ไมโครซอฟท์ (Microsoft) ออกโรงเตือนภาคธุรกิจไทยที่เร่งปรับตัวกลัวตกกระแส Digital Transformation เป็นจำนวนมาก อย่าละเลยด้านความปลอดภัย หลังผลวิจัยพบว่ามีธุรกิจจำนวนมากมุ่งแต่การ Transformation จนไม่ใส่ใจกับและเลยพื้นฐานด้านความปลอดภัย แนะ 5 เทคนิคที่องค์กรควรฝึกพนักงานไว้แต่เนิ่น ๆ เพื่อลดโอกาสการถูกโจมตีทางไซเบอร์ที่มีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง
เรียกได้ว่าเป็นคำเตือนที่เกิดจากผลวิจัยร่วมกับบริษัท ฟรอสต์ แอนด์ ซัลลิแวน ที่ไมโครซอฟท์ทำการศึกษาร่วมกันใน 1,300 บริษัทจาก 13 ประเทศในภูมิภาคเอเชียแปซิฟิก โดยพบว่า เฉพาะในประเทศไทยภัยจากไซเบอร์ซีเคียวริตี้นั้นสามารถส่งผลกระทบต่อภาคธุรกิจได้ถึง 2.2% ของจีดีพี หรือคิดเป็นมูลค่า 2.86 แสนล้านบาท
ในจุดนี้ นายโอบ ศิวดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด เผยว่า ปัจจุบัน รูปแบบในการทำงานได้เปลี่ยนไป การดูแลความปลอดภัยไม่สามารถจำกัดเฉพาะกับทรัพย์สินที่องค์กรลงทุนได้เพียงอย่างเดียว หากแต่ต้องดูแลความปลอดภัยให้อุปกรณ์ของพนักงานตามเทรนด์ BYOD (Bring Your Own Device) ไปจนถึงทรัพย์สินของพาร์ทเนอร์ ฯลฯ ร่วมด้วย
“องค์กรต้องรู้ว่า ภายในองค์กรมีการต่อเชื่อมกับใคร ในช่องทางไหนบ้าง เหล่านี้ทำให้ระบบการรักษาความปลอดภัยมีความซับซ้อนมากขึ้น”
โดยภัยจากโลกไซเบอร์ที่ไมโครซอฟท์พบว่าเกิดขึ้นมากนั้นประกอบด้วย บ็อทเน็ต, ฟิชชิ่ง และมัลแวร์เรียกค่าไถ่ ซึ่งวิธีเหล่านี้เน้นไปที่การหลอกเหยื่อซึ่งก็คือผู้ใช้งานให้หลงกล ซึ่งง่ายกว่าการหาวิธีเจาะระบบปฏิบัติการ
ทั้งนี้ ข้อมูลจากงานวิจัยชี้ว่า 47% ขององค์กรที่ตอบแบบสอบถามไม่มั่นใจว่ามีการรั่วไหลของข้อมูลเกิดขึ้นหรือไม่ เนื่องจากไม่เคยตรวจสอบมาก่อน และมี 15% ที่เผยว่าเคยประสบเหตุการณ์ด้านซีเคียวริตี้มาแล้ว ซึ่งทั้งสองส่วนนี้คิดเป็น 62% หรือ 3 ใน 5 ขององค์กรทั้งหมด
สำหรับความเสียหายที่จะเกิดตามมาจากภัยด้านไซเบอร์ซีเคียวริตี้นี้ มีทั้งทางตรงและทางอ้อม โดยผลกระทบทางตรงนั้นได้แก่ รายได้ที่จะหายไป หรือการผลิตที่จะทำได้ช้าลง คิดเป็นมูลค่าประมาณ 22.5 ล้านบาท แต่ผลกระทบทางอ้อมที่จะตามมานั้น ผลวิจัยจากไมโครซอฟท์ชี้ว่ามีมูลค่าประมาณ 215.2 ล้านบาทเลยทีเดียว เช่น องค์กร ๆ นั้นจะสูญเสียความน่าเชื่อถือ และควรจะมีลูกค้าถอนตัว ไม่ยอมใช้บริการของทางค่ายต่อ
นอกจากนั้นยังพบว่ามีผลกระทบในวงกว้าง เช่น การเลิกจ้างพนักงานในแผนกที่เกี่ยวข้อง หรือแม้กระทั่งแผนกที่ไม่เกี่ยวข้องก็อาจโดนเลิกจ้างด้วย เนื่องจากบริษัทต้องปรับลดพนักงานเพื่อประหยัดต้นทุนการดำเนินงาน โดยผลวิจัยพบว่าความเสียหายในส่วนนี้ประเมินเป็นมูลค่าราว 170.3 ล้านบาทเลยทีเดียว
“ยกตัวอย่างเช่น ถ้าองค์กรทำข้อมูลทางการเงินหลุดรั่วออกไป ลูกค้าจะรู้สึกว่า ไม่อยากกลับมาใช้แล้ว พอคนเลิกใช้ รายได้ก็ลดลง พอรายได้ลดลง ก็ต้องเลิกจ้างพนักงาน เพื่อลดค่าใช้จ่าย” นายโอบกล่าว
การมีระบบซับซ้อน ไม่ได้แปลว่าปลอดภัย
โดยทั่วไปแล้ว เป็นที่เชื่อกันว่าการนำโซลูชั่นด้านความปลอดภัยจำนวนมากมาใช้งานร่วมกันจะช่วยให้ระบบในภาพรวมมีความปลอดภัยสูงขึ้น แต่ผลวิจัยในครั้งนี้กลับเผยให้เห็นว่าในกลุ่มองค์กรที่ใช้โซลูชั่นด้านความปลอดภัยรวม 26-50 โซลูชั่น มีเพียง 15% เท่านั้นที่สามารถแก้ไขปัญหาและฟื้นฟูจากผลกระทบของการจู่โจมได้ภายในเวลาหนึ่งชั่วโมง ขณะที่องค์กรที่ใช้โซลูชั่นด้านดังกล่าวน้อยกว่า 10 โซลูชั่น มีอัตราส่วนการแก้ไขปัญหาภายในหนึ่งชั่วโมงสูงกว่าที่ 22%
“ผลกระทบของภัยคุกคามทางไซเบอร์นั้น เปรียบได้กับภูเขาน้ำแข็ง โดยผลกระทบทางตรงจะเป็นส่วนที่เห็นได้ชัดมากที่สุด แต่ส่วนนี้กลับเปรียบเสมือนยอดเล็กๆ ของภูเขา ที่ยังมีส่วนที่มองไม่เห็นยังจมอยู่ใต้น้ำอีกมาก” นายณัฐชัย จารุศิลาวงศ์ Consultant, Mobility Practice บริษัท ฟรอสต์ แอนด์ ซัลลิแวน (ประเทศไทย) จำกัด กล่าว “การจู่โจมทางไซเบอร์สามารถก่อความเสียหายอีกมากมายที่อาจมองไม่เห็นในทันที ทั้งในทางอ้อมและในวงกว้าง จึงทำให้โดยทั่วไปแล้ว มูลค่าความเสียหายที่แท้จริงของภัยร้ายเหล่านี้มักถูกประเมินไว้ต่ำกว่าความเป็นจริงอยู่เสมอ”
ในจุดนี้ ไมโครซอฟท์แนะนำว่า สามารถนำดิจิทัลมาประยุกต์ใช้ได้ แต่ต้องพัฒนาบนพื้นฐาน Secure by Design หรือก็คือแนวคิดที่ว่า “ก่อนที่จะทำอะไรก็ตาม จะต้องมั่นใจได้ว่า โปรเจ็คนี้จะต้องปลอดภัยต่อโลกไซเบอร์เสมอ” นั่นเอง พร้อมกันนั้นยังได้ให้คำแนะนำ 5 ข้อสำหรับองค์กรไทยเอาไว้ดังนี้
1. ก่อนจะเริ่มโครงการใด ๆ ก็ตาม ต้องมองประเด็นเรื่องไซเบอร์ซีเคียวริตี้ตั้งแต่ต้น
2. ต้องลงทุนตั้งแต่ระดับพื้นฐาน เช่น นโยบายพาสเวิร์ด ต้องเปลี่ยนทุกสามเดือน หรือบางองค์กรมีการทดสอบฟิชชิ่งกับพนักงานด้วย
3. ลงทุนโซลูชันที่ดีที่สุดไปแล้ว ก็ต้องเพิ่มทักษะคนทำงานด้วย จะเน้นซื้อเครื่องมืออย่างเดียวไม่ได้
4. ต้องมีการประเมิน ตรวจสอบ ทักษะของพนักงานในองค์กรอย่างต่อเนื่อง เช่น ถ้าถูกโจมตีโดยมัลแวร์เรียกค่าไถ่แล้วต้องทำอย่างไร ควรจะแจ้งไปที่หน่วยงานใด เป็นต้น
5. ถ้าสร้างพนักงานที่มีทักษะด้านไซเบอร์ซีเคียวริตี้ไม่ทัน สามารถใช้ปัญญาประดิษฐ์ช่วยตรวจจับภัยคุกคามต่าง ๆ ได้
