แนวโน้มและทิศทางภัยไซเบอร์ในปี 2019

วันที่ 20 ม.ค. 2562 เวลา 12:14 น.
แนวโน้มและทิศทางภัยไซเบอร์ในปี 2019
ส่องแนวโน้มและทิศทางภัยไซเบอร์ในปี2019ที่มีทั้งภัยจากข้อมูลรั่วไหลไปจนถึงการกลั่นแกล้งใส่ร้ายป้ายสีบนโซเชียลมีเดีย

******************************

โดย...ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ และระบบเทคโนโลยีสารสนเทศ

โลกของเรากำลังเข้าสู่ยุค 5จี ซึ่งเป็นการเปลี่ยนแปลงจาก Digital Economy สู่ Data Economy ขณะที่มีคนกำลังพูดถึง Crypto Economy กันบ้างแล้ว เมื่อเราพิจารณาคำว่า “Data Economy” เราพบว่าไม่ใช่คำใหม่ แต่มีการกล่าวถึงมากกว่าสิบปีที่ผ่านมา แต่เพิ่งมีการตื่นตัวเรื่องนี้กันในช่วง 2-3 ปีที่ผ่านมานี้จากความจริงที่ว่า องค์กรใดบริหารจัดการข้อมูลได้มีประสิทธิภาพ ผู้นั้นย่อมมี “Competitive Advantage” ในการทำธุรกิจมากกว่าองค์กรที่ไม่สามารถนำ “Data” มาใช้ประโยชน์ได้อย่างถูกต้อง

1.ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูลในระบบคลาวด์

องค์กรภาครัฐและเอกชนทั่วโลกนิยมปรับเปลี่ยนการบริหารจัดการระบบสารสนเทศภายในองค์กรจากการจัดเก็บข้อมูลภายในศูนย์คอมพิวเตอร์ขององค์กรไปสู่การจัดเก็บข้อมูลบนระบบคลาวด์ภายนอกองค์กร เนื่องจากสามารถลดต้นทุนและกระจายความเสี่ยงการโจมตีทางไซเบอร์ให้กับบริษัทผู้ให้บริการคลาวด์มาร่วมรับผิดชอบในการประมวลผลข้อมูลขององค์กร

แต่อีกมุมหนึ่งที่ผู้บริหารองค์กรจำเป็นต้องนำมาพิจารณาก็คือ อาจมีการรั่วไหลของข้อมูลองค์กรผ่านระบบคลาวด์ คำถามก็คือเมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ ใครจะเป็นผู้รับผิดชอบในความเสียหาย ผู้บริหารองค์กร หรือผู้บริหารบริษัทผู้ให้บริการคลาวด์ หรือบริษัทที่ให้บริการประกันภัยทางไซเบอร์ (Cyber Insurance) เนื่องจากในปัจจุบันมีเหตุการณ์ข้อมูลรั่วไหล (Data Breaches) เกิดขึ้นทั่วโลก

ดูข้อมูลสถิติจาก Website : https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ พบว่าทั้งรัฐและเอกชนล้วนประสบปัญหาข้อมูลรั่วไหลกันทั้งสิ้น วีธีการแก้ไขก็คือ ควรกำหนด Data Governance Policy การจัดทำเรื่อง Data Classification และการเปลี่ยน Mindset ผู้บริหารจาก Cybersecurity Mindset เป็น Cyber Resilience Mindset โดยคิดเสียว่าข้อมูลในระบบคลาวด์ของเรามีโอกาสถูกแฮ็กเมื่อใดก็ได้

2.ภัยจากองค์กรไม่สามารถปฏิบัติตามกฎหมายไซเบอร์และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

กฎระเบียบต่างๆ และกฎหมายที่เกี่ยวข้องกับไซเบอร์จะเข้มงวดมากขึ้นทั่วโลก และในอีกไม่กี่เดือนข้างหน้าประเทศไทยกำลังจะมีกฎหมายใหม่ที่ถูกนำมาบังคับใช้ถึงสองฉบับ ได้แก่ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลกระทบในส่วนหน่วยงานโครงสร้างพื้นฐานทั้งภาครัฐและเอกชน ตลอดจนประชาชนทั่วไป

ในภาพรวมประชาชนจะได้ประโยชน์มากขึ้นจากการบังคับใช้ พ.ร.บ.ทั้งสองฉบับนี้ แต่สำหรับผู้บริหารระบบสารสนเทศ ตลอดจนผู้ตรวจสอบระบบสารสนเทศกลับมีเรื่องที่ต้องทำมากขึ้น เนื่องจากจำเป็นต้องปฏิบัติตามข้อกำหนด หลายองค์กรต้องจัดเตรียมงบประมาณและลงทุนด้านระบบสารสนเทศเพิ่มเติม

สำหรับประชาชนทั่วไปในฐานะผู้ใช้บริการคงต้องตรวจสอบ “Privacy Notice” และ “Privacy Policy” ให้รอบคอบก่อนการใช้งานบริการออนไลน์ และโมบายแอพต่างๆ โดยพิจารณาว่าเนื้อหาไม่มีการละเมิดข้อมูลส่วนบุคคลของเรา ตลอดจนบริษัท Tech Giant ต่างๆ เช่น Facebook และ Google ต้องมีการปรับตัวให้สอดคล้องกับ EU’s GDPR

3.ภัยการโจมตีในรูปแบบ De-anonymization Attack

เป็นการโจมตีข้อมูลส่วนบุคคลจนสามารถระบุตัวตนของบุคคลนั้นได้โดยการเข้าถึง Personally Identifiable Information (PII) จากข้อมูลเพียงบางส่วนที่ไม่สมบูรณ์พอที่จะระบุตัวตนของบุคคลนั้นได้ แต่เมื่อใช้เทคนิค Intelligence Information Gathering แล้วแฮ็กเกอร์สามารถปะติดปะต่อข้อมูลการค้นหาข้อมูลในโซเชียลมีเดีย โดยใช้เครื่องมือประเภท OSINT (Open Source Intelligence) ยกตัวอย่างเช่น โปรแกรม Maltego จนสามารถเข้าถึง PII หรือข้อมูลที่สามารถระบุตัวบุคคลได้ในที่สุด

ดังนั้นผู้ใช้บริการบริการโซเชียลมีเดีย ควรระมัดระวังการป้อนข้อมูลเข้าไปในระบบ ไม่ว่าจะเป็นการ Post หรือการ Upload ข้อมูลส่วนบุคคลเข้าไปในคลาวด์ ฉะนั้นควรฝึกให้มีสติทุกครั้งในการป้อนข้อมูลโดยใช้หลักการง่ายๆ สองข้อ คือ “Think before you post” (คิดก่อนโพสต์) และ “You are what you post” (คุณเป็นคนอย่างไรคุณก็โพสต์อย่างนั้น)

4.ภัยจากการกลั่นแกล้งหรือให้ร้ายป้ายสีกันทางโซเชียลมีเดีย (Cyberbullying)

ปัญหา Cyberbullying ผ่านทางสื่อโซเชียลมีเดียเกิดมากขึ้นอย่างต่อเนื่องในช่วง 3-5 ปีที่ผ่านมา มีผลกระทบต่อภาพลักษณ์ ชื่อเสียง (Reputational Risk) อย่างมากต่อผู้ถูกกระทำ โดยที่ผู้ถูกกระทำไม่มีโอกาสได้ตอบโต้ผู้กระทำผิดในลักษณะ Cyberbullying ซึ่งจริงๆ แล้วมีกฎหมายหมิ่นประมาทที่สามารถนำมาใช้ในกรณี Cyberbullying ได้ ดังนั้นทั้งบุคคลและองค์กรต้องวางแผนและเฝ้าระวังสื่อสังคมออนไลน์ มีศักยภาพในการโต้ตอบ ให้ข้อมูลเชิงบวกให้ทันเวลา การนำเทคนิค Social Listening, Social Analytic และ Social Engagement รวมทั้ง AI/Machine Learning มาใช้ จึงมีความจำเป็น

5.ภัยจากความไม่เข้าใจของผู้บริหารระดับสูงเรื่อง Digital Transformation และ Cybersecurity Transformation

การนำเทคโนโลยีดิจิทัลมาใช้ให้เกิดประโยชน์ที่หลายองค์กรกำลังนิยมในปัจจุบัน คือปรับตามแนวทาง “Digital Transformation” ตั้งแต่เรื่อง “Leadership” ไปจนถึง “Customer Experience” ทั้งยังต้องปรับเปลี่ยนเรื่อง Security และ Privacy ขององค์กรอีกด้วย เนื่องจากเป็นฐานในการสร้างความเชื่อมั่นในสินค้าและบริการขององค์กร

การทำ Digital Transformation โดยลืมคำนึงถึงเรื่อง Cybersecurity Transformation จะไม่สามารถสำเร็จลุล่วงในระยะยาวได้ เนื่องจากมีปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ และปัญหาด้านการละเมิดข้อมูลส่วนบุคคล ดังนั้นการทำ Digital Transformation ให้สำเร็จต้อง Transform เรื่องการบริหารจัดการ Security และ Privacy ในองค์กรด้วย

ข่าวที่เกี่ยวข้องในอดีต