สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

ถึงเวลาระวังข้อมูลองค์กรรั่วไหล เมื่อ คนในกลายเป็นช่องโหว่

จุลดิส รัตนคำแปง
itdigest@thairath.co.th

ไทยรัฐ - ปัจจุบันปัญหาด้านความปลอดภัยด้านเทคโนโลยีสารสนเทศในองค์กร เป็นเรื่องที่ได้รับความสนใจมากขึ้น จากธุรกิจและอุตสหากรรมต่างๆ องค์กรมากมายพยายามทุ่มงบประมาณจำนวนมาก ในการวางระบบป้องกันภัยคุกคาม อย่างไรก็ตาม ผู้เชี่ยวชาญในวงการเครือข่าย และการรักษาความปลอดภัยข้อมูลสารสนเทศ หรือ อินฟอร์เมชัน ซิเคียวริตี้ ต่างเห็นพ้องตรงกันว่า จุดอ่อนของระบบคอมพิวเตอร์ที่สำคัญ และมีช่องโหว่มากที่สุด คือ ตัวพนักงานในองค์กร หรือ User ที่เป็นผู้ใช้งานนั่นเอง

จากผลการสำรวจที่น่าสนใจของ บริษัท ซิสโก้ ซิสเต็มส์ ที่ได้ว่าจ้างให้ อินไซท์เอ็กซ์เพรส บริษัท วิจัยด้านการตลาดในสหรัฐอเมริกา ศึกษาข้อมูลการรักษาความปลอดภัย และ การรั่วไหลของข้อมูลในองค์กรธุรกิจ หลังจากที่รูปแบบการทำงานในปัจจุบันเปลี่ยนไปจากเดิม พนักงานสามารถทำงานจากนอกสำนักงานได้มากขึ้น จึงเกิดความเหลื่อมซ้อนกันระหว่างชีวิตทำงาน และชีวิตส่วนตัว ผนวกกับการเพิ่มจำนวนขึ้นของอุปกรณ์และแอพลิเคชันต่างๆ อาทิ โทรศัทพ์มือถือ โน้ตบุ๊ค เว็บ 2.0 และเครือข่ายสังคมออนไลน์ โดยกลุ่มตัวอย่างพนักงานและคนไอทีกว่า 2,000 คนใน 10 ประเทศทั่วโลก ได้แก่ สหรัฐอเมริกา อังกฤษ ฝรั่งเศส เยอรมนี อิตาลี่ ญี่ปุ่น จีน อินเดีย ออสเตรเลีย และบราซิล

การศึกษาครั้งนี้แบ่งกลุ่มตัวอย่างเป็นพนักงานทั่วไป 1,000 คน ผู้เชี่ยวชาญด้านไอที 1,000 คน ระบุให้ 800 คน อยู่ในออสเตรเลีย จีน อินเดีย และญี่ปุ่น เพื่อเป็นตัวแทนของการปฏิบัติแบบเอเชียแปซิฟิค เพื่อให้เกิดความหลากหลายในด้านสังคม และวัฒนธรรมทางธุรกิจ รวมทั้งการตั้งเครือข่ายสังคมออนไลน์ที่เชื่อมโยงหากัน ตลอดจนผู้ใช้งานอินเทอร์เน็ตมีความหลากหลาย

จากการศึกษาฯ พบว่า พฤติกรรมการรักษาความปลอดภัยของพนักงานแต่ละประเทศ ในภูมิภาคเอเชียแปซิฟิคมีความแตกต่างกันมาก เพราะจีน และอินเดียพบการฝ่าฝืนความปลอดภัยค่อนข้างสูง แต่ในประเทศออสเตรเลีย และญี่ปุ่นกลับตรงกันข้าม อาทิ พนักงานในจีนใช้โปรแกรมสนทนาออนไลน์ ในเรื่องส่วนตัวถึง 74% ขณะที่ในญี่ปุ่นมีเพียง 4% เท่านั้น นอกจากนี้พนักงานชาวจีน และอินเดีย ยังมีพฤติกรรมการใช้งานแอพลิเคชันที่ไม่ได้รับอนุญาต และเปลี่ยนแปลงระบบรักษาความปลอดภัยโดยไม่ได้รับอนุญาต สูงกว่าญี่ปุ่นและออสเตรเลียมากด้วยเช่นกัน

นายแพทริก ปีเตอร์สัน รองประธานฝ่ายเทคโนโลยี หน่วยธุรกิจไอรอนพอร์ต ซิสเต็มส์ บริษัทซิสโก้ ซิสเต็มส์ ให้ความเห็นว่า ขณะที่องค์กรธุรกิจนำเอาเทคโนโลยีไอที มาปรับใช้ช่วยให้พนักงานสามารถประสานความร่วมมือในการทำงานกันได้มากขึ้น รวมถึงการทำงานจากที่ใดก็ได้ ทั้งหมดนี้เป็นไปเพื่อผลิตผล และการเพิ่มความได้เปรียบในการแข่งขัน แต่ถ้าปราศจากนโยบาย เทคโนโลยี ไม่มีการให้ความรู้ และการสร้างความตระหนักรู้แล้ว จะทำให้ข้อมูลองค์กรและข้อมูลส่วนบุคคลอยู่ในความเสี่ยงสูง

รองประธานฝ่ายเทคโนโลยีฯ บ.ซิสโก้ ให้ความเห็นต่อว่า การค้นพบพฤติกรรมเหล่านี้ ช่วยให้องค์กรธุรกิจสามารถปรับปรุง การให้ความรู้กับพนักงานได้ตรงกับสถานการณ์ที่เกิดขึ้นจริง และสร้างแผนบริหารจัดการความเสี่ยงที่ครอบคลุม สำหรับการปกป้องข้อมูลองค์กรไม่ให้สูญหายอย่างได้ผลนั้น ผู้ใช้ระบบต้องรู้จักข้อมูลของตนเอง รู้ว่าข้อมูลจัดเก็บอยู่ที่ใด จะเข้าถึงข้อมูลได้อย่างไร และจะนำข้อมูลไปใช้งานได้อย่างไร ที่สำคัญต้องปฏิบัติต่อทุกข้อมูลราวกับว่าเป็นข้อมูลของตนเอง และปกป้องให้เหมือนกับว่าเป็นเงินของตนเองด้วย

นอกจากนี้ต้องให้ความรู้กับพนักงานถึงการป้องกันข้อมูล และ เปรียบเทียบให้พนักงานเห็นถึงจำนวนเงิน ที่จะสูญเสียไปเมื่อข้อมูลรั่วไหล ลำดับถัดมา จะต้องคิดให้กว้างไกล แต่เริ่มลงมือทำให้เข้ากับวัฒนธรรมของตัวเอง สร้างโปรแกรมการให้ความรู้ที่เหมาะกับวัฒนธรรมองค์กร และจะต้องให้ความสะดวกใจกับพนักงานในการรายงานเหตุการณ์ที่เกิดขึ้น เพื่อให้ฝ่ายไอทีสามารถแก้ปัญหาได้ตรงจุด สุดท้ายคือฝ่ายไอทีจะต้องให้พนักงานในองค์กรมีความรับผิดชอบร่วมกัน ในเรื่องการรักษาความปลอดภัยข้อมูล เพราะการป้องกันข้อมูลที่ดีต้องการทีมเวิร์คจากทุกฝ่าย ไม่ใช่งานของฝ่ายไอทีอย่างเดียวอีกต่อไป

สำหรับ10 พฤติกรรมที่ควรพิจารณามากที่สุด จากการสำรวจของซิสโก้ มีดังต่อไปนี้

1.การแก้ไขระบบป้องกันในคอมพิวเตอร์ พนักงาน 1 ใน 5 คนจะแก้ไขระบบป้องกันบนอุปกรณ์ที่ใช้ในการทำงาน เพื่อที่จะสามารถล่วงละเมิดนโยบายที่ฝ่ายไอทีติดตั้งไว้ ทำให้เข้าเว็บไซต์ที่บริษัทไม่อนุญาตได้ โดยการกระทำดังกล่าว เป็นเรื่องปกติในสังคมเศรษฐกิจดาวรุ่ง เช่น ประเทศบราซิล จีน และอินเดีย โดยมีจำนวน 52% ให้เหตุผลว่าเพียงแค่ต้องการเข้าเว็บไซต์เหล่านั้น และ 1 ใน 3 คิดว่าสิ่งที่พวกเขาทำ “ไม่ใช่ธุระของใคร” ขณะที่ญี่ปุ่น และ ออสเตรเลียมีพนักงานที่มีพฤติกรรมลักษณะนี้ จำนวนเล็กน้อยเท่านั้น

2.การใช้งานแอพลิเคชันที่ไม่ได้รับอนุญาต ผู้เชี่ยวชาญด้านไอที 7 ใน 10 คนเชื่อว่าการใช้งานโปรแกรมที่ไม่ได้รับอนุญาตมีผลกับการทำให้ข้อมูลองค์กร รั่วไหลอย่างไม่ตั้งใจ โดยความเชื่อดังกล่าวเป็นเรื่องที่พบเป็นปกติในสหรัฐอเมริกา (74%) บราซิล (75%) และอินเดีย (79%)

3.การใช้งานระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต 2 ใน 5 ของผู้เชี่ยวชาญและผู้ดูแลระบบไอทีต้องพบกับปัญหาพนักงานเชื่อมต่อเข้าไปยัง ระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต พฤติกรรมนี้เกิดขึ้นอย่างแพร่หลายในประเทศจีน โดยพนักงาน 2 ใน 3 ยืนยันประเด็นดังกล่าว และ 14% ยืนยันว่าเหตุการณ์เช่นนี้เกิดขึ้นทุกเดือน ทว่าพฤติกรรมเดียวกันกลับพบเห็นเพียงเล็กน้อย ในประเทศญี่ปุ่นและเยอรมนี

4.การแลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กร 1 ใน 4 ของพนักงาน (24%) ยอมรับว่าได้แลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กรกับบุคคลอื่นที่ไม่ใช่ พนักงาน เช่น เพื่อน บุคคลในครอบครัว หรือบางครั้งกับคนแปลกหน้า โดยประเทศบราซิลเกิดเหตุการณ์นี้เป็นจำนวนเปอร์เซ็นต์สูงที่สุด (47%) เหตุผลส่วนมาก ต้องการแลกเปลี่ยนความคิดกับใครบางคน และต้องการคนช่วยตอกย้ำว่าถูกต้อง ท้ายที่สุดคือไม่คิดว่าการกระทำดังกล่าวจะเป็นเรื่องผิดปกติ

5.การแลกเปลี่ยนอุปกรณ์ขององค์กร เกือบครึ่งของพนักงานที่ทำแบบสำรวจ (44%) ได้แลกเปลี่ยนการใช้อุปกรณ์ในการทำงานซึ่งกันและกัน รวมถึงแลกเปลี่ยนกับบุคคลอื่นที่ไม่ใช่พนักงาน โดยไม่มีการปรึกษาหัวหน้างาน

6.ความไม่ชัดเจนของการใช้งานอุปกรณ์ส่วนตัวกับการทำงาน 2 ใน 3 ของพนักงานยอมรับว่าได้ใช้งานเครื่องคอมพิวเตอร์ สำหรับการทำงานไปกับเรื่องส่วนตัวด้วย เช่น การดาวน์โหลดเพลง การชอปปิ้ง การทำธุรกรรมการเงิน รวมถึงการพนันออนไลน์และดูภาพลามก นอกจากนี้ครึ่งหนึ่งของพนักงานใช้อีเมล์ส่วนตัวถึงลูกค้า หรือ เพื่อนร่วมงาน แต่มีเพียง 40% กล่าวว่าการกระทำดังกล่าวได้รับการอนุญาตจากฝ่ายไอทีขององค์กรแล้ว และมีเพียง 1% ของพนักงานจีนที่ระบุว่าจะไม่ทำงานจากบ้าน ขณะที่มีพนักงานชาวญี่ปุ่นถึง 28% ที่ระบุในเรื่องเดียวกัน

7.ขาดการป้องกันตัวอุปกรณ์ 1 ใน 3 ของพนักงานเปิดเครื่องคอมพิวเตอร์ ที่ยังล็อกอินอยู่ในระบบทิ้งไว้เมื่อไม่อยู่ที่โต๊ะ หรือเปิดเครื่องไว้ข้ามคืน เปิดโอกาสให้ผู้ไม่พึงประสงค์สามารถเข้าถึงข้อมูลองค์กรในระดับชั้นความลับ รวมถึงข้อมูลส่วนบุคคล ทำให้ข้อมูลรั่วไหลหรือสูญหายได้

8.การเก็บชื่อผู้ใช้และพาสเวิร์ดไว้ในที่ที่เปิดเผย 1 ใน 5 ของพนักงานเก็บชื่อผู้ใช้และรหัสลับไว้บนเครื่องคอมพิวเตอร์ หรือเขียนวางทิ้งไว้บนโต๊ะ บ้างเก็บในตู้ที่ไม่ได้ล็อค รวมถึงติดไว้บนคอมพิวเตอร์ ในบางประเทศเช่นประเทศจีน (28%) พนักงานรายงานการเก็บข้อมูลเปิดเครื่อง และ รหัสลับของบัญชีการเงินส่วนบุคคล ไว้บนเครื่องมือที่ใช้ในการทำงาน การกระทำดังกล่าวมีความเสี่องต่อทั้งข้อมูลส่วนบุคคล และ ข้อมูลด้านการเงิน ทั้งนี้ พบว่าพฤติกรรมดังกล่าวพนักงานกระทำไปโดยไม่ได้ตั้งใจ ทว่านับวันความเสี่ยงที่เกิดจากพฤติกรรมลักษณะนี้จะยิ่งมีมากขึ้น

9.อุปกรณ์จัดเก็บข้อมูลสูญหาย เกือบ 1 ใน 4 ของพนักงาน (22%) จัดเก็บข้อมูลองค์กรไว้ในอุปกรณ์จัดเก็บข้อมูลที่เคลื่อนย้ายได้และนำออกไป นอกสำนักงาน พฤติกรรมดังกล่าวเป็นเรื่องปกติในประเทศจีน (41%) ซึ่งมีข่าวเมื่อไม่นานมานี้ ที่แสดงให้เห็นถึงความเสี่ยงที่เกิดขึ้นเมื่ออุปกรณ์เหล่านี้ ถูกขโมยหรือสูญหายไป อาทิ ข่าวโรงพยาบาลในฮ่องกง และข่าวของกระทรวงการป้องกันประเทศในประเทศอังกฤษ เป็นต้น

10.การปล่อยให้มีคนภายนอกเดินตามพนักงานเข้าไปในสำนักงาน โดยไม่มีการตรวจสอบ และการอนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ปรึกษาหัวหน้า มากกว่า 1 ใน 5 ของพนักงานในประเทศเยอรมัน (22%) อนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ขออนุญาตหัวหน้าของ ตน ผลเฉลี่ยอยู่ที่ 13% และ 18% ของพนักงานอนุญาตให้บุคคลที่ไม่รู้จักเดินตามหลังเข้ามาและรุกล้ำเข้าไปใช้ อุปกรณ์สำนักงานโดยไม่ได้รับอนุญาต

ด้าน นายกิตติพงศ์ ทุมนัส ผู้จัดการหน่วยธุรกิจไอรอนพอร์ต บริษัทซิสโก้ ซิสเต็มส์ (ประเทศไทย) จำกัด ให้ความเห็นว่า ขณะที่เทรนด์การทำงานนอกสำหนักงาน หรือทำงานที่บ้านกำลังได้รับความนิยมสูง เพราะทำให้องค์กรประหยัดค่าใช้จ่าย แต่เมื่อพนักงานอยู่ข้างนอก ก็ย่อมไม่ปลอดภัยเท่ากับนั่งในออฟฟิศ เสี่ยงต่อการถูกขโมยข้อมูลผ่านเครือข่ายไร้สาย ถือเป็นความท้าทายของคนทำงานแบบ “Mobility Workers” ที่จะต้องปกป้องข้อมูลขององค์กรไว้ เพราะอันตรายมีหลายรูปแบบ อย่างไรก็ตามการจัดหาโซลูชันซิเคียวริตี้ในองค์กร ก็เป็นแค่ส่วนหนึ่งเท่านั้น

จะเห็นว่าไม่ใช่แค่ภัยจากคนนอกองค์กรเท่านั้นที่น่ากลัว แต่คนในองค์กรที่มีรูปแบบการทำงานนอกสถานที่ หรือ ทำงานที่บ้านก็ใช่ว่าจะมีแต่ความสะดวกสบาย ลดค่าใช้จ่าย แต่องค์กรเองก็ต้องรับความเสี่ยง จากตัวพนักงานด้วยเช่นกัน โดยผู้บริหารทุกคนควรมีข้อมูล รู้ว่าพนักงานของบริษัท แต่ละคนใช้คอมพิวเตอร์ทำอะไรบ้าง หรือ มีการทำงานตามนโยบายที่ควบคุมไว้หรือไม่ ทั้งนี้ ควรที่จะอธิบายให้พวกเขาเข้าใจ และเห็นความสำคัญของการรักษาความปลอดภัยข้อมูล ทำให้พนักงานได้รับรู้ถึงอันตราย และความเสียหายที่จะเกิดขึ้น หากข้อมูลภายในองค์กรรั่วไหลออกไป ตรงนี้จะเป็นประโยชน์มากที่สุด...


view