หลังจาก Bluebik Titans ในเครือบริษัท บลูบิค กรุ๊ป จำกัด (มหาชน) หรือ BBIK บริษัทที่ปรึกษาชั้นนำผู้ให้บริการด้าน Digital Transformation แบบครบวงจร ได้เดินหน้าเข้าสู่การให้บริการด้าน Cybersecurity เพื่อเพิ่มความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กรธุรกิจ  โดยมี คุณพลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด ที่มีประสบการณ์มากกว่า 15 ปี ในบริษัทที่ปรึกษาชั้นนำระดับโลกมาร่วมนำทัพให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ ในการสร้างมาตรฐาน Digital Trust ให้องค์กรธุรกิจ รองรับ Digital Transformation ยกระดับความมั่นคงปลอดภัยทางไซเบอร์

โดย Bluebik Titans นำโดยคุณพลสุธี ได้ออกมาเผย 2023 Cybersecurity Outlook ที่จะทำให้เห็นภาพรวมของเทรนด์ความมั่นคงปลอดภัยทางไซเบอร์ในปี 2023 และแนวทางในการรับมือขององค์กร

ภาพรวมของ Cybersecurity ในปีที่ผ่านมา

คุณพลสุธีให้ข้อมูลว่า ปัจจุบันเราใช้ชีวิตอยู่บนโลกออนไลน์เป็นส่วนใหญ่ มีองค์กรธุรกิจมากมายที่สื่อสารผ่านช่องทางดิจิทัล ทำให้องค์กรเหล่านั้นนำเอาเทคโนโลยีใหม่ๆ เข้ามาใช้เพื่อสร้างโอกาสทางธุรกิจ เช่น เว็บไซต์ ที่มีเบื้องหลังคือ Cloud  แต่ในขณะเดียวกันก็นำมาซึ่งความซับซ้อนเช่นเดียวกัน ในการใช้บริการ Service นี้ หลากหลายองค์กรมักจะซื้อ Cloud จากผู้ให้บริการ แต่หาก Cloud มีปัญหาไม่สามารถให้บริการได้ องค์กรก็อาจจะได้รับผลกระทบ นับเป็นความซับซ้อนของห่วงโซ่อุปทาน ซึ่งในความซับซ้อนนี้เป็นช่องโหว่ในการเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามา และทำให้องค์กรตกเป็นเหยื่ออาชญากรทางไซเบอร์ได้ จนนำมาสู่ความกังวลของแต่ละองค์กร สอดคล้องกับงานวิจัยของ World Economic Forum ว่า ความซับซ้อนที่เกิดขึ้นนำมาซึ่งความกังวลเกี่ยวกับความล้มเหลวในการทำ Cybersecurity 

ระบบส่วนใหญ่ที่คนใช้งานมีช่องโหว่ให้แฮกเกอร์เข้ามาเจาะระบบได้ โดยในปี 2015 มีรายงานช่องโหว่กว่า 10,000 รายงาน และตัวเลขช่องโหว่ยังมีการค้นพบเพิ่มขึ้นเรื่อยๆ แฮกเกอร์จะใช้ช่องโหว่นี้ในการหาประโยชน์ทางการเงิน และในปี 2022 มีรายงานมูลค่าความเสียหายทั่วโลกถึง 6 ล้านล้านดอลลาร์สหรัฐ และคาดการณ์ว่าจะเพิ่มขึ้นอีก 15% ในปี 2023 ทำให้ในปีนี้ มีการลงทุนด้าน Cybersecurity สูงถึง 172,000 ล้านดอลลาร์สหรัฐ และมีแนวโน้มเพิ่มขึ้นในปีหน้าอีก 12% รวมถึงการซื้อประกันภัยทางไซเบอร์เพื่อลดความเสี่ยง จะทำให้ค่าเบี้ยประกันภัยเพิ่มขึ้นอีก 22% ส่วนเรื่องบุคลากรทางไซเบอร์ เมื่อหลายองค์กรมองเห็นความเสี่ยงนี้แล้ว ทำให้มีงานที่ว่างอยู่ถึง 3.5 ล้านตำแหน่ง ที่จะเข้ามาเติมเต็มด้านไซเบอร์ให้กับองค์กรมากขึ้น

แฮกเกอร์มักจะมุ่งเป้าไปที่การฉวยโอกาส (Exploit) เข้าไปโจมตีช่องโหว่เพื่อหาประโยชน์ทางการเงิน เช่น ผ่านระบบ Supply Chain ของผู้ให้บริการแก่องค์กรต่างๆ ที่จะตกเป็นเป้าในการโจมตีจากช่องโหว่ โดยอุตสาหกรรมที่มักจะตกเป็นเป้าคือ กลุ่ม Financial, Retail, Hospitality ที่สามารถนำข้อมูลไปขายในตลาดมืดได้ถึง 6,000 บาทต่อ 1 รายการข้อมูล นอกจากนี้ คุณพลสุธียังเปิดเผยอีกว่า กว่าองค์กรจะรู้ตัวว่าถูกแฮก ก็ต้องใช้เวลาถึง 21 วัน สอดคล้องกับรายงานว่า สาธารณูปโภคพื้นฐานก็เป็นอีกหนึ่งเป้าหมายของ Ransomware เช่นกัน

รูปแบบการโจมตีที่องค์กรต้องเตรียมรับมือ

1. Ransomware (มัลแวร์เรียกค่าไถ่)

การเรียกค่าไถ่จะเกิดมากขึ้น เพราะตอนนี้มี Ransomware-as-a-service ที่ผู้ว่าจ้างสามารถซื้อเพื่อมาเจาะระบบขององค์กรต่างๆ โดยมักจะเป็นการเรียกค่าไถ่เพื่อแบ่งประโยชน์ที่ได้ร่วมกันกับแฮกเกอร์ โดยได้ยกตัวอย่างของการโจมตีประเภทนี้ที่ผู้ไม่หวังดีจะเจาะเข้าระบบ ERP เพื่อเข้าไปล็อกข้อมูลการบริหารจัดการขององค์กร เมื่อองค์กรใช้งานไม่ได้ แฮกเกอร์ก็จะทิ้งโน้ตไว้ในการเรียกค่าไถ่ โดยเกือบ 100% ของการ Ransomware ข้อมูลจะถูกขโมยเพื่อนำไปขายในตลาดมืดก่อน หากองค์กรไม่ยอมจ่ายค่าไถ่ อาจจะมีการทำ DDoS (Distributed Denial of Service Attack) ที่สามารถเข้ามาสั่งการเพื่อข่มขู่ หรือเปิดเผยข้อมูลขององค์กร เพราะแฮกเกอร์มักจะดูงบการเงินและความสามารถในการจ่ายค่าไถ่ขององค์กรเป็นหลัก

2. Supply Chain (การโจมตีระบบห่วงโซ่อุปทาน)

คุณพลสุธีมองว่า องค์กรหนึ่งไม่สามารถอยู่ได้ด้วยตัวเอง ทำให้ต้องมีการใช้บริการ หรือให้บริการ ในห่วงโซ่อุปทานทางดิจิทัล จึงมีโอกาสเกิด Cyberattack จากผู้ไม่ประสงค์ดี โดยปกติแล้วจะมีเส้นทางที่เข้ามาโจมตีองค์กรผ่านระบบ Supply Chain  ซึ่งจากการสำรวจองค์กรที่มี Supply Chain แล้ว พบว่ามีเพียง 34% ที่มีนโยบายการป้องกันการถูกโจมตีในทางปฏิบัติว่า หาก Supply Chain ถูกโจมตีจะต้องมาแจ้ง ขณะที่มีองค์กรถูกโจมตีระบบ IT ถึง 54%  และมีแนวโน้มจะเพิ่มขึ้นถึง 60% จึงจำเป็นที่จะต้องเตรียมความพร้อมในการดีลกับ Supplier เพื่อรับมือกับผลกระทบที่อาจเกิดขึ้นต่อผู้ซื้อบริการหรือผู้ให้บริการ

3. Data Breach (การรั่วไหลของข้อมูล)

ประเทศไทยมีกฎหมาย PDPA ในการคุ้มครองข้อมูลส่วนบุคคลทั้งทางแพ่งและทางอาญา เพื่อไม่ให้ข้อมูลของประชาชนถูกนำมาใช้ในทางที่ผิดวัตถุประสงค์ โดยได้ยกตัวอย่างถึงรูปแบบการโจมตีเข้าสู่ระบบขององค์กร ทั้งการทำ Phishing การโจมตีช่องโหว่ของระบบ หรือการจ้างคนภายในองค์กรให้ขโมยข้อมูล คุณพลสุธีกล่าวว่าประเทศในเอเชียตะวันออกเฉียงใต้ ใช้เงินไปเกือบ 3 ล้านบาทในการจ้างที่ปรึกษาเข้ามาตรวจสอบและให้คำปรึกษาเพื่อยกระดับความมั่นคงปลอดภัย รวมถึงการจ้าง Outsoure เข้ามาแก้ปัญหา โดยองค์กรธุรกิจกว่า 83%ต้องเผชิญเหตุการณ์ข้อมูลรั่วไหลในปีที่ผ่านมา  ในจำนวนนี้ 45% ของข้อมูลที่รั่วไหลเป็นข้อมูลที่ถูกเก็บไว้บนระบบ Cloud  เพราะองค์กรมักใช้ Cloud Service ในการเก็บข้อมูลจึงมีความเสี่ยงที่ข้อมูลจะรั่วไหล และมูลค่าความเสียหายจะมากขึ้นเรื่อย ๆ

"ในอุตสาหกรรม หรือองค์กรที่ยังอ่อนแอ มีโอกาสที่แฮกเกอร์จะสามารถเรียกค่าไถ่ หรือทำเงิน ยิ่งระบบสารสนเทศทำงานตลอดเวลา ยิ่งเป็นช่องโหว่ที่แฮกเกอร์จะเข้าไปโจมตีได้"

โดยผลกระทบที่จะเกิดขึ้นจากการรั่วไหลของข้อมูล คือ Class Action Lawsuit ที่ผู้บริโภคจะรวมตัวกันฟ้ององค์กรเมื่อองค์กรทำข้อมูลรั่วไหล จนผู้บริโภคได้รับผลกระทบรวมตัวกันฟ้องร้อง นับเป็นมูลค่าความเสียหายที่เกิดขึ้นกับองค์กร

แล้วองค์กรจะต้องปรับตัวอย่างไร ให้มีภูมิต้านทานต่อ Cyberattack

คุณพลสุธีมองว่า องค์กรต้องมี Cyber Resilience หรือความสามารถในการเตรียมตัว และตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาดำเนินการได้ตามปกติ ซึ่งเป็นตัวชี้วัดว่าองค์กรมีความสามารถในการรับมือกับการโจมตีหรือการรั่วไหลของข้อมูลได้ดีเพียงใด โดยวิธีการสร้างภูมิต้านทานให้กับองค์กร ‘Bluebik Titans’ ได้เสนอ 5 แนวทาง ดังนี้ 

1. มอง Cybersecurity เป็นความเสี่ยงขององค์กร (Manage cybersecurity as an enterprise risk)

หลายองค์กรยังมองว่า Cybersecurity เป็นปัญหาเฉพาะของแผนก IT แต่จริงๆ แล้วมันคือภาพใหญ่ ควรมองเป็นความเสี่ยงของธุรกิจ แล้วใช้กรอบการบริหารความเสี่ยงขององค์กรเข้าไปจัดการ โดยนำเอามาตรฐานที่ดีต่างๆ มาประยุกต์ใช้ เช่น ประกันภัยไซเบอร์ เป็นต้น

2. ผู้บริหารระดับสูงต้องเป็นตัวหลักในการสร้างความตระหนักและระแวดระวังต่อความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร (Executives play a key role in governance and fostering a culture of cybersecurity vigilance)

ในการดำเนินการควรประกอบด้วยโปรแกรมสำคัญ 4 ส่วน คือ การจัดทำแผนความต่อเนื่องทางธุรกิจ หรือ Business Continuity and Disaster Recovery เพื่อรับมือกับภัยไซเบอร์ ตามด้วยการจัดการของแผนกไอที เมื่อเกิดปัญหาการคุกคามจากภัยไซเบอร์ หรือเรียกว่า IT Disaster Recovery อีกหนึ่งสิ่งคือเมื่อถูกโจมตีทางไซเบอร์ ให้นำการจัดการวิกฤต หรือ Cyber Crisis Management เข้ามาร่วมด้วย และสุดท้ายคือ Awareness Program & Exercise สร้างความตระหนักรู้และเท่าทันต่อภัยไซเบอร์ เพื่อให้คนในองค์กรได้เฝ้าระวังและไม่ตกเป็นเหยื่อโดยง่าย

3. ผู้บริหารระดับสูงเป็นผู้ดูภาพรวมสถานะ Cybersecurity ขององค์กร (Executives oversee cybersecurity posture)

อย่างแรกคือพิจารณาว่าองค์กรมีความเสี่ยงตรงไหนบ้าง อย่างที่สองคือเจาะลึกในแต่ละหัวข้อ ทั้งเรื่องระบบและกระบวนการทำงานว่ามีความเสี่ยงอะไร เราทำอะไรไปแล้วบ้าง และวางโรดแมปให้ถูกต้อง ดูว่าปัจจุบันเราอยู่จุดไหน และจะยกระดับสู่เป้าหมายที่ตั้งไว้ได้อย่างไร เช่น การลงทุน การควบคุมต่างๆ เพื่อบริหารจัดการความเสี่ยงให้อยู่ในระดับต่ำ

4. ปฏิบัติตามกฎหมายและข้อบังคับ (Maintain compliance with cybersecurity laws and regulation)

องค์กรต้องปฏิบัติตามกฎหมายเกี่ยวกับ Cybersecurity เนื่องจากประเทศไทยก็มีกฎหมายในหลายภาคส่วนที่จะปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ ทั้งทางแพ่งและทางอาญา

5. ปกป้องข้อมูลและทรัพย์สินขององค์กรให้ปลอดภัย (Implement essential cybersecurity hygiene)

“เราจะปกป้องสินทรัพย์ไม่ได้ ถ้าไม่รู้ว่าเรามีสินทรัพย์อะไรบ้าง”

จากนั้นจึงพิจารณาว่าจะเสริมการควบคุมด้วยระบบอะไรบ้าง เพื่อสร้างความมั่นคงปลอดภัยทางไซเบอร์ที่จะเข้ามาช่วยเสริมความแข็งแกร่งในการรักษาสินทรัพย์และข้อมูลขององค์กร

ทั้งหมดที่กล่าวมาคือเทรนด์ Cyber Risks ที่จะเกิดขึ้นในปี 2023 และแนวทางของ Cyber Resilience ที่จะช่วยให้องค์กรสามารถป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น 

ในฐานะที่ Bluebik Titans เป็นองค์กรชั้นนำ จะทำอย่างไรบ้าง

Bluebik Titans เป็นผู้เชี่ยวชาญที่จะเข้าไปตอบสนองต่อภัยคุกคามทางไซเบอร์เพื่อช่วยให้องค์กรบรรลุเป้าหมายด้านความมั่นคงปลอดภัยทางไซเบอร์ รวมทั้งสิ้น 4 ด้าน

1. Business-Cybersecurity Alignment วางแผนกลยุทธ์และกรอบการบริหารจัดการ วิเคราะห์บริบททางธุรกิจและความเสี่ยงทางไซเบอร์ โดยอ้างอิงมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้รับการยอมรับอย่างกว้างขวาง เพื่อกำหนดแนวทางในการยกระดับความมั่นคงปลอดภัยในทุกระดับ ได้แก่ โครงสร้างการบริหารจัดการ นโยบาย กระบวนการ บุคลากร และเทคโนโลยี เพื่อตอบโจทย์ความต้องการทางธุรกิจและความเหมาะสมด้านทรัพยากรขององค์กร

2. Critical Cyber Risk Remediation การประเมินมาตรการควบคุมและป้องกัน ตามแนวปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ที่ดี เพื่อระบุขอบเขตและเรื่องที่ควรได้รับการปรับปรุง ตั้งแต่ระดับนโยบาย กระบวนการ บุคลากร และเทคโนโลยี ซึ่งจะนำไปสู่การนำเสนอแนวทางในการยกระดับความมั่นคงปลอดภัยและการจัดลำดับความสำคัญ โดยพิจารณาความเสี่ยงที่อาจเกิดขึ้นและผลกระทบต่อผู้ที่มีส่วนได้ส่วนเสียทางธุรกิจ

3. Strengthened Security-by-Design Controls การยกระดับมาตรการควบคุมและป้องกัน เป็นการยกระดับความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กร ด้วยการออกแบบระบบการบริหารจัดการ การเลือกใช้เทคโนโลยีและโซลูชันที่เหมาะสมเฉพาะราย เพราะแต่ละองค์กรมีพื้นฐานระบบข้อมูลและปัจจัยความเสี่ยงไม่เหมือนกัน

4. Cyber Response Readiness การวางแผนและรับมือเหตุละเมิดความมั่นคงปลอดภัยทางไซเบอร์ และบริการอื่นๆ เป็นการวางแผนรับมือเพื่อเตรียมความพร้อมก่อนเกิดเหตุภัยคุกคามทางไซเบอร์ และให้คำแนะนำในขณะเกิดเหตุการณ์โดยผู้เชี่ยวชาญในการระงับเหตุ ตลอดจนสืบสวนเพื่อหาสาเหตุของปัญหาที่เกิดขึ้น และกำหนดแนวทางเพื่อป้องกันไม่ให้เกิดเหตุซ้ำได้อีก

นอกจากนี้ Bluebik Titans ยังนำแนวคิดเรื่องการซ้อมเพื่อทดสอบระบบเข้ามาปรับใช้กับ Service ด้วย โดยจะแบ่งทีมออกเป็น Red Team และ Purple Team  สำหรับ Red Team ทำหน้าที่เป็นทีมบุกเข้าไปเจาะระบบเพื่อทดสอบหาช่องโหว่ ส่วน Purple Team จะเป็นฝ่ายตั้งรับเพื่อคอยดูว่าช่องโหว่ที่เกิดขึ้นจะต้องปรับปรุงอย่างไร รวมถึงยังมีบริการ Incident Respone เมื่อถูกโจมตีทางไซเบอร์  Bluebik Titans จะเข้าไปเก็บหลักฐานและช่วยเหลือองค์กรซึ่งเปรียบเสมือนกู้ภัยอีกด้วย

เมื่อองค์กรต่างๆ มีการใช้งานระบบ IT เพื่อความสะดวกและลดต้นทุนแล้ว การดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์จึงเป็นสิ่งจำเป็นต่อองค์กร ทั้งในแง่กฎหมาย ความน่าเชื่อถือ และการเติบโตอย่างยั่งยืนขององค์กร โดยการรู้เท่าทันและเตรียมการรับมือด้าน Cybersecurity จึงเป็นอีกโจทย์สำคัญขององค์กรต่างๆ ที่หลีกเลี่ยงไม่ได้อีกต่อไป

บทความนี้เป็น Advertorial