ท่ามกลางโลกดิจิทัลที่เชื่อมโยงทุกอย่างเข้าหากัน ทำให้การใช้ชีวิตง่ายขึ้น แต่ภัยคุกคามทางไซเบอร์กลับเพิ่มขึ้นด้วย ทำให้หลายปีที่ผ่านมาทุกฝ่ายต่างปรับตัวหาทางยกระดับ Cyber Security (ความปลอดภัยทางไซเบอร์) เช่น องค์กรต่างเร่งพัฒนาระบบป้องกันไวรัส ไปจนถึงทำประกันภัยเพื่อป้องกันการโจมตีทางไซเบอร์จากภายนอก
แต่ข้อมูลล่าสุดกลับพบว่า ภัยคุมคามจากคนภายในองค์กรกลายเป็นเรื่องที่ต้องจับตามองมากขึ้น เพราะมีมากกว่า 1 ใน 4 ของภัยคุกคามทั้งหมด ซึ่งอาจสร้างผลกระทบต่อองค์กรในระยะยาว
พลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บจ. บลูบิค ไททันส์ ในเครือ บมจ. บลูบิค กรุ๊ป (BBIK) เปิดเผยว่า เดิมความเสี่ยงด้านไซเบอร์ส่วนใหญ่จะเกิดจากภัยจาภายนอกทำให้องค์กรต่างๆ เร่งรับมือมาอย่างต่อเนื่อง แต่ช่วงที่ผ่านมาภัยคุกคามภัยคุกคามที่เกิดจากคนในองค์กรกลายเป็นเรื่องที่ต้องให้ความสนใจมากขึ้น เพราะช่วงปี 2021 - 2022 พบว่าจำนวนเหตุการณ์ทางไซเบอร์ (ความเสี่ยงไซเบอร์) ที่เกิดขึ้นจากบุคคลภายในเพิ่มขึ้นเป็น 32%
จากการศึกษาพบว่าเมื่อเกิดเหตุการณ์ที่มีความเสี่ยงด้านไซเบอร์ ส่วนใหญ่กว่า 42% เกิดจากพนักงานเจตนาใช้สิทธิ์ หรือช่องทางในการเข้าถึงข้อมูลเช่น ความลับทางการค้า หรือความลับขององค์กรนำไปใช้ประโยชน์ส่วนตน (อาจเรียกว่า Insider Threats) สอดคล้องกับข้อมูลที่ระบุว่ากว่า 90% ของคนในเจตนาละเมิดข้อมูลทำเพื่อผลประโยชน์ทางการเงิน
อย่างไรก็ตาม แม้จะมีผู้กระทำผิดที่เกิดจากเจตนา แต่มีบางส่วนที่เกิดขึ้นโดยไม่ได้ตั้งใจ เช่น การส่งข้อมูลลูกค้าทางอีเมล์แต่ผิดคน ความประมาทเผลอไปกด link ที่มีการ Phishing ถูกขโมยรหัสที่เข้าถึงข้อมูลต่างๆ ฯลฯ ซึ่งจะสร้าง Insider Risk หรือความเสี่ยงที่อาจจะเกิดขึ้นภายในองค์กรได้เช่นกัน จากข้อมูลพบว่าในกลุ่มนี้มีสัดส่วนกว่า 55%
ดังนั้น ที่ผ่านมาเมื่อเกิดผลกระทบขึ้น จึงมีการเก็บข้อมูลความเสียหายที่เกิดจากภัยคุกคามต่างๆ โดยเฉลี่ยอยู่ที่ 46,000 ล้านเหรียญสหรัฐต่อเคส (ราว 1 ล้านบาท) และมีค่าเฉลี่ยมูลค่าความเสียหายสูงสุดยังสูงถึง 1.14 ล้านเหรียญสหรัฐต่อเคส (ราว 42 ล้านบาท)
แน่นอนว่า องค์กรจึงต้องมีการลงทุน พัฒนาระบบ IT Security ต่างๆ เพื่อป้องกัน ป้องปราม และลดความเสี่ยงการรั่วไหลของข้อมูล และอื่นๆ โดยเฉลี่ยแล้วจะมีค่าใช้จ่ายที่ 2,437 เหรียญสหรัฐ ต่อคนต่อปี (ราว 91,000 บาทต่อปี) และในภาพรวมค่าใช้จ่ายในการพัฒนาระบบ Security จะเพิ่มขึ้นเฉลี่ยปีละ 5% (มีส่วนราว 8.2% ที่ใช้ในการบริหารจัดการ Insider Risk)
ดังนั้น เมื่อองค์กรมีความเสี่ยงเรื่อง Insider Risk ต้องวางแผนโดยเริ่มจาก 3 ส่วน
1. จำแนกภัยคุกคามให้ชัดเจน เช่น เกิดจากผู้ใช้งานระบบที่ใช้งานไม่ระมัดระวัง ทำให้ข้อมูลรั่วไหล,เจตนาใช้ข้อมูลเพื่อประโยชน์ส่วนตน, ถูกขโมยรหัสทำให้ข้อมูลรั่วไหล
2. กิจกรรมคุกคามที่มีความผิดปกติ ได้แก่ จงใจทำทุจริต เช่น ยักยอกเงิน, ขโมยข้อมูล, ตั้งใจทำให้องค์กร เสียหาย
3. การป้องปราม เพื่อลดความเสียหายที่อาจเกิดขึ้น เช่น การให้บทเรียนและทดสอบความรู้พื้นฐาน หรือ เซ็นเอกสารรับทราบการกระทำที่ละเมิดต่างๆ ทั้งนี้ อาจใช้ระบบ AI ในการตรวจจับสิ่งผิดปกติ อาทิ การใช้กล้องวงจรปิดวิเคราะห์หรือตรวจสอบสถานการณื กรณีพนักงานแจ้งลาออกในระบบ อาจมีการตรวจสอบพฤติกรรมย้อนหลัง 1 เดือน เพื่อป้องกันการขโมยข้อมูลไปสู่ภายนอก
ทั้งนี้ องค์กรที่ควรให้ความสำคัญในการบริหารความเสี่ยงที่เกิดจากบุคคลภายใน เช่น
- องค์กรที่มีข้อมูลจำนวนมากและอาจมีบทลงโทษทางกฎหมายหากทำข้อมูลรั่วไหล มีข้อมูลส่วนบุคคลจำนวนมาก
- มีความลับทางการค้า เช่น สิทธิบัตร
- ธุรกิจที่ควรให้ความสำคัญ เช่น สถาบันการเงิน, ประกันภัย, บริษัทด้าน RETAIL, อุตสาหกรรมการผลิต
ปัจจุบัน องค์กรในไทยเริ่มปรับเปลี่ยนระบบ IT Security และจะเพิ่มขึ้นเรื่อยๆ จากระบบใหม่ที่เกิดขึ้น ปัจจุบันมีค่าใช้จ่ายต่อหัวในด้านนี้อยู่ที่ 20,000 - 30,000 บาท ต่อคนต่อปี อย่างไรก็ตาม มองว่ายกระดับการจัดการภัยคุกคามจากภายใน ควรเริ่มที่ นโยบายเป็นแนวทางปฏิบัติ จากนั้นจึงปรับใช้เทคโนโลยีมาปรับใช้ และส่งผ่านมายังบุคลากรในองค์กร ซึ่งเป็นส่วนสำคัญในการลด Insider Risk ลง
เรื่องราวอื่นๆ ที่น่าสนใจ : หยุด lay-off กี่โมง? เปิดเหตุผลที่บริษัทเทคฯ ยังต้องลดจำนวนพนักงานต่อเนื่อง
ไม่พลาดบทความและเรื่องราวน่าสนใจอื่นๆ ติดตามเราได้ที่เฟซบุ๊ก Forbes Thailand Magazine