JRIT ICHI

เมื่อ “คน” คือหัวใจหลักในการป้องกันภัยไซเบอร์ องค์กรควรมีการจัดการรับมืออย่างไร

เมื่อเอ่ยถึงปัญหาภัยคุกคามไซเบอร์ที่เกิดขึ้นในองค์กร แต่ละฝ่ายอาจมุ่งเน้นไปยังเรื่องของเทคโนโลยีล้ำสมัยที่จะมาช่วยแก้ไขปัญหาภัยไซเบอร์ได้ทั้งหมด ซึ่งในความเป็นจริงแล้วแม้ว่าจะมีเทคโนโลยีที่ดี แต่ถ้าหากคนในองค์กร ยังไม่มีความรู้ ความเข้าใจในด้านของ Cybersecurity โอกาสที่จะถูกโจมตีทางไซเบอร์ก็สามารถเกิดขึ้นได้ตลอดเวลา

ดร.ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด กล่าวถึงภาพรวมปัญหาภัยไซเบอร์ที่เกิดขึ้นในประเทศไทยแบ่งได้ออกเป็น 3 ระดับด้วยกัน โดยในระดับที่ 1 ถือเป็นฐานที่ได้รับผลกระทบมากที่สุดคือประชาชน เนื่องจากไม่มีการสร้างการรับรู้ ความตระหนักในเรื่องภัยไซเบอร์ และยังไม่มีการฉีด Cyber Vaccination จนเกิดเป็นช่องโหว่ขนาดใหญ่ทำให้โดนโจมตีได้ง่าย ระดับที่ 2 คือองค์กร ซึ่งเป็นเป้าหมายอันดับแรกของผู้โจมตีที่จะแฮกข้อมูลแล้วเรียกค่าไถ่ สร้างความเสียหายให้แก่องค์กร และระดับที่ 3 คือ ระดับประเทศ โดยในปัจจุบันมีหน่วยงานที่คุ้มครองและมีกฎหมายที่เกี่ยวข้อง 4 ฉบับ ได้แก่ กฎหมายธุรกรรมทางอิเล็กทรอนิกส์, พ.ร.บ.คอมพิวเตอร์ 2560, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

“ในช่วงปีที่ผ่านมาการโจมตีภายในองค์กรเติบโตเพิ่มขึ้นถึง 2 เท่า ซึ่งนับเป็นมูลค่าความเสียหายรวมแล้วกว่าพันล้านบาท และแม้ว่าในระดับประเทศจะทำได้ดี แต่ในภาคประชาชนยังต้องเน้นเรื่อง Cyber Vaccination คือการให้ความรู้ภัยไซเบอร์แก่ประชาชน”

ใครเป็นเป้าหมายของการจู่โจมทางไซเบอร์

ภัยไซเบอร์ในช่วง 2-3 ปีที่ผ่านมามีรูปแบบการโจมตีที่เปลี่ยนแปลงไป โดยดร.ปริญญา กล่าวว่า ปัจจุบันผู้โจมตีไม่ได้เจาะจงหรือเลือกว่าจะโจมตีใคร หากใครมีช่องโหว่ให้สามารถแฮกเข้าระบบถือว่ามีโอกาสโดนโจมตีได้ จากเดิมในอดีตเน้นโจมตีกลุ่มสถาบันการเงินเป็นเป้าหมายหลัก แต่ตอนนี้โรงงานอุตสาหกรรม โรงงานผลิต องค์กรขนาดเล็ก ขนาดใหญ่ก็สามารถโดนโจมตีได้หมด โดยรูปแบบการโจมตีหลัก ๆ คือ Ransomware หรือ โปรแกรมเรียกค่าไถ่ ที่เจาะเข้าระบบเพื่อทำการเข้ารหัสและล็อกไฟล์เพื่อเรียกค่าไถ่ และ Business Email Compromised การโจมตีโดยการส่งอีเมลเพื่อหลอกให้โอนเงินจนก่อให้เกิดความเสียหายทางธุรกิจ

การรับมือภัยไซเบอร์ที่ดีที่สุดคือการสร้างการรับรู้แก่คนในองค์กร

ดร.ปริญญา กล่าวว่า ไม่มีวิธีการป้องกันภัยไซเบอร์ที่จะทำให้เรารอดพ้นหรือปลอดภัยจากการโจมตีได้ทั้งหมด เพียงแต่ว่าเมื่อเกิดเหตุการณ์การโจมตีทางไซเบอร์ขึ้น องค์กรและคนในองค์กรจะมีภูมิคุ้มกันทางไซเบอร์มากพอหรือไม่ ดังนั้นเราจำเป็นต้องมีการเตรียมพร้อมรับ ปรับตัวต่อการโจมตี และเร่งตอบสนองเมื่อถูกคุกคามให้ระบบสามารถกลับมาดำเนินการได้ปกติ สิ่งเหล่านี้เรียกว่า Cyber Resilience

“เราไม่มีทางที่รอดจากภัยไซเบอร์ไปได้ 100% แต่ถ้าเราเปลี่ยนจากคำว่าจะป้องกันอย่างไร มาเป็นควรตอบสนองอย่างไรเมื่อเกิดการโจมตีทางไซเบอร์ ก็จะช่วยลดความเสียหายที่อาจเกิดขึ้นได้”

ดร.ปริญญา กล่าวเพิ่มเติมว่า ต่อจากนี้ไปเรื่องของการโจมตีทางไซเบอร์จะกลายมาเป็น New Normal เป็นเรื่องที่ทุกคนควรให้ความสำคัญ เพราะท้ายที่สุดแล้ว เราไม่สามารถห้ามภัยไซเบอร์ไม่ให้คุกคามมาหาเราได้ แต่เราสามารถเตรียมตัวเพื่อลดความเสียหายจากการโจมตีทางไซเบอร์ได้
และองค์กรสามารถเตรียมพร้อมเพื่อให้เกิดความเสียหายน้อยที่สุดจากภัยไซเบอร์ โดยเริ่มจากการสร้างการรับรู้เรื่องของภัยไซเบอร์ให้แก่บุคลากร เพื่อเพิ่มภูมิคุ้มกันทางไซเบอร์โดยเฉพาะสภาวะจิตใจของคนในองค์กรไม่ให้ตกเป็นเหยื่อ และเกิดความเสียหายน้อยลง

ใครที่จะมีบทบาทในการสร้างภูมิคุ้มกันทางไซเบอร์ในองค์กร

ดร.ปริญญา กล่าวว่า การสร้างภูมิคุ้มกันทางไซเบอร์ไม่ใช่แค่หน้าที่ของฝ่ายใดฝ่ายหนึ่ง แต่ควรเป็นเรื่องของผู้บริหารระดับสูงที่ต้องหาแนวทางเพื่อแก้ไขปัญหา หรือกำหนดกฎระเบียบการเตรียมพร้อมรับมือกับการโจมตีทางไซเบอร์ในองค์กร เพื่อให้บุคลากรได้ปฏิบัติตามให้เป็นไปในทิศทางเดียวกัน

หากเป็นไปได้องค์กรควรมีการสร้างการรับรู้ด้าน Cybersecurity ให้แก่บุคลากรผ่านการทำ Cyber Drill หรือก็คือการจำลองรูปแบบการโจมตีทางไซเบอร์ เพื่อให้องค์กรและคนในองค์กรซ้อมรับมือก่อนเกิดเหตุการณ์จริง เพื่อเช็กความพร้อมในองค์กรว่ามีการรับมือที่มากเพียงพอหรือยัง

“การป้องกันภัยไซเบอร์ที่ดีไม่ใช่แค่เทคโนโลยีที่เกี่ยวข้องกับ Cybersecurity แต่เป็นเรื่องของบุคลากร กระบวนการ และเทคโนโลยี ที่ควรทำมาพร้อม ๆ กันเพื่อสร้างเกราะป้องกันที่ดีที่สุด”

ดร.ปริญญา กล่าวเพิ่มเติมว่า การนำเงินไปทุ่มให้กับเทคโนโลยีในองค์กรเพียงอย่างเดียวอาจไม่ใช่ทางออกที่ถูกต้องนัก เพราะหากผู้โจมตีต้องการบุกรุกเข้ามา พวกเขาก็จะหาช่องโหว่ของเทคโนโลยีเจาะเข้ามาจนได้ แต่ถ้าองค์กรมีการให้ความรู้แก่บุคลากร และมีกระบวนการรับมือที่ถูกต้องเหมาะสมต่างหากถึงเป็นเรื่องที่ควรให้ความสำคัญ

ความมั่นคงปลอดภัยคือพื้นฐานของการป้องกันภัยไซเบอร์และความเป็นส่วนตัว

ดร.ปริญญา กล่าวว่า องค์กรสามารถสร้าง ความมั่นคงปลอดภัยด้วยตนเองได้ แต่หากต้องการความเป็นส่วนตัวควบด้วย ก็ต้องทำให้ฐานให้มีความมั่นคงปลอดภัยเสียก่อน ดังประโยคที่ว่า “You can get security without privacy, but you can’t get privacy without security” หมายถึงทุกอย่างต้องอยู่บนพื้นฐานความมั่นคงปลอดภัยก่อนที่จะไปถึงการป้องกันข้อมูลส่วนบุคคล

โดยองค์กรสามารถนำหลักการ CIA Triad มาปรับพื้นฐานให้แก่องค์กรได้ ซึ่งประกอบด้วยกัน 3 ส่วน Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (สภาพพร้อมใช้งานของระบบ)

อย่างไรก็ตามแม้ว่าการคุกคามทางไซเบอร์จะทวีคูณความรุนแรง แต่องค์กรก็ยังต้องเดินหน้าต่อไป การป้องกันทางเทคโนโลยีแค่อย่างเดียวอาจไม่ใช่คำตอบที่ถูกต้อง 100% ซึ่งทางดร.ปริญญา ได้ให้ข้อแนะนำในการบริหารจัดการองค์กรสำหรับการเตรียมพร้อมรับมือไว้ว่า องค์กรควรทำ Business Continuity Management หรือการกำหนดแนวทางนโยบายที่เป็นมาตรฐานขององค์กร เพื่อให้สามารถเดินหน้าและปฏิบัติงานต่อไปได้แม้ว่าจะถูกโจมตีทางไซเบอร์ ให้ธุรกิจกลับคืนสู่สภาวะปกติพร้อมรับกับการทำงานต่อไปได้

ทั้งนี้ ดร.ปริญญา ยังกล่าวทิ้งท้ายในเรื่องของกรอบการรักษาความปลอดภัยทางไซเบอร์ โดยนำมาตรฐานสากลอย่าง NIST Cybersecurity Framework เพื่อให้องค์กรนำมาปรับใช้เตรียมความพร้อม ดังนี้

Identify – การระบุความเสี่ยงและกำหนดขอบเขตเพื่อประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์
Protect – การกำหนดมาตรฐานเพื่อควบคุมผลกระทบและป้องกันรักษาความปลอดภัยทางไซเบอร์ให้อยู่ในระดับความเสี่ยงต่ำมากที่สุด
Detect – การติดตาม ตรวจจับความผิดปกติทางไซเบอร์ เพื่อลดความเสี่ยงจากการถูกโจมตี
Respond – กำหนดแนวทางกับการรับมือและมาตรการการฟื้นฟูจากความเสียหายที่เกิดขึ้นจากภัยไซเบอร์
Recovery – การกำหนดมาตรการไม่ว่าจะการฟื้นฟูระบบ การสื่อสารภายในองค์กรเพื่อให้รับมือกับภัยไซเบอร์ที่เกิดขึ้นให้สามารถกลับมาทำงานได้ตามปกติเช่นเดิม