สถานการณ์ความปลอดภัยไซเบอร์และวิธีสร้างกลยุทธ์ให้แข็งแกร่งสำหรับองค์กรในปี 2566 โดย เพียร์ แซมซัน ประธานเจ้าหน้าที่ฝ่ายรายได้ (CRO) บริษัท Hackuity
ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีทางไซเบอร์เกิดขึ้นทั้งกับธุรกิจขนาดใหญ่ไล่ไปจนถึงกลุ่มธุรกิจขนาดกลางและเล็ก จึงกลายเป็นภารกิจหลักของผู้บริหารระดับสูงของทุกองค์กร โดยมีการคาดการณ์ว่าภายในปี 2568 ภัยจากอาชญากรรมไซเบอร์ทั่วโลกจะก่อให้เกิดความเสียหายต่อเศรษฐกิจโลก สูงกว่า 10.5 ล้านล้านดอลลาร์ เพิ่มขึ้นจาก 3 ล้านล้านดอลลาร์เมื่อปี 2558
สำหรับปี 2566 นี้ คาดว่าภัยจากอาชญากรรมไซเบอร์ทั่วโลกน่าจะสร้างความเสียหายประมาณ 8 ล้านล้านดอลลาร์ ตามข้อมูลของ Cybersecurity Ventures ซึ่งเป็นบริษัทวิจัยทางการตลาดในสหรัฐอเมริกา และยังระบุอีกว่า ภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ที่พบบ่อย เช่น การล่อลวงด้วยฟิชชิง (phishing scams), มัลแวร์เรียกค่าไถ่ (ransomware), มัลแวร์ (malware), การละเมิดข้อมูล และเทคนิควิศวกรรมสังคม (social engineering) โดยทั้งหมดล้วนมีจำนวนเพิ่มขึ้นอย่างน่าตระหนก นอกจากความสูญเสียทางการเงินโดยตรงแล้ว ภัยคุกคามต่อความมั่นคงปลอดภัยเหล่านี้ยังส่งผลร้ายต่อภาพลักษณ์ของบริษัทและการเติบโตทางธุรกิจด้วย
ข้อมูลรายงานของ Global Digital Trust Insights บริษัท PwC ฉบับล่าสุด จากการสำรวจผู้บริหารฝ่ายธุรกิจ เทคโนโลยี และความมั่นคงปลอดภัยจำนวน 3,522 ราย ในหลายประเทศ พบว่าผู้บริหาร 2 ใน 3 ราย มองว่าอาชญากรรมไซเบอร์เป็นภัยคุกคามสำคัญที่สุดในอนาคตอันใกล้ และราว 38% คาดว่าจะเกิดการโจมตีที่เข้มข้นยิ่งขึ้นผ่านระบบคลาวด์ภายในปี 2566 นี้ อาชญากรรมไซเบอร์มีการใช้เครื่องมือสำเร็จรูปมากขึ้นและผสานการโจมตีหลากหลายรูปแบบเข้าด้วยกัน ดังนั้นไม่ว่าจะเป็นธุรกิจขนาดใหญ่หรือเล็กก็ตาม มาตรการป้องกันที่เหมาะสมตลอดจนการลงทุนด้านการรักษาความปลอดภัยล้วนเป็นสิ่งจำเป็นเพื่อรับมือกับภัยคุกคามไซเบอร์
ใช้งบประมาณให้ถูกที่
เมื่อต้องเผชิญกับการโจมตีที่ซับซ้อนกว่าในอดีต ทำให้ผู้บริหารไม่อาจเพิกเฉยต่อภัยคุกคามไซเบอร์อีกต่อไป จึงเป็นเหตุผลที่ทำให้คาดการณ์ว่า งบประมาณด้านความมั่นคงปลอดภัยไซเบอร์จะยังคงเติบโต แม้จะเกิดการชะลอตัวของเศรษฐกิจโลกก็ตาม รวมถึงในช่วงการชะลอตัวและเกิดวิกฤติโรคระบาดไวรัสโควิด-19 กลับเป็นตัวเร่งปฏิกิริยาผลักดันให้ธุรกิจทั่วโลกเกิดการเปลี่ยนแปลงกระบวนการสู่ดิจิทัลอย่างเข้มข้น องค์กรต่างๆ เดินหน้าในการทำดิจิทัล ทรานสฟอร์เมชันมากขึ้น สถานการณ์โควิดบีบบังคับให้ธุรกิจหลากหลายแขนงต้องเร่งแผนการเปลี่ยนแปลงกระบวนการสู่ดิจิทัลเพื่อลดต้นทุนการดำเนินกิจการและรองรับการทำงานจากทางไกล ที่ผ่านมาธุรกิจจำนวนมากเริ่มตระหนักมากขึ้นถึงอาชญากรรมไซเบอร์เป็นภัยคุกคามที่มีความเสี่ยงต่อธุรกิจอย่างมากทำให้เกิดการลงทุนด้านการป้องกันภัยไซเบอร์อย่างต่อเนื่องต่อไป
บริษัทที่มองข้ามการลงทุนในด้านดังกล่าวตลอดช่วงที่ผ่านมาต่างก็เร่งเดินหน้าใช้จ่ายงบประมาณตามแผนงานด้านความมั่นคงปลอดภัยไซเบอร์ แต่องค์กรไม่จำเป็นต้องชดเชยการลงทุนทั้งหมดที่ขาดไปให้เสร็จสิ้นในระยะเวลาอันสั้น เพราะเรื่องเหล่านี้ต้องใช้เวลาและทรัพยากรหลายปีเพื่อปรับปรุงสภาพการณ์ด้านความมั่นคงปลอดภัยไซเบอร์และลดความเสี่ยงแก่ธุรกิจองค์กรต่อไป
สร้างปราการไซเบอร์ที่เข้มแข็ง
เริ่มด้วยเรื่องพื้นฐาน ด้วยการศึกษาความเสี่ยงที่สำคัญต่อธุรกิจและต่อสินทรัพย์ จากสิ่งที่มองไม่เห็น
แบ่งภาระหน้าที่ให้ชัดเจนและกำหนดผู้รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์ให้เรียบร้อยตั้งแต่ผู้บริหารระดับบนลงล่าง รวมถึงคณะกรรมการบริษัทด้วย ความมั่นคงปลอดภัยไซเบอร์เปรียบได้กับทีมนักกีฬา พนักงานอาจเป็นปราการด่านแรกที่เข้มแข็งหรืออาจเป็นจุดอ่อนที่แสนเปราะบางก็ได้ ทั้งหมดขึ้นอยู่กับงบประมาณในการฝึกอบรม
เดินหน้าตามแผนทีละขั้น ความมั่นคงปลอดภัยไซเบอร์ไม่ใช่เรื่องตายตัว ดังนั้นการใช้กฎ 80:20 เป็นหลักการที่เลือกทำแผนปฏิบัติการ 20% แต่สามารถครอบคลุมความเสี่ยงได้ถึง 80% ด้วยมาตรการที่ทำได้เร็วและครอบคลุมเรื่องพื้นฐานแล้วจึงค่อยก้าวสู่ขั้นต่อไป
จากนั้นให้ยกเครื่องระบบในองค์กรเริ่มจากการใช้เครื่องมือตรวจสอบและวางมาตรการป้องกันเครือข่ายและอุปกรณ์ปลายทาง แต่สำหรับบริษัทขนาดเล็กที่มีงบประมาณไม่เพียงพอต่อการลงทุนทางเทคโนโลยี ก็ควรหันไปใช้บริการดูแลรักษาระบบที่ครอบคลุมบริการด้านการรักษาความปลอดภัย เพราะจะได้รับเทคโนโลยีที่จำเป็นรวมไว้ในบริการดังกล่าวด้วย
จัดการกับองค์กรอาชญากรรมไซเบอร์
ปัจจุบันอาชญากรรมไซเบอร์ได้กลายเป็นองค์กรจัดตั้งและมีความเป็นมืออาชีพมากขึ้น ประหนึ่งราวกับเป็นองค์กรธุรกิจ จำนวนการโจมตีระบบที่เพิ่มขึ้นจะไม่ชะลอตัวในเร็วๆ นี้ และก็ไม่มียุคใดที่สามารถซื้อบริการและเครื่องมืออันตรายเหล่านี้ผ่านตลาดมืดออนไลน์ได้ง่ายจนไม่ต้องใช้องค์ความรู้ทางเทคนิคใดๆ เลยอย่างเช่นในวันนี้
สิ่งหนึ่งที่ควรทราบก็คือ วายร้ายเองก็มีการคำนวณผลตอบแทนจากการลงทุนเช่นกัน (ROI) โดยมุ่งเป้าไปที่การได้เงินกลับมาอย่างคุ้มค่าที่สุดซึ่งต้องพิจารณาทั้งสิ่งที่จะได้กลับมาและความซับซ้อนในการลงมือโจมตี ตัวอย่างเช่น การใช้ฟิชชิงจะทำให้ได้ข้อมูลบัตรเครดิตหรือรหัสผ่านจากลูกค้าของบริษัทแต่มีมูลค่าไม่มาก ขณะเดียวกันการจารกรรมทรัพย์สินทางปัญญามูลค่า 100 ล้านดอลลาร์จากบริษัทข้ามชาติก็อาจต้องใช้ทีมงานจำนวนมากและดำเนินการเป็นเวลานาน และจะได้ผลก็ต่อเมื่อท้ายสุดแล้วมีสมบัติแอบซ่อนอยู่ที่ปลายทางจริง เทคนิคที่ภัยคุกคามแบบฝังตัวขั้นสูงหรือ APT (advanced persistent threats) ใช้งานมีลักษณะที่ซับซ้อนและเป็นการโจมตีทางไซเบอร์ในลักษณะต่อเนื่องโดยผู้บุกรุกจะแฝงตัวบนเครือข่ายเพื่อขโมยข้อมูลสำคัญต่อเนื่องเป็นระยะเวลานาน
มาตรการป้องกันที่ดีที่สุดก็คืออย่าตกเป็นเหยื่อโดยง่าย สิ่งที่เราสังเกตเห็นก็คือ ปัญหาข้อมูลรั่วไหลกว่า 80% เกิดขึ้นจากการขาดแนวทางปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์พื้นฐานที่สามารถป้องกันได้ไม่ยากด้วยการจัดงบประมาณต่อเนื่อง ความใส่ใจของผู้บริหารระดับสูง และการตระหนักถึงความเสี่ยงต่างๆ การลงทุนกับบุคลากร กระบวนการ และเทคโนโลยีที่เหมาะสมจะช่วยให้ธุรกิจรอดพ้นจากปัญหาดังกล่าวได้ ถ้าหากคุณไม่สามารถตรวจหาและรับมือกับช่องโหว่ที่สัมพันธ์กับจุดอ่อนที่เปิดโล่งให้โดนโจมตี ตลอดจนขาดกระบวนการรับมือที่เป็นไปโดยอัตโนมัติ ทั้งหมดนี้ก็อาจไม่มีความหมายเช่นกัน