คอลัมน์ : ระดมสมอง
โลกยุคดิจิทัล ที่เทคโนโลยีเข้ามามีบทบาทอย่างมากในการขับเคลื่อนธุรกิจ ส่งผลให้ภัยคุกคามไซเบอร์ก็กลายเป็นโจทย์ท้าทายขององค์กรองค์กรต่าง ๆ มากขึ้น
รายงานผลการศึกษา EY 2023 Global Cybersecurity Leadership Insights Study ระบุว่า ถึงแม้ภัยคุกคามด้านไซเบอร์เพิ่มสูงขึ้น การลงทุนเพื่อป้องกันภัยคุกคามก็เพิ่มขึ้น อย่างไรก็ดีผู้บริหารด้านความปลอดภัยทางไซเบอร์ยังเผชิญกับความท้าทายในการเพิ่มประสิทธิภาพการป้องกันภัยคุกคามที่มีต่อองค์กร
จากการสำรวจความคิดเห็นของผู้บริหารด้านความปลอดภัยทางไซเบอร์ (Chief Information Security Officers : CISOs) ในภูมิภาคเอเชีย-แปซิฟิก (APEC) ที่จัดทำโดย EY พบว่า ผู้บริหารด้านไซเบอร์น้อยกว่าครึ่ง (49%) คิดว่าองค์กรของตนสามารถรับมือภัยคุกคามด้านไซเบอร์ได้ดี ขณะที่ 51% ยังไม่มั่นใจในประสิทธิภาพของการฝึกอบรมที่องค์กรจัดให้พนักงาน และมีเพียง 40% เท่านั้นที่พอใจกับระดับการนำแนวทางปฏิบัติที่ดีไปใช้โดยทีมนอกแผนกไอที
และขณะเดียวกัน ผลสำรวจชี้ให้เห็นว่า “ต้นทุน” ที่เกี่ยวข้องกับการลงทุนด้านความปลอดภัยทางไซเบอร์นั้นสูงขึ้น โดยผู้บริหารสูงสุดในสายงานด้านไอที (CIO) ส่วนใหญ่ (66%) ตอบว่าองค์กรของพวกเขาจัดสรรงบประมาณลงทุนด้านไอทีประมาณ 1-5% ของรายได้ทั้งหมดในปี 2565 และ 59% ของผู้บริหารกลุ่มนี้ระบุว่า ในปี 2566 การใช้จ่ายงบประมาณด้านไอทีเพิ่มขึ้นเป็น 6-10% ของรายได้ทั้งหมด
ส่วนเหตุการณ์ภัยคุกคามและการรั่วไหลของข้อมูลที่เกิดขึ้นในองค์กรในปีที่ผ่านมา 45% ของผู้นำด้านไซเบอร์ระบุว่า องค์กรของตนประสบเหตุการณ์ภัยคุกคาม 25-49 ครั้ง และพบการรั่วไหลของข้อมูลราว 10-24 ครั้ง โดย 9% ของผู้บริหารายงานว่าเหตุการณ์เหล่านี้ส่งผลให้มีค่าใช้จ่ายองค์กรรวมกว่าสองร้อยล้านบาท
“เพ็ญนภา พุกกะรัตน์” หุ้นส่วนและหัวหน้าสายงานบริการที่ปรึกษาเทคโนโลยี EY ประเทศไทย ระบุว่า การโจมตีด้านไซเบอร์ที่เพิ่มขึ้นทั่วโลก ส่งผลให้องค์กรต่าง ๆ หันมาให้ความสนใจและลงทุนในด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้น และแนวโน้มนี้เกิดขึ้นในประเทศไทยเช่นเดียวกัน ความปลอดภัยด้านไซเบอร์ได้กลายเป็นหนึ่งในการลงทุนสำคัญอันดับต้น ๆ สำหรับองค์กร
โดยเฉพาะองค์กรในอุตสาหกรรมที่มีความเสี่ยงสูงจากภัยคุกคามด้านไซเบอร์ เช่น กลุ่มผู้ให้บริการทางการเงิน กลุ่มอุตสาหกรรมด้านสุขภาพ (healthcare) อุตสาหกรรมค้าปลีก และการค้าออนไลน์ (อีคอมเมิร์ซ) โดย CIO ต้องมุ่งเน้นศึกษาข้อกำหนดด้านกฎระเบียบ และติดตามการเปลี่ยนแปลงของภัยคุกคามด้านไซเบอร์ที่ดำเนินไปอย่างต่อเนื่อง เพื่อสร้างการป้องกันการโจมตีทางไซเบอร์ที่มีประสิทธิภาพให้องค์กร
จากผลสำรวจ องค์กรส่วนใหญ่มีการนำเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้แล้วอย่างน้อยหนึ่งเทคโนโลยี โดยที่ใช้กันมากที่สุดคือเทคโนโลยีปัญญาประดิษฐ์ (artificial intelligence-AI) และ/หรือการเรียนรู้ของเครื่อง (machine learning-ML) การรักษาความปลอดภัยแบบ zero trust และการยืนยันตนแบบไร้รหัสผ่าน (passwordless authentication)
อย่างไรก็ตาม แม้ว่าซีไอโอมุ่งมั่นที่จะยกระดับความปลอดภัยด้านไซเบอร์ แต่ยังต้องเผชิญกับความท้าทายที่เกิดขึ้นในองค์กร
สำหรับความท้าทายสามอันดับแรกคือ การมีพื้นที่หรือช่องทางการโจมตีมากเกินไป (52%) ความยากในการสร้างความสมดุลระหว่างความปลอดภัยด้านไซเบอร์และการขับเคลื่อนนวัตกรรม (50%) และงบประมาณด้านความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอ (44%)
“กมลวรรณ ตันพิชัย” หุ้นส่วนและที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ EY ประเทศไทย กล่าวว่า แม้องค์กรจะมีการตั้งค่าควบคุมการเข้าถึงและลดความซับซ้อนในการจัดการด้านไซเบอร์ แต่การมีพื้นที่ให้โจมตีมากเกินไปยังเป็นความท้าทายสำคัญที่ต้องรับมือ นอกจากนั้น ความไม่ชัดเจนของกลยุทธ์ความปลอดภัยด้านไซเบอร์ก็ถือเป็นความท้าทายเช่นกัน เนื่องจากผู้บริหารอาจสับสนระหว่างการขับเคลื่อนนวัตกรรมขององค์กรกับความจำเป็นในการนำเทคโนโลยีป้องกันความปลอดภัยทางไซเบอร์มาใช้
นอกจากนี้ งบประมาณที่ไม่เพียงพอและพนักงานที่ขาดทักษะที่จำเป็น ก็เป็นหนึ่งในอุปสรรคต่อการบริหารจัดการความปลอดภัยด้านไซเบอร์อย่างมีประสิทธิภาพ ซึ่งอาจส่งผลให้องค์กรไม่พร้อมรับมือกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา
องค์กรที่นำเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้งานจะมีจำนวนเพิ่มขึ้น ซึ่งจะนำมาซึ่งความเสี่ยงใหม่ ๆ CIO ในกลุ่มประเทศเอเปคกว่าครึ่ง (52%) มองว่าองค์กรไม่สามารถเอาชนะภัยคุกคามด้านไซเบอร์ได้ ทำได้แค่รับมือและปรับตัวให้เร็วขึ้น
รายงานการศึกษาได้ระบุถึง 4 แนวทางที่องค์กรสามารถลดความซับซ้อนและช่วยให้การรับมือภัยคุกคามด้านไซเบอร์มีประสิทธิภาพมากขึ้น คือ 1.ตรวจสอบระบบเก่าที่ซ้ำซ้อนหรือบูรณาการอย่างไม่มีประสิทธิภาพ 2.พิจารณาใช้ระบบอัตโนมัติ รวมถึงแนวทางปฏิบัติของการทดสอบความปลอดภัยแบบบูรณาการ DevSecOps และ SOAR
3.ใช้เทคโนโลยีความปลอดภัยด้านไซเบอร์ที่มาพร้อมกับแพลตฟอร์ม 4.ใช้แนวทาง cosourcing และ managed services เพื่อลดความซับซ้อนของโครงสร้างพื้นฐาน เพิ่มการมองเห็น และจัดการต้นทุนอย่างมีประสิทธิภาพ
หัวหน้าสายงานบริการที่ปรึกษาเทคโนโลยี EY ประเทศไทยระบุว่า องค์กรไม่ควรมองว่า ผู้ให้บริการเทคโนโลยีสามารถจัดการความเสี่ยงทางไซเบอร์ได้ทั้งหมด พนักงานทั้งองค์กรจำเป็นต้องได้รับการปลูกฝังและให้ความรู้ในเรื่องการรักษาความปลอดภัยด้านไซเบอร์ ด้วยการจัดโปรแกรมฝึกอบรม นอกจากนั้น ต้องประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อระบุจุดที่มีความเสี่ยง จัดลำดับความสำคัญของมาตรการรักษาความปลอดภัย
รวมทั้งต้องมีแผนรับมือที่จัดทำเป็นเอกสารไว้อย่างชัดเจน และมีการทดสอบการใช้งานเป็นประจำ เพื่อให้มั่นใจว่าจะสามารถรับมือและจัดการกับภัยคุกคามทางไซเบอร์ในหลากหลายรูปแบบได้อย่างมีประสิทธิผล
“การปลูกฝังวัฒนธรรมด้านความปลอดภัยทางไซเบอร์ทั่วทั้งองค์กรจะช่วยสร้างมูลค่าเพิ่ม สร้างความมั่นใจเพื่อสร้างสรรค์นวัตกรรม และสร้างโอกาสทางธุรกิจให้กับองค์กร”