ที่ทำงานคุณอาจถูกโจมตีไซเบอร์วันนี้พรุ่งนี้ได้เพราะ12จุดอ่อน

ที่ทำงานคุณอาจถูกโจมตีไซเบอร์วันนี้พรุ่งนี้ได้เพราะ12จุดอ่อน

วันก่อนผมขึ้นเวทีสัมภาษณ์มือต่อต้านการก่อการร้ายด้านไซเบอร์ของสหรัฐ Richard Clarke มีประเด็นที่น่าสนใจและที่คนไทยควรให้ความสำคัญหลายประการ

เขาชี้ “จุดอ่อน 12 ด้าน ขององค์กรเอกชน ตามมาด้วยข้อเสนอว่าประเทศไทยจะต้องเตรียมการกันจริงจังถ้าจะรอดจาก สงครามไซเบอร์ แบบไม่ล่มสลาย

เหตุผลที่เอกชนยังไม่สามารถจะทำให้เกิดความปลอดภัยทางไซเบอร์ในธุรกิจปกติได้นั้น ดร. รอม หิรัญพฤกษ์แห่งสำนักงานส่งเสริมเศรษฐกิจดิจิทัลได้สรุปคำบรรยายของริชาร์ด คล้าร์กอย่างน่าสนใจดังนี้

  1. คณะกรรมการบริหารองค์กร(บอร์ด) และผู้บริหารสูงสุด (CEO) ไม่เข้าใจเทคโนโลยี อินเทอร์เน็ต คือทั้งบอร์ดและ CEO กลัวที่จะต้องแสดงความไม่รู้เรื่อง Cyber Security อีกทั้ง CIO (Chief Information Officer) และ CISO (Chief Information Security Officer) ก็สื่อสารกับผู้บริหารคนอื่นๆไม่ได้ดีเพียงพอ ยุคนี้จำเป็นต้องปรับความรู้ของบอร์ดและ CEO
  2. ธรรมาภิบาลของการบริหารองค์กรไม่ถูกต้อง คือ CISO ในองค์กรส่วนใหญ่รายงานตรงต่อ CIO ผู้ซึ่งต้องรับผิดชอบต่อผลงานและผลิตภาพขององค์กร จึงมีความขัดแย้งกับงานความมั่นคงปลอดภัย ซึ่งมักมีค่าใช้จ่ายและกระบวนการที่ถูกมองว่าทำให้งานช้าลง ที่ถูกควรรายงานตรงต่อ CEO ผู้รับผิดชอบต่อความอยู่รอดของทั้งองค์กร
  3. การลงทุนด้านความมั่นคงปลอดภัยที่ปกติพบอยู่ช่วง 3%-5% ของงบประมาณด้านไอทีขององค์กรเอกชนนั้นไม่เพียงพอต่อการสร้างความมั่นคงปลอดภัยที่ยอมรับได้ในองค์กรส่วนใหญ่ ที่ควรเป็นคือ8%-10%
  4. ขาดบุคลากรด้าน Cyber Security ในองค์กร เพราะไม่สามารถเอาเจ้าหน้าที่ไอทีทั่วไปมาให้รับงานนี้ จำเป็นต้องหาคนที่รู้ไอทีแล้วฝึกอบรมเฉพาะทางให้เกิดความรู้ความสามารถที่เพียงพอสำหรับหน้าที่ ซึ่งอาจใช้เวลาหลายปีในบางกรณี
  5. ระบบงานขาดการบำรุงรักษาอย่างถูกต้อง เช่นไม่ patch ระบบเมื่อมีการ upgrade จากทาง vendor เพราะกระทบกระเทือนต่องานไอทีปกติ ทำให้มักรอไปจนบางครั้งก็ลืมทำ ขาดการตรวจสอบสิ่งแปลกปลอมในระบบ ที่ทำให้ระยะเวลาของการค้นพบความผิดปกติของระบบโดยเฉลี่ยยาวถึงเจ็ดเดือนในองค์กรทั่วๆไป
  6. เครือข่ายคอมพิวเตอร์ที่ใช้ในองค์กรเป็นแบบ flat คือมีชั้นเดียวเข้ามาได้แล้วไปได้ทุกที่ ขาดการควบคุม (controls)โดยการทำ segmentationหรือใส่ internal control อื่นๆที่ควรมี โดยเฉลี่ยองค์กรหนึ่งจะมีshadow IT คือมีอุปกรณ์ที่พนักงานต่อเข้าเครือข่ายเองมากถึง 22% ทำให้การรักษาความมั่นคงปลอดภัยยิ่งยากขึ้นอีกหลายเท่า
  7. ขาดการเข้ารหัส (encryption) ของข้อมูลที่เก็บใน storage, และข้อมูลระหว่างการสื่อสาร (transmission) ซึ่งในยุคปัจจุบันเป็นความจำเป็นไปแล้ว อีกทั้งฮาร์ดแวร์ที่เกี่ยวข้องก็สามารถทำการเข้า/ถอด รหัสได้รวดเร็วจนไม่เป็นปัญหาในเชิง performance อีกต่อไปแล้ว
  8. องค์กรส่วนใหญ่ใช้กลยุทธ์การรักษาความมั่นคงปลอดภัยแบบ perimeter defense คือใช้firewall หรือวิธีการแบบป้องกันขอบรั้วไม่ให้เข้า แต่วิธีแบบนี้เป็น yesterday strategy วันนี้แม้ผู้ร้ายจะเข้ามาได้ถึงระดับใดก็ต้องทำให้ไม่สามารถอ่านข้อมูล หรือทำลายฐานข้อมูลทั้งหมดขององค์กรได้ เพราะข้อมูลเข้ารหัสไว้และไม่ได้อยู่เพียงที่เดียว
  9. องค์กรส่วนใหญ่ไม่มี Breach Plan คือแผนรับการบุกรุกที่เข้ามาถึงภายในแล้ว ผู้บริหารและพนักงานทั้งหมดต้องรู้ว่าจะต้องทำอะไรในสถานการณ์เช่นนี้ มิฉะนั้นเมื่อถึงเวลาจริงก็จะทำอะไรไม่ถูก
  10. องค์การที่มีแผนรับการบุกรุกก็ยังขาดการซ้อมรบเพื่อรับสถานการณ์ จำเป็นอย่างยิ่งที่จะต้องมีการซ้อมอย่างสม่ำเสมอ ต้องทำให้แน่ใจว่าการเผชิญวิกฤตการณ์นั้นเกิดครั้งแรกในการซ้อมรับสถานการณ์ ไม่ใช่เกิดครั้งแรกกับเหตุการณ์จริง
  11. องค์กรส่วนใหญ่มีการสำรองข้อมูล (backup) ที่ยังไม่เหมาะสม และพอเพียงกับการทำงานต่อเนื่องอย่างไม่สะดุดหลังเหตุวิกฤต จำเป็นต้องมีการวิเคราะห์ในส่วนของ business continuity management ขององค์กรว่าต้องทำอะไรบ้าง เท่าไร บ่อยแค่ไหน
  12. องค์กรส่วนใหญ่ขาดการร่วมมือและประสานงานแบ่งปันข้อมูลข่าวสารเรื่องภัยต่างๆระหว่างกันเอง เพื่อให้แน่ใจว่ามีการเรียนรู้ประสบการณ์ร่วมกัน ไม่จำเป็นต้องโดนภัยกันทุกองค์กรก่อนจะรู้ว่าป้องกันอย่างไร ทั้งกับองค์กรในอุตสาหกรรมหรือธุรกิจแบบเดียวกันและกับหน่วยงานรัฐที่เกี่ยวข้อง ในที่สุดหากความร่วมมือไม่เกิด ภาครัฐก็จำเป็นต้องเข้ามากำกับแบบpublic-private partnership ให้เกิดการตรวจสอบ (audit and inspection) เพื่อให้แน่ใจว่าองค์กรนั้น จะไม่เป็นจุดอ่อน ให้เกิดความเสียหายกับทั้งระบบธุรกิจ/อุตสาหกรรม 

เพียงขาดข้อใดข้อหนึ่ง องค์กรเอกชนก็ตกอยู่ในภาวะ สุ่มเสี่ยงกับการถูกโจมตีทางไซเบอร์แล้ว!