จะอุดช่องโหว่ด้านระบบรักษาความปลอดภัยสำหรับองค์กรขนาดเล็กและขนาดกลางได้อย่างไร

#KingstonCognate ขอแนะนำ ศาตราจารย์ Sally Eaves

ศาสตราจารย์ Sally Eaves เป็นประธาน Cyber Trust และที่ปรึกษาด้านนโยบายอาวุโสให้กับ Global Foundation of Cyber Studies and Research เธอได้รับการกล่าวถึงในฐานะ “ผู้มีบทบาทสำคัญด้านเทคโนโลยีเพื่อส่งเสริมจริยธรรม” และเป็นผู้ได้รับรางวัล Frontier Technology and Social Impact Award ซึ่งเธอเป็นคนแรกที่ได้รับรางวัลดังกล่าวจากสหประชาชาติ นอกจากจะเป็นประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี ศาสตราจารย์ด้านเทคโนโลยีขั้นสูง และที่ปรึกษาเชิงกลยุทธ์ในระดับสากลที่เกี่ยวข้องกับเทคโนโลยีใหม่ ๆ Sally ยังเป็นนักเขียนระดับนานาชาติที่มีรางวัลรับรอง อีกทั้งยังเป็นพิธีกร วิทยากร และผู้นำทางความคิดด้านการเปลี่ยนแปลงของโลกดิจิตอล (AI, 5G, คลาวด์, บล็อคเชน, การรักษาความปลอดภัยทางไซเบอร์, ธรรมาภิบาล, IoT และวิทยาการข้อมูล) รวมถึงวัฒนธรรม, ชุดทักษะ, DEI และผลกระทบต่อสังคมและความยั่งยืน

Sally ให้ความรู้และฝึกอบรมเพื่อสนับสนุนบุคลากรด้านเทคนิครุ่นใหม่อย่างจริงจังและยังเป็นผู้ก่อตั้ง Aspirational Futures เพื่อส่งเสริมการเปิดโอกาส ความหลากหลายและความเท่าเทียมด้านการเรียนรู้และเทคโนโลยี โดยเธอมีแผนจะเปิดตัวหนังสือเล่มใหม่ล่าสุดอย่าง “Tech For Good” ในเร็วๆ นี้ Sally เป็นที่จับตามองอย่างต่อเนื่องด้วยอิทธิพลในระดับโลกด้านเทคโนโลยีจากการได้ดูแลหน่วยงานชั้นนำมากมาย เช่น Onalytica โดยเป็นบุคคลสำคัญติด 10 อันดับแรกในสาขาต่างๆ ทั้ง AI, 5G, สิ่งแวดล้อม และสาขาอื่นๆ อีกมากมาย

ภัยคุกคามที่กำลังพัฒนาตัวเองอย่างต่อเนื่องสำหรับ SME

ผลการศึกษาใหม่ทำให้เราทราบขอบเขตที่แท้จริงของภัยคุกคามต่อ SME เมื่อเปรียบเทียบกับองค์กรขนาดใหญ่ ภัยคุกคามต่อ SME ระหว่างปี 2019-20 สูงมากถึง 65% เมื่อเทียบกับภัยคุกคามของธุรกิจทั้งหมดซึ่งอยู่ที่ 46% (Towergate) เป็นเครื่องยืนยันว่าภัยคุกคามมีการเกิดขึ้นซ้ำ ๆ กันและต่อเนื่อง! SME แต่ละแห่งถูกเจาะระบบอย่างจริงจังเฉลี่ยถึง 6 ครั้งในช่วงเวลาดังกล่าว ซึ่งหมายถึงทุก ๆ สองเดือนจะมีการเจาะระบบภายในของพวกเขาหนึ่งครั้ง! (NatWest)

อะไรคือเทคนิคที่สำคัญที่ใช้โจมตี SME

2 ภัยคุกคามจากภายนอกเกิดขึ้นโดยการแอบอ้างและผ่านระบบวิศวกรรมทางสังคมโดยอาศัยโอกาสที่เกิดขึ้นภายในระบบนิเวศของซัพพลายเชน เมื่อคำนวณรวมไปกับภัยคุกคามจากภายใน ไม่ว่าจะเป็นความย่อหย่อนในการประเมินความเสี่ยง การควบคุมสิทธิ์ใช้งานที่ไม่ดีพอ และการขาดการฝึกอบรมหรือสร้างการตระหนักรู้ วัฒนธรรมและทักษะด้านความปลอดภัยทางไซเบอร์ล้วนทำให้เกิดช่องโหว่ในการโจมตีที่สำคัญ

การแอบอ้าง (ฟิชชิ่ง) และวิศวกรรมทางสังคม
85% ของภัยคุกคามทางไซเบอร์เกิดขึ้นจากการหลอกลวงหรือแอบอ้างเพื่อหลอกผู้ใช้ให้ ‘ทำในสิ่งที่ไม่ถูกต้อง เช่น การดาวน์โหลดมาลแวร์ โดยส่วนใหญ่จะเป็นการแอบอ้างทางอีเมล การแอบอ้างหรือหลอกลวงเองก็เริ่มมีความซับซ้อนมากขึ้นเรื่อย ๆ จากผลการทดสอบเมื่อไม่นานมานี้พบว่า ปัญญาประดิษฐ์สามารถเขียนอีเมลแอบอ้างได้ดีกว่าคนปกติด้วยซ้ำ! ระบบวิศวกรรมทางสังคมมีความเชื่อมโยงกับการแอบอ้าง (ฟิชชิ่ง) โดยเป็นกระบวนการปั่นหัวคนผ่านการสวมรอย การชักจูงหรือแม้แต่การข่มขู่ว่าจะดำเนินการบางอย่างหรือเปิดเผยข้อมูลลับ สถานการณ์แพร่ระบาดเป็นโอกาสที่พวกอาชญากรไซเบอร์ใช้เพื่อเจาะช่องโหว่ที่มีและพยายามเจาะบัญชีผู้ใช้ต่าง ๆ โดยผ่านอีเมลหลอกลวง ข้อความหรือแชททาง WhatsApp ที่แอบอ้างเกี่ยวกับสถานการณ์ COVID-19 หรือแม้แต่การแนบไฟล์เอกสารที่ระบุว่ามาจากองค์การอนามัยโลก (WHO) จากสิ่งที่เกิดขึ้น จะเห็นว่าภัยคุกคามทางไซเบอร์มีการปรับเปลี่ยนไปตามสถานการณ์ ดูได้ตั้งแต่การเจาะระบบในครั้งแรกจากเหตุการณ์ ‘Morris Worm เมื่อปี 1988 เหตุการณ์นี้ส่งผลกระทบต่อคอมพิวเตอร์ 6,000 เครื่องหรือประมาณ 10% ของเครือข่ายอินเทอร์เน็ตทั้งหมดในเวลานั้น สถานการณ์เปลี่ยนแปลงไปตามเวลาอย่างไรบ้าง!

ซัพพลายเชน
เป้าหมายยอดนิยมในการโจมตีของอาชญากรไซเบอร์ การเจาะระบบส่วนใหญ่จะเกิดขึ้นผ่านซอฟต์แวร์แทนที่จะเป็นฮาร์ดแวร์ เช่น การใช้มาลแวร์เพื่อเจาะผ่านระบบอัพเดตซอฟต์แวร์ตามปกติ ผู้ไม่ประสงค์ดีจะเจาะกลุ่มเป้าหมายเป็น SME ผ่านซัพพลายเชนของบริษัท หรือโดยอาศัยช่องโหว่ของ SME และต่อยอดไปยังองค์กรขนาดใหญ่ ไลบรารี่ซอฟต์แวร์เปิดสาธารณะเป็นอีกช่องโหว่ที่อาจเกิดขึ้นภายในซัพพลายเชน หากมองไปในอนาคตกับการเติบโตของ IoT ที่อาจทำให้มีอุปกรณ์เพิ่มขึ้นถึง 75,000 ล้านเครื่อง นี่ก็จะเป็นช่องว่างใหม่ ๆ ที่สำคัญในการโจมตีทางไซเบอร์ ฮาร์ดแวร์ราคาถูกสามารถเชื่อมต่อกับเครือข่ายต่าง ๆ และอุปกรณ์หลาย ๆ ตัวอยู่ตกอยู่ในเครือข่ายที่มีความสุ่มเสี่ยงต่อการถูกโจมตี หากพิจารณาจากรระบบ IT/OT ที่มีการบูรณาการกันในขั้นสูง และโอกาสที่มีอยู่ในซัพพลายเชน ภัยคุกคามจึงมีโอกาสสูงที่จะขยายตัวได้อย่างต่อเนื่อง

เกราะป้องกันความเสี่ยงทางไซเบอร์สำหรับ SME

หลายคนถามว่าอะไรที่เป็นปัจจัยหลักที่ทำให้ SME ขาดมาตรการป้องกันที่ทันสมัยและสามารถป้องกันปัจจัยเสี่ยงทางไซเบอร์ได้ในเชิงรุก ประการแรกคือช่องโหว่ระหว่างการตระหนักรู้และการลงมือทำจริง ผลการศึกษาเมื่อเร็ว ๆ นี้ระบุว่าแม้ว่า 93% ของ SME จะเชื่อว่าภัยทางไซเบอร์มีผลกระทบต่อความต่อเนื่องทางธุรกิจ แต่เพียง 64% เท่านั้นที่มีระบบรักษาความปลอดภัยทางไซเบอร์อย่างจริงจัง นอกจากนี้ ผลสำรวจในยุโรปยังพบว่า SME มีความตระหนักรู้และเข้าใจช่องโหว่ที่แตกต่างกันไป SME บางรายเชื่ออย่างผิด ๆ ว่ามาตรการควบคุมภัยทางไซเบอร์จัดมาให้สำเร็จในผลิตภัณฑ์ด้าน IT ที่จัดซื้อและไม่ต้องมีมาตรการเพิ่มเติมใด ๆ ยกเว้นหากเป็นข้อกำหนดหรือข้อบังคับของหน่วยงานกำกับดูแล (enisa 2021)

ขีดความสามารถด้านการลงทุนเป็นอีกข้อจำกัดที่สำคัญ Statista (2020) พบว่าการลงทุนด้านระบบรักษาความปลอดภัยทางไซเบอร์โดยเฉลี่ยอยู่ที่ประมาณ £5,100 ซึ่งอาจทำให้ SME มองว่าพวกเขามีความพร้อมมากเพียงพอแล้ว แต่นี่เป็นตัวเลขที่อาจทำให้เกิดความเข้าใจผิดเมื่อพิจารณาจากสัดส่วนจากธุรกิจรายย่อยอีกเป็นจำนวนมากที่มีค่าเฉลี่ยการลงทุนในด้านนี้อยู่ที่ £3,490 เมื่อเปรียบเทียบกับองค์กรขนาดใหญ่ ใครที่ถือว่ามีความพร้อมมากกว่ากันหรืออย่างน้อยมีทรัพยากรรองรับมากกว่ากัน หากคำนวณตามสัดส่วนยอดเงินดังกล่าวจะเพิ่มเฉลี่ยมาอยู่ที่ £277,000 ซึ่งแสดงถึงช่องโหว่ขนาดใหญ่ที่แม้แต่ผู้ไม่หวังดีมือใหม่ก็สามารถเจาะเข้าได้โดยง่าย!

ปัจจัยอื่น ๆ ยังประกอบไปด้วย ‘วัฒนธรรมทางไซเบอร์ที่ยังไม่พัฒนาเต็มที่ มุมมองว่าสิ่งนี้ซับซ้อนเกินไป ข้อกังวลและความเข้าใจผิด ๆ เกี่ยวกับระบบรักษาความปลอดภัยผ่านคลาวด์ และการขาดการตระหนักรู้เกี่ยวกับเทคโนโลยีและบริการที่รองรับ ‘ซึ่งจริง ๆ แล้วไม่ได้อยู่ไกลเกินเอื้อม สำหรับกลุ่ม SME สิ่งที่น่ากังวลมากที่สุดคือ 54% ของผู้ตอบแบบสำรวจล่าสุดระบุว่าธุรกิจของพวกเขาไม่ได้มีการฝึกอบรมพนักงานเกี่ยวกับการรักษาความปลอดภัยของข้อมูลและภัยคุกคามทางไซเบอร์ (Vodafone Business 2021)