บริษัท บลูบิค กรุ๊ป จำกัด (มหาชน) หรือ BBIK ที่ปรึกษาชั้นนำผู้ให้บริการด้านดิจิทัลทรานส์ฟอร์เมชันแบบครบวงจร เปิดเทรนด์และมุมมองเชิงลึกด้านความมั่นคงปลอดภัยทางไซเบอร์ในปี 2566 ชี้องค์กรธุรกิจกำลังเผชิญความท้าทายจาก 3 ภัยคุกคามทางไซเบอร์ที่มาแรงสูงสุด ได้แก่ Ransomware-as-a-service จะมีการแพร่กระจายอย่างรวดเร็ว
การโจมตีซัพพลายเชนจะเป็นภัยใกล้ตัวกว่าที่เคย และการโจรกรรมข้อมูลจะส่งผลกระทบต่อความเชื่อมั่นที่ลูกค้ามีต่อองค์กร ด้วยเหตุนี้ภาค
ธุรกิจจึงควรเร่งปิดความเสี่ยงดังกล่าวด้วยการปรับใช้แนวคิด ‘Cyber Resilience’ ซึ่งประกอบด้วย 5 แนวทางที่จะทำให้องค์กรสามารถตั้งรับและตอบสนองต่อการโจมตีทางไซเบอร์ได้อย่างดี รวมถึงการเตรียมความพร้อมในการกู้คืนธุรกิจให้กลับมาดำเนินการได้ตามปกติ
นายพชร อารยะการกุล ประธานเจ้าหน้าที่บริหาร บริษัท บลูบิค กรุ๊ป จำกัด (มหาชน) กล่าวว่า การทำดิจิทัลทรานส์ฟอร์เมชันถือเป็นเรื่องสำคัญของภาคธุรกิจในช่วงหลายปีที่ผ่านมา เพราะการใช้ประโยชน์จากเทคโนโลยี อาทิ ระบบคลาวด์ (Cloud Computing) บล็อกเชน (Blockchain) ปัญญาประดิษฐ์ (Artificial Intelligence – AI) และ Internet of Things (IoT) สามารถสร้างข้อได้เปรียบและโอกาสการเติบโตทางธุรกิจได้
แต่ในขณะเดียวกันก็ทำให้เกิดความซับซ้อนในระบบนิเวศของธุรกิจจนเกิดช่องโหว่หรือจุดอ่อนให้อาชญากรทางไซเบอร์เข้ามาหาประโยชน์ได้ ยิ่งความต้องการใช้เทคโนโลยีมีมากเท่าไร ความเสี่ยงจากภัยคุกคามทางไซเบอร์ก็มากขึ้นเท่านั้น ส่งผลให้ไซเบอร์ซิเคียวริตี้กลายเป็นความกังวลอันดับต้นๆ ของผู้นำองค์กรทั่วโลก
แนวโน้มความเสียหายจากภัยคุกคามทางไซเบอร์เพิ่มขึ้นอย่างต่อเนื่อง โดยในปี 2566 World Economic Forum คาดการณ์มูลค่าความเสียหายจากการโจมตีทางไซเบอร์ทั่วโลกจะแตะ 8 ล้านล้านเหรียญสหรัฐ หรือเพิ่มขึ้น 15% (YoY) เป็นไปในทิศทางเดียวกับการใช้จ่ายด้านไซเบอร์ซิเคียวริตี้ที่จะเพิ่มขึ้น 12% (YoY) เป็น 194,000 ล้านเหรียญสหรัฐ ซึ่งแนวโน้มของความเสี่ยงที่เพิ่มขึ้นอย่างน่ากังวลนี้เป็นสัญญาณเตือนให้องค์กรต้องเร่งยกระดับความมั่นคงปลอดภัยทางไซเบอร์ของตนเอง
บลูบิค เปิดเผยว่า อุตสาหกรรมที่มีความเสี่ยงตกเป็นเป้าหมายการโจมตีสูงสุด ได้แก่ ผู้ให้บริการวิชาชีพต่างๆ ธุรกิจการเงิน สุขภาพ โรงพยาบาล ค้าปลีก และโรงแรม ตามลำดับ ซึ่ง 3 ภัยคุกคามทางไซเบอร์ระดับตัวท็อป คือ
- มัลแวร์เรียกค่าไถ่ (Ransomware) จะแพร่กระจายอย่างรวดเร็วและมากขึ้นเพราะ Ransomware-as-a-service : โดยจะมีการปล่อยไวรัสมัลแวร์เข้าสู่ระบบเพื่อเจาะเข้าสู่ระบบสำคัญ แล้วทำการเรียกค่าไถ่ปัจจุบันแฮกเกอร์มีการพัฒนา Ransomware-as-a-service ที่จะมาพลิกโฉมการเรียกค่าไถ่แบบเดิมๆ ด้วยการขายมัลแวร์ที่ฝังตัวอยู่ในระบบของเป้าหมายในตลาดมืด และตกลงซื้อขายภายใต้เงื่อนไขการแบ่งปันผลประโยชน์ร่วมกันหากผู้ซื้อสามารถเรียกค่าไถ่ได้สำเร็จ ทำให้นับจากนี้การใช้มัลแวร์เรียกค่าไถ่จะทำได้ง่ายและรวดเร็วมากขึ้น เพราะไม่จำเป็นต้องใช้ความเชี่ยวชาญสูงอีกต่อไป ขอเพียงแค่เข้าถึงตลาดมืดหรือชุมชนออนไลน์ที่เหล่าแฮกเกอร์ใช้งานอยู่ก็พอรายงานของหน่วยงาน Cybersecurity ของประเทศในทวีปอเมริกา เปิดเผยว่า ในไตรมาส 3 ปีนี้ ค่าเฉลี่ยของจำนวนเงินค่าไถ่ทางไซเบอร์อยู่ที่ราว 250,000 เหรียญสหรัฐ และพบว่ามีองค์กรกว่า 58% ต้องตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ ขณะที่ 14% ขององค์กรเหล่านี้ต้องจ่ายค่าไถ่มากกว่า 1 ครั้ง โดยมีองค์กรที่ตกเป็นเหยื่อมากกว่าครึ่งที่ต้องใช้เวลามากกว่า 1 เดือน ในการฟื้นฟูความเสียหายที่เกิดขึ้น
- การโจมตีในซัพพลายเชนหรือห่วงโซ่อุปทาน (Supply Chain / 3rd Parties Attack) จะเป็นภัยใกล้ตัวกว่าที่เคย : การโจมตีระบบขององค์กรเป้าหมายอาจจะทำได้ยากขึ้นในปัจจุบัน เหตุผลหนึ่งเป็นเพราะองค์กรต่างๆ มีการยกระดับการป้องกันที่เพิ่มขึ้น ดังนั้นแฮกเกอร์จึงปรับเปลี่ยนรูปแบบการโจมตีโดยมุ่งเป้าไปเป็นการเจาะระบบของผู้ให้บริการภายนอก (Vendor) ที่มีการให้บริการกับหลายๆ องค์กร และมีช่องทางการเข้าสู่ระบบหลังบ้านขององค์กรลูกค้าต่างๆ อยู่แล้ว แฮกเกอร์จึงเจาะระบบของผู้ให้บริการภายนอก เพื่อใช้เป็นช่องทางที่จะเข้าไปสู่ระบบขององค์กรเป้าหมาย โดย บลูบิค ไททันส์ มองว่าการโจมตีผ่านระบบของซัพพลายเชนจะเพิ่มขึ้นอย่างมีนัยสำคัญจากผลสำรวจของ Ponemon Institute พบว่าในช่วง 1 ปีที่ผ่านมา มีองค์กรกว่า 54% ถูกโจมตีทางไซเบอร์ผ่านซัพพลายเชนหรือผู้ให้บริการภายนอก โดยมีเพียง 34% ที่มีความมั่นใจว่าตนเองจะได้รับการแจ้งเตือนจากบริษัทผู้ให้บริการ หากเกิดเหตุการณ์โจมตีทางไซเบอร์ขึ้นกับระบบของผู้ให้บริการ อย่างไรก็ตาม มีองค์กรมากถึง 60% ที่มีความกังวลว่าการโจมตีทางไซเบอร์ผ่านห่วงโซ่อุปทานจะเพิ่มมากขึ้น
- การโจรกรรมข้อมูล (Data Breach) บทเรียนสำคัญที่อาจนำมาซึ่งความสูญเสียชื่อเสียง ความเชื่อมั่น และทรัพย์สินเกินคาดการณ์การโจรกรรมข้อมูลเป็นเหตุการณ์ที่เกิดขึ้นบ่อยในโลกไซเบอร์ โดยมีเป้าหมายหลักเป็นผลประโยชน์ทางการเงิน และพุ่งเป้าไปที่ข้อมูลสำคัญ ความลับทางการค้า ทรัพย์สินทางปัญญา หรือข้อมูลส่วนตัวของลูกค้า เพื่อนำไปเรียกค่าไถ่หรือขายต่อในตลาดมืด โดยความเสียหายจากเหตุการณ์โจรกรรมข้อมูลมีมูลค่าเฉลี่ยอยู่ที่ประมาณ 6,000 บาทต่อ 1 รายการข้อมูล และก่อให้เกิดความเสียหายต่อองค์กรหลายด้าน เช่น ค่าใช้จ่ายจากการแก้ไขปัญหาตลอดจนผลกระทบจากธุรกิจหยุดชะงัก และที่เลวร้ายที่สุดคือการสูญเสียความเชื่อมั่นของลูกค้าที่มีต่อองค์กรรายงานของ IBM ประเมินว่า ในปี 2022 ความเสียหายจากการโจรกรรมทางข้อมูลขององค์กรในภูมิภาคอาเซียนมีมูลค่าเฉลี่ยสูงถึง 2.87 ล้านเหรียญสหรัฐต่อครั้ง และมีองค์กรกว่า 83% ตกเป็นเหยื่อมากกว่า 1 ครั้ง โดย 45% เป็นการโจรกรรมข้อมูลบนระบบคลาวด์ซึ่งองค์กรมีการใช้งานมากขึ้นเรื่อยๆ แต่อาจจะยังขาดมาตรการป้องกันที่เหมาะสม
นายพลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด กล่าวว่า การเตรียมพร้อมเพื่อป้องกันและรับมือกับสถานการณ์ที่อาจเกิดขึ้นเป็นสิ่งที่ทุกองค์กรต้องเร่งทำ เพราะการโจมตีทางไซเบอร์สามารถเกิดขึ้นได้ตลอดเวลาและสร้างความเสียหายมหาศาลทั้งด้านการเงินและความน่าเชื่อถือองค์กร ซึ่งการสร้างภูมิต้านทานภัยคุกคามทางไซเบอร์ให้องค์กรสามารถทำได้ด้วยการประยุกต์ใช้แนวคิด ‘Cyber Resilience’ ที่ประกอบด้วย 5 แนวทาง ดังนี้
- พิจารณาความมั่นคงปลอดภัยทางไซเบอร์ด้วยกรอบการบริหารจัดการความเสี่ยงขององค์กร (Manage Cybersecurity as an Enterprise Risk)
ความมั่นคงปลอดภัยทางไซเบอร์ควรอยู่ภายใต้กระบวนการบริหารจัดการความเสี่ยงในระดับองค์กร กล่าวคือ การพิจารณาประเด็นด้านความมั่นคงปลอดภัยทางไซเบอร์ให้สะท้อนออกมาในรูปแบบของความเสี่ยง ซึ่งรวมถึงผลกระทบในมุมมองต่างๆ เช่น ความเสียหายทางการเงิน การละเมิดกฎหมาย ความเชื่อมั่นจากลูกค้าและคู่ค้า เป็นต้น ซึ่งแนวทางนี้จะทำให้ผู้บริหารองค์กรมีกรอบในการตัดสินใจ และเลือกมาตรการควบคุมที่เหมาะสมกับระดับความเสี่ยงได้ดียิ่งขึ้น ซึ่งองค์กรสามารถนำมาตรฐานของหน่วยงานที่น่าเชื่อถือมาประยุกต์ใช้หรือนำมาเปรียบเทียบกับการดำเนินการขององค์กรในปัจจุบัน เพื่อวางแผนการยกระดับต่อไป - ผู้บริหารระดับสูงควรสนับสนุนให้มีการกำกับดูแลความเสี่ยงทางไซเบอร์ และส่งเสริมให้เกิดวัฒนธรรมองค์กรที่ทุกคนมีส่วนร่วมในการเฝ้าระวังภัย (Executive Play a Key Role in Governance and Fostering a Culture of Cybersecurity Vigilance)
การบริหารจัดการความเสี่ยงทางไซเบอร์ควรได้รับการสนับสนุนจากผู้บริหารระดับสูงขององค์กร ในการกำกับดูแลนโยบาย แผนกลยุทธ์ การจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ รวมถึงการเน้นย้ำถึงความสำคัญและส่งเสริมให้ทุกคนมีส่วนร่วมในการเฝ้าระวังและป้องกันภัยคุกคามทางไซเบอร์ โดยการดำเนินการควรประกอบด้วยโปรแกรมที่สำคัญ– แผนความต่อเนื่องทางธุรกิจ – แผนกู้คืนระบบเทคโนโลยีสารสนเทศ – แผนบริหารจัดการวิกฤตจากการโจมตีทางไซเบอร์ที่ครอบคลุมทั้งวิธีการสื่อสารกับผู้ที่เกี่ยวข้องและการเลือกใช้ผู้เชี่ยวชาญ และ 4) การสร้างความตระหนักในภัยคุกคามทางไซเบอร์และการปฏิบัติงานอย่างปลอดภัย รวมถึงการซักซ้อมกระบวนการรับมือเหตุการณ์ เพื่อให้ทุกฝ่ายเข้าใจบทบาทและหน้าที่ของตนมากยิ่งขึ้น - ผู้บริหารระดับสูงควรกำกับดูแลสถานะความมั่นคงปลอดภัยทางไซเบอร์อย่างใกล้ชิด (Executive Oversee Cybersecurity Posture) ผู้บริหารระดับสูงควรเข้ามากำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างใกล้ชิด โดยการสอบทานรายงานการปฏิบัติ ซึ่งอาจครอบคลุมหัวข้อต่างๆ เช่น ความเสี่ยงที่สำคัญและแนวทางการบริหารจัดการ ภาพรวมของสถานะความมั่นคงปลอดภัยทางไซเบอร์ และแผนกลยุทธ์เพื่อการยกระดับมาตรฐาน เป็นต้น
- กำกับดูแลการดำเนินการให้เป็นไปตามข้อบังคับทางกฎหมายด้านความมั่นคงปลอดภัยทางไซเบอร์และกฎระเบียบที่เกี่ยวข้อง (Maintain Compliance with Cybersecurity Laws and Regulations) องค์กรควรมีการกำกับดูแลและปฏิบัติตามกฎหมายต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการออกกฎหมายลูกฉบับใหม่ๆ อย่างใกล้ชิด โดยองค์กรสามารถนำกฎหมายและข้อบังคับเหล่านี้มาใช้เป็นเกณฑ์ขั้นต้นในการปรับปรุงมาตรฐานด้านความมั่นคงปลอดภัยทางไซเบอร์ของตนเองได้
- ให้ความสำคัญกับเรื่องพื้นฐานด้านความมั่นคงปลอดภัยทางไซเบอร์ที่สำคัญ (Implement Essential Cybersecurity Hygiene) การยกระดับองค์กรให้มีขีดความสามารถในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ได้ดีนั้นต้องการทรัพยากรและความร่วมมือจากผู้เกี่ยวข้องทุกฝ่าย ซึ่งเป็นเรื่องที่ท้าทายและต้องการเวลาสำหรับบางองค์กร ในขณะที่ความเสี่ยงทางไซเบอร์อาจเกิดขึ้นได้ทุกเวลาและสร้างความเสียหายต่อธุรกิจ อย่างน้อยองค์กรควรให้ความสำคัญกับเรื่องสำคัญพื้นฐาน เช่น การจัดการทะเบียนสินทรัพย์สารสนเทศที่ถูกต้องและครบถ้วน การพิสูจน์ตัวตนแบบหลายชั้น ความมั่นคงปลอดภัยข้อมูล การอัปเดตระบบเพื่อปิดช่องโหว่ การจัดการข้อมูลบันทึกระบบ แผนการรับมือเหตุละเมิด การบริหารความเสี่ยงที่เกิดจากผู้ให้บริการ เป็นต้น
“การบริหารจัดการไซเบอร์ซิเคียวริตี้ไม่ใช่เรื่องง่าย แต่ก็ไม่ยากหากมีความเชี่ยวชาญและประสบการณ์บริหารจัดการ และสามารถร้อยเรียงความเสี่ยงเข้ากับแผนงานและกลยุทธ์ขององค์กร ทำให้การยกระดับระบบความมั่นคงปลอดภัยทางไซเบอร์เป็นไปอย่างเหมาะสม ส่งผลให้หน่วยงานภายในองค์กรสามารถดำเนินกิจกรรมตามแผนที่ได้วางไว้อย่างมั่นใจ และสร้างความเชื่อมั่นให้กับผู้มีส่วนเกี่ยวข้องทุกฝ่ายทั้งภายในและภายนอกองค์กร” นายพลสุธี กล่าวปิดท้าย