WORLD7

smed PIONEER 720x100ใจฟู720x100pxgpf 720x100 66

PwC Vilaiporn5

PwC เตือนแนวโน้มการโจมตีด้วยแรนซัมแวร์พุ่ง

แนะธุรกิจไทยจัดการความเสี่ยงจากบุคคลภายนอก

          PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ด้วยซอฟต์แวร์เรียกค่าไถ่ หรือแรนซัมแวร์มีแนวโน้มจะขยายตัวเพิ่มขึ้นจนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทย แนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอก อีกทั้งให้ความสำคัญกับสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ เพื่อสร้างภูมิคุ้มกันในการรับมือภัยคุกคามและสร้างความเชื่อมั่นให้แก่ลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสีย

          นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwC ประเทศไทย เปิดเผยว่า การโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล โดยขโมยข้อมูลด้วยการเข้ารหัส หรือล็อกไม่ให้ผู้ใช้เข้าถึงหรือเปิดไฟล์ได้และเรียกร้องให้มีการจ่ายค่าไถ่ (Ransomware) จะเป็นภัยไซเบอร์ที่พบมากที่สุดในปี 2565

          การโจมตีด้วยแรนซัมแวร์จะกลายมาเป็นภัยไซเบอร์ที่มีแนวโน้มการเกิดมากที่สุดในระยะข้างหน้า โดยเราจะเห็นว่า แรนซัมแวร์เกิดขึ้นเป็นจำนวนมากในช่วงนี้ โดยเฉพาะอย่างยิ่ง ในกลุ่มสถาบันการเงินและโรงพยาบาล หลังจากที่ก่อนหน้านี้ ภัยไซเบอร์ที่พบมากจะเป็นมัลแวร์ประเภทไวรัส โทรจัน และโปรแกรมอื่นๆ ที่ใช้ในการโจมตีและเข้าถึงข่อมูลที่มีความอ่อนไหวนางสาว วิไลพร กล่าว

          ทั้งนี้ ความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลที่สาม (Third-party cyber risks) กลายเป็นประเด็นความกังวลหลักที่มีการพูดถึงมากที่สุดในเวลานี้ เนื่องจากผู้บริหารส่วนใหญ่ยังขาดความเข้าใจอย่างถ่องแท้ในการบริหารความสัมพันธ์ทางธุรกิจ และเครือข่ายซัพพลายเออร์และคู่ค้าที่มีความสลับซับซ้อน ทำให้ยากต่อการควบคุมและป้องกันข้อมูลไม่ให้เกิดการรั่วไหล

          ความเสี่ยงของการละเมิดข้อมูลผ่านบุคคลที่สาม กำลังเป็นประเด็นที่มีการพูดถึงมากที่สุดว่าจะจัดการกันอย่างไร เพราะบุคคลที่สามมีตั้งแต่ คู่ค้าหรือพันธมิตรทางธุรกิจ ลูกจ้างที่บริษัทหรือหน่วยงานจ้างภายนอก ผู้รับเหมา ผู้ให้บริการ รวมไปจนถึงบุคคลอื่นๆ ที่อยู่ใน Ecosystem ที่ต้องทำงานและมีการแลกเปลี่ยนข้อมูลกัน ซึ่งต่อให้องค์กรมีการบริหารจัดการความปลอดภัยของระบบงานเป็นอย่างดีแล้ว แต่จากหลายๆ กรณีที่เกิดขึ้น เราไม่สามารถควบคุมหรือดูแล Third party ได้อย่างทั่วถึงนางสาว วิไลพร กล่าว

          แนวโน้มดังกล่าว สอดคล้องกับรายงาน 2022 Global Digital Trust Insights Survey ของ PwC ซึ่งทำการศึกษาถึงการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของผู้บริหารทั่วโลกกว่า 3,600 รายพบว่า 60% ของผู้ถูกสำรวจ ยังขาดความเข้าใจอย่างถ่องแท้ถึงความเสี่ยงจากการรั่วไหลของข้อมูลผ่านบุคคลที่สาม ในขณะที่ 20% มีความเข้าใจเพียงเล็กน้อย หรือไม่มีเลยในเรื่องความเสี่ยงทุกประเภท

          นางสาว วิไลพร ยังกล่าวถึง กรณีการตัดเงินที่ผิดปกติผ่านบัตรเครดิตและบัตรเดบิตภายในประเทศว่า แม้ภัยดังกล่าวจะเคยเกิดขึ้นมาหลายครั้งแล้ว แต่ก็ยังไม่สามารถป้องกัน หรือดักจับได้อย่างทันท่วงที เนื่องจากระบบนิเวศทางธุรกิจมีการเชื่อมต่อมากขึ้น และมีการเข้าสู่ระบบโดยใช้การยืนยันตัวตนผ่านแพลตฟอร์มที่หลากหลาย เช่น เฟสบุ๊ค กูเกิล และอื่นๆ ทำให้การวิเคราะห์หาสาเหตุ และการจัดการให้มีระบบรักษาความปลอดภัยที่ดีของข้อมูลทำได้ยาก ซึ่งเหตุการณ์นี้จะสร้างให้เกิดความตระหนักที่มากขึ้นทั้งในส่วนของผู้ให้บริการและเจ้าของบัญชีนางสาว วิไลพร กล่าว

          นอกเหนือจากการจัดการภัยคุกคามไซเบอร์ที่เกิดจากบุคคลภายนอกแล้ว นางสาว วิไลพร กล่าวว่า การบริหารจัดการความปลอดภัยอย่างเป็นระบบเพื่อรับมือกับภัยคุกคามในรูปแบบใหม่ๆ การจัดการปัญหาด้านการขาดแคลนบุคลากรด้านไซเบอร์ และการขับเคลื่อนธุรกิจให้ทันกับโลกยุคดิจิทัลโดยให้ความสำคัญกับเรื่องของความปลอดภัยควบคู่ไปกับความเร็วของการประยุกต์ใช้เทคโนโลยีเพื่อให้ทันคู่แข่ง จะกลายเป็นความท้าทาย 3 อันดับแรกของการสร้างความเชื่อมั่นด้านความปลอดภัยด้านดิจิทัลของไทย

 

          หวั่นภัยไซเบอร์สูงขึ้นในปี 65

          ทั้งนี้ รายงานของ PwC ระบุว่า 60% ของผู้บริหารที่ถูกสำรวจคาดว่า อาชญากรรมทางไซเบอร์จะปรับตัวเพิ่มขึ้นในปี 2565 ขณะที่ 56% ของผู้ถูกสำรวจกล่าวว่า องค์กรของพวกเขาคาดว่าจะมีการละเมิดผ่านซัพพลายเชนซอฟต์แวร์เพิ่มขึ้น อย่างไรก็ดี มีผู้บริหารเพียง 34% เท่านั้น ที่มีการประเมินความเสี่ยงขององค์กรอย่างเป็นรูปธรรม

          ในทำนองเดียวกัน 58% ของผู้ถูกสำรวจคาดว่า การโจมตีบริการคลาวด์จะเพิ่มขึ้น แต่มีผู้บริหารเพียง 37% เท่านั้นที่มีความเข้าใจในความเสี่ยงของระบบคลาวด์

          นอกจากนี้ รายงานฉบับดังกล่าว ยังได้แนะนำหลักการ 4Ps ที่จะช่วยให้ผู้บริหารสามารถตระหนักถึงศักยภาพทางไซเบอร์ขององค์กรได้อย่างเต็มที่ ดังต่อไปนี้

          1. หลักการ (Principle) ซีอีโอต้องสามารถอธิบายหลักการพื้นฐานในการสร้างความปลอดภัยและความเป็นส่วนตัวของข้อมูลได้อย่างชัดเจน

          2. บุคลากร (People) องค์กรต้องจ้างผู้นำที่มีเหมาะสม และให้ผู้บริหารระดับสูงด้านความมั่นคงปลอดภัยสารสนเทศได้ทำงานใกล้ชิดกับฝ่ายธุรกิจขององค์กร

          3. การจัดลำดับความสำคัญ (Prioritisation) องค์กรต้องใช้ข้อมูลเชิงลึกในการประเมินความเสี่ยงอย่างต่อเนื่อง เพราะความเสี่ยงมีการเปลี่ยนแปลงอยู่ตลอดเวลา

          4. การรับรู้ (Perception) เมื่อองค์กรไม่สามารถคาดการณ์อนาคตได้ ผู้บริหารจำเป็นที่จะต้องหาจุดบอดระหว่างความสัมพันธ์และห่วงโซ่อุปทานของธุรกิจเพื่อสร้างความปลอดภัยของข้อมูลตั้งแต่เนิ่นๆ

 

          องค์กรต้องลงทุนให้ถูกจุด

          วันนี้องค์กรมีความตื่นตัวมากขึ้นในเรื่องของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล แต่ยังลังเลในเรื่องของการลงทุน และไม่ทราบว่าจะลงทุนอย่างไรไม่ให้ Underinvest หรือ Overinvest ผู้บริหารหลายรายประสบปัญหากับการวิเคราะห์ตัวเลขที่เหมาะสมกับขนาดและสภาพของธุรกิจ ซึ่งมีตั้งแต่เรื่องของการนำคลาวด์มาใช้ การเชื่อมต่อข้อมูลผ่าน API การบริหารจัดการความเสี่ยงที่มาจากบุคคลภายนอก ไปจนถึงการยกระดับทักษะด้านไซเบอร์ให้กับบุคลากรนางสาว วิไลพร กล่าว

          นางสาว วิไลพร กล่าวทิ้งท้ายว่า องค์กรไทยควรทำการศึกษาตัวธุรกิจและบริเวณที่อาจจะถูกคุกคาม (Threat landscape) รวมทั้งประเมินความเสี่ยงเชิงลึกผ่านการวิเคราะห์เชิงปริมาณ (Quantitative analysis) เพื่อวัดระดับความเหมาะสมสำหรับการลงทุน และให้ความสำคัญกับการมีสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ (Security hygiene) ซึ่งแม้จะเป็นพื้นฐานด้านความปลอดภัย แต่ยังมีการละเลยกันอยู่ในปัจจุบัน

 

A10948

COREHOON

******************************************

line logotwitterLike1 Share3Like1 Share1กด Like - Share  เพจ Corehoon-Power Time เพื่อติดตามเคล็ดลับ ข่าวสาร เทรนด์ และบทวิเคราะห์ดีๆ อัพเดตทุกวัน คัดสรรมาเพื่อท่านนักลงทุนโดยเฉพาะ

 Click Donate Support Web

 

EXIM One 720x90 C J

BITKUB Ad

SAM720x100px bgGC 790x90

smed banpu 720x90 new1 1

apm

 

 

Facebook

5 ข่าวฮอตนิวส์!