ภัยคุกคามทางไซเบอร์กลายเป็นความเสี่ยงที่เกิดขึ้นได้กับทุกองค์กร ทรู ดิจิทัล กรุ๊ป โดยคุณฐิติรัตน์ ศิริพัฒนาเลิศ หัวหน้าสายงานด้านไซเบอร์ ซิเคียวริตี้ แบ่งปันประสบการณ์จริงและบทเรียนสำคัญในการสร้างภูมิต้านทานทางไซเบอร์ เพื่อให้องค์กรพร้อมรับมือเมื่อเหตุการณ์ไม่คาดคิดเกิดขึ้น
สถานการณ์ภัยไซเบอร์ที่รุนแรงขึ้นทุกวัน
การโจมตีทางไซเบอร์ในปัจจุบันไม่ใช่เรื่องไกลตัวอีกต่อไป แต่กลายเป็นความเสี่ยงที่ทุกองค์กรต้องเผชิญ ไม่ว่าจะเป็นองค์กรขนาดใหญ่หรือเล็ก จากข้อมูลทั่วโลกพบว่ามีการโจมตีทางไซเบอร์เกิดขึ้นทุก 39 วินาที และผู้ไม่หวังดีใช้เวลาเฉลี่ยเพียง 62 นาทีตั้งแต่เริ่มต้นจนเจาะระบบสำเร็จ ซึ่งสะท้อนให้เห็นว่าองค์กรไม่สามารถรอให้ปัญหาเกิดขึ้นก่อนค่อยแก้ไขได้อีกต่อไป
คุณฐิติรัตน์ ย้ำว่า หัวใจสำคัญขององค์กรสมัยใหม่คือการมีระบบตรวจจับและตอบสนองแบบเรียลไทม์ โดยกำหนดเป้าหมายด้านเวลาที่ชัดเจนในการรับมือกับภัยไซเบอร์ ได้แก่ ตรวจจับให้ได้ภายใน 1 นาที วิเคราะห์สาเหตุและความรุนแรงภายใน 10 นาที และตัดสินใจหยุดภัยให้ได้ภายใน 60 นาที ทั้งนี้จำเป็นต้องมีศูนย์ปฏิบัติการความปลอดภัยไซเบอร์หรือศูนย์ SOC (Security Operations Center) และทีม Incident Response ที่พร้อมทำงานตลอด 24 ชั่วโมง 7 วัน เพื่อจำกัดความเสียหายไม่ให้ลุกลาม
รูปแบบการโจมตีที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา
จากเดิมที่ภัยไซเบอร์มักมาในรูปแบบมัลแวร์ (Malware) หรืออีเมลหลอกลวง (Phishing) ปัจจุบันผู้ไม่หวังดีหันมาใช้ช่องโหว่ในระบบปฏิบัติการหรือแอปพลิเคชันต่างๆ เช่น Windows ร่วมกับเทคนิคขั้นสูงอย่าง Social Engineering, Deepfake และ Supply Chain Attack ทำให้การตรวจจับยากขึ้นอย่างมาก
องค์กรจึงจำเป็นต้องอัปเดตระบบแพตช์ (Patch) อยู่เสมอ ซึ่งแพตช์เปรียบเหมือนตัวปะรูรั่วหรือตัวซ่อมระบบที่ผู้พัฒนาปล่อยออกมาเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ลดโอกาสถูกเจาะจากจุดอ่อนเดิม นอกจากนี้ การขโมยข้อมูลและตลาดมืด (Dark Web) มีการเติบโตขึ้นกว่า 112% เมื่อข้อมูลกลายเป็นสินค้าที่ซื้อขายได้ในตลาดมืด ผู้ไม่หวังดีจึงมีแรงจูงใจทางการเงินสูงขึ้น
Ransomware ยังคงเป็นภัยคุกคามอันดับต้น
แรนซัมแวร์ (Ransomware) หรือมัลแวร์เรียกค่าไถ่ยังคงเป็นภัยคุกคามร้ายแรง โดยผู้ไม่หวังดีมีการปรับตัวตลอดเวลาทั้งวิธีโจมตีและวิธีเรียกค่าไถ่ องค์กรที่ตอบสนองช้าหรือขาดการเตรียมพร้อมทั้งด้านการป้องกันและการสำรองข้อมูล มักต้องเผชิญกับการสูญเสียทั้งข้อมูล ระบบ รวมถึงเงินจำนวนมหาศาลจากการจ่ายค่าไถ่หรือการหยุดชะงักของธุรกิจที่อาจสูงถึงหลักพันล้านบาท
การเฝ้าระวังตลอด 24 ชั่วโมงจึงเป็นสิ่งสำคัญ เนื่องจากการโจมตีมักเกิดช่วงเวลากลางคืนหรือวันหยุด องค์กรควรมีศูนย์เฝ้าระวังหรือระบบแจ้งเตือนแบบเรียลไทม์ ยิ่งองค์กรรู้เร็วเท่าไร ก็จะสามารถควบคุมสถานการณ์และจำกัดวงความเสียหายได้เร็วขึ้น
แผนรับมือเหตุฉุกเฉินและการรู้จักทรัพย์สินดิจิทัล
สิ่งที่องค์กรต้องมีคือแผนปฏิบัติการและขั้นตอนที่ชัดเจนหรือที่เรียกว่า Incident Response Plan เมื่อเกิดเหตุผิดปกติต้องมีขั้นตอนการทำงาน คนรับผิดชอบ การตรวจสอบ และสามารถตัดการเชื่อมต่อได้อย่างรวดเร็ว เพื่อป้องกันไม่ให้การโจมตีลุกลาม
คุณฐิติรัตน์ เน้นว่า องค์กรต้องมีรายการทรัพย์สิน (Asset Inventory) และแผนผังเครือข่าย (Network Diagram) ให้ชัดเจน เพื่อให้รู้ว่าองค์กรมีระบบอะไร เชื่อมต่อกันอย่างไร และใครเป็นผู้ดูแลรับผิดชอบ เมื่อเกิดเหตุผิดปกติจะสามารถติดตามตัวผู้รับผิดชอบได้อย่างรวดเร็ว ปิดช่องโหว่ให้ตรงจุด และจำกัดวงการโจมตีได้ทันท่วงที
จุดอ่อนจากปัจจัยมนุษย์และพาร์ทเนอร์
แม้ว่าระบบจะถูกออกแบบมาดีเพียงใด แต่ความประมาทของผู้ใช้ยังคงเป็นจุดอ่อนใหญ่ที่สุด ไม่ว่าจะเป็นการตั้งรหัสผ่านง่ายๆ การใช้เครื่องส่วนตัวเชื่อมต่อระบบบริษัทโดยไม่มีมาตรการป้องกัน หรือการเปิด Remote Desktop Protocol (RDP) ให้เข้าถึงจากอินเทอร์เน็ต ล้วนเพิ่มความเสี่ยงในการถูกโจมตี
องค์กรควรกำหนดให้มีการยืนยันตัวตนหลายขั้นตอน (Multi-Factor Authentication หรือ MFA) และสร้างความตระหนักรู้ให้กับผู้ใช้งานในการตั้งค่ารหัสผ่านที่แข็งแกร่งและยากต่อการคาดเดา นอกจากนี้ ความเสี่ยงจากพาร์ทเนอร์ก็ไม่ควรมองข้าม แม้องค์กรจะมีระบบความปลอดภัยที่แข็งแรง แต่หากพาร์ทเนอร์ถูกโจมตี ระบบที่เชื่อมต่อกันก็อาจกลายเป็นช่องทางรั่วไหลได้ องค์กรจึงต้องมีการประเมินความเสี่ยง (Vendor Risk Assessment) และกำหนดมาตรฐานความปลอดภัยขั้นต่ำร่วมกัน
อย่ามองข้ามสัญญาณเตือนและสร้างระบบที่สมบูรณ์
หลายองค์กรมีระบบแจ้งเตือนอยู่แล้ว แต่เมื่อมีสัญญาณเตือนสิ่งผิดปกติ อาจมองข้าม ไม่ตรวจสอบต่อ หรือขาดการสื่อสารระหว่างทีมไอทีและผู้ดูแลระบบ อาจทำให้กลายเป็นเหยื่อการโจมตีในที่สุดและนำไปสู่ความเสียหายมหาศาล ไม่ว่าจะเป็นบริการหยุดชะงัก การสูญเสียรายได้ หรือต้องจ่ายค่าไถ่ซอฟต์แวร์จำนวนมาก
คุณฐิติรัตน์ เน้นย้ำว่า Cybersecurity ต้องผสาน People, Process และ Technology เข้าด้วยกัน การลงทุนด้านเทคโนโลยีเพียงอย่างเดียวไม่เพียงพอ ต้องมีคนที่เข้าใจและกระบวนการที่พร้อมใช้งานจริง องค์กรต้องออกแบบให้คน กระบวนการ และเทคโนโลยีทำงานเป็นระบบเดียวกัน เช่น การติดตั้งระบบตรวจจับและตอบสนองภัยบนเครื่องปลายทาง (Endpoint Detection and Response หรือ EDR) อย่างถูกต้องครบทุกเครื่อง พร้อมกับการตั้งค่านโยบายความปลอดภัยให้เหมาะสม เพื่อลดการแจ้งเตือนผิดพลาด (False-positive Alert) ทำให้ตรวจจับภัยได้แม่นยำขึ้น
ภัยไซเบอร์คือความเสี่ยงเชิงกลยุทธ์
หัวหน้าสายงานด้านไซเบอร์ ซิเคียวริตี้ จาก ทรู ดิจิทัล กรุ๊ป ชี้ให้เห็นว่า เหตุการณ์โจมตีไซเบอร์ไม่ได้กระทบเพียงแค่ระบบไอทีเท่านั้น แต่ส่งผลโดยตรงต่อชื่อเสียงองค์กร ความเชื่อมั่นของลูกค้า และมูลค่าทางธุรกิจ หากไม่มีการเตรียมความพร้อมที่ดีพอ องค์กรอาจสูญเสียทั้งข้อมูล ลูกค้า และโอกาสทางธุรกิจในเวลาอันสั้น
องค์กรที่ผ่านพ้นเหตุการณ์ถูกโจมตีไปได้ มักเป็นองค์กรที่ปลูกฝังวัฒนธรรม “เอ๊ะ!” หรือการสงสัยไว้ก่อน (Be Vigilant) โดยทุกคนกล้าตั้งคำถามกับสิ่งที่ผิดปกติ เช่น เมื่อเห็นการแจ้งเตือนแล้วไม่มองข้าม เห็นอีเมลแปลกๆ แล้วไม่คลิกทันที วัฒนธรรมเช่นนี้เปรียบเสมือนเกราะป้องกันที่ทรงพลังและช่วยปกป้ององค์กรได้อย่างมีประสิทธิภาพ
การเรียนรู้อย่างต่อเนื่องเพื่อสร้างภูมิต้านทาน
คุณฐิติรัตน์ สรุปว่า ภูมิต้านทานทางไซเบอร์ (Cyber Resilience) เป็นการเรียนรู้ไม่รู้จบจากทุกเหตุการณ์จริง ไซเบอร์ซิเคียวริตี้ไม่ใช่เรื่องที่ทำครั้งเดียวจบ แต่เป็นวงจรการเรียนรู้จากเหตุการณ์จริง (Post-Incident Review) เพื่อปรับปรุงให้ระบบแข็งแรงขึ้น และสร้างวัฒนธรรมความตระหนักรู้ในทุกระดับขององค์กรให้เรียนรู้ไปด้วยกัน ไม่ใช่เพียงแค่ฝ่ายไอทีเท่านั้น
การปรับตัวขององค์กรในยุคดิจิทัลจึงไม่ได้หมายถึงแค่การนำเทคโนโลยีมาใช้ แต่หมายถึงการสร้างระบบป้องกันที่แข็งแรง การเตรียมพร้อมรับมือกับวิกฤติ และการปลูกฝังวัฒนธรรมความตระหนักรู้ให้กับบุคลากรทุกคน เพื่อให้องค์กรสามารถยืนหยัดและเติบโตได้อย่างยั่งยืนท่ามกลางภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา
