CEO Blog

ภัยจาก ‘มือที่สาม’

By นักรบ เนียมนามธรรม10 พ.ค. 2021 เวลา 8:00 น.
ภัยจาก ‘มือที่สาม’

44% ขององค์กรถูกละเมิดความปลอดภัยช่วง 12 เดือนที่ผ่านมา

เป็นเรื่องปกติที่การจำกัดจำนวนผู้เข้าใช้ให้น้อยที่สุดเป็นการลดความเสี่ยงที่จะเกิดกับอุปกรณ์หรือข้อมูลที่สำคัญของบริษัท แต่ในบางครั้งเราต้องให้บุคคลที่สาม (Third Party) เข้ามาในระบบเพื่อช่วยแก้ไขหรือเพื่อทำงานบางอย่างร่วมกัน 

นี่จึงเป็นสาเหตุให้การเข้าถึงจากระยะไกลโดยบุคคลที่สาม (Third-party Remote Access) กลายเป็นจุดอ่อนขององค์กรที่แฮกเกอร์อาจเข้ามาโจมตี

ไม่กี่วันที่ผ่านมาสถาบันการวิจัยด้านการรักษาความปลอดภัยข้อมูล และผู้ให้บริการการเข้าถึงจากระยะไกลของบุคคลที่สามได้ออกรายงานฉบับใหม่ที่มีชื่อว่า “วิกฤติในการรักษาความปลอดภัยการเข้าถึงจากระยะไกลของบุคคลที่สาม” ซึ่งเผยให้เห็นความไม่สอดคล้องกันของความเข้าใจที่องค์กรมีเกี่ยวกับภัยคุกคามที่มาในรูปแบบของการเข้าถึงจากบุคคลที่สาม และมาตรการการป้องกันที่องค์กรได้กำหนดไว้

นักวิจัยพบว่า องค์กรต่างๆ กำลังทำให้ระบบเครือข่ายเกิดความเสี่ยงโดยการไม่ปฏิบัติตามข้อกำหนด และไม่ลดความเสี่ยงจากการเข้าถึงของบุคคลที่สาม จากรายงานพบว่า 44% ขององค์กรถูกละเมิดความปลอดภัยในช่วง 12 เดือนที่ผ่านมา ในบรรดาองค์กรเหล่านี้ 74% กล่าวว่า การละเมิดเกิดขึ้นจากการให้บุคคลที่สามเข้าถึงระบบเครือข่ายด้วยสิทธิพิเศษมากเกินไป

นอกจากนี้องค์กรต่างๆ ไม่ได้ทำการตรวจสอบความปลอดภัยที่จำเป็น ก่อนแบ่งปันการเข้าถึงข้อมูลกับบุคคลที่สาม โดย 51% ขององค์กรกล่าวว่า พวกเขาไม่ได้ประเมินการปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของบุคคลที่สามทั้งหมด ก่อนที่จะอนุญาตให้พวกเขาเข้าถึงข้อมูลสำคัญและเป็นความลับ

ผู้เชี่ยวชาญได้ให้ความเห็นว่า การอนุญาตให้มีการเข้าถึงระยะไกลจากบุคคลที่สาม โดยไม่ได้ใช้มาตรการป้องกันความปลอดภัยที่เหมาะสม จะทำให้เกิดความเสี่ยงด้านความปลอดภัย รวมไปถึงการละเมิดข้อมูลที่สำคัญและเป็นความลับ 

นี่จึงเป็นสิ่งสำคัญที่องค์กรจะต้องประเมินแนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของบุคคลที่สามที่สามารถเข้าถึงระบบเครือข่ายของตน ตรวจสอบให้แน่ใจว่าพวกเขามีสิทธิ์เข้าถึงเพียงพอที่จะปฏิบัติงานตามที่กำหนดไว้ และไม่สามารถทำอย่างอื่นนอกเหนือไปจากนั้นได้

การค้นพบที่สำคัญอื่นๆ คือ 54% ขององค์กรไม่มีข้อมูลที่ครอบคลุมบุคคลที่สามทั้งหมดที่สามารถเข้าถึงระบบเครือข่ายของตนได้ และ 65% ขององค์กรไม่ได้กำหนดว่าบุคคลที่สามรายใดจะสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนที่สุดขององค์กรได้ การค้นพบนี้แสดงให้เห็นถึงการขาดความพร้อมด้านการจัดการในการรักษาความปลอดภัยของการเข้าถึงจากระยะไกลของบุคคลที่สามที่เพียงพอ

ถึงแม้ว่าในบางครั้งองค์กรจะไม่สามารถหลีกเลี่ยงไม่ให้การเข้าถึงของบุคคลที่สามเกิดขึ้นได้ แต่สิ่งที่สามารถผ่อนหนักให้เป็นเบาได้คือ มาตรการที่กำหนดและปฏิบัติตามอย่างเคร่งครัด เช่น การกำหนดบุคคลที่สามที่จะสามารถเข้าถึงระบบได้ควรเจาะลึกไปถึงส่วนของระบบที่อนุญาตให้เข้าถึง ตลอดจนระยะเวลา และการจัดเก็บรายชื่อของบุคคลที่สามที่เข้าถึงระบบ 

เพราะเมื่อเกิดภัยคุกคามขึ้น โดยเฉพาะการรั่วไหลของข้อมูล ที่ถึงแม้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนการบังคับใช้ไป แต่ถ้าบริษัทได้วางระบบตามมาตรฐานที่พ.ร.บ.กำหนดไปแล้ว คงน่าเสียดายถ้าบุคคลที่สามที่ไม่ได้ทำตามพ.ร.บ.มาเป็นสาเหตุให้ข้อมูลของบริษัทรั่วไหล ดังนั้นควรเลือกบริษัทบุคคลที่สามที่มีการติดตั้งระบบให้เป็นมาตรฐานเดียวกับที่พ.ร.บ.ฉบับนี้กำหนดไว้ครับ