วันอังคาร ที่ 3 มีนาคม 2569

Login
Login

‘ช่องโหว่คู่ค้า’ กับความท้าทายทางไซเบอร์ขององค์กร

By นักรบ เนียมนามธรรม
‘ช่องโหว่คู่ค้า’ กับความท้าทายทางไซเบอร์ขององค์กร

ปัจจุบันเหตุละเมิดข้อมูลกว่าหนึ่งในสามมีต้นตอมาจากบุคคลที่สาม

เมื่อ “ความเสี่ยงจากบุคคลที่สาม” กลายเป็นปัญหาใกล้ตัวของแทบทุกองค์กร อ้างอิงจากรายงาน State of Third-Party Risk Assessments 2026 ที่สำรวจผู้เชี่ยวชาญด้านการบริหารความเสี่ยงจากบุคคลที่สามกว่า 1,465 คน ครอบคลุมสายงาน IT ความมั่นคงปลอดภัย ความเสี่ยง และการกำกับดูแล ระบุว่า

องค์กรโดยเฉลี่ยต้องเผชิญเหตุการณ์ละเมิดความปลอดภัยจากคู่ค้าหรือผู้ให้บริการภายนอกมากถึง 12 ครั้งต่อปี หรือประมาณเดือนละครั้ง

โดยกว่าครึ่งเชื่อว่า โครงการบริหารความเสี่ยงจากบุคคลที่สาม (Third-Party Risk Management: TPRM) ขององค์กรมีประสิทธิภาพ แต่ตัวเลขความเป็นจริงนั้นกลับสะท้อนภาพตรงกันข้าม โดยถึง 90% ยอมรับว่าองค์กรของตนเผชิญกับการละเมิดความปลอดภัยจากบุคคลที่สามภายในช่วง 12 เดือนที่ผ่านมา

ช่องว่างระหว่าง “ความมั่นใจ” กับ “ผลลัพธ์จริง” นี้สะท้อนให้เห็นถึงปัญหาด้านวุฒิภาวะของกระบวนการ TPRM ในหลายองค์กร รายงานพบว่า มีเพียง 49% เท่านั้นที่วัดผลประสิทธิภาพของการประเมินความเสี่ยงจากบุคคลที่สามอย่างเป็นทางการ

ขณะเดียวกัน ระยะเวลาในการประเมินยังคงล่าช้าและครอบคลุมไม่เพียงพอ โดย 60% ขององค์กรใช้เวลาประเมินนานกว่า 4 เดือนต่อคู่ค้า และโดยเฉลี่ยองค์กรประเมินผู้ให้บริการเพียง 36% ของทั้งหมดที่ใช้งานอยู่ สาเหตุสำคัญมาจากกระบวนการที่ยังพึ่งพาการทำงานแบบ manual เป็นหลัก มากถึง 64% ยังใช้สเปรดชีต (spreadsheet) เป็นเครื่องมือหลักในการประเมินความเสี่ยง

ส่งผลให้การประเมินหนึ่งครั้งต้องใช้ทรัพยากรบุคคลจำนวนมากและต้องใช้เวลามากกว่า 40 ชั่วโมงต่อการประเมินหนึ่งราย และเกือบหนึ่งในสามต้องใช้เวลามากกว่า 160 ชั่วโมงเลยทีเดียว

แม้สถานการณ์จะดูท้าทาย แต่รายงานก็สะท้อนสัญญาณเชิงบวกจากการเริ่มนำ AI มาใช้ช่วยจัดการกระบวนการ TPRM โดย 25% ขององค์กรเริ่มนำ AI มาใช้บางส่วน ขณะที่ 19% ใช้งานอย่างเต็มรูปแบบ และอีก 37% มีแผนจะนำมาใช้ในอนาคต เพราะเชื่อว่า AI ช่วยลดภาระงานซ้ำซ้อน ทำให้บุคลากรสามารถไปโฟกัสงานที่มีมูลค่าสูงขึ้นได้ (53%) ให้ข้อมูลความเสี่ยงแบบเรียลไทม์ (48%) และช่วยให้การบริหารจัดการมีประสิทธิภาพมากขึ้น (42%)

อย่างไรก็ตาม ความเสี่ยงไม่ได้หยุดอยู่แค่คู่ค้าชั้นแรกเท่านั้น รายงานพบว่า มีเพียง 42% ขององค์กรที่ประเมินความเสี่ยงจากบุคคลที่สี่ (Fourth-party risk) และมีแค่ 23% ที่ขยายการประเมินไปเกินกว่าซัพพลายเออร์ที่มีความสำคัญสูง ซึ่งสะท้อนว่าองค์กรจำนวนมากยังมองไม่เห็นความเสี่ยงที่ซ่อนอยู่ในห่วงโซ่อุปทานที่ซับซ้อน

เนื้อหาที่เกี่ยวข้อง

อีกหนึ่งจุดอ่อนสำคัญคือ การแก้ไขความเสี่ยงหลังการประเมินซึ่งยังล่าช้าอย่างมาก มีเพียง 16% ขององค์กรที่ระบุว่าสามารถแก้ไขประเด็นความเสี่ยงได้ครบเกือบทั้งหมดก่อนเริ่มใช้งานคู่ค้า

ขณะที่ 18% ยอมรับว่าโดยทั่วไปแทบไม่มีการแก้ไขใดๆ สาเหตุหลักมาจากข้อจำกัดด้านทรัพยากร และแรงกดดันในการต้องเร่งนำคู่ค้าเข้ามาใช้งาน

นอกจากนี้ การรอคำตอบจากแบบสอบถามประเมินความเสี่ยงก็เป็นอีกปัจจัยที่ทำให้กระบวนการล่าช้า โดยเกินกว่าครึ่งระบุว่าคู่ค้าใช้เวลาตอบกลับเกิน 4 เดือน และโดยเฉลี่ย 27% ของคู่ค้าไม่ตอบกลับเลย

ดังนั้นจึงสรุปได้ว่า องค์กรควรยกระดับผลลัพธ์ด้วยการใช้ระบบอัตโนมัติ ขยายการเข้าถึงข้อมูลความเสี่ยงที่นำไปใช้ตัดสินใจได้จริง และวัดผล TPRM อย่างเป็นรูปธรรม เช่น ระยะเวลาการประเมิน ความครอบคลุมของคู่ค้า และอัตราการเกิดประเด็นซ้ำ

เพราะในปัจจุบันเหตุละเมิดข้อมูลกว่าหนึ่งในสามมีต้นตอมาจากบุคคลที่สาม และความเสียหายเฉลี่ยต่อเหตุสูงถึงหลายหมื่นดอลลาร์ การบริหารความเสี่ยงจากคู่ค้าไม่ใช่เรื่องรองอีกต่อไป แต่คือหัวใจสำคัญของความมั่นคงปลอดภัยองค์กรในยุคดิจิทัลครับ