เมื่อ คนใน เป็นภัยร้ายขององค์กร ‘Insider Threat’ ความเสี่ยงธุรกิจที่ไม่อาจมองข้าม

ภาคธุรกิจกำลังต่อสู้กับภัยคุกคามไซเบอร์ที่ขยายตัวอย่างหนัก โดยเฉพาะ Insider Threat ภัยร้ายจากคนในที่ครองสัดส่วนถึง 1 ใน 3 ของการละเมิดข้อมูลทั้งหมดที่เกิดขึ้นในปีที่ผ่านมา ไม่ว่าความเสียหายที่เกิดขึ้นเป็นผลจากการกระทำโดยเจตนาหรือไม่ แต่ผลกระทบจาก Insider Threat สูงถึง 1,620 ล้านดอลล่าร์และมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง

จำนวนบริษัทที่ตกเป็นเหยื่อ Insider Threat กำลังเพิ่มขึ้นอย่างมีนัยสำคัญ เป็นผลจากคนในสามารถเข้าถึงระบบโครงสร้างพื้นฐานและรู้จักเครื่องมือป้องกันภัยคุกคามไซเบอร์ที่องค์กรใช้เป็นอย่างดี ผนวกกับ Digital Landscape ที่ซับซ้อนขึ้นทำให้การโจมตีประสบความสำเร็จสูง ด้วยเหตุนี้ Insider Threat จึงเป็นอีกหนึ่งความท้าทายที่ธุรกิจไม่อาจมองข้ามได้อีกต่อไป

Insider Threat คืออะไร?

Insider Threat หรือภัยคุกคามจากคนในองค์กร เป็นรูปแบบหนึ่งของความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ที่เกิดขึ้นจาก พนักงาน หุ้นส่วนธุรกิจ บุคคล/บริษัทที่รับเหมาช่วง หรือใครก็ตามที่ได้รับสิทธิ์เข้าถึงระบบเครือข่าย/ดิจิทัลขององค์กร อย่างไรก็ตามบ่อยครั้งที่ผลจากภัยคุกคามนี้เกิดขึ้นจากความไม่ตั้งใจ ความผิดพลาดของมนุษย์ (Human Error) หรือความประมาท 

การโจมตีทางไซเบอร์จากคนใน มักประสบความสำเร็จและสร้างความเสียหายสูงแก่องค์กร เนื่องจาก 

• คนในสามารถซ่อนวัตถุประสงค์ร้ายได้อย่างแนบเนียน และตรวจจับได้ยากกว่าการโจมตีจากภายนอกที่มีเจตนาชัดเจน 
• คนในรู้จุดอ่อนของระบบความมั่นคงปลอดภัยไซเบอร์ในองค์กรเป็นอย่างดี
• คนในรู้ว่าข้อมูลสำคัญจัดเก็บไว้ที่ไหนและรู้ว่าจะเข้าถึงระบบต้องทำอย่างไร

นอกจาก ข้อมูลสำคัญถูกขโมยได้ง่ายแล้ว กว่าจะตรวจพบความเสียหายก็สายเกินไป ทำให้ภาพลักษ์เสียหาย เสียเงิน ขาดความน่าเชื่อถือ จนถึงถูกฟ้องร้องจากลูกค้าได้

Insider Threat จำแนกออกเป็น 3 ประเภท ได้แก่ 

1. Malicious Insider or Whistleblower คือ คนในองค์กรที่เจตนาใช้สิทธิ์การเข้าถึงข้อมูลของตนเอง ขโมยข้อมูลสำคัญเพื่อเรียกรับผลประโยชน์ ขาย หรือเผยแพร่ ก่อให้เกิดความเสียหายแก่องค์กร ซึ่ง Insider ประเภทนี้น่ากลัวที่สุด
   
2. Careless Insider เป็นประเภทของภัยคุกคามที่พบเจอได้บ่อยที่สุดในองค์กรธุรกิจ คนในองค์กรเหล่านี้ไม่มีเจตนาร้ายต่อบริษัทแต่การกระทำโดยประมาทของพวกเขานำไปสู่การละเมิดข้อมูลองค์กร เช่น ดาวน์โหลดไฟล์อันตราย หรือตกเป็นเหยื่อ Phising ในรูปแบบต่าง ๆ รวมถึงลืม Flash Drive ที่บันทึกข้อมูลสำคัญไว้ในสถานที่ต่าง ๆ 
   
3. Compromised Insider บัญชีอีเมลของพนักงานถูกขโมยและควบคุมโดยแฮกเกอร์ จากการทำ Social Engineering, อีเมล Phising หรือมัลแวร์ โดยมีเป้าหมาเผื่อขโมยข้อมูล หรือหลอกให้โอนเงิน

ลดความเสี่ยง Insider Threat ได้อย่างไร?

แนวทางลดความเสี่ยง Insider Threat ที่ดีที่สุดควรเริ่มต้นที่การให้ความรู้กับพนักงาน รายงานของ CompTIA ระบุว่ามากกว่า 1 ใน 3 ขององค์กรธุรกิจประเมินว่า พวกเขาควรให้ความสำคัญกับการให้ความรู้เกี่ยวกับภัยคุกคามไซเบอร์แก่พนักงาน เนื่องจากความผิดที่ตรวจพบส่วนใหญ่ล้วนมีสาเหตุมาจาก ความผิดพลาดโดยไม่เจตนาของพนักงาน 

• ให้ความรู้เกี่ยวกับ Social Engineering กับ MSP ➡️ ➡️เจ้าหน้าที่ Management Service Provider – MSP หรือบริษัท Outsource ที่ดูแลระบบโครงสร้างพื้นฐานและไอทีเซอร์วิสภายนอกองค์กร เพื่อให้พนักงาน MSP ตระหนักถึงความเสี่ยง ป้องกัน รายงานและหลีกเลี่ยง Social Engineering Scam ได้อย่างมีประสิทธิภาพ
  
• ตรวจสอบกิจกรรมของพนักงาน ➡️ ➡️การบันทึกกิจกรรมของผู้ใช้งาน เป็นแนวทางที่ดี สำหรับการระบุความผิดปกติและตำแหน่งที่อาจเป็นภัยคุกคามได้ ช่วยป้องกันไม่ให้เหตุการณ์บานปลาย
  
• กำหนดนโยบายและขั้นตอนการปฏิบัติ ➡️ ➡️องค์กรควรโฟกัสกับการปรับปรุงกระบวนการและนโยบายด้าน Cybersecurity ซึ่งเป็นเทรนด์ที่องค์กรให้ความสำคัญเป็น 2 ในปี 2024 เพราะแม้พนักงานจะปฏิบัติงานตามมาตรฐาน แต่บ่อยครั้งกลับพบว่าหลายคนเลือกทำงานด้วยวิธีการที่ง่าย และไม่รู้ว่าควรดำเนินตามนโยบายด้านความปลอดภัยรูปแบบใดจึงจะเหมาะสม จนนำไปสู่ปัญหา Insider Threat ได้
  
• จำกัดสิทธิ์การเข้าถึงระบบ/ข้อมูลของ Vendor และ Outsource ➡️ ➡️บริษัทหรือบุคคลที่สาม ถือเป็นความเสี่ยงขององค์กร ดังนั้นการกำหนดสิทธิ์การเข้าถึงระบบหรือข้อมูลองค์กรจึงจำเป็นอย่างยิ่งในภาวะที่ภัยคุกคามไซเบอร์ขยายตัวอย่างต่อเนื่อง 
  
• จัดทำบันทึกรายการสินทรัพย์ไอที ➡️ ➡️ ทำให้องค์กรทราบว่าตนเองมีเทคโนโลยี หรือสินทรัพย์อะไรบ้างและถูกจัดเก็บไว้ที่ไหน ทำให้สามารถระบุที่มาที่ไปของความผิดปกติที่เกิดขึ้น และลดความเสี่ยงจากอุปกรณ์ที่มีความเสี่ยงได้
  
• มีแนวปฏิบัติรับมือภัยคุกคามและแผนฟื้นฟูหลังเกิดเหตุการณ์ ➡️ ➡️รายงานของ CompTIA ชี้ว่า การเตรียมพร้อมรับมือกับเหตุการณ์ภัยคุกคามไซเบอร์ เป็นประเด็นที่ธุรกิจให้ความสำคัญสูงสุดในปี 2567 เพื่อสร้างความมั่นใจว่าธุรกิจสามารถรับมือ และดำเนินกิจการต่อเนื่องแม้เกิดเหตุ และสามารถฟื้นฟูระบบหลังเกิดเหตุได้อย่างรวดเร็ว 

สุรปแล้ว Insider Threat เกิดขึ้นได้กับทุกองค์กร แต่เราสามารถหลีกเลี่ยง ลดความเสี่ยงหรือฟื้นฟูระบบหลังเกิดเหตุได้อย่างรวดเร็ว หากองค์กรมีกลยุทธ์ เครื่องมือบริหารจัดการความเสี่ยงและแนวปฏิบัติในการฟื้นฟูที่มีประสิทธิภาพ สำหรับองค์กรธุรกิจที่ต้องการลดความเสี่ยงและแผนกลยุทธ์ที่สามารถรับมือกับ Insider Threat สามารถติดต่อ บลูบิค ไททันส์ ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้ที่มีประสบการณ์ และพร้อมจะช่วยคุณยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ครอบคลุมตั้งแต่การวางแผนกลยุทธ์และกรอบการบริหารจัดการ การยกระดับมาตรการป้องกัน และการรับมือเหตุละเมิดความมั่นคงปลอดภัย

ติดต่อสอบถามหรือปรึกษาเราได้ที่

✉ [email protected] 

☎ 02-636-7011

ขอบคุณข้อมูลอ้างอิงจาก ekransystem, techreport