คอลัมน์

โจทย์ท้าทายธุรกิจยุคดิจิทัล เมื่อองค์กรไม่สามารถเอาชนะภัยไซเบอร์

CHINA-TECHNOLOGY-HACKING
This photo taken on August 4, 2020 shows Prince, a member of the hacking group Red Hacker Alliance who refused to give his real name, using his computer at their office in Dongguan, China's southern Guangdong province. From a small, dingy office tucked away in an industrial city in southern China, one of China's last "volunteer hacker" groups maintains a final outpost in its patriotic hacking war. (Photo by NICOLAS ASFOURI / AFP) / TO GO WITH China-hacking-security,FOCUS by Laurie Chen / ìThe erroneous mention[s] appearing in the metadata of this photo by NICOLAS ASFOURI has been modified in AFP systems in the following, we removed the HOLD HOLD HOLD in the main caption. Please immediately remove the erroneous mention[s] from all your online services and delete it (them) from your servers. If you have been authorized by AFP to distribute it (them) to third parties, please ensure that the same actions are carried out by them. Failure to promptly comply with these instructions will entail liability on your part for any continued or post notification usage. Therefore we thank you very much for all your attention and prompt action. We are sorry for the inconvenience this notification may cause and remain at your disposal for any further information you may require.î
คอลัมน์ : ระดมสมอง

โลกยุคดิจิทัล ที่เทคโนโลยีเข้ามามีบทบาทอย่างมากในการขับเคลื่อนธุรกิจ ส่งผลให้ภัยคุกคามไซเบอร์ก็กลายเป็นโจทย์ท้าทายขององค์กรองค์กรต่าง ๆ มากขึ้น

รายงานผลการศึกษา EY 2023 Global Cybersecurity Leadership Insights Study ระบุว่า ถึงแม้ภัยคุกคามด้านไซเบอร์เพิ่มสูงขึ้น การลงทุนเพื่อป้องกันภัยคุกคามก็เพิ่มขึ้น อย่างไรก็ดีผู้บริหารด้านความปลอดภัยทางไซเบอร์ยังเผชิญกับความท้าทายในการเพิ่มประสิทธิภาพการป้องกันภัยคุกคามที่มีต่อองค์กร

จากการสำรวจความคิดเห็นของผู้บริหารด้านความปลอดภัยทางไซเบอร์ (Chief Information Security Officers : CISOs) ในภูมิภาคเอเชีย-แปซิฟิก (APEC) ที่จัดทำโดย EY พบว่า ผู้บริหารด้านไซเบอร์น้อยกว่าครึ่ง (49%) คิดว่าองค์กรของตนสามารถรับมือภัยคุกคามด้านไซเบอร์ได้ดี ขณะที่ 51% ยังไม่มั่นใจในประสิทธิภาพของการฝึกอบรมที่องค์กรจัดให้พนักงาน และมีเพียง 40% เท่านั้นที่พอใจกับระดับการนำแนวทางปฏิบัติที่ดีไปใช้โดยทีมนอกแผนกไอที

และขณะเดียวกัน ผลสำรวจชี้ให้เห็นว่า “ต้นทุน” ที่เกี่ยวข้องกับการลงทุนด้านความปลอดภัยทางไซเบอร์นั้นสูงขึ้น โดยผู้บริหารสูงสุดในสายงานด้านไอที (CIO) ส่วนใหญ่ (66%) ตอบว่าองค์กรของพวกเขาจัดสรรงบประมาณลงทุนด้านไอทีประมาณ 1-5% ของรายได้ทั้งหมดในปี 2565 และ 59% ของผู้บริหารกลุ่มนี้ระบุว่า ในปี 2566 การใช้จ่ายงบประมาณด้านไอทีเพิ่มขึ้นเป็น 6-10% ของรายได้ทั้งหมด

ส่วนเหตุการณ์ภัยคุกคามและการรั่วไหลของข้อมูลที่เกิดขึ้นในองค์กรในปีที่ผ่านมา 45% ของผู้นำด้านไซเบอร์ระบุว่า องค์กรของตนประสบเหตุการณ์ภัยคุกคาม 25-49 ครั้ง และพบการรั่วไหลของข้อมูลราว 10-24 ครั้ง โดย 9% ของผู้บริหารายงานว่าเหตุการณ์เหล่านี้ส่งผลให้มีค่าใช้จ่ายองค์กรรวมกว่าสองร้อยล้านบาท

“เพ็ญนภา พุกกะรัตน์” หุ้นส่วนและหัวหน้าสายงานบริการที่ปรึกษาเทคโนโลยี EY ประเทศไทย ระบุว่า การโจมตีด้านไซเบอร์ที่เพิ่มขึ้นทั่วโลก ส่งผลให้องค์กรต่าง ๆ หันมาให้ความสนใจและลงทุนในด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้น และแนวโน้มนี้เกิดขึ้นในประเทศไทยเช่นเดียวกัน ความปลอดภัยด้านไซเบอร์ได้กลายเป็นหนึ่งในการลงทุนสำคัญอันดับต้น ๆ สำหรับองค์กร

โดยเฉพาะองค์กรในอุตสาหกรรมที่มีความเสี่ยงสูงจากภัยคุกคามด้านไซเบอร์ เช่น กลุ่มผู้ให้บริการทางการเงิน กลุ่มอุตสาหกรรมด้านสุขภาพ (healthcare) อุตสาหกรรมค้าปลีก และการค้าออนไลน์ (อีคอมเมิร์ซ) โดย CIO ต้องมุ่งเน้นศึกษาข้อกำหนดด้านกฎระเบียบ และติดตามการเปลี่ยนแปลงของภัยคุกคามด้านไซเบอร์ที่ดำเนินไปอย่างต่อเนื่อง เพื่อสร้างการป้องกันการโจมตีทางไซเบอร์ที่มีประสิทธิภาพให้องค์กร

จากผลสำรวจ องค์กรส่วนใหญ่มีการนำเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้แล้วอย่างน้อยหนึ่งเทคโนโลยี โดยที่ใช้กันมากที่สุดคือเทคโนโลยีปัญญาประดิษฐ์ (artificial intelligence-AI) และ/หรือการเรียนรู้ของเครื่อง (machine learning-ML) การรักษาความปลอดภัยแบบ zero trust และการยืนยันตนแบบไร้รหัสผ่าน (passwordless authentication)

อย่างไรก็ตาม แม้ว่าซีไอโอมุ่งมั่นที่จะยกระดับความปลอดภัยด้านไซเบอร์ แต่ยังต้องเผชิญกับความท้าทายที่เกิดขึ้นในองค์กร

สำหรับความท้าทายสามอันดับแรกคือ การมีพื้นที่หรือช่องทางการโจมตีมากเกินไป (52%) ความยากในการสร้างความสมดุลระหว่างความปลอดภัยด้านไซเบอร์และการขับเคลื่อนนวัตกรรม (50%) และงบประมาณด้านความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอ (44%)

“กมลวรรณ ตันพิชัย” หุ้นส่วนและที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ EY ประเทศไทย กล่าวว่า แม้องค์กรจะมีการตั้งค่าควบคุมการเข้าถึงและลดความซับซ้อนในการจัดการด้านไซเบอร์ แต่การมีพื้นที่ให้โจมตีมากเกินไปยังเป็นความท้าทายสำคัญที่ต้องรับมือ นอกจากนั้น ความไม่ชัดเจนของกลยุทธ์ความปลอดภัยด้านไซเบอร์ก็ถือเป็นความท้าทายเช่นกัน เนื่องจากผู้บริหารอาจสับสนระหว่างการขับเคลื่อนนวัตกรรมขององค์กรกับความจำเป็นในการนำเทคโนโลยีป้องกันความปลอดภัยทางไซเบอร์มาใช้

นอกจากนี้ งบประมาณที่ไม่เพียงพอและพนักงานที่ขาดทักษะที่จำเป็น ก็เป็นหนึ่งในอุปสรรคต่อการบริหารจัดการความปลอดภัยด้านไซเบอร์อย่างมีประสิทธิภาพ ซึ่งอาจส่งผลให้องค์กรไม่พร้อมรับมือกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา

องค์กรที่นำเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้งานจะมีจำนวนเพิ่มขึ้น ซึ่งจะนำมาซึ่งความเสี่ยงใหม่ ๆ CIO ในกลุ่มประเทศเอเปคกว่าครึ่ง (52%) มองว่าองค์กรไม่สามารถเอาชนะภัยคุกคามด้านไซเบอร์ได้ ทำได้แค่รับมือและปรับตัวให้เร็วขึ้น

รายงานการศึกษาได้ระบุถึง 4 แนวทางที่องค์กรสามารถลดความซับซ้อนและช่วยให้การรับมือภัยคุกคามด้านไซเบอร์มีประสิทธิภาพมากขึ้น คือ 1.ตรวจสอบระบบเก่าที่ซ้ำซ้อนหรือบูรณาการอย่างไม่มีประสิทธิภาพ 2.พิจารณาใช้ระบบอัตโนมัติ รวมถึงแนวทางปฏิบัติของการทดสอบความปลอดภัยแบบบูรณาการ DevSecOps และ SOAR

3.ใช้เทคโนโลยีความปลอดภัยด้านไซเบอร์ที่มาพร้อมกับแพลตฟอร์ม 4.ใช้แนวทาง cosourcing และ managed services เพื่อลดความซับซ้อนของโครงสร้างพื้นฐาน เพิ่มการมองเห็น และจัดการต้นทุนอย่างมีประสิทธิภาพ

หัวหน้าสายงานบริการที่ปรึกษาเทคโนโลยี EY ประเทศไทยระบุว่า องค์กรไม่ควรมองว่า ผู้ให้บริการเทคโนโลยีสามารถจัดการความเสี่ยงทางไซเบอร์ได้ทั้งหมด พนักงานทั้งองค์กรจำเป็นต้องได้รับการปลูกฝังและให้ความรู้ในเรื่องการรักษาความปลอดภัยด้านไซเบอร์ ด้วยการจัดโปรแกรมฝึกอบรม นอกจากนั้น ต้องประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อระบุจุดที่มีความเสี่ยง จัดลำดับความสำคัญของมาตรการรักษาความปลอดภัย

รวมทั้งต้องมีแผนรับมือที่จัดทำเป็นเอกสารไว้อย่างชัดเจน และมีการทดสอบการใช้งานเป็นประจำ เพื่อให้มั่นใจว่าจะสามารถรับมือและจัดการกับภัยคุกคามทางไซเบอร์ในหลากหลายรูปแบบได้อย่างมีประสิทธิผล

“การปลูกฝังวัฒนธรรมด้านความปลอดภัยทางไซเบอร์ทั่วทั้งองค์กรจะช่วยสร้างมูลค่าเพิ่ม สร้างความมั่นใจเพื่อสร้างสรรค์นวัตกรรม และสร้างโอกาสทางธุรกิจให้กับองค์กร”