องค์กรทั่วโลกต่างลงทุนจำนวนมหาศาลในเทคโนโลยี Cybersecurity ที่ทันสมัย เพื่อลดความเสี่ยงต่อภัยคุกคามทางไซเบอร์ที่กำลังพัฒนาอย่างต่อเนื่อง แต่รู้หรือไม่ว่า ปัจจัยที่อ่อนแอที่สุดในระบบรักษาความปลอดภัยคือมนุษย์ จากรายงาน Global Risks Report 2022 ของ World Economic Forum เผยว่า 95% ของปัญหาด้านภัยคุกคามทางไซเบอร์เกิดขึ้นจากข้อผิดพลาดของมนุษย์ (Human Errors) แม้องค์กรจะใช้เทคโนโลยีการรักษาความปลอดภัยขั้นสูง เช่น Next-Generation Firewall (NGFW) หรือ EDR อย่างครอบคลุมแล้วก็ตาม แต่ความผิดพลาดของมนุษย์เพียงครั้งเดียวก็สามารถเปิดประตูให้เหล่าแฮกเกอร์และอาชญากรไซเบอร์เข้าถึงระบบขององค์กรได้อย่างง่ายดาย
มาดูกันว่า ปัจจัยด้าน Human Error นั้นส่งผลให้เกิดความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้นอย่างไร ข้อผิดพลาดที่พบบ่อย พร้อมแนวทางที่องค์กรสามารถปฏิบัติตาม เพื่อลดความเสี่ยงดังกล่าว
Human Error ที่เพิ่มความเสี่ยงต่อภัยคุกคามทางไซเบอร์
1. การใช้รหัสผ่านที่อ่อนแอหรือเก็บรหัสผ่านอย่างไม่ปลอดภัย
ความแข็งแกร่งของรหัสผ่านมีความสำคัญอย่างยิ่ง จากการศึกษาล่าสุดพบว่า รหัสผ่าน 12 ตัวอักษรที่ประกอบด้วยตัวเลขเพียงอย่างเดียวสามารถถูกแฮกได้ภายใน 25 วินาที แต่หากรหัสผ่านประกอบด้วยตัวอักษรพิมพ์เล็ก จะใช้เวลาในการแฮก 3 สัปดาห์ และหากใช้ทั้งตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ อาจใช้เวลาถึง 300 ปี ยิ่งไปกว่านั้น การรวมตัวเลขและสัญลักษณ์อื่น ๆ ในรหัสผ่านอาจต้องใช้เวลาในการแฮกนานถึง 34,000 ปีเลยทีเดียว
พนักงานจำเป็นต้องได้รับการฝึกอบรมถึงความสำคัญของการสร้างรหัสผ่านที่แข็งแกร่งและการจัดเก็บรหัสผ่านที่เหมาะสม เนื่องจากพนักงานบางคนอาจยังคงเขียนรหัสผ่านบนกระดาษโน้ต และติดไว้ที่คอมพิวเตอร์ ซึ่งเป็นการเปิดช่องให้แฮกเกอร์สามารถเข้าถึงระบบได้อย่างง่ายดาย
2. การใช้ซอฟต์แวร์ที่ล้าสมัยหรือไม่ปลอดภัย
เมื่อองค์กรกำลังดำเนินธุรกิจผ่านซอฟต์แวร์หรือแพลตฟอร์มที่ล้าสมัย หรือขาดระบบ Cybersecurity ที่จำเป็น เช่น แพลตฟอร์มการทำงานนั้นเชื่อมต่อกับอินเทอร์เน็ต แต่ไม่เปิดใช้งานไฟร์วอลล์ (Firewall) อาชญากรไซเบอร์อาจใช้ช่องโหว่นี้เป็นเส้นทางในการเจาะเข้าสู่เครือข่าย ดังนั้น การอัปเดตซอฟต์แวร์อย่างสม่ำเสมอเป็นสิ่งสำคัญ ผู้ให้บริการซอฟต์แวร์มักจะออกแพทช์และอัปเดตต่าง ๆ เพื่อแก้ไขข้อบกพร่อง แต่หากผู้ใช้งานไม่ทำการอัปเดตตามที่แนะนำ ไม่ว่าจะเป็นเพราะทำงานจนลืมอัปเดตซอฟต์แวร์ หรือเลื่อนการอัปเดตบ่อย ๆ นั้นเท่ากับว่าพนักงานอาจใช้เวอร์ชันซอฟต์แวร์ที่มีช่องโหว่อยู่นั่นเอง โดยมีการประมาณการว่า กรณีการละเมิดข้อมูลประมาณ 1 ใน 3 เกิดขึ้นจากช่องโหว่ที่ตรวจพบแล้วไม่ได้รับการแก้ไขอย่างทันท่วงที
นอกจากนี้ การใช้ Shadow IT หรือการติดตั้งแอปพลิเคชันโดยไม่ได้แจ้งหรือได้รับการอนุมัติจากแผนก IT ก็เป็นสาเหตุหนึ่งที่ทำให้องค์กรมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น อย่างการที่พนักงานดาวน์โหลดโปรแกรมหรือซอฟต์แวร์สำหรับใช้งานส่วนตัว ซึ่งไม่ได้ผ่านการรับรองความปลอดภัย และเพิ่มความเสี่ยงต่อ Ransomware หรือมัลแวร์ (Malware) ชนิดอื่น ๆ
3. การจัดการข้อมูลอย่างไม่ระมัดระวัง
ความไม่ระมัดระวังเป็นปัจจัยเสี่ยงสำคัญต่อภัยคุกคามทางไซเบอร์ โดยรายงานของ OAIC ระบุว่า การจัดการข้อมูลโดยไม่ระมัดระวังเป็นเหตุให้เกิด Data Breach หรือโจรกรรมข้อมูลสูงถึง 38% ยกตัวอย่างพฤติกรรมการจัดการข้อมูลที่ขาดความระมัดระวัง เช่น
- การส่งอีเมลที่มีข้อมูลพนักงานหรือข้อมูลส่วนบุคคลไปยังผู้รับที่ไม่ถูกต้อง
- มีการเปิดเผยหรือเผยแพร่ข้อมูลส่วนบุคคลในสื่อออนไลน์โดยไม่ตั้งใจ
- การไม่ใช้ฟังก์ชัน BCC เมื่อส่งอีเมลกลุ่ม
ดังนั้น องค์กรควรมีนโยบายที่ชัดเจนในการจัดการข้อมูล เพื่อหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เกิดจากข้อผิดพลาดของมนุษย์
4. พนักงานขาดความตระหนักด้านความปลอดภัยทางไซเบอร์
ปฏิเสธไม่ได้ว่าช่องโหว่ที่ใหญ่สุดในหลายองค์กร คือ การขาดความรู้ความเข้าใจในการควบคุมความปลอดภัยของข้อมูล พนักงานที่ขาดความตระหนักเรื่อง Cybersecurity มักจะถูกมิจฉาชีพหลอกลวงผ่านฟิชชิง (Phishing) ให้คลิกลิงก์หรือเปิดไฟล์แนบในอีเมลที่มีมัลแวร์แอบแฝงได้ง่ายขึ้น ไฟล์ข้อมูลสำคัญหรือระบบขององค์กรอาจถูกเข้ารหัส โดยแฮกเกอร์มักเรียกค่าไถ่ เพื่อแลกกับข้อมูลสำคัญขององค์กร ทั้งข้อมูลทางการเงิน ข้อมูลส่วนตัวของลูกค้า และข้อมูลพนักงาน ซึ่งส่งผลให้ธุรกิจสูญเสียเวลาและเงินทุนจำนวนมากจากหยุดชะงักของเครือข่ายองค์กร
กล่าวได้ว่า การลงทุนในการสร้างความตระหนักด้านความปลอดภัยให้กับพนักงานมีความสำคัญ การจัดการฝึกอบรมด้านความปลอดภัยให้แก่พนักงานในทุกระดับเป็นหนึ่งในแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่สำคัญและคุ้มค่าที่สุดที่องค์กรสามารถดำเนินการได้
5. การให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงอุปกรณ์ของบริษัท
ด้วยรูปแบบการทำงานที่เปลี่ยนไปในปัจจุบัน องค์กรมีนโยบายให้พนักงานทำงานจากระยะไกล (Remote Work) หรือทำงานจากที่บ้าน (Work From Home) เทรนด์การทำงานลักษณะนี้อาจทำให้บุคลากรและองค์กรเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้นโดยไม่ตั้งใจ เช่น อนุญาตให้สมาชิกในครอบครัวใช้คอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายขององค์กร
แม้การกระทำดังกล่าวอาจดูเหมือนไม่เป็นอันตรายสำหรับพนักงาน แต่สมาชิกในครอบครัวอาจดำเนินการบางอย่างที่เป็นอันตรายต่อความปลอดภัยโดยไม่รู้ตัว เช่น การติดตั้งซอฟต์แวร์โดยไม่ได้รับอนุญาต การเปลี่ยนการตั้งค่าบางอย่าง หรือดาวน์โหลดไฟล์ที่เป็นอันตรายจากอินเทอร์เน็ต
แนวทางการลด Human Error ลดความเสี่ยงต่อภัยคุกคามทางไซเบอร์
1. ฝึกอบรมเรื่องความตระหนักด้านความปลอดภัยทางไซเบอร์
การฝึกอบรมเพื่อสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์ (Cybersecurity) เป็นเรื่องที่องค์กรไม่ควรละเลย แต่เป็นความจำเป็นอย่างยิ่ง ไม่ว่าพนักงานจะมีบทบาทใดในองค์กรก็ตาม พวกเขาจำเป็นต้องมีความรู้และทักษะในการระบุและการปฏิบัติเพื่อลดความเสี่ยงต่อภัยคุกคามทางไซเบอร์
โดยโปรแกรมการฝึกอบรมควรครอบคลุมหัวข้อสำคัญ เช่น การจัดการรหัสผ่าน การระบุการหลอกลวงแบบฟิชชิง (Phishing) ไปจนถึงการจับสังเกตกิจกรรมหรือพฤติกรรมที่น่าสงสัยทั้งในภายในองค์กร และบุคคลภายนอกที่ติดต่อกับองค์กร รวมถึงควรความเข้าใจในนโยบายความปลอดภัยของบริษัทและทำตามอย่างเคร่งครัด นอกจากนี้ การจำลองเหตุการณ์การหลอกลวงรูปแบบต่าง ๆ ก็สามารถทดสอบความสามารถของพนักงานในการตรวจจับอีเมลฉ้อโกงและเสริมความสำคัญของความระมัดระวังได้อย่างมีประสิทธิภาพ
2. การใช้เทคโนโลยีเพื่อลดความเสี่ยงที่เกี่ยวข้องกับมนุษย์
ในขณะที่ข้อผิดพลาดของมนุษย์เป็นสาเหตุหลักของการละเมิดความปลอดภัยทางไซเบอร์ องค์กรสามารถใช้เทคโนโลยีขั้นสูงเพื่อลดความเสี่ยงและเพิ่มความปลอดภัย ได้แก่
- ระบบการตรวจจับและตอบสนองต่อภัยคุกคามที่อุปกรณ์ปลายทาง (Endpoint Detection & Response: EDR) - ช่วยระบุและทำให้ภัยคุกคามเป็นกลางในเวลาจริง ป้องกันผู้โจมตีจากการใช้ประโยชน์จากช่องโหว่
- ไฟร์วอลล์ยุคใหม่ (Next-Generation Firewall: NGFW) - ให้การป้องกันขั้นสูงโดยการตรวจสอบแพ็กเก็ตอย่างละเอียดและการกรองเนื้อหา เหนือกว่าไฟร์วอลล์แบบดั้งเดิม
- การตรวจจับและตอบสนองที่มีการจัดการ (Managed Detection & Response: MDR) - ให้บริการความปลอดภัยแบบครบวงจรที่รวมเทคโนโลยีการตรวจจับภัยคุกคามที่ทันสมัยกับ การเฝ้าระวังภัยคุกคามโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
- การป้องกันการสูญเสียข้อมูล (Data Loss Prevention: DLP) - เทคโนโลยีที่ป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนหรือสำคัญรั่วไหลออกนอกเครือข่ายองค์กรทั้งโดยเจตนาและไม่เจตนา
- การตรวจสอบสิทธิ์หลายปัจจัย (Multi-Factor Authentication) - เพิ่มชั้นการรักษาความปลอดภัยนอกเหนือจากรหัสผ่าน ทำให้แฮกเกอร์เข้าถึงระบบได้ยากขึ้นแม้จะได้รหัสผ่าน-ของพนักงานไปแล้วก็ตาม
3. การสร้างวัฒนธรรมที่มุ่งเน้นความปลอดภัย
วัฒนธรรมภายในองค์กรที่มุ่งเน้นความปลอดภัยมีความสำคัญในการช่วยลดการเกิดข้อผิดพลาดของมนุษย์ โดยองค์กรสามารถส่งเสริมวัฒนธรรมด้านความปลอดภัยทางไซเบอร์ได้ ดังนี้
- ส่งเสริมการอภิปราย - หนึ่งในวิธีที่ดีที่สุดในการส่งเสริมการรักษาความปลอดภัยในองค์กร คือ การสนับสนุนให้เหล่าพนักงานสนทนาเกี่ยวกับดังกล่าว เพื่อสร้างความคุ้นเคยว่าบุคลากรในทุกระดับเกี่ยวข้องกับการทำงานในชีวิตประจำวัน เพื่อกระตุ้นให้พนักงานมีส่วนร่วมในการรักษาความปลอดภัยทางไซเบอร์มากขึ้น
- สร้างช่องทางที่ง่ายต่อการถามคำถาม - ในกระบวนการเรียนรู้เกี่ยวกับ Cybersecurity พนักงานในองค์กรอาจเผชิญกับสถานการณ์มากมายที่ก่อให้เกิดข้อสงสัยด้านความปลอดภัย ในสถานการณ์เหล่านี้ องค์กรควรเปิดช่องทางให้พนักงานสามารถสอบถามผู้เชี่ยวชาญด้านไอทีหรือบุคคลที่มีความรู้ แทนการคาดเดาและเสี่ยงที่จะตัดสินใจผิดด้วยตัวเอง
4. การให้สิทธิ์การเข้าถึงที่น้อยที่สุด (Least Privilage)
การเปลี่ยนแปลงแนวทางปฏิบัติในการทำงาน กระบวนการ และเทคโนโลยีเพื่อลดโอกาสในการเกิดข้อผิดพลาดอย่างเป็นระบบเป็นวิธีที่ดีที่สุดในการเริ่มต้นความพยายามในการบรรเทา วิธีหนึ่งที่จะทำเช่นนี้คือการควบคุมสิทธิ์การเข้าถึงข้อมูลต่างๆ ของบุคลากร โดยใช้ทฤษฎีความปลอดภัย “Least Privilege” หรือก็คือการที่กำหนดให้พนักงานเข้าถึงข้อมูลและฟังก์ชันที่จำเป็นในการทำงานของตนเท่านั้น ซึ่งจะลดความเสี่ยงที่ข้อมูลที่มีความอ่อนไหวจะถูกเปิดเผย แม้ว่าพนักงานจะทำผิดพลาดที่นำไปสู่การรั่วไหลของข้อมูลก็ตาม
5. การวัดผลของการฝึกอบรมและปรับปรุงอย่างต่อเนื่อง
การประเมินประสิทธิภาพของการฝึกอบรมด้านความปลอดภัยทางไซเบอร์จำเป็นต้องใช้เครื่องมือการประเมินและการรายงานต่างๆ เพื่อวัดความสำเร็จของโปรแกรมฝึกอบและระบุช่องโหว่ที่องค์กรสามารถปรับปรุงได้ ดังนี้
- ทดสอบก่อนและหลังการฝึกอบรม - วัดระดับความรู้ของพนักงานก่อนและหลังการฝึกอบรมเพื่อประเมินประสิทธิภาพ
- จัดการทดสอบการหลอกลวง- จำลองสถานการณ์ด้วยการส่งอีเมลหลอกลวง เพื่อวัดระดับความตระหนักรู้ของพนักงาน
- ติดตามและวิเคราะห์เหตุการณ์ - บันทึกและวิเคราะห์เหตุการณ์ด้านความปลอดภัยเพื่อระบุแนวโน้มและพื้นที่ที่ต้องปรับปรุง
- เปรียบเทียบกับมาตรฐานอุตสาหกรรม - เทียบผลการดำเนินงานกับองค์กรอื่นในอุตสาหกรรมเดียวกันเพื่อระบุช่องว่าง
แม้ว่าสถิติจะชี้ให้เห็นว่าข้อผิดพลาดของมนุษย์เป็นสาเหตุของการละเมิดความปลอดภัยทางไซเบอร์ถึง 95% แต่ก็สามารถมองในมุมกลับกันได้ว่า หากสามารถลดข้อผิดพลาดของมนุษย์ลงได้แม้เพียงเล็กน้อย ก็จะส่งผลให้ความปลอดภัยโดยรวมเพิ่มขึ้นอย่างมหาศาล พนักงานที่ได้รับการฝึกอบรมจะกลายเป็นด่านป้องกันแรกที่แข็งแกร่งที่สุดขององค์กร และไม่ใช่ช่องโหว่อีกต่อไป การผสมผสานระหว่างการลดโอกาสในการเกิดข้อผิดพลาดและการให้ความรู้แก่พนักงาน จะช่วยสร้างระบบนิเวศด้านความปลอดภัยที่แข็งแกร่งให้กับองค์กรของคุณ
แน่นอนว่า นอกจากการลงทุนในการพัฒนาบุคลากรขององค์กรแล้ว การนำโซลูชัน Cybersecurity ก็เป็นอีกหนึ่งแนวทางการปฏิบัติสำคัญที่องค์กรไม่ควรละเลย เพื่อเสริมสร้างความแข็งแกร่งในการรักษาความปลอดภัยทางไซเบอร์ ลดผลกระทบจาก Human Errors และปกป้องข้อมูลสำคัญจากภัยคุกคามทางไซเบอร์ที่พัฒนาอย่างรวดเร็ว
Sangfor Technologies นำเสนอโซลูชันครบวงจรเพื่อช่วยให้องค์กรปกป้องตนเองจากภัยคุกคามทางไซเบอร์ทั้งจากแฮกเกอร์ อาชญากรทางไซเบอร์ และข้อผิดพลาดที่พนักงานภายในองค์กร
สามารถเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันด้านความปลอดภัยทางไซเบอร์จาก Sangfor ได้ที่ www.sangfor.com หรือติดต่อผู้เชี่ยวชาญของเรานี้เพื่อขอรับคำปรึกษา และวางแผนยุทธศาสตร์ด้านความปลอดภัยไซเบอร์ที่เหมาะสมกับองค์กรของคุณ
