จุดอ่อนของ IT Infrastructure ที่ผู้บริหารระดับสูงต้องรู้เพื่อป้องกัน Cyberattack - Forbes Thailand

Forbes Thailand

แรงบันดาลใจของผู้ใฝ่ความสำเร็จ

  • Home >
  • Commentaries
  • Thought Leaders >
  • จุดอ่อนของ IT Infrastructure ที่ผู้บริหารระดับสูงต้องรู้เพื่อป้องกัน Cyberattack

จุดอ่อนของ IT Infrastructure ที่ผู้บริหารระดับสูงต้องรู้เพื่อป้องกัน Cyberattack

นอกจากสถานการณ์โควิด-19 ที่ส่งผลกระทบต่อผลประกอบการและการดำเนินกิจการมาเกือบ 2 ปี องค์กรทั้งเล็กและใหญ่จำนวนมากกำลังเผชิญกับความท้าทายในการปกป้องระบบโครงสร้างพื้นฐานด้านงานเทคโนโลยีสารสนเทศ (IT infrastructure)

เพราะจำเป็นต้องปรับเปลี่ยนรูปแบบการทำงานมาเป็นการ work from home ในช่วงของการล็อกดาวน์ อาชญากรทางไซเบอร์จึงฉวยโอกาสโจมตีเข้าที่ระบบเครือข่ายคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ส่วนบุคคลของพนักงาน จนจำนวนอาชญากรรมทางไซเบอร์เพิ่มขึ้นอย่างรวดเร็วแบบที่ไม่เคยเกิดขึ้นมาก่อน Cybersecurity Venture คาดการณ์ว่ามูลค่าความเสียหายอาจสูงถึง 10.05 ล้านล้านเหรียญสหรัฐฯ ในปี 2025

ความเสียหายที่เกิดขึ้น เช่น สูญเสียรายได้จากการที่ธุรกิจหยุดชะงักการดำเนินงาน การสูญเสียชื่อเสียง รวมถึงค่าปรับที่เกิดจากการไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันว่า PDPA (Personal Data Protection Act) และ European GDPR ที่ย่อมาจาก General Data Protection Regulation เป็นหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในสหภาพยุโรป (EU) ที่มีผลต่อธุรกิจทั่วโลก

ตัวอย่างที่เป็นข่าวดังและส่งผลกระทบในวงกว้างคือ กรณีที่ บริษัท CNA Financial ซึ่งเป็นหนึ่งในบริษัทประกันขนาดใหญ่ที่สุดในสหรัฐฯ ถูกโจมตีด้วย Ransomware (Phoenix CryptoLocker) เมื่อวันที่ 21 มีนาคม ปี 2564 ทำให้ต้องหยุดทำการ 3 วัน แม้ว่าข้อมูลของผู้ถือกรมธรรม์จะไม่ถูกเปิดเผย แต่มีความกังวลอย่างมากว่าอาจทำให้ข้อมูลรั่วไหล

ประเด็นที่น่าตกใจคือ หลายกรณีที่การโจมตีทางไซเบอร์ไม่ได้หวังผลทางธุรกิจ ดังในกรณีเมื่อเดือนกุมภาพันธ์ที่ผ่านมามีการแทรกซึมเข้าระบบคอมพิวเตอร์ที่บริหารจัดการระบบน้ำประปาของรัฐ Florida เพื่อเพิ่มระดับของ sodium hydroxide เพื่อทำให้น้ำเป็นพิษ

อะไรคือจุดอ่อนหลักของระบบเทคโนโลยีสารสนเทศที่ทำให้เกิดการโจมตีทางไซเบอร์?

จากผลกระทบที่เกิดขึ้นผู้บริหารระดับสูงได้จัดให้การปกป้องระบบโครงสร้างพื้นฐานด้านงานเทคโนโลยีสารสนเทศอยู่ในแผนและกลยุทธ์การบริหารความเสี่ยง และการวางแผนความต่อเนื่องของธุรกิจ (business continuity plan) ซึ่งแปลว่า เรื่องดังกล่าวไม่ใช่งานที่เกี่ยวข้องเฉพาะฝ่ายไอทีอีกต่อไป

ความจริงที่เจ็บปวดคือ สาเหตุหลักของความเสียหายจากการโจมตีทางไซเบอร์อาจไม่ได้เกิดจากตัวระบบเท่านั้น เพราะแม้ว่าองค์กรจะมีการจัดซื้อไอทีโซลูชันราคาแพงเพียงใด หากบุคลากรที่เกี่ยวข้องทั้งทางตรงและทางอ้อมขาดความรู้เรื่อง cybersecurity การโจมตีย่อมเกิดขึ้นได้อย่างง่ายดาย จากงานวิจัยของ Stanford University พบว่า 88% ของการรั่วไหลของข้อมูลนั้นมาจากความผิดพลาดของพนักงาน

องค์กรจึงควรให้ความสำคัญในการอบรม สร้างความตระหนักรู้ให้ข้อมูลความรู้ ออกนโยบายด้านความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศ รวมถึงการกำหนดขั้นตอนการเข้าถึงและการควบคุมข้อมูลภายในองค์กร ซึ่งจะช่วยลดปริมาณอาชญากรรมทางไซเบอร์ที่เกิดขึ้นจากความไม่รู้ของพนักงานได้

การจัดผังโครงสร้างองค์กรสามารถสร้างผลลัพธ์เชิงบวกต่อการปฏิบัติตัวของพนักงาน และปรับปรุงกระบวนการตัดสินใจที่เกี่ยวข้องกับ cybersecurity ได้ ตัวอย่างเช่น หลายองค์กรออกแบบให้ Chief Information Security Officer (CISO) รายงานตรงต่อ Chief Information Officer (CIO) ในขณะที่องค์กรอีกมากที่สร้าง best practice ในด้านนี้ขอให้ CISO รายงานขึ้นตรงกับผู้บริหารสูงสุดอย่าง CEO หรือ Board of Directors

กล่าวโดยสรุป ความเสี่ยงด้าน cybersecurity ไม่ได้จำกัดอยู่เฉพาะแต่ระบบเทคโนโลยีสารสนเทศและอุปกรณ์ไอที เช่น คอมพิวเตอร์ เซิร์ฟเวอร์ ดาต้าเซ็นเตอร์ และระบบเครือข่ายไอทีเท่านั้น แต่ยังรวมถึงภัยคุกคามที่มีต่อระบบการดำเนินงานต่างๆ ขององค์กรอีกด้วย พนักงานที่ขาดความตระหนักรู้ ความเข้าใจข้อมูลที่ถูกต้อง กระบวนการทำงานที่ออกแบบมาอย่างรัดกุม และการขาดอำนาจการตัดสินใจของ CISO ล้วนเป็นปัจจัยที่นำไปสู่ปัญหาด้านความปลอดภัยขององค์กรทั้งสิ้น

 

ดร. วารินทร์ แคร่า

ดร. วารินทร์ แคร่า
ผู้ร่วมก่อตั้งและประธาน บริษัท Cloudsec Asia

 

อ่านเพิ่มเติม:


คลิกอ่านฉบับเต็ม และบทความทางด้านธุรกิจได้ที่นิตยสาร Forbes Thailand ฉบับเดือนกันยายน 2564 ในรูปแบบ e-magazine

BACK TO TOP