ภัยคุกคามไซเบอร์มีการพัฒนาในรูปแบบใหม่ ๆ อยู่ตลอดเวลา ซึ่งล้วนแล้วแต่เป็นภัยที่องค์กรยังไม่เคยพบเป็นส่วนใหญ่ ดังนั้นองค์กรต้องเตรียมพร้อมรับมืออยู่เสมอ วินัยไซเบอร์ ที่องค์กรควรปฏิบัติ

วินัยไซเบอร์

ในปัจจุบันเทคโนโลยีสารสนเทศและอินเทอร์เน็ตได้เข้ามามีบทบาทสำคัญอย่างยิ่งต่อองค์กรทุกองค์กรทั่วโลก องค์กรที่เป็นผู้นำตลาดในอุตสาหกรรมต่าง ๆ ล้วนแล้วแต่ใช้เทคโนโลยีสารสนเทศและอินเทอร์เน็ตเพื่อช่วยให้องค์กรมีความได้เปรียบในการแข่งขัน ซึ่งเป็นหนึ่งในข้อดีของการประยุกต์ใช้เทคโนโลยีสารสนเทศและอินเทอร์เน็ตกับการดำเนินงานขององค์กร

แต่เนื่องจากเทคโนโลยีสารสนเทศและอินเทอร์เน็ตที่มีการพัฒนาอย่างต่อเนื่องและรวดเร็วย่อมส่งผลให้องค์กรต้องมีการปรับตัวให้ทันต่อสภาพแวดล้อมภายนอกที่เปลี่ยนแปลงไปอย่างรวดเร็ว ดังที่เรารู้จักกันดีในเรื่องของ Disruptive Technology”

การเปลี่ยนแปลงที่สำคัญอีกประเด็นหนึ่งก็คือ ภัยคุกคามทางไซเบอร์ในรูปแบบใหม่ ๆ ที่ตรวจจับได้ยากและมีผลกระทบรุนแรงต่อองค์กรมากขึ้นจากเทคโนโลยีสารสนเทศและอินเทอร์เน็ตมีการพัฒนาไปอย่างรวดเร็ว เราจะเตรียมตัวอย่างไรให้องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์รูปแบบใหม่ ๆ ที่อาจจะเป็นภัยมืดที่เราไม่เคยพบมาก่อน (Unknown Threats) เข้ามาโจมตีองค์กรของเราทั้งในปัจจุบันและอนาคตโดยที่องค์กรอาจไม่รู้ตัวเลยก็เป็นได้

องค์กรจะเตรียมพร้อมรับมือกับภัยคุกคามไซเบอร์ในรูปแบบใหม่ ๆ ได้อย่างไร ?

จากที่กล่าวมาข้างต้น จะเห็นได้ว่าภัยคุกคามไซเบอร์มีการพัฒนาในรูปแบบใหม่ ๆ อยู่ตลอดเวลา ซึ่งล้วนแล้วแต่เป็นภัยที่องค์กรยังไม่เคยพบเป็นส่วนใหญ่ กระบวนการที่จะทำให้องค์กรมีความพร้อมในการรับมือกับภัยคุกคามใหม่ ๆ เหล่านี้ได้ต้องเกิดจากการร่วมมือกันของผู้บริหารและพนักงานในองค์กรทุกคน เพื่อทำให้เกิด วินัยไซเบอร์ ซึึ่งจะนำพาให้องค์กรมีความมั่นคงปลอดภัยที่ดีขึ้น

ดังนั้นองค์กรควรจัดให้มีการทำปฏิบัติการ Cyber Drill” เพื่อให้เกิดกระบวนการ Incident Response” ที่รวดเร็ว จนองค์กรสามารถเข้าสู่สภาวะ Cyber Resilience” ที่ทนทานต่อผลกระทบจากการถูกโจมตีได้ในระดับที่ยังรักษา SLA (Service Level Agreement) กับลูกค้าไว้ได้

ปัจจุบันหน่วยงานที่มีหน้าที่กำกับดูแลในประเทศไทย ไม่ว่าจะเป็น ธปท. ก.ล.ต. และคปภ. ล้วนให้ความสำคัญกับวินัยไซเบอร์ทั้งสาม และได้ปรับปรุงประกาศ กฎระเบียบ ข้อบังคับต่าง ๆ ให้สอดคล้องและทันสมัยต่อภัยคุกคามทางไซเบอร์ใหม่ ๆ จึงนับเป็นนิมิตหมายที่ดีต่อประเทศชาติของเรา

วินัยไซเบอร์ที่ 1 การซ้อมหนีไฟทางไซเบอร์ “Cyber Drill”

แม้ว่าหลายองค์กรได้จัดให้มีการฝึกอบรมสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ให้แก่พนักงานและผู้บริหาร แต่กลับมาพบความจริงว่า การอบรมดังกล่าวอาจไม่เพียงพอที่จะทำให้องค์กรสามารถรับมือกับการโจมตีของภัยคุกคามทางไซเบอร์ต่าง ๆ ทั้งที่เคยพบหรือไม่เคยพบมาก่อน เนื่องจากการฝึกอบรมสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ส่วนใหญ่แล้วจะเป็นการเรียนรู้ในเชิงทฤษฎีเพียงอย่างเดียว ทำให้การฝึกอบรมไม่สามารถสร้างความตระหนักรู้และสร้างกระบวนการตอบสนองต่อภัยคุกคามทางไซเบอร์เมื่อภัยคุกคามทางไซเบอร์นั้นเกิดขึ้นจริง ๆ

ดังนั้น นอกจากการฝึกอบรมในห้องแล้ว จึงจำเป็นต้องให้พนักงานและผู้บริหารได้มีโอกาสสัมผัสกับสถานการณ์ที่เกิดการโจมตีทางไซเบอร์ขึ้นจริงด้วย ซึ่งเรียกว่า การซ้อมหนีไฟทางไซเบอร์ หรือ “Cyber Drill” ซึ่งเป็นการจำลองสถานการณ์การโจมตีภัยคุกคามไซเบอร์ในรูปแบบต่าง ๆ เพื่อให้พนักงานหรือผู้ที่เกี่ยวข้องในการตอบสนองต่อภัยคุกคามไซเบอร์เกิดความคุ้นเคย และยังสามารถตรวจสอบได้ว่าพนักงานคนใดมีความเสี่ยงสูงต่อการตกเป็นเหยื่อของภัยคุกคามไซเบอร์เหล่านั้นได้เช่นกัน

จากนั้นจึงค่อยดำเนินการลดความเสี่ยงเป็นลำดับต่อไป ซึ่งมีกรณีศึกษาจากการซ้อมหนีไฟทางไซเบอร์ หรือ Cyber Drill ของบริษัท ACIS Professional Center มาให้ผู้อ่านได้เห็นภาพและเกิดความเข้าใจมากขึ้น

กรณีศึกษาการซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) ของบริษัท ACIS Professional Center

ACIS Professional Center (ACIS) ได้จัดทำโครงการซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) เพื่อทดสอบ Cybersecurity Readiness ของพนักงานภายในองค์กรเอง โดยมีการจำลองภัยคุกคามทางไซเบอร์ที่เรียกว่า “Phishing” คือการสร้าง E-mail ปลอม โดยผู้ไม่หวังดีจะอ้างตนว่าเป็นผู้บริหารระดับสูง

E-mail ปลอมที่ใช้ในการจำลองการ Phishing

โดยใช้ E-mail Address ที่ปลอมให้เหมือนหรือคล้ายกับ E-mail Address ของผู้บริหารระดับสูงที่อ้างถึง แต่ใช้เพื่อหลอกให้เป้าหมายส่งข้อมูลหรือกรอกข้อมูลสำคัญกลับมา ซึ่งกว่าจะรู้ตัว ข้อมูลขององค์กรก็ได้รั่วไหลออกนอกบริษัทไปเรียบร้อยแล้ว

Website ปลอมที่ใช้ในการหลอกให้กรอก E-mail และ Password ของบริษัท

การจัดทำโครงการ “Cyber Drill ให้เกิดประสิทธิผลมากที่สุด ควรทำอย่างน้อยปีละ 2-3 ครั้ง โดยแต่ละครั้งจะต้องเว้นระยะเวลาให้ห่างกันพอสมควร เพื่อให้ผลที่ได้สามารถสะท้อนถึงความเป็นจริงของพฤติกรรมของพนักงานให้ได้มากที่สุด และเห็นพัฒนาการรวมถึงการเปลี่ยนแปลงพฤติกรรมของพนักงานที่ชัดเจน ซึ่งการจัดทำโครงการ Cyber Drill ของ ACIS

สรุปผลโครงการ “Cyber Drill” ของ ACIS Professional Center

จากผลการสรุป เราพบว่า ในการจัดทำโครงการ Cyber Drill ครั้งที่ 1 มีพนักงานเข้า Website ปลอมทั้งหมด 27 คน ซึ่งคิดเป็น 39.7% ของพนักงานทั้งหมด และในพนักงานจำนวน 27 คนที่ได้เข้า Website ปลอม มี 13 คนที่ตกเป็นเหยื่อการทำ Phishing Simulation ในครั้งนี้ สังเกตได้ว่าผู้ดูแลระบบที่มีหน้าที่ตอบสนองต่อภัยคุกคามที่เกิดขึ้น ใช้เวลาประมาณกว่า 80 นาทีในการยับยั้งการโจมตีแบบ Phishing ที่ถูกจำลองขึ้นมา

และเมื่อทำการจัดทำ Cyber Drill ครั้งที่ 2 (โดยเว้นระยะเวลาประมาณ 1 เดือน) พบว่า จำนวนของพนักงานที่เข้า Website ปลอม, จำนวนพนักงานที่ตกเป็นเหยื่อ Phishing Attack Simulation และเวลาที่เจ้าหน้าที่ใช้ในการยับยั้งการโจมตีแบบ Phishing มีอัตราลดลงอย่างเห็นได้ชัดเจน

หลังจากการจัดทำ Cyber Drill ในครั้งที่ 3 พบว่า ไม่มีพนักงานคนใดใน ACIS หลงกลไปเข้า Website ปลอม และตกเป็นเหยื่อการโจมตี Phishing เลยแม้แต่คนเดียว ที่สำคัญ ผู้ดูแลระบบใช้เวลาในการยับยั้ง Phishing เพียง 1 นาทีเท่านั้น

จากกรณีศึกษาการซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) ของบริษัท ACIS Professional Center แสดงให้เห็นว่า การจัดให้มีปฏิบัติการ Cyber Drill สามารถทำให้พนักงานในองค์กรมีความตระหนักรู้ถึงภัยคุกคามไซเบอร์ และสามารถตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิผลมากขึ้น และผู้ดูแลระบบยังใช้เวลาในการควบคุมสถานการณ์น้อยลง (Decrease Detect and Response Time)

บทความโดย ปริญญา หอมเอนก  ปกรณ์ โชติถิรพงศ์ ACIS/Cybertron Research LAB ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.