ภัยไซเบอร์ยุคใหม่ คุกคามไม่จำกัดองค์กร แนะพัฒนาบุคลากรทุกระดับรับมือโดยเริ่มจากผู้บริหารสูงสุด

นับวันภัยคุกคามทางไซเบอร์ยิ่งทวีความรุนแรง และส่งผลกระทบเป็นวงกว้างแก่ผู้ใช้งานทุกระดับจากการก้าวเข้าสู่ยุคดิจิทัล ในขณะที่ความเข้าใจ ความตระหนักรู้ต่อภัยที่มาจากอุปกรณ์ดิจิทัลผ่านช่องทางออนไลน์ทั้งหลายเพื่อจะรับมือและป้องกันตัวเองจากความสะดวกสบายยังมีน้อยนิดโดยไม่จำกัดเพศ วัย หรือระดับการศึกษา

ส่งท้ายปี 2566 โครงการอบรมการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ครั้งที่ 22 หรือ CDIC 2023 งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ที่จัดภายใต้แนวคิด “Powering Techno-Drive in Digi-Hype Behaviour towards Digital Trust” พร้อมทั้งชี้ให้เห็นภัยคุกคามที่จะเกิดขึ้นในปี 2567

Digital Trust ท้าทายทุกองค์กร

จากแนวคิดการจัดงานดังกล่าว ผศ.ดร.วีรชัย อาจหาญ ผู้ช่วยผู้อำนวยการ สวทช. กล่าวว่า ในยุคที่ People-Process-Technology มาบรรจบรวมกันยกระดับความเชื่อมั่นบนเทคโนโลยีดิจิทัลด้วยความสมบูรณ์ของเทคโนโลยี และพฤติกรรมของผู้ใช้งาน จำเป็นต้องขับเคลื่อนความมั่นคงปลอดภัยที่ต้องตอบสนองต่อการเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานทั้งในระดับองค์กรและระดับบุคคล โดยการยกระดับทุก ๆ ด้าน ทั้งยุทธศาสตร์และภาคปฏิบัติในการนำเทคโนโลยีดิจิทัลและแพลตฟอร์มมาเลือกใช้ให้เกิดประโยชน์อย่างเหมาะสมที่สุด ซึ่งจะต้องให้ความสำคัญกับการจัดการข้อมูลและเรียนรู้พฤติกรรมการใช้งานในยุคของการใช้บังคับกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยไซเบอร์ และด้านเทคโนโลยีดิจิทัล กับการเสริมสร้างเกราะป้องกันภัยไซเบอร์และการรั่วไหลของข้อมูล

– 3 แกนหลัก ยกระดับองค์กร เตรียมพร้อมรับมือภัยคุกคามไซเบอร์

ในช่วง 1-2 ปีที่ผ่านมา หลาย ๆ สถาบันระดับนานาชาติต่างให้ความสำคัญกับ Digital Trust เช่น WEF (The World Economic Forum) เผยแพร่รายงานที่มีเนื้อหาเรื่อง Digital Trust Flamework and Digital Trust Roadmap ให้นำมาประยุกต์ใช้ ซึ่ง Digital Trust ถือเป็นความท้าทายของทุกองค์กรที่ต้องนำเทคโนโลยีดิจิทัลมาใช้เพื่อสร้างให้เกิดคุณค่า และเหมาะสมตามความต้องการของธุรกิจและวัตถุประสงค์ของแต่ละองค์กร

การดำเนินการเพื่อมุ่งสู่ดิจิทัล ทรัสต์เพียงอย่างเดียวไม่เพียงพอ องค์กรต่าง ๆ ต้องทำความเข้าใจต่อผลกระทบจากดิจิทัล ซึ่งประกอบด้วย 8 เสาหลัก ที่สนับสนุนโดย 3 องค์กรระดับโลกคือ UN OECD และ ICC (หอการค้านานาชาติ) เพื่อใช้เป็นกรอบการนำเทคโนโลยีดิจิทัลมาใช้ขับเคลื่อนสนับสนุนการพัฒนาที่ยั่งยืน ตามเป้าหมาย SDGs 17 ประการ

เสาหลัก 8 ประการ คือ

1. Digital Inclusion and Connectivity การสร้างสังคมดิจิทัลอย่างยั่งยืน เท่าเทียม ทั่วถึง
2. Internet Governance การกำกับดูแลอินเทอร์เน็ตอย่างมีธรรมาภิบาล
3. Data Protection การสร้างความตระหนักรู้ด้านการปกป้องข้อมูลส่วนบุคคลและความเป็นส่วนตัว การปฏิบัติตามกฎหมาย PDPA
4. Human Rights Online สิทธิมนุษยชนบนออนไลน์ ควรมีสิทธิพื้นฐานเช่นเดียวกับออฟไลน์
5. Digital Trust and Security ความไว้วางใจและความมั่นคงปลอดภัยทางดิจิทัลจำเป็นต่อการดำเนินธุรกิจและใช้ชีวิตประจำวัน
6. AI and other Emerging Technologies การใช้เอไอ และเทคโนโลยีอุบัติใหม่ ต้องมีคุณธรรม และอยู่ภายใต้กฎหมาย ไม่นำไปใช้เชิงลบ
7. Global Digital Commons การแบ่งปันเทคโนโลยีระบบเปิด ก่อให้เกิดประโยชน์ต่อการเปลี่ยนแปลงทางดิจิทัล เป็นแหล่งข้อมูล Digital Commons ซึ่งควรมีความร่วมมือกันทั่วโลกและอยู่ภายใต้กฎเกณฑ์ที่เป็นสากล
8. Accelerating Progress Towards The SDGs การเร่งความเร็วไปสู่การพัฒนาอย่างยั่งยืนโดยใช้ประโยชน์จากเทคโนโลยีดิจิทัล ควรให้ความสำคัญต่อความมั่นคงปลอดภัย และไม่ละเมิดสิทธิมนุษยชน 

วาระแห่งชาติ: สร้างประชาชนรู้พื้นฐานดิจิทัล

ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า ณ วันนี้ประชาชนทั่วประเทศเผชิญภัยออนไลน์รูปแบบต่างๆ ทั้งแกงก์คอลเซ็นเตอร์ การหลอกลวงออนไลน์ 

ฉะนั้น เรื่อง Digital Literacy จึงเป็นเรื่องสำคัญ และจำเป็นอย่างยิ่งที่ประชาชนส่วนมากต้องมีความรู้ขั้นพื้นฐานในการสร้างความเข้าใจในเรื่องต่างๆ และเป็นวาระแห่งชาติที่เร่งด่วนต้องทำให้เสร็จในกรอบการทำงานที่มีเวลาจำกัด โดยต้องตั้งอยู่บนพื้นฐานของข้อมูลที่มีความมั่นคงและปลอดภัย บนพื้นฐานของระบบนิเวศที่เอื้อประโยชน์ต่อการทำงานในการก้าวเข้าสู่การเป็นรัฐบาลดิจิทัล

ทุกองค์กรทั่วโลกเสี่ยงถูกแฮก

พลอากาศตรีอมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ให้ข้อมูลถึงสถานการณ์ปัจจุบันว่า องค์กรในโลกนี้มีเพียงองค์กรที่ถูกแฮกแล้ว และองค์กรที่ถูกแฮกอีก กลายเป็นธรรมชาติที่ต้องเตรียมตัวรับมือ

ที่ผ่านมา WEF จัดอันดับภัยคุกคามต่าง ๆ ปรากฏว่า ภัยคุกคามทางไซเบอร์ ติดท้อป 10 หลายปีซ้อน การป้องปราบ และจับกุมลงโทษอย่างเดียวไม่ทำให้สถิติลดลง เพราะจับยาก หรือจับได้ก็มีรายใหม่เกิดขึ้นอีก โดยอาศัยช่องทางต่างๆ ทั่วโลกจึงเกิด พ.ร.บ.ไซเบอร์ที่เน้นการรักษาความมั่นคงปลอดภัย และ PDPA เพื่อปกป้องคุ้มครองข้อมูลส่วนบุคคล แต่ความมุ่งหวังที่จะเกิด Cyber Defence ทุกหน่วยงานต้องปรับระดับความมั่นคงปลอดภัยขึ้น ลดการโจมตี

อีกปัญหาของภัยคุกคาม คือ การใช้งาน การเฝ้าระวังการโจมตีระบบเซิร์ฟเวอร์ หรือถูกโจมตีก็ฟื้นฟูได้ อีกด้านคือ ปัญหาหลอกลวงออนไลน์

ด้านการดูแล นอกจากดูแลระบบ จะต้องดูแลผู้ใช้งาน หากเป็นองค์กรเดียวกันจะทำได้ง่าย โดยจัดอบรมผู้ใช้ กรณีใครทำผิด ดูว่า ผิดอย่างไร จะต้องพัฒนาเพิ่มเติมอย่างไร

ส่วนภัยที่มาพร้อมโมบาย แบงกิ้ง ที่ไทยเป็นแชมป์โลกจากที่มีจำนวนคนใช้งานระดับท้อปของโลก และการใช้งาน 5G ครอบคลุม 85% ซึ่งมีประโยชน์มากในช่วงโควิดที่ออกจากบ้านไม่ได้ ทำให้ได้รับการช่วยเหลือ การใช้ชีวิต การซื้อของออนไลน์ แต่กลายเป็นปัญหาทำให้ถูกโจมตีเช่นกัน

– สกมช. นำร่อง 10 หน่วยงาน เปิดใช้ แพลตฟอร์มแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์ ร่วมพัฒนาแหล่งข่าวกรองที่น่าเชื่อถือระดับประเทศ

ประเทศสหรัฐอเมริกาที่มีความก้าวหน้าทางเทคโนโลยี ความก้าวหน้าด้านการรักษาความปลอดภัย เป็นเจ้าของผลิตภัณฑ์หลากหลาย แต่ตัวผู้ใช้มีสถิติถูกหลอกลวงจนเกินความเสียหายมาก ด้วยยอดปี 2021 ประมาณ 9,000 ล้านดอลลาร์สหรัฐ ปี 2022 สูญเสีย 13,000 ล้านดอลลาร์สหรัฐ ซึ่งการหลอกให้ลงทุนจะเป็นความสูญเสียมากที่สุด

ส่วนประเทศไทย ตลอดเกือบ 3 ปีที่ สกมช. ทำงานมามีเหตุโจมตีจากแรมซัมแวร์ปรากฏเสมอ และมักฝังตัวอยู่นาน ก่อนโจมตี มีหน่วยงานเผชิญแรมซัมแวร์แล้ว 24 แห่ง มูลค่าของค่าไถ่หน่วยงานละประมาณ 1,000 ล้านบาท ซึ่งความเสียหายไม่ได้เกิดเพียงจ่ายหรือไม่ แต่ยังมีระบบใช้งานไม่ได้ การนำข้อมูลไปแจกให้คนดาวน์โหลดได้ถึงปัจจุบัน

พัฒนาบุคลากร ต้องเริ่มที่ผู้บริหารสูงสุด

การพัฒนาบุคลากรในประเทศให้พร้อมรับมือภัยคุกคามทางไซเบอร์จะมองเฉพาะคนในหน่วยงานไม่ได้ ต้องมองถึงลูกค้า และซัพพลายเชนที่ต้องแลกเปลี่ยนกันจากที่เกิดกับผู้ให้บริการโทรศัพท์มือถือรายหนึ่งในไทย หรือการที่ข้อมูลรั่วไหลจากเรียลไทม์ คอมมิวนิเคชัน หรือแอปแชตต่าง ๆ

การพัฒนาบุคลากรในองค์กรต้องทำตั้งแต่คณะกรรมการบริหารลงมา ผู้บริหารสูงสุดของหน่วยงานต้องเข้าใจความเสี่ยงขององค์กรว่ามีอะไรบ้าง ไม่ใช่ห่วงเฉพาะเวลาใช้งานไม่ได้ ต้องห่วงการจัดการข้อมูลดีพอไหม เพราะปัญหาไซเบอร์ซิเคียวริตี้ ปัญหาการคุ้มครองข้อมูลส่วนบุคคลคือปัญหาของหน่วยงาน ไม่ใช่ปัญหาของผู้ดูแลระบบหรือฝ่ายไอทีเท่านั้น

นอกจากนั้น ต้องพัฒนาคนที่เกี่ยวข้องกับระบบ ซึ่งรวมถึงผู้พัฒนาระบบด้วย เริ่มตั้งแต่ Secure Design, Secure Coding และ Secure Operation ต้องพัฒนาให้เกิดขึ้นในหน่วยงาน ไม่ว่าจะพัฒนาเอง หรือจ้าง เพราะหากพบปัญหาภายหลัง การรื้อจะมีค่าใช้จ่ายมากกว่า และมีปัญหาความปลอดภัย

ขณะเดียวกัน การพัฒนาบุคลากรต้องสร้างความรู้สึกร่วมของการเป็นหนึ่งเดียวกัน การวัดประสิทธิภาพหลังถูกโจมตีแล้ว คือการตรวจจับได้อย่างรวดเร็ว ค่าเฉลี่ยการตรวจจับจะเป็นตัวบ่งชี้ว่า หน่วยงานทำได้ดีเพียงใด นำไปสู่การปรับปรุงและรับมือภัยต่าง ๆ ทำให้ระบบใช้งานได้ต่อเนื่อง แต่ปัจจุบันยังคงอยู่ในโหมดของการโทษกัน หาว่าใครทำผิด

การพัฒนาบุคลากรในกระบวนการป้องกันควรรวมศูนย์เพื่อให้มี Feasibility เห็นภาพชัดเจนว่า แต่ละส่วน จุดไหนผิดปกติ และตรวจสอบได้อย่างรวดเร็ว เท่าที่พบก่อนเรียกค่าไถ่จะเป็นเพราะมัลแวร์ที่แฮกเกอร์ออกแบบมามีความผิดพลาด แต่ช่วงที่เกิดความผิดปกติด้านการใช้งานมักยังไม่มีใครสังเกตเห็น กระทั่งเกิดเหตุและเกิดความเสียหาย

– เดลล์ เผยวิสัยทัศน์ปี 2024 ทุกคนจะเข้าถึง AI ได้อย่างทัดเทียม

เปิด 10 ภัยคุกคามปี 2567

ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ให้ข้อมูลแนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์และภัยคุกคามความเป็นส่วนตัวในปี 2567 ที่องค์กรทั่วโลกรวมทั้งไทยต้องเตรียมพร้อมรับมือ ว่า ประกอบด้วย 10 ด้าน คือ

1. AI-Driven Threats vs. AI-Governance ภัยคุกคามที่ขับเคลื่อนด้วย Generative AI กำลังสวนทางกับ AI-Governance ซึ่งต้องจัดการเรื่องจริยธรรมของการใช้เอไอ และการนำเอไอมาทำเงิน โดยทั่วโลกกำลังหาทางออก
2. Ransomware & Data Breach Evolution (Continue to Evolve) ยังคงเพิ่มขึ้นมากกว่าเดิม
3. Digital Trust vs. Digital Risks & Digital Frauds สำหรับต่อโลกที่ขับเคลื่อนด้วยดิจิทัล ซึ่งระดับคณะกรรมการบริหารของหน่วยงานต้องให้ความสำคัญเรื่องนี้
4. Cost of Data Breaches to Companies to Increase ต้นทุนของการละเมิดข้อมูลส่วนบุคคลแต่ละองค์กรจะเพิ่มมากขึ้น
5. Government, Telecom and Healthcare Sectors are very High Risk on Data Breaches องค์กรภาครัฐ โทรคมนาคม สาธารณสุข ต่างมีความเสี่ยงสูงมากต่อการถูกละเมิดข้อมูลส่วนบุคคล
6. Supply Chain & Critical Infrastructure Cyber Risk Management ภัยคุกคามยุคใหม่จะเจาะผ่านซัพพลายเชน และโครงสร้างพื้นฐาน ซึ่งหน่วยงานที่รับผิดชอบ เช่น สกมช. และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ต้องมีบทบาทมากต่อการจัดการความเสี่ยงทางไซเบอร์
7. Cybersecurity in The Boardroom ที่ประชุมคณะกรรมการบริหารจำเป็นต้องถกเรื่องความมั่นคงปลอดภัยไซเบอร์ เพื่อสั่งการจากบนลงล่าง ไม่ใช่เพียงความรับผิดชอบของศูนย์ป้องกัน หรือ CIO
8. Decline of Malware, More Identity-Based Attacks มัลแวร์ลดลง แต่ไปโจมตีระบบพิสูจน์และยืนยันตัวตนมากขึ้น
9. From IO (Information Operation) to IA (Information Advantage) การเปลี่ยนจากปฏิบัติการข้อมูลไปสู่การสร้างความได้เปรียบจากการบริหารจัดการข้อมูล
10. From Cyber Resilience to Cyber Dominance จากความยืดหยุ่นทางไซเบอร์กลายเป็นการครอบงำทางไซเบอร์ โดยสามารถแบ่งการครอบงำเป็นโซน หรือเป็นประเทศได้ ไม่ครอบงำทั้งโลก

พร้อม ๆ กับความก้าวหน้าทางดิจิทัล ภัยคุกคามทางไซเบอร์ก็พัฒนาตัวเองไม่หยุดยั้ง การจะอาศัยเครื่องมือที่ดี หรือหวังให้คนใดคนหนึ่ง หรือหน่วยงานใดหน่วยงานหนึ่งรับผิดชอบความปลอดภัยให้ทุกคนเป็นสิ่งที่ยากจะเป็นไปได้ ฉะนั้น การพัฒนาผู้ใช้ให้รู้เท่าทัน และพร้อมรับมือจึงเป็นสิ่งจำเป็นต่อการดำรงชีวิตยุคใหม่ที่ขาดเทคโนโลยีไม่ได้

ข

ซิสโก้ บรรลุเป้าหมาย สร้างโอกาสทางดิจิทัลแก่หนึ่งพันล้านคนทั่วโลก

NT ร่วมกับ สจล. จัดประกวดแนวคิดนวัตกรรมด้านเศรษฐกิจอวกาศยุคใหม่ ชิงทุนการศึกษากว่า 3 แสนบาท