การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์
หากเปรียบการต่อสู้กับภัยไซเบอร์เหมือนกับสงคราม ก็นับว่าเป็นสงครามที่ไม่สมมาตร (Asymmetric Warfare) กล่าวคือทางฝั่งเราขาดแคลนบุคลากร ขาดแคลนงบประมาณ และไม่มีเวลาเพียงพอในการรับมือกับภัยไซเบอร์
เพราะเราต้องใช้ทรัพยากรส่วนใหญ่ไปในการดำเนินกิจกรรมต่าง ๆ เพื่อให้บรรลุเป้าหมายขององค์กรเป็นหลักก่อน ในขณะที่ฝั่งแฮกเกอร์มีอุปกรณ์ เครื่องมือ และมีบุคลากรที่มีเวลาอย่างเหลือเฟือเพื่อดำเนินการพุ่งเป้าโจมตีและเจาะระบบของเราเป็นหลัก
ดังนั้น ฝั่งเราจะต้องสมบูรณ์แบบ พลาดไม่ได้แม้แต่ก้าวเดียว ส่วนฝั่งแฮกเกอร์ก็ทดลองหาช่องโจมตีเจาะระบบเราไปได้เรื่อย ๆ ขอเพียงสักหนึ่งครั้งที่ทำสำเร็จ สามารถหลุดเข้ามาในระบบเราได้ก็พอ แฮกเกอร์ก็จะสามารถสร้างความเสียหายให้กับเราได้
นอกจากนี้ สงครามไซเบอร์ก็เหมือนสงครามทั่วไปที่มีการใช้กลลวง (Deception) รวมถึงยุทธวิธีต่าง ๆ ที่ทำให้อีกฝ่ายหนึ่งตกหลุมพลางที่ดักล่อไว้
น่าหนักใจที่กลลวงส่วนใหญ่จะเป็นทางฝั่งแฮกเกอร์เป็นผู้ใช้ และจุดอ่อนทีสุดก็คือพนักงานของเรานั่นเองที่จะเป็นฝ่ายตกหลุมพลางไปซะก่อน
เทคนิคสำคัญที่แฮกเกอร์ใช้โจมตีจุดอ่อนของมนุษย์คือ social engineering (ขอทับศัพท์ไปก่อน ไม่อยากใช้คำแปลว่า “วิศวกรรรมสังคม”)
จากสถิติบอกไว้ว่าประมาณ 82% ของปัญหาการรั่วไหลของข้อมูล* เกิดจากจุดเริ่มที่พนักงานขององค์กร และในแต่ละวันจะมี phishing email ถูกส่งออกมาไม่ต่ำกว่า 3.4 พันล้านครั้ง
ในปัจจุบันกลุ่มแฮกเกอร์หลัก 2 กลุ่มที่น่ากลัวมาก ๆ คือ กลุ่มองค์กรอาชญากรรม (Cybercriminals) ที่มีวัตถุประสงค์หลักในการหาเงิน กับกลุ่มที่เป็นองค์กรระดับประเทศให้การสนับสนุน (Nation-States) หรือนักรบไซเบอร์ที่มีเป้าหมายทางภูมิรัฐศาสตร์นั่นเอง
ทั้งนี้ บรรดาแฮกเกอร์รู้ว่าคนเป็นประตูในการเชื่อมต่อเข้าสู่ระบบและคนก็เป็นข้ออ่อนที่สุด (the Weakest Link) ของระบบเช่นกัน เพราะคนถูกปลุกปั่นทางอารมณ์ (Emotional Manipulation) ได้ง่ายยิ่ง
หลักจิตวิทยาที่แฮกเกอร์นำมาใช้ ได้แก่ การสร้างความวิตกกังวล ความกลัว ความโลภ ความอยากรู้อยากเห็น การให้ความเคารพต่อผู้บังคับบัญชา หรือความปรารถนาดีที่อยากช่วยเหลือผู้อื่น ฯลฯ เป็นแนวทางหลัก
ดังจะเห็นได้จากภัยรายวันที่แก๊งคอลเซ็นเตอร์ใช้กับเหยื่อบุคคลและมักจะได้ผลเสมอมา นอกจากนี้องค์กรยังเจอะเจอกับเทคนิคอื่น ๆ
เช่น การโจมตีผ่านคู่ค้าทางธุรกิจที่ระบบป้องกันอ่อนแอกว่าแล้วค่อยคืบคลานมาหาเรา (Supply Chain Attack) มีการนำปัญญาประดิษฐ์มาเสริม ทำให้เกิดเป็นการดัดแปลงใบหน้า (Deepfakes)
หรือแม้กระทั่งการใช้โทรศัพท์ธรรมดาๆ มาหลองลวง (voice phishing) ตลอดจนแฮกเกอร์ได้พัฒนาวิธีโจมตีใหม่ ๆ อยู่ตลอดเวลา เช่น MFA Bombing หรือ MFA Fatigue Attack (Multi-Factor Authentication การพิสูจน์ตัวตนหลายปัจจัย)
หากเราตามข่าวก็จะพบว่า องค์กรไม่ว่าจะมีแนวป้องกันที่แข็งแรงอย่างไร ก็สามารถถูกแฮกเกอร์โจมตีสำเร็จมาแล้วทั้งสิ้น
จนในปัจจุบันหลาย ๆ องค์กรได้มีการลงทุนเพิ่มสำหรับการฟื้นฟูกลับคืนสู่สภาพปรกติให้ได้มากยิ่งขึ้น (Cyber Resilience) เพราะทำใจได้แล้วว่าสักวันหนึ่งก็คงจะโดนหากตกเป็นเป้าแล้ว เพื่อมิให้บทความนี้ยืดยาวเกินไป
ขอเฉลยคำตอบในการ “บรรเทา” ปัญหาข้างต้นคือ การสร้างวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Culture) ซึ่งป็นสิ่งที่พูดง่ายทำยาก แต่ทำได้แน่นอน
อ้างอิงจาก NIST** ที่ได้สร้างแนวปฏิบัติในเรื่อง security awareness and training program นี้ขึ้นมาตั้งแต่ปี พ.ศ. 2546 สำหรับการตระหนักรู้ (Security Awareness) เพื่อปรับเปลี่ยนพฤติกรรมและตอกย้ำแนวปฏิบัติที่ถูกต้องสำหรับการป้องกันภัยไซเบอร์
ส่วนการฝึกอบรม (Training) ก็เพื่อให้เกิดความรู้ความเข้าใจในภัยไซเบอร์ต่าง ๆ และเพื่อให้ทันต่อการเปลี่ยนแปลงของภัยคุกคาม ทำให้กิจกรรมทั้ง 2 ประการข้างต้นควรต้องทำอย่างสม่ำเสมอต่อเนื่อง จนในที่สุดสามารถฝังอยู่ในพฤติกรรมและกลายเป็นวัฒนธรรมขององค์กรในที่สุด
คำถามง่ายๆ ที่ใช้ทดสอบเรื่องนี้คือ สุ่มถามพนักงานโดยทั่วไปว่า “ในบริษัทใครมีหน้าที่ดูแลเรื่องความมั่นคงปลอดภัยไซเบอร์”
หากเขาตอบว่า “เรามีทีมดูแลเรื่องนี้โดยเฉพาะเลยครับ” แสดงว่างานเข้าแล้ว เรายังคงมีภาระกิจที่ต้องทำอีกมากในการสร้างวัฒธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์
เนื่องจากคำตอบที่คาดหวังคือ “พวกเราทุกคนมีส่วนร่วมครับ”
จากงานวิจัยของ KnowBe4 Research*** พบว่าประเทศในเอเชียมีความแตกต่างในด้านระดับคะแนนของวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ค่อนข้างมาก
ประเทศญี่ปุ่นมีระดับคะแนนค่อนข้างดี (76 คะแนน) ในความเห็นของผู้เขียนด้วยลักษณะนิสัยพิเศษของชาวญี่ปุ่นที่เคร่งครัดในกฎระเบียบมาก น่าจะมีส่วนเอื้ออำนวยการสร้างวัฒธรรมองค์กรนี้
สำหรับประเทศมาเลเซียและอินโดนีเซีย ยังมีความท้าทายอยู่ (66 และ67 คะแนนตามลำดับ) น่าเสียดายที่ประเทศไทยยังไม่ได้รับการสำรวจ แต่เชื่อว่ายังอยู่ในระดับที่ท้าทายเหมือนเพื่อนบ้านแน่
นอกจากนี้ในงานวิจัยยังพบว่า สำหรับประเทศในเอเชีย ขนาดขององค์กรส่งผลต่อระดับคะแนนน้อยมาก และข้อสังเกตอีกประการหนึ่งคือกลุ่มตัวอย่างของเอเชียมีแค่ 39 องค์กร รวมจำนวนพนักงาน 15,095 คนเท่านั้น ผลสำรวจจึงมีโอกาสเพี้ยนได้
ทั้งนี้ผลสำรวจในงานวิจัยนี้ได้ทำคลอบคลุมทวีปต่าง ๆ ทั่วโลก มีการวิเคราะห์รายประเทศที่ได้รับการสำรวจ และยังมีการเปรียบเทียบรายอุตสาหกรรม รวมถึงข้อมูลด้านอื่น ๆ ที่น่าสนใจ
ท่านสามารถไปศึกษาเพิ่มเติมได้ตั้งแต่วิธีการวัดที่มี 7 ด้าน วิธีการให้คะแนน ตลอดจนการวิเคราะห์ถึงแนวโน้มได้จากเอกสารอ้างอิงดังกล่าว
ทั้งนี้ ผลสรุปแนวกว้างพบว่า ระดับวุฒิภาวะของวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ (Security Culture Maturity Model) ยิ่งสูง (มี 5 ระดับ) ก็จะทำให้ความเสี่ยงที่จะประสบภัยไซเบอร์ต่ำลง
Reference:
* Verizon’s 2022 Data Breaches Investigations Report
** NIST SP 800-50 Building an Information Technology Security Awareness and Training Program
*** THE SECURITY CULTURE REPORT 2022, KnowBe4 Research