PwC ชี้แนวโน้มโจมตีด้วยแรนซัมแวร์พุ่ง แนะธุรกิจจัดการความเสี่ยงคนภายนอก

วันที่ 28 ตุลาคม 2564 - 12:23 น.

---

กรุงเทพ, 28 ตุลาคม 2564 – PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ด้วยซอฟต์แวร์เรียกค่าไถ่ หรือ “แรนซัมแวร์”มีแนวโน้มจะขยายตัวเพิ่มขึ้นจนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทยแนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอกอีกทั้งให้ความสำคัญกับสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์เพื่อสร้างภูมิคุ้มกันในการรับมือภัยคุกคามและสร้างความเชื่อมั่นให้แก่ลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสีย

นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwCประเทศไทย เปิดเผยว่า การโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล โดยขโมยข้อมูลด้วยการเข้ารหัสหรือล็อกไม่ให้ผู้ใช้เข้าถึงหรือเปิดไฟล์ได้และเรียกร้องให้มีการจ่ายค่าไถ่ (Ransomware) จะเป็นภัยไซเบอร์ที่พบมากที่สุดในปี2565

“การโจมตีด้วยแรนซัมแวร์จะกลายมาเป็นภัยไซเบอร์ที่มีแนวโน้มการเกิดมากที่สุดในระยะข้างหน้า โดยเราจะเห็นว่าแรนซัมแวร์เกิดขึ้นเป็นจำนวนมากในช่วงนี้ โดยเฉพาะอย่างยิ่ง ในกลุ่มสถาบันการเงินและโรงพยาบาล หลังจากที่ก่อนหน้านี้ภัยไซเบอร์ที่พบมากจะเป็นมัลแวร์ประเภทไวรัส โทรจัน และโปรแกรมอื่น ๆ ที่ใช้ในการโจมตีและเข้าถึงข่อมูลที่มีความอ่อนไหว”นางสาว วิไลพร กล่าว

ทั้งนี้ ความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลที่สาม (Third-party cyber risks)กลายเป็นประเด็นความกังวลหลักที่มีการพูดถึงมากที่สุดในเวลานี้เนื่องจากผู้บริหารส่วนใหญ่ยังขาดความเข้าใจอย่างถ่องแท้ในการบริหารความสัมพันธ์ทางธุรกิจและเครือข่ายซัพพลายเออร์และคู่ค้าที่มีความสลับซับซ้อน ทำให้ยากต่อการควบคุมและป้องกันข้อมูลไม่ให้เกิดการรั่วไหล 

“ความเสี่ยงของการละเมิดข้อมูลผ่านบุคคลที่สาม กำลังเป็นประเด็นที่มีการพูดถึงมากที่สุดว่าจะจัดการกันอย่างไรเพราะบุคคลที่สามมีตั้งแต่ คู่ค้าหรือพันธมิตรทางธุรกิจ ลูกจ้างที่บริษัทหรือหน่วยงานจ้างภายนอก ผู้รับเหมา ผู้ให้บริการรวมไปจนถึงบุคคลอื่น ๆ ที่อยู่ใน Ecosystem ที่ต้องทำงานและมีการแลกเปลี่ยนข้อมูลกันซึ่งต่อให้องค์กรมีการบริหารจัดการความปลอดภัยของระบบงานเป็นอย่างดีแล้ว แต่จากหลาย ๆ กรณีที่เกิดขึ้นเราไม่สามารถควบคุมหรือดูแล Third party ได้อย่างทั่วถึง” นางสาว วิไลพร กล่าว

แนวโน้มดังกล่าว สอดคล้องกับรายงาน 2022 Global Digital Trust Insights Survey ของ PwCซึ่งทำการศึกษาถึงการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของผู้บริหารทั่วโลกกว่า 3,600 รายพบว่า 60%ของผู้ถูกสำรวจ ยังขาดความเข้าใจอย่างถ่องแท้ถึงความเสี่ยงจากการรั่วไหลของข้อมูลผ่านบุคคลที่สาม ในขณะที่ 20%มีความเข้าใจเพียงเล็กน้อย หรือไม่มีเลยในเรื่องความเสี่ยงทุกประเภท 

นางสาว วิไลพร ยังกล่าวถึง กรณีการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิตภายในประเทศว่า“แม้ภัยดังกล่าวจะเคยเกิดขึ้นมาหลายครั้งแล้ว แต่ก็ยังไม่สามารถป้องกัน หรือดักจับได้อย่างทันท่วงทีเนื่องจากระบบนิเวศทางธุรกิจมีการเชื่อมต่อมากขึ้น และมีการเข้าสู่ระบบโดยใช้การยืนยันตัวตนผ่านแพลตฟอร์มที่หลากหลายเช่น เฟสบุ๊ค กูเกิล และอื่น ๆ ทำให้การวิเคราะห์หาสาเหตุ และการจัดการให้มีระบบรักษาความปลอดภัยที่ดีของข้อมูลทำได้ยากซึ่งเหตุการณ์นี้จะสร้างให้เกิดความตระหนักที่มากขึ้นทั้งในส่วนของผู้ให้บริการและเจ้าของบัญชี” นางสาว วิไลพร กล่าว

นอกเหนือจากการจัดการภัยคุกคามไซเบอร์ที่เกิดจากบุคคลภายนอกแล้ว นางสาว วิไลพร กล่าวว่าการบริหารจัดการความปลอดภัยอย่างเป็นระบบเพื่อรับมือกับภัยคุกคามในรูปแบบใหม่ ๆการจัดการปัญหาด้านการขาดแคลนบุคลากรด้านไซเบอร์และการขับเคลื่อนธุรกิจให้ทันกับโลกยุคดิจิทัลโดยให้ความสำคัญกับเรื่องของความปลอดภัยควบคู่ไปกับความเร็วของการประยุกต์ใช้เทคโนโลยีเพื่อให้ทันคู่แข่ง จะกลายเป็นความท้าทาย 3อันดับแรกของการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของไทย 

หวั่นภัยไซเบอร์สูงขึ้นในปี 65

ทั้งนี้ รายงานของ PwC ระบุว่า 60% ของผู้บริหารที่ถูกสำรวจคาดว่า อาชญากรรมทางไซเบอร์จะปรับตัวเพิ่มขึ้นในปี 2565 ขณะที่56% ของผู้ถูกสำรวจกล่าวว่า องค์กรของพวกเขาคาดว่าจะมีการละเมิดผ่านซัพพลายเชนซอฟต์แวร์เพิ่มขึ้น อย่างไรก็ดีมีผู้บริหารเพียง 34% เท่านั้น ที่มีการประเมินความเสี่ยงขององค์กรอย่างเป็นรูปธรรมในทำนองเดียวกัน 58% ของผู้ถูกสำรวจคาดว่า การโจมตีบริการคลาวด์จะเพิ่มขึ้น แต่มีผู้บริหารเพียง 37%เท่านั้นที่มีความเข้าใจในความเสี่ยงของระบบคลาวด์

นอกจากนี้ รายงานฉบับดังกล่าว ยังได้แนะนำหลักการ 4Psที่จะช่วยให้ผู้บริหารสามารถตระหนักถึงศักยภาพทางไซเบอร์ขององค์กรได้อย่างเต็มที่ ดังต่อไปนี้
1. หลักการ (Principle)ซีอีโอต้องสามารถอธิบายหลักการพื้นฐานในการสร้างความปลอดภัยและความเป็นส่วนตัวของข้อมูลได้อย่างชัดเจน 
2. บุคลากร (People) องค์กรต้องจ้างผู้นำที่มีเหมาะสมและให้ผู้บริหารระดับสูงด้านความมั่นคงปลอดภัยสารสนเทศได้ทำงานใกล้ชิดกับฝ่ายธุรกิจขององค์กร 
3. การจัดลำดับความสำคัญ (Prioritisation) องค์กรต้องใช้ข้อมูลเชิงลึกในการประเมินความเสี่ยงอย่างต่อเนื่องเพราะความเสี่ยงมีการเปลี่ยนแปลงอยู่ตลอดเวลา
4. การรับรู้ (Perception) เมื่อองค์กรไม่สามารถคาดการณ์อนาคตได้ผู้บริหารจำเป็นที่จะต้องหาจุดบอดระหว่างความสัมพันธ์และห่วงโซ่อุปทานของธุรกิจเพื่อสร้างความปลอดภัยของข้อมูลตั้งแต่เนิ่น ๆ

องค์กรต้องลงทุนให้ถูกจุด

“วันนี้องค์กรมีความตื่นตัวมากขึ้นในเรื่องของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลแต่ยังลังเลในเรื่องของการลงทุน และไม่ทราบว่าจะลงทุนอย่างไรไม่ให้ Underinvest หรือ Overinvestผู้บริหารหลายรายประสบปัญหากับการวิเคราะห์ตัวเลขที่เหมาะสมกับขนาดและสภาพของธุรกิจซึ่งมีตั้งแต่เรื่องของการนำคลาวด์มาใช้ การเชื่อมต่อข้อมูลผ่าน API การบริหารจัดการความเสี่ยงที่มาจากบุคคลภายนอกไปจนถึงการยกระดับทักษะด้านไซเบอร์ให้กับบุคลากร” นางสาว วิไลพร กล่าว

นางสาว วิไลพร กล่าวทิ้งท้ายว่า องค์กรไทยควรทำการศึกษาตัวธุรกิจและบริเวณที่อาจจะถูกคุกคาม (Threat landscape)รวมทั้งประเมินความเสี่ยงเชิงลึกผ่านการวิเคราะห์เชิงปริมาณ (Quantitative analysis)เพื่อวัดระดับความเหมาะสมสำหรับการลงทุน และให้ความสำคัญกับการมีสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ (Security hygiene) ซึ่งแม้จะเป็นพื้นฐานด้านความปลอดภัย แต่ยังมีการละเลยกันอยู่ในปัจจุบัน