ถอดบทเรียน ‘แรนซัมแวร์’ ไอบีเอ็ม แนะธุรกิจสกัด'ภัยไซเบอร์

เราต้องก้าวให้ทันมัลแวร์และภัยคุกคามรูปแบบใหม่ๆ ที่เกิดขึ้นตลอดเวลา

ข่าวใหญ่ที่ที่พูดถึงกันมากเมื่อสัปดาห์ที่ผ่านมา คือ การที่ระบบคอมพิวเตอร์โรงพยาบาลสระบุรีขัดข้องจากการโดน “แรนซัมแวร์” สร้างความเสียหายให้ระบบภายในในการส่งข้อมูลจากการพบแพทย์ในห้องตรวจไปยังห้องจ่ายยา โดยข้อมูลถูกล็อกไว้ ไม่สามารถเข้าไปใช้งานได้

แม้การเจาะระบบด้วยวิธีฟิชชิ่งและช่องโหว่เก่าๆ บนไมโครซอฟท์ ออฟฟิศ และ วินโดว์ส เซิร์ฟเวอร์ แมสเสจ บล็อก ที่เป็นที่รู้กันอยู่แล้ว จะเป็นเทคนิคที่อาชญากรไซเบอร์ยังนำมาใช้ในอัตราสูงในปี 2562 แต่รายงาน IBM X-Force Threat Intelligence Index กลับพบว่า การโจมตีด้วยแรนซัมแวร์มีปริมาณเพิ่มขึ้นถึง 67% ในไตรมาสสุดท้ายของปี 2562 เมื่อเทียบปีก่อนหน้า โดยอาชญากรไซเบอร์ได้คิดค้นโค้ดแรนซัมแวร์รูปแบบใหม่เพื่อการโจมตีที่รุนแรงขึ้น

การใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเป็นตัวนำเข้าถึงระบบ ได้รับความนิยมเพิ่มมากขึ้น คิดเป็นสัดส่วน 29% จากเหตุที่เฝ้าสังเกตุทั้งหมด เฉพาะในปี 2562 เพียงปีเดียว มีข้อมูลรั่วไหลกว่า 8,500 ล้านเรคคอร์ด ทำให้มีการรับแจ้งเหตุข้อมูลรั่วไหลเพิ่มขึ้นจากปีก่อนถึง 200% ส่วนข้อมูลประจำตัวที่ถูกขโมยและถูกอาชญากรไซเบอร์นำไปใช้เป็นข้อมูลตั้งต้นนั้นก็เพิ่มสูงขึ้นเช่นกัน

ชี้ “การเงิน-ประกัน”เสี่ยงโดนโจมตี

“ปฐมา จันทรักษ์” รองประธานด้านการขยายธุรกิจในกลุ่มประเทศอินโดจีน และกรรมการผู้จัดการใหญ่ ไอบีเอ็ม ประเทศไทย กล่าวว่า ผลจากเหตุแรนซัมแวร์ที่เกิดขึ้นเมื่อสัปดาห์ที่ผ่านมา นำสู่ความตื่นตัวในการมองหามาตรการป้องกันเหตุโจมตีสำหรับโรงพยาบาลทั่วประเทศ เมื่อมองย้อนกลับมาที่การบริการการเงิน ถึงเวลาแล้วหรือไม่ที่องค์กรในภาคส่วนนี้ต้องหันมาให้ความสำคัญกับมาตรการป้องกันภัยไซเบอร์อย่างจริงจัง

รายงาน IBM X-Force Threat Intelligence Index ชี้ว่าอุตสาหกรรมการเงินและประกันภัย เป็นอุตสาหกรรมที่ถูกภัยไซเบอร์โจมตีมากที่สุดในปีที่ผ่านมา ซึ่งนับเป็นปีที่สี่ติดต่อกันแล้ว โดยการโจมตีที่เกิดขึ้นในอุตสาหกรรมนี้นับเป็น 17% ของการโจมตีที่เกิดขึ้นกับทั้ง 10 อุตสาหกรรมชั้นนำ

คาดว่า กลุ่มอาชญากรไซเบอร์ที่มีเงินเป็นแรงจูงใจน่าจะเป็นกลุ่มหลัก ที่ตั้งเป้าโจมตีกลุ่มธุรกิจการเงิน และสิ่งที่ดึงดูดใจก็คงหนีไม่พ้นแนวโน้มในการจ่ายเงินก้อนใหญ่อย่างรวดเร็วหากสามารถโจมตีได้สำเร็จ ดังนั้นถึงเวลาที่อุตสาหกรรมบริการทางการเงินต้องมีกลยุทธ์ไซเบอร์ซิเคียวริตี้อย่างจริงจัง

ในโลกที่ VUCA (ความผันผวน ความไม่แน่นอน ความซับซ้อน และความคลุมเครือ) กำลังเพิ่มสูงขึ้น อุตสาหกรรมบริการทางการเงินมักต้องเผชิญกับความเจ็บปวดแสนสาหัสจากปัญหาและอุปสรรคด้านความไซเบอร์ซิเคียวริตี้ นอกเหนือจากการละเมิดข้อมูลแล้ว ผลกระทบจากปัญหาและอุปสรรคเหล่านี้ คือ การที่แบรนด์ของบริษัทค่อยๆ ถูกทำลายลงทีละน้อย ความเชื่อมั่นด้านดิจิทัลลดลง และผลกระทบที่ย้อนกลับไปสู่ฝ่ายที่รับมือหน่วยงานกำกับดูแลต่างๆ บริษัทบริการทางการเงินที่สามารถวางแนวทางแก้ปัญหาด้านไซเบอร์ซิเคียวริตี้พร้อมไปกับการสร้างประสบการณ์ก้าวล้ำให้กับลูกค้า ย่อมสามารถเติบโตแบบก้าวกระโดดได้ในอุตสาหกรรมนี้

สิ่งที่ผู้ให้บริการทางการเงินต้องปรับปรุงกลยุทธ์ด้านไซเบอร์ซิเคียวริตี้ ต้องให้ความสำคัญกับมิติต่างๆ เช่น ประเมินความเสี่ยง อิงจากวัตถุประสงค์ทางธุรกิจ ผู้ให้บริการทางการเงินควรทราบลักษณะข้อมูล อุปกรณ์ และจุดเข้าใช้งานที่สำคัญที่สุดสำหรับแฮกเกอร์ รวมถึงระบุสิ่งที่จำเป็นต้องปกป้อง (เช่น แอพพลิเคชั่นที่มีความสำคัญต่อธุรกิจ เป็นต้น) ค่าความเสี่ยงในระดับที่ยอมรับได้ ความเป็นไปได้และผลที่คาดว่าจะตามมาจากการถูกโจมตี องค์กรควรประเมินความสามารถการรักษาความปลอดภัยเทียบกับมาตรฐานทั่วไป

การสร้างความเชื่อมั่นด้านดิจิทัล ลูกค้าไม่ควรต้องเจอประสบการณ์ที่แย่ จากกระบวนการระบุตัวตนและลงชื่อเข้าใช้บริการต่างๆ อย่างที่เราเคยเจอในอุตสาหกรรมอื่นๆ องค์กรควรนำวิธีการใหม่ๆ มาใช้ในการจัดการข้อมูลระบุตัวตนและสิทธิ์การเข้าถึง โดยสามารถพิจารณาใช้เทคโนโลยีต่างๆ เช่น ไบโอเมทริกซ์เชิงพฤติกรรมแบบ Passive ที่มุ่งเน้นที่ “ตัวตนและสิ่งที่คุณเป็น มากกว่าสิ่งที่คุณรู้” เมื่อต้นทุนการหาลูกค้าเพิ่มสูงขึ้น บริษัทที่ให้บริการทางการเงินจึงไม่อาจปล่อยให้ความเชื่อมั่นด้านดิจิทัลลดลงได้

ศูนย์บริการ SOC ต้องล้ำสมัย

ไอบีเอ็ม แนะด้วยว่า ไทยควรเดินหน้าสู่ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) แบบค็อกนิทิฟอย่างจริงจังได้แล้ว ศูนย์ SOC ของหน่วยงานที่ให้บริการทางการเงินมักได้รับการแจ้งเตือนเหตุด้านซิเคียวริตี้อย่างล้นหลามหลายพันรายการในแต่ละวัน ซึ่งนักวิเคราะห์ในศูนย์ SOC ขององค์กรเหล่านี้ย่อมไม่สามารถต่อกรกับข้อมูลทั้งหมดได้ทัน ยิ่งเมื่อมองถึงความจำเป็น ที่ต้องก้าวให้ทันมัลแวร์และภัยคุกคามรูปแบบใหม่ๆ ที่เกิดขึ้นตลอดเวลาแล้ว จึงต้องมองถึงศูนย์ SOC แบบค็อกนิทิฟที่ใช้ความสามารถจากเทคโนโลยีเอไอมาช่วย

ศูนย์ SOC แบบค็อกนิทิฟช่วยให้องค์กรต่างๆ ใช้ประโยชน์จากข้อมูลที่มีโครงสร้างและไม่มีโครงสร้าง ทั้งจากแหล่งข้อมูลภายในและภายนอก เพื่อตรวจจับและตอบสนองต่อภัยคุกคามทั้งบนเครือข่าย ที่เอ็นด์พอยท์ต่างๆ ที่ผู้ใช้ หรือแม้แต่ในระบบคลาวด์ ระบบที่สามารถเรียนรู้และทำความเข้าใจถึงภูมิทัศน์ของปัญหาไซเบอร์ซิเคียวริตี้ได้ตลอดเวลา จะนำกุญแจสู่ศูนย์ SOC ในรูปแบบที่ไม่เคยมีมาก่อน

ขณะที่ องค์กรควรฝึกซ้อมรับมือกับเหตุการณ์ด้านไซเบอร์ซิเคียวริตี้เป็นประจำ นำแนวทางการรับมือที่สามารถปรับเปลี่ยนตามสถานการณ์ได้ ซึ่งใช้ประโยชน์จากเอไอ และแมชชีนเลิร์นนิง ใช้ประโยชน์จากระบบคลังข้อมูลภัยคุกคามทางไซเบอร์จากเทคโนโลยีเหล่านี้ จะทำให้องค์กรสามารถฝึกซ้อมรับมือเหตุการณ์ด้านไซเบอร์ซิเคียวริตี้ได้เป็นระยะๆ

ดึง “ไฮบริดคลาวด์”หนุนการทำงาน

รวมถึงการสานต่อนวัตกรรมซิเคียวริตี้ให้ระบบคลาวด์ขององค์กร องค์กรในอุตสาหกรรมบริการทางการเงินจะได้รับประโยชน์จากข้อดีสองประการของสภาพแวดล้อมแบบไฮบริดคลาวด์ นั่นก็คือ การเติบโตที่รวดเร็ว และความปลอดภัยของข้อมูลและเวิร์คโหลดในระบบคลาวด์ที่ดียิ่งขึ้น ที่สำคัญ องค์กรต้องร่วมมือกับเพื่อนร่วมวงการ ผู้เชี่ยวชาญเฉพาะทาง และชุมชนทั้งออนไลน์และออฟไลน์เพื่อต่อยอดการเรียนรู้และองค์ความรู้ที่มี

ผู้ให้บริการทางการเงินควรกลายเป็นผู้สร้างนวัตกรรมที่มอบประสบการณ์แบบไร้รอยต่อที่ปรับเปลี่ยนได้ตามความต้องการของลูกค้าแต่ละราย พร้อมด้วยการดำเนินด้านซิเคียวริตี้ที่สเกลได้ มีความคล่องตัว และขับเคลื่อนด้วยข้อมูล ในโลกที่มีการเปลี่ยนแปลงอย่างไม่หยุดนิ่ง องค์กรล้าหลังที่มีความสามารถด้อยกว่าย่อมไม่สามารถก้าวข้ามบททดสอบด้านไซเบอร์ซิเคียวริตี้ไปได้