วรพงษ์ สุธานนท์ พาร์ทเนอร์ | ที่ปรึกษาความเสี่ยง ดีลอยท์ ประเทศไทย
ภัยคุกคามด้านไซเบอร์ในประเทศไทย
ThaiCERT (Thailand Computer Emergency Response Team) ได้รวมรวมสถิติภัยคุกคามด้านไซเบอร์ของไทยในปี 2564 พบว่า “การเกิดช่องโหว่” เป็นภัยคุกคามอันดับ 1 คิดเป็นสัดส่วนประมาณ 1 ใน 3 ของเหตุคุกคามกว่า 2,000 เรื่อง และในสามเดือนแรกของปี 2565 ภัยคุกคามด้านไซเบอร์ที่พบบ่อยที่สุดเกิดจากการโจมตีด้วยโปรแกรมไม่พึงประสงค์ ซึ่งคิดเป็น 53% ของจำนวนเรื่องที่ได้รับรายงาน
เมื่อพิจารณาพฤติกรรมของผู้บริโภค จากการสำรวจของ ACI Worldwide ระบุว่าประเทศไทยทำธุรกรรมการชำระเงินแบบเรียลไทม์ 9.7 พันล้านครั้งในปี 2564 เป็นอันดับ 3 ของโลกรองจากอินเดียและจีน แต่เมื่อเทียบสัดส่วนกับจำนวนประชากรอาจกล่าวได้ว่าไทยมีรายการชำระเงินแบบอิเล็กทรอนิกส์สูงเป็นอันดับหนึ่งของโลก ปัจจัยส่งเสริมที่สำคัญมาจากการขับเคลื่อนเชิงนโยบายที่ใช้การชำระเงินแบบอิเล็กทรอนิกส์แห่งชาติผ่านโครงการต่าง ๆ เช่น โครงการบัตรสวัสดิการแห่งรัฐ โครงการพร้อมเพย์ และ QR Payment ตลอดจน Government Wallet (G-Wallet) ผ่านแอปพลิเคชันเป๋าตัง ในโครงการคนละครึ่ง เราเที่ยวด้วยกัน ชิมช้อปใช้ การขายสลากดิจิทัลที่เพิ่งเปิดตัวไปเมื่อต้นเดือนมิถุนายน ปี 2565 เป็นต้น
นอกจากนี้ ข้อมูลสถิติของธนาคารแห่งประเทศไทยในไตรมาส 3 ของปี 2565 ระบุว่า ประเทศไทยมีบัญชีผู้ใช้งาน Mobile banking จำนวน 94 ล้านบัญชี ซึ่งเติบโตขึ้นจากปี 2564 ถึง 12% การเติบโตขึ้นอย่างต่อเนื่องของการทำธุรกรรมทางการเงินผ่าน Mobile banking นี้ส่งผลให้เกิดความเสี่ยงทางด้านไซเบอร์มากขึ้นตามไปด้วยอย่างหลีกเลี่ยงไม่ได้
จากที่กล่าวมาจะเห็นได้ว่า ยิ่งเราต้องพึ่งพาเครื่องมือดิจิทัลในชีวิตประจำวันมากขึ้นเท่าไหร่ เราก็มีความเสี่ยงจากการโจมตีทางไซเบอร์เพิ่มมากขึ้นไปด้วย ผู้ที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์อาจเสี่ยงต่อการสูญเสียข้อมูลที่มีความสำคัญ สูญเสียเงินอันเป็นผลพวงมาจากการโจรกรรม หรือ สูญเสียชื่อเสียงจากการขาดความเชื่อมั่น การรักษาความปลอดภัยทางไซเบอร์จึงมีความสำคัญมากขึ้นเรื่อย ๆ นอกจากนี้ ความรู้และความตระหนักของผู้ใช้งานก็เป็นสิ่งสำคัญที่จะต้องสร้างเพื่อเตรียมรับมือจากการโจมตีทางไซเบอร์ที่มีการพัฒนาอย่างให้ซับซ้อนขึ้นไปเรื่อย ๆ
จากการสำรวจของ Deloitte เรื่อง 2023 Global Future of Cyber Survey ระบุว่า 91% ขององค์กรที่สำรวจมีเหตุการณ์ทางไซเบอร์หรือการละเมิดเกิดขึ้นอย่างน้อยหนึ่งรายการ ซึ่งเพิ่มขึ้นจาก 88% ของจำนวนองค์กรที่สํารวจในปี 2021 นอกจากนี้ความกังวลทางไซเบอร์สําหรับองค์กรต่าง ๆ จะมีความแตกต่างกัน โดยองค์กรที่มีระดับวุฒิภาวะด้านไซเบอร์สูงจะกังวลเกี่ยวกับอาชญากรไซเบอร์และผู้ก่อการร้าย ตลอดจนการโจมตีแบบฟิชชิง มัลแวร์ และ แรนซัมแวร์ ส่วนองค์กรที่มีระดับวุฒิภาวะด้านไซเบอร์ระดับกลางถึงต่ำจะมีความกังวลเกี่ยวกับการโจมตีที่ทำให้ระบบไม่สามารถให้บริการได้ (Denial-of-service attacks) ซึ่งแสดงให้เห็นว่าการให้ความสำคัญเพื่อเตรียมรับมือความเสี่ยงด้านไซเบอร์เป็นสิ่งสำคัญที่แต่ละองค์กรต้องคำนึงถึงในการกำหนดกลยุทธ์
การให้ความสำคัญเพื่อเตรียมรับความเสี่ยงด้านไซเบอร์
ความเสี่ยงด้านการทุจริตจากการธุรกรรมอิเล็กทรอนิกส์ส่วนใหญ่มีสาเหตุมาจากการขาดความรอบรู้ใน การใช้เทคโนโลยี ทั้งผู้ขายและผู้บริโภค ทั้งนี้ ทักษะความรู้ด้านดิจิทัล (Digital literacy) ควรประกอบด้วย การเข้าถึงเทคโนโลยีดิจิทัลผ่านอุปกรณ์ (Digital technology access) ทักษะในการใช้งานเทคโนโลยีดิจิทัล (Digital skills) ความรู้ความเข้าใจการทำงานของเทคโนโลยีดิจิทัล (Digital knowledge) และ การตระหนักรับรู้ถึงความเสี่ยงด้านข้อมูล ความเป็น ส่วนตัว และ เงื่อนไขทางกฎหมายที่เกี่ยวกับข้อมูลดิจิทัล (Cyber risk awareness)
Deloitte พบว่าบริษัทขนาดใหญ่ที่มีพนักงาน 20,000 คนขึ้นไปมีแนวโน้มที่จะให้ความสําคัญกับการบริหารความเสี่ยง การเปลี่ยนแปลงทางดิจิทัล และ ความทันสมัยของเทคโนโลยี นอกจากนี้ความตระหนักถึงความสําคัญด้าน ไซเบอร์เป็นส่วนสำคัญในการกำหนดกลยุทธ์ทางธุรกิจ การวางแผนงานไซเบอร์ และ การดําเนินการที่สําคัญ ยกตัวอย่างเช่น
· การวางแผนการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านทางไซเบอร์ประจําปี
· การวางแผนรับมือเหตุการณ์ทางไซเบอร์ที่ปรับปรุงอย่างสม่ำเสมอและทดสอบเป็นประจําทุกปี
· การประเมินความพร้อมด้านไซเบอร์ที่ครอบคลุมวิธีการปกป้องข้อมูล การจัดเก็บข้อมูล การประมวลผลและการส่งข้อมูล
· การประเมินความเสี่ยงด้านไซเบอร์เพื่อตรวจสอบและติดตามความปลอดภัย
· การจัดทำแบบจำลองสถานการณ์ความเสี่ยงที่อาจเกิดขึ้นด้านไซเบอร์ และวิธีรับมือกับสถานการณ์เหล่านั้น (Cyber wargame) เพื่อตรียมความพร้อมในการรับมือภัยคุกคาม และ การโจมตีด้านไซเบอร์ที่จะเกิดขึ้นในอนาคต เป็นต้น
ความท้าทายและโอกาส
การวางแผนด้านกลยุทธ์ทางธุรกิจที่เกี่ยวกับด้านไซเบอร์ จำเป็นที่จะต้องทำควบคู่ไปกับการปรับกระบวนการทำงาน และ การหาบุคลากรที่มีประสบการณ์เหมาะสม ซึ่งเป็นสิ่งที่ท้าทายเนื่องจากประเทศไทยยังขาดบุคลากรทางวิชาชีพทางด้านเทคโนโลยี เช่น โปรแกรมเมอร์ วิศวกรด้านซอฟต์แวร์ หรือ วิศวกรด้านความปลอดภัยของซอฟต์แวร์ เป็นจำนวนมาก
จากการสำรวจของ Deloitte พบว่ากลยุทธ์ที่องค์กรเลือกใช้เพื่อรักษาและพัฒนาบุคลากร ได้แก่ การฝึกอบรมและการให้ประกาศนียบัตร 54% การกำหนดรูปแบบการทำงานที่มีความยืดหยุ่น 50% การกำหนดความก้าวหน้าทางอาชีพสำหรับงานเฉพาะด้าน 45% ขององค์กรที่ตอบแบบสำรวจ เป็นต้น
นอกจากนี้ การส่งเสริมหรือให้บริการทางสังคมเป็นอีกหนึ่งทางเลือกในการพัฒนาบุคลากร รวมถึงกระตุ้นคนรุ่นใหม่ให้สนใจกับเรื่องนี้มากขึ้น เช่น การให้เงินทุนในการสอบประกาศนียบัตร การให้ทุนการศึกษา หรือ การเชิญวิทยากรที่มีความชำนาญจากต่างประเทศมาให้ความรู้ การบริการทางสังคมยังเป็นช่องทางที่ใช้เผยแพร่ความรู้และความเข้าใจในการใช้งานเทคโนโลยีดิจิทัล ตลอดจนความตระหนักถึงความเสี่ยงที่เกิดจากการใช้เทคโนโลยี เพื่อป้องกันการถูกหลอกลวงจากการขโมยข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดกฎหมาย หรือ การยักยอกเงินจากบัญชีธนาคารด้วยความรู้เท่าไม่ถึงการณ์ของผู้ใช้
สุดท้าย การจัดตั้งสมาคมศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ (CERT) ที่เฉพาะเจาะจงตามกลุ่มอุตสาหกรรมต่าง ๆ เช่น กลุ่มเทคโนโลยี กลุ่มธุรกิจการค้า กลุ่มเกษตรกรรม กลุ่มบริษัทหลักทรัพย์ไทย กลุ่มการขนส่ง กลุ่มการท่องเที่ยว กลุ่มการนำเข้าและส่งออก สภาอุตสาหกรรมการผลิต กลุ่มการท่องเที่ยว และ หน่วยงานภาครัฐ จะช่วยให้เกิดการแลกเปลี่ยนข้อมูลเพื่อให้เท่าทันภัยคุกคามที่เกิดขึ้นใหม่ในทุก ๆ วัน เป็นสิ่งสำคัญที่จะช่วยรับมือช่องโหว่ที่ยังไม่เปิดเผยสู่สาธารณะ (Zero-Day) ที่เกิดขึ้นเฉพาะในไทย รวมทั้ง ช่วยให้เทคโนโลยีแบรนด์ไทยได้รับการพัฒนาให้ตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
ข่าวเด่น