commentaries / INSIGHTS

จัดการการใช้งานซอฟต์แวร์ในองค์กรลดความเสี่ยง 'ข้อมูลรั่วไหล'

เหตุการณ์ข้อมูลรั่วไหล เป็นปัญหาที่เกิดขึ้นบ่อยครั้ง และกรณีที่ได้รับการเปิดเผยมักจะเป็นเหตุการณ์ที่เกิดขึ้นในต่างประเทศ

ตัวอย่างเช่น เมื่อเดือนกันยายน ปี 2017 บริษัท Equifax ซึ่งเป็นหนึ่งในบริษัทเครดิตบูโรที่ใหญ่ที่สุดในสหรัฐอเมริกาเผชิญปัญหาการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าประมาณ 143 ล้านราย และข้อมูลบัตรเครดิตของลูกค้า 209,000 ราย สร้างความเสียหายเป็นมูลค่าสูงประมาณ 439 ล้านเหรียญสหรัฐฯ ทำให้เจ้าหน้าที่ผู้บริหารระดับสูง รวมถึงเจ้าหน้าที่ผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศต้องลาออกจากตำแหน่ง เพื่อแสดงความรับผิดชอบ นับเป็นหนึ่งในเหตุการณ์ที่มีข้อมูลถูกละเมิดมากที่สุดในศตวรรษที่ 21

นอกจากนี้ ย้อนไปเมื่อปลายปี 2016 ข้อมูลส่วนบุคคลของผู้ใช้บริการ Uber ประมาณ 57 ล้านราย และข้อมูลของคนขับอีกประมาณ 600,000 ราย ได้รับการเปิดเผยออกไปโดยไม่ได้รับอนุญาต ข้อมูลเหล่านั้นรวมถึงชื่อ อีเมล เบอร์โทรศัพท์มือถือ และเลขใบขับขี่ ซึ่งเหตุการณ์ดังกล่าวส่งผลให้เจ้าหน้าที่ผู้บริหารระดับสูงฝ่ายรักษาความมั่นคงปลอดภัยต้องลาออกจากงาน

เหตุการณ์ข้อมูลรั่วไหลทั้งสองกรณีย้ำถึงความจำเป็นของ Data Security โดยเฉพาะข้อมูลที่ได้รับการจัดเก็บในรูปแบบของดิจิทัล ไม่เพียงเพื่อลดความเสี่ยงที่จะเกิดการเข้าถึงข้อมูล โดยไม่ได้รับอนุญาต และถูกนำไปเปิดเผยหรือใช้ต่อในทางมิชอบเท่านั้น แต่ยังเป็นเพราะ การจู่โจมทางไซเบอร์เพื่อเข้าถึงข้อมูล นับวันจะมากขึ้นในแบบที่หลากหลาย และสร้างความเสียหายรุนแรงกว่าเดิมหลายเท่า


“มัลแวร์” สาเหตุสูญเสียข้อมูล

องค์กรธุรกิจไม่สามารถมองข้ามความจำเป็นในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลได้ เพราะมีข้อมูลอยู่มากมายและหลากหลายประเภทที่เข้ามามีส่วนเกี่ยวข้องกับการดำเนินธุรกิจ ทั้งข้อมูลที่มีลักษณะอ่อนไหว และข้อมูลที่เป็นความลับ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงานและลูกค้าข้อมูลที่เกี่ยวกับผลิตภัณฑ์ที่เป็นความลับทางการค้า ข้อมูลทรัพย์สินทางปัญญา และข้อมูลของคู่ค้าทางธุรกิจ เป็นต้น

หนึ่งในมาตรการสำคัญเพื่อคุ้มครองความมั่นคงปลอดภัยของข้อมูลจากภัยไซเบอร์ ได้แก่ การป้องกันไม่ให้มัลแวร์เข้าสู่ระบบเครือข่าย (Network) ขององค์กรหรือลดโอกาสการจู่โจมของมัลแวร์ ผ่านทางช่องโหว่ที่มีอยู่ ซึ่งมัลแวร์นี้เป็นตัวการสำคัญที่นำข้อมูลออกไป (Spyware) หรือบังคับให้องค์กรต้องจ่ายค่าไถ่เพื่อแลกกับข้อมูล (Ransomeware)

ดังนั้น องค์กรต้องทำการสำรวจช่องโหว่ที่มีอยู่ เพื่อรีบปิดช่องโหว่เหล่านั้นก่อนที่มัลแวร์จะอาศัยเป็นช่องทางจู่โจมเข้าสู่ระบบเครือข่ายและสร้างความเสียหายตามมาลดโอกาสการจู่โจมของมัลแวร์

นอกจากความผิดพลาดของบุคคล (Human Error) จุดอ่อนในขั้นตอนและกระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรคือการขาดการควบคุมภายในที่เพียงพอ และสาเหตุอื่นๆ

จากการศึกษาของ บีเอสเอ พันธมิตรซอฟต์แวร์ พบว่า อีกหนึ่งสาเหตุสำคัญที่ทำให้เกิดช่องโหว่ให้มัลแวร์อาศัยเป็นช่องทางจู่โจมเข้าสู่ระบบเครือข่ายได้โดยง่าย คือ การที่องค์กรติดตั้งหรือใช้งานซอฟต์แวร์เถื่อน หรือการใช้งานซอฟต์แวร์โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิ (License) เพราะซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ ทำให้องค์กรไม่ได้รับสิทธิในการอัปเดตด้านความปลอดภัย (Security Update) ของซอฟต์แวร์ ไม่ได้รับสิทธิในการอุดช่องโหว่ของซอฟต์แวร์ (Patch) และไม่ได้รับสิทธิในบริการด้านความปลอดภัยอื่นๆ จากบริษัทซอฟต์แวร์

ไอดีซี (IDC) ซึ่งเป็นสำนักวิจัยระดับโลกประเมินว่า โอกาสของการเผชิญกับการจู่โจมของมัลแวร์ มีสูงถึง 1 ใน 3 หากมีการติดตั้งหรือใช้งานซอฟต์แวร์โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิ จากการวิเคราะห์เชิงสถิติของไอดีซีซึ่งยืนยันค่าความสัมพันธ์ (Correlation) ที่สูงระหว่างการใช้ซอฟต์แวร์ โดยไม่มีสัญญาอนุญาตให้ใช้สิทธิกับการถูกมัลแวร์จู่โจมเข้าสู่ระบบเครือข่าย

นอกจากนี้ ไอดีซีได้สำรวจความคิดเห็นของเจ้าหน้าที่ผู้บริหารด้านเทคโนโลยีระดับสูง (CIO) พบว่าร้อยละ 54 เห็นว่าการใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิถูกต้องครบถ้วน จะช่วยลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์

ค้นจุดอ่อนระบบความปลอดภัย

จุดอ่อนอีกประการหนึ่งที่ทำให้มัลแวร์มีโอกาสจู่โจมเข้าสู่ระบบเครือข่าย คือการที่องค์กรไม่มีนโยบายด้านการบริหารจัดการสินทรัพย์ด้านเทคโนโลยีสารสนเทศโดยเฉพาะสินทรัพย์ด้านซอฟต์แวร์ ซึ่งจะทำให้องค์กรขาดข้อมูลเกี่ยวกับซอฟต์แวร์ที่มีการติดตั้งและใช้งานทั้งหมดในระบบเครือข่าย เมื่อองค์กรไม่ทราบว่ามีซอฟต์แวร์ใดติดตั้งหรือใช้งานอยู่ องค์กรก็จะไม่ทราบว่ามีซอฟต์แวร์ใดบ้างที่ต้องจัดการดูแล

กล่าวกันว่าหนึ่งในสาเหตุที่ทำให้โรงพยาบาลหลายแห่งในประเทศอังกฤษตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ WannaCry คือ การไม่อัปเกรดซอฟต์แวร์เวอร์ชั่นเก่าที่บริษัทเจ้าของซอฟต์แวร์หยุดให้บริการด้านความปลอดภัยแล้ว โรงพยาบาลอาจไม่ตกเป็นเหยื่อของมัลแวร์ หากมีข้อมูลเกี่ยวกับซอฟต์แวร์เวอร์ชั่นเก่าและจัดการอัปเกรด

นอกจากนี้ การที่องค์กรขาดข้อมูลเกี่ยวกับสินทรัพย์เทคโนโลยีสารสนเทศประเภทซอฟต์แวร์ที่ใช้งานอยู่ ยังทำให้การแก้ไขสถานการณ์กรณีที่เกิดการจู่โจมทางไซเบอร์ล่าช้าและไม่มีประสิทธิภาพเท่าที่ควร

เช่น เจ้าหน้าที่ด้านความมั่นคงปลอดภัยที่ไม่มีบัญชีรายการซอฟต์แวร์ ฮาร์ดแวร์ อุปกรณ์ไอที และข้อมูลผู้ใช้งาน จะไม่สามารถทราบได้ทันทีว่าซอฟต์แวร์ใดที่เป็นช่องโหว่ และฮาร์ดแวร์ อุปกรณ์ไอที และผู้ใช้งานคนใดที่ได้รับผลกระทบ รวมทั้งเจ้าหน้าที่ไม่สามารถกำหนดขอบเขตของปัญหาที่เกิดขึ้น และไม่สามารถจัดอันดับความสำคัญของปัญหาได้ทันที


ควบคุมภายในการใช้ซอฟต์แวร์

จากการสำรวจของบีเอสเอ พันธมิตรซอฟต์แวร์ พบว่า องค์กรธุรกิจส่วนใหญ่ในประเทศไทย ให้ความสำคัญกับการคุ้มครองความมั่นคงปลอดภัยของข้อมูลมากขึ้น

เห็นได้จากการมีวิธีปฏิบัติ ขั้นตอน และกระบวนการจัดการด้านไซเบอร์ที่ดี (Good Cyber Hygiene) เช่น มีการลงทุนมากขึ้นกับฮาร์ดแวร์และซอฟต์แวร์ที่เป็นเทคโนโลยีล่าสุดสำหรับการป้องกันภัยไซเบอร์ เช่น เอ็นพอยท์ ซีเคียวริตี้ (Endpoint Security) ไฟล์วอลล์ (Firewalls) การสร้างหน่วยงานที่รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์และการอบรมบุคลากร เป็นต้น

อย่างไรก็ตาม องค์กรส่วนใหญ่กลับขาดนโยบายการควบคุมภายในเพียงพอที่จะทำให้แน่ใจว่า ไม่มีการติดตั้งหรือใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิที่สร้างจุดอ่อนให้ระบบความปลอดภัย และขาดนโยบายการบริหารจัดการซอฟต์แวร์รวมถึงขาดกลยุทธ์ในการผนวกกระบวนการบริหารจัดการซอฟต์แวร์ เพื่อเข้ามาสนับสนุนและเพิ่มประสิทธิภาพให้กับกระบวนการรักษาความมั่นคงปลอดภัยของข้อมูล

ด้วยเหตุนี้ องค์กรธุรกิจในประเทศไทยจึงยังคงมีความเสี่ยงสูง ที่จะเผชิญหน้ากับการจู่โจมของมัลแวร์ การรั่วไหลของข้อมูล และ การละเมิดข้อมูล หากสิ่งเหล่านี้เกิดขึ้นกับองค์กรใดแล้ว นอกจากต้องเสียงบประมาณและเวลาในการแก้ไขปัญหา ยังส่งผลเสียต่อชื่อเสียงองค์กรอีกด้วย และในภาพรวมจะส่งผลให้องค์กรธุรกิจในไทยสูญเสียความน่าเชื่อถือในสายตาของนักลงทุนต่างชาติ

ดังนั้น องค์กรธุรกิจในไทยต้องไม่มองข้ามความสำคัญของการควบคุมภายในด้านการใช้งานซอฟต์แวร์ และนโยบายการบริหารจัดการสินทรัพย์ไอที โดยเฉพาะสินทรัพย์ซอฟต์แวร์ ที่ควรจัดให้มีขึ้นในทันที เพราะเป็นหนึ่งในมาตรการสำคัญและเป็นวิธีพื้นฐานการเพิ่มประสิทธิภาพด้านการคุ้มครองความมั่นคงปลอดภัยของข้อมูล

 


วารุณี รัชตพัฒนากุล
ผู้จัดการประจำประเทศไทย บีเอสเอ I พันธมิตรซอฟต์แวร์


Admin System Web
Administrator

Update : 02 พฤศจิกายน 2561

View : 2,127



Most Popular
1

Airbus A340-500 หายนะหลายหมื่นล้าน

Update : 27 มีนาคม 2558

view : 243,526

2

เพราะเป็น ‘เจนวาย’ จึงเจ็บปวด กลุ่มคนที่

Update : 11 พฤษภาคม 2560

view : 72,080

3

ราคาทองคำไตรมาส 4 โอกาสลงมากกว่าขึ้น

Update : 19 พฤศจิกายน 2557

view : 41,985


similar Content


Other Category

Editorial & Contributor
พิชญ ช้างศร
Editor in Chief
ชญานิจฉ์ ดาศรี
Managing Editor
พรพรรณ ปัญญาภิรมย์
Corporate Editor
เอกรัตน์ สาธุธรรม
Business Editor
กัมปนาท กาญจนาคาร
Web Editor
พัฐรัศมิ์ ว่องไชยกุล
Online Business Writer
นพพร วงศ์อนันต์
Former Editor in Chief
สุทธาสินี จิตรกรรมไทย เจียจันทร์พงษ์
Former Lifestyle Editor
ปุณยวีร์ จันทรขจร
ผู้ร่วมก่อตั้ง บริษัท ซุปเปอร์เทรดเดอร์ จำกัด
กระทรวง จารุศิระ
ผู้ก่อตั้งและประธานกรรมการ ซุปเปอร์เทรดเดอร์ โฮลดิ้ง
จิรายุส ทรัพย์ศรีโสภา
ผู้ร่วมก่อตั้งบริษัท Coins.co.th
รุ่งโรจน์ ตันเจริญ
Chief Executive Officer - Rabbit Digital Group