ปัจจุบัน องค์กรส่วนใหญ่ใช้เทคโนโลยีเพื่อช่วยให้องค์กรมีความได้เปรียบในการแข่งขัน แต่จะดีกว่ามั้ยหากสามารถปกป้ององค์กรจากภัย Cyber Attack ไปพร้อมกัน
เทคโนโลยีสารสนเทศ และอินเทอร์เน็ตได้เข้ามามีบทบาทสำคัญอย่างยิ่งต่อองค์กรทุกองค์กรทั่วโลก องค์กรที่เป็นผู้นำตลาดในอุตสาหกรรมต่าง ๆ ล้วนแล้วแต่ใช้เทคโนโลยีสารสนเทศ และอินเทอร์เน็ตเพื่อช่วยให้องค์กรมีความได้เปรียบในการแข่งขัน ซึ่งเป็นหนึ่งในข้อดีของการประยุกต์ใช้เทคโนโลยีสารสนเทศและอินเทอร์เน็ตกับการดำเนินงานขององค์กร
The Three Essential Protect Cyber Attack Corporate Disciplines
แต่เนื่องจากเทคโนโลยีสารสนเทศและอินเทอร์เน็ตที่มีการพัฒนาอย่างต่อเนื่องและรวดเร็วย่อมส่งผลให้องค์กรต้องมีการปรับตัวให้ทันต่อสภาพแวดล้อมภายนอกที่เปลี่ยนแปลงไปอย่างรวดเร็ว ดังที่เรารู้จักกันดีในเรื่องของ “Disruptive Technology” การเปลี่ยนแปลงที่สำคัญอีกประเด็นหนึ่งก็คือ ภัยคุกคามทางไซเบอร์ในรูปแบบใหม่ ๆ
ที่ตรวจจับได้ยากและมีผลกระทบรุนแรงต่อองค์กรมากขึ้นจากเทคโนโลยีสารสนเทศและอินเทอร์เน็ตมีการพัฒนาไปอย่างรวดเร็ว เราจะเตรียมตัวอย่างไรให้องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์รูปแบบใหม่ ๆ ที่อาจจะเป็นภัยมืดที่เราไม่เคยพบมาก่อน (Unknown Threats) เข้ามาโจมตีองค์กรของเราทั้งในปัจจุบันและอนาคตโดยที่องค์กรอาจไม่รู้ตัวเลยก็เป็นได้
องค์กรจะเตรียมพร้อมรับมือกับภัยคุกคามไซเบอร์ในรูปแบบใหม่ ๆ ได้อย่างไร?
จากที่กล่าวมาข้างต้น จะเห็นได้ว่าภัยคุกคามไซเบอร์มีการพัฒนาในรูปแบบใหม่ ๆ อยู่ตลอดเวลา ซึ่งล้วนแล้วแต่เป็นภัยที่องค์กรยังไม่เคยพบเป็นส่วนใหญ่ กระบวนการที่จะทำให้องค์กรมีความพร้อมในการรับมือกับภัยคุกคามใหม่ ๆ เหล่านี้ได้ต้องเกิดจากการร่วมมือกันของผู้บริหารและพนักงานในองค์กรทุกคน
เพื่อการนำพาให้องค์กรมีความมั่นคงปลอดภัยที่ดีขึ้น ดังนั้นองค์กรควรจัดให้มีการทำปฏิบัติการ “Cyber Drill” เพื่อให้เกิดกระบวนการ “Incident Response” ที่รวดเร็ว จนองค์กรสามารถเข้าสู่สภาวะ “Cyber Resilience” ที่ทนทานต่อผลกระทบจากการถูกโจมตีได้ในระดับที่ยังรักษา SLA (Service Level Agreement) กับลูกค้าไว้ได้
ปัจจุบันหน่วยงานที่มีหน้าที่กำกับดูแลในประเทศไทย ไม่ว่าจะเป็น ธปท. ก.ล.ต. และคปภ. ล้วนให้ความสำคัญกับวินัยไซเบอร์ทั้งสาม และได้ปรับปรุงประกาศ กฎระเบียบ ข้อบังคับต่าง ๆ ให้สอดคล้องและทันสมัยต่อภัยคุกคามทางไซเบอร์ใหม่ ๆ จึงนับเป็นนิมิตหมายที่ดีต่อประเทศชาติของเรา
วินัยไซเบอร์ที่ 1 การซ้อมหนีไฟทางไซเบอร์ “Cyber Drill”
แม้ว่าหลายองค์กรได้จัดให้มีการฝึกอบรมสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ให้แก่พนักงานและผู้บริหาร แต่กลับมาพบความจริงว่า การอบรมดังกล่าวอาจไม่เพียงพอที่จะทำให้องค์กรสามารถรับมือกับการโจมตีของภัยคุกคามทางไซเบอร์ต่าง ๆ
ทั้งที่เคยพบหรือไม่เคยพบมาก่อน เนื่องจากการฝึกอบรมสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ส่วนใหญ่แล้วจะเป็นการเรียนรู้ในเชิงทฤษฎีเพียงอย่างเดียว ทำให้การฝึกอบรมไม่สามารถสร้างความตระหนักรู้และสร้างกระบวนการตอบสนองต่อภัยคุกคามทางไซเบอร์เมื่อภัยคุกคามทางไซเบอร์นั้นเกิดขึ้นจริง ๆ
ดังนั้น นอกจากการฝึกอบรมในห้องแล้ว จึงจำเป็นต้องให้พนักงานและผู้บริหารได้มีโอกาสสัมผัสกับสถานการณ์ที่เกิดการโจมตีทางไซเบอร์ขึ้นจริงด้วย ซึ่งเรียกว่า การซ้อมหนีไฟทางไซเบอร์ หรือ “Cyber Drill” ซึ่งเป็นการจำลองสถานการณ์การโจมตีภัยคุกคามไซเบอร์ในรูปแบบต่าง ๆ
เพื่อให้พนักงานหรือผู้ที่เกี่ยวข้องในการตอบสนองต่อภัยคุกคามไซเบอร์เกิดความคุ้นเคย และยังสามารถตรวจสอบได้ว่าพนักงานคนใดมีความเสี่ยงสูงต่อการตกเป็นเหยื่อของภัยคุกคามไซเบอร์เหล่านั้นได้เช่นกัน จากนั้นจึงค่อยดำเนินการลดความเสี่ยงเป็นลำดับต่อไป
ซึ่งมีกรณีศึกษาจากการซ้อมหนีไฟทางไซเบอร์ หรือ Cyber Drill ของบริษัท ACIS Professional Center มาให้ผู้อ่านได้เห็นภาพและเกิดความเข้าใจมากขึ้น ซึ่ง ACIS Professional Center (ACIS) ได้จัดทำโครงการซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) เพื่อทดสอบ Cybersecurity Readiness ของพนักงานภายในองค์กรเอง
โดยมีการจำลองภัยคุกคามทางไซเบอร์ที่เรียกว่า “Phishing” คือการสร้าง E-mail ปลอม โดยผู้ไม่หวังดีจะอ้างตนว่าเป็นผู้บริหารระดับสูง โดยใช้ E-mail Address ที่ปลอมให้เหมือนหรือคล้ายกับ E-mail Address ของผู้บริหารระดับสูงที่อ้างถึง แต่ใช้เพื่อหลอกให้เป้าหมายส่งข้อมูลหรือกรอกข้อมูลสำคัญกลับมา
ซึ่งกว่าจะรู้ตัว ข้อมูลขององค์กรก็ได้รั่วไหลออกนอกบริษัทไปเรียบร้อยแล้ว สำหรับกรณีศึกษานี้เป็นการจำลองการโจมตีด้วย Phishing Attack Technic โดยการสร้าง E-mail ปลอม โดยใช้ชื่อผู้บริหารระดับสูงขององค์กร ส่งไปยังพนักงานทุกคนในบริษัท
เพื่อหลอกให้พนักงานเข้า Website หลอกที่ถูกจัดเตรียมไว้ล่วงหน้า โดยผู้ทดสอบได้สร้างขึ้นรอไว้แล้ว ล่อลวงให้พนักงานกรอก E-mail และ Password ของตัวเองลงไป เมื่อกด “Sign in” หมายความว่าพนักงานคนนั้นตกเป็นเหยื่อของการจำลอง Phishing Attack Simulation เรียบร้อยแล้ว
การจัดทำโครงการ “Cyber Drill” ให้เกิดประสิทธิผลมากที่สุด ควรทำอย่างน้อยปีละ 2-3 ครั้ง โดยแต่ละครั้งจะต้องเว้นระยะเวลาให้ห่างกันพอสมควร เพื่อให้ผลที่ได้สามารถสะท้อนถึงความเป็นจริงของพฤติกรรมของพนักงานให้ได้มากที่สุด และเห็นพัฒนาการรวมถึงการเปลี่ยนแปลงพฤติกรรมของพนักงานที่ชัดเจน ซึ่งการจัดทำโครงการ Cyber Drill ของ ACIS
สรุปได้ดังรูป
ซึ่งจากรูปจะเห็นว่า ในการจัดทำโครงการ Cyber Drill ครั้งที่ 1 มีพนักงานเข้า Website ปลอมทั้งหมด 27 คน ซึ่งคิดเป็น 39.7% ของพนักงานทั้งหมด และในพนักงานจำนวน 27 คนที่ได้เข้า Website ปลอม มี 13 คนที่ตกเป็นเหยื่อการทำ Phishing Simulation
ในครั้งนี้ สังเกตได้ว่าผู้ดูแลระบบที่มีหน้าที่ตอบสนองต่อภัยคุกคามที่เกิดขึ้น ใช้เวลาประมาณกว่า 80 นาทีในการยับยั้งการโจมตีแบบ Phishing ที่ถูกจำลองขึ้นมา และเมื่อทำการจัดทำ Cyber Drill ครั้งที่ 2 (โดยเว้นระยะเวลาประมาณ 1 เดือน) พบว่า จำนวนของพนักงานที่เข้า Website ปลอม, จำนวนพนักงานที่ตกเป็นเหยื่อ Phishing Attack Simulation
และเวลาที่เจ้าหน้าที่ใช้ในการยับยั้งการโจมตีแบบ Phishing มีอัตราลดลงอย่างเห็นได้ชัดเจน โดยหลังจากการจัดทำ Cyber Drill ในครั้งที่ 3 พบว่า ไม่มีพนักงานคนใดใน ACIS หลงกลไปเข้า Website ปลอม และตกเป็นเหยื่อการโจมตี Phishing เลยแม้แต่คนเดียว ที่สำคัญ ผู้ดูแลระบบใช้เวลาในการยับยั้ง Phishing เพียง 1 นาทีเท่านั้น
จากกรณีศึกษาการซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) ของบริษัท ACIS Professional Center แสดงให้เห็นว่า การจัดให้มีปฏิบัติการ Cyber Drill สามารถทำให้พนักงานในองค์กรมีความตระหนักรู้ถึงภัยคุกคามไซเบอร์ และสามารถตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิผลมากขึ้น และผู้ดูแลระบบยังใช้เวลาในการควบคุมสถานการณ์น้อยลง (Decrease Detect and Response Time)
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** บทความจาก ดร.ปริญญา หอมเอนก และคุณปกรณ์ โชติถิรพงศ์
ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.
ACIS/Cybertron Research LAB
สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่
