เป้าหมายของการนำประเทศไทยสู่การเป็น Thailand 4.0 สิ่งที่ทุกองค์กรต้องเริ่ม คือการทำDigital Transforms แปลงการทำงานจากอนาล็อก สู่ดิจิทัล ที่จะเพิ่มประสิทธิ์ภาพการทำงานได้มากขึ้นมหาศาล
แต่แม้การดิจิทัลคือโอกาสที่ทุกคนต้องเดินเข้าหา ก็ต้องไม่ลืมว่า ความปลอดภัยบนโลกไซเบอร์ คือสิ่งที่ยังไม่มีบริษัทรักษาความปลอดภัยใดๆ จะให้การดูแลได้ นอกจากเราต้องป้องกัน สกัดจุดอ่อนของตัวเอง
ริชาร์ด คลาร์ค ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท Good Harbor LLC บริษัทที่ปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ และการจัดการความเสี่ยงระดับโลก มีคำเตือนถึง 12 จุดอ่อน ที่ทุกองค์กรหากต้องการปรับตัวสู่การเป็นองค์กรดิจิทัล ต้องระวัง
ริชาร์ด คลาร์ด มีประวัติเป็นผู้ให้คำปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ ความเสี่ยง และวิกฤติการณ์ ให้กับซีอีโอ คณะกรรมการบริษัท และผู้บริหารของบริษัทระดับ Fortune 500 ในสหรัฐอเมริกา รวมทั้งผู้นำประเทศอีกหลายราย อดีตผู้ทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และทำงานในหน่วยงานความมั่นคงของประเทศสหรัฐอเมริกามานานกว่า 30 ปี เคยทำงานในทำเนียบขาวยาวนานถึง 10 ปี เป็นที่ปรึกษาพิเศษด้านความปลอดภัยในโลกไซเบอร์ให้กับประธานาธิบดีสหรัฐฯ ถึง 3 ท่าน ในเหตุการณ์ 9/11 เขาทำหน้าที่เป็นผู้จัดการวิกฤตการณ์แห่งชาติ เขาได้รับสมญานามว่า “Cyber-Czar” หรือ ผู้ทรงอิทธิพลในโลกไซเบอร์ เป็นเจ้าของผลงานหนังสือชื่อดัง “Cyber War” ซึ่งเป็นผลงานที่ได้รับการชื่นชมว่าได้สร้างปรากฎการณ์ใหม่ให้กับวงการไซเบอร์
12 จุดอ่อน ที่ริชาร์ด คลาร์ด เตือนไว้ คือ
- คณะกรรมการบริหาร และผู้บริหารองค์กร ไม่มีความเข้าใจเรื่องความปลอดภัยทางไซเบอร์
การทำหน้าที่ของ CIO (Chief Information Officer)ผู้บริหารด้านไอที ถูกทิ้งให้ดูแลเพียงลำพัง ขณะที่ CEO พูดกันคนละภาษา ไม่เข้าใจกัน ทั้งที่ความปลอดภัยทางไซเบอร์ควรจัดให้อยู่ในเรื่องเดียวกับการบริหารความเสี่ยง
- รูปแบบโครงสร้างการจัดการขององค์กรมีปัญหา
หลายองค์กรวางโครงสร้างการทำงานของ CIO ให้ดูแลเฉพาะเรื่องการใช้งานด้านไอทีขององค์กร แต่ไม่ได้ดูแลเรื่องความปลอดภัย ซึ่งที่ถูกต้อง CIO ต้องดูแลด้านความปลอดภัยไซเบอร์ และต้องคุยตรงถึง CEO และ CEO ก็ควรเป็นหัวหน้าทีมในเรื่องนี้โดยตรง
- องค์กรมองเรื่องไอที เพียงแค่การลดต้นทุนการบริหาร
องค์กรยอมลงทุนในการวางระบบไอทีให้ช่วยพัฒนาการทำงานให้มีประสิทธิภาพมากขึ้น ลดต้นทุนการทำงาน แต่กับให้เงินลงทุนเพียง 3-5% ของงบไอทีทั้งหมด ในการวางระบบความปลอดภัย ซึ่งคงไม่มีทางที่จะทำให้ระบบเน็ตเวิร์คขององค์กรมีความปลอดภัยด้วยเงินเพียงเท่านี้ โดยปกติองค์กรที่มีการลงทุนด้านความปลอดภัยทางไซเบอร์จะใช้เงินลงทุนราว 7-8% ของงบไอที
- ขาดบุคลากรที่มีความรู้ด้านความปลอดภัยทางไซเบอร์
ปัจจุบันทั่วโลก มีตำแหน่ง Cyber Security ว่างอยู่ถึง 1 แสนตำแหน่ง ทั้งในสหรัฐอเมริกา ยุโรป จีน รวมถึงประเทศไทยที่ยังไม่มีการผลิตบุคลากรด้านนี้ออกมา เราคงไม่สามารถใช้ใครก็ได้ที่ทำงานด้านไอที มาดูแลด้านความปลอดภัยไซเบอร์
- องค์กรส่วนใหญ่ยังใช้อุปกรณ์ไอทีทั้งซอฟท์แวร์ และฮาร์ดแวร์รุ่นโบราณ
การลงทุนเพื่อเปลี่ยนอุปกรณ์ไอทีอาจเป็นการลงทุนที่หนักหนาของหลายๆ องค์กรในสภาพเศรษฐกิจเช่นนี้ แต่ที่ผ่านมา ไวรัสไซเบอร์มีประวัติการโจมตีบริษัทที่ให้ซอฟท์แวร์ และฮาร์ดแวร์โบราณ เป็นหลัก เพราะอุปกรณ์เหล่านี้เชื้อเชิญให้ไวรัสมาโจมตี เพราะเมื่อผู้ผลิตออก Software Security ใหม่ๆ ออกมา อุปกรณ์โบราณเหล่านี้ก็ไม่สามารถจะอัพเดดได้
- เครือข่ายคอมพิวเตอร์เป็นรูปแบบแนวราบ
ผู้บริหารองค์กรส่วนใหญ่ไม่เคยรู้ว่าระบบเน็ตเวิร์ดของตนเป็นอย่างไร ไม่มีการแบ่งเป็นเซ็กเมนต์ ไม่มีไฟร์วอลล์ จากสถิติพบว่า ปัจจุบัน มีอุปกรณ์ดีไวซ์เชื่อมต่อเข้ากับเน็ตเวิร์คขององค์กรมากกว่า 20 ดีไวซ์ แต่ผู้บริหารไม่เคยทราบว่าดีไวซ์เหล่านี้อยู่ที่ไหน เป็นจุดอ่อนที่น่ากลัว
- ไม่มีการเข้ารหัสป้องกันเน็ตเวิร์ค
สิ่งที่พบส่วนใหญ่ องค์กรมีเพียงการเข้ารหัสอีเมล์เท่านั้น แต่ไม่ได้เข้ารหัสในทุกช่องทางที่จะเข้าสู่เน็ตเวิร์ค ด้วยความคิดที่ว่า หากเข้ารหัสทุกช่องทางจะทำให้การทำงานช้าลง ยุ่งยาก แต่ในความจริงแล้ว ปัจจุบัน ระบบที่พัฒนาขึ้นทำให้การเข้ารหัสไม่ใช่เรื่องยุ่งยากอีกต่อไป
- องค์กรส่วนใหญ่ยังใช้ยุทธศาสตร์กั้นรั้วป้องกันเน็ตเวิร์คของตนเอง
วันนี้การเชื่อมต่อเน็ตเวิร์คไม่ได้ใช้การปลั๊กอินเข้ากับคอมพิวเตอร์ในองค์กรเหมือนก่อน แต่ยุคที่ทุกคนมีดีไวซ์ ทั้งสมาร์ทโฟน แท็บเล็ต โน้ตบุ๊ก สามารถเชื่อมต่อเน็ตเวิร์คได้ทุกที่ผ่านคลาวด์ ดังนั้น การขุดคูน้ำ หรือล้อมรั้วตั้งกำแพงไฟร์วอลล์เหมือนในอดีต ควรเลิกใช้ได้แล้ว
- องค์กรไม่มีการวาง Board Plan
ทันทีที่มีองค์กรถูกโจมตีทางไซเบอร์ ยังไม่มีการวางแผนว่าจะต้องดำเนินการอย่างไร ไม่ใช่เป็นหน้าที่ของ CIO หรือผู้บริหารฝ่ายไอทีเพียงลำพัง แต่ผู้บริหารทั้งทีมต้องแบ่งหน้าที่วางยุทธศาสตร์ ฝ่ายบริหารและฝ่ายไอทีดูแลการแก้ไขปัญหาการโจมตี ฝ่ายการตลาด ฝ่ายขาย ต้องทำความเข้าใจกับลูกค้า รวมถึงฝ่ายประชาสัมพันธ์ ทำความเข้าใจกับสื่อมวลชน เป็นต้น เพื่อไม่ให้การโจมลุกลามสร้างผลกระทบกับองค์กรเป็นวงกว้าง
- องค์กรยังไม่เคยฝึกตามแผนที่วางไว้
บางองค์กรอาจมีการวางแผนการรับมือการโจมตีทางไซเบอร์ แต่ส่วนใหญ่ไม่เคยมีการซักซ้อมแผน เหมือนการซ้อมอัคคีภัยที่ทำกันเป็นประจำทุกปี เมื่อไม่มีการซ้อม การทดลอง ก็ไม่มีทางที่จะใช้ได้ผล
- องค์กรไม่มีแผนสำรอง
ทันทีที่มีการโจมตีทางไซเบอร์ การเรียกค่าไถ่ ข้อมูลติดไวรัส ทำให้ข้อมูลสำรองไม่สามารถนำมาใช้ได้ หลายๆ องค์กรยังไม่มีแผนสำรองว่า จะแก้ไขปัญหาได้อย่างไร
- ยังไม่มีความร่วมมือเรื่อง Cyber Security
ทั้งความร่วมมือกันในภาคธุรกิจเดียวกัน หรือการร่วมมือระหว่างภาคธุรกิจกับภาครัฐ ในเรื่อง Cyber Security ทุกฝ่ายต้องมีการแลกเปลี่ยนข้อมูล ให้ความรู้เรื่องความเสี่ยง หรือภัยคุกคามใหม่ๆ แบ่งปันข้อมูลกัน และทำงานร่วมกันระหว่างภาคเอกชนกับภาครัฐอย่างใกล้ชิด
ริชาร์ด คลาร์ค กล่าวสรุปว่า วันนี้ไม่มีที่ใดในโลกปลอดภัยจากการโจมตีทางไซเบอร์ ทุกประเทศยังมีภารกิจอีกมากมายที่จะสร้างความปลอดภัย หากเราทุกคนได้รับคุโณปการจากอินเทอร์เน็ต ก็ควรจะทำให้ไซเบอร์สเปซมีความปลอดภัย IoT (Internet of Things) กำลังสร้างให้เกิดพื้นที่ไซเบอร์ใหม่ๆ เพิ่มขึ้น ก็หมายถึงพื้นที่การโจมตีก็มีมากขึ้นตามเช่นกัน