แคสเปอร์สกี้ เปิดเผยผลสำรวจใหม่ชี้ให้เห็นว่า การขาดแคลนบุคลากรด้านความปลอดภัยทางไซเบอร์ที่มีคุณสมบัติเหมาะสม กำลังกลายเป็นอุปสรรคสำคัญที่ทำให้องค์กรทั่วเอเชียแปซิฟิกไม่สามารถป้องกันภัยคุกคามจากการโจมตีซัพพลายเชนได้อย่างมีประสิทธิภาพ
ผลการศึกษาล่าสุดของ แคสเปอร์สกี้ เกี่ยวกับความเสี่ยงของซัพพลายเชน (Supply Chain) หรือห่วงโซ่อุปทานทางธุรกิจ และความสัมพันธ์ที่เชื่อถือกันทางธุรกิจ (Trusted Relationship) ชี้ให้เห็นว่าการโจมตีซัพพลายเชนได้กลายเป็นภัยคุกคามอันดับต้น ๆ ขององค์กรธุรกิจทั่วโลก โดยมีองค์กรจำนวนหนึ่งในสามที่ได้รับผลกระทบจากการโจมตีประเภทนี้ในช่วงปีที่ผ่านมา ความรุนแรงและความถี่ที่เพิ่มขึ้นอย่างต่อเนื่องของภัยคุกคามดังกล่าว ผลักดันให้องค์กรต้องหันมาค้นหาสาเหตุสำคัญที่ขัดขวางการจัดการความเสี่ยงอย่างจริงจัง
จากผลสำรวจพบว่า หนึ่งในอุปสรรคสำคัญที่สุดในการลดความเสี่ยงของซัพพลายเชนคือการขาดแคลนบุคลากรที่มีคุณสมบัติเหมาะสม ปัญหานี้ส่งผลให้องค์กรขาดศักยภาพในการเข้าถึงและตรวจสอบช่องโหว่ของ เธิร์ดปาร์ตี้ (Third-party) หรือผู้ให้บริการภายนอก ที่อาจซ่อนตัวอยู่ในระบบนิเวศดิจิทัลขององค์กรได้อย่างสม่ำเสมอ โดยในภูมิภาคเอเชียแปซิฟิก สัดส่วนขององค์กรที่ระบุว่าประสบกับปัญหาการขาดแคลนบุคลากรด้านความปลอดภัยไอทีที่มีคุณสมบัติเหมาะสมมีความแตกต่างกันในแต่ละตลาด ตั้งแต่ระดับต่ำสุดที่สิงคโปร์ 34% ไปจนถึงระดับสูงสุดที่เวียดนามซึ่งอยู่ที่ 57%
ความท้าทายด้านกำลังคนผู้เชี่ยวชาญนี้ปรากฏให้เห็นอย่างชัดเจนในมาเลเซียเช่นกัน โดยความต้องการผู้เชี่ยวชาญที่มีทักษะด้านไซเบอร์ยังคงพุ่งสูงขึ้นอย่างต่อเนื่อง ควบคู่ไปกับความพยายามของประเทศในการเสริมสร้างขีดความสามารถด้านความปลอดภัยทางไซเบอร์ภายใต้ยุทธศาสตร์ความปลอดภัยทางไซเบอร์ของมาเลเซียปี 2025-2030 กระทรวงดิจิทัลของมาเลเซีย คาดการณ์ว่าประเทศจะต้องการผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สูงถึง 28,068 คนภายในปี 2026 ในขณะที่ปัจจุบันมีบุคลากรด้านนี้เพียงประมาณ 16,765 คนเท่านั้น
นอกเหนือจากปัญหาการขาดแคลนบุคลากรแล้ว ผู้ตอบแบบสอบถามยังระบุถึงอุปสรรคสำคัญอีกประการหนึ่ง นั่นคือความจำเป็นที่ต้องจัดการกับลำดับความสำคัญด้านความปลอดภัยทางไซเบอร์หลายอย่างพร้อมกัน ซึ่งพบสูงที่สุดในอินเดีย (54%) รองลงมาคือเวียดนาม (48%) และสิงคโปร์ (47%) สภาพดังกล่าวสะท้อนให้เห็นว่าทีมรักษาความปลอดภัยกำลังแบกรับภาระงานเกินกำลัง จนอาจทำให้ภัยคุกคามในซัพพลายเชนถูกมองข้ามหรือไม่ได้รับการแก้ไขทันท่วงที
นอกเหนือจากข้อจำกัดด้านทรัพยากรบุคคล ผลสำรวจยังชี้ให้เห็นถึงปัญหาเชิงโครงสร้างที่น่ากังวล ในตลาดเอเชียแปซิฟิก สัดส่วนขององค์กรที่รายงานว่าสัญญาที่ทำกับผู้รับเหมาไม่มีข้อผูกพันด้านความปลอดภัยทางไอทีที่ชัดเจนอยู่ระหว่าง 30-61% ซึ่งบ่งชี้ว่าองค์กรจำนวนมากยังคงดำเนินงานโดยปราศจากข้อกำหนดด้านความปลอดภัยที่บังคับใช้ได้จริงสำหรับบุคคลภายนอก ยิ่งไปกว่านั้น ยังมีองค์กรระหว่าง 25-38% ที่ระบุว่าเจ้าหน้าที่ที่ไม่ใช่ฝ่ายรักษาความปลอดภัยไอทียังขาดความเข้าใจในความเสี่ยงเหล่านี้อย่างแท้จริง
ในภาพรวมระดับโลก ผลสำรวจพบว่าธุรกิจจำนวนถึง 85% ยอมรับว่าองค์กรของตนจำเป็นต้องยกระดับการป้องกันความเสี่ยงจากซัพพลายเชนและความสัมพันธ์ที่เชื่อถือกัน ขณะที่มีองค์กรเพียง 15% เท่านั้นที่มองว่ามาตรการรักษาความปลอดภัยในปัจจุบันมีประสิทธิภาพเพียงพอ ความเชื่อมั่นดังกล่าวยิ่งต่ำลงอย่างเห็นได้ชัดในเศรษฐกิจสำคัญอย่างเยอรมนี (6%) ตุรกี (7%) อิตาลี (8%) บราซิล (8%) รัสเซีย (8%) และซาอุดีอาระเบีย (9%)
ในภูมิภาคเอเชียแปซิฟิก ระดับความเชื่อมั่นมีความแตกต่างกันอย่างเห็นได้ชัด โดยตลาดอย่างอินเดีย (11%) อินโดนีเซีย (14%) และสิงคโปร์ (14%) รายงานระดับความเชื่อมั่นที่ต่ำใกล้เคียงกัน ในขณะที่เวียดนาม (21%) และจีน (34%) แสดงให้เห็นถึงความเชื่อมั่นในมาตรการคุ้มครองที่มีอยู่สูงกว่า
ผลสำรวจยังชี้ให้เห็นว่าแนวทางการลดความเสี่ยงจากเธิร์ดปาร์ตี้ในปัจจุบันยังคงขาดความเป็นระบบ แม้แต่มาตรการพื้นฐานอย่างการตรวจสอบสิทธิ์แบบสองขั้นตอน (Two-Factor Authentication หรือ 2FA) ซึ่งเป็นการยืนยันตัวตนด้วยสองช่องทางก็ยังมีการนำไปใช้อย่างไม่สม่ำเสมอทั่วทั้งภูมิภาค ผู้ตอบแบบสอบถามจากสิงคโปร์มีอัตราการใช้งานต่ำอย่างน่าเป็นห่วงเพียง 28% ขณะที่ประเทศอื่น ๆ แม้จะรายงานอัตราที่สูงกว่า 35% แต่ก็ยังต่ำกว่าค่าเฉลี่ยทั่วโลก ส่งผลให้องค์กรต่าง ๆ มองเห็นสถานการณ์ด้านความปลอดภัยของพันธมิตรได้น้อยลง และเสี่ยงต่อช่องโหว่ที่เปลี่ยนแปลงได้ตลอดเวลาในระบบนิเวศองค์กร
ข้อมูลที่น่าสนใจคือ บริษัทที่เคยถูกโจมตีซัพพลายเชนหรือโดนละเมิดความสัมพันธ์ธุรกิจมาก่อน มักจะนำแนวปฏิบัติด้านความปลอดภัยที่เข้มแข็งกว่ามาใช้ในภายหลัง ในระดับโลก บริษัทที่ได้รับผลกระทบจากเหตุการณ์โจมตีซัพพลายเชนมีแนวโน้มขอผลการทดสอบการเจาะระบบ (Penetration Testing) มากกว่าถึง 56% ขณะที่ผู้ที่ตกเป็นเหยื่อของการละเมิดความสัมพันธ์ธุรกิจจะให้ความสำคัญกับการตรวจสอบการปฏิบัติตามมาตรฐานอุตสาหกรรม (56%) และการตรวจสอบนโยบายซัพพลายเชนของผู้รับเหมาเอง (53%)
เซอร์เกย์ โซลดาตอฟ หัวหน้าศูนย์ปฏิบัติการด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “เมื่อทีมรักษาความปลอดภัยทำงานหนักเกินไป บุคลากรขาดแคลน และต้องให้ความสำคัญกับงานเร่งด่วนมากกว่าการสร้างความยืดหยุ่นในระยะยาว องค์กรต่าง ๆ ก็จะตกอยู่ในความเสี่ยงต่อภัยคุกคามที่สามารถแฝงตัวเข้ามาในระบบนิเวศของผู้ให้บริการได้อย่างเงียบ ๆ อุตสาหกรรมจำเป็นต้องนำกลยุทธ์การลดความเสี่ยงที่เป็นหนึ่งเดียวและสอดคล้องกันมากขึ้นมาใช้เพื่อทำลายวงจรนี้ ตั้งแต่การประเมินผู้รับเหมาที่เป็นมาตรฐานไปจนถึงการสร้างความตระหนักรู้ที่แข็งแกร่งขึ้นระหว่างทีม ความปลอดภัยของซัพพลายเชนควรกลายเป็นความรับผิดชอบร่วมกันที่สามารถบังคับใช้ได้ทั่วทั้งเครือข่ายธุรกิจ”
เอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวเสริมว่า “ขณะที่องค์กรต่าง ๆ ทั่วเอเชียแปซิฟิกขยายระบบนิเวศดิจิทัลของตน ความปลอดภัยของซัพพลายเชนจำเป็นต้องได้รับการจัดการด้วยระเบียบวินัยในระดับเดียวกับการดำเนินงานภายใน นั่นหมายถึงการกำหนดข้อกำหนดด้านความปลอดภัยที่ชัดเจนสำหรับพันธมิตร การตรวจสอบมาตรฐานเหล่านั้นอย่างสม่ำเสมอ และการสร้างความรับผิดชอบในกระบวนการทางธุรกิจประจำวัน ด้วยแนวทางที่เป็นระบบ องค์กรต่าง ๆ สามารถเสริมสร้างความไว้วางใจทั่วทั้งระบบนิเวศของตนในขณะที่ลดความเสี่ยงที่หลีกเลี่ยงได้”
องค์กรธุรกิจจะสามารถลดความเสี่ยงในซัพพลายเชนและสร้างความยืดหยุ่นให้กับธุรกิจได้ ก็ต่อเมื่อมีการดำเนินมาตรการป้องกันทั่วทั้งองค์กรและวางแผนกลยุทธ์ในการสร้างความร่วมมือกับซัพพลายเออร์และผู้รับเหมาอย่างรอบคอบ แคสเปอร์สกี้ จึงแนะนำแนวทางปฏิบัติสำคัญ ได้แก่ การใช้บริการรักษาความปลอดภัยแบบจัดการ (Managed Security Services) เช่น Kaspersky Managed Detection and Response (MDR) และ Kaspersky Incident Response ซึ่งครอบคลุมวงจรการจัดการเหตุการณ์ตั้งแต่การระบุภัยคุกคามไปจนถึงการป้องกันและการแก้ไขอย่างต่อเนื่อง สำหรับองค์กรที่ขาดทรัพยากรด้านความปลอดภัยโดยเฉพาะ การเอาต์ซอร์สเป็นทางเลือกที่คุ้มค่า นอกจากนี้ควรลงทุนในหลักสูตรพัฒนาทักษะด้านไซเบอร์ เช่น Kaspersky Cybersecurity Training ที่เน้นการปฏิบัติจริง เพื่อช่วยให้ผู้เชี่ยวชาญสามารถรับมือกับการโจมตีที่ซับซ้อนได้ดียิ่งขึ้น
ในด้านการคัดกรองพันธมิตรทางธุรกิจ องค์กรควรประเมินซัพพลายเออร์อย่างละเอียดก่อนทำสัญญา โดยตรวจสอบนโยบายด้านความปลอดภัยทางไซเบอร์ ประวัติเหตุการณ์ที่ผ่านมา และการปฏิบัติตามมาตรฐานความปลอดภัยของอุตสาหกรรม รวมถึงข้อมูลช่องโหว่และผลการทดสอบการเจาะระบบสำหรับซอฟต์แวร์และบริการคลาวด์ด้วย สัญญากับซัพพลายเออร์ควรกำหนดข้อผูกพันด้านความปลอดภัยของข้อมูลที่ชัดเจน เช่น การตรวจสอบความปลอดภัยเป็นประจำ การปฏิบัติตามนโยบายที่เกี่ยวข้อง และโปรโตคอลการแจ้งเตือนเมื่อเกิดเหตุการณ์ผิดปกติ และที่สำคัญคือต้องร่วมมือกับซัพพลายเออร์อย่างจริงจังในประเด็นด้านความปลอดภัย เพื่อเสริมสร้างการป้องกันร่วมกันทั้งสองฝ่าย
รายงานนี้จัดทำโดยศูนย์วิจัยตลาดของ แคสเปอร์สกี้ โดยสำรวจผู้เชี่ยวชาญด้านเทคนิคจำนวน 1,714 คน ครอบคลุมตั้งแต่ผู้บริหารระดับซี รองประธาน หัวหน้าทีม ไปจนถึงผู้เชี่ยวชาญอาวุโสจากองค์กรที่มีพนักงานมากกว่า 500 คน ใน 16 ประเทศทั่วโลก ได้แก่ เยอรมนี สเปน อิตาลี บราซิล เม็กซิโก โคลอมเบีย สิงคโปร์ เวียดนาม จีน อินเดีย อินโดนีเซีย ซาอุดีอาระเบีย ตุรกี อียิปต์ สหรัฐอาหรับเอมิเรตส์ และรัสเซีย
