‘อาเซียน’ ซอฟต์แวร์เถื่อนพุ่ง ละเมิดข้อมูลส่วนบุคคลสูญ 100 ล้านบาท

ปีที่ผ่านมาเกิดข้อถกเถียงกันในแวดวง ‘วิศวกรรม และการออกแบบ’ เนื่องจาก พบว่า บริษัทยักษ์ใหญ่หลายแห่งยังคงใช้งาน ‘ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ’ กันอย่างแพร่หลาย

การดำเนินการของเจ้าหน้าที่ตำรวจ ภูมิภาคเอเชียตะวันออกเฉียงใต้ช่วงที่ผ่านมา พบว่า บริษัทด้านการออกแบบและวิศวกรรม ที่ใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิหลายบริษัท มีส่วนร่วมในโครงการที่เกี่ยวกับระบบโครงสร้างพื้นฐานสาธารณะ

บีเอสเอ|พันธมิตรซอฟต์แวร์ (BSA | Software Alliance) ตัวแทนกลุ่มผู้ผลิตซอฟต์แวร์ที่ใหญ่ที่สุดของโลก และเป็นสมาชิกหน่วยหนึ่งของกลุ่มพันธมิตรทรัพย์สินทางปัญญาสากล ออกมาย้ำเตือน การใช้ซอฟต์แวร์หมดอายุการใช้งาน และไม่ปลอดภัยในโครงการดังกล่าว อาจเกิดความเสี่ยงด้านความปลอดภัยแก่สาธารณะ

'ดรุณ ซอว์เนย์' ผู้อำนวยการอาวุโส บีเอสเอ เล่าว่า ผู้บริหารและผู้นำทางธุรกิจ ในอุตสาหกรรมวิศวกรรมและการออกแบบควรตั้งเป้าหมายสำหรับ 2567 ด้านการจัดการสินทรัพย์ซอฟต์แวร์อย่างรัดกุม เนื่องจากรัฐบาลทั่วทั้งภูมิภาคกำลังจับตามองการใช้ “ซอฟต์แวร์ในโครงการสาธารณะ” อย่างใกล้ชิด เพื่อให้ทุกโครงการที่เกี่ยวกับโครงสร้างพื้นฐานอันมาจากภาษีของประชาชน ได้ถูกออกแบบด้วยซอฟต์แวร์ที่ปลอดภัยและถูกต้องตามกฎหมาย

ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ์ มีความเสี่ยงสูงต่อการถูกคุกคามทางไซเบอร์ ซึ่งปัจจุบันมีจำนวนเพิ่มขึ้นทั่วโลก โดยในภูมิภาคเอเชียตะวันออกเฉียงใต้มีมูลค่าความเสียหายที่เกิดจากการละเมิดข้อมูลพุ่งแตะระดับสูงสุดเป็นประวัติการณ์ สร้างความสูญเสียเป็นมูลค่ามากกว่า 3 ล้านดอลลาร​ หรือกว่า 100 ล้านบาท ในปี 2566 ซึ่งสูงขึ้นถึง 6% เมื่อเทียบกับปี 2565

เปิดคำแนะนำองค์กร

บีเอสเอ แนะข้อปฏิบัติหลักๆ ให้ภาคธุรกิจ เพื่อเป็นแนวทางในการปฏิบัติตามกฎระเบียบของซอฟต์แวร์และส่งเสริมความปลอดภัยทางไซเบอร์

เริ่มด้วยใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิเพื่อเป็นปราการด่านแรกตั้งรับอาชญากรรมทางไซเบอร์ เนื่องจากผู้ให้บริการซอฟต์แวร์ที่ได้รับอนุญาตถูกต้องตามกฎหมาย จะมีการตรวจสอบการเปลี่ยนแปลงของระบบอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ต่าง ๆ ทำให้ผู้ใช้งานสามารถติดตั้งซอฟต์แวร์ที่มาพร้อมกับมาตรการรักษาความปลอดภัยตัวล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นอยู่ตลอดเวลา

กลับกัน การใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิจะสร้างความเสี่ยงอย่างมากให้กับองค์กร เนื่องจากโปรแกรมเหล่านี้มักขาดการตรวจสอบด้านความปลอดภัย เกิดช่องโหว่ในระบบ และเปิดโอกาสให้อาชญากรไซเบอร์เข้ามาโจมตีได้ ยิ่งไปกว่านั้นยังต้องเสี่ยงกับมัลแวร์ แรนซัมแวร์ และภัยคุกคามอื่นๆ ที่อาจส่งผลกระทบต่อความมั่นคงโครงการ ไปจนถึงการถูกละเมิดข้อมูล ขัดขวางการดำเนินการทางธุรกิจ

ดังนั้นองค์กรควรจัดซื้อซอฟต์แวร์จากผู้จัดจำหน่ายที่เชื่อถือได้และถูกต้องตามกฎหมาย สร้างความมั่นใจได้ว่าจะปราศจากภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นโปรแกรมประสงค์ร้าย ไวรัส หรือช่องโหว่ที่เป็นอันตรายที่อาจส่งผลต่อความปลอดภัยของระบบต่างๆ ภายในองค์กร

ขณะเดียวกัน องค์กรควรสร้างระบบการจัดการสินทรัพย์ที่แข็งแกร่ง หนึ่งในนั้น คือการตรวจสอบสถานะของไลเซนส์ซอฟต์แวร์เป็นประจำ นอกจากนี้ ธุรกิจต่างๆ ควรตระหนักถึงความสำคัญของการประยุกต์ใช้ปัญญาประดิษฐ์ หรือ เอไอ เข้ากับระบบรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน เนื่องจากเหล่าอาชญากรไซเบอร์ต่างใช้ประโยชน์จากเทคโนโลยีมากขึ้นเรื่อย ๆ ในการวางแผนการโจมตีทางไซเบอร์ที่ซับซ้อน

แนะดึง เอไอ ช่วยวิเคราะห์

ธุรกิจต้องก้าวตามภัยคุกคามใหม่ให้ทัน สามารถทำได้โดยการลงทุนในโซลูชั่นที่ขับเคลื่อนด้วยเอไอ เพราะเอไอมีบทบาทสำคัญในการวิเคราะห์อีเมล และพฤติกรรมผู้ใช้งาน เพื่อวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น

"เอไอ สามารถช่วยตรวจจับการลงชื่อเข้าใช้และบัญชีผู้ใช้ที่น่าสงสัย พร้อมทั้งช่วยเสริมความปลอดภัยให้กับโซลูชันสำหรับการพิสูจน์ตัวตนได้อีกด้วย เมื่อองค์กรต่างๆ นำเอไอ มาประยุกต์ใช้ จะสามารถเสริมการป้องกันขององค์กร ตลอดจนระบุและรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในเชิงรุกได้"

“ซอว์เนย์” ทิ้งท้ายไว้ว่า องค์กรควรกำหนดนโยบายการใช้งานซอฟต์แวร์ให้พนักงานทุกคนปฏิบัติตาม เพื่อสร้างวัฒนธรรมเพื่อความปลอดภัยทางไซเบอร์ กุญแจสำคัญของนโยบายนี้ คือ สร้างกระบวนการที่ชัดเจนและเป็นระบบสำหรับการรายงานเกี่ยวกับสิ่งที่ไม่เป็นไปตามกฎระเบียบ การคุกคาม และช่องโหว่ต่างๆ สนับสนุนให้พนักงานมีส่วนร่วมในกระบวนการเหล่านี้

อย่างไรก็ตาม เขาย้ำว่า ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ ถือเป็นการละเมิดกฎหมาย และอาจส่งผลให้เกิดผลกระทบร้ายแรง ทั้งการเสียค่าปรับจำนวนมาก และการถูกดำเนินคดีทางกฎหมายเนื่องจากเป็นการละเมิดสิทธิในทรัพย์สินทางปัญญา

"ปีนี้ การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์จะมีความสำคัญมากยิ่งขึ้น โดยเฉพาะกับบริษัทที่ทำงานเกี่ยวกับโครงสร้างพื้นฐานสาธารณะทั้งนี้ การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์ถือเป็นพื้นฐานในการรับรองความปลอดภัยของตัวบุคคลและองค์กรในระยะยาว"