5 ความเชื่อสุ่มเสี่ยงกับความมั่นคงปลอดภัยทางไซเบอร์
Table of Contents
ความเชื่อที่ 1: องค์กรของฉันไม่มีอะไรน่าขโมย
ในทางตรงกันข้าม ทุกองค์กรรวมถึง SMEs มีทรัพย์สินข้อมูลที่มีค่าที่ควรค่าแก่การขโมย เช่น รายละเอียดการชำระเงิน ข้อมูลส่วนบุคคลของลูกค้าและพนักงาน หรือทรัพย์สินทางปัญญา รายงานความพร้อมทางไซเบอร์ของ Hiscox ปี 2019 แสดงให้เห็นว่า 47% ของบริษัทขนาดเล็กและ 63% ของบริษัทขนาดกลางมีรายงานการโจมตีทางไซเบอร์อย่างน้อยหนึ่งครั้งในช่วง 12 เดือนที่ผ่านมา SMEs เป็นเป้าหมายมากพอๆ กับทุก ๆ ภาคส่วน ส่วนหนึ่งเป็นเพราะการโจมตีหลายครั้งเป็นการฉวยโอกาส จากช่องโหว่มากกว่าองค์กรขนาดใหญ่ หากคุณไม่สามารถยับยั้งการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ แสดงว่าคุณตกเป็นเป้าหมาย บ่อยครั้งไม่ได้ขึ้นอยู่กับว่าข้อมูลของคุณมีค่าเพียงใด แต่การจัดการข้อมูลและต่อรองข้อเรียกร้องกับข้อมูลนั้นง่ายเพียงใดต่างหาก
ตัวอย่างเช่น ในกรณีของหน่วยงานด้านอสังหาริมทรัพย์ในลอนดอน เนื่องจากการกำหนดค่าความปลอดภัยที่ไม่ถูกต้องซึ่งไม่ได้รับการแก้ไขเป็นเวลาเกือบสองปี จึงทำให้ไม่มีข้อจำกัดในการเข้าถึงเซิร์ฟเวอร์ของหน่วยงานซึ่งมีข้อมูลส่วนบุคคลของลูกค้าถึง 18,610 ราย (ซึ่งบริษัทอสังหาริมทรัพย์ถูกปรับในกรณีนี้ไปถึง 80,000 ปอนด์) ในช่วงเวลานั้นมี 511,912 รายที่ไม่ระบุชื่อ เข้าสู่ระบบจาก 1,213 ที่อยู่ IP ที่ไม่ซ้ำกัน ไม่นานหลังจากนั้นแฮ็กเกอร์ (hacker) หรืออาชญากรทางไซเบอร์พยายามให้ SME จ่ายค่าไถ่เพื่อแลกกับการไม่เปิดเผยข้อมูลเกี่ยวกับลูกค้า หน่วยงานนี้อาจจะขนาดไม่ใหญ่นัก แต่ก็ไม่ได้ปลอดภัย
ความเชื่อที่ 2: ความปลอดภัยไม่แพงเลย
ก่อนที่คุณจะทบทวนค่าใช้จ่ายของมาตรการรักษาความปลอดภัยใด ๆ ทางไซเบอร์ โปรดจำไว้ว่าการปล่อยให้องค์กรของคุณไม่ปลอดภัยในโลกไซเบอร์สามารถนำมาซึ่งความผิดพลาดที่มีราคาแพงได้ แม้แต่การใช้มาตรการขั้นพื้นฐานโดยทั่วไปก็มีค่าใช้จ่ายถึงประมาณ 25,700 ปอนด์ ไม่ต้องพูดถึงค่าใช้จ่ายอื่น ๆ เช่น ความเสียหายจากการปฏิบัติงานหรือชื่อเสียงของบุคคล หน่วยงาน หรือองค์กร เรื่องยิ่งดูมีค่าใช้จ่ายสูงขึ้นไปอีก นับตั้งแต่มีการนำกฎระเบียบคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ EU’s General Data Protection Regulation (GDPR) มาใช้งานจริง ส่วนหนึ่งเป็นผลมาจากค่าปรับสูงสุดของ GDPR ที่สูงถึง 20 ล้านยูโร หรือประมาณ 18 ล้านปอนด์
86% ของผู้บริโภคให้ความสำคัญความปลอดภัยมากกว่าความสะดวก ทำให้การรักษาความปลอดภัยไม่ได้เป็นแค่ค่าใช้จ่ายหรือวิธีหลีกเลี่ยงการสูญเสียรายได้ แต่จริง ๆ แล้วเป็นวิธีการสร้างรายได้ การแสดงให้เห็นว่าคุณให้ความสำคัญกับความปลอดภัยในโลกไซเบอร์และความเป็นส่วนตัวของข้อมูลจะช่วยสร้างความมั่นใจให้กับลูกค้า คู่ค้า และพนักงาน ตลอดจนช่วยให้คุณดึงดูดลูกค้าใหม่ การได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับและได้รับการสนับสนุนจากรัฐบาล
ความเชื่อที่ 3: ความปลอดภัยทางไซเบอร์เป็นเรื่องของเทคโนโลยีเพียงอย่างเดียว
แม้ว่าเทคโนโลยีจะจำเป็นในการรักษาความปลอดภัยในโลกไซเบอร์ แต่ความมั่นคงปลอดภัยทางไซเบอร์ก็ไม่ใช่เรื่องที่เทคโนโลยีจะแก้ไขได้เพียงอย่างเดียว ผู้คนคือแนวป้องกันแรกของคุณ เนื่องจากพวกเขาเป็นฝ่ายที่ต้องหลีกเลี่ยงลิงก์และไฟล์ที่เป็นอันตราย แต่พวกเขายังมีบทบาทสำคัญในการป้องกันการละเมิดมากขึ้น เช่น การทำ USB stick หาย หรือปล่อยให้ผู้บุกรุกเข้าไปในอาคาร น่าเสียดายที่ผู้คนมักจะเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย ตัวอย่างเช่น รายงานการตรวจสอบการละเมิดข้อมูลปี 2019 ของ Verizon พบว่าเกือบหนึ่งในสาม (32%) ของการละเมิดทั้งหมดเกี่ยวข้องกับฟิชชิ่ง (phishing) หรือเรียกให้เข้าใจง่ายว่าเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูลสำคัญซึ่งส่วนใหญ่เป็นข้อมูลส่วนบุคคลที่มักมีความเชื่อมโยงทางการเงิน กล่าวคือ 32% ของการละเมิดทั้งหมดอย่างน้อยส่วนหนึ่งเกิดจากบุคคลที่ถูกแฮ็กเกอร์ (hacker) หลอกลวงให้คลิกหรือการดาวน์โหลดลิงก์หรือสิ่งที่แนบมาที่เป็นอันตราย และนั่นเป็นเพียงวิธีเดียวที่ความผิดพลาดของมนุษย์สามารถนำไปสู่การละเมิดความปลอดภัย
ความเชื่อที่ 4: ภัยคุกคามทางไซเบอร์เป็นเพียงเรื่องภายนอกเท่านั้น
แม้ว่าภัยคุกคามจำนวนมากจะมาจากภายนอกก็ตาม แต่การคุกคามจำนวนมากก็มีโอกาสมาจากภายในองค์กรของคุณได้ไม่ว่าจะโดยตั้งใจหรือไม่ก็ตาม 53% ขององค์กรที่ตอบสนองต่อรายงานภัยคุกคามภายในปี 2018 ของ Cybersecurity Insiders ยืนยันว่าพวกเขาถูกโจมตีโดยบุคคลภายในในช่วง 12 เดือนที่ผ่านมา McAfee’s Cloud Adoption and Risk Report 2019 พบว่าจากชุดข้อมูลที่ไม่แจ้งแหล่งที่มากล่าวว่า 94.3% ขององค์กรประสบกับเหตุการณ์ที่เกิดจากภัยคุกคามภายในอย่างน้อยหนึ่งครั้งต่อเดือน
รายงานภัยคุกคามภายในกล่าวว่าผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์พิจารณาความพยายามในการฟิชชิ่ง รหัสผ่านที่คาดเดาได้ง่าย/ใช้ซ้ำ อุปกรณ์ปลดล็อค แนวทางปฏิบัติในการแชร์รหัสผ่านที่ไม่ถูกต้อง และเครือข่าย wifi ที่ไม่ปลอดภัยกลับกลายเป็น “ตัวต้นเรื่อง” ที่ใหญ่ที่สุดห้าตัวแรกต่อภัยคุกคามจากภายในโดยไม่ได้ตั้งใจ ภัยคุกคามจากภายในยังสามารถเกิดขึ้นได้โดยเจตนา เช่น เกิดขึ้นจากพนักงานที่ไม่พอใจหรือถูกแบลกเมล์ กับผู้ใช้ที่มีสิทธิพิเศษมากเกินไป ปริมาณข้อมูลที่รวบรวมและจัดเก็บเพิ่มขึ้น และการขาดการฝึกอบรมและสร้างการรับรู้ของพนักงาน โดยทั่วไปคือหนึ่งใน “ตัวต้นเรื่องที่ใหญ่ที่สุด” ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ให้เหตุผล
ความเชื่อที่ 5: เฉพาะพีซีและแลปท็อปเท่านั้นที่จะได้รับผลกระทบจากไวรัส (virus) และมัลแวร์ (malware)
อันที่จริงมัลแวร์บนอุปกรณ์พกพานั้นแพร่หลายอย่างมาก และอุปกรณ์อัจฉริยะใด ๆ ก็สามารถถูกแฮกได้ ซึ่งรวมถึงสมาร์ทโฟน แท็บเล็ต และอุปกรณ์อื่น ๆ ที่มีเชื่อมต่อกับอินเทอร์เน็ต กลุ่มอุปกรณ์ที่มีเทคโนโลยีที่ใหม่กว่าเหล่านี้มักจะมีการรักษาความปลอดภัยที่จำกัด เนื่องจากซอฟต์แวร์แอนติไวรัสบนมือถือนั้นไม่แพร่หลายเท่าที่ควร และอุปกรณ์ Android เพียง 23.7% เท่านั้นที่ใช้ซอฟต์แวร์เวอร์ชั่นล่าสุด ทั้งนี้อุปกรณ์เหล่านี้ของบริษัทเป็นเป้าหมายที่น่าดึงดูดเนื่องจากสามารถเข้าถึงข้อมูลที่เป็นความลับได้มากมาย
อุปกรณ์มือถือไม่เพียงแต่มีความเสี่ยงจากแอพพลิเคชั่นที่เป็นอันตรายเท่านั้น การเจลเบรก (jailbreaking) หรือการรูท (rooting) หรือที่เข้าใจกันในความหมายของการดัดแปลงระบบปฏิบัติการของอุปกรณ์ สมาร์ทโฟน หรือแท็บเล็ต ที่ใช้ระบบปฏิบัติการ iOS หรือ Android เพื่อให้ผู้ใช้งานสามารถแก้ไขไฟล์ของระบบ หรือติดตั้งโปรแกรมบางตัวที่โดยปกติแล้วไม่ได้รับอนุญาตให้ติดตั้งเองได้ซึ่งช่วยให้คุณหลีกเลี่ยงมาตรการป้องกันของผู้ผลิต อาจส่งผลกระทบร้ายแรงต่อความปลอดภัยของอุปกรณ์ของคุณ ตัวอุปกรณ์เองก็สามารถเป็นปัจจัยเสี่ยงได้เช่นกัน เนื่องจากโทรศัพท์มักจะสูญหายหรือถูกขโมยได้ง่าย
