เผยรูปแบบภัยคุกคามที่ทำให้คนไทย ‘โดนโกง’ ทางโลกไซเบอร์ พร้อมแนวทางป้องกันและรับมือให้องค์กรยุค 4.0

จากสถิติการรับมือภัยคุกคามของไทยเซิร์ต (ThaiCERT) ในปี 2561 พบว่า มีการได้รับแจ้งเหตุและประสานงานรับมือภัยคุกคามทั้งสิ้น 2,520 ครั้ง รูปแบบภัยคุกคามซึ่งพบมากที่สุด 3 อันดับแรกคือ

  • ภัยจากการบุกรุกหรือเจาะเข้าระบบ (Intrusion Attempts)
  • รองลงมาคือ การฉ้อฉล ฉ้อโกง หรือหลอกลวงเพื่อผลประโยชน์ (Fraud)
  • การบุกรุกหรือการเจาะระบบได้สำเร็จ (Intrusions)
และผลจากการสำรวจความพร้อมด้านความมั่นคงปลอดภัยไซเบอร์ในปี 2559 และ 2561 ของ ETDA เพื่อวิเคราะห์ถึงสถานการณ์ ปัญหา อุปสรรค และการรับมือกับภัยคุกคามไซเบอร์ของประเทศในภาพรวมพบว่า การรับมือภัยคุกคามไซเบอร์มีค่าเฉลี่ยต่ำสุดทั้ง 2 ปี นั่นหมายถึง ความจำเป็นในการวางนโยบายสนับสนุนเพื่อเสริมสร้างศักยภาพในด้านนี้อย่างเร่งด่วน
ด้วยเหตุนี้ ทำให้บริษัทหลายรายในประเทศไทยตระหนักถึงปัญหาภัยคุกคามทางไซเบอร์มากขึ้นตามไปด้วย เพราะเมื่อไรที่เกิดภัยไซเบอร์ขึ้นกับองค์กรในรูปแบบต่างๆ ไม่ว่าจะเป็นการถูกจู่โจม การรั่วไหลของข้อมูล การแฮกข้อมูล หรือ การนำข้อมูลไปใช้ในทางมิชอบ ล้วนแล้วแต่สร้างมูลค่าความเสียหายจำนวนมหาศาลให้กับตัวสินค้า บริการ รวมถึงภาพลักษณ์และแบรนด์ด้วยทั้งนั้น

มีผลสำรวจอีกฉบับชี้ชัดว่าองค์กรที่ผนวก ‘มาตรการรักษาความปลอดภัยไซเบอร์’ เข้ากับ ‘แผนกลยุทธ์ทางธุรกิจ’ มีแนวโน้มของผลประกอบการดีกว่าคู่แข่งอย่างมีนัยสำคัญ โดยผลสำรวจนี้มาจาก PwC ประเทศไทย เผยตัวเลข ผลจากความสำเร็จขององค์กรต้นแบบ จากการวาง ‘มาตรการรักษาความปลอดภัยไซเบอร์’ ได้อย่างรัดกุม

นางสาววิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานที่ปรึกษา บริษัท PwC ประเทศไทย เปิดเผยถึงผลสำรวจ 2019 Digital Trust Insights Survey ของ PwC ที่ได้สอบถามความคิดเห็นของผู้บริหารและผู้เชี่ยวชาญด้านไอทีกว่า 3,000 รายทั่วโลกพบว่า 25% ของผู้บริหารที่ทำสำรวจอยู่ในกลุ่มที่เรียกว่า “ผู้บุกเบิก” ซึ่งเป็นกลุ่มที่ให้ความสำคัญต่อการมีมาตรการรักษาความปลอดภัยบนโลกไซเบอร์ โดยกลุ่มนี้จะเป็นผู้นำทั้งในเรื่องของการรักษาความปลอดภัยบนโลกไซเบอร์ และการส่งมอบคุณค่าให้กับลูกค้า รวมทั้งมีผลการดำเนินงานที่ดีกว่ากลุ่มอื่นๆ ด้วย 

ซึ่งสอดคล้องกับแนวคิดของ นายแกรนท์ วอเตอร์ฟอล หัวหน้าสายงานการรักษาความปลอดภัยไซเบอร์ และความเป็นส่วนตัว ประจำทวีปยุโรป ตะวันออกกลาง และแอฟริกา PwC สหราชอาณาจักร ที่อธิบายว่า

“องค์กรที่ใช้มาตรการเชิงรุกในการรักษาความปลอดภัยไซเบอร์ และผนวกแผนรักษาความปลอดภัยไว้ในทุกๆ กิจกรรมขององค์กร จะสามารถเปลี่ยนผ่านไปสู่ดิจิทัลอย่างได้เปรียบ โดยจะสามารถบริหารความเสี่ยงที่เกี่ยวข้อง และสร้างความเชื่อมั่นได้”

ส่วน นายพอล โอโรค หัวหน้าสายงานรักษาความปลอดภัยไซเบอร์ และความเป็นส่วนตัว ประจำภูมิภาคเอเชียแปซิฟิกของ PwC ออสเตรเลีย ให้ความเห็นเพิ่มเติมว่า

“การศึกษาของเราเน้นให้เห็นถึงความจำเป็นขององค์กรที่ต้องผนวกทีมงานที่ดูแลด้านมาตรการรักษาความปลอดภัยไซเบอร์ เข้ากับตัวธุรกิจ เพื่อสนับสนุนเป้าหมายเชิงกลยุทธ์ ต้องทำความเข้าใจว่านี่ไม่ได้เป็นเพียงแค่การรักษาความปลอดภัยของทรัพย์สินเท่านั้น แต่เป็นเรื่องของการเป็นหุ้นส่วนเชิงกลยุทธ์ขององค์กร”

กรอบ 3 ประการ กำหนดความสำเร็จขององค์กร และการวาง ‘มาตรการรักษาความปลอดภัยไซเบอร์’

นางสาววิไลพร ทวีลาภพันทอง อธิบายเพิ่มเติมถึง กรอบสำคัญ 3 ประการที่องค์กรในกลุ่มผู้บุกเบิกนำมาใช้ จนทำให้องค์กรในกลุ่มผู้บุกเบิกแตกต่างจากบริษัททั่วๆ ไป ได้แก่

เชื่อมโยงกลยุทธ์ด้านความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์ขององค์กร

65% ขององค์กรที่ถูกจัดให้อยู่ในกลุ่มผู้บุกเบิก เห็นตรงกันว่า ทีมงานด้านความปลอดภัยทางไซเบอร์ขององค์กรต้องถูกผนวกให้เป็นส่วนหนึ่งของตัวธุรกิจ โดยคนทำงานต้องมีความคุ้นเคย และเข้าใจในแผนกลยุทธ์ขององค์กร และมีกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ที่จะช่วยสนับสนุนความต้องการของธุรกิจได้อย่างมีประสิทธิภาพ

เชื่อมโยงกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ เข้ากับพื้นฐานของการบริหารจัดการความเสี่ยงองค์กร

89% ขององค์กรที่จัดให้อยู่ในกลุ่มผู้บุกเบิกกล่าวว่า ทีมงานด้านความปลอดภัยทางไซเบอร์ของพวกเขามีส่วนร่วมอย่างต่อเนื่องกับการบริหารความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนผ่านไปสู่องค์กรดิจิทัล หรือโครงการทางด้านดิจิทัลต่างๆ

ทำงานร่วมกันเพื่อให้เกิดผลในทางปฏิบัติ

77% ขององค์กรที่จัดให้อยู่ในกลุ่มผู้บุกเบิกต่างเห็นตรงกันว่า ทีมงานด้านความปลอดภัยทางไซเบอร์ของพวกเขามีปฏิสัมพันธ์อย่างสม่ำเสมอกับผู้นำอาวุโสขององค์กร เพื่อที่จะพัฒนาความเข้าใจถึงความเสี่ยงที่องค์กรยอมรับได้ และเป็นไปตามหลักปฏิบัติของธุรกิจ

ข้อเสนอแนะ กรอบ 3 ประการนี้ สอดคล้องกันกับ คำกล่าวของ นายทีอาร์ เคน หัวหน้าสายงานกลยุทธ์ การเปลี่ยนแปลง และความเสี่ยง PwC สหรัฐอเมริกา

“การสร้างความเชื่อมั่นทางดิจิทัลได้ช่วยผลักดันให้องค์กรที่อยู่ในกลุ่มผู้บุกเบิก สามารถดำเนินงานในเชิงรุกได้ดีขึ้น และรับมือกับความเสี่ยงได้เร็วขึ้น ซึ่งแตกต่างกับคู่แข่งที่มองหาแต่วิธีลดผลกระทบจากการปฏิบัติงานหลังภัยคุกคามไซเบอร์ได้เกิดขึ้นไปแล้ว”

จากต้นแบบความสำเร็จการวาง ‘มาตรการรักษาความปลอดภัยไซเบอร์’ ระดับโลก สู่การปรับใช้กับองค์กรไทย 4.0

หลังจากที่ไทยได้ประกาศใช้พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ทำให้หลายองค์กรหันมาให้ความสำคัญด้านการรักษาความปลอดภัยทางไซเบอร์มากขึ้น ไม่ว่าจะเป็นเรื่อง Managed Firewall บริหารจัดการ Firewall แบบครบวงจร DDoS Protection บริการตรวจสอบ และจัดการการโจมตีจากการรับ-ส่งข้อมูลได้อย่างมีประสิทธิภาพ รวมถึง Penetration Test วิธีการประเมินความเสี่ยงด้วยการเจาะระบบเสมือนแฮ็กเกอร์มืออาชีพ หากองค์กรมีมาตรการรักษาความปลอดภัยทางไซเบอร์อย่างมีประสิทธิภาพ จะช่วยเสริมสร้างความแข็งแกร่งและความราบรื่นในการดำเนินงานให้องค์กรคุณ และท้ายที่สุดก็จะสะท้อนออกมาสู่ผลการดำเนินงานที่ดีขึ้นในระยะยาว 

ขอขอบคุณข้อมูลจาก https://www.salika.co/2019/07/03/cyber-security-thai-organization/ 
https://www.salika.co/2019/06/23/checking-thailand-cybersecurity-2019/