นอกจากสถานการณ์โควิด-19 ที่ส่งผลกระทบต่อผลประกอบการและการดำเนินกิจการมาเกือบ 2 ปี องค์กรทั้งเล็กและใหญ่จำนวนมากกำลังเผชิญกับความท้าทายในการปกป้องระบบโครงสร้างพื้นฐานด้านงานเทคโนโลยีสารสนเทศ (IT infrastructure)
เพราะจำเป็นต้องปรับเปลี่ยนรูปแบบการทำงานมาเป็นการ work from home ในช่วงของการล็อกดาวน์ อาชญากรทางไซเบอร์จึงฉวยโอกาสโจมตีเข้าที่ระบบเครือข่ายคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ส่วนบุคคลของพนักงาน จนจำนวนอาชญากรรมทางไซเบอร์เพิ่มขึ้นอย่างรวดเร็วแบบที่ไม่เคยเกิดขึ้นมาก่อน Cybersecurity Venture คาดการณ์ว่ามูลค่าความเสียหายอาจสูงถึง 10.05 ล้านล้านเหรียญสหรัฐฯ ในปี 2025 ความเสียหายที่เกิดขึ้น เช่น สูญเสียรายได้จากการที่ธุรกิจหยุดชะงักการดำเนินงาน การสูญเสียชื่อเสียง รวมถึงค่าปรับที่เกิดจากการไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันว่า PDPA (Personal Data Protection Act) และ European GDPR ที่ย่อมาจาก General Data Protection Regulation เป็นหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในสหภาพยุโรป (EU) ที่มีผลต่อธุรกิจทั่วโลก ตัวอย่างที่เป็นข่าวดังและส่งผลกระทบในวงกว้างคือ กรณีที่ บริษัท CNA Financial ซึ่งเป็นหนึ่งในบริษัทประกันขนาดใหญ่ที่สุดในสหรัฐฯ ถูกโจมตีด้วย Ransomware (Phoenix CryptoLocker) เมื่อวันที่ 21 มีนาคม ปี 2564 ทำให้ต้องหยุดทำการ 3 วัน แม้ว่าข้อมูลของผู้ถือกรมธรรม์จะไม่ถูกเปิดเผย แต่มีความกังวลอย่างมากว่าอาจทำให้ข้อมูลรั่วไหล ประเด็นที่น่าตกใจคือ หลายกรณีที่การโจมตีทางไซเบอร์ไม่ได้หวังผลทางธุรกิจ ดังในกรณีเมื่อเดือนกุมภาพันธ์ที่ผ่านมามีการแทรกซึมเข้าระบบคอมพิวเตอร์ที่บริหารจัดการระบบน้ำประปาของรัฐ Florida เพื่อเพิ่มระดับของ sodium hydroxide เพื่อทำให้น้ำเป็นพิษ อะไรคือจุดอ่อนหลักของระบบเทคโนโลยีสารสนเทศที่ทำให้เกิดการโจมตีทางไซเบอร์? จากผลกระทบที่เกิดขึ้นผู้บริหารระดับสูงได้จัดให้การปกป้องระบบโครงสร้างพื้นฐานด้านงานเทคโนโลยีสารสนเทศอยู่ในแผนและกลยุทธ์การบริหารความเสี่ยง และการวางแผนความต่อเนื่องของธุรกิจ (business continuity plan) ซึ่งแปลว่า เรื่องดังกล่าวไม่ใช่งานที่เกี่ยวข้องเฉพาะฝ่ายไอทีอีกต่อไป ความจริงที่เจ็บปวดคือ สาเหตุหลักของความเสียหายจากการโจมตีทางไซเบอร์อาจไม่ได้เกิดจากตัวระบบเท่านั้น เพราะแม้ว่าองค์กรจะมีการจัดซื้อไอทีโซลูชันราคาแพงเพียงใด หากบุคลากรที่เกี่ยวข้องทั้งทางตรงและทางอ้อมขาดความรู้เรื่อง cybersecurity การโจมตีย่อมเกิดขึ้นได้อย่างง่ายดาย จากงานวิจัยของ Stanford University พบว่า 88% ของการรั่วไหลของข้อมูลนั้นมาจากความผิดพลาดของพนักงาน องค์กรจึงควรให้ความสำคัญในการอบรม สร้างความตระหนักรู้ให้ข้อมูลความรู้ ออกนโยบายด้านความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศ รวมถึงการกำหนดขั้นตอนการเข้าถึงและการควบคุมข้อมูลภายในองค์กร ซึ่งจะช่วยลดปริมาณอาชญากรรมทางไซเบอร์ที่เกิดขึ้นจากความไม่รู้ของพนักงานได้ การจัดผังโครงสร้างองค์กรสามารถสร้างผลลัพธ์เชิงบวกต่อการปฏิบัติตัวของพนักงาน และปรับปรุงกระบวนการตัดสินใจที่เกี่ยวข้องกับ cybersecurity ได้ ตัวอย่างเช่น หลายองค์กรออกแบบให้ Chief Information Security Officer (CISO) รายงานตรงต่อ Chief Information Officer (CIO) ในขณะที่องค์กรอีกมากที่สร้าง best practice ในด้านนี้ขอให้ CISO รายงานขึ้นตรงกับผู้บริหารสูงสุดอย่าง CEO หรือ Board of Directors กล่าวโดยสรุป ความเสี่ยงด้าน cybersecurity ไม่ได้จำกัดอยู่เฉพาะแต่ระบบเทคโนโลยีสารสนเทศและอุปกรณ์ไอที เช่น คอมพิวเตอร์ เซิร์ฟเวอร์ ดาต้าเซ็นเตอร์ และระบบเครือข่ายไอทีเท่านั้น แต่ยังรวมถึงภัยคุกคามที่มีต่อระบบการดำเนินงานต่างๆ ขององค์กรอีกด้วย พนักงานที่ขาดความตระหนักรู้ ความเข้าใจข้อมูลที่ถูกต้อง กระบวนการทำงานที่ออกแบบมาอย่างรัดกุม และการขาดอำนาจการตัดสินใจของ CISO ล้วนเป็นปัจจัยที่นำไปสู่ปัญหาด้านความปลอดภัยขององค์กรทั้งสิ้น
ดร. วารินทร์ แคร่า
ผู้ร่วมก่อตั้งและประธาน บริษัท Cloudsec Asia
อ่านเพิ่มเติม:
- “GLOBAL AI ADOPTION INDEX 2021” องค์กรต้องพร้อมและเตรียมตัวแค่ไหน
- ทำเนียบ FORBES 30 UNDER 30 ASIA 2021 ตอนที่ 1
- CAMERON และ TYLER WINKLEVOSS คู่แฝดพันล้าน GEMINI แห่งวงการคริปโต
คลิกอ่านฉบับเต็ม และบทความทางด้านธุรกิจได้ที่นิตยสาร Forbes Thailand ฉบับเดือนกันยายน 2564 ในรูปแบบ e-magazine
