เมื่อภาคธุรกิจต้องต่อสู้กับภัยคุกคามไซเบอร์ที่กำลังขยายตัวอย่างหนัก โดยเฉพาะ Insider Threat หรือภัยร้ายจากคนในที่ครองสัดส่วนมากถึง 1 ใน 3 ของการละเมิดข้อมูลทั้งหมดที่เกิดขึ้นในปีที่ผ่านมา ไม่ว่าความเสียหายที่เกิดขึ้นจะเป็นผลจากการกระทำโดยเจตนาหรือไม่ แต่ผลกระทบจาก Insider Threat สูงถึง 1,620 ล้านดอลลาร์ และมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง 

นอกจากนี้ จำนวนบริษัทที่ตกเป็นเหยื่อ Insider Threat กำลังเพิ่มขึ้นอย่างมีนัยสำคัญ เป็นผลจากคนในสามารถเข้าถึงระบบโครงสร้างพื้นฐาน และรู้จักเครื่องมือป้องกันภัยคุกคามไซเบอร์ที่องค์กรใช้เป็นอย่างดี ผนวกกับ Digital Landscape ที่ซับซ้อนขึ้น ทำให้การโจมตีประสบความสำเร็จสูง ด้วยเหตุนี้ Insider Threat จึงเป็นอีกหนึ่งความท้าทายที่ธุรกิจไม่อาจมองข้ามได้อีกต่อไป

Insider Threat คืออะไร 

Insider Threat หรือภัยคุกคามจากคนในองค์กร เป็นรูปแบบหนึ่งของความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ที่เกิดขึ้นจากพนักงาน หุ้นส่วนธุรกิจ บุคคล/บริษัทที่รับเหมาช่วง หรือใครก็ตามที่ได้รับสิทธิ์เข้าถึงระบบเครือข่าย/ดิจิทัลขององค์กร อย่างไรก็ตามบ่อยครั้งที่ผลจากภัยคุกคามนี้เกิดขึ้นจากความไม่ตั้งใจ ความผิดพลาดของมนุษย์ (Human Error) หรือความประมาท  

สำหรับปัจจัยที่ทำให้การโจมตีทางไซเบอร์จากคนในมักประสบความสำเร็จ และสร้างความเสียหายสูงแก่องค์กร ได้แก่ 

• คนในสามารถซ่อนวัตถุประสงค์ร้ายได้อย่างแนบเนียน และตรวจจับได้ยากกว่าการโจมตีจากคนภายนอกที่มีเจตนาชัดเจน  

• คนในรู้จุดอ่อนของระบบความมั่นคงปลอดภัยไซเบอร์ในองค์กรเป็นอย่างดี 

• คนในรู้ว่าข้อมูลสำคัญจัดเก็บไว้ที่ไหน และรู้ว่าจะเข้าถึงระบบต้องทำอย่างไร 

นอกจากข้อมูลสำคัญจะถูกขโมยได้ง่ายแล้ว การจะตรวจพบความเสียหายก็อาจสายเกินแก้ อีกทั้งยังทำให้ภาพลักษณ์เสียหาย เสียทรัพยากร ขาดความน่าเชื่อถือ จนถึงถูกฟ้องร้องจากลูกค้าได้ 

ประเภทของ Insider Threat 

1. Malicious Insider or Whistleblower 

คนในองค์กรที่เจตนาใช้สิทธิ์การเข้าถึงข้อมูลของตนเองไปขโมยข้อมูลสำคัญ เพื่อเรียกรับผลประโยชน์ ขาย หรือเผยแพร่ ก่อให้เกิดความเสียหายแก่องค์กร ซึ่ง Insider ประเภทนี้ ถือว่าอันตรายที่สุด 

2. Careless Insider  

เป็นประเภทของภัยคุกคามที่พบเจอได้บ่อยที่สุดในองค์กรธุรกิจ แม้คนในองค์กรเหล่านี้ไม่ได้มีเจตนาร้ายต่อบริษัท แต่การกระทำโดยประมาทมักนำไปสู่การละเมิดข้อมูลองค์กร เช่น การดาวน์โหลดไฟล์อันตราย การตกเป็นเหยื่อ Phising ในรูปแบบต่างๆ หรือแม้กระทั่งการลืม Flash Drive ที่บันทึกข้อมูลสำคัญขององค์กรไว้ในที่สาธารณะ 

3. Compromised Insider 

บัญชีอีเมลของพนักงานถูกขโมยและควบคุมโดยแฮกเกอร์ จากการทำ Social Engineering, อีเมล Phising หรือมัลแวร์ โดยมีเป้าหมายเพื่อขโมยข้อมูลหรือหลอกให้โอนเงิน 

แนวทางการลดความเสี่ยงของ Insider Threat  

สำหรับแนวทางการลดความเสี่ยง Insider Threat ที่ดีที่สุด ควรเริ่มต้นที่การให้ความรู้กับพนักงาน จากรายงานของ CompTIA ระบุว่ามากกว่า 1 ใน 3 ขององค์กรธุรกิจประเมินว่า พวกเขาควรให้ความสำคัญกับการให้ความรู้เกี่ยวกับภัยคุกคามไซเบอร์แก่พนักงาน เนื่องจากความผิดที่ตรวจพบส่วนใหญ่ล้วนมีสาเหตุมาจากความผิดพลาดโดยไม่เจตนาของพนักงาน  

1. ให้ความรู้เกี่ยวกับ Social Engineering กับ MSP 

เจ้าหน้าที่ Management Service Provider – MSP หรือบริษัท Outsource ที่ดูแลระบบโครงสร้างพื้นฐานและไอทีเซอร์วิสภายนอกองค์กร เพื่อให้พนักงาน MSP ตระหนักถึงความเสี่ยง รวมถึงป้องกันและหลีกเลี่ยง Social Engineering Scam ได้อย่างมีประสิทธิภาพ 

2. ตรวจสอบกิจกรรมของพนักงาน 

การบันทึกกิจกรรมของผู้ใช้งานถือเป็นแนวทางที่ดี สำหรับการระบุความผิดปกติและตำแหน่งที่อาจเป็นภัยคุกคามได้ ซึ่งช่วยป้องกันไม่ให้เหตุการณ์บานปลาย 

3. กำหนดนโยบายและขั้นตอนการปฏิบัติ 

องค์กรควรโฟกัสกับการปรับปรุงกระบวนการ และนโยบายด้าน Cybersecurity ซึ่งเป็นเทรนด์ที่องค์กรให้ความสำคัญเป็นอันดับ 2 ในปี 2024 เพราะแม้พนักงานจะปฏิบัติงานตามมาตรฐาน แต่บ่อยครั้งกลับพบว่า หลายคนเลือกทำงานด้วยวิธีการที่ง่าย และไม่รู้ว่าควรดำเนินการตามนโยบายด้านความปลอดภัยในรูปแบบใดจึงจะเหมาะสม จนนำไปสู่ปัญหา Insider Threat ได้ 

4. จำกัดสิทธิ์การเข้าถึงระบบ/ข้อมูลของ Vendor และ Outsource 

บริษัทหรือบุคคลที่สามถือเป็นความเสี่ยงขององค์กร ดังนั้นการกำหนดสิทธิ์การเข้าถึงระบบหรือข้อมูลองค์กรจึงจำเป็นอย่างยิ่ง ในภาวะที่ภัยคุกคามไซเบอร์ขยายตัวอย่างต่อเนื่อง 

5. จัดทำบันทึกรายการสินทรัพย์ไอที 

ทำให้องค์กรทราบว่าตนเองมีเทคโนโลยี หรือสินทรัพย์อะไรบ้าง และถูกจัดเก็บไว้ที่ไหน ทำให้สามารถระบุที่มาที่ไปของความผิดปกติที่เกิดขึ้นได้ และลดความเสี่ยงจากอุปกรณ์ที่มีความเสี่ยง 

6. มีแนวปฏิบัติรับมือภัยคุกคามและแผนฟื้นฟูหลังเกิดเหตุการณ์ 

️รายงานของ CompTIA ชี้ว่า การเตรียมพร้อมรับมือกับเหตุการณ์ภัยคุกคามไซเบอร์ เป็นประเด็นที่ธุรกิจให้ความสำคัญสูงสุดในปี 2567 เพื่อสร้างความมั่นใจว่า ธุรกิจจะสามารถรับมือและดำเนินกิจการได้อย่างต่อเนื่องแม้เกิดเหตุ และสามารถฟื้นฟูระบบหลังเกิดเหตุได้อย่างรวดเร็ว  

สุรปแล้ว Insider Threat เกิดขึ้นได้กับทุกองค์กร แต่เราสามารถหลีกเลี่ยง ลดความเสี่ยง หรือฟื้นฟูระบบหลังเกิดเหตุได้อย่างรวดเร็ว หากองค์กรมีกลยุทธ์ เครื่องมือบริหารจัดการความเสี่ยง และแนวปฏิบัติในการฟื้นฟูที่มีประสิทธิภาพ  

สำหรับองค์กรธุรกิจที่มีความกังวลกับสถานการณ์ภัยคุกคามไซเบอร์ และต้องการแผนกลยุทธ์ที่สามารถรับมือกับ Insider Threat ได้ สามารถติดต่อสอบถามหรือปรึกษา บลูบิค ไททันส์ (Bluebik Titans) ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้ที่มีประสบการณ์ และพร้อมจะช่วยคุณยกระดับความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมตั้งแต่การวางแผนกลยุทธ์และกรอบการบริหารจัดการ การยกระดับมาตรการป้องกัน และการรับมือเหตุละเมิดความมั่นคงปลอดภัย ได้ที่ [email protected] หรือโทรศัพท์ 02-636-7011 

ขอบคุณข้อมูลอ้างอิงจาก ekransystem, techreport