PwC เตือน "แรนซัมแวร์" โจมตีพุ่ง!! แนะธุรกิจไทยคุมเสี่ยงจาก "บุคคลภายนอก"
PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ด้วยซอฟต์แวร์เรียกค่าไถ่ หรือ “แรนซัมแวร์” มีแนวโน้มจะขยายตัวเพิ่มขึ้น จนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทย แนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอก
PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ ด้วย ซอฟต์แวร์เรียกค่าไถ่ หรือ “แรนซัมแวร์” มีแนวโน้มจะขยายตัวเพิ่มขึ้นจนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทย แนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอก อีกทั้งให้ความสำคัญกับสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ เพื่อสร้างภูมิคุ้มกันในการรับมือภัยคุกคามและสร้างความเชื่อมั่นให้แก่ลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสีย
วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwC ประเทศไทย เปิดเผยว่า การโจมตีทางไซเบอร์ ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล โดยขโมยข้อมูลด้วยการเข้ารหัส หรือล็อกไม่ให้ผู้ใช้เข้าถึงหรือเปิดไฟล์ได้และเรียกร้องให้มีการจ่ายค่าไถ่ (Ransomware) จะเป็นภัยไซเบอร์ที่พบมากที่สุดในปี 2565
“การโจมตีด้วยแรนซัมแวร์จะกลายมาเป็นภัยไซเบอร์ที่มีแนวโน้มการเกิดมากที่สุดในระยะข้างหน้า โดยเราจะเห็นว่า แรนซัมแวร์เกิดขึ้นเป็นจำนวนมากในช่วงนี้ โดยเฉพาะอย่างยิ่ง ในกลุ่มสถาบันการเงินและโรงพยาบาล หลังจากที่ก่อนหน้านี้ ภัยไซเบอร์ที่พบมากจะเป็นมัลแวร์ประเภทไวรัส โทรจัน และโปรแกรมอื่น ๆ ที่ใช้ในการโจมตีและเข้าถึงข่อมูลที่มีความอ่อนไหว” วิไลพร กล่าว
ทั้งนี้ ความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลที่สาม (Third-party cyber risks) กลายเป็นประเด็นความกังวลหลักที่มีการพูดถึงมากที่สุดในเวลานี้ เนื่องจากผู้บริหารส่วนใหญ่ยังขาดความเข้าใจอย่างถ่องแท้ในการบริหารความสัมพันธ์ทางธุรกิจ และเครือข่ายซัพพลายเออร์และคู่ค้าที่มีความสลับซับซ้อน ทำให้ยากต่อการควบคุมและป้องกันข้อมูลไม่ให้เกิดการรั่วไหล
“ความเสี่ยงของการละเมิดข้อมูลผ่านบุคคลที่สาม กำลังเป็นประเด็นที่มีการพูดถึงมากที่สุดว่าจะจัดการกันอย่างไร เพราะบุคคลที่สามมีตั้งแต่ คู่ค้าหรือพันธมิตรทางธุรกิจ ลูกจ้างที่บริษัทหรือหน่วยงานจ้างภายนอก ผู้รับเหมา ผู้ให้บริการ รวมไปจนถึงบุคคลอื่น ๆ ที่อยู่ใน Ecosystem ที่ต้องทำงานและมีการแลกเปลี่ยนข้อมูลกัน ซึ่งต่อให้องค์กรมีการบริหารจัดการความปลอดภัยของระบบงานเป็นอย่างดีแล้ว แต่จากหลาย ๆ กรณีที่เกิดขึ้น เราไม่สามารถควบคุมหรือดูแล Third party ได้อย่างทั่วถึง”
แนวโน้มดังกล่าว สอดคล้องกับรายงาน 2022 Global Digital Trust Insights Survey ของ PwC ซึ่งทำการศึกษาถึงการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของผู้บริหารทั่วโลกกว่า 3,600 รายพบว่า 60% ของผู้ถูกสำรวจ ยังขาดความเข้าใจอย่างถ่องแท้ถึงความเสี่ยงจากการรั่วไหลของข้อมูลผ่านบุคคลที่สาม ในขณะที่ 20% มีความเข้าใจเพียงเล็กน้อย หรือไม่มีเลยในเรื่องความเสี่ยงทุกประเภท
วิไลพร ยังกล่าวถึง กรณีการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิตภายในประเทศว่า
“แม้ภัยดังกล่าวจะเคยเกิดขึ้นมาหลายครั้งแล้ว แต่ก็ยังไม่สามารถป้องกัน หรือดักจับได้อย่างทันท่วงที เนื่องจากระบบนิเวศทางธุรกิจมีการเชื่อมต่อมากขึ้น และมีการเข้าสู่ระบบโดยใช้การยืนยันตัวตนผ่านแพลตฟอร์มที่หลากหลาย เช่น เฟซบุ๊ค กูเกิล และอื่น ๆ ทำให้การวิเคราะห์หาสาเหตุ และการจัดการให้มีระบบรักษาความปลอดภัยที่ดีของข้อมูลทำได้ยาก ซึ่งเหตุการณ์นี้จะสร้างให้เกิดความตระหนักที่มากขึ้นทั้งในส่วนของผู้ให้บริการและเจ้าของบัญชี”
นอกเหนือจากการจัดการภัยคุกคามไซเบอร์ที่เกิดจากบุคคลภายนอกแล้ว การบริหารจัดการความปลอดภัยอย่างเป็นระบบเพื่อรับมือกับภัยคุกคามในรูปแบบใหม่ ๆ การจัดการปัญหาด้านการขาดแคลนบุคลากรด้านไซเบอร์ และการขับเคลื่อนธุรกิจให้ทันกับโลกยุคดิจิทัลโดยให้ความสำคัญกับเรื่องของความปลอดภัยควบคู่ไปกับความเร็วของการประยุกต์ใช้เทคโนโลยีเพื่อให้ทันคู่แข่ง จะกลายเป็นความท้าทาย 3 อันดับแรกของการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของไทย
หวั่นภัยไซเบอร์สูงขึ้นในปี 65
ทั้งนี้ รายงานของ PwC ระบุว่า 60% ของผู้บริหารที่ถูกสำรวจคาดว่า อาชญากรรมทางไซเบอร์จะปรับตัวเพิ่มขึ้นในปี 2565 ขณะที่ 56% ของผู้ถูกสำรวจกล่าวว่า องค์กรของพวกเขาคาดว่าจะมีการละเมิดผ่านซัพพลายเชนซอฟต์แวร์เพิ่มขึ้น อย่างไรก็ดี มีผู้บริหารเพียง 34% เท่านั้น ที่มีการประเมินความเสี่ยงขององค์กรอย่างเป็นรูปธรรม
ในทำนองเดียวกัน 58% ของผู้ถูกสำรวจคาดว่า การโจมตีบริการคลาวด์จะเพิ่มขึ้น แต่มีผู้บริหารเพียง 37% เท่านั้นที่มีความเข้าใจในความเสี่ยงของระบบคลาวด์
นอกจากนี้ รายงานฉบับดังกล่าว ยังได้แนะนำหลักการ 4Ps ที่จะช่วยให้ผู้บริหารสามารถตระหนักถึงศักยภาพทางไซเบอร์ขององค์กรได้อย่างเต็มที่ ดังต่อไปนี้
1. หลักการ (Principle) ซีอีโอต้องสามารถอธิบายหลักการพื้นฐานในการสร้างความปลอดภัยและความเป็นส่วนตัวของข้อมูลได้อย่างชัดเจน
2. บุคลากร (People) องค์กรต้องจ้างผู้นำที่มีเหมาะสม และให้ผู้บริหารระดับสูงด้านความมั่นคงปลอดภัยสารสนเทศได้ทำงานใกล้ชิดกับฝ่ายธุรกิจขององค์กร
3. การจัดลำดับความสำคัญ (Prioritisation) องค์กรต้องใช้ข้อมูลเชิงลึกในการประเมินความเสี่ยงอย่างต่อเนื่อง เพราะความเสี่ยงมีการเปลี่ยนแปลงอยู่ตลอดเวลา
4. การรับรู้ (Perception) เมื่อองค์กรไม่สามารถคาดการณ์อนาคตได้ ผู้บริหารจำเป็นที่จะต้องหาจุดบอดระหว่างความสัมพันธ์และห่วงโซ่อุปทานของธุรกิจเพื่อสร้างความปลอดภัยของข้อมูลตั้งแต่เนิ่น ๆ
องค์กรต้องลงทุนให้ถูกจุด
“วันนี้องค์กรมีความตื่นตัวมากขึ้นในเรื่องของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล แต่ยังลังเลในเรื่องของการลงทุน และไม่ทราบว่าจะลงทุนอย่างไรไม่ให้ Underinvest หรือ Overinvest ผู้บริหารหลายรายประสบปัญหากับการวิเคราะห์ตัวเลขที่เหมาะสมกับขนาดและสภาพของธุรกิจ ซึ่งมีตั้งแต่เรื่องของการนำคลาวด์มาใช้ การเชื่อมต่อข้อมูลผ่าน API การบริหารจัดการความเสี่ยงที่มาจากบุคคลภายนอก ไปจนถึงการยกระดับทักษะด้านไซเบอร์ให้กับบุคลากร” วิไลพร กล่าว
PWC ทิ้งท้ายว่า องค์กรไทยควรทำการศึกษาตัวธุรกิจและบริเวณที่อาจจะถูกคุกคาม (Threat landscape) รวมทั้งประเมินความเสี่ยงเชิงลึกผ่านการวิเคราะห์เชิงปริมาณ (Quantitative analysis) เพื่อวัดระดับความเหมาะสมสำหรับการลงทุน และให้ความสำคัญกับการมีสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ (Security hygiene) ซึ่งแม้จะเป็นพื้นฐานด้านความปลอดภัย แต่ยังมีการละเลยกันอยู่ในปัจจุบัน