ถูกวิธี ผิดกาลเทศะ
Security Awareness Training เป็นวิธีที่จะช่วยลดความเสี่ยงลงได้
ปัจจุบันโควิด-19 ได้แพร่ระบาดไปทั่วโลก เกือบทุกบริษัทต้องจัดให้พนักงานทำงานจากที่บ้าน (Work From Home) ซึ่งมีผลทำให้เกิดเป็นจุดอ่อนและความเสี่ยงให้แฮกเกอร์เข้ามาโจมตี
การสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับพนักงาน หรือที่เรียกว่าการทำ Security Awareness Training เป็นวิธีที่จะช่วยลดความเสี่ยงลงได้ แต่ก็ยังมีบางบริษัทที่ทำเรื่องนี้ได้ไม่ดีนัก อันเกิดมาจากการขาดความรู้ความเข้าใจ และขาดเครื่องมือช่วยประเมินผลที่มีประสิทธิภาพ
ล่าสุดบริษัทที่ดำเนินธุรกิจเกี่ยวกับรถไฟแห่งหนึ่งในสหราชอาณาจักร ถูกวิพากษ์วิจารณ์อย่างหนักถึงการทำการทดสอบด้านความปลอดภัยทางไซเบอร์ ด้วยวิธีการหลอกให้พนักงานเข้าใจผิดว่า พวกเขาจะได้รับโบนัสจากการทำงานหนักในช่วงที่เกิดการแพร่ระบาดของโควิด-19
โดยการส่งอีเมลบริษัทที่อ้างว่ามาจากกรรมการผู้จัดการถึงพนักงานประมาณ 2,500 คน เพื่อกล่าวขอบคุณสำหรับการทำงานหนักตั้งแต่ปีที่แล้ว และบอกว่าพวกเขาจะได้รับเงินโบนัสเป็นรางวัล แต่สุดท้ายกลับกลายเป็นว่านี่ไม่ใช่เรื่องจริง แต่เป็นการจำลองภัยคุกคามที่เป็นอีเมลหลอกลวง (Phishing)
เมื่อพนักงานคลิกลิงก์ที่ดูเหมือนจะเป็นคำขอบคุณส่งตรงจากกรรมการผู้จัดการ พวกเขากลับได้รับการต้อนรับด้วยข้อความที่ระบุว่าอีเมลดังกล่าวเป็นการทดสอบความปลอดภัยทางไซเบอร์
ตามข้อมูลที่รายงาน ข้อความที่พนักงานได้รับหลังพบความจริงว่าทั้งหมดเป็นการทดสอบคือ “นี่เป็นการทดสอบที่ออกแบบโดยทีมไอทีของเราเพื่อหลอกให้คุณคลิกลิงก์ โดยการใช้ทั้งคำสัญญา การขอบคุณ และรางวัลทางการเงิน”
ตัวแทนจาก Transport Salaried Staffs' Association (TSSA) ให้ความเห็นว่า นี่เป็นการจำลองสถานการณ์ที่น่าอับอายมาก เนื่องจากพนักงานของบริษัทแห่งนี้หลายคนป่วยจากการติดเชื้อ โควิด-19 และมีคนหนึ่งเสียชีวิตอีกด้วย ซึ่งพนักงานของบริษัทนั้นทำงานอยู่แนวหน้าตลอดการระบาดใหญ่ครั้งนี้ เพื่อให้คนทำงานที่จำเป็นต้องเดินทางสามารถเดินทางไปทำงานได้ บริษัทจึงควรจะใช้เรื่องอื่นในการทดสอบมากกว่าจะเป็นเรื่องหลอกว่าจะให้โบนัส
ขณะที่ตัวแทนของบริษัทต้นเรื่องได้ออกมากล่าวว่า การจำลองการส่งอีเมลหลอกลวงเป็นการแสดงวิธีการโจมตีของผู้คุกคามที่ถูกต้อง บริษัทให้ความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์เป็นอย่างมาก มีการฝึกอบรมเป็นประจำ นี่เป็นสิ่งสำคัญที่จะต้องทดสอบพนักงาน โดยอีเมลนี้ออกแบบมาได้ตรงตามรูปแบบที่กลุ่มอาชญากรจะใช้ และโชคดีที่นี่เป็นเพียงการทดสอบไม่ได้เป็นการโจมตีที่เกิดขึ้นจริง
การรักษาความปลอดภัยทางไซเบอร์เป็นเรื่องสำคัญที่บริษัทต้องจัดให้พนักงานได้เข้าร่วมการทำ Security Awareness Training อยู่เป็นประจำ อันจะเห็นได้ว่าไม่กี่วันที่ผ่านมาประธานาธิบดีแห่งสหรัฐอเมริกาโจ ไบเดน ต้องประกาศออกกฎหมายฉุกเฉินหลังบริษัทผู้ประกอบการขนส่งน้ำมันรายใหญ่ถูกแรนซัมแวร์โจมตี
ซึ่งเป็นไปได้ว่าความเสียหายนี้อาจจะเกิดจากการที่พนักงานคนเดียว ไม่มีความรู้ความเข้าใจในเรื่องการรักษาความปลอดภัยทางไซเบอร์จนทำให้องค์กรเกิดความเสียหาย นี่จึงเป็นเหตุผลที่บริษัทต้องทำการทดสอบและฝึกให้พนักงานเกิดความตื่นตัวอยู่เสมอ
แต่ทั้งนี้ก็ควรเลือกใช้แพลตฟอร์มเกี่ยวกับ Security Awareness Training เพื่อให้เกิดประสิทธิภาพ เลือกสถานการณ์ให้ถูกต้องตามกาลเทศะ ไม่ทำให้พนักงานรู้สึกในแง่ลบกับบริษัทครับ