Onlinenewstime.com : PwC ประเทศไทย แนะธุรกิจปรับกลยุทธ์รับมือภัยคุกคามไซเบอร์ในปี 2564 โดยเร่งลงทุนและนำเครื่องมือ-เทคโนโลยีที่จำเป็นเข้ามาใช้ หลังพบแฮกเกอร์ฉวยโอกาสในช่วงวิกฤตโควิด-19 เข้าคุกคามระบบมากขึ้น
พร้อมต้องจัดหาบุคลากรที่เหมาะสม-ยกระดับทักษะพนักงานที่มีอยู่ และให้ความสำคัญในการซักซ้อมความปลอดภัยของระบบ หรือข้อมูลขององค์กรอย่างต่อเนื่อง คาดมัลแวร์เรียกค่าไถ่ (Ransomware) การละเมิดข้อมูล (Data breaches) และการหลอกลวงโดยใช้อีเมล หรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing) ติด 3 อันดับรูปแบบการโจมตีไซเบอร์ที่จะพบมากในปีหน้า
นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwC ประเทศไทย เปิดเผยว่า ในช่วงกว่า 1 ปีที่ผ่านมา การแพร่ระบาดของเชื้อไวรัสโควิด-19 ทำให้องค์กรไทย โดยเฉพาะอย่างยิ่ง บริษัทขนาดใหญ่ที่มีหน่วยงานกำกับคอยควบคุมดูแล หันมาตื่นตัวในการเพิ่มมาตรการป้องกัน และเพิ่มขีดความสามารถในการรักษาความปลอดภัยขององค์กรในระดับสูงสุด
เนื่องจากการทำงานที่บ้าน (Work from Home) ของลูกค้าและพนักงาน ทำให้เกิดความเสี่ยงจากการถูกโจมตีทางไซเบอร์เพิ่มขึ้น
ทั้งนี้ มาตรการต่าง ๆ ที่องค์กรไทยได้นำมาใช้ ในการดูแลความปลอดภัย ได้แก่ การเข้าระบบจากที่บ้าน หรือข้างนอกที่ทำงาน ที่ต้องมีการเข้าระบบผ่านเครือข่ายส่วนตัวเสมือน (Virtual Private Network: VPN) ที่มีความปลอดภัยและไม่ใช้เครือข่ายสาธารณะ การใช้อุปกรณ์พกพา ที่ต้องมีการติดตั้งและการรักษาความปลอดภัยที่รัดกุม และมีนโยบายเกี่ยวกับการให้นำอุปกรณ์ส่วนตัวมาใช้ทำงาน (Bring Your Own Device: BYOD) รวมถึงมีการซักซ้อมแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ (Cybersecurity Incident Response) อย่างเป็นประจำและต่อเนื่อง เป็นต้น
“กลยุทธ์สำคัญที่ ผู้บริหารต้องนำมาใช้ในปีหน้า เพื่อให้ Cybersecurity ขององค์กรเกิดประสิทธิภาพสูงสุด จะต้องครอบคลุม ตั้งแต่เรื่องของการจัดสรรงบให้แตะกับเรื่องนี้ การจัดหาบุคลากรที่เหมาะสม พร้อมทั้งอัพสกิลบุคลากรที่มีอยู่แล้ว
นำเครื่องไม้ เครื่องมือที่มีประสิทธิภาพมาใช้ รวมทั้งมีนโยบา ยและแนวทางปฏิบัติในการรักษาความปลอดภัย ที่สอดคล้องกับมาตรฐานสากล เพื่อลดความเสี่ยง จากการถูกแฮกเกอร์โจมตีระบบ และสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้ส่วนเสีย” นางสาว วิไลพร กล่าว
ลงทุนเพื่อ “สุขอนามัยทางไซเบอร์” ที่ดีขึ้น
“ภาพรวมการลงทุนด้านความปลอดภัยไซเบอร์ขององค์กรไทย ในช่วงที่ผ่านมา มีแนวโน้มดีขึ้น แต่ยังดีขึ้นกว่านี้ได้อีก ผู้บริหาร ต้องให้ความสำคัญกับสุขอนามัยทางไซเบอร์ หรือ Cyber hygiene ขององค์กร โดยควรพิจารณาการลงทุน เพื่อปรับระบบงานต่าง ๆ ให้มีความพร้อมในการป้องกัน ตรวจจับ รับมือ และตอบสนองอย่างรวดเร็ว ต่อภัยคุกคามที่จะยิ่งเพิ่มขึ้นและเกิดขึ้นได้ทุกขณะ
และที่สำคัญ ต้องสร้างความตระหนักให้เกิดขึ้นกับคนทุกระดับในองค์กร และทำให้เข้าใจว่าการรักษาความปลอดภัยขององค์กร เป็นเรื่องที่เราทุกคนต้องใส่ใจ” นางสาว วิไลพร กล่าว
“วันนี้ปัญหาหลัก ที่เป็นอุปสรรคต่อการลงทุนด้านความปลอดภัยไซเบอร์ สำหรับองค์กรไทยมีอยู่ด้วยกัน 2 มิติ ได้แก่ การขาดแคลนบุคลากร ที่มีทักษะทางด้านความปลอดภัยไซเบอร์ และยังส่งผลมาถึงการลงทุนอย่างเหมาะสม กับธุรกิจและขนาดของบริษัท หลายบริษัทยังคง Underinvest และในบางกรณีก็ Overinvest โดยไม่ได้เข้าใจในมูลค่าสินทรัพย์ขององค์กร” นางสาว วิไลพร กล่าวเสริม
การขาดแคลนแรงงานที่มีทักษะด้านกลยุทธ์ความปลอดภัยไซเบอร์ในไทย
นางสาว วิไลพร กล่าวว่า การขาดแคลนแรงงาน ที่มีทักษะด้านความปลอดภัยไซเบอร์ ยังคงเป็นปัญหามากสำหรับองค์กรไทย เพราะแรงงาน ที่มีทักษะทางด้านนี้ในประเทศ ยังคงมีน้อยและส่วนใหญ่ เป็นบุคลากรที่มีความเชี่ยวชาญเฉพาะด้าน แบ่งตามตามประเภทของเทคโนโลยี เช่น การป้องกันการสูญหายหรือรั่วไหลของข้อมูล (Data Loss Prevention) การบริหารจัดการตัวตนและการเข้าถึง (Identity and access management) และ ความปลอดภัยของเครือข่าย (Network security) เป็นต้น
“ในไทยเรามีคนเก่ง แต่มีจำนวนน้อย และมักจะเก่งเฉพาะด้าน ๆ และเป็นไปตามประเภทของเทคโนโลยี แต่บุคลากรที่มีความเชี่ยวชาญ และความสามารถในการมองภาพใหญ่ ที่สามารถวางแผนกลยุทธ์เรื่องความปลอดภัยไซเบอร์ และมีความสามารถในการสื่อสารกับผู้บริหารระดับสูง หรือระดับบอร์ดได้มีจำนวนไม่มาก” นาวสาว วิไลพร กล่าว
สอดคล้องกับรายงาน Global Digital Trust Insights 2021: Cybersecurity comes of age ของ PwC ที่ได้ทำการสำรวจความคิดเห็นของผู้บริหาร จำนวนกว่า 3,200 คนทั่วโลกเกี่ยวกับมุมมองของความปลอดภัยไซเบอร์ พบว่า บทบาทของผู้บริหารด้านการรักษาความปลอดภัยให้กับโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ (Chief Information Security Officer: CISO) จะยิ่งทวีความสำคัญ และขยายขอบเขตครอบคลุมทั้งการเปลี่ยนผ่านองค์กรสู่ดิจิทัล และระบบปฏิบัติการในอนาคต
นอกจากนี้ ยังได้แนะนำ 5 แนวทางสำคัญ ที่องค์กรต้องปฏิบัติเพื่อยกระดับความปลอดภัยไซเบอร์ให้กับองค์กร ดังนี้
- ปรับกลยุทธ์ความปลอดภัยไซเบอร์ขององค์กรสู่การเป็นองค์กรยุคใหม่ ผู้บริหารด้านไอทีต้องขยายบทบาทหน้าที่ เพื่อช่วยผลักดันองค์กรไปสู่ดิจิทัลตั้งแต่วันนี้
- ปรับงบประมาณทางด้านความปลอดภัยไซเบอร์ให้เกิดความเหมาะสม และเชื่อมโยงโดยตรงกับแผนการเติบโตของธุรกิจ และการบริหารจัดการความเสี่ยงในระยะยาว
- ลงทุนเพื่ออนาคตและต่อกรกับอาชญากรไซเบอร์ได้ทันท่วงที ซึ่งการเปลี่ยนมาใช้เทคโนโลยีคลาวด์แทนที่ระบบ Legacy แบบเดิมจะเป็นพื้นฐานของการใช้โซลูชันทางธุรกิจในโลกอนาคต นอกจากนี้ การประยุกต์ใช้เทคโนโลยีชั้นนำอื่น ๆ จะช่วยให้องค์กรสามารถตั้งรับ และยกระดับขีดความสามารถในการรับมือกับผู้โจมตีทางไซเบอร์ได้ดีขึ้นและสร้างความมั่นใจให้เกิดขึ้น กับผู้มีส่วนได้ส่วนเสีย
- จัดสรรบุคลากรและทีมงานที่มีคุณภาพ โดยกำหนดกลยุทธ์ในการจ้างงาน ฝึกอบรม และยกระดับทักษะพนักงานภายในองค์กรอยู่เป็นประจำ
- เน้นสร้างความยั่งยืนให้กับธุรกิจ ผ่านการทดสอบ และจัดทำการประเมินความพร้อมทางด้าน Cyber Resilience อย่างต่อเนื่อง เพื่อให้แน่ใจว่า หากธุรกิจถูกโจมตีทางไซเบอร์ ก็จะยังคงสามารถดำเนินงานได้ตามปกติ ซึ่งคาดว่า แนวโน้มภัยคุกคามทางไซเบอร์ที่น่าจะเกิดขึ้นมากเป็นอันดับต้น ๆ ในปี 2564 ได้แก่ มัลแวร์เรียกค่าไถ่ (Ransomware) การละเมิดข้อมูล (Data breaches) และการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล (Phishing)