คุยกับ บลูบิค ไททันส์ กับการอยู่ร่วมกับภัยไซเบอร์ หนทางรับมือขององค์กร ให้อยู่รอดได้ในยุคดิจิทัล

ถึงยุคนี้คงเป็นเรื่องล้าสมัยไปแล้วถ้าจะพูดถึง Digital Transformation เพราะองค์กรขนาดใหญ่และกลางต่างทำ  Digital Transformation  กันไปเรียบร้อยแล้ว โดยมีตัวกระตุ้นชั้นดีคือโรคระบาด ทำให้องค์กรพากัน Go Online และมุ่งสู่คลาวด์มากขึ้น 

แต่การทำ Digital Transformation อาจไร้ความหมาย ถ้าองค์กรไม่ลงทุนเรื่องการป้องกันภัยไซเบอร์ ที่นับวัน มีแต่เพิ่มขึ้น ไม่มีลดลง

TODAY Bizview มีโอกาสพูดคุยกับ นายพลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด ซึ่งเป็นบริษัทน้องใหม่ของเครือ บลูบิค ที่จะมาเจาะตลาดความปลอดภัยไซเบอร์ในไทย พูดคุยถึงสถานการณ์ภัยไซเบอร์ องค์กรควรรับมืออย่างไร และควรปรับ mindset อย่างไรให้องค์กรรันธุรกิจต่อได้ ท่ามกลางภัยไซเบอร์ที่เพิ่มมากขึ้นเรื่อยๆ 

[ สถานการณ์ภัยไซเบอร์ ]

รายงานของ IBM ประเมินว่า ในปี 2022 ความเสียหายจากการโจรกรรมทางข้อมูลขององค์กรในภูมิภาคอาเซียนมีมูลค่าเฉลี่ยสูงถึง 2.87 ล้านเหรียญสหรัฐต่อครั้ง และมีองค์กรกว่า 83% ตกเป็นเหยื่อมากกว่า 1 ครั้ง โดย 45% เป็นการโจรกรรมข้อมูลบนระบบคลาวด์ ซึ่งองค์กรมีการใช้งานมากขึ้นเรื่อยๆ แต่ยังขาดมาตรการป้องกันที่เหมาะสม

World Economic Forum คาดการณ์ว่า ปี  2023 มูลค่าความเสียหายจากการโจมตีทางไซเบอร์ทั่วโลกจะแตะ 8 ล้านล้านเหรียญสหรัฐ หรือเพิ่มขึ้น 15% (YoY) เป็นไปในทิศทางเดียวกับการใช้จ่ายด้านไซเบอร์ซิเคียวริตี้ที่จะเพิ่มขึ้น 12% (YoY) เป็น 194,000 ล้านเหรียญสหรัฐ 

นอกจากนี้ ตัวประกันภัยไซเบอร์ ก็จะมีแนวโน้มขึ้นราคาเบี้ยแพงกว่าเดิม แต่ความคุ้มครองลดลง เพราะปริมาณภัยไซเบอร์มีมากขึ้น ตรงนี้อาจเทียบได้กับประกันภัยโควิด ที่สุดท้ายก็ไปไม่รอด เพราะโควิดแพร่ระบาดไวกว่าที่ธุรกิจประกันภัยจะคาดคิด

รายงานของหน่วยงาน Cybersecurity ของประเทศในทวีปอเมริกา เปิดเผยว่า ในไตรมาส 3 ปีนี้ ค่าเฉลี่ยของจำนวนเงินค่าไถ่ทางไซเบอร์อยู่ที่ราว 250,000 เหรียญสหรัฐ มีองค์กรกว่า 58% ต้องตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ ขณะที่ 14% ขององค์กรเหล่านี้ต้องจ่ายค่าไถ่มากกว่า 1 ครั้ง โดยมีองค์กรที่ตกเป็นเหยื่อมากกว่าครึ่ง ที่ต้องใช้เวลามากกว่า 1 เดือน ในการฟื้นฟูความเสียหายที่เกิดขึ้น

[ รูปแบบภัยไซเบอร์ในปี 2023 ]

นายพลสุธี คาดการณ์ภัยไซเบอร์ปี 2023 ไว้ที่สามรูปแบบใหญ่ๆ คือ 

1) มัลแวร์เรียกค่าไถ่ (Ransomware)

2) การโจมตีในซัพพลายเชนหรือห่วงโซ่อุปทาน (Supply Chain / 3rd Parties Attack) 

3) การโจรกรรมข้อมูล (Data Breach)  

ซึ่งวิธีการเหล่านี้ไม่ใช่เรื่องใหม่ใหม่ แต่แฮกเกอร์จะใช้วิธีที่แนบเนียนขึ้น ซับซ้อนขึ้น ยกตัวอย่างเช่น แฮกเกอร์พัฒนา Ransomware-as-a-service ที่จะมาพลิกโฉมการเรียกค่าไถ่แบบเดิมๆ ด้วยการขายมัลแวร์ที่ฝังตัวอยู่ในระบบของเป้าหมายในตลาดมืด และตกลงซื้อขายภายใต้เงื่อนไขการแบ่งปันผลประโยชน์ร่วมกันหากผู้ซื้อสามารถเรียกค่าไถ่ได้สำเร็จ  ทำให้นับจากนี้การใช้มัลแวร์เรียกค่าไถ่จะทำได้ง่ายและรวดเร็วมากขึ้น เพราะไม่จำเป็นต้องใช้ความเชี่ยวชาญสูงอีกต่อไป ขอเพียงแค่เข้าถึงตลาดมืดหรือชุมชนออนไลน์ที่เหล่าแฮกเกอร์ใช้งานอยู่ก็พอ  

ส่วนการโจมตีรูปแบบที่สอง โจมตีในซัพพลายเชนหรือห่วงโซ่อุปทาน จะยิ่งเพิ่มปริมาณมากขึ้น เพราะแฮกเกอรืเรียนรู้แล้วว่า การโจมตีองค์กรตรงๆ นั้นยากกว่า เพราะองค์กรมีกำแพงป้องกันที่แข็งแรง แฮกเกอร์จึงปรับเปลี่ยนรูปแบบการโจมตี โดยมุ่งเป้าไปเป็นการเจาะระบบของผู้ให้บริการภายนอก (Vendor) ที่มีการให้บริการกับหลายๆ องค์กร และมีช่องทางการเข้าสู่ระบบหลังบ้านขององค์กรลูกค้าต่างๆ อยู่แล้ว 

ด้านการโจรกรรมข้อมูล เป้าหมายหลักของแฮกเกอร์ยังคงเป็นผลประโยชน์ทางการเงิน และพุ่งเป้าไปที่ข้อมูลสำคัญ ความลับทางการค้า ทรัพย์สินทางปัญญา หรือข้อมูลส่วนตัวของลูกค้า เพื่อนำไปเรียกค่าไถ่หรือขายต่อในตลาดมืด  ความเสียหายจากเหตุการณ์โจรกรรมข้อมูลมีมูลค่าเฉลี่ยอยู่ที่ประมาณ 6,000 บาทต่อ 1 รายการข้อมูล และก่อให้เกิดความเสียหายต่อองค์กรหลายด้าน เช่น ค่าใช้จ่ายจากการแก้ไขปัญหา ตลอดจนผลกระทบจากธุรกิจหยุดชะงัก 

[ ปรับ mindset อยู่กับภัยไซเบอร์ให้ได้ ประยุกต์ใช้แนวคิด ‘Cyber Resilience ]

บลูบิค ไททันส์ แนะนำ 5 ข้อ ที่จะช่วยให้องค์กรมีภูมิต้านทานภัยไซเบอร์ คือ

1. มองภัยไซเบอร์ให้เป็นความเสี่ยงของทั้งองค์กร ไม่ใช่แค่ความเสี่ยงของแผนกใดแผนกหนึ่ง เพราะภัยไซเบอร์สร้างผลกระทบต่อทั้งรายได้ และความเชื่อมั่นลูกค้าอย่างที่ได้กล่าวไว้ในตอนแรก
2. สร้างวัฒนธรรมองค์กร ที่นำความปลอดภัยมาเป็นที่ตั้ง ทุกคนมีส่วนร่วมในการเฝ้าระวังภัย เช่นเดียวกับการซ้อมหนีไฟ มีการซักซ้อมแผนรันธุรกิจแม้โดนโจมตี แผนกู้คืนระบบ เป็นต้น
3. ผู้บริหารต่องตรวจสอบเป็นระยะ ว่าเรามีความเสี่ยงก้านไหน และควรอุดรอยรั่วตรงไหน เพื่อจะได้กำหนดแผนและงบลงทุนในความปลอดภัยได้ตรงจุด
4. ทำแผนในองค์กรให้สอดคล้องกับกฎหมายกำกับดูแล ทั้งกฎ PDPA และ GDPR
5. ให้ความสำคัญกับความปลอดภัยพื้นฐาน อย่างเช่น การจัดการทะเบียนสินทรัพย์สารสนเทศ การพิสูจน์ตัวตนแบบหลายชั้น การอัปเดตระบบเพื่อปิดช่องโหว่ การจัดการข้อมูลบันทึกระบบ แผนการรับมือเหตุละเมิด การบริหารความเสี่ยงที่เกิดจากผู้ให้บริการ เป็นต้น เพื่อที่อย่างน้อยก็จะไม่เกิดการโจมตีได้ง่าย