You are here
Home > Technology > เมื่อพนักงานเป็นจุดอ่อนอันตราย ต่อการจู่โจมจากภัยคุกคามไซเบอร์

เมื่อพนักงานเป็นจุดอ่อนอันตราย ต่อการจู่โจมจากภัยคุกคามไซเบอร์

  • Krungsri KMA

เมื่อเร็วๆ นี้ มีการเปิดเผยรายงานการวิจัยโดยแคสเปอร์สกี้ แลป ร่วมกับบีทูบี อินเตอร์เนชั่นแนล ชี้ชัด ความไม่รู้เรื่องความปลอดภัยด้านไอที ยังคงเป็นความจริงที่หลอกหลอนบริษัทธุรกิจทั่วโลก ข้อมูลวิจัยชี้ว่า มีพนักงานเพียงหนึ่งในสิบ (12%) ที่รับรู้เกี่ยวกับนโยบายความปลอดภัยไอทีและกฎเกณฑ์ในองค์กรที่ตนเองทำงานอยู่ และเมื่อนับรวมกับพนักงานอีกกึ่งหนึ่ง (49%) มีความคิดว่าการป้องกันความปลอดภัยไอทีจากภัยไซเบอร์เป็นความรับผิดชอบที่ต้องแบ่งๆ กันทำ นับเป็นความท้าทายเพิ่มขึ้นมาทันทีเวลาที่ต้องวางกรอบนโยบายด้านความปลอดภัยไซเบอร์ให้ถูกต้องเหมาะสมต่อองค์กร

shutterstock_434921992

จากการศึกษาวิจัยพนักงานประจำเต็มเวลาจำนวน 7,993 ราย ต่อคำถามเกี่ยวกับนโยบายและความรับผิดชอบด้านความปลอดภัยไอทีขององค์กร ข้อมูลแสดงว่า 24% ของพนักงานเชื่อว่าภายในองค์กรของตนนั้นไม่มีนโยบายด้านความปลอดภัยอยู่เลย เป็นที่น่าสนใจว่า ดูเหมือนว่าข้ออ้างที่ว่าตนนั้นไม่รู้เรื่องกฎเกณฑ์ระเบียบข้อปฏิบัตินั้นจะไม่ใช่ข้อแก้ตัว เนื่องจากประมาณครึ่งหนึ่ง (49%) ของผู้เข้าร่วมการวิจัยคิดว่าพนักงานทุกคน รวมทั้งตัวผู้ตอบแบบสอบถามเองด้วย ควรต้องมีส่วนรับผิดชอบในการปกป้องสินทรัพย์ไอทีขององค์กรให้พ้นภัยไซเบอร์

 

อย่างไรก็ตาม รายงานการวิจัยอีกชิ้นหนึ่งของแคสเปอร์สกี้ แลปพบว่าบางครั้งพนักงานก็เลือกที่จะทำสิ่งที่ตรงกันข้าม โดยสิ้นเชิง ข้อมูลจากรายงาน “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within” ชี้ว่าพนักงานที่ไม่มีความรอบคอบนั้นคือจุดอ่อนสำคัญของการถูกโจมตีใน 46% ของการโจมตีความปลอดภัยไซเบอร์ในช่วงปีที่ผ่านมา

 

ส่วนต่างนี้เป็นจุดอันตรายอย่างยิ่งของธุรกิจขนาดเล็กลงมา เพราะไม่มีแผนกที่ทำหน้าที่ดูแลด้านระบบความปลอดภัยไอทีโดยเฉพาะ และความรับผิดชอบในส่วนนี้ก็กระจายออกไปอยู่ทั้งกับหน่วยงานไอทีและที่ไม่ใช่ไอที เกิดการละเลยแม้แต่ข้อกำหนดเล็กๆ น้อยๆ อาทิ การเปลี่ยนพาสเวิร์ด หรือติดตั้งอัพเดทที่จำเป็น ซึ่งอาจเป็นจุดเสี่ยงต่อระบบการป้องกันความปลอดภัยที่อาจนำพาทั้งธุรกิจล้มคว่ำได้ ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป กล่าวว่าไว้ว่า บรรดาผู้บริหารในหลายตำแหน่งต่างเป็นจุดเสี่ยงที่จะเป็นเป้าหมาย ไม่ว่าจะเป็นผู้บริหารระดับสูง ฝ่ายทรัพยากรบุคคล และผู้เชี่ยวชาญด้านการเงิน ที่ล้วนสามารถเข้าถึงคลังข้อมูลสำคัญของบริษัทได้ทั้งนั้น

 

เพื่อเป็นการรับมือกับข้อท้าทายนี้ ธุรกิจขนาดกลางและย่อมควรที่จะจัดการฝึกอบรมให้ความรู้ทางด้านความปลอดภัยไอทีแก่พนักงานอย่างสม่ำเสมอ และควรลงทุนติดตั้งผลิตภัณฑ์ที่เหมาะสมเฉพาะตัวกับลักษณะธุรกิจของตน เพื่อป้องกันภัยไซเบอร์แก่อุปกรณ์ทุกชนิดในทันทีที่ติดตั้ง และบริหารจัดการควบคุมได้สะดวก ด้วยฟังก์ชั่นใช้งานที่ไม่จำเป็นต้องอาศัยความเชี่ยวชาญขั้นสูงนัก ดังนั้นจึงช่วยลดภาระด้านการว่าจ้างต้องใช้ทีมไอทีขนาดใหญ่ลงมาได้เป็นอย่างดี

 

วลาดิเมียร์ ซาโปยานสกี้ หัวหน้าฝ่ายธุรกิจขนาดกลางย่อม แคสเปอร์สกี้ แลป กล่าวว่า ความไม่รู้ของพนักงานลูกจ้างขององค์กรนี้ยังคงเป็นประเด็นน่ากังวล โดยเฉพาะอย่างยิ่งสำหรับองค์กรธุรกิจขนาดกลางย่อม ซึ่งวัฒนธรรมด้านความปลอดภัยไซเบอร์นี้เพิ่งจะเริ่มต้น ไม่เพียงแต่ตัวพนักงานเองจะกลายเป็นเหยื่อภัยไซเบอร์เท่านั้น แต่พวกเขาต่างก็ควรต้องมีส่วนร่วมในการปกป้องบริษัทองค์กรของตนให้พ้นจากภัยคุกคามพวกนี้ด้วยมิใช่หรือ เมื่อเป็นเช่นนี้แล้ว องค์กรจึงจำเป็นต้องจัดหาการฝึกอบรมให้ความรู้แก่เหล่าพนักงานของตน ให้มีพื้นฐานเกี่ยวกับโซลูชั่นที่ใช้ไม่ยากนัก บริหารจัดการได้ง่าย แต่ก็มากประสิทธิภาพพอที่จะป้องกันภัยได้สำหรับคนที่ไม่ใช้ผู้เชี่ยวชาญด้านความปลอดภัยไอที

 

ท่านสามารถศึกษาอ่านข้อมูลเพิ่มเติมในรายละเอียดถึงวิธีการที่พนักงานจะเป็นจุดอ่อนอันตรายต่อธุรกิจในรายงานวิจัยฉบับเต็ม “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within” ได้ที่ https://www.kaspersky.com/blog/the-human-factor-in-it-security/

Leave a Reply

Top