7วิธีบริหารเสี่ยง"บริษัทไทย"รับมือภัยคุกคามไซเบอร์

ไมเคิล กรีซีล
          แฮริสัน ลุง
          อามาน ดินกรา
          กรุงเทพธุรกิจ  บริษัทในประเทศไทยหลายแห่งกำลังถูกโจมตีโดยแฮคเกอร์ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย(Thai CERT ไทยเซิร์ต) หนึ่งในหน่วยงานของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์รายงานในการสำรวจปี 2559ว่า
          มีบริษัทกว่า 9 ใน 10แห่งจากทั้งหมด 917 แห่งถูกโจมตีทางไซเบอร์ โดยบริษัทในประเทศไทยได้เปิดเผยข้อมูลว่าประสบปัญหาความปลอดภัยทางไซเบอร์ (cybersecurity)เป็นจำนวนทั้งสิ้น 447 ครั้งในช่วงเพียงสองเดือนแรก(ม.ค.ก.พ.) ของปี 2561 แม้ว่าตัวเลขเหตุการณ์ ในช่วงเวลาเดียวกันในระยะเวลา 3 ปีที่ผ่านมา จะสูงกว่านั้น นับว่าปัญหาอาชญากรรม ทางไซเบอร์ยังคงมีจำนวนมากอย่างยิ่ง
          การโจมตีทางไซเบอร์ก่อให้เกิดความเสียหายมหาศาลและขยายขอบเขตเป็น วงกว้าง ก่อนหน้านี้บริษัทด้านการเงิน และองค์กรภาครัฐต่างตกเป็นเป้าหมายอันดับต้นๆของอาชญากรรมไซเบอร์ แต่สถานการณ์เริ่มเปลี่ยนไปในปี 2560 เกิดการโจมตีของ "ransomware" หรือไวรัสเรียกค่าไถ่ในตระกูล WannaCry และ NotPetya  ทำให้เกิดผลกระทบต่อบริษัทในหลายอุตสาหกรรม รวมถึงอุตสาหกรรมหลักในเชิงกลยุทธ์ทางเศรษฐกิจของไทยในช่วงต้นปีมีการค้นพบความเสี่ยงต่อ Meltdown และ Spectre  ของ ชิพคอมพิวเตอร์ ซึ่งชี้ให้เห็นว่า ความเสี่ยงทางไซเบอร์ไม่ได้มีเฉพาะซอฟต์แวร์เพียงอย่างเดียว แต่ยังรวมถึงฮาร์ดแวร์ด้วย
          บริษัทหลายแห่งในประเทศไทยต้องดำเนินการอีกหลายมาตรการเพื่อป้องกันตนเองจากความเสี่ยงทางไซเบอร์ จาก ผลการสำรวจในระดับโลกของแมคคินซี่ พบว่า 75% ของผู้บริหารเห็นตรงกันว่าปัญหา ความปลอดภัยทางไซเบอร์เป็นเรื่องสำคัญ อันดับต้นๆ โดยมีเพียง 15% ที่ระบุว่า บริษัท มีการเตรียมตัวรับมือกับปัญหาความปลอดภัยทางไซเบอร์อย่างดีแล้ว และการใช้งบประมาณมากขึ้นไม่ได้ช่วยแก้ไขปัญหาเรื่องนี้เท่าไรนัก แมคคินซี่ได้ทำการวิจัยกับ บริษัท 45 แห่งที่ติดอันดับ Fortune 500 พบว่าปริมาณการลงทุนเพื่อความปลอดภัยทางไซเบอร์ไม่สอดคล้องกับการลงทุนทาง IT และความซับซ้อนของโปรแกรมเลย
          โปรแกรมเพื่อความปลอดภัยทางไซเบอร์ที่มีเสถียรภาพ (robust cyber security program) เป็นอย่างไร จากประสบการณ์เราพบว่า บริษัทที่ทำได้ดีคือบริษัทที่หาทางรับมือกับการถูกโจมตีทางไซเบอร์หรือ digital resilience โดยการออกแบบกระบวนการทางธุรกิจและระบบสารสนเทศให้เอื้อต่อการปกป้องข้อมูลสำคัญและปกป้องทางไซเบอร์อย่างมั่นคง อีกทั้งมีแผนงานที่มีประสิทธิภาพในการตอบโต้กรณีมีการโจมตีทางไซเบอร์
          โดย 7 ข้อปฏิบัติรับมือถูกโจมตีไซเบอร์ ประกอบด้วย
          1.ระบุความปลอดภัยทางไซเบอร์ในกระบวนการบริหารงานและการกำกับดูแลให้ชัดเจน ความเสี่ยงทางไซเบอร์ เป็นประเด็นปัญหาที่มีความซับซ้อนและ ไม่เกี่ยวข้องกับการเงินแต่สามารถสร้างความเสียหายให้ผลกำไรของบริษัทและคุณค่าของตราสินค้าได้ ดังนั้นบริษัทจำเป็นต้องนำมาตรการความปลอดภัยทางไซเบอร์เข้าเป็นส่วนหนึ่งของกระบวนการทำงานประจำวัน และให้มีการพิจารณาเรื่องความปลอดภัยทางไซเบอร์เป็นเรื่องสำคัญ เช่น หน่วยงานธุรกิจควรจะอนุญาตให้เฉพาะ ผู้ใช้งานที่จำเป็นสามารถเข้าถึงข้อมูลลูกค้าได้
          2.ให้ความสำคัญกับสินทรัพย์ข้อมูลและความเสี่ยงที่เกี่ยวข้อง บริษัทมากกว่าครึ่งยังไม่ให้ความสำคัญกับเรื่องการปกป้องสินทรัพย์ข้อมูลมากพอบริษัทควรจัดให้มี การทำระบบคลังสินทรัพย์ข้อมูล เพื่อประเมินระดับความเสี่ยงทางไซเบอร์ และความเร่งด่วน จากนั้นมุ่งเน้นจัดการ เรื่องความปลอดภัยทางไซเบอร์โดยพยายามลดความเสี่ยงของข้อมูลที่มีความสำคัญมาก วิธีการดังกล่าวจะช่วยลดค่าใช้จ่ายเกี่ยวกับความปลอดภัยทางไซเบอร์ได้มากถึง 20%
          3.เพิ่มความรัดกุมในการป้องกันความปลอดภัยทางไซเบอร์สำหรับ ข้อมูลหลัก การใช้มาตรการควบคุมเพื่อความปลอดภัยทางไซเบอร์ในลักษณะ ปูพรมกับสินทรัพย์ทั้งหมด เป็นการ เปลืองแรงและค่าใช้จ่าย สินทรัพย์ที่สำคัญควรได้รับการปกป้องอย่างรัดกุม มากกว่าสินทรัพย์ที่มีความสำคัญน้อย ลงมา การควบคุมไม่ควรจำกัดอยู่เพียง ทางเลือกแบบเดิมๆ เช่นการเข้ารหัส (encryption) เท่านั้น  แต่ให้มีการพิสูจน์ ตัวตน (authentication) การป้องกันการสูญหายของข้อมูล การบริหารจัดการสิทธิในดิจิทัล การตรวจจับการบุกรุก และการใช้โปรแกรมซ่อมจุดบกพร่อง (patching)
          4.เพิ่มบทบาทความมีส่วนร่วมของพนักงานทุกคน พนักงานทุกคนมีบทบาทในการร่วมปกป้ององค์กรโดยทำตาม ข้อปฏิบัติ เช่น การส่งข้อมูลความลับผ่านช่องทางที่ปลอดภัย (แทนการส่งข้อมูลที่มีความปลอดภัยต่ำกว่าอย่างการส่งอีเมล์)  การรณรงค์ให้พนักงานตระหนักถึง ความเสี่ยงทางไซเบอร์ที่พวกเขาสามารถทำได้ และวิธีการลดความเสี่ยงโดยการให้ความรู้ เกี่ยวกับการลวงทางอินเทอร์เน็ต (phishing) การซ้อมความปลอดภัยทางไซเบอร์ และอื่นๆ
          5.สร้างฟีเจอร์ความปลอดภัยลงในระบบสารสนเทศ บริษัทควรสร้างการควบคุมเพื่อความปลอดภัยทางไซเบอร์ที่รัดกุมในระบบหลักของระบบสารสนเทศ ในลักษณะเดียวกับการสร้างรากฐานที่มั่นคงก่อนการสร้างบ้าน วิศวกรซอฟต์แวร์ (software engineer) ของบริษัทควรมีเครื่องมือที่จำเป็นเพื่อพัฒนาแอพพลิเคชั่น ที่ลดความเสี่ยงการเจาะระบบของแฮคเกอร์ บริษัทควรจัดระบบสารสนเทศเพื่อช่วยลดความเสี่ยงทางไซเบอร์ด้วยเช่นกัน เช่นไม่ให้พนักงานเข้าไปในบริเวณเครือข่ายคอมพิวเตอร์หากไม่จำเป็น
          6.ใช้ "active defenses" เพื่อเดินล้ำหน้าผู้โจมตี บริษัททุกแห่งจะตกเป็น เป้าของแฮคเกอร์ในไม่ช้าก็เร็ว บริษัทสามารถสกัดแฮคเกอร์ได้อย่างมีประสิทธิภาพ มากขึ้นถ้ารู้ว่าเขามีพฤติกรรมอย่างไร บริษัทชั้นนำจะใช้ Big Data Analytics หรือการวิเคราะห์ชุดข้อมูลขนาดใหญ่ในการจับสัญญาณที่บอกเหตุว่าจะมีการโจมตี เช่น มีความพยายามล็อกอินเข้าเครือข่ายจากสถานที่ผิดปกติ อีกทั้ง บริษัทต้องมีข้อมูลที่อัพเดตเกี่ยวกับความสามารถและเป้าหมายของอาชญากรไซเบอร์ และใน บางครั้งก็ควรจะรู้ถึงตัวตนด้วย
          7.วางแผนและทดสอบการตอบโต้ในกรณีเกิดเหตุ เมื่อบริษัทสามารถ คาดการณ์ได้ว่าอาจมีการโจมตีทางไซเบอร์ บริษัทจึงควรมีแผนการรับมือเพื่อตอบโต้ แหล่งข้อมูลที่เป็นประโยชน์คือคู่มือการ จัดตั้งหน่วยงานที่มีบทบาทในการตอบสนองต่อการแจ้งเหตุภัยคุกคามที่จัดทำโดยไทยเซิร์ต เมื่อมีการวางแผนการตอบโต้ขึ้นแล้ว บริษัทควรทำการทดสอบแผนนั้นอย่างสม่ำเสมอด้วยการจำลองเหตุการณ์โจมตีทางไซเบอร์ หรือทำ"เกมสงคราม"(war game) ขึ้นมา งานวิจัยแม็คคินซี่ระบุว่า การจำลองที่สมจริงจะช่วยเพิ่มรับมือกับการถูกโจมตีได้
          บริษัทในไทยกำลังเผชิญภาระหนักใน การป้องกันข้อมูลที่สำคัญยิ่งยวดของตนเอง ในขณะเดียวกันต้องไม่ทำให้การเข้าถึง ข้อมูลนั้นยากจนเกินไป จนก่อให้เกิดความ ล่าช้าในงานปฏิบัติงาน การที่จะบรรลุเป้าหมาย ในการรับมือกับการถูกโจมตีทางไซเบอร์ต้องได้รับความร่วมมือจากผู้มี ส่วนได้ส่วนเสียหลายฝ่าย การกำกับ ดูแลจากคณะกรรมการและผู้บริหาร ระดับสูงมีความสำคัญยิ่งต่อการ ทำให้โปรแกรมเพื่อความปลอดภัย ทางไซเบอร์มีความแม่นยำและ มีประสิทธิภาพ ทีมงานเฉพาะด้าน ความปลอดภัยทางไซเบอร์ต้องมี ความเข้าใจอย่างถ่องแท้และเท่าทัน เหตุการณ์เกี่ยวกับภัยคุกคามที่บริษัทกำลังเผชิญอยู่ และมีแผนงานระบบป้องกัน(defense systems) ที่สอดคล้องมารองรับ หน่วยงานธุรกิจรวมถึงส่วนไอทีจำเป็นต้องฝังหลักปฏิบัติให้ความปลอดภัย (security protocol) ไว้กับงานที่ทำประจำวัน
          เพราะความเสี่ยงเหล่านี้ สูงเกินกว่าที่จะแบกรับได้
          ไมเคิล กรีซีล พาร์ทเนอร์อาวุโส บริษัท แม็คคินซี่ แอนด์ คัมพานี ประจำสำนักงานสิงคโปร์, อามาน ดินกรา รองพาร์ทเนอร์ บริษัท แม็คคินซี่ แอนด์ คัมพานี ประจำสำนักงานสิงคโปร์, แฮริสัน ลุง พาร์ทเนอร์ประจำสำนักงานฮ่องกง ผู้เขียนขอแสดงความขอบคุณ เบนจามิน โก เจ็น ลิม และ โรฮิด ล็อคเรย์ ที่มีส่วนร่วมในการ เขียนบทความนี้
          จากผลการสำรวจในระดับโลกของแมคคินซี่ 75%ของผู้บริหารเห็นว่าปัญหาความปลอดภัยทางไซเบอร์เป็นเรื่องสำคัญอันดับต้นๆ
          "บริษัทควรจำลอง เหตุการณ์โจมตี ทางไซเบอร์ขึ้นมา  แล้วทดสอบแผนนั้น อย่างสม่ำเสมอ"