เปิด 10 ข้อ ไซเบอร์ซิเคียวริตี้ 2023 เตรียมองค์กรพร้อมรับความเสี่ยง

"ปริญญา หอมเอนก" ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ทำนายแนวโน้มดังกล่าวทุกปีเช่นกัน สำหรับ Top Ten Cybersecurity & Privacy Threats and Trends 2023

ปีนี้มาพร้อมกับคำแนะนำ 10 ข้อ ไซเบอร์ซิเคียวริตี้ 2023 ดังนี้

1.จัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือ Cyber Drill การสร้างความตระหนักรู้ความปลอดภัยไม่เพียงพออีกต่อไปแล้ว

ดังนั้นองค์กรจำเป็นจะต้องจัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือที่เรียกว่า Cyber Drill เพื่อซักซ้อมแนวทางปฏิบัติที่จะรับมือกับการเผชิญเหตุอย่างน้อยปีละ 1-2 ครั้ง เป็นการสร้างภูมิคุ้มกันให้แก่บุคลากรและองค์กรไปพร้อมๆ กัน

ปริญญา อธิบายว่า “Cyber Drill” (Cyber Attack Simulation) เป็นการจำลองเหตุการณ์โจมตี ทั้งการโจมตีระบบ และการโจมตีที่จิตใจคน เพราะปัจจุบันภัยไซเบอร์ ไม่ได้มาในรูปแบบการโจมตี เพื่อบุกรุกเข้าสู่ระบบสารสนเทศขององค์กรเพียงอย่างเดียว แต่จะมุ่งเป้าโจมตีไปที่จิตใจคนเพื่อให้เกิดความโลภหรือเกิดความกลัวจนรีบทำในสิ่งที่แฮกเกอร์หลอกลวงโดยไม่รู้เท่าทัน

การจำลองเหตุการณ์ Cyber Attack จะทำให้เกิดความคุ้นชินกับการโจมตีที่มุ่งเป้าไปที่ตัวบุคคล เพราะเมื่อเราได้เห็นหรือมีประสบการณ์แล้วก็จะรู้ว่า ถ้าโดนโจมตี เราต้องจัดการกับเหตุการณ์นั้นอย่างไร และไม่ตื่นตระหนกตกใจกับเหตุการณ์ดังกล่าวมากจนเกินไป ถ้าเรามีสติ โอกาสที่จะตกเป็นเหยื่อมิจฉาชีพก็จะลดลง

2. ปีนี้องค์กรต้องจัดให้มีการประเมินประสิทธิภาพและประสิทธิผลของ Incident Response Plan

แนวปฏิบัติที่จะสามารถสร้างความพร้อมเผชิญเหตุให้ผู้บริหารองค์กรมั่นใจมากขึ้น หากต้องเผชิญกับภัยคุกคาม สามารถแก้ปัญหา กู้คืนข้อมูล และดำเนินธุรกิจต่อได้อย่างมั่นคง โดยไม่รับผลกระทบรุนแรง

"การเปลี่ยน Mindset จึงไม่เพียงพอที่จะรับมือกับภัยไซเบอร์ เพราะนอกจากความตระหนักรู้ (Awareness) และความเข้าใจ (Understand) เกี่ยวกับภัยไซเบอร์แล้ว ก็ยังต้องทำให้เกิดการนำไปปรับใช้ (Adopt) ด้วย เนื่องจากปัจจุบันหมดยุค "Are We Secure?” หรือ เราปลอดภัยหรือไม่? เพราะไม่มีทางที่เราจะปลอดภัยได้ 100% แต่กลับต้องถามว่า "Are we Ready?" หรือ เราพร้อมหรือไม่? โดยเราทุกคนควรจะต้องสามารถรับมือกับภัยไซเบอร์ที่มีหลากหลายรูปแบบในปัจจุบันได้ด้วยตนเอง"

 

3.ประเมินมาตรฐานความมั่นคงปลอดภัยของเวนเดอร์หรือซัพพลายเออร์

องค์กรควรต้องมีหลักประเมินมาตรฐานความมั่นคงปลอดภัยของเวนเดอร์ หรือซัพพลายเออร์ กำหนดมาตรฐานขั้นต่ำเอาไว้ เช่น องค์กรควรกำหนดให้เวนเดอร์หรือซัพพลายเออร์ ต้องผ่านการประเมินมาตรฐาน ISO/IEC 27001 ควรทำ Vulnerability Assessment และ Penetration Testing หรือนำกรอบแนวทางปฏิบัติของ NIST Cybersecurity Framework หรือ CISA Cyber Resilience Review มาใช้ภายในองค์กร

“เพราะเบื้องหลังการดำเนินธุรกิจปัจจุบันใช้ระบบ Digital Supply Chain หรือ ห่วงโซ่อุปทานดิจิทัลกันแพร่หลาย ติดต่อซื้อขายสินค้าและบริการผ่านระบบออนไลน์ ทั้งฝ่ายผู้ซื้อผู้ขายเชื่อมต่อระบบเข้าหากันในลักษณะ Online Real-time อันเป็นช่องทางให้เกิดความเสี่ยงภัยหากคู่ค้ารายใดถูกโจมตี” ปริญญา กล่าว

 

4.จำลองเหตุการณ์ไม่พึงประสงค์เสมือนจริงหรือ BAS

แม้จะมีค่าใช้จ่าย แต่องค์กรจะได้เรียนรู้เชิงลึก พร้อมรับสถานการณ์ไม่พึงประสงค์ เช่น สถานการณ์ข้อมูลรั่วไหล วิธีการกู้คืนข้อมูล วิธีการ Block Traffic ที่เกิดปัญหา แนวปฏิบัติในการรับมือกับสถานการณ์ข้อมูลรั่ว ตลอดจนการซ้อม Crisis Management และการกอบกู้ชื่อเสียงขององค์กร

 

5. ตระหนักรู้เรื่อง Digital Identity และ Digital Footprint

เมื่อต้องทำธุรกรรมผ่านระบบออนไลน์ หรือลงทะเบียนกับแพลตฟอร์มที่ต้องใช้ Digital Identity หรืออัตลักษณ์ดิจิทัลของบุคคล ควรจะต้องใช้ 2FA หรือ Two-factor Authentication เป็นการยืนยันตัวตนแบบสองปัจจัย จะช่วยให้มีความปลอดภัยยิ่งขึ้น ส่วน Digital Footprint หรือร่องรอยทางดิจิทัล เป็นเรื่องที่สามารถควบคุมได้ด้วยตัวเอง หากมีกิจกรรมในแพลตฟอร์มน้อย ประวัติใช้งานก็จะน้อยตามไปด้วย

“ข้อสำคัญไม่ควรเปิดการใช้งานเป็นสาธารณะเพราะอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้ามาดูเรื่องราวที่เราโพสต์ไว้ได้ตลอดเวลา และนำ Digital Footprint ของเราไปใช้ประโยชน์ในทางมิชอบ”

 

6.ตระหนักรู้ความเสี่ยงภัยดิจิทัล และความเหลื่อมล้ำดิจิทัล

ปัจจุบันเป็นยุค Digital Transformation ทุกคนจำเป็นต้องรู้เท่าทันความเสี่ยงภัยทางดิจิทัล (Digital Risk) และความเหลื่อมล้ำทางดิจิทัล (Digital Inequality) ทุกคนควรต้องหาความรู้ให้กับตัวเองเพื่อลดความเสี่ยงภัยที่มากับดิจิทัล และเรียนรู้ทักษะใช้อุปกรณ์ดิจิทัลต่างๆ รวมทั้งต้องลงมือปฏิบัติในการปรับค่าต่างๆ ในอุปกรณ์ดิจิทัลให้มีความมั่นคงปลอดภัย

 

7. ปฏิรูปองค์กรไปสู่ดิจิทัลให้สำเร็จต้องยกระดับองค์กรไปสู่ “Unknown Knowns"

สำหรับองค์กรหากจะปฏิรูปองค์กรไปสู่การทำ Digital Transformation ให้สำเร็จ ควรก้าวข้ามจากความปลอดภัยไซเบอร์ หรือ Cybersecurity ไปยังแนวทางใหม่ได้แก่ “Cyber Resilience” องค์กรจะมุ่งสู่สภาวะที่มีความยืดหยุ่น และทนทานต่อการโจมตีของภัยคุกคามต่างๆ

"สิ่งสำคัญคือ องค์กรจะต้องหลุดจากกลุ่ม Unknown Unknowns มาอยู่ในกลุ่ม Unknown Knowns หรือ Known Unknowns ตามหลักคิดของ Mr.Donald Rumsfeld อดีตรัฐมนตรีว่าการกระทรวงกลาโหมสหรัฐสองสมัย เป็นเรื่องของความไม่รู้ที่น่ากลัวเพราะ ไม่รู้ว่าตัวเองไม่รู้ (Unknown Unknowns)”

 

8. CIO & CISO ต้องสร้างคุณค่าในการขับเคลื่อนองค์กรแบบมืออาชีพ

นอกเหนือจากบทบาทด้านเทคโนโลยีสารสนเทศ และความมั่นคงปลอดภัยไซเบอร์ ยังจำเป็นต้องมีผลงานในการสร้างคุณค่าต่อการขับเคลื่อนธุรกิจในเชิงประจักษ์ด้วย หาก CIO/CISO ไม่มีความสามารถในการสร้างคุณค่าให้องค์กร เชื่อว่าในไม่ช้าไม่นานก็อาจหมายถึงการสิ้นสุดตำแหน่งที่ครอบครองอยู่ ซึ่งการเปลี่ยนแปลงดังกล่าวจะเกิดขึ้นในยุคปัจจุบันหรืออนาคตอันใกล้นี้

 

9. ตระหนักรู้รับแนวโน้มแห่งยุค “ความหลากหลาย ความเสมอภาค และการมีส่วนร่วม” หรือ DEI (Diversity, Equity, and Inclusion)

เป็นแนวโน้มใหม่ของโลกในศตวรรษที่ 21 ที่ผู้บริหารระดับสูงขององค์กร ควรต้องรู้และปรับตัวให้รับกับการเปลี่ยนแปลงที่เกิดขึ้น ขณะที่ผู้บริหารจัดการงานทางด้าน Cybersecurity ก็ควรจะต้องเปิดใจให้กว้างขึ้นตามแนวโน้มของ DEI เช่นเดียวกันกับผู้บริหารสายงานอื่นๆ

 

10.ตระหนักรู้เพื่อรับมือกับความผิดปกติของข้อมูล หรือ Information Disorder ประกอบด้วย 3 ประเภท ได้แก่

1. Misinformation เป็นข้อมูลที่ “ผิด”
2. 2. Disinformation เป็นข้อมูลที่ “ถูกบิดเบือน”
3. Malinformation เป็นข้อมูล “ความจริงที่สร้างความเดือดร้อน”

ปัจจุบันเป็นยุคที่ข้อมูลที่เผยแพร่ตามสื่อโซเชียลต่างๆ มีหลายรูปแบบ ดังนั้น ควรต้องแยกแยะให้ออกว่า ข่าวสารหรือข้อความที่ได้รับมานั้นจัดอยู่ในประเภทใด ไตร่ตรองให้ดีก่อนเชื่อก่อนแชร์ เมื่อรู้ว่าเป็นข้อมูลที่อยู่ใน 3 ประเภทที่กล่าวมาก็ไม่ควรที่จะเสพต่อไป