ความไม่ปลอดภัยในองค์กร

ขณะที่ธุรกิจต่างพากันวุ่นวายอยู่กับการเปลี่ยนแปลงเข้าสู่ยุคดิจิทัล ทีมงานไอทีก็จะต้องเผชิญความท้าทายจากความไม่ปลอดภัยในองค์กรมากขึ้น หนึ่งในนั้นคือสร้างความตระหนักรู้ให้แก่ User ผู้ที่อยากรู้อยากเห็นไปทุกสิ่งทุกอย่าง

ทุกวันนี้เรื่องความปลอดภัยขององค์กรนับเป็นเรื่องที่ไม่อาจมองข้าม เนื่องจากภัยคุกคามทางไซเบอร์มีรูปแบบที่ซับซ้อนมากขึ้น และบ่อยครั้งบุคลากรที่ทำงานด้าน Information Security ขององค์กรไม่สามารถทำให้แผนกอื่น ๆ ตระหนักรู้หรือรู้เท่าทันในเรื่องของความปลอดภัยจนทำให้องค์กรมีความเสี่ยงอย่างหลีกเลี่ยงไม่ได้

หนึ่งในปัญหาที่องค์กรมักพบเจอคือพนักงงานมักถูกเลือกเป็นเป้าหมายในการหลอกลวงทางอีเมลหรือฟิชชิ่ง (Phishing) โดยจะหลอกลวงเอาข้อมูลส่วนตัวหรือ Password ของพนักงงานเพื่อใช้ Login เข้าระบบกลาง พร้อมกับทำการส่งอีเมลไปให้แผนกอื่นในการขอข้อมูลส่วนต่าง ๆ เช่น ข้อมูลด้านบัญชี หรือแม้กระทั่งการขอให้โอนเงินระหว่างแผนก

นอกจากนี้ การโจมตีแบบ Phishing ในปัจจุบันก็เริ่มเน้นที่เป้าหมายที่ต้องการโจมตีมากขึ้น หรือเป็นการโจมตีที่เรียกว่า Spear-phishing โดยแฮ็คเกอร์จะเก็บรวบรวมข้อมูของเหยื่อและใช้เทคนิค Social Engineering พุ่งตรงไปยังเป้าหมายเพื่อขโมยข้อมูลความลับต่างๆ แทนที่จะเป็นการโจมตีแบบหว่านหาเหยื่อไปทั่ว ที่สำคัญคือ เว็บ Phishing จำนวนมากในปัจจุบันถูกซ่อนอยู่ภายใต้โดเมนที่ถูกต้อง ยากต่อการตรวจจับ นั่นทำให้เกิดความไม่ปลอดภัยในองค์กรมากขึ้น

โดยสถิติจาก Webroot  พบว่า สถิติเว็บไซต์ฟิชชิงครึ่งปีแรกของปี  2017 พบมากขึ้นถึง 1.4 ล้านต่อเดือน และส่วนใหญ่มุ่งเป้าผู้ใช้งานบัญชี Google (หากองค์กรใดยังใช้ Gmail เป็นเมลกลางก็รีบปรับตัวด่วน)  พบจำนวนเว็บไซต์ฟิชชิงสูงขึ้นจากปีก่อนซึ่งพบ 13,000 เว็บไซต์ต่อวัน เป็น 46,000 เว็บไซต์ต่อวันหรือ 1.4 ล้านเว็บไซต์ต่อเดือน โดยเว็บไซต์ฟิชชิงส่วนใหญ่มีอายุเพียง 4 ถึง 8 ชั่วโมง เพื่อหลบหลีกการตรวจจับที่จะบล็อกเว็บไซต์

จะทำให้อย่างไรเพื่อสร้าง Awareness ให้กับพนักงงาน ?

  • สร้างความตะหนักรู้ให้แก่พนักงงาน เพราะเนื่องจากเว็บไซต์หรืออีเมลที่ถูกเลียนแบบหรือทำ Phishing จะมีลักษณะที่เหมือนกับของจริงจนแยกไม่ค่อยออก จึงต้องการอบรมพนักงงานให้สังเกตุ URL หรือชื่อเว็บไซต์อย่างละเอียด
  • ติดตั้งโปรแกรม Anti – Virus ที่มีประสิทธิภาพ
  • จัดอบรมพนักงงานไม่คลิ๊กลิ้งค์จากอีเมลที่น่าสงสัย เพราะอาจจะมีการฝังมัลแวร์หรือโทรจันเพื่อขโมยข้อมูล และหากสงสัยให้ฟอร์เวิดอีเมลดังกล่าวไปให้แผนกไอทีก่อน
  • วิธีที่ได้ผลที่สุด คือการสร้าง Spear Phishing จริง ๆ และส่งให้กับพนักงาน โดยองค์กรจะสามารถวิเคราะห์ได้ว่า พนักงานกลุ่มใดมีความเสี่ยงที่จะถูกล่อลวมากที่สุด และ พนักงานมีการตอบสนองเมื่อเจออีเมล์ประเภทนี้อย่างไร เช่น บางคนอาจจะลบอีเมล์ดังกล่าว แต่บางคนอาจจะส่งต่อไปให้เพื่อน หรือบางคนอาจจะกดลิ้งค์อย่างไม่ลังเล…