ในยุคที่ดิจิทัลมีบทบาทกับธุรกิจหลายๆด้าน องค์กรน้อยใหญ่ไม่ว่าใหม่หรือเก่าล้วนมองหาเทคโนโลยีมาช่วยขับเคลื่อนหรือเปลี่ยนแปลงธุรกิจของตัวเอง

ทว่าข้อมูลจากบริษัทด้านความปลอดภัยหลายเจ้ากลับชี้ตรงกันว่าปัญหาและอุปสรรคสำคัญขององค์กรในยุค Digital Transformation คือความปลอดภัยไซเบอร์ที่ถูกละเลย ไม่ให้ความสำคัญเท่าด้านอื่น ทั้งในเชิงนโยบายและในเชิงปฏิบัติการ ขณะที่องค์กรเป็นเป้าหมายสำคัญของเหล่าแฮกเกอร์ในการโจมตี และรูปแบบการโจมตีก็ซับซ้อน แยบยลและอาจส่งผลกระทบต่อองค์กรมากขึ้นเรื่อยๆ 

บทความนี้จะพาไปสำรวจพฤติกรรมต่างๆขององค์กรที่สะท้อนว่ากำลังละเลย ไม่ให้ความสำคัญกับความปลอดภัยไซเบอร์ ทั้งที่ควรจะเป็นประเด็นที่ได้รับความสำคัญอันดับแรกๆ 

ภาพจาก Pexels

งบประมาณด้านความปลอดภัยไอทีน้อยกว่าที่ควรเป็น

การกำหนดงบประมาณขององค์กรเป็นปัจจัยสำคัญที่สะท้อนมุมมองและนโยบายของบริษัท รายงานประจำปีจากบริษัทด้านความปลอดภัยอย่าง Cisco หรือ Symantec ระบุตรงกันว่างบประมาณ เป็นหนึ่งในอุปสรรคสำคัญของการป้องกันภัยคุกคามขององค์กร สาเหตุหนึ่งก็เพราะผู้บริหารระดับสูงขององค์กร มักจะมองในมุมธุรกิจเป็นหลักว่าจะได้ผลตอบแทนอะไรกลับมาจากการลงทุนด้านนี้ และนั่นก็เกิดจากการที่ผู้บริหารไม่มีความรู้ความเข้าใจถึงภาพรวมของสถานการณ์ด้านนี้ และอาจไม่ทันตระหนักว่าผลกระทบสำคัญอย่างหนึ่งต่อองค์กรกรณีเกิดปัญหาด้านความปลอดภัย คือความเสียหายที่ตีออกมาเป็นเงินแล้วไม่น้อยเลย

Accesture บริษัทที่ให้บริการและที่ปรึกษาด้านไอที เคยเปิดเผยว่าความเสียหายเฉลี่ยขององค์กรจากปัญหามัลแวร์อยู่ที่ราว 2.4 ล้านเหรียญสหรัฐ ขณะที่มัลแวร์เรียกค่าไถ่ (ransomware) ที่กำลังแพร่ระบาดมากขึ้นเรื่อยๆเพราะหลายๆองค์กรยอมจ่ายค่าไถ่ เพื่อแลกกับข้อมูลสำคัญที่เข้ารหัส โดยข้อมูลจาก CSO Online ชี้ว่าค่าเสียหายจาก ransomware ในปี 2017 เฉลี่ยอยู่ที่ราว 5 ล้านเหรียญ

ภาพจาก Pixabay

นโยบายและวิสัยทัศน์ด้านไอทีในองค์กรที่ละเลยความปลอดภัย

เป็นประเด็นที่สอดคล้องกับเรื่องงบประมาณ กล่าวคือเมื่อผู้บริหารไม่เห็นความสำคัญด้านความปลอดภัย ก็จะไม่มีนโยบายในองค์กรที่ส่งเสริมความปลอดภัย เท่ากับว่าการพัฒนาและการใช้งานโซลูชันหรือผลิตภัณฑ์ต่างๆขององค์กรไม่ได้ยืนอยู่บนพื้นฐานความปลอดภัยเป็นตัวตั้ง (secure by design) รวมถึงมองว่าความปลอดภัยเป็นเพียงแค่ปัจจัยในการปกป้ององค์กรจากแฮกเกอร์เท่านั้น

องค์กรที่มีวิสัยทัศน์จะมองว่ากลยุทธ์ด้านความปลอดภัยไซเบอร์ขององค์กรจะเป็นปัจจัยสำคัญของ Digital Transformation ขณะที่การป้องกันภัยคุกคามไซเบอร์ที่มีประสิทธิภาพจะต้องอาศัยทั้งเทคโนโลยี การปฏิบัติและความรู้ความเข้าใจควบคู่กันไป

องค์กรอาจมองว่าการป้องกันภัยคุกคามไซเบอร์ก็แค่ใช้บริการจากผู้ให้บริการโซลูชันด้านความปลอดภัยให้ครบวงจรก็เพียงพอแล้ว แต่ในความเป็นจริง หากองค์กรไม่ให้ความสำคัญในด้านนี้ ก็นำความเสี่ยงในเชิงปฏิบัติมาได้อีกหลายประการ อาทิ การเพิ่งเฉยต่อสัญญาณแจ้งเตือน (alerts) ว่ากำลังมีภัยคุกคามหรือถูกโจมตี

ตัวเลขที่ Cisco ทำการสำรวจจาก Chief Information Security Officers (CISO) กว่า 3,600 คนทั่วโลกเมื่อปี 2018 ชี้ว่าองค์กรกว่า 44% ไม่สนใจจะตรวจสอบการแจ้งเตือนเลย ขณะที่กว่าครึ่งหนึ่ง (49%) ของปัญหาที่ระบบแจ้งเตือน กลับไม่ได้รับการแก้ไขใดๆ

ภาพจาก Pixabay

ตัวอย่างอื่นๆก็เช่น การใช้งานซอฟต์แวร์หรือระบบปฏิบัติการเก่า ไม่ได้รับการสนับสนุนอุดช่องโหว่แล้ว และองค์กรไม่อยากอัพเกรดเพราะค่าใช้จ่ายสูง หรือการไม่สร้างความรู้ความเข้าใจด้านความปลอดภัยให้กับพนักงานในองค์กร

นอกจากนี้ภัยคุกคามไซเบอร์ในปัจจุบันมีการเปลี่ยนแปลงและปรับตัวต่อการป้องกันอยู่อย่างต่อเนื่อง ยิ่งองค์กรที่ไม่ให้ความสำคัญด้านนี้จะไม่สามารถรับมือกับภัยคุกคามในปัจจุบันได้แล้ว ยิ่งเจอภัยคุกคามใหม่ๆก็จะยิ่งรับมือยากขึ้น

พนักงานไม่มีความเข้าใจหรือเพิกเฉยต่อประเด็นความปลอดภัย

เป็นอีกหนึ่งปัจจัยเสี่ยงสำคัญขององค์กรและต่อเนื่องมาจากปัญหาเชิงนโยบาย คือพนักงานขาดความรู้ความเข้าใจ หรือเพิกเฉยคิดว่าไม่ใช่เรื่องสำคัญ ไม่อยากเสียเวลา สาเหตุจะโทษแค่ตัวพนักงานอย่างเดียวไม่ได้ แต่ต้องโทษนโยบายของบริษัทที่ไม่ให้ความสำคัญและไม่ฝึกสอนพฤติกรรมที่ถูกต้อง ซึ่งปัจจัยมนุษย์เป็นหนึ่งในตัวการสำคัญที่เพิ่มความเสี่ยงด้านนี้ให้กับองค์กร ข้อมูลจาก Kaspersky บริษัทด้านความปลอดภัยของรัสเซียก็ชี้ว่า องค์กรกว่า 52% มองว่าจุดอ่อนสำคัญในด้านนี้ก็คือพนักงานของตัวเอง

ตัวอย่างที่ดีที่สะท้อนพฤติกรรมตรงนี้คือการตั้งพาสเวิร์ดที่คาดเดาง่าย ไม่มีความซับซ้อนรวมถึงใช้พาสเวิร์ดเดียวซ้ำกันในหลายๆการล็อกอิน, ไม่มีหรือไม่รู้จักกระบวนการยืนยันตน 2 ขั้น และไม่รู้ทันอีเมลปลอมหรืออีเมล phishing จนนำไปสู่การติดตั้งมัลแวร์หรือ ransomware ภายในระบบขององค์กรโดยไม่รู้ตัว

ภาพจาก Pixabay

รายงานประจำจากบริษัทด้านความปลอดภัยมักจะรายงานไปในทางเดียวกันว่า ภัยคุกคามทางไซเบอร์ก็มีการเปลี่ยนแปลงและพัฒนาอยู่ตลอด เพื่อเลี่ยงการตรวจจับหรือสร้างความเสียหายให้กับองค์กรในหลากหลายรูปแบบมากขึ้น องค์กรเองก็ควรที่จะต้องปรับตัวและเรียนรู้ ทั้งในเชิงนโยบายและปฏิบัติ เพื่อที่จะป้องกันและลดความเสียหายที่อาจเกิดจากการโจมตีเหล่านี้ให้ได้น้อยที่สุด

อ้างอิง