ผลสำรวจพบ พนักงานหน้าเดิมเพียง 10% คือต้นเหตุสร้างความเสี่ยงไซเบอร์ได้ทั้งองค์กร
ผลการศึกษาเชิงลึกโดย Living Security ได้เปิดเผยข้อมูลที่น่าตกใจว่า พนักงานเพียง 10% เท่านั้นที่เป็นต้นเหตุของความเสี่ยงทางไซเบอร์ถึง 73% ขององค์กร โดยรายงานฉบับนี้ไม่ได้จำกัดอยู่แค่พฤติกรรม “คลิกฟิชชิ่ง” แบบที่องค์กรส่วนใหญ่มักเน้นในการฝึกอบรมพนักงาน แต่เจาะลึกถึงมิติอื่น ๆ ของพฤติกรรมมนุษย์ เช่น การตั้งค่ารหัสผ่านอย่างไม่ปลอดภัย การไม่เปิดใช้ระบบพิสูจน์ตัวตนหลายชั้น ไปจนถึงพฤติกรรมเสี่ยงที่เกี่ยวข้องกับการจัดการสิทธิ์การเข้าถึงข้อมูลและระบบขององค์กร
ที่น่าสนใจคือ แม้หลายองค์กรจะลงทุนกับระบบความปลอดภัยและโปรแกรมฝึกอบรมจำนวนมาก แต่กลับสามารถตรวจพบพฤติกรรมเสี่ยงของพนักงานได้เฉลี่ยเพียง 43% เท่านั้น ยิ่งไปกว่านั้น องค์กรที่พึ่งพาเฉพาะการอบรมด้านความตระหนักรู้ด้านความปลอดภัยไซเบอร์ (Security Awareness Training – SAT) สามารถตรวจพบพฤติกรรมเสี่ยงได้เพียง 12%
ขณะที่องค์กรที่มีเครื่องมือด้านความปลอดภัย แต่ยังไม่ได้นำมาใช้จริง มีการตรวจพบเพียง 19% แสดงให้เห็นว่าการมีเครื่องมือหรือโปรแกรมฝึกอบรมเพียงอย่างเดียวไม่เพียงพอ หากไม่ได้ใช้งานอย่างมีประสิทธิภาพและสม่ำเสมอ
ในด้านดี รายงานยังพบว่ากว่า 78% ของพนักงานในองค์กรมีพฤติกรรมที่ “ปลอดภัย” เช่น การแจ้งเตือนเมื่อพบความผิดปกติ การใช้ MFA หรือการรีเซ็ตรหัสผ่านหลังจากทราบว่ามีเหตุรั่วไหล กลุ่มพนักงานเหล่านี้จึงถือเป็นแนวหน้าในการช่วยปกป้ององค์กรจากภัยคุกคามในยุคดิจิทัล
อย่างไรก็ตาม พนักงานกลุ่มเสี่ยงสูงที่จัดอยู่ในกลุ่ม “chaotic risky” ซึ่งมีพฤติกรรมไม่แน่นอน ขาดวินัย และมีแนวโน้มถูกโจมตีจากภายนอกสูงนั้น มีสัดส่วนประมาณ 8% ขององค์กร กลุ่มนี้มีแนวโน้มสร้างช่องโหว่สำคัญต่อระบบ หากไม่มีมาตรการควบคุมหรือระบบตรวจสอบอย่างเหมาะสม
รายงานแนะนำว่าองค์กรควรจับตากลุ่มพนักงานนี้เป็นพิเศษ อาจต้องเพิ่มการตรวจสอบสิทธิ์การเข้าถึง รวมถึงกำหนดมาตรการจำกัดการเข้าถึงข้อมูลสำคัญอย่างรัดกุมยิ่งขึ้น
สิ่งที่น่าทบทวนคือ ความเชื่อผิด ๆ ที่แพร่หลายอยู่ในวงการไอที อาทิ การมองว่าพนักงานระยะไกลหรือลูกจ้างชั่วคราวคือกลุ่มเสี่ยงที่สุด แต่ในความเป็นจริง กลับพบว่าพนักงานระดับผู้บริหารหรือพนักงานที่ทำงานมายาวนานกลับมีพฤติกรรมเสี่ยงมากกว่าด้วยซ้ำ เนื่องจากเข้าถึงข้อมูลสำคัญ และมักถูกมองข้ามในการกำกับดูแล
อีกประเด็นหนึ่งคือ กลุ่มอุตสาหกรรมที่เกี่ยวข้องกับการให้บริการภาคธุรกิจ (Business Services) มีระดับความเสี่ยงสูงกว่าค่าเฉลี่ย แต่กลับตรวจพบความเสี่ยงได้น้อยที่สุด สวนทางกับภาคการเงินและสาธารณสุข ที่แม้จะเผชิญภัยคุกคามสูง แต่ก็มีระบบควบคุมและมองเห็นความเสี่ยงได้ดี
บทสรุปสำคัญจากรายงานฉบับนี้คือ การจัดการความเสี่ยงทางไซเบอร์จากพฤติกรรมมนุษย์ไม่อาจใช้แนวทาง “หนึ่งขนาดใช้ได้กับทุกคน” ได้อีกต่อไป องค์กรต้องปรับมุมมองใหม่ โดยเฉพาะการใช้ข้อมูลพฤติกรรมจริงร่วมกับเทคโนโลยีการวิเคราะห์ขั้นสูง เช่น การใช้ระบบ SIEM หรือ XDR ที่สามารถรวบรวมข้อมูลจากหลากหลายระบบและวิเคราะห์ความเสี่ยงแบบเรียลไทม์ นอกจากนี้ การฝึกอบรมควรเปลี่ยนจากการบรรยายแบบเดิม ๆ เป็นการจำลองสถานการณ์จริง เพื่อให้พนักงานมีโอกาสตัดสินใจและเรียนรู้จากประสบการณ์จำลองโดยไม่เกิดความเสียหายจริง