เตือน 12 จุดอ่อนองค์กรเสี่ยงภัยไซเบอร์

1969

เป้าหมายของการนำประเทศไทยสู่การเป็น Thailand 4.0  สิ่งที่ทุกองค์กรต้องเริ่ม คือการทำDigital Transforms แปลงการทำงานจากอนาล็อก สู่ดิจิทัล  ที่จะเพิ่มประสิทธิ์ภาพการทำงานได้มากขึ้นมหาศาล

แต่แม้การดิจิทัลคือโอกาสที่ทุกคนต้องเดินเข้าหา ก็ต้องไม่ลืมว่า ความปลอดภัยบนโลกไซเบอร์ คือสิ่งที่ยังไม่มีบริษัทรักษาความปลอดภัยใดๆ จะให้การดูแลได้ นอกจากเราต้องป้องกัน  สกัดจุดอ่อนของตัวเอง

ริชาร์ด คลาร์ค ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท Good Harbor LLC บริษัทที่ปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ และการจัดการความเสี่ยงระดับโลก  มีคำเตือนถึง 12 จุดอ่อน ที่ทุกองค์กรหากต้องการปรับตัวสู่การเป็นองค์กรดิจิทัล ต้องระวัง

ริชาร์ด คลาร์ด มีประวัติเป็นผู้ให้คำปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ ความเสี่ยง และวิกฤติการณ์ ให้กับซีอีโอ คณะกรรมการบริษัท และผู้บริหารของบริษัทระดับ Fortune 500 ในสหรัฐอเมริกา รวมทั้งผู้นำประเทศอีกหลายราย  อดีตผู้ทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และทำงานในหน่วยงานความมั่นคงของประเทศสหรัฐอเมริกามานานกว่า 30 ปี เคยทำงานในทำเนียบขาวยาวนานถึง 10 ปี เป็นที่ปรึกษาพิเศษด้านความปลอดภัยในโลกไซเบอร์ให้กับประธานาธิบดีสหรัฐฯ ถึง 3 ท่าน ในเหตุการณ์ 9/11 เขาทำหน้าที่เป็นผู้จัดการวิกฤตการณ์แห่งชาติ เขาได้รับสมญานามว่า “Cyber-Czar” หรือ ผู้ทรงอิทธิพลในโลกไซเบอร์ เป็นเจ้าของผลงานหนังสือชื่อดัง “Cyber War” ซึ่งเป็นผลงานที่ได้รับการชื่นชมว่าได้สร้างปรากฎการณ์ใหม่ให้กับวงการไซเบอร์

                12 จุดอ่อน ที่ริชาร์ด คลาร์ด เตือนไว้ คือ

  1. คณะกรรมการบริหาร และผู้บริหารองค์กร ไม่มีความเข้าใจเรื่องความปลอดภัยทางไซเบอร์

การทำหน้าที่ของ CIO (Chief Information Officer)ผู้บริหารด้านไอที ถูกทิ้งให้ดูแลเพียงลำพัง ขณะที่ CEO พูดกันคนละภาษา ไม่เข้าใจกัน ทั้งที่ความปลอดภัยทางไซเบอร์ควรจัดให้อยู่ในเรื่องเดียวกับการบริหารความเสี่ยง

  1. รูปแบบโครงสร้างการจัดการขององค์กรมีปัญหา

หลายองค์กรวางโครงสร้างการทำงานของ CIO ให้ดูแลเฉพาะเรื่องการใช้งานด้านไอทีขององค์กร แต่ไม่ได้ดูแลเรื่องความปลอดภัย  ซึ่งที่ถูกต้อง CIO ต้องดูแลด้านความปลอดภัยไซเบอร์ และต้องคุยตรงถึง CEO และ CEO ก็ควรเป็นหัวหน้าทีมในเรื่องนี้โดยตรง

  1. องค์กรมองเรื่องไอที เพียงแค่การลดต้นทุนการบริหาร

องค์กรยอมลงทุนในการวางระบบไอทีให้ช่วยพัฒนาการทำงานให้มีประสิทธิภาพมากขึ้น  ลดต้นทุนการทำงาน แต่กับให้เงินลงทุนเพียง 3-5% ของงบไอทีทั้งหมด ในการวางระบบความปลอดภัย  ซึ่งคงไม่มีทางที่จะทำให้ระบบเน็ตเวิร์คขององค์กรมีความปลอดภัยด้วยเงินเพียงเท่านี้ โดยปกติองค์กรที่มีการลงทุนด้านความปลอดภัยทางไซเบอร์จะใช้เงินลงทุนราว 7-8% ของงบไอที

  1. ขาดบุคลากรที่มีความรู้ด้านความปลอดภัยทางไซเบอร์

ปัจจุบันทั่วโลก มีตำแหน่ง Cyber Security ว่างอยู่ถึง 1 แสนตำแหน่ง ทั้งในสหรัฐอเมริกา ยุโรป จีน รวมถึงประเทศไทยที่ยังไม่มีการผลิตบุคลากรด้านนี้ออกมา เราคงไม่สามารถใช้ใครก็ได้ที่ทำงานด้านไอที มาดูแลด้านความปลอดภัยไซเบอร์

  1. องค์กรส่วนใหญ่ยังใช้อุปกรณ์ไอทีทั้งซอฟท์แวร์ และฮาร์ดแวร์รุ่นโบราณ

การลงทุนเพื่อเปลี่ยนอุปกรณ์ไอทีอาจเป็นการลงทุนที่หนักหนาของหลายๆ องค์กรในสภาพเศรษฐกิจเช่นนี้ แต่ที่ผ่านมา ไวรัสไซเบอร์มีประวัติการโจมตีบริษัทที่ให้ซอฟท์แวร์ และฮาร์ดแวร์โบราณ เป็นหลัก เพราะอุปกรณ์เหล่านี้เชื้อเชิญให้ไวรัสมาโจมตี  เพราะเมื่อผู้ผลิตออก Software Security ใหม่ๆ ออกมา อุปกรณ์โบราณเหล่านี้ก็ไม่สามารถจะอัพเดดได้

  1. เครือข่ายคอมพิวเตอร์เป็นรูปแบบแนวราบ

ผู้บริหารองค์กรส่วนใหญ่ไม่เคยรู้ว่าระบบเน็ตเวิร์ดของตนเป็นอย่างไร ไม่มีการแบ่งเป็นเซ็กเมนต์  ไม่มีไฟร์วอลล์ จากสถิติพบว่า ปัจจุบัน มีอุปกรณ์ดีไวซ์เชื่อมต่อเข้ากับเน็ตเวิร์คขององค์กรมากกว่า 20 ดีไวซ์ แต่ผู้บริหารไม่เคยทราบว่าดีไวซ์เหล่านี้อยู่ที่ไหน เป็นจุดอ่อนที่น่ากลัว

  1. ไม่มีการเข้ารหัสป้องกันเน็ตเวิร์ค

สิ่งที่พบส่วนใหญ่ องค์กรมีเพียงการเข้ารหัสอีเมล์เท่านั้น แต่ไม่ได้เข้ารหัสในทุกช่องทางที่จะเข้าสู่เน็ตเวิร์ค ด้วยความคิดที่ว่า หากเข้ารหัสทุกช่องทางจะทำให้การทำงานช้าลง ยุ่งยาก แต่ในความจริงแล้ว ปัจจุบัน ระบบที่พัฒนาขึ้นทำให้การเข้ารหัสไม่ใช่เรื่องยุ่งยากอีกต่อไป

  1. องค์กรส่วนใหญ่ยังใช้ยุทธศาสตร์กั้นรั้วป้องกันเน็ตเวิร์คของตนเอง

วันนี้การเชื่อมต่อเน็ตเวิร์คไม่ได้ใช้การปลั๊กอินเข้ากับคอมพิวเตอร์ในองค์กรเหมือนก่อน แต่ยุคที่ทุกคนมีดีไวซ์ ทั้งสมาร์ทโฟน แท็บเล็ต โน้ตบุ๊ก สามารถเชื่อมต่อเน็ตเวิร์คได้ทุกที่ผ่านคลาวด์ ดังนั้น การขุดคูน้ำ หรือล้อมรั้วตั้งกำแพงไฟร์วอลล์เหมือนในอดีต ควรเลิกใช้ได้แล้ว

  1. องค์กรไม่มีการวาง Board Plan

ทันทีที่มีองค์กรถูกโจมตีทางไซเบอร์ ยังไม่มีการวางแผนว่าจะต้องดำเนินการอย่างไร ไม่ใช่เป็นหน้าที่ของ CIO หรือผู้บริหารฝ่ายไอทีเพียงลำพัง แต่ผู้บริหารทั้งทีมต้องแบ่งหน้าที่วางยุทธศาสตร์ ฝ่ายบริหารและฝ่ายไอทีดูแลการแก้ไขปัญหาการโจมตี  ฝ่ายการตลาด ฝ่ายขาย ต้องทำความเข้าใจกับลูกค้า  รวมถึงฝ่ายประชาสัมพันธ์ ทำความเข้าใจกับสื่อมวลชน เป็นต้น  เพื่อไม่ให้การโจมลุกลามสร้างผลกระทบกับองค์กรเป็นวงกว้าง

  1. องค์กรยังไม่เคยฝึกตามแผนที่วางไว้

บางองค์กรอาจมีการวางแผนการรับมือการโจมตีทางไซเบอร์ แต่ส่วนใหญ่ไม่เคยมีการซักซ้อมแผน เหมือนการซ้อมอัคคีภัยที่ทำกันเป็นประจำทุกปี  เมื่อไม่มีการซ้อม การทดลอง ก็ไม่มีทางที่จะใช้ได้ผล

  1. องค์กรไม่มีแผนสำรอง

ทันทีที่มีการโจมตีทางไซเบอร์  การเรียกค่าไถ่   ข้อมูลติดไวรัส ทำให้ข้อมูลสำรองไม่สามารถนำมาใช้ได้ หลายๆ องค์กรยังไม่มีแผนสำรองว่า จะแก้ไขปัญหาได้อย่างไร

  1. ยังไม่มีความร่วมมือเรื่อง Cyber Security

ทั้งความร่วมมือกันในภาคธุรกิจเดียวกัน หรือการร่วมมือระหว่างภาคธุรกิจกับภาครัฐ ในเรื่อง Cyber Security ทุกฝ่ายต้องมีการแลกเปลี่ยนข้อมูล ให้ความรู้เรื่องความเสี่ยง หรือภัยคุกคามใหม่ๆ แบ่งปันข้อมูลกัน และทำงานร่วมกันระหว่างภาคเอกชนกับภาครัฐอย่างใกล้ชิด

ริชาร์ด คลาร์ค กล่าวสรุปว่า วันนี้ไม่มีที่ใดในโลกปลอดภัยจากการโจมตีทางไซเบอร์  ทุกประเทศยังมีภารกิจอีกมากมายที่จะสร้างความปลอดภัย หากเราทุกคนได้รับคุโณปการจากอินเทอร์เน็ต ก็ควรจะทำให้ไซเบอร์สเปซมีความปลอดภัย   IoT (Internet of  Things) กำลังสร้างให้เกิดพื้นที่ไซเบอร์ใหม่ๆ เพิ่มขึ้น ก็หมายถึงพื้นที่การโจมตีก็มีมากขึ้นตามเช่นกัน