การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์

การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์

หากเปรียบการต่อสู้กับภัยไซเบอร์เหมือนกับสงคราม ก็นับว่าเป็นสงครามที่ไม่สมมาตร (Asymmetric Warfare) กล่าวคือทางฝั่งเราขาดแคลนบุคลากร ขาดแคลนงบประมาณ และไม่มีเวลาเพียงพอในการรับมือกับภัยไซเบอร์

เพราะเราต้องใช้ทรัพยากรส่วนใหญ่ไปในการดำเนินกิจกรรมต่าง ๆ เพื่อให้บรรลุเป้าหมายขององค์กรเป็นหลักก่อน ในขณะที่ฝั่งแฮกเกอร์มีอุปกรณ์ เครื่องมือ และมีบุคลากรที่มีเวลาอย่างเหลือเฟือเพื่อดำเนินการพุ่งเป้าโจมตีและเจาะระบบของเราเป็นหลัก

ดังนั้น ฝั่งเราจะต้องสมบูรณ์แบบ พลาดไม่ได้แม้แต่ก้าวเดียว ส่วนฝั่งแฮกเกอร์ก็ทดลองหาช่องโจมตีเจาะระบบเราไปได้เรื่อย ๆ ขอเพียงสักหนึ่งครั้งที่ทำสำเร็จ สามารถหลุดเข้ามาในระบบเราได้ก็พอ แฮกเกอร์ก็จะสามารถสร้างความเสียหายให้กับเราได้

นอกจากนี้ สงครามไซเบอร์ก็เหมือนสงครามทั่วไปที่มีการใช้กลลวง (Deception) รวมถึงยุทธวิธีต่าง ๆ ที่ทำให้อีกฝ่ายหนึ่งตกหลุมพลางที่ดักล่อไว้  

น่าหนักใจที่กลลวงส่วนใหญ่จะเป็นทางฝั่งแฮกเกอร์เป็นผู้ใช้ และจุดอ่อนทีสุดก็คือพนักงานของเรานั่นเองที่จะเป็นฝ่ายตกหลุมพลางไปซะก่อน

เทคนิคสำคัญที่แฮกเกอร์ใช้โจมตีจุดอ่อนของมนุษย์คือ social engineering (ขอทับศัพท์ไปก่อน ไม่อยากใช้คำแปลว่า “วิศวกรรรมสังคม”)

จากสถิติบอกไว้ว่าประมาณ 82% ของปัญหาการรั่วไหลของข้อมูล* เกิดจากจุดเริ่มที่พนักงานขององค์กร และในแต่ละวันจะมี phishing email ถูกส่งออกมาไม่ต่ำกว่า 3.4 พันล้านครั้ง

ในปัจจุบันกลุ่มแฮกเกอร์หลัก 2 กลุ่มที่น่ากลัวมาก ๆ คือ กลุ่มองค์กรอาชญากรรม (Cybercriminals) ที่มีวัตถุประสงค์หลักในการหาเงิน กับกลุ่มที่เป็นองค์กรระดับประเทศให้การสนับสนุน (Nation-States) หรือนักรบไซเบอร์ที่มีเป้าหมายทางภูมิรัฐศาสตร์นั่นเอง

การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์

ทั้งนี้ บรรดาแฮกเกอร์รู้ว่าคนเป็นประตูในการเชื่อมต่อเข้าสู่ระบบและคนก็เป็นข้ออ่อนที่สุด (the Weakest Link) ของระบบเช่นกัน เพราะคนถูกปลุกปั่นทางอารมณ์ (Emotional Manipulation) ได้ง่ายยิ่ง

หลักจิตวิทยาที่แฮกเกอร์นำมาใช้ ได้แก่ การสร้างความวิตกกังวล ความกลัว ความโลภ ความอยากรู้อยากเห็น การให้ความเคารพต่อผู้บังคับบัญชา หรือความปรารถนาดีที่อยากช่วยเหลือผู้อื่น ฯลฯ เป็นแนวทางหลัก

ดังจะเห็นได้จากภัยรายวันที่แก๊งคอลเซ็นเตอร์ใช้กับเหยื่อบุคคลและมักจะได้ผลเสมอมา นอกจากนี้องค์กรยังเจอะเจอกับเทคนิคอื่น ๆ

เช่น การโจมตีผ่านคู่ค้าทางธุรกิจที่ระบบป้องกันอ่อนแอกว่าแล้วค่อยคืบคลานมาหาเรา (Supply Chain Attack) มีการนำปัญญาประดิษฐ์มาเสริม ทำให้เกิดเป็นการดัดแปลงใบหน้า (Deepfakes)

หรือแม้กระทั่งการใช้โทรศัพท์ธรรมดาๆ มาหลองลวง (voice phishing) ตลอดจนแฮกเกอร์ได้พัฒนาวิธีโจมตีใหม่ ๆ อยู่ตลอดเวลา เช่น MFA Bombing หรือ MFA Fatigue Attack (Multi-Factor Authentication การพิสูจน์ตัวตนหลายปัจจัย)

หากเราตามข่าวก็จะพบว่า องค์กรไม่ว่าจะมีแนวป้องกันที่แข็งแรงอย่างไร ก็สามารถถูกแฮกเกอร์โจมตีสำเร็จมาแล้วทั้งสิ้น

จนในปัจจุบันหลาย ๆ องค์กรได้มีการลงทุนเพิ่มสำหรับการฟื้นฟูกลับคืนสู่สภาพปรกติให้ได้มากยิ่งขึ้น (Cyber Resilience) เพราะทำใจได้แล้วว่าสักวันหนึ่งก็คงจะโดนหากตกเป็นเป้าแล้ว เพื่อมิให้บทความนี้ยืดยาวเกินไป

ขอเฉลยคำตอบในการ “บรรเทา” ปัญหาข้างต้นคือ การสร้างวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Culture) ซึ่งป็นสิ่งที่พูดง่ายทำยาก แต่ทำได้แน่นอน

อ้างอิงจาก NIST** ที่ได้สร้างแนวปฏิบัติในเรื่อง security awareness and training program นี้ขึ้นมาตั้งแต่ปี พ.ศ. 2546 สำหรับการตระหนักรู้ (Security Awareness) เพื่อปรับเปลี่ยนพฤติกรรมและตอกย้ำแนวปฏิบัติที่ถูกต้องสำหรับการป้องกันภัยไซเบอร์

การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์

ส่วนการฝึกอบรม (Training) ก็เพื่อให้เกิดความรู้ความเข้าใจในภัยไซเบอร์ต่าง ๆ และเพื่อให้ทันต่อการเปลี่ยนแปลงของภัยคุกคาม ทำให้กิจกรรมทั้ง 2 ประการข้างต้นควรต้องทำอย่างสม่ำเสมอต่อเนื่อง จนในที่สุดสามารถฝังอยู่ในพฤติกรรมและกลายเป็นวัฒนธรรมขององค์กรในที่สุด

คำถามง่ายๆ ที่ใช้ทดสอบเรื่องนี้คือ สุ่มถามพนักงานโดยทั่วไปว่า “ในบริษัทใครมีหน้าที่ดูแลเรื่องความมั่นคงปลอดภัยไซเบอร์”

หากเขาตอบว่า “เรามีทีมดูแลเรื่องนี้โดยเฉพาะเลยครับ” แสดงว่างานเข้าแล้ว เรายังคงมีภาระกิจที่ต้องทำอีกมากในการสร้างวัฒธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์

เนื่องจากคำตอบที่คาดหวังคือ “พวกเราทุกคนมีส่วนร่วมครับ”

จากงานวิจัยของ KnowBe4 Research***  พบว่าประเทศในเอเชียมีความแตกต่างในด้านระดับคะแนนของวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ค่อนข้างมาก

ประเทศญี่ปุ่นมีระดับคะแนนค่อนข้างดี (76 คะแนน) ในความเห็นของผู้เขียนด้วยลักษณะนิสัยพิเศษของชาวญี่ปุ่นที่เคร่งครัดในกฎระเบียบมาก น่าจะมีส่วนเอื้ออำนวยการสร้างวัฒธรรมองค์กรนี้

การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์

สำหรับประเทศมาเลเซียและอินโดนีเซีย ยังมีความท้าทายอยู่ (66 และ67 คะแนนตามลำดับ) น่าเสียดายที่ประเทศไทยยังไม่ได้รับการสำรวจ แต่เชื่อว่ายังอยู่ในระดับที่ท้าทายเหมือนเพื่อนบ้านแน่

นอกจากนี้ในงานวิจัยยังพบว่า สำหรับประเทศในเอเชีย ขนาดขององค์กรส่งผลต่อระดับคะแนนน้อยมาก และข้อสังเกตอีกประการหนึ่งคือกลุ่มตัวอย่างของเอเชียมีแค่ 39 องค์กร รวมจำนวนพนักงาน 15,095 คนเท่านั้น ผลสำรวจจึงมีโอกาสเพี้ยนได้

ทั้งนี้ผลสำรวจในงานวิจัยนี้ได้ทำคลอบคลุมทวีปต่าง ๆ ทั่วโลก มีการวิเคราะห์รายประเทศที่ได้รับการสำรวจ และยังมีการเปรียบเทียบรายอุตสาหกรรม รวมถึงข้อมูลด้านอื่น ๆ ที่น่าสนใจ

ท่านสามารถไปศึกษาเพิ่มเติมได้ตั้งแต่วิธีการวัดที่มี 7 ด้าน วิธีการให้คะแนน ตลอดจนการวิเคราะห์ถึงแนวโน้มได้จากเอกสารอ้างอิงดังกล่าว

ทั้งนี้ ผลสรุปแนวกว้างพบว่า ระดับวุฒิภาวะของวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยไซเบอร์ (Security Culture Maturity Model) ยิ่งสูง (มี 5 ระดับ) ก็จะทำให้ความเสี่ยงที่จะประสบภัยไซเบอร์ต่ำลง

Reference:  

* Verizon’s 2022 Data Breaches Investigations Report

** NIST SP 800-50 Building an Information Technology Security Awareness and Training Program

*** THE SECURITY CULTURE REPORT 2022, KnowBe4 Research