บริษัทจำนวนมากไม่มีการวางแผน รับมือภัยคุกคาม Supply Chain
Supply Chain Attack มีความยากในการบริหารจัดการ เพราะเราไม่สามารถควบคุมระบบขององค์กรที่เป็นบริษัทภายนอกหรือ third party ได้
องค์กรต่างๆ ล้มเหลวในการวางแผนเพื่อรับมือกับความเสี่ยงของห่วงโซ่อุปทาน (Supply Chain) และภัยคุกคามเกี่ยวกับความปลอดภัยทางไซเบอร์จากระบบ Digital Ecosystem จากข้อมูลของ Tata Consultancy Services (TCS) บริษัทต่างๆ ได้จัดลำดับความเสี่ยงที่เกิดจากพันธมิตรในระบบนิเวศ (Ecosystem Partner) ซึ่งเป็นรายการภัยคุกคามหลัก 10 อันดับ
โดยผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัยโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ หรือ CISO และหัวหน้าเจ้าหน้าที่ด้านความเสี่ยงเชื่อว่าระบบการเงิน ฐานข้อมูลลูกค้า และ การวิจัยและพัฒนา(Research and Development หรือR&D) เป็นระบบที่มีแนวโน้มว่าจะตกเป็นเป้าหมายมากที่สุด และสำหรับ Supply Chain และการจัดจำหน่าย (Distribution) ถูกจัดอยู่ในอันดับที่ 9
ทั้งนี้มีการสำรวจบริษัทขนาดใหญ่ที่มีรายได้ต่อปีเกิน 1 พันล้านดอลลาร์ขึ้นไป พบว่ามีเพียง 16% ของหัวหน้าเจ้าหน้าที่ความเสี่ยงที่เชื่อว่าระบบนิเวศดิจิทัลเป็นปัญหาใหญ่เมื่อพูดถึงความเสี่ยงในโลกไซเบอร์ และมีเพียง 14% เท่านั้นที่คิดว่า ควรให้ความสำคัญและนำเรื่องระบบนิเวศเหล่านี้เข้าที่ประชุมคณะกรรมการบริษัท ทั้งนี้ยังพบว่ามีองค์กรจำนวนน้อยที่ไม่ได้ให้ความสำคัญกับความเสี่ยงทางไซเบอร์ อย่างไรก็ตามยังพบว่าองค์กรที่มีกำไรและรายได้เติบโตสูงกว่าค่าเฉลี่ยมีแนวโน้มที่จะให้ความสำคัญกับความปลอดภัยทางไซเบอร์โดยการนำเรื่องเข้าหารือในการประชุมคณะกรรมการ
นอกจากนี้องค์กรต่างๆ มองว่าคลาวด์ (cloud) มีความปลอดภัยมากกว่าศูนย์เก็บข้อมูล (Data Center) และระบบในองค์กร นอกจากนี้ ความกังวลที่ยังคงมีอยู่คือเรื่องเกี่ยวกับทักษะและความจำเป็นในการรักษา ดึงดูดและจูงใจพนักงานที่มีความรู้ความสามารถในด้านการรักษาความปลอดภัยทางไซเบอร์ให้อยู่กับองค์กร บริษัทที่ผู้นำระดับสูงให้ความสำคัญกับความปลอดภัยในโลกไซเบอร์ มีแนวโน้มที่จะสามารถปิดช่องว่างด้านทักษะได้
ทั้งนี้การแสดงออกถึงความมุ่งมั่นอย่างจริงจังในการรักษาความปลอดภัยในโลกไซเบอร์ได้รับความสนใจอย่างมากจากผู้นำระดับสูงในด้านเงินทุน และการเปลี่ยนแปลงกระบวนการจะมีความสำคัญต่อการสรรหาและรักษาผู้มีความสามารถระดับสูงไว้ ซึ่งรายงานพบว่าผู้ทำแบบสำรวจใช้เวลานานกว่า 21% ในการกรอกโพสต์ความปลอดภัยทางไซเบอร์มากกว่าบทบาทอื่นๆ ในด้านไอที และ 44% ของบริษัทพบว่าเป็นเรื่องยากมากที่จะดึงดูดคนที่มีความสามารถระดับสูงในด้านนี้ และ 42% พบว่ายากมากที่จะรักษาผู้ที่มีความรู้ความสามารถเกี่ยวกับความเสี่ยงในโลกไซเบอร์และทักษะด้านความปลอดภัยไว้
ดังนั้นช่องว่างด้านทักษะในอุตสาหกรรมความปลอดภัยทางไซเบอร์นั้นไม่มีวี่แววว่าจะหมดลงได้ เพราะในงานวิจัยชี้ว่าการสรรหาและรักษาผู้มีความสามารถยังคงเป็นปัญหาใหญ่อยู่ หากอุตสาหกรรมมีโอกาสที่จะปิดช่องว่างนี้ได้ ก็ต้องให้คนเป็นแกนหลักซึ่งหมายถึงการส่งเสริมความหลากหลายของคนในอุตสาหกรรมนี้ให้มากขึ้นและทำให้บุคคลากรเหล่านั้นมั่นใจว่าจะมีอาชีพที่มั่นคงและประสบความสำเร็จในสายงานนี้
เราจะเห็นได้ว่า Supply Chain Attack มีความซับซ้อนในการจัดการเพราะไม่ได้เกิดปัญหาเฉพาะในองค์การของเรา แต่มี third party ซึ่งเป็นองค์กรอีกจำนวนมากที่ทำงานเกี่ยวข้ององค์กรของเรา โดยถ้าองค์กร third party เหล่านั้นมีระบบไซเบอร์ซีเคียวริตี้ไม่เพียงพอจะทำให้เกิดปัญหาใหญ่ในอนาคตได้
ปัจจุบัน Supply Chain Attack มีความยากในการบริหารจัดการเพราะเราไม่สามารถควบคุมระบบขององค์กรที่เป็น third party ได้
ดังนั้นเราจึงควรมั่นตรวจสอบในเรื่องของการเชื่อมต่อ เช่น Application Program Interface หรือ API ตลอดจนความปลอดภัย กฏเกณฑ์และมาตราการต่างๆ สำหรับ third party ที่จะเชื่อมต่อกับระบบขององค์กรของเรา