ปัจจุบัน ในโลกดิจิทัลที่ทุกอย่างเชื่อมโยงเข้าหากัน ทำให้การใช้ชีวิตและการดำเนินงานของธุรกิจต่างๆ เป็นไปอย่างสะดวกรวดเร็วยิ่งขึ้น แต่ท่ามกลางความก้าวหน้านี้ ภัยคุกคามทางไซเบอร์ได้เพิ่มขึ้นมาด้วยเช่นกัน ทำให้องค์กรต้องหาทางรับมือและวางแนวทางด้าน Cyber Security เพื่อเสริมความมั่นคงปลอดภัยทางไซเบอร์ให้แข็งแกร่งยิ่งขึ้น
เมื่อพูดถึงภัยไซเบอร์แล้ว คนส่วนใหญ่คิดว่ามาจากแฮกเกอร์จากภายนอกองค์กร แต่ในความเป็นจริงแล้ว ภัยคุกคามที่มาจากคนภายในองค์กร (Insider Threat) ถือเป็นเรื่องที่ต้องจับตาเช่นกัน เนื่องจากมากกว่า 1 ใน 4 ของภัยคุกคามทั้งหมด อาจสร้างผลกระทบต่อองค์กร ทั้งในแง่ความเสียหายทางการเงิน รวมถึงความเสียหายต่อชื่อเสียงและความน่าเชื่อถือขององค์กรในระยะยาว
พลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ (ฺBluebik Titans) บริษัทที่ปรึกษาผู้เชี่ยวชาญด้าน Cyber Security ในเครือ บริษัท บลูบิค กรุ๊ป (BBIK) เปิดเผยว่า ในช่วงที่ผ่านมาภัยคุกคามทางไซเบอร์ที่เกิดจากคนในองค์กรกลายเป็นเรื่องที่ต้องให้ความสนใจมากขึ้น เพราะจากข้อมูลพบว่า ช่วงปี 2021 – 2022 จำนวนเหตุความเสี่ยงทางไซเบอร์ที่เกิดจากบุคคลภายในเพิ่มขึ้น 32% โดยในบรรดาภัยคุกคามดังกล่าว 42% เป็นเหตุการณ์ที่คนในองค์กรขโมยความลับทางธุรกิจหรือทรัพย์สินทางปัญญา
Insider Risk คืออะไร ทำไมธุรกิจต้องให้ความสำคัญ
Insider Risk เป็นความเสี่ยงเกิดภัยคุกคามต่อองค์กร โดยอาจมาจากทั้งพนักงาน อดีตพนักงาน และผู้ให้บริการซอฟต์แวร์จากภายนอก (Third party vendor) ที่มีสิทธิ์เข้าถึงข้อมูลสำคัญหรือระบบขององค์กร
อย่างไรก็ตาม หากบุคคลภายในหรือผู้มีส่วนเกี่ยวข้องกับองค์กร ลงมือก่อเหตุจนสร้างความเสียหาย Insider Risk จะกลายเป็น Insider Threat ที่ส่งผลกระทบจริงต่อธุรกิจ เช่น กรณีพนักงานขโมยข้อมูลขององค์กรไป หรือกรณี Vendor ทำข้อมูลส่วนบุคคลของลูกค้ารั่วไหล เป็นต้น
โดยทั่วไปแล้ว ไม่ใช่ทุกความเสี่ยงจาก Insider Risk จะสร้างความเสียหายต่อองค์กร แต่ปฏิเสธไม่ได้ว่า Insider Threat ล้วนมีที่มาจาก Insider Risk ดังเช่นกรณีศึกษาจากหลายบริษัททั้งในและต่างประเทศ ไม่ว่าจะเป็น
- Tesla
ในช่วงเดือน พ.ค. 2023 เกิดเหตุเอกสารหลุด 23,000 รายการ โดย 75,000 ข้อมูลเป็นข้อมูลส่วนบุคคลของพนักงานและอดีตพนักงาน
เคยเกิดกรณีวิศวกรของบริษัทขโมยข้อมูลงานวิจัยเกี่ยวกับ AI ราว 500 ฉบับไปขาย ซึ่งสร้างความเสี่ยงต่อความสามารถในการแข่งขันของบริษัท
- Cash App (เดิมชื่อบริษัท Square)
พนักงานฝ่ายขายที่ก่อนลาออก ได้ขโมยข้อมูลลูกค้ากว่า 8.2 ล้านรายการในสหรัฐอเมริกาไป
- ค้าปลีกในไทยแห่งหนึ่ง
ในปี 2021 บริษัทค้าปลีกออนไลน์รายหนึ่งของไทย เผชิญกับเหตุพนักงานฝ่ายไอทีขโมยข้อมูลส่วนตัว (Personally Indentifiable Information – PII) ของลูกค้ากว่า 1,000,000 เรคอร์ด และมีการโพสต์ชุดข้อมูลตัวอย่าง PII ของลูกค้ากว่า 1,000 รายการให้ดาวน์โหลดแบบสาธารณะในตลาดมืด (Dark Web) ซึ่งส่งผลเสียต่อความน่าเชื่อถือและภาพลักษณ์ ขององค์กร ความสูญเสียทางการเงินและอาจนำไปสู่การฟ้องร้องทางกฎหมายได้
Rule of Three หัวใจหลักจัดการ Insider Risk
Insider Risk และ Insider Threat สามารถป้องกันได้หากองค์กรมีการวางแนวทางป้องกันและรับมืออย่างครอบคลุม โดย Rule of Three เป็นหลักการหนึ่งที่สามารถนำไปปรับใช้เพื่อบริหารจัดการความเสี่ยงภายในองค์กรธุรกิจ โดยแบ่งออกเป็น 3 ส่วนสำคัญ
Threat Types
ประเภทของภัยคุกคาม แบ่งออกเป็น 3 รูปแบบ ได้แก่
- Careless User
ผู้ใช้งานที่ประมาทเลินเล่อ ซึ่งเปิดเผยข้อมูลและสิทธิ์การเข้าถึงข้อมูลโดยไม่ตั้งใจ ส่วนใหญ่มาจากการเผลอกดอีเมลฟิชชิ่ง การดาวน์โหลดไฟล์น่าสงสัย หรือตกเป็นเหยื่อของมัลแวร์ขโมยข้อมูลต่างๆ ทำให้ข้อมูลขององค์กรรั่วไหลออกไป
- Malicious User
พนักงานในองค์กรหรือผู้ได้รับสิทธิ์เข้าถึงข้อมูลหรือระบบองค์กร ที่มีเจตนาขโมยข้อมูลที่เป็นความลับทางธุรกิจ เพื่อสร้างความเสียหายหรือนำข้อมูลไปหาประโยชน์ต่อ
- Compromised Credentials
พนักงานในองค์กรถูกขโมยข้อมูลชื่อบัญชีผู้ใช้งานและรหัสผ่านไป ทำให้แฮกเกอร์จากภายนอกสามารถเข้าถึงระบบและข้อมูลภายในโดยไม่ได้รับอนุญาต
Threat Activities
หมวดหมู่ของกิจกรรมที่เข้าข่ายเป็นภัยคุกคาม สามารถแบ่งออกเป็น 3 กลุ่มหลัก ได้แก่
- การฉ้อโกง (Fraud)
การพยายามเข้าไปควบคุมระบบหรือกระบวนการทำงาน เพื่อหาผลประโยชน์ส่วนตัว เช่น การยักยอกเงิน หรือการปลอมแปลงเอกสารเพื่อขโมยข้อมูลสำคัญทางการเงิน
- การขโมยข้อมูล (Data Theft)
การขโมยข้อมูลหรือความลับทางการค้าที่เป็นทรัพย์สินทางปัญญา เช่น รายชื่อลูกค้า หรือเอกสารงานวิจัย เพื่อนำไปขายให้องค์กรอื่นๆ หรือหาประโยชน์ส่วนตัว
- การก่อวินาศกรรมกับระบบไอที (System Sabotage)
การเจตนาสร้างความเสียหายต่อระบบไอทีขององค์กร เพื่อให้กระบวนการดำเนินงานหยุดชะงักหรือขโมยข้อมูล เช่น การส่งมัลแวร์หรือแรนซัมแวร์เข้าไปก่อกวนระบบ
การแยกจัดหมวดหมู่กิจกรรมต้องสงสัยว่าเข้าข่ายการละเมิดนโยบายบริษัทหรือผิดกฎหมาย จะช่วยให้องค์กรสามารถวางแผนรับมือ หรือบรรเทาความเสียหายที่เกิดขึ้นได้อย่างเหมาะสม
Mitigation Goals
การวางกลยุทธ์และกระบวนการต่างๆ เพื่อป้องกันและลดภัยคุกคาม ประกอบด้วย 3 ส่วนหลักๆ
- ป้องปราม (Deter)
วางมาตรการป้องกันก่อนเกิดเหตุ เช่น การประกาศนโยบายป้องกันความปลอดภัย หรือการสร้างความตระหนักรู้เรื่องความปลอดภัยไซเบอร์ให้กับพนักงาน (Security Awareness)
- เฝ้าระวัง (Detect)
ตรวจจับความผิดปกติและความเสี่ยงที่เกิดขึ้นภายในองค์กร โดยใช้เทคโนโลยีและเครื่องมือต่างๆ ที่รวมถึงเทคโนโลยีปัญญาประดิษฐ์ (AI) มาช่วยเรื่องการตรวจสอบความปลอดภัยของระบบและการแจ้งเตือนแบบเรียลไทม์
- สกัดกิจกรรมน่าสงสัย (Disrupt)
สกัดและควบคุมกิจกรรมน่าสงสัยภายในองค์กรเพื่อลดความเสียหายที่อาจเกิดขึ้น เช่น การถอดสิทธิ์ในการเข้าถึงข้อมูลหรือระบบของบุคคลต้องสงสัย หรือการใช้เครื่องมือบล็อกไม่ให้พนักงานสามารถส่งข้อมูลออกไปภายนอกได้
ทั้งนี้ หากองค์กรต้องการป้องกันความเสี่ยงอย่างมีประสิทธิภาพ ควรวางแนวทางจัดการความเสี่ยง หรือ Insider Risk Management (IRM) ซึ่งคำนึงถึงองค์ประกอบสำคัญ 3 ส่วนคือบุคลากร (People) นโยบาย (Process) และเทคโนโลยี (Technology) โดยควรเริ่มจากการวางนโยบายกำกับดูแลด้านความปลอดภัยของข้อมูลอย่างครอบคลุม โดยเฉพาะในส่วนที่เป็นข้อมูลสำคัญ (Asset) เพื่อกำหนดแนวทางและกระบวนการต่างๆ สำหรับพนักงานในองค์กร อีกทั้งยังควรจัดตั้งทีมดูแลความปลอดภัย (Security Team) ที่มาจากหลายฝ่ายเพื่อผลักดันให้นโยบายได้รับการนำไปปฏิบัติจริง รวมถึงจัดหาเครื่องมือและเทคโนโลยีเพื่อเพิ่มการป้องกันความเสี่ยงให้รัดกุมยิ่งขึ้น
เทคโนโลยี AI ตรวจจับ Insider Risk ก่อนเกิดภัย
แม้หลายองค์กรต่างตื่นตัวในการเพิ่มการป้องกันความเสี่ยงทางไซเบอร์มากยิ่งขึ้น แต่เทคโนโลยีบางอย่างอาจยังไม่สามารถจัดการภัยคุกคามได้อย่างทันท่วงที การพัฒนาเทคโนโลยีใหม่ในการช่วยตรวจจับและรับมือ Insider Risk และ Insider Threat จึงเกิดขึ้น
Data Detection and Response (DDR) เป็นโซลูชันความปลอดภัยที่ขับเคลื่อนด้วย AI ซึ่งออกแบบมาเพื่อเพิ่มประสิทธิภาพในการตรวจจับ ป้องกัน และรับมือความเสี่ยงเกิดภัยคุกคามจากภายในองค์กร
ขณะนี้ บลูบิค ไททันส์ และ Cyberhaven หนึ่งในพาร์ทเนอร์ของบริษัท ได้พัฒนา DDR ที่สามารถจับตาดูข้อมูลตั้งแต่ต้นทางไปจนถึงช่องทางที่อาจจะเกิดความเสี่ยง ด้วยการติดเซนเซอร์แจ้งเตือนทุกครั้งที่ข้อมูลมีการออกจากระบบขององค์กร เพื่อคอยเฝ้าระวังความผิดปกติ ซึ่ง DDR สามารถปรับแต่งและกำหนดการตั้งค่าเพื่อควบคุมความปลอดภัยได้มากกว่าเทคโนโลยีซอฟต์แวร์เก่าแบบ DLP (Data Loss Prevention) ที่ทำได้เพียงไม่เปิดเผยต่อผู้ใช้ที่ไม่ได้รับอนุญาต แต่ไม่สามารถติดตามข้อมูลไปได้ โดยฟีเจอร์หลักของ DDR ประกอบด้วย
- User Behavior Analytics (UBA)
เฝ้าระวังและวิเคราะห์กิจกรรมการใช้งาน เพื่อตรวจจับพฤติกรรมผิดปกติที่อาจเกิดความเสี่ยงกลายเป็นภัยคุกคาม
- Data Loss Prevention (DLP)
ปกป้องข้อมูลสำคัญที่มีความอ่อนไหวจากการเข้าถึงที่ไม่ได้รับอนุญาตและการโยกย้ายข้อมูลในภายในระบบ รวมถึงติดตามเส้นทางการเคลื่อนย้ายข้อมูล
- Real-time monitoring and alert
เฝ้าระวังพฤติกรรมผู้ใช้และการติดตามข้อมูลแบบเรียลไทม์ เพื่อแจ้งเตือนในทันทีหากพบกิจกรรมผิดปกติ
- Automated incident response
บล็อกกิจกรรมน่าสงสัยแบบอัตโนมัติ และคัดแยกบัญชีที่ทำกิจกรรมผิดปกติออกมา จากนั้นส่งการแจ้งเตือนไปยังทีมดูแลความปลอดภัยขององค์กร
- Data lineage analysis
ตรวจสอบและติดตามการเข้าถึงข้อมูลที่มีความอ่อนไหว เพื่อค้นหาความเสี่ยงการนำข้อมูลไปใช้อย่างไม่เหมาะสมหรือระบุการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
สุดท้ายแล้ว กลยุทธ์การบริหารจัดการ Insider Risk ให้มีประสิทธิภาพจำเป็นต้องให้ความสำคัญกับทั้งเรื่องนโยบาย เทคโนโลยี และบุคลากรภายในองค์กร ซึ่งต้องอาศัยความร่วมมือจากทุกฝ่ายและต้องได้รับการผลักดันอย่างต่อเนื่อง โดยองค์กรธุรกิจที่ต้องการลดความเสี่ยงภัยคุกคามและวางแผนกลยุทธ์เพื่อรับมือกับ Insider Risk สามารถติดต่อ บลูบิค ไททันส์ ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้ที่มีประสบการณ์ความเชี่ยวชาญเฉพาะ ที่พร้อมจะช่วยยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ครอบคลุมตั้งแต่การวางแผนกลยุทธ์และกรอบการบริหารจัดการ การยกระดับมาตรการป้องกัน และการรับมือเหตุละเมิดความมั่นคงปลอดภัย
