เจาะลึกกลยุทธ์ป้องกันไซเบอร์ยุคใหม่ ธุรกิจไทยต้องรับมืออย่างไรเมื่อภัยคุกคามล้ำหน้า

ปิยะณัฐ สวนอภัย
PwC Thailand Spotlight ทุกข้อมูลเชิงลึกเกี่ยวกับเทรนด์ในการดำเนินธุรกิจทั้งในประเทศและทั่วโลก รับฟังได้จากที่นี่

สวัสดีค่ะ ดิฉัน ปิยะณัฐ สวนอภัย รับหน้าที่เป็นผู้ดำเนินรายการ

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังเพิ่มขึ้นทั้งจำนวนและความถี่เช่นปัจจุบันนี้ แถมยังทวีความซับซ้อนมากกว่าในอดีต ธุรกิจต่าง ๆ ต้องเผชิญกับความท้าทายใหม่ ๆ ที่ไม่เคยพบเจอมาก่อน โดยเฉพาะเรื่องการปกป้องข้อมูลและการดำเนินธุรกิจให้ต่อเนื่องและปลอดภัย ซึ่งการโจมตีรูปแบบใหม่ ๆ ของอาชญากรคอมพิวเตอร์ยิ่งเป็นการตอกย้ำให้เราเห็นถึงความจำเป็นในการวางกลยุทธ์ รวมไปถึงมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นโดยไม่คาดคิดและประเมินมูลค่าไม่ได้

วันนี้ เราได้รับเกียรติจากคุณประเสริฐ จารุศรีพัฒน์ หุ้นส่วนสายงานตรวจสอบบัญชีด้านบริหารความเสี่ยง จากบริษัท PwC ประเทศไทย มาร่วมพูดคุยกับเราในรายการ คุณประเสริฐจะพาคุณผู้ฟังไปสำรวจแนวโน้มของภัยคุกคามทางไซเบอร์ในประเทศไทย รวมไปถึงให้คำแนะนำในการกำหนดกลยุทธ์ที่มีประสิทธิภาพสูงสุดในการป้องกันและตอบสนองกับภัยคุกคามนี้ ไปพูดคุยกับคุณประเสริฐกันเลยค่ะ

สวัสดีค่ะ คุณประเสริฐ

ประเสริฐ จารุศรีพัฒน์
สวัสดีครับ

ปิยะณัฐ
ปัจจุบันภัยคุกคามทางไซเบอร์มีการเปลี่ยนแปลงไปมากน้อยแค่ไหนคะ และมีมาตรการป้องกันภัยไซเบอร์อะไรบ้างที่ธุรกิจไทยควรให้ความสำคัญเป็นพิเศษ นอกเหนือไปจากมาตรการป้องกันโดยทั่วไป

ประเสริฐ
ผมต้องบอกแบบนี้นะครับว่า ในช่วงสามถึงสี่ปีที่ผ่านมา ระบบไอทีของหลาย ๆ องค์กรมีการเปลี่ยนแปลงไปอย่างมาก หลายองค์กรนำระบบเทคโนโลยีใหม่ ๆ มาใช้ เช่น ระบบบล็อกเชนและระบบ AI บางองค์กรเริ่มบอกว่าทำทุกอย่างด้วยตัวเองทั้งหมดไม่ไหวแล้ว เพราะต้องลงทุนสูงมาก จึงเริ่มเปลี่ยนมาใช้บริการจากผู้ให้บริการด้านเทคโนโลยีสารสนเทศจากบุคคลภายนอก ที่เรียกว่า IT outsource หรือ IT third party หรือแม้กระทั่งบางองค์กรที่เคยบอกว่าข้อมูลทุกอย่างต้องอยู่ที่ตัวเองทั้งหมด ก็เริ่มที่จะนำข้อมูลขึ้นสู่ระบบคลาวด์เพื่อให้บริการรูปแบบใหม่แก่ลูกค้า พร้อมทั้งขยายธุรกิจให้เติบโตขึ้น ในขณะเดียวกันก็เป็นการลดต้นทุนในการทำงานไปด้วย

แต่ผมต้องบอกแบบนี้นะครับว่า เทคโนโลยีเหล่านี้นำมาซึ่งภัยคุกคามในด้านไซเบอร์ต่าง ๆ เช่น มัลแวร์ แรนซัมแวร์ และการโจมตีแบบซีโร่เดย์ ทำให้มาตรการในการรับมือทางด้านไซเบอร์ขององค์กรที่เคยมีอยู่เริ่มไม่ตอบโจทย์ ผมต้องบอกว่า ไม่ใช่ว่าหลายองค์กรไม่มีการป้องกันที่ดี แต่เป็นเพราะพวกเขาเตรียมมาตรการไม่ทัน ทำให้เรามักจะเห็นข่าวตามหน้าหนังสือพิมพ์ หรือโซเชียลมีเดียว่า หลายองค์กรมีข้อมูลรั่วไหล ข้อมูลถูกนำไปใช้หรือขาย หรือเครื่องคอมพิวเตอร์โดนล็อกเพื่อเรียกค่าไถ่ เป็นต้น

ดังนั้น องค์กรควรจะมีการผสมผสานกันระหว่างการกำหนดโซลูชันเพื่อป้องกันหรือลดโอกาสในการถูกโจมตี กับโซลูชันเพื่อตรวจจับในกรณีที่มีผู้ไม่ประสงค์ดีพยายามที่จะโจมตีระบบและหลุดรอดแนวป้องกันออกมาได้

ปิยะณัฐ
จากประสบการณ์ของคุณประเสริฐ ปัญหาสำคัญของธุรกิจไทยในการป้องกันภัยไซเบอร์คืออะไรคะ เพราะหลาย ๆ องค์กรยังเผชิญกับเหตุการณ์การถูกคุกคามทางไซเบอร์ในรูปแบบเดิมอย่างซ้ำ ๆ อยู่ ฉะนั้นจึงมีคำถามว่า นอกจากโซลูชันด้านความปลอดภัยขั้นพื้นฐานแล้ว ยังมีโซลูชันอื่นในการช่วยป้องกันหรือตรวจจับสิ่งผิดปกติก่อนที่ธุรกิจจะถูกคุกคามจากอาชญากรคอมพิวเตอร์หรือไม่คะ

ประเสริฐ
อันนี้เป็นคำถามที่ดีมากครับ เพราะหลายองค์กรมีปัญหาแนวนี้ ผมต้องบอกว่า องค์กรส่วนใหญ่มีการลงทุนซื้อเครื่องมือป้องกันเต็มที่ แต่ก็ยังพบปัญหาว่าไม่สามารถป้องกันภัยคุกคามได้

หนึ่งในประเด็นที่ผมพบจากการพูดคุยกับหลายองค์กร คือ ฝ่ายไอทีไม่ทราบว่าทั้งองค์กรมีเครื่องและอุปกรณ์ไอทีทั้งหมดเท่าไร เครื่องเหล่านั้นติดตั้งอยู่ที่ไหน และใครเป็นผู้รับผิดชอบ ฝ่ายไอทีของบางองค์กรใช้ข้อมูลทะเบียนทรัพย์สินที่แผนกอื่นช่วยเก็บรวบรวมมาให้ ซึ่งข้อมูลเหล่านั้นมักจะไม่ครบถ้วน หรือกว่าจะได้รับการอัปเดตและส่งมาให้ทีมไอที ก็มักจะผ่านไปนานกว่าหกเดือนแล้ว จากปัญหานี้ทำให้ฝ่ายไอทีไม่สามารถวางแนวทางเพื่อป้องกันระบบได้ทันเวลา บางเครื่องไม่ได้รับการติดตั้งแพตช์ (patch) ซึ่งแพตช์มีความสำคัญมาก เพราะช่วยปิดช่องโหว่ใหม่ ๆ ที่เกิดขึ้นเรื่อย ๆ จากแหล่งที่ใช้งาน ทำให้บางระบบไม่ได้รับการติดตั้งแพตช์มานานกว่า 12 เดือน นี่จึงเป็นสาเหตุที่องค์กรโดนโจมตีทางไซเบอร์ ทำให้ระบบเสียหายหรือข้อมูลสำคัญรั่วไหลออกไป

ดังนั้น แนวโน้มในปัจจุบัน คือ ฝ่ายไอทีของหลายองค์กรเริ่มเปลี่ยนจากการกำหนดมาตรการแบบแมนนวล ไปใช้มาตรการที่เป็นกระบวนการทำงานแบบอัตโนมัติแทน โดยการใช้เครื่องมือที่ช่วยให้ไอทีสามารถมองเห็นภาพรวมว่าในองค์กรมีเครื่องและอุปกรณ์ไอทีอยู่เท่าไร อยู่ที่ใคร ใครเป็นผู้ดูแล และเครื่องไหนปลอดภัยหรือไม่ปลอดภัย สามารถสั่งการจากส่วนกลางเพื่อปิดช่องโหว่ทางด้านความปลอดภัยได้เลย ซึ่งสะดวกมาก และอุปกรณ์เหล่านี้ช่วยให้ไอทีสามารถสั่งการปิดเครื่องที่ผิดปกติออกจากระบบเครือข่ายได้ทันที

นอกเหนือจากมาตรการป้องกันที่กล่าวมา แม้จะมีมาตรการป้องกันที่รัดกุม แต่เทคโนโลยีใหม่ ๆ ก็นำความเสี่ยงรูปแบบใหม่ ๆ มาสู่องค์กรเสมอ ดังนั้นจึงเป็นไปได้ว่ามาตรการป้องกันภัยที่เรามีอยู่จะไม่สามารถป้องกันภัยคุกคามใหม่ ๆ ได้ทุกรูปแบบ องค์กรจึงจำเป็นต้องมีมาตรการเพื่อตรวจจับสิ่งผิดปกติ โดยสามารถทำได้สองรูปแบบ

แบบแรก คือ การจัดตั้งศูนย์ความมั่นคงปลอดภัย (Security Operations Centre: SOC) เพื่อสอบทานสิ่งผิดปกติด้วยตนเอง ข้อดีคือ ข้อมูลหลักต่าง ๆ จะถูกจัดเก็บไว้ภายในองค์กร โดยไม่ต้องแชร์ข้อมูลกับผู้อื่น แต่ข้อเสียคือ ต้องลงทุนสูงมาก ทั้งในการจัดซื้อเครื่องมือหรือจัดจ้างบุคคลที่เป็นผู้เชี่ยวชาญเพื่อคอยสอบทาน log และแก้ไขปัญหาที่เกิดขึ้นตลอดเวลา

ดังนั้นจึงมีรูปแบบที่สอง คือ การใช้บริการ managed services โดยว่าจ้างผู้ให้บริการภายนอกมาคอยสอบทาน log ให้ ซึ่งข้อดีคือ องค์กรไม่ต้องลงทุนสูงในเรื่องระบบและบุคลากร และยังได้รับกระบวนการจัดการที่เป็นมาตรฐาน ค่าใช้จ่ายสามารถยืดหยุ่นตามการใช้งาน แต่ข้อเสีย คือ องค์กรต้องส่ง log ให้กับผู้ให้บริการภายนอก อย่างไรก็ตาม หลายองค์กรเริ่มหันมาใช้บริการ managed services มากขึ้น แต่จะเลือกใช้จากผู้ให้บริการที่น่าเชื่อถือเท่านั้น

ปิยะณัฐ
ในมุมมองของคุณประเสริฐ การลงทุนด้านความปลอดภัยทางไซเบอร์ที่คุ้มค่าที่สุดที่บริษัทไทยควรให้ความสำคัญในเวลานี้คืออะไร และบทบาทของพนักงานในองค์กรซึ่งเป็นด่านหน้าในการป้องกันภัยไซเบอร์ มีอะไรบ้าง

ประเสริฐ
เราไม่ควรมองเฉพาะเทคโนโลยีและเครื่องมือใหม่ ๆ เท่านั้น แต่ควรเน้นการพัฒนาบุคลากรและกระบวนการภายในองค์กรด้วย

สำหรับพนักงาน ควรได้รับการอบรมเกี่ยวกับภัยไซเบอร์อย่างสม่ำเสมอ และมีความตระหนักด้านการรักษาความปลอดภัยในการทำกิจกรรมหรือธุรกรรมต่าง ๆ รวมถึงควรส่งเสริมให้พวกเขามีวัฒนธรรมในการสังเกตและรายงานข้อมูลที่ผิดปกติให้กับหน่วยงานดูแลด้านการรักษาความปลอดภัย

นอกจากนี้ ในมุมของกระบวนการ ผมแนะนำให้องค์กรเน้นเป็นพิเศษ โดยพิจารณาใช้มาตรฐานหรือ framework ที่เป็นสากล เช่น จาก NIST (National Institute of Standards and Technology) หรือจากทางผู้กำกับดูแล (regulator) ในประเทศไทย ซึ่งออกไกด์ไลน์ที่มีมาตรฐานหลากหลาย และควรเลือกมาตรฐานที่เข้ากับวิธีการทำงานขององค์กร เมื่อเรามีมาตรฐานที่ดีแล้ว ก็จะสามารถกำหนดการกำกับดูแล (governance) ที่ดีและจัดการกระบวนการทางด้านการรักษาความปลอดภัยได้แบบครบวงจร (end-to-end) พร้อมทั้งปรับปรุงกระบวนการได้อย่างต่อเนื่อง การลงทุนในลักษณะนี้ครอบคลุมทั้งบุคลากร กระบวนการ และเทคโนโลยีครับ

ปิยะณัฐ
สุดท้ายนี้ คุณประเสริฐมองว่าแนวโน้มภัยไซเบอร์ในอนาคตจะเป็นอย่างไร และมีคำแนะนำสำหรับองค์กรที่ต้องการเริ่มสร้างระบบป้องกันภัยไซเบอร์อย่างไรบ้างคะ

ประเสริฐ
ภัยทางไซเบอร์มีแนวโน้มที่จะทวีความรุนแรงและซับซ้อนมากขึ้น ยกตัวอย่างเช่น หลายองค์กรเริ่มนำระบบ AI มาใช้ ซึ่ง AI สามารถหลบเลี่ยงมาตรการรักษาความปลอดภัย (bypass security) ต่าง ๆ ได้ ยกตัวอย่างเช่น มันสามารถถอดรหัสวิธีการเข้ารหัสข้อมูล ทำให้สามารถขโมยข้อมูลสำคัญขององค์กรไปใช้ นอกจากนี้ จากที่ผมกล่าวไป หลายองค์กรเริ่มหันมาใช้บริการ outsource หรือบุคคลที่สาม ซึ่งจำเป็นต้องส่งข้อมูลขององค์กรให้กับผู้ให้บริการ หากผู้ให้บริการดูแลตรงนี้ไม่ดี จะเพิ่มความเสี่ยงต่อการโจมตีทางไซเบอร์ (cyber attack) ได้ เพราะฉะนั้น จากที่ผมกล่าวมา จึงเป็นไปได้ยากมากที่จะหามาตรการเพียงหนึ่งเดียวที่จะสามารถป้องกันภัยคุกคามได้ร้อยเปอร์เซ็นต์

สิ่งที่องค์กรควรคำนึงถึง ผมฝากไว้สามมุมครับ มุมแรก ควรมีการประเมินความเสี่ยงที่อาจเกิดขึ้น โดยพิจารณาจากลักษณะของธุรกิจและระบบไอทีที่ใช้อยู่ แล้วจึงกำหนดมาตรการที่ผสมผสานกันทั้งด้านการป้องกันและตรวจจับสิ่งผิดปกติ มุมที่สอง องค์กรต้องรู้ว่าปัจจุบันองค์กรมีระบบหรืออุปกรณ์ไอทีอะไรบ้าง เพื่อปิดช่องโหว่ทางด้านความปลอดภัยได้ครบถ้วน และทันเวลา หากเป็นไปได้ อยากให้พิจารณาการใช้มาตรการแบบ automate solution และมุมที่สาม อยากให้พิจารณาโมเดลการจัดการทางด้านความปลอดภัย ว่าองค์กรของตนเหมาะกับการทำทุกอย่างด้วยตัวเองหรือควรใช้ managed services แต่ต้องเลือกผู้ให้บริการที่น่าเชื่อถือเท่านั้น

สุดท้ายนี้ นอกจากเทคโนโลยีและกระบวนการจัดการที่ดีแล้ว องค์กรควรส่งเสริมให้คนทั้งองค์กรมีวัฒนธรรมที่ตระหนักถึงความเสี่ยงทางด้านไซเบอร์ เพื่อให้องค์กรมีความยืดหยุ่นและเตรียมพร้อมรับมือกับภัยคุกคามต่าง ๆ ได้ในอนาคตครับ

ปิยะณัฐ
จากข้อมูลที่คุณประเสริฐได้แชร์ให้เราฟัง ถือเป็นการตอกย้ำให้เห็นชัดว่า การมีมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งนั้น ไม่ใช่ความจำเป็นทางเทคนิคเท่านั้น แต่ยังเป็นข้อได้เปรียบเชิงกลยุทธ์สำหรับการดำเนินธุรกิจทุกประเภท ดังนั้น การลงทุนในมาตรการป้องกันภัยคุกคามทางไซเบอร์และใส่ใจเรื่องนี้อย่างจริงจัง จะช่วยให้ธุรกิจดำเนินต่อไปได้อย่างราบรื่น ปลอดภัย และยังสร้างความเชื่อมั่นให้กับลูกค้าและคู่ค้าของบริษัทได้อีกด้วยค่ะ

ต้องขอบคุณ คุณประเสริฐ อีกครั้ง ที่สละเวลามาร่วมแชร์ข้อมูลและประสบการณ์ดี ๆ ในวันนี้นะคะ ขอบคุณค่ะ

ประเสริฐ
ครับ ขอบคุณมากครับ ยินดีครับ

ปิยะณัฐ
สำหรับคุณผู้ฟังที่ต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับเรื่อง cyber security หรือเทรนด์ธุรกิจต่าง ๆ สามารถเยี่ยมชมเว็บไซต์ของเราได้ที่ www.pwc.com/th หรือติดตามข่าวสารผ่านโซเชียลมีเดียของ PwC ประเทศไทย ได้ทาง LinkedIn, X และ Facebook ค่ะ

และที่สำคัญอย่าลืมกด Like และ Follow เพื่อไม่ให้พลาดพอดคาสต์ซีรีส์ของ PwC Thailand Spotlight ในตอนต่อไป

พบกันใหม่ในตอนหน้า สวัสดีค่ะ

กลับด้านบน