เราจะปกป้องข้อมูลขององค์กรจากการโจมตีทางโลกไซเบอร์ได้อย่างไร

แต่ธุรกิจหลายแห่งยังคงกังวลว่าการเคลื่อนตัวไปสู่โลกยุคดิจิทัลนั้น อาจเป็นการเปิดประตูสู่การถูกโจมตีทางไซเบอร์ (Cyberattack) ได้เช่นกัน

ความกังวลในเรื่องดังกล่าวเป็นเรื่องที่ถูกต้อง เพราะจากการรวบรวมข้อมูลจากหลายๆ หน่วยงานพบว่า ในปี 2560 ที่ผ่านมา องค์กรจำนวนกว่า 1,300 แห่ง รวมถึงผู้นำทางด้านไอที ตั้งแต่องค์กรขนาดกลางไปจนถึงองค์กรธุรกิจขนาดใหญ่ในประเทศไทยที่มีพนักงานตั้งแต่ 500 คนหรือมากกว่า ล้วนแต่ได้รับความเสียหายจากการโจมตีในโลกไซเบอร์ ทั้งจากทางตรงและทางอ้อม โดยผลกระทบต่าง ๆ ที่คำนวณออกมาเป็นค่าความเสียหาย มีมูลค่าเฉลี่ยประมาณ​12.7 ล้านเหรียญ (หรือมีมูลค่ากว่า 420 ล้านบาท) ซึ่งเมื่อเทียบระหว่างความเสียหายทั้งทางตรงและทางอ้อมแล้ว ความเสียหายทางตรงจะมีเปอร์เซ็นต์ที่น้อยกว่าเมื่อเทียบกับความเสียหายทั้งหมดที่เกิดขึ้นจากการโจมตีในโลกไซเบอร์ สำหรับผลเสียต่อชื่อเสียงนั้นเรียกว่าเป็นผลกระทบทางอ้อม เนื่องจากส่งผลให้บริษัทต้องสูญเสียลูกค้า เช่นเดียวกับต้นทุนที่เกิดจากการจัดการด้านการละเมิดความปลอดภัย ซึ่งผลกระทบนี้จะรวมถึงความเสียหายที่เกิดขึ้นต่อเศรษฐกิจโดยกว้างและอุตสาหกรรมที่ถูกโจมตีอีกด้วย

สำหรับข้อมูลของบริษัทไทยที่ได้รับความเสียหายทางตรงอันเกิดจากการโจมตีทางไซเบอร์ มีตัวเลขเฉลี่ยอยู่ที่ประมาณ 7 แสนเหรียญ (หรือมูลค่ากว่า 23 ล้านบาท) และมีความเสียหายทางอ้อมโดยคิดเป็นจำนวนเงินที่ต้องสูญเสียไปประมาณ 6.7 ล้านเหรียญ (หรือมูลค่ากว่า 222 ล้านบาท) ในขณะที่ความเสียหายแฝงอันเป็นผลที่ตามมานั้นคิดเป็นจำนวนเงิน 5.3 ล้านเหรียญ (หรือมูลค่ากว่า 175 ล้านบาท) อย่างไรก็ตาม หลายครั้งที่บริษัทประเมินค่าความเสียหายแฝงอันเกิดจากการโจมตีในโลกไซเบอร์ต่ำกว่าที่มองเห็น ซึ่งสถิติดังกล่าวก็สอดคล้องกันกับผลการศึกษาข้างต้น โดยจะพบว่ากว่า 62% ของบริษัทต้องประสบปัญหาการสูญเสียงาน เนื่องจากเหตุการณ์ความมั่นคงทางโลกไซเบอร์ และประมาณ 3 ใน 4 ของบริษัทยอมรับว่า มีการชะลอแผนการเปลี่ยนผ่านสู่โลกดิจิทัลอันเนื่องมาจากความกังวลในเรื่องการโจมตีทางโลกไซเบอร์

โดยรวมแล้ว ประเทศไทยมีมูลค่าความเสียหายจากการโจมตีในโลกไซเบอร์เมื่อปีที่ผ่านมาประมาณ 8.9 หมื่นล้านเหรียญ (หรือคิดเป็นมูลค่ากว่า 2.9 ล้านล้านบาท) หรือประมาณ 2.2% ของผลิตภัณฑ์มวลรวมในประเทศหรือจีดีพี (GDP) ทั้งนี้ มีการคาดการณ์ต่อว่าในปี 2562 ทั่วทั้งภูมิภาคเอเชียแปซิฟิคจะมีมูลค่าความเสียหายจากการโจมตีในโลกไซเบอร์มากกว่า 1.745 ล้านล้านเหรียญ (หรือประมาณ 7% ของจีดีพีรวมของทั้งภูมิภาค) และวิธีการที่ใช้มักเป็นไปในลักษณะการปลอมแปลงเป็นบุคคลอื่น การหลอกลวงให้โอนเงิน การรั่วไหลของข้อมูล และการหลอกลวงการใช้ข้อมูล แม้ว่าโลกดิจิทัลจะมีการพัฒนาขึ้น มีความซับซ้อนมากขึ้น แต่ทั้งแฮ็คเกอร์และมัลแวร์เรียกค่าไถ่ (ransomware) ล้วนมีความสามารถปรับตัวตามได้เป็นอย่างดี จึงไม่น่าแปลกใจว่า นี่คือสาเหตุที่หลายบริษัทยังมีความลังเลในการนำธุรกิจขึ้นไปอยู่บนเครือข่ายคอมพิวเตอร์หรือโลกดิจิทัล

แต่ที่กล่าวมาทั้งหมดก็ใช่ว่าจะไม่มีความหวังอยู่เลย เพราะแม้ว่าการโจมตีบนโลกไซเบอร์จะทวีความรุนแรงและก้าวหน้ามากขึ้นเพียงใด แต่การป้องกันเหตุการณ์ดังกล่าวก็ได้รับการพัฒนาให้มีคุณภาพสูงขึ้นตามเช่นเดียวกัน อย่างเรื่องเทคโนโลยีปัญญาประดิษฐ์หรือ AI (Artificial Intelligence) ถ้าหากมีการนำไปใช้งานที่เหมาะสม จะสามารถช่วยป้องกันระบบข้อมูลของบริษัทได้ โดยกว่า 3 ใน 4 ของบริษัทในภูมิภาคเอเชียแปซิฟิคได้มีการวางแผนและนำ AI มาใช้ในการทำงานเพื่อป้องกันความปลอดภัยในโลกไซเบอร์เป็นที่เรียบร้อยแล้ว ซึ่ง AI จะสามารถตรวจดูการใช้งานบนเครื่องคอมพิวเตอร์ การสแกนระบบ การตรวจจับความผิดปกติใด ๆ ที่อาจเกิดขึ้นรวมไปถึงการปิดระบบเมื่อตรวจพบการความผิดปกติ ดังนั้น เทคโนโลยี AI จึงเป็นตัวเชื่อมอย่างดีบนห่วงโซ่เส้นใหญ่ในโลกดิจิทัล และยังมีความสำคัญที่ช่วยเรื่องการป้องกันระบบให้เกิดความปลอดภัย

นอกจากเรื่องของระบบเทคโนโลยีในการป้องกันความเสี่ยงดังกล่าวแล้ว ทางแกรนท์ ธอนตัน ยังมีข้อเสนอแนะอีก 3 แนวทางเพื่อใช้เป็นมาตรการป้องกันและควบคุม ซึ่งเป็นขั้นตอนและแนวทางในการปฏิบัติโดยอิงจากหลักการสากลที่สามารถนำมาใช้ได้จริงในองค์กรดังนี้

1.การกำหนดความรับผิดชอบสำหรับประเด็นต่างๆ สิ่งนี้จะสร้างให้องค์กรมีการรับรู้ด้านความเสี่ยง และมีการแต่งตั้งผู้รับผิดชอบในเรื่องการบริหารและลดความเสี่ยงผ่านกระบวนการความปลอดภัยทั่วทั้งองค์กร โดยบุคคลผู้มีหน้าที่รับผิดชอบด้านนี้ จะต้องสามารถกำกับดูแลเรื่องการเปลี่ยนแปลงข้อมูลที่มีความรวดเร็วและผันผวนตลอด ต้องสามารถแนะนำขั้นตอนการทำงานแก่พนักงานในการเก็บรักษาความปลอดภัยของข้อมูล และรับผิดชอบในกรณีที่เกิดการรั่วไหลของข้อมูล หรืออีกนัยหนึ่ง การดูแลรักษาความปลอดภัยจะต้องมีความเข้มข้นเช่นเดียวกับงานในด้านอื่นๆ ที่บริษัทรับผิดชอบ

2.รวมการบริหารความเสี่ยงเข้าเป็นส่วนหนึ่งของโครงสร้างองค์กร เพื่อหลีกเลี่ยงการทำงานด้านความปลอดภัยไปในลักษณะวัวหายแล้วล้อมคอก เมื่อมีการออกแบบและวางโครงสร้างองค์กรควรต้องมีการพิจารณาในแต่ละขั้นตอน อย่างรอบคอบ แต่ละหน่วยงานควรมีการประเมินความเสี่ยงของตนเองที่องค์กรจะได้รับถ้าหากพบการโจมตีทางโลกไซเบอร์ และควรมีการใช้ระบบในการลบข้อมูลที่ไม่จำเป็นรวมไปถึงข้อมูลที่ไม่มีการใช้งานแล้วออกไป ซึ่งแต่ละวิธีการป้องกันจะทำให้องค์กรสามารถดำเนินธุรกิจได้โดยมีระดับความปลอดภัยที่เพิ่มสูงขึ้น รวมไปถึงการที่องค์กรต้องคำนึงถึงความเสี่ยงในด้านต่างๆ เมื่อมีการวางแผนป้องกันการพยายามโจมตีทางโลกไซเบอร์นี้

3.ให้ความรู้และฝึกอบรมพนักงานในองค์กรของคุณ ไม่ใช่ทุกคนที่จะสามารถเข้าใจกลไกการทำงานทางเทคนิคของระบบออนไลน์ หรือสามารถพูดคุยเรื่องนี้ได้อย่างชำนาญในระดับผู้เชี่ยวชาญด้านไอที การจัดการให้ความรู้และฝึกอบรมผ่านวิธีการและคำพูดที่ง่าย ไม่ซับซ้อนคือวิธีการที่ดีที่สุดในการเตรียมความพร้อมให้กับพนักงานเพื่อให้ได้รับทราบถึงภัยคุกคามด้านความปลอดภัยบนโลกไซเบอร์ที่อาจต้องเผชิญ การสอนให้พนักงานปฎิบัติตามวิธีการที่เหมาะสมเพื่อรักษาความปลอดภัยของข้อมูลนั้นถือเป็นเรื่องที่อาจจะกระทำได้ยาก แต่การให้ความรู้และฝึกอบรมอย่างสม่ำเสมอจะช่วยให้พนักงานมีความชำนาญมากขึ้นและยากที่จะตกเป็นเหยื่อของเหล่าแฮกเกอร์

มาตรการเพื่อรักษาความปลอดภัยเหล่านี้ จำต้องใช้เวลาในการดำเนินการ ถึงแม้ว่าองค์กรอาจต้องได้รับผลกระทบจากการถูกละเมิดในด้านความปลอดภัยของข้อมูล แต่หลายๆ องค์กรกลับมีความล่าช้าในการวางมาตรการควบคุม ซึ่งในรายงานของ แกรนท์ ธอนตัน เองพบว่าปี 2560 ที่ผ่านมามี 36% ขององค์กรทั่วโลกหรือกว่า 1 ใน 3 ที่ไม่มีการจัดทำรายละเอียดความเสี่ยงต่างๆ เพื่อไว้เป็นข้อมูลในองค์กร ทำให้เจ้าหน้าที่ไอทีไม่สามารถทราบได้ว่าส่วนใดคือข้อมูลที่มีความสำคัญมากที่สุดที่จะต้องให้ความสำคัญและใส่ใจในการดูแลปกป้อง องค์กรจึงจำเป็นต้องสร้างการตระหนักรู้ในเรื่องเหล่านี้และมีแผนรองรับสำหรับการป้องกันองค์กร ซึ่งไม่ควรมองว่านี้คือข้อจำกัดในการทำงาน หากแต่เป็นส่วนที่สำคัญสำหรับการบริหารความเสี่ยงในยุคดิจิทัลนี้

โดย... 

ซันเจย์ สัจเดว 

ที่ปรึกษาทางธุรกิจ แกรนท์ ธอนตัน ประเทศไทย