ความสัมพันธ์ของ “เทคโนโลยี” กับโลกธุรกิจ ด้านหนึ่งคือแกนหลักที่ช่วยเพิ่มประสิทธิภาพการทำงาน เช่น การจัดการงานหลังบ้าน การขยายตลาด และการเข้าถึงลูกค้ากลุ่มใหม่ ๆ แต่อีกด้านก็เป็นช่องทางที่มิจฉาชีพแฝงตัวมาโจมตีช่องโหว่ของระบบ และก่ออาชญากรรมทางไซเบอร์ จากแรนซัมแวร์ (Ransomware) หรือการปล่อยมัลแวร์เรียกค่าไถ่ รวมถึงการโจรกรรมข้อมูล สร้างความเสียหายให้องค์กรที่ไม่ได้เตรียมความพร้อมไม่ใช่น้อย
“ประชาชาติธุรกิจ” มีโอกาสพูดคุยกับ “พลสุธี ธเนศนิรัตศัย” ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ ในเครือ บลูบิค กรุ๊ป ที่ปรึกษาด้านดิจิทัลทรานส์ฟอร์เมชั่น หลากหลายแง่มุมเกี่ยวกับทิศทางการลงทุนด้านไอทีขององค์กร และข้อเสนอแนะต่อภาคธุรกิจที่เกี่ยวข้องกับ พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ฉบับแก้ไขเพิ่มเติม หรือ พ.ร.ก.อาชญากรรมออนไลน์
ภาพรวมการลงทุนไอทีระบบ
“พลสุธี” กล่าวว่า งบฯลงทุนเกี่ยวกับระบบไอทีของหลาย ๆ องค์กรในช่วงที่ผ่านมาอยู่ที่ 5-7% ของงบฯลงทุนรวม ซึ่งสัดส่วนจะต่างกันไปในแต่ละอุตสาหกรรม แบ่งเป็นการลงทุนเกี่ยวกับความปลอดภัยทางไซเบอร์ 15-20% แต่ตัวเลขนี้ไม่ใช่เมจิกนัมเบอร์ หรือสูตรตายตัวเพราะแต่ละองค์กรจะต่างกันไปตามความต้องการ และความหนักเบาของปัญหาที่เจอ เปรียบได้กับการดูแลสุขภาพของแต่ละบุคคล
อย่างไรก็ตาม หนึ่งในปัจจัยสำคัญที่มีผลกับการลงทุนด้านโครงสร้างไอที ความปลอดภัยทางไซเบอร์ และระบบต่าง ๆ ขององค์กร หนีไม่พ้นสภาพเศรษฐกิจที่ยังฟื้นตัวไม่เต็มที่ ทำให้หลายองค์กรตัดสินใจรัดเข็มขัด และตัดงบประมาณในบางโปรเจ็กต์ เพื่อโฟกัสกับเรื่องที่มีความสำคัญมากกว่า
“แนวโน้มที่เห็นคือองค์กรไม่ได้โยกงบฯจากทีมนี้ไปทีมนั้น หรือจากส่วนที่ทีมไอทีใช้ไปที่การตลาด แต่เป็นการที่แต่ละทีมเขียน Proposal เข้าไป แล้วถูกพิจารณาให้ตัดออกบางรายการ เช่นเสนอไป 10 โปรเจ็กต์ อาจได้รับการอนุมัติแค่ 8 โปรเจ็กต์ที่สำคัญจริง ๆ เราทำหน้าที่ในการให้คำปรึกษา สมมุติองค์กรบอกว่าต้องการแก้ปัญหาเรื่องนี้ด้วยงบฯเท่านี้ เราก็ช่วยออกแบบโฟลว์การทำงานที่ตอบโจทย์ และแนะนำเครื่องมือที่ต้องใช้พร้อมปรับแต่งตามความเหมาะสม”
“พ.ร.ก.” สปริงบอร์ดการลงทุน
ความพยายามของภาครัฐในการแก้ปัญหา “แก๊งคอลเซ็นเตอร์” ด้วยการปรับปรุง พ.ร.ก.อาชญากรรมออนไลน์ ให้มีความเข้มข้นในการป้องกันและปราบปรามอาชญากรรมออนไลน์ทำให้ภาคธุรกิจที่เกี่ยวข้องโดยเฉพาะสถาบันการเงิน ธนาคาร และโอเปอเรเตอร์มือถือเพิ่มความเข้มข้นในการวางระบบหลังบ้านให้ปลอดภัยและรัดกุมมากขึ้นเพื่อลดความเสียหายมูลค่ามหาศาล
จากการพูดคุยกับลูกค้ากลุ่มการเงินถึงแนวทางในการเตรียมความพร้อมต่อ พ.ร.ก.ฉบับนี้ ทำให้บริษัทมีการออกแบบเฟรมเวิร์กการวางระบบหลังบ้านตามเหตุการณ์ที่คาดว่าจะเกิดขึ้นจากการบังคับใช้ พ.ร.ก. ไม่ว่าจะเป็นการแลกเปลี่ยนข้อมูลบัญชี การตรวจจับเหตุที่นำไปสู่ความผิดปกติ การยับยั้งการทำธุรกรรม และบริการต่อบุคคลที่เข้าข่ายเป็นอาชญากร และการแสดงหลักฐานเพื่อดำเนินการตามกฎหมาย
“สิ่งที่บลูบิค ไททันส์ มองว่าจำเป็นต่อการวางระบบการทำงานให้สอดคล้องกับ พ.ร.ก.ฉบับนี้ คือการวิเคราะห์ดาต้าแบบเรียลไทม์ เพื่อตรวจจับการทำธุรกรรมที่แปลกจากปกติ เช่น ลูกค้าไม่เคยกู้เงินเลย แต่อยู่ดี ๆ ก็กดเงินจากบัตรเครดิต และกำลังจะโอนออกไปให้คนอื่น ถ้าสถาบันการเงินตรวจจับได้ก็น่าจะช่วยหยุดยั้งความเสียหายให้กับเหยื่อในเบื้องต้น”
เสียงสะท้อนต่อ พ.ร.ก.ฉบับแก้ไข
“พลสุธี” บอกด้วยว่า ลูกค้าภาคการเงินและคนที่ทำงานในสาย Cybersecurity ยังตั้งคำถามเกี่ยวกับความชัดเจนในการบังคับใช้ พ.ร.ก.ฉบับนี้ โดยเฉพาะเรื่องของการ “ร่วมรับผิด” ว่ามีกรอบในการพิจารณาอย่างไรบ้าง หากอ้างอิงจากกรณีศึกษาของสิงคโปร์ พบว่าการที่สถาบันการเงิน หรือโอเปอเรเตอร์เข้ามาร่วมชดใช้ค่าเสียหาย จะต้องเกิดจากละเมิดข้อกำหนด หรือละเลยหน้าที่ เช่น เกิดความเสียหายจาก Phishing SMS กับหมายเลขโทรศัพท์ที่ผูกกับบัญชี
“เคสความเสียหายส่วนใหญ่ในไทยเกิดจากการที่ผู้ใช้โอนเงินออกไปเอง ทำให้ข้อกำหนดของ พ.ร.ก.ต้องสื่อสารอย่างชัดเจน และนอกจากเรื่องที่องค์กรต่าง ๆ ต้องเตรียมพร้อมเรื่องเวิร์กโฟลว์การทำงานเพื่อลดความเสียหายจากอาชญากรรมออนไลน์แล้ว การทำให้คนไทยรู้เท่าทันและระมัดระวังก็สำคัญไม่แพ้กัน”
เตรียมพร้อม Virtual Bank
เมื่อถามถึงความเสี่ยงและโอกาสในการเกิดอาชญากรออนไลน์ผ่านระบบของ “เวอร์ชวลแบงก์” (Virtual Bank) ที่มีโอกาสจะได้เริ่มใช้จริงในประเทศไทย ภายในปี 2569 “พลสุธี” มองว่า บ้านเรามีระบบการทำ KYC และการยืนยันตัวตนที่แข็งแกร่งมาก มีทั้งระบบของกรมการปกครอง (DOPA) และ ThaiD ขณะที่ในวงการธนาคารก็มี NDID โครงสร้างเหล่านี้น่าจะทำให้การยืนยันตัวตนบน Virtual Bank มีความชัดเจน เมื่อรวมกับกรอบที่ธนาคารแห่งประเทศไทย (ธปท.) วางไว้ ทำให้การใช้งานปลอดภัยมากขึ้น
“หนึ่งในต้นตอสำคัญของอาชญากรรมออนไลน์ คือปัญหาบัญชีม้า ฉะนั้นไม่ว่าจะเป็นระบบธนาคารเดิม หรือ Virtual Bank ก็มีโอกาสเกิดอาชญากรรมออนไลน์ได้ไม่ต่างกัน เพียงแต่จังหวะที่ Virtual Bank พร้อมใช้งาน ความเข้มข้นในการบังคับใช้ พ.ร.ก.ฉบับนี้เพิ่มมากขึ้น อาจทำให้ปัญหาเรื่องบัญชีม้าน้อยลง นำไปสู่การก่ออาชญากรรมได้ยากมาก ๆ แล้ว”
“บลูบิค ไททันส์” เป็นใคร
บมจ.บลูบิค กรุ๊ป ที่ปรึกษาด้านดิจิทัลทรานส์ฟอร์เมชั่น เป็นที่รู้จักมากขึ้นจากการเป็นบริษัทที่ชนะการเสนอราคาระบบแพลตฟอร์มการชำระเงิน (Payment Platform) บนซูเปอร์แอปของรัฐที่มีแอป “ทางรัฐ”เป็นหน้าต่างกลาง ซึ่งอยู่ในความดูแลของสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ DGA ด้วยวงเงิน 90 ล้านบาท รวมภาษีมูลค่าเพิ่มและภาษีอื่น ค่าขนส่ง ค่าจดทะเบียน และค่าใช้จ่ายอื่น ๆ ทั้งหมด
ปัจจุบัน บลูบิค กรุ๊ป แบ่งการให้บริการตามลักษณะการประกอบธุรกิจเป็น 5 ประเภท คือ 1.ให้คำปรึกษาด้านกลยุทธ์และการจัดการ 2.บริหารโครงการเชิงยุทธศาสตร์ 3.พัฒนาระบบดิจิทัลและให้คำปรึกษาด้านเทคโนโลยี 4.การจัดการข้อมูลขนาดใหญ่และวิเคราะห์ข้อมูลชั้นสูงด้วยปัญญาประดิษฐ์ และ 5.จัดหาและบริหารบุคลากรชั่วคราว ด้านเทคโนโลยีสารสนเทศ
มีบริษัทลูกในเครือที่รับผิดชอบในส่วนต่าง ๆ หนึ่งในนั้นคือ “บลูบิค ไททันส์” ที่โฟกัสเรื่องความปลอดภัยทางไซเบอร์ในองค์กรโดยเฉพาะ
“พลสุธี ธเนศนิรัตศัย” ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด กล่าวว่า ให้บริการใน 4 ส่วน ประกอบด้วย 1.การประเมินความเสี่ยงและการวางกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ให้กับองค์กร สำหรับองค์กรที่ต้องการวางระบบตั้งแต่ต้น แต่ยังไม่ทราบว่ามีปัญหาอะไรบ้าง
2.การทดสอบความพร้อมด้านความปลอดภัยทางไซเบอร์ หรือ Pain Test เพื่อวิเคราะห์ว่าระบบที่องค์กรใช้อยู่มีประสิทธิภาพหรือไม่ 3.การเพิ่มความสามารถด้านความปลอดภัยทางไซเบอร์ รักษา “แผล” หรือช่องโหว่ที่พบจากการทดสอบ และ 4.การสืบค้นหลักฐานทางดิจิทัล หรือ Digital Forensics เพื่อวิเคราะห์และออกแบบวิธีการแก้ปัญหาให้กับองค์กร
“การทำงานของเรามีทั้งส่วนที่เป็นโปรเจ็กต์แยกเฉพาะของทีม และโปรเจ็กต์ที่รวมไปกับบริการแบบฟูลเซอร์วิสของบลูบิค กรุ๊ป อย่างปีผ่านมาถืออยู่ 15-20 โปรเจ็กต์ ความหลากหลายของตัวงานก็คละ ๆ กันไป บางทีก็มีช่วงที่ต้องให้บริการทั้ง 4 ส่วนพร้อมกัน”
“พลสุธี” กล่าวด้วยว่า ปัจจุบันทีมบลูบิค ไททันส์ มี 12 คน ถ้าเทียบกับปริมาณงานที่ต้องทำก็ถือว่ายังขาดแคลน ต้องการคนมาทำงานด้วยเรื่อย ๆ ซึ่งเป็นสิ่งที่องค์กรที่ทำงานเกี่ยวกับ Cybersecurity เจอไม่ต่างกัน
“สิ่งที่สำคัญในการทำงานสาย Cybersecurity มากกว่าความรู้ คือเรื่องของความกระตือรือร้นในการพัฒนาตนเอง จบอะไรมาไม่สำคัญ ขอแค่มีใจรักในการเรียนรู้ ก็สามารถทำงานในสายนี้ได้ เพราะบางอย่างก็เป็นความรู้ที่ในห้องเรียนไม่มีสอน และได้จากการทำงานเท่านั้น”
ฐากรทวง พ.ร.ก.ไซเบอร์ฉบับใหม่ จะบังคับใช้เมื่อไหร่
‘LIV-24’ ระเบิดเป้าโต 140% เดินหน้าขยาย Smart Tech สู่ภาคอุตสาหกรรม
TRUE ชูหลัก ‘5P 5 พร้อม’ ตอกย้ำความปลอดภัยการทำงานบนที่สูง
