်။
Allen သည် ဒေတာခိုးယူမှုအကြောင်း သတင်းပေးပို့ခြင်းခံရပြီးနောက်၊ တစ်စုံတစ်ဦးသည် သူ၏နာမည်ဖြင့် အကောင့်ဖွင့်ရန် ကြိုးစားခဲ့ကြောင်း ပြောကြားသည်။ ဘဏ်တစ်ခုက သူ၏ ခရက်ဒစ်ကတ် အချက်အလက်များကို Dark Web တွင် တွေ့ရှိခဲ့ကြောင်း သူ့အား အသိပေးခဲ့သည်။ Dark Web သည် ပြစ်မှုကျူးလွန်သူများသည် ပုဂ္ဂိုလ်ရေး အချက်အလက်များကို မကြာခဏ ဈေးရောင်းဝယ်လုပ်ကြသည့် အင်တာနက်၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ Allen က ထိုအချိန်မှစ၍ အကောင့်များ ပယ်ဖျက်ခြင်း၊ ကြေးငွေများ ငြင်းဆိုခြင်းနှင့် သူ၏စကားဝှက်များ ပြောင်းလဲခြင်းတို့အတွက် နာရီများစွာ ဖုန်းပေါ်တွင် ကုန်ဆုံးခဲ့ရကြောင်း၊ သူသည် သူ၏ဘဏ္ financial ငွေကြေးအကောင့်များတွင် တရားမဝင်လှုပ်ရှားမှုများ ရှိမရှိ စစ်ဆေးရန် တစ်ပတ်တိုင်း အချိန်အတိုင်းအတာတစ်ခု ကုန်ဆုံးနေကြောင်း ပြောကြားသည်။
တရားစွဲဆိုမှုတွင် ဒေတာခိုးယူမှုများစွာသည် လုံခြုံရေးလုပ်ထုံးလုပ်နည်းများ ပေါ့လျော့ခြင်း၏ လက္ခဏာဖြစ်ကြောင်း စွပ်စွဲထားသည်။ သို့သော် Samsung ကို တာဝန်ခံစေရန် ကြိုးစားမှုမှာ မအောင်မြင်ခဲ့ပေ။ သုံးစွဲသူများသည် ဒေတာခိုးယူမှုကြောင့် သီးသန့် ထိခိုက်ခဲ့ကြောင်း သက်သေမပြနိုင်ခဲ့ကြောင်း New Jersey ပြည်နယ်ရှိ ခရိုင်တရားသူကြီး Christine O’Hearn က ဇန်နဝါရီ ၃ ရက်တွင် ရေးသားထားသည်။ လူများ၏ အချက်အလက်များကို အမြဲခိုးယူနေကြပြီး၊ Allen သို့မဟုတ် အခြားသူများ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များ ခိုးယူခံရခြင်းကြောင့် ထိခိုက်ခဲ့ကြောင်း သိရှိနိုင်သည့် နည်းလမ်းမရှိကြောင်း O’Hearn က ဆင်ခြင်သုံးသပ်ခဲ့သည်။
Samsung က တရားရုံးတင် စာတမ်းများတွင် လူမှုလုံခြုံရေး နံပါတ်များနှင့် ခရက်ဒစ်ကတ် နံပါတ်များကဲ့သို့သော အချက်အလက်များကို ဒေတာခိုးယူမှုတွင် ခိုးယူခြင်းမရှိကြောင်းနှင့် ဒေတာခိုးယူမှု အချက်အလက်များကို ပြစ်မှုကျူးလွန်ရန် အသုံးပြုခဲ့သည် ဟု သိရှိနိုင်ခြင်းမရှိသောကြောင့် တရားလိုများတွင် အမှုမရှိကြောင်း ငြင်းဆိုခဲ့သည်။ ကုမ္ပဏီ၏ ရှေ့နေများက ပယ်ချရန် တင်သွင်းသည့် တင်ပြချက်တွင် “တရားရုံးတစ်ရုံးသည် တရားလိုများက ဒေတာခိုးယူမှုကြောင့် ‘ဖြစ်ပေါ်လာသည့်’ ပျက်စီးဆုံးရှုံးမှုများကို ‘လုံလောက်စွာ စွပ်စွဲ’ ပြောဆိုရန် ကျရှုံးပါက ဒေတာခိုးယူမှု အုပ်စုအမှုကို ပယ်ချရမည်” ဟု ရေးသားခဲ့သည်။
လူများနှင့် ကုမ္ပဏီများသည် အွန်လိုင်းတွင် သတင်းအချက်အလက်များ ပိုမိုသိမ်းဆည်းလာသည်နှင့်အမျှ Samsung ဒေတာခိုးယူမှုကဲ့သို့သော ဖြစ်ရပ်များသည် လူသိများလာခဲ့သည်။ ၂၀၂၄ ခုနှစ်တွင် ဒေတာခိုးယူမှု ၃၁၅၈ ကြိမ်ရှိခဲ့ပြီး ၂၀၂၁ ထက် ၇၀% တိုးလာခဲ့ပြီး ထိခိုက်နိုင်သည့် ပုဂ္ဂိုလ်များထံ သတင်းအကြောင်းကြားစာ ၁.၇ ဘီလီယံခန့် ပေးပို့ခဲ့ကြောင်း Identity Theft Resource Center (ITRC) ၏ ထုတ်ပြန်ချက်အရ သိရသည်။
ITRC အရ ၂၀၂၄ ခုနှစ်တွင် သားကောင် ၁၀၀ သန်းကျော် ထိခိုက်ခဲ့သည့် megabreaches ခြောက်ကြိမ်ရှိခဲ့သည်။ ထိုခိုးယူမှုများအနက် လေးကြိမ်မှာ องค์กรများက multi-factor authentication ကို အသုံးပြုခဲ့ပါက ကာကွယ်နိုင်ခဲ့မည်ဖြစ်ကြောင်း ITRC က ပြောကြားသည်။ multi-factor authentication ဆိုသည်မှာ သုံးစွဲသူများအနေဖြင့် အကောင့်ဝင်ရောက်ရန် အသိအမှတ်ပြုခြင်း နည်းလမ်းတစ်ခုထက် ပိုမိုပေးရန် လိုအပ်သည့် လုံခြုံရေးနည်းလမ်းဖြစ်သည်။ megabreach တွင် ပါဝင်သည့် ကုမ္ပဏီများအနက် တစ်ခုဖြစ်သော Optum (United Health ၏ လက်အောက်ခံကုမ္ပဏီ) က ၂၀၂၄ ခုနှစ် မေလတွင် ကွန်ဂရက် ကြားနာပွဲတွင် ထိုကဲ့သို့ ၀န်ခံခဲ့သည်။
ဒေတာခိုးယူမှုတိုင်းသည် နောက်ထပ် ဒေတာခိုးယူမှုများ ပိုမိုဖြစ်ပေါ်လာစေသည်။ ဟက်ကာများသည် ပုဂ္ဂိုလ်ရေး အချက်အလက်များကို ခိုးယူသောအခါ၊ ထိုအချက်အလက်များကို အသုံးပြု၍ အခြားကုမ္ပဏီများ၏ စနစ်များထဲသို့ ဝင်ရောက်ပြီး ဒေတာခိုးယူမှုများ ပိုမို စတင်နိုင်သည်။ ဒေတာခိုးယူမှု ပမာဏ တိုးများလာခြင်း၏ အကြောင်းရင်း တစ်ခု ဖြစ်နိုင်သည်။ သို့သော် ထိခိုက်ခံရသော ကုမ္ပဏီများစွာသည် ပြစ်ဒဏ် နည်းပါးစွာသာ ခံရသည် – ပြစ်ဒဏ်ပေးခြင်း ရှိလျှင်တောင်။
အများပြည်သူ ကုမ္ပဏီများနှင့် ဖက်ဒရယ်အစိုးရက ထိန်းချုပ်ထားသော အခြားကုမ္ပဏီများသည် ဒေတာခိုးယူမှုအတွက် တာဝန်ခံရမည် ဖြစ်သော်လည်း၊ ဒေတာခိုးယူမှု အားလုံး၏ ၇% ခန့်သာ အများပြည်သူ ကုမ္ပဏီများထံမှ ဖြစ်ကြောင်း ITRC က ပြောကြားသည်။ အခြားအဖွဲ့အစည်းများ ထိခိုက်ခံရပါက လုပ်ဆောင်ရမည့် နိုင်ငံလုံးဆိုင်ရာ ဥပဒေ မရှိပေ။ “ကျွန်ုပ်တို့တွင် တကယ့် ကိုယ်ရေးကိုယ်တာ လုံခြုံရေး ဥပဒေ သို့မဟုတ် တန်းတူညီမျှသော အနိမ့်ဆုံး စံချိန်စံညွှန်းများ မရှိပါ” ဟု ITRC ဥက္ကpresident James Lee က ပြောကြားသည်။
ကုမ္ပဏီတစ်ခုသည် ၎င်း၏ သုံးစွဲသူများ၏ ဒေတာများ ထိခိုက်ခံရကြောင်း သိရှိသောအခါ၊ ထိုပြဿနာအကြောင်း သတင်းပေးပို့ရန် မလိုအပ်တော့ပေ။ ကုမ္ပဏီတစ်ခုသည် တရားမဝင်သူများက ၎င်း၏ အချက်အလက်များကို ဝင်ရောက်ခဲ့ပါက လုပ်ဆောင်ရမည့်အရာများကို ပြည်နယ်ဥပဒေများက ဆုံးဖြတ်သည်။ Lee က ပြည်နယ်အများစုတွင် ထိခိုက်ခံရသော ကုမ္ပဏီသည် ပုဂ္ဂိုလ်များအတွက် ထိခိုက်နိုင်ခြေ ရှိမရှိ ဆုံးဖြတ်နိုင်ကြောင်း ပြောကြားသည်။ ထိခိုက်နိုင်ခြေ မရှိဟု ၎င်းက ဆုံးဖြတ်ပါက၊ သတင်းအကြောင်းကြားစာများ ပေးပို့ရန် မလိုအပ်ပေ။ ပေးပို့ပါကတောင်၊ ပြည်နယ်အများစုတွင် ကုမ္ပဏီက ထိုသတင်းအကြောင်းကြားစာများ ဘာပြောရမည်ကို ဆုံးဖြတ်သည်။ အချက်အလက်များကို မည်သို့ ခိုးယူခဲ့သည် သို့မဟုတ် ခိုးယူခံရသည့် ပုဂ္ဂိုလ်ရေး အချက်အလက်များမှာ အဘယ်နည်း ဆိုသည်ကို သုံးစွဲသူများအား ပြောပြရန် ငြင်းဆိုနိုင်သည်။
သဘာဝကျကျ၊ သုံးစွဲသူများထံ သတင်းအကြောင်းကြားစာ ပေးပို့ခြင်းက သူတို့အတွက် အကူအညီ မများပေ။ သူတို့သည် ၎င်းတို့၏ ခရက်ဒစ်ကို တားဆီးနိုင်သည် သို့မဟုတ် ၎င်းတို့၏ အကောင့်များကို တင်းကြပ်စွာ စောင့်ကြည့်နိုင်သော်လည်း၊ ၎င်းတို့၏ အချက်အလက်များ ခိုးယူခံရခြင်းကြောင့် ၎င်းတို့၏ အချိန် သို့မဟုတ် ပြန်အမ်းငွေများ ရရှိမည် မဟုတ်ပေ။ ထိုအတွက် တရားစွဲရန် သို့မဟုတ် တစ်စုံတစ်ဦးက ကိုယ်စား တရားစွဲဆိုရန် လိုအပ်သည်။ သို့သော် ဒေတာခိုးယူမှု ပြီးနောက် ကုမ္ပဏီတစ်ခုကို ဘဏ္ financial ငွေကြေး လျော်ကြေးအတွက် အောင်မြင်စွာ တရားစွဲဆိုရန် အလွန်ခက်ခဲကြောင်း Lee က ပြောကြားသည်။ တိုက်ခိုက်မှုများစွာ ရှိသောကြောင့် သုံးစွဲသူ၏ ပြဿနာများကို မည်သည့်တိုက်ခိုက်မှုက ဖြစ်စေသည်ကို သိရန် လိုလိုသာသာ မဖြစ်နိုင်ပေ။
ရလဒ်အနေဖြင့် ဒေတာခိုးယူမှုများအတွက် ကုမ္ပဏီအနည်းငယ်ကိုသာ ဘဏ္ financial ငွေကြေး တာဝန်ခံစေနိုင်သည်။ Florida ပြည်နယ်က ကုမ္ပဏီများသည် လုံခြုံရေး လုပ်ထုံးလုပ်နည်းများ သတ်မှတ်ခဲ့ပါက ဒေတာခိုးယူမှုအတွက် တရားမစွဲနိုင်ကြောင်း ပြဌာန်းထားသည်။
သို့သော် လုံခြုံရေး ကျွမ်းကျင်သူများက ကုမ္ပဏီများသည် အချက်အလက်များ ကာကွယ်ရန် လွယ်ကူသော အရာများ ရှိကြောင်းနှင့် ကုမ္ပဏီများစွာက ထိုအရာများကို မလုပ်ဆောင်ကြောင်း ပြောကြားသည်။ ထိုအဆင့်များတွင် multi-factor authentication ကို အသုံးပြုခြင်း၊ ၀န်ထမ်းများသည် ၎င်းတို့၏ စကားဝှက်များကို မကြာခဏ ပြောင်းလဲနေကြောင်း သေချာစေခြင်းနှင့် ၎င်းတို့နှင့် လုပ်ကိုင်သော ပြင်ပပေးသွင်းသူများနှင့် အခြားကုမ္ပဏီများတွင် သင့်တော်သော စံနှုန်းများ ရှိကြောင်း သေချာစေခြင်းတို့ ပါဝင်သည်။
“ယခင် ခိုးယူမှုများက နောက်ပိုင်း ခိုးယူမှုများကို ဖြစ်ပေါ်စေသည့် သံသရာ တစ်ခုလိုပါပဲ” ဟု Aon Cyber Solutions တွင် ခြိမ်းခြောက်မှု ထောက်လှမ်းရေးအဖွဲ့ အရာရှိ Aaron Cookstra က ပြောကြားသည်။ “သို့သော် ကုမ္ပဏီများသည် ၎င်းတို့၏ အနာဂတ်တွင် ပြဿနာ ဖြစ်လာနိုင်သည့် အခြေအနေကို ရှောင်ရှားရန် လိုအပ်သော လုပ်ဆောင်မှုများကို လုပ်ဆောင်ကြသည်ကို မတွေ့ရပါ”
ITRC ၏ Lee သည် ကုမ္ပဏီများတွင် လုံခြုံရေး ကာကွယ်မှုများနှင့် ၎င်းတို့၏ ဒေတာများ ခိုးယူခံရပါက လုပ်ဆောင်ရမည့် အရာများကို သတ်မှတ်ထားသည့် နိုင်ငံလုံးဆိုင်ရာ ကိုယ်ရေးကိုယ်တာ လုံခြုံရေး ဥပဒေကို မျှော်လင့်နေသည်။ ဟက်ကာများ ပိုမို ကျွမ်းကျင်လာသောကြောင့် ထိုစံချိန်စံညွှန်းများ သတ်မှတ်ရန် ခက်ခဲသည်။ သို့သော် ကုမ္ပဏီများသည် သုံးစွဲသူများ၏ အချက်အလက်များ ကာကွယ်ရန် တစ်စုံတစ်ရာ လုပ်ဆောင်ရမည်ဟု ပြောဆိုခြင်းသည်ပင် ትွင် အခြမ်းကြီး တစ်ခုဖြစ်လိမ့်မည်ဟု Lee က ပြောကြားသည်။