เรื่องของความปลอดภัยในการใช้งานโซเชียลมีเดียนั้น คนไทยเริ่มที่จะตื่นตัวกันมากขึ้น แต่ส่วนใหญ่จะเกิดขึ้นหลังจากเจอปัญหาเรื่องการขโมยข้อมูล ทาง MFEC, Symantec และ Deloitte จึงได้แท็กทีมกันให้บริการการป้องกันการรั่วไหลของข้อมูล สำหรับธุรกิจที่ไม่อาจละเลยเรื่องความปลอดภัย ในขณะเดียวกันก็ไม่กระทบการใช้งานของพนักงาน
โดยในงานสัมมนา BOT CSEC 2019 Cyber Security for Digital Citizens เกี่ยวกับเรื่องความปลอดภัยขององค์กรธุรกิจ ได้มีวิทยากร 3 ท่านคือ ดำรงศักดิ์ รีตานนท์ Chief Cyber Security Officer จาก MFEC, ดร.รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าทีมวิศวกรระบบ บริษัท ไซแมนเทค ประจำประเทศไทยและ CLM , ปาริชาติ จิรวัชรา ที่ปรึกษาด้านบริหารความเสี่ยง บริษัท ดีลอยท์ ประเทศไทย มานำเสนอประเด็นที่น่าสนใจมากมายเลยค่ะ
ใครคือจุดอ่อนที่สำคัญ
Gartner เคยให้คำนิยามไว้ว่า
“Blockchain, quantum computing, augmented analytics and artificial intelligence will drive disruption and new business models”
นั่นแสดงให้เห็นว่า เทคโนโลยีใหม่ จะเข้ามาทำลาย (Disrupt) หรือสร้างโอกาส (Startup) อยู่ที่ฝ่ายบริหารจะเลือกกำหนดโอกาสและเป้าหมายของธุรกิจ โดยจะเลือกการวิ่งตามให้ทันหรือเดินหน้าก่อนก้าวหนึ่ง เพื่อไม่ให้เสียโอกาสทางธุรกิจก็ต้องวางแผนให้ดี
ทั้งนี้ หลายธุรกิจขนาดใหญ่ล้วนเคยเจอผลกระทบจากการรั่วไหลของข้อมูล ที่มาจากทีมงานหรือบุคลากรภายใน ซึ่งเรียกได้ว่า ทีมงานที่อยู่ในองค์กรของเรานั้น อาจเป็นเหตุผลหรือปัจจัยหลักที่ต้องสูญเสียข้อมูลสำคัญ ดังนั้น การจัดลำดับชั้นความสำคัญของข้อมูลน่าจะช่วยเรื่องความปลอดภัยได้
อย่างไรก็ตาม ปัญหาเรื่อง Data Breaches หรือ การละเมิดข้อมูลส่วนตัว หรือการถูกปล่อยข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับไปสู่สภาพแวดล้อมที่ไม่น่าเชื่อถือ โดยไม่ได้ตั้งใจ จนก่อให้เกิดการรั่วไหลของข้อมูลและการถูกแฮกข้อมูลนั้น เรื่องของระบบรักษาความปลอดภัยภายในองค์กรเป็นสิ่งสำคัญ
พนักงานหรือคนส่วนใหญ่มักมองว่าเป็นหน้าที่ของฝ่ายไอทีหรือฝ่ายซีเคียวริตี้ แต่ในความเป็นจริงแล้ว อยู่ที่ทุกหน่วยงานภายในองค์กรควรตระหนักถึงปัญหา และความเสี่ยงที่อาจเกิดขึ้นในการเชื่อมต่อแต่ละครั้ง หรือแต่ละสถานที่
อย่างไรก็ตาม Data Breaches ที่ส่งผลกระทบด้านข้อมูลรั่วไหล จะเปลี่ยนรูปแบบไปทำให้องค์กรต่างๆ มองหาการควบคุมที่เคร่งครัดและรัดกุมขึ้น นั่นก็ส่งผลเชิงลบต่อผู้ใช้งาน เพราะเขาจะรู้สึกโดนกดดันในการใช้งานมากเกินไป ซึ่งฝ่ายซีเคียวริตี้ก็ต้องเข้าไปวางแผนให้ดีตั้งแต่ต้น
A New Attack Surface Data Breach 2019
หลายคนคงอาจคิดว่าการรักษาความปลอดภัย ด้วยวิธีการ 4 แบบ ดังต่อไปนี้ จะปลอดภัย อาจต้องมองและคิดใหม่อีกครั้ง เพราะตอนนี้แฮคเกอร์กำลังใช้กลยุทธ์ในการโจมตี ผ่านความปลอดภัย 4 รูปแบบนี้เสียแล้ว
- ลายนิ้วมือ อาจไม่ปลอดภัยอีกแล้ว แม้ว่าก่อนหน้านี้หลายคนมองว่าการยืนยันตัวตนด้วยลักษณะทางกายภาพถือว่าปลอดภัยและดีที่สุด แต่รู้หรือไม่ว่ามุขขโมยลายนิ้วมือที่เคยเห็นกันในละครหรือภาพยนตร์ กลายมาเป็นเรื่องจริงในการขโมยข้อมูลของแฮคเกอร์ได้แล้ว เพียงแค่ 150 เหรียญ แฮคเกอร์สามารถซื้อขาย Face ID ในตลาดมืดได้แล้ว ยิ่งความฉลาดของระบบในการให้คุณสแกนใบหน้าทุกอากัปกริยา ยิ่งหมายถึงการก็อปปี้ตัวคุณบนโลกดิจิทัลไว้ให้ขโมยข้อมูลแบบสบายๆ
- Skimming ที่ไม่ต้องไปขโมยหน้าตู้ ATM การทำ Digital Skimming ผ่านซอฟต์แวร์กลายเป็นเรื่องที่ง่ายเพียงปลายนิ้ว เพียงคุณฝาก Password สำคัญ ไว้ในสมาร์ทโฟนหรือคลาวด์ ก็ไม่ใช่เรื่องยากที่แฮคเกอร์จะเข้าไปหยิบมาใช้อีกแล้ว
- Internet Of Thing หรือความสะดวกสบายของผู้ใช้งานย่อมเป็นความสะดวกสบายของแฮคเกอร์เช่นกัน ยิ่งการที่เราใช้ปลายนิ้วสแกนเข้าประตู หรือใช้การตั้งเวลาใดๆ ผ่านใบหน้าเพื่อให้แอร์เปิดให้คุณใช้งานย่อมเป็นเรื่องที่ไม่ได้ยากสำหรับชุมชนแฮคเกอร์ในการเข้าไปช่วยขโมยความเป็นตัวตนของคุณ
- ชุมชนของนักเล่นเกม หรือสถานที่แลกเปลี่ยนไอเท็มในเกม อาจเป็นชุมชนในการแลกเปลี่ยนตัวตนของคุณตลอดไปก็ได้
7 THINGS THAT CAN NEGATIVELY IMPACT YOUR SECURITY CULTURE
อย่างไรก็ตาม การโจมตีของแฮคเกอร์ในยุคนี้ จะเริ่มเจาะจงไปที่ตัวบุคคลที่มีความสำคัญภายในหน่วยงานมากขึ้น ดังนั้นทางบริษัทจึงควรทำตามแผนทั้ง 7 ด้าน ดังนี้
- การวางแนวทางร่วมกัน (Alignment) : การสร้างเงื่อนไขที่สมบูรณ์แบบในการทำงานย่อมกระทบกับผู้ใช้งาน ฝ่ายไอทีหรือทีมซีเคียวริตี้จึงควรเดินไปด้วยกันกับพนักงาน และร่วมกันเข้าไปมีส่วนร่วมตั้งแต่ต้น เพื่อรู้ปัญหาและลดปัญหาระหว่างทาง
- การวัดผล (Measurement) : การคำนึงถึงแต่ KPI อาจส่งผลให้มีความเสียหายได้เช่นกัน เพราะแต่ละทีมย่อมมีเป้าหมายหรือแนวทางที่ต่างกัน จึงไม่ควรมองแค่ความสามารถของทีม แต่ให้มองถึงการทำงานร่วมกันของคนในทีม
- ที่มา (Origins) : ถ้านโยบายด้านความปลอดภัยเกิดขึ้นจากการประกาศของฝ่ายบุคคล ความอยากมีส่วนร่วมของพนักงานจะน้อยกว่าการพยายามผลักดันของ ซีอีโอ นั่นหมายถึง หากผู้บริหารองค์กรใส่ใจเรื่องความปลอดภัยอย่างแท้จริงก็ต้องเข้าไปมีส่วนร่วมอย่างจริงจัง
- ความเหมาะสม (Momentum) : ให้น้ำหนักกับแต่ละปัญหาอย่างเหมาะสม และดูโครงสร้างด้านความปลอดภัยของแต่ละฝ่ายให้ทั่วถึง
- ความมุ่งมั่นและแรงจูงใจส่วนตัว (Personal commitment and Incentives) : ให้ลำดับความสำคัญกับพนักงานในการเข้าถึงข้อมูลสำคัญ
- สื่อสารอย่างเหมาะสม (Communication Silos) : ให้ความสำคัญในการสื่อสารกับพนักงานแต่ละฝ่ายอย่างเหมาะสม รวมทั้งให้เครื่องมือในการทำงานที่มีกรอบชัดเจน
- ใจเขาใจเรา (Eating Your Own Dog Food) : การเปลี่ยนแปลงบางอย่างต้องไม่ใช่หน้าที่ของฝ่ายใดฝ่ายหนึ่ง แต่ต้องเป็นการทำงานร่วมกันของคนในองค์กร
ส่งข้อมูลผิดคือปัญหาข้อมูลรั่วไหล
อีกหนึ่งปัญหาสำคัญของ Data Breached คือ การส่งข้อมูลไปผิดยังเป้าหมาย แม้ว่าการส่งผิดจากเราซึ่งไม่ใช่แฮคเกอร์นั้น จะไม่ใช่ปัญหาที่น่ากังวล แต่แนวทางนี้ได้มีแฮคเกอร์บางรายได้แกล้งส่งข้อมูลผิดมา ส่งลิ้งแปลกให้เข้าไปแก้ไขข้อมูลส่วนตัว โดยบอกว่าเป็นอีเมล์จากหน่วยงานสำคัญ หรือหน่วยงานด้านความมั่นคงต่างๆ
บริษัท ดีลอยท์ ได้นำเสนอสถิติ จากการเก็บข้อมูลของ breachlevelindex ณ เดือนธันวาคม 2018 พบว่า ทุกๆ 24 วินาที มี Data Breached เกิดขึ้นเสมอ และมีเพียง 4% ที่ข้อมูลนั้นมีการเข้ารหัส ยิ่งบ้านเราไม่ได้มีกฏหมายคุ้มครองด้านข้อมูลส่วนตัวของบุคคลบนโลกออนไลน์ ยิ่งเป็นปัญหาเรื่องความปลอดภัยสูงมาก
ยิ่ง Data มีค่ามากกว่าน้ำมัน นั่นยิ่งเป็นเรื่องที่ไม่ควรเพิกเฉย องค์กรควรมีการจัดชั้นข้อมูลตามระดับชั้นความสำคัญของข้อมูลและจัดให้มีการควบคุมที่เหมาะสมกับระดับชั้น
นอกจากนี้ การดูแลปกป้องข้อมูลต้องมีการให้ความตระหนักด้านความมั่นคงปลอดภัยกับผู้ใช้ มีกระบวนการในการจัดชั้นข้อมูลและดูแลบริหารจัดการในแต่ละชั้น รวมไปถึงควรมีเทคโนโลยีที่เหมาะสม เช่น Data Classification, Data Masking เป็นต้น
แต่เราสามารถแบ่งลำดับของคนที่จะเข้าถึงข้อมูลได้ ควรมีเทคโนโลยีที่เหมาะสม เช่น หากคุณมี Private Cloud สำหรับเก็บข้อมูลสำคัญ ก็ต้องระวังในการเข้าถึงข้อมูลของคนในองค์กรด้วย
เพราะช่องโหว่เกิดขึ้นได้ทุกวันและช่องโหว่ส่วนใหญ่ที่เกิดขึ้นก็มาจากการดูแลรักษาความมั่นคงปลอดภัยขั้นพื้นฐาน เช่น misconfiguration การใช้รหัสผ่าน User ID ที่ไม่แข็งแรง
นอกจากนี้ เมื่อเจอปัญหาด้านการรั่วไหลของข้อมูลเกิดขึ้นแล้ว ทีมซีเคียวริตี้ควรมองวิธีการแก้ปัญหาแบบภาพรวมมากกว่าแค่การแก้ไขปัญหาทีละจุด เพราะนั่นไม่ช่วยให้ป้องกันปัญหาในระยะยาวได้
อย่างไรก็ตาม หลายองค์กรมักจะตกม้าตายในส่วนของปัญหาพื้นฐาน (Fundamental) อย่างเช่น พาสเวิร์ด หรือ การวางโซลูชั่นหรูหราแต่ไม่เหมาะสมกับการใช้งานของพนักงานในองค์กรก็เป็นได้ ดังนั้น สิ่งที่ต้องการเตือนให้ทีมซีเคียวริตี้เพิ่มความระมัดระวังให้แก่ผู้ใช้งานก็คือ
- อย่า Install Program ที่ไม่น่าไว้วางใจ
- อย่ากดเข้าไปในเว็บไซต์ที่ไม่น่าเชื่อถือ หรือมีคนแปลกหน้าส่ง link มาให้
- ก่อนจะกด Accept เพื่อนใหม่ในเฟสบุค ให้เข้าไปสืบประวัติก่อน ไม่งั้นอาจโดนยืมเงินได้
- Pop up ที่โผล่ขึ้นมาระหว่างการอ่าน Feed ให้หลีกเลี่ยงหรือยกเลิกแทนที่จะเข้าไปดู
- อย่าพยายามเปิด Attach File จากอีเมล์ของคนที่ไม่รู้จัก
- เอกสารสำคัญควรมีการดูแลอย่างเหมาะสม เก็บเข้าลิ้นชัก ล๊อค ไม่ควรวางไว้บนโต๊ะ
- Wi-Fi ฟรีไม่มีในโลก การเชื่อมต่อแลกกับข้อมูลส่วนตัว
ความร่วมมือที่ช่วยให้องค์กรปลอดภัย
นอกจากนี้ การร่วมมือกันของ 3 หน่วยงานคือ MFEC, Deloitte และ Symantec นั้น เป็นเพราะการที่ทั้งสามฝ่ายมองเห็นปัญหาด้านซีเคียวริตี้ที่มีมาอย่างยาวนาน และไม่มีการดูแลที่ชัดเจน หากต่างฝ่ายต่างเข้าถึงลูกค้าและขายแต่โซลูชั่น ระบบการทำงานจะไม่เชื่อมต่อกัน
ทั้งนี้ เรื่องของการทำ Data Protection ต้องใช้เวลานาน หากมีการร่วมมือกันย่อมลดเรื่องของเวลาและเพิ่มโอกาสด้านความปลอดภัยได้ดีขึ้น
โดยทาง Deloitte จะเป็นทีมที่ช่วยในเรื่อง Data Protection Framework นโยบายและขั้นตอนในการบริหารจัดการข้อมูลรวมถึงการจัดลำดับชั้นความสำคัญของข้อมูลภายในองค์กรว่าจะมีขั้นลำดับอย่างไร มีฝ่ายหรือทีมงานใดที่จะเข้าถึงได้บ้าง จากนั้นไซแมนเทคจะนำโซลูชั่นที่เหมาะสมเข้าไปควบคุมในแต่ละขั้นตอน และบริหารจัดการให้การเข้าถึงชั้นของข้อมูลของแต่ละบุคคลมีความปลอดภัยขั้นสูง ส่วน MFEC จะเข้ามาช่วยด้านการนำเสนอเทคโนโลยีที่เหมาะสมแก่ลูกค้าและแนะนำในเรื่องของ Policy ที่แต่ละองค์กรควรนำไปปรับใช้ จากนั้นก็ deliver ข้อมูลให้ลูกค้า
การทำงานร่วมกันของทั้งสามฝ่าย นอกจากจะเพิ่มความแข็งแรงให้กับระบบซีเคียวริตี้ภายในองค์กรแล้ว ยังถือว่าช่วยให้องค์กรเดินหน้าธุรกิจได้อย่างมั่นคงในยุค Digital ที่เข้ามา Disruption ธุรกิจที่ไม่ปรับตัวด้วย
– https://www.experian.com/assets/data-breach/white-papers/2019-experian-data-breach-industry-forecast.pdf
– https://www.devseccon.com/blog/2018/07/25/7-things-that-negatively-impact-security-culture/
บทความนี้เป็น Advertorial