ความเสี่ยงที่ต้องระวังในยุค 4.0

คอลัมน์ มองข้ามชอต

โดย โกญจนาท เถื่อนมูลแสน Economic Intelligence Center Cyber security

ทุกวันนี้ ภาคธุรกิจมีการเข้าถึงข้อมูลที่เชื่อมต่อบนโลกออนไลน์ได้ทุกที่ ทุกเวลา ทำให้ Cyber security จึงกลายมาเป็นสิ่งสำคัญที่ไม่ควรเพิกเฉย ทั้งนี้ จากรายงาน Data Breach Investigations Reports (DBIR) ปี 2017 ซึ่งจัดทำโดย Verizon เผยว่า ธุรกิจต่าง ๆ ยังคงล้มเหลวในการจัดการป้องกันไม่ให้ข้อมูลรั่วไหลได้ ทำให้มีผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลต่าง ๆ ได้อย่างต่อเนื่อง


ดังนั้น การจัดการข้อมูลทางธุรกิจในยุค 4.0 ที่ต้องพึ่งพาการติดต่อออนไลน์ทั้งกับลูกค้าและระหว่างธุรกิจอื่น จึงเป็นสิ่งที่มีความสำคัญอย่างมาก โดยเฉพาะอย่างยิ่งในด้านการจัดการ supply chain เพราะยิ่งระบบข้อมูลมีการเชื่อมต่อที่ซับซ้อนมากขึ้นเท่าใด ความเสี่ยงที่ข้อมูลจะรั่วไหลก็ยิ่งตามมามากขึ้นเท่านั้น

นอกจากนี้ ในรายงาน DBIR ยังกล่าวอีกด้วยว่า หลายธุรกิจทั่วโลกไม่ได้ตระหนักและให้ความสำคัญในการจัดการกับความเสี่ยงนี้มากพอ หลายครั้งเกิดการรั่วไหลของข้อมูลโดยที่ไม่ทันรู้ตัว อีกทั้งการค้นพบการรั่วไหลดังกล่าวมาจากบุคคลที่สาม ซึ่งการโจมตีโดยส่วนใหญ่นั้นเกิดจากการ hacking และ malware สะท้อนได้ว่าการตั้งพาสเวิร์ดนั้นยังไม่ยากพอทำให้ถูกขโมยไปได้ง่าย

ยิ่งไปกว่านั้น ยังพบอีกว่า 1 ใน 4 ของข้อมูลที่รั่วไหลมีความเกี่ยวข้องกับคนภายในองค์กรเอง และเกือบ 1 ใน 5 มาจากหน่วยงานของรัฐบาล อย่างไรก็ดี แม้ว่าการโจมตีโดยส่วนใหญ่จะมีจุดประสงค์เพื่อผลประโยชน์ทางการเงิน ซึ่งตั้งเป้าไปที่สถาบันการเงิน แต่จากรายงานนั้นกลับพบว่าองค์กรทางธุรกิจอื่น ๆ อย่างสถานพยาบาล ธุรกิจค้าปลีก และโรงแรม กลับถูกโจมตีทางข้อมูลที่มากกว่าเสียด้วยซ้ำ ซึ่งคิดเป็นสัดส่วนเกือบ 1 ใน 3 เลยทีเดียว

เช่นเดียวกับทั่วโลก ธุรกิจในประเทศไทยก็ยังไม่ได้ตระหนักถึงความสำคัญในเรื่องนี้ แม้ธุรกิจต่าง ๆ จะเข้าสู่ระบบออนไลน์กันมากขึ้น เห็นได้จากการลงทุนด้านโครงสร้างพื้นฐานเพื่อรองรับซึ่งมีมูลค่ามากกว่าแสนล้านบาทในแต่ละปี ทั้งนี้ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์เคยให้สัมภาษณ์ว่า จุดอ่อนขององค์กรในประเทศไทย คือ การที่บุคลากรในระดับผู้บริหารไม่ได้ตระหนักถึงความสำคัญในเรื่องการปกป้องข้อมูล รวมถึงการเตรียมความพร้อมก็ยังไม่มีประสิทธิภาพเพียงพอ ซึ่งจากข้อมูลของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย พบว่า ในปี 2015 การรั่วไหลของข้อมูลโดยส่วนใหญ่เกิดจากการโจมตีผ่านทาง malware ซึ่งรายงานว่ามีจำนวนมากกว่า 2 ล้านครั้ง

นอกจากนี้ ยังรวมถึง spam mails และ unwanted programs ที่ถูกส่งมายังหน่วยงานต่าง ๆ มากกว่าอย่างละ 10 ล้านกรณี ซึ่งจากการสำรวจนั้นพบว่ามีเพียง 1 ใน 3 สามารถสำรองข้อมูลและนำมาใช้ได้เอง หากแต่โดยส่วนใหญ่ยอมรับว่าไม่มีความพร้อมที่จะจัดการกับเรื่องนี้ ต้องพึ่งพาหน่วยงานภายนอกช่วยในการประเมินความเสี่ยงและวางแผนการจัดการ นอกจากนี้ ในส่วนของจำนวนคนที่ได้รับการรับรองมาตรฐานสากลในการจัดการกับเรื่องนี้ในไทยก็มีจำนวนเพียง 200 คน เทียบกับ 300 คนในมาเลเซีย และ 2,700 คนในเกาหลีใต้

ทั้งนี้ การรั่วไหลของข้อมูลนั้นเกิดขึ้นในอุตสาหกรรมที่หลายคนคาดไม่ถึง ยกตัวอย่าง ธุรกิจโรงแรมและร้านอาหาร รวมถึงโรงพยาบาล และเพื่อให้เห็นภาพที่ชัดเจนว่า สาเหตุของการรั่วไหลของข้อมูลนั้นมาจากอะไร และแนวทางป้องกันปัญหาที่จะเกิดขึ้นนั้นมีอะไรบ้าง จะขออธิบายในส่วนถัดไป อย่างไรก็ดี ในส่วนของการป้องกันการรั่วไหลของข้อมูลนั้นอาจจะเป็นเรื่องที่หลายคน โดยเฉพาะคนที่ทำงานในวงการไอทีรู้กันดี แต่ในบางครั้งสาเหตุนั้นมาจากการขาดความใส่ใจ

เริ่มจากในส่วนของการรั่วไหลของข้อมูลในกลุ่มธุรกิจโรงแรมและร้านอาหารเกือบร้อยละร้อย เป็นการจู่โจมจากภายนอกเพื่อผลประโยชน์ทางการเงิน หรือพูดง่าย ๆ ว่า ทำเพื่อพักฟรีหรือกินฟรีนั่นเอง และหากเทียบกันแล้วนั้น ธุรกิจร้านอาหารมีโอกาสที่จะเกิดการรั่วไหลของข้อมูลมากกว่า เพราะส่วนใหญ่เป็นธุรกิจที่มีขนาดเล็กและไม่มีระบบไอที

อย่างไรก็ดี จุดเสี่ยงของการรั่วไหลของทั้งสองธุรกิจนี้มักจะเกิดขึ้นที่ระบบจุดชำระเงิน POS ที่มีการใช้บัตรเครดิต ดังนั้น เครื่องมือที่ใช้ในการโจมตีส่วนใหญ่จึงเป็นพวก malware ที่มีเป้าหมายบนระบบการชำระเงิน เช่น ตัวที่เรียกว่า RAM scraper ซึ่งจะเข้าไปแอบเก็บข้อมูลบัตรเครดิตในระบบเพื่อเอาไปใช้ประโยชน์ต่อไป ดังนั้น วิธีการป้องกันหลัก ๆ คือ การเปลี่ยนพาสเวิร์ดอย่างสม่ำเสมอ การจำกัดการเข้าถึงระบบ POS เฉพาะ IP address ที่รู้จักเท่านั้น และที่สำคัญต้องคอยอัพเดตซอฟต์แวร์ POS อย่างต่อเนื่อง

ในขณะที่กลุ่มธุรกิจโรงพยาบาลนั้น การรั่วไหลของข้อมูลมีความเชื่อมโยงกับบุคคลภายในองค์กรมากที่สุดเมื่อเทียบกับกลุ่มธุรกิจอื่น ๆ โดยการโจมตีส่วนใหญ่เกิดจากความผิดพลาดในการดำเนินงาน เช่น กรณีลืมวางคอมพิวเตอร์ทิ้งไว้ แผ่นเอกซเรย์ถูกทิ้งออกไป หรือการส่งเอกสารให้ผู้ป่วยผิดคน เป็นต้น ซึ่งสะท้อนให้เห็นว่าการจัดการระบบข้อมูลของโรงพยาบาลไม่ใช่เรื่องง่าย เพราะต้องสร้างความสมดุลระหว่างการปกป้องข้อมูลกับการเข้าถึงข้อมูลของผู้ป่วยให้ได้อย่างรวดเร็วเพื่อให้ทันต่อการรักษา

วิธีการจัดการจึงเน้นไปที่การสร้างระบบป้องกันไม่ให้เกิดการดำเนินงานที่ผิดพลาด เช่น การทำ cross check ก่อนที่จะพิมพ์หรือส่งเอกสาร การ encrypt อุปกรณ์ต่าง ๆ เผื่อกรณีที่อาจเกิดการสูญหาย เป็นต้น หรือการสร้างระบบตรวจสอบการเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับงานเพื่อควบคุมการแอบดูข้อมูล และลดการเปิดเผยข้อมูล เช่น ไม่ใช้หมายเลขบัตรประชาชนในขั้นตอนที่ไม่จำเป็นอย่างการเก็บเงินหรือการให้การรักษา เป็นต้น