ความเสี่ยงด้านไซเบอร์ กับหน้าที่กรรมการ

สิบเจ็ดคนเข้าร่วมการประชุม Global Cyber Summit


อาชญากรรมไซเบอร์หรือ Cyber crime ปัจจุบันเกิดขึ้นบ่อยและนับวันจะมากขึ้นๆ จนมีผู้เปรียบว่าขนาดและความถี่ของอาชญากรรมไซเบอร์อาจมีมากพอๆ หรือมากกว่าอาชญากรรมยาเสพติด หรือ Drug crime ความเสี่ยงด้านไซเบอร์มีตั้งแต่รูปแบบพื้นฐานไปถึงรูปแบบที่ลุ้มลึกที่มีการวางแผนไตร่ตรองมาอย่างดี คือ เริ่มจากเรื่องง่ายๆ เช่น การโจรกรรมคอมพิวเตอร์หรือโทรศัพท์มือถือทำให้สูญเสียข้อมูลสำคัญทั้งข้อมูลส่วนตัวและข้อมูลบริษัท การฉ้อโกงทุจริตโดยคนในองค์กรเพื่อขโมยหรือปรับเปลี่ยนข้อมูลบริษัทเพื่อประโยชน์ส่วนตัว การโจมตีจากภายนอกโดยผู้ทำการ (Hackers) เข้ามาลบข้อมูลหรือโพสต์ข้อมูลส่วนตัวในเว็บไซต์ของบริษัท เข้ามาแก้ไขข้อมูลเพื่อการยักยอกหรือขโมยเงิน หรือเข้ามาโจมตีเป็นกระบวนการเพื่อให้เว็บไซต์บริษัทหรือระบบงานคอมพิวเตอร์ของบริษัททำงานไม่ได้ ทำให้ธุรกิจต้องหยุดชะงัก


ที่สูงขึ้นมาอีกระดับก็คือประเภทอาชญากรรมจัดตั้งโดยบุคคลที่ไม่เกี่ยวกับภาครัฐ ที่ทำเป็นกระบวนการเข้าโจมตีระบบคอมพิวเตอร์บริษัท โดยมุ่งทำให้ระบบคอมพิวเตอร์ที่มีเครือข่ายทั่วโลกหยุดทำงานหรือทำงานไม่ได้ (Denial-of-service attack) โดยส่งข้อมูลที่ไม่เป็นประโยชน์หรือโปรแกรมอันตรายฝังเข้าไปในเครือข่าย เพื่อให้ระบบเกิดการอุดตันอ่อนเปลี้ยไม่สามารถให้บริการลูกค้าได้ เช่น ระบบชำระเงิน หรือ ระบบการโอนเงิน แต่ที่ร้ายสุดคือ การโจมตีแบบอาชญากรรมจัดตั้งข้ามชาติที่มีเจ้าหน้าที่รัฐรู้เห็นที่เรียกว่าสงครามไซเบอร์ เพื่อสร้างความเสียหายให้กับโครงสร้างพื้นฐานสำคัญของอีกประเทศหนึ่งที่เป็นเป้าหมายให้ใช้งานไม่ได้ เช่น ระบบไฟฟ้า ระบบน้ำประปา ระบบขนส่งมวลชน และระบบการเงิน เพื่อให้เกิดความเสียหายทางเศรษฐกิจ รวมถึงการล้วงความลับบริษัทหรือราชการ สิ่งเหล่านี้คือความเป็นไปได้ที่เกิดขึ้นได้ตลอดเวลาแต่ประชาชนและบริษัทธุรกิจทั่วไปจะไม่ทราบหรือไม่ตระหนัก


สำหรับบริษัทธุรกิจ กรณีดังๆ ที่เกิดขึ้นและถูกนำมาอ้างบ่อยก็คือกรณีบริษัททาร์เก็ต (Target) ปี 2013 ที่ผู้ทำการ (Hackers) เข้าไปขโมยข้อมูลลูกค้าบัตรเครดิตและบัตรเดบิตกว่า 40 ล้านรายการ อีกกรณีก็คือบริษัทโซนี่ (Sony) ปี 2014 ที่ผู้ก่อการเข้าโจมตีเพื่อขโมยข้อมูลพนักงาน และอีเมล์บริษัทรวมถึงภาพยนตร์ที่ยังไม่ได้จัดจำหน่าย และล่าสุดเดือนเมษายนปีนี้มีข่าวสถานีโทรทัศน์ช่องหนึ่งของฝรั่งเศส ถูกโจมตีโดยผู้ทำการสามารถเข้าควบคุมระบบควบคุมงานของสถานีได้โดยเครื่องมือจากภายนอก ตัดการออกอากาศและเข้าควบคุมเว็บไซต์และโซเชียลมีเดียของสถานีเป็นเวลาหนึ่งวัน นี้คือตัวอย่างของสิ่งที่เกิดขึ้น


ดังนั้น ธุรกิจต้องตระหนักถึงความเป็นไปได้เหล่านี้ว่าอาจเกิดขึ้นกับบริษัทของตนได้ และอาจนำมาสู่ความสูญเสียทางการเงินและชื่อเสียงของบริษัท ในเรื่องนี้ผลสำรวจปี 2014 ชี้ว่าร้อยละ 67 ของผู้บริโภคเห็นว่าความมั่นคงปลอดภัยด้านไซเบอร์ (Cyber security) เป็นความรับผิดชอบของบริษัท และร้อยละ 73 เห็นว่าปัจจุบันบริษัทธุรกิจยังทำเรื่องนี้ไม่เพียงพอ และที่ต้องตระหนักก็คือ ถ้าเหตุการณ์ความไม่ปลอดภัย ของระบบงานไซเบอร์เกิดขึ้นกับบริษัท ผู้บริโภคก็อาจเสียความเชื่อมั่นในระบบงานของบริษัท หันไปทำธุรกิจกับบริษัทอื่นแทน


ดังนั้น ในเรื่องนี้ มีสามบริบทที่กรรมการบริษัทควรตระหนัก


หนึ่ง ปัจจุบันเรากำลังอยู่ในโลกที่พึ่งระบบอินเทอร์เน็ตและเทคโนโลยีมาก ดังนั้นถ้าการใช้อินเทอร์เน็ตยิ่งมีมากขึ้น ความเสี่ยงเรื่องไซเบอร์ก็จะยิ่งมีมากขึ้นเช่นกัน ในโลกธุรกิจปัจจุบัน ความเป็นอินเทอร์เน็ตของธุรกิจทำให้ธุรกิจต้องติดต่อกันตลอดเวลาผ่านระบบอินเทอร์เน็ตจนเป็นส่วนหนึ่งของชีวิตประจำวัน ทำให้ทุกธุรกิจทุกบริษัทมีความเสี่ยงเรื่องไซเบอร์


สอง การใช้อินเทอร์เน็ตได้เติบโตรวดเร็วมากจนเกินความสามารถของภาคทางการที่จะติดตามดูแลได้อย่างที่ควรจะเป็น ทำให้ช่องว่างเรื่องความมั่นคงปลอดภัยของระบบงานไซเบอร์ (Security gap) นับวันยิ่งมีมากขึ้น และเป็นช่องว่างที่มีศักยภาพพอที่จะทำให้ธุรกิจทั่วโลกหยุดชะงักได้ ถ้าระบบอินเทอร์เน็ตโลกถูกโจมตีหรือก่อกวนอย่างรุนแรง ซึ่งถ้าเกิดขึ้นก็จะสร้างความเสียหายอย่างมากต่อธุรกิจและความมั่นคงปลอดภัยของประเทศ ด้วยเหตุนี้ความมั่นคงปลอดภัยของระบบอินเทอร์เน็ตจึงได้กลายเป็นประเด็นที่ทั่วโลกต้องร่วมกันดูแล (Global agenda)


สาม ในการดูแล เนื่องจากเรื่องนี้เป็นปัญหาใหญ่ที่กระทบทุกคน ความร่วมมือระหว่างภาครัฐกับภาคธุรกิจที่ต้องสมัครใจแชร์ข้อมูลระหว่างกัน จึงเป็นหนทางเดียวที่จะช่วยให้มีการติดตามสถานการณ์และปัญหาต่างๆ ได้อย่างทันเหตุการณ์ แต่เรื่องนี้ไม่ใช่เรื่องง่าย เพราะธุรกิจจะแข่งขันกันมากจนไม่พร้อมที่จะแชร์ข้อมูล อีกทั้งก็มีความไม่ไว้วางใจซึ่งกันและกันระหว่างภาคธุรกิจกับภาคทางการ ทำให้การติดตามปัญหาว่าอะไรกำลังเกิดขึ้นจึงมีข้อจำกัดมาก แต่ในที่สุดการแชร์ข้อมูลก็เป็นแนวทางที่ต้องเกิดขึ้นเพื่อให้มีการติดตามปัญหาได้อย่างทันเวลา ไม่อย่างนั้นจะไม่สามารถเอาชนะผู้ก่อการ (Hackers) ที่มักจะเป็นกลุ่มบุคคลที่มีความรู้ความสามารถสูง


สำหรับกรรมการบริษัท ประเด็นที่ต้องสร้างความเข้าใจเพิ่มเติมก็คือทุกบริษัทมีความเสี่ยงเรื่องไซเบอร์ จนมีการพูดกันว่าบริษัทขณะนี้มีสองประเภท คือ บริษัทที่ถูก Hacked แล้ว กับบริษัทที่ยังไม่รู้ตัวว่ากำลังถูก Hack ดังนั้นสิ่งที่กรรมการควรทำก็คือ


หนึ่ง ต้องมองความมั่นคงปลอดภัยเรื่องไซเบอร์ของบริษัทว่าไม่ใช่ปัญหาด้านเทคโนโลยี (Not a technology issue) ที่จะส่งผ่านไปให้ฝ่ายเทคนิครับผิดชอบ แต่เป็นปัญหาการบริหารความเสี่ยงขององค์กรที่เป็นหน้าที่ของกรรมการ ดังนั้นประเด็นสำหรับกรรมการก็คือจะบริหารความเสี่ยงเหล่านี้อย่างไร ซึ่งหมายถึงสามเรื่องที่ควรต้องทำ คือ การเตรียมการ (Preparedness) การตอบโต้ หรือดำเนินการเมื่อมีปัญหาเกิดขึ้น (Response) และการลดความเสี่ยง (Risk mitigation)


สอง ควรมีการหารือระหว่างคณะกรรมการบริษัท กับผู้บริหารอย่างตรงไปตรงมาว่าเรารู้อะไรบ้างและไม่รู้อะไรบ้างในเรื่องนี้ เพราะความเสี่ยงไซเบอร์เป็นเรื่องใหม่สำหรับทุกๆ คน จึงควรหารือกันจนเกิดความเข้าใจร่วมกันว่าอะไรเป็นข้อมูลหรือสินทรัพย์สำคัญของบริษัทที่ต้องเก็บรักษาไว้อย่างดี และขณะนี้ระบบในการดูแลข้อมูลหรือสินทรัพย์เหล่านี้ของบริษัทเป็นอย่างไร มีใครเกี่ยวข้องบ้าง เพื่อสร้างความเข้าใจที่ถูกต้องร่วมกัน


สาม ทำในสิ่งที่ควรทำเพื่อลดช่องว่างความไม่ปลอดภัยที่มีอยู่แม้จะต้องลงทุนเพิ่มก็ควรทำ การลดช่องว่างต้องคิดไปถึงเรื่องบุคลากร (People) ว่าคนของเรามีทักษะในเรื่องนี้เพียงพอหรือไม่ เรื่องกระบวนการทำงาน (Process) ว่าฝ่ายจัดการมีกระบวนการ ความสามารถและความตั้งใจที่จะทำเรื่องนี้อย่างจริงจังหรือไม่ และเรื่องเทคโนโลยี (Technology) ว่าของเราดีพอหรือไม่ เป็นจุดเสี่ยงหรือไม่ ควรแก้ไขอย่างไรเพื่อนำไปสู่การลดช่องว่างไม่ให้เกิดปัญหา


โดยสรุปความเสี่ยงด้านไซเบอร์เป็นเรื่องสำคัญสำหรับธุรกิจที่กระทบทุกบริษัท เกร็ดต่างๆ ที่ได้จากการประชุมมีมากซึ่งทางสถาบันไอโอดี คงนำประเด็นเหล่านี้หารือร่วมกับผู้เชี่ยวชาญและหน่วยงานกำกับดูแล เพื่อนำไปสู่การพัฒนาแนวปฏิบัติที่ดีสำหรับกรรมการบริษัทต่อไป