ใช้งานผ่านอุปกรณ์ส่วนตัว องค์กรเสี่ยงภัยไซเบอร์

โดย...Onepen

ยุคดิจิทัลที่อำนวยความสะดวกให้สามารถทำงานได้ทุกที่ทุกเวลา จนเกิดเทรนด์การนำอุปกรณ์ส่วนตัวมาใช้ในเรื่องงาน (Bring-Your-own-Device : BYOD) และการใช้งานแอพพลิเคชั่นของตนเองในเรื่องงาน (Bring-Your-Own-Application : BYOA) ส่งผลให้เครือข่ายขององค์กรมีความเสี่ยงด้านความปลอดภัยทางอินเทอร์เน็ตมากขึ้น

ชาญวิทย์ อิทธิวัฒนะ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต กล่าวว่า ปัจจุบันพนักงานมักคาดหวังว่าจะมีโทรศัพท์มือถืออยู่กับพวกเขาตลอดเวลา และสามารถเข้าถึงข้อมูลที่จำเป็นต้องใช้ในการทำงานจากอุปกรณ์ของตนเองได้ทุกที่ ทำให้องค์กรต่างๆ จำเป็นต้องช่วยให้พนักงานสามารถเชื่อมต่อกับเครือข่ายขององค์กรได้มากขึ้นจากอุปกรณ์ส่วนบุคคล โดยยังมีควบคุมการใช้แอพพลิเคชั่นน้อยมาก

ทั้งนี้ องค์กรวิจัย IDC Asia Pacific ได้สำรวจการทำงานเคลื่อนที่ขององค์กร (Enterprise Mobility Survey) ในปี 2560 พบว่า BYOD กลายเป็นทางเลือกหลักในการปฏิบัติงานในองค์กร โดยมี 31% เลือกใช้วิธีนี้ เมื่อเทียบกับ 19% ในปี 2558 ขณะที่ในรายงานการสำรวจตลาดทั่วโลก (Global Market Insights Report) คาดการณ์ว่าขนาดของตลาด BYOD ทั่วโลกจะมีมูลค่าสูงถึง 366.95 พันล้านดอลลาร์สหรัฐ ภายในปี 2565 โดยภูมิภาคเอเชียแปซิฟิกจะเติบโตเร็วที่สุดหรืออัตรา 20.8%

“องค์กรทุกขนาดต่างอยู่ในเทรนด์ที่ให้อิสระแก่พนักงานในการทำงานนอกสถานที่มากขึ้น ทำให้องค์กรมีความเสี่ยงเมื่ออุปกรณ์ต่างๆ ดังกล่าวที่ไม่มีการป้องกันภัยเชื่อมต่อเข้ามาใช้เครือข่ายและทรัพยากรดิจิทัลต่างๆ ขององค์กร” ชาญวิทย์ กล่าว

นอกจากนี้ ผลสำรวจอุตสาหกรรมไอทีล่าสุด เปิดเผยว่า ประมาณ 65% ขององค์กรกำลังเปิดให้อุปกรณ์ส่วนบุคคลเชื่อมต่อกับเครือข่ายขององค์กรได้ โดยผู้บริหารระดับซีอีโอ 95% ระบุถึงความห่วงใยในการจัดเก็บอีเมลในอุปกรณ์ส่วนบุคคล และ 94% กังวลเกี่ยวกับข้อมูลขององค์กรที่เก็บไว้ในแอพพลิเคชั่นโทรศัพท์มือถือของพนักงาน

สำหรับวิธีจัดการเพื่อให้องค์กรยังได้รับประโยชน์จาก BYOD และ BYOA โดยไม่ส่งผลต่อความปลอดภัยของเครือข่ายหรือการพลาดการควบคุมดูแลข้อมูลสำคัญที่พนักงานนำไปใช้นอกสถานที่นั้น องค์กรในประเทศไทยควรพิจารณาแก้ปัญหาด้านความปลอดภัยในโลกไซเบอร์ 3 ข้อ ได้แก่

เรื่องที่ 1 ชาโดว์ไอที (Shadow IT) หรือระบบไอทีเงา ซึ่งเป็นสภาพการสร้างโครงสร้างไอทีที่ไม่ได้รับอนุญาตหรือระบบที่ใช้งานกันอย่างเองในองค์กร มักจะเป็นการใช้ระบบไอทีภายนอกองค์กร ข้อเสียคือ ข้อมูลที่เป็นความลับบางอย่างมีสิทธิรั่วไหลไปยังบุคคลภายนอกได้ ดังนั้นองค์กรจึงควรออกมาตรการนโยบายที่เข้มงวดเกี่ยวกับแอพพลิเคชั่นและประเภทของบริการที่อนุญาตให้พนักงานสามารถใช้บนอุปกรณ์ของตนได้ หรืออย่างน้อยแนะนำให้พนักงานตรวจสอบให้แน่ใจว่าแอพพลิเคชั่นเหล่านี้ได้รับการอัพเดทด้วยแพตช์ล่าสุด

เรื่องที่ 2 การรั่วไหลของข้อมูล อันหมายถึงการเคลื่อนย้ายข้อมูลขององค์กรไปโดยไม่ได้รับอนุญาตจากดาต้าเซ็นเตอร์ที่องค์กรจัดไว้ ไปยังอุปกรณ์หรือสถานที่ที่ไม่ได้รับอนุญาต ซึ่งมักเกิดขึ้นเมื่อพนักงานถ่ายโอนไฟล์ระหว่างอุปกรณ์ขององค์กรและอุปกรณ์ส่วนบุคคล หรือเมื่อพวกเขามีสิทธิเข้าถึงข้อมูลสำคัญที่ไม่เกี่ยวกับบทบาทหน้าที่ของตนในที่ทำงาน เนื่องมาจากการใช้งานผ่านระบบคลาวด์กลายเป็นเรื่องปกติมากขึ้น และจำนวนจุดเชื่อมต่อที่เพิ่มขึ้น ทำให้ทีมไอทีมักจะไม่สามารถเห็นการใช้งานนอกสถานที่และการใช้ข้อมูลขององค์กร

ดังนั้น เพื่อลดการรั่วไหลของข้อมูล ผู้บริหารระดับสูงด้านไอทีควรพิจารณาด้านการควบคุมการเข้าถึงข้อมูลและการแบ่งส่วนของเครือข่ายซึ่งจะทำให้สามารถมองเห็นได้ชัดเจนว่า มีการใช้ข้อมูลและเคลื่อนย้ายข้อมูลไปทั่วเครือข่ายอย่างไรและที่ใด

ประเด็นสุดท้าย เรื่องที่ 3 คือ การรักษาความปลอดภัยแก่แอพพลิเคชั่น โดยเฉลี่ยแล้วองค์กรมีการใช้งานแอพพลิเคชั่นที่ทำงานภายในองค์กรมากถึง 216 แอพ ไม่รวมแอพพลิเคชั่นส่วนบุคคลที่เก็บอยู่ในอุปกรณ์ที่พนักงานเป็นเจ้าของ องค์กรจึงจำเป็นต้องมีการรักษาความปลอดภัยแอพพลิเคชั่นในเชิงลึก โดยเฉพาะอย่างยิ่งในแอพพลิเคชั่นบนคลาวด์ซึ่งอาจเป็นเรื่องยากที่ทีมไอทีจะใช้นโยบายด้านความปลอดภัยมาตรฐานขององค์กรได้

“เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลในยุคของพนักงานที่ทำงานนอกสถานที่ ผู้บริหารไอทีระดับสูงต้องใช้ระบบวิธีการรักษาความปลอดภัยที่แบ่งเป็นหลายๆ ชั้นเลเยอร์ เพื่อให้สามารถมองเห็นการเคลื่อนย้ายข้อมูลในเครือข่ายได้ดี” ชาญวิทย์ กล่าว