AI

CISO กับการจัดการ 'Third Party Risk'

By นักรบ เนียมนามธรรม22 ธ.ค. 2025 เวลา 14:00 น.
CISO กับการจัดการ 'Third Party Risk'

ช่องโหว่จากบุคคลที่สามเป็นภัยคุกคามที่พร้อมปะทุได้ทุกเมื่อ

อย่างที่เราทราบกันดีว่าในยุคดิจิทัล แต่ละองค์กรไม่สามารถดำเนินธุรกิจได้ด้วยตนเองเพียงลำพังอีกต่อไป การพึ่งพาบุคคลที่สามจึงมีความสำคัญและมีจำนวนเพิ่มมากขึ้น

ไม่ว่าจะเป็นผู้ให้บริการระบบไอที คลาวด์ ซอฟต์แวร์ ซัพพลายเออร์ หรือพันธมิตรทางธุรกิจต่างๆ ความเชื่อมโยงเหล่านี้ช่วยเพิ่มความคล่องตัวและประสิทธิภาพในการทำงาน

แต่ขณะเดียวกันก็สร้าง “ความเสี่ยงไซเบอร์จากบุคคลที่สาม” หรือ Third-Party Risk ที่กำลังกลายเป็นหนึ่งในภัยคุกคามสำคัญขององค์กรทั่วโลก

Third-Party Risk หมายถึงความเสี่ยงด้านความมั่นคงปลอดภัย ข้อมูล และการดำเนินงานที่เกิดจากบุคคลหรือองค์กรภายนอกซึ่งมีการเชื่อมต่อหรือเข้าถึงระบบขององค์กร โดยทุกการเชื่อมต่อคือโอกาสที่เหล่าบรรดาแฮกเกอร์จะใช้เป็นช่องทางโจมตีระบบ

สำหรับผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer หรือ CISO) แล้ว Third-Party Risk ถือเป็นภัยเงียบที่น่ากังวลอย่างยิ่ง

องค์กรอาจลงทุนมหาศาลเพื่อปกป้องระบบภายใน แต่หากผู้ให้บริการรายใดรายหนึ่งมีมาตรการความปลอดภัยต่ำ ช่องโหว่นั้นอาจกลายเป็นทางลัดให้แฮกเกอร์เจาะเข้าสู่ระบบหลักได้โดยไม่ต้องโจมตีตรงจุด

เหตุการณ์ข้อมูลรั่วไหลจำนวนมากในช่วงหลายปีที่ผ่านมา สะท้อนให้เห็นว่าผู้ไม่ประสงค์ดีมักเลือกโจมตีห่วงโซ่ที่อ่อนแอที่สุด และในหลายกรณี ห่วงโซ่นั้นไม่ใช่องค์กรเจ้าของข้อมูล แต่คือบุคคลที่สามที่ได้รับสิทธิ์เข้าถึงระบบบางส่วน ทำให้การบริหาร Third-Party Risk อย่างมีประสิทธิภาพจึงกลายเป็นภารกิจหลักของ CISO ซึ่งเริ่มตั้งแต่การตรวจสอบ การประเมิน การควบคุมการเข้าถึงและเทคโนโลยี และการกำกับดูแล

เนื้อหาที่เกี่ยวข้อง

โดยสามารถพิจารณาจาก 15 ข้อต่อไปนี้

  1. ตรวจสอบสถานะของบริษัทนั้นๆ ก่อนเลือก Third Party
  2. ขอเอกสารด้านความมั่นคงปลอดภัย เช่น ISO 27001, SOC 2, นโยบายความปลอดภัย
  3. จัดประเภทคู่ค้าตามระดับความเสี่ยง (ต่ำ / กลาง / สูง / สูงมาก)
  4. ลดจำนวนคู่ค้าที่ถูกจัดเป็น “สูงมาก” ให้น้อยที่สุดเท่าที่จำเป็น
  5. จัดทำรายการสิ่งของและซอฟต์แวร์ทั้งหมดของ Third Party
  6. ใช้ระบบ Third-Party Risk Management Platform แบบอัตโนมัติ
  7. ใช้แนวคิด Zero Trust / Least Privilege คือแทนที่จะเชื่อว่าผู้ใช้งานหรือระบบที่อยู่ในเครือข่ายภายในปลอดภัยอยู่แล้ว แต่ทำการตรวจสอบทุกครั้งก่อนอนุญาตให้เข้าถึงระบบ นอกจากนี้ยังจะให้สิทธิน้อยที่สุด เท่าที่จำเป็นเท่านั้น
  8. จำกัดสิทธิ์การเข้าถึงของ Third-Party Programs
  9. แยกเครือข่าย (Network Segmentation)
  10. บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication หรือ MFA) กับทุกบัญชีที่เกี่ยวข้อง
  11. พัฒนาผสานกับการปฏิบัติการ DevSecOps เข้าในวงจรการพัฒนาซอฟต์แวร์ (SDLC)
  12. เฝ้าระวังและติดตามความเสี่ยงของคู่ค้าอย่างต่อเนื่อง
  13. เตรียมความพร้อมและสัญญา Exit Plan / Switching Plan หากต้องเปลี่ยนคู่ค้าแบบฉุกเฉิน
  14. ทำความเข้าใจเกี่ยวกับข้อตกลงความรับผิดชอบร่วมกันกับผู้ให้บริการ SaaS และคลาวด์แต่ละรายให้ชัดเจน
  15. กำกับดูแลและเปิดโอกาสให้ผู้มีส่วนได้ส่วนเสียหลักมีส่วนร่วมด้วย

สุดท้าย Third-Party Risk ถือได้ว่าเป็นโจทย์ใหญ่สำหรับ CISO การเข้าใจ สนับสนุนในเชิงเทคนิค และการปรับใช้ Third-Party Risk Management อย่างจริงจังถือเป็นสิ่งสำคัญ

เพราะการเฝ้าระวังความเสี่ยงอย่างต่อเนื่องและเตรียมแผนสำรองจะช่วยลดความคลุมเครือเมื่อเกิดเหตุด้านความปลอดภัยและลดโอกาสการถูกโจมตี อย่างไรก็ตาม การจัดการ Third-Party Risk ไม่ใช่หน้าที่ของฝ่ายไอทีเพียงฝ่ายเดียว

แต่ต้องอาศัยความร่วมมือจากผู้บริหารระดับสูง ฝ่ายจัดซื้อ ฝ่ายกฎหมายและบุคลากรอื่นๆ ในการบริหารความเสี่ยง หากองค์กรยังมองว่าความปลอดภัยไซเบอร์เป็นเรื่องเทคนิคเพียงอย่างเดียว ช่องโหว่จากบุคคลที่สามจะยังคงเป็นภัยคุกคามที่พร้อมปะทุได้ทุกเมื่อครับ