เหตุการณ์ข้อมูลรั่วไหล เป็นปัญหาที่เกิดขึ้นบ่อยครั้ง และกรณีที่ได้รับการเปิดเผยมักจะเป็นเหตุการณ์ที่เกิดขึ้นในต่างประเทศ
ตัวอย่างเช่น เมื่อเดือนกันยายน ปี 2017 บริษัท
Equifax ซึ่งเป็นหนึ่งในบริษัทเครดิตบูโรที่ใหญ่ที่สุดในสหรัฐอเมริกาเผชิญปัญหาการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าประมาณ 143 ล้านราย และข้อมูลบัตรเครดิตของลูกค้า 209,000 ราย สร้างความเสียหายเป็นมูลค่าสูงประมาณ 439 ล้านเหรียญสหรัฐฯ ทำให้เจ้าหน้าที่ผู้บริหารระดับสูง รวมถึงเจ้าหน้าที่ผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศต้องลาออกจากตำแหน่ง เพื่อแสดงความรับผิดชอบ นับเป็นหนึ่งในเหตุการณ์ที่มีข้อมูลถูกละเมิดมากที่สุดในศตวรรษที่ 21
นอกจากนี้ ย้อนไปเมื่อปลายปี 2016 ข้อมูลส่วนบุคคลของผู้ใช้บริการ
Uber ประมาณ 57 ล้านราย และข้อมูลของคนขับอีกประมาณ 600,000 ราย ได้รับการเปิดเผยออกไปโดยไม่ได้รับอนุญาต ข้อมูลเหล่านั้นรวมถึงชื่อ อีเมล เบอร์โทรศัพท์มือถือ และเลขใบขับขี่ ซึ่งเหตุการณ์ดังกล่าวส่งผลให้เจ้าหน้าที่ผู้บริหารระดับสูงฝ่ายรักษาความมั่นคงปลอดภัยต้องลาออกจากงาน
เหตุการณ์ข้อมูลรั่วไหลทั้งสองกรณีย้ำถึงความจำเป็นของ
Data Security โดยเฉพาะข้อมูลที่ได้รับการจัดเก็บในรูปแบบของดิจิทัล ไม่เพียงเพื่อลดความเสี่ยงที่จะเกิดการเข้าถึงข้อมูล โดยไม่ได้รับอนุญาต และถูกนำไปเปิดเผยหรือใช้ต่อในทางมิชอบเท่านั้น แต่ยังเป็นเพราะ
การจู่โจมทางไซเบอร์เพื่อเข้าถึงข้อมูล นับวันจะมากขึ้นในแบบที่หลากหลาย และสร้างความเสียหายรุนแรงกว่าเดิมหลายเท่า
“มัลแวร์” สาเหตุสูญเสียข้อมูล
องค์กรธุรกิจไม่สามารถมองข้ามความจำเป็นในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลได้ เพราะมีข้อมูลอยู่มากมายและหลากหลายประเภทที่เข้ามามีส่วนเกี่ยวข้องกับการดำเนินธุรกิจ ทั้งข้อมูลที่มีลักษณะอ่อนไหว และข้อมูลที่เป็นความลับ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงานและลูกค้าข้อมูลที่เกี่ยวกับผลิตภัณฑ์ที่เป็นความลับทางการค้า ข้อมูลทรัพย์สินทางปัญญา และข้อมูลของคู่ค้าทางธุรกิจ เป็นต้น
หนึ่งในมาตรการสำคัญเพื่อคุ้มครองความมั่นคงปลอดภัยของข้อมูลจากภัยไซเบอร์ ได้แก่
การป้องกันไม่ให้มัลแวร์เข้าสู่ระบบเครือข่าย (Network) ขององค์กรหรือลดโอกาสการจู่โจมของมัลแวร์ ผ่านทางช่องโหว่ที่มีอยู่ ซึ่งมัลแวร์นี้เป็นตัวการสำคัญที่นำข้อมูลออกไป (Spyware) หรือบังคับให้องค์กรต้องจ่ายค่าไถ่เพื่อแลกกับข้อมูล (Ransomeware)
ดังนั้น
องค์กรต้องทำการสำรวจช่องโหว่ที่มีอยู่ เพื่อรีบปิดช่องโหว่เหล่านั้นก่อนที่มัลแวร์จะอาศัยเป็นช่องทางจู่โจมเข้าสู่ระบบเครือข่ายและสร้างความเสียหายตามมาลดโอกาสการจู่โจมของมัลแวร์
นอกจากความผิดพลาดของบุคคล (Human Error) จุดอ่อนในขั้นตอนและกระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรคือการขาดการควบคุมภายในที่เพียงพอ และสาเหตุอื่นๆ
จากการศึกษาของ
บีเอสเอ พันธมิตรซอฟต์แวร์ พบว่า
อีกหนึ่งสาเหตุสำคัญที่ทำให้เกิดช่องโหว่ให้มัลแวร์อาศัยเป็นช่องทางจู่โจมเข้าสู่ระบบเครือข่ายได้โดยง่าย คือ การที่องค์กรติดตั้งหรือใช้งานซอฟต์แวร์เถื่อน หรือการใช้งานซอฟต์แวร์โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิ (License) เพราะซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ ทำให้องค์กรไม่ได้รับสิทธิในการอัปเดตด้านความปลอดภัย (Security Update) ของซอฟต์แวร์ ไม่ได้รับสิทธิในการอุดช่องโหว่ของซอฟต์แวร์ (Patch) และไม่ได้รับสิทธิในบริการด้านความปลอดภัยอื่นๆ จากบริษัทซอฟต์แวร์
ไอดีซี (IDC) ซึ่งเป็นสำนักวิจัยระดับโลกประเมินว่า โอกาสของการเผชิญกับการจู่โจมของมัลแวร์ มีสูงถึง 1 ใน 3 หากมีการติดตั้งหรือใช้งานซอฟต์แวร์โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิ จากการวิเคราะห์เชิงสถิติของไอดีซีซึ่งยืนยันค่าความสัมพันธ์ (Correlation) ที่สูงระหว่างการใช้ซอฟต์แวร์ โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิกับการถูกมัลแวร์จู่โจมเข้าสู่ระบบเครือข่าย
นอกจากนี้ ไอดีซีได้สำรวจความคิดเห็นของเจ้าหน้าที่ผู้บริหารด้านเทคโนโลยีระดับสูง (CIO) พบว่าร้อยละ 54 เห็นว่าการใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิถูกต้องครบถ้วน จะช่วยลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
ค้นจุดอ่อนระบบความปลอดภัย
จุดอ่อนอีกประการหนึ่งที่ทำให้มัลแวร์มีโอกาสจู่โจมเข้าสู่ระบบเครือข่าย คือการที่องค์กรไม่มีนโยบายด้านการบริหารจัดการสินทรัพย์ด้านเทคโนโลยีสารสนเทศโดยเฉพาะสินทรัพย์ด้านซอฟต์แวร์ ซึ่งจะทำให้องค์กรขาดข้อมูลเกี่ยวกับซอฟต์แวร์ที่มีการติดตั้งและใช้งานทั้งหมดในระบบเครือข่าย
เมื่อองค์กรไม่ทราบว่ามีซอฟต์แวร์ใดติดตั้งหรือใช้งานอยู่ องค์กรก็จะไม่ทราบว่ามีซอฟต์แวร์ใดบ้างที่ต้องจัดการดูแล
กล่าวกันว่าหนึ่งในสาเหตุที่ทำให้โรงพยาบาลหลายแห่งในประเทศอังกฤษตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่
WannaCry คือ การไม่อัปเกรดซอฟต์แวร์เวอร์ชั่นเก่าที่บริษัทเจ้าของซอฟต์แวร์หยุดให้บริการด้านความปลอดภัยแล้ว โรงพยาบาลอาจไม่ตกเป็นเหยื่อของมัลแวร์ หากมีข้อมูลเกี่ยวกับซอฟต์แวร์เวอร์ชั่นเก่าและจัดการอัปเกรด
นอกจากนี้ การที่องค์กรขาดข้อมูลเกี่ยวกับสินทรัพย์เทคโนโลยีสารสนเทศประเภทซอฟต์แวร์ที่ใช้งานอยู่ ยังทำให้การแก้ไขสถานการณ์กรณีที่เกิดการจู่โจมทางไซเบอร์ล่าช้าและไม่มีประสิทธิภาพเท่าที่ควร
เช่น เจ้าหน้าที่ด้านความมั่นคงปลอดภัยที่ไม่มีบัญชีรายการซอฟต์แวร์ ฮาร์ดแวร์ อุปกรณ์ไอที และข้อมูลผู้ใช้งาน จะไม่สามารถทราบได้ทันทีว่าซอฟต์แวร์ใดที่เป็นช่องโหว่ และฮาร์ดแวร์ อุปกรณ์ไอที และผู้ใช้งานคนใดที่ได้รับผลกระทบ รวมทั้งเจ้าหน้าที่ไม่สามารถกำหนดขอบเขตของปัญหาที่เกิดขึ้น และไม่สามารถจัดอันดับความสำคัญของปัญหาได้ทันที
ควบคุมภายในการใช้ซอฟต์แวร์
จากการสำรวจของบีเอสเอ พันธมิตรซอฟต์แวร์ พบว่า องค์กรธุรกิจส่วนใหญ่ในประเทศไทย ให้ความสำคัญกับการคุ้มครองความมั่นคงปลอดภัยของข้อมูลมากขึ้น
เห็นได้จากการมีวิธีปฏิบัติ ขั้นตอน และกระบวนการจัดการด้านไซเบอร์ที่ดี (Good Cyber Hygiene) เช่น มีการลงทุนมากขึ้นกับฮาร์ดแวร์และซอฟต์แวร์ที่เป็นเทคโนโลยีล่าสุดสำหรับการป้องกันภัยไซเบอร์ เช่น เอ็นพอยท์ ซีเคียวริตี้ (Endpoint Security) ไฟล์วอลล์ (Firewalls) การสร้างหน่วยงานที่รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์และการอบรมบุคลากร เป็นต้น
อย่างไรก็ตาม
องค์กรส่วนใหญ่กลับขาดนโยบายการควบคุมภายในเพียงพอที่จะทำให้แน่ใจว่า ไม่มีการติดตั้งหรือใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิที่สร้างจุดอ่อนให้ระบบความปลอดภัย และขาดนโยบายการบริหารจัดการซอฟต์แวร์รวมถึงขาดกลยุทธ์ในการผนวกกระบวนการบริหารจัดการซอฟต์แวร์ เพื่อเข้ามาสนับสนุนและเพิ่มประสิทธิภาพให้กับกระบวนการรักษาความมั่นคงปลอดภัยของข้อมูล
ด้วยเหตุนี้ องค์กรธุรกิจในประเทศไทยจึงยังคงมีความเสี่ยงสูง ที่จะเผชิญหน้ากับการจู่โจมของมัลแวร์ การรั่วไหลของข้อมูล และ การละเมิดข้อมูล หากสิ่งเหล่านี้เกิดขึ้นกับองค์กรใดแล้ว นอกจากต้องเสียงบประมาณและเวลาในการแก้ไขปัญหา ยังส่งผลเสียต่อชื่อเสียงองค์กรอีกด้วย และในภาพรวมจะส่งผลให้องค์กรธุรกิจในไทยสูญเสียความน่าเชื่อถือในสายตาของนักลงทุนต่างชาติ
ดังนั้น องค์กรธุรกิจในไทยต้องไม่มองข้ามความสำคัญของการควบคุมภายในด้านการใช้งานซอฟต์แวร์ และนโยบายการบริหารจัดการสินทรัพย์ไอที โดยเฉพาะสินทรัพย์ซอฟต์แวร์ ที่ควรจัดให้มีขึ้นในทันที เพราะเป็นหนึ่งในมาตรการสำคัญและเป็นวิธีพื้นฐานการเพิ่มประสิทธิภาพด้านการคุ้มครองความมั่นคงปลอดภัยของข้อมูล
วารุณี รัชตพัฒนากุล ผู้จัดการประจำประเทศไทย บีเอสเอ I พันธมิตรซอฟต์แวร์
