5 วิธี SME เก็บข้อมูลให้ปลอดภัยบนโลกออนไลน์

ในปี 2563 เฉพาะในประเทศไทยมีภัยคุกคามไซเบอร์กว่า 2,250 ครั้ง อันดับ 1 คือการโจมตีด้วยโปรแกรมที่ออกแบบมาเพื่อสร้างความเสียหายให้กับระบบคอมพิวเตอร์หรือมัลแวร์ (Malicious Code) จำนวนถึง 687 ครั้ง

ขณะที่ทั่วโลกกำลังสู้กับการแพร่ระบาดของไวรัสโควิด 19 เอสเอ็มอีทั่วโลกจำนวนไม่น้อยก็กำลังต่อสู้กับการโจมตีทางไซเบอร์ โดยเฉพาะในปีนี้ที่มีการคาดการณ์ว่า SME จะตกเป็นเป้าหมายมากกว่าที่เคย เหตุผลก็เพราะบริษัทขนาดใหญ่อาจมีแนวโน้มที่จะเผชิญกับแฮกเกอร์ภัยคุกคามขั้นสูง (APT) หรือการโจมตีที่ซับซ้อนมากขึ้น จึงได้ลงทุนจำนวนมากในการป้องกัน

ต่างกับเอสเอ็มอีที่ส่วนใหญ่แล้วมักขาดโครงสร้างพื้นฐานด้านการรักษาความปลอดภัยทางไซเบอร์ที่องค์กรขนาดใหญ่มี โดยมักจ้างเอาต์ซอสมาดูแลข้อมูล ซึ่งนั่นอาจทำให้ตกเป็นเหยื่อของอาชญากรรมทางไซเบอร์ได้

ในเรื่องนี้ Adam Hunt หัวหน้าเจ้าหน้าที่เทคโนโลยีและหัวหน้านักวิทยาศาสตร์ข้อมูลของ RiskIQ และ Phyllis Newhouse ผู้ก่อตั้งและซีอีโอของ Xtreme Solutions บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้แนะนำเคล็ดลับดีๆ เพื่อให้ธุรกิจเอสเอ็มอีนำไปปรับใช้มาฝาก

ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme 

1. อย่าประเมินมูลค่าธุรกิจของคุณต่ำเกินไป

SME อาจเชื่อว่าการดำเนินธุรกิจของตัวเองไม่ใหญ่พอที่ต้องใช้ระบบรักษาความปลอดภัยแบบเต็มรูปแบบ แต่การโจมตีทางไซเบอร์ไม่เพียงแต่จะกลายเป็นเรื่องธรรมดามากขึ้นเท่านั้น แต่ยังมีความซับซ้อนมากขึ้นด้วย แฮกเกอร์บางรายอาจขโมยข้อมูลประจำตัวของบริษัทหนึ่งเพื่อเข้าถึงบริษัทอื่น เช่น เอสเอ็มอีอาจสูญเสียทรัพย์สินทางปัญญาการวิจัยหรือข้อมูลที่ละเอียดอ่อนของลูกค้าได้ ซึ่งนั่นอาจหมายถึงหายนะที่อาจทำให้ธุรกิจต้องปิดตัวลงได้เลย

โดยผู้ก่อตั้งและซีอีโอของ Xtreme Solutions กล่าวเพิ่มเติมด้วยว่า “ตอนนี้มีบริษัทอยู่ 2 ประเภทก็คือ บริษัทที่ถูกแฮกแล้ว และบริษัทที่กำลังจะถูกแฮก”
 

2. สำรองข้อมูลทุกอย่างเพื่อความปลอดภัย

การโจมตีของแรนซัมแวร์ (Ransomware) ก็คือการที่แฮกเกอร์ใช้มัลแวร์ประเภทหนึ่งที่จะป้องกันไม่ให้ บริษัทต่างๆ เข้าถึงระบบตัวเองเว้นแต่ยอมจ่ายค่าไถ่จำนวนมหาศาล โดยตั้งแต่ปี 2559 การโจมตีของ Ransomware เพิ่มขึ้น 6,000 เปอร์เซ็นต์ทั่วโลก และจากการศึกษาของ IBM แรนซัมแวร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง โดยหลังจากการระบาดของโควิด 19 แฮกเกอร์มักมุ่งเป้าไปที่ระบบไอทีในโรงพยาบาลหรือการดูแลสุขภาพเป็นสำคัญ

ดังนั้นเอสเอ็มอีควรตรวจสอบให้แน่ใจว่ากิจการของคุณ ได้สำเนาทุกสิ่งทุกอย่างที่สำคัญและจำเป็น หรือข้อมูลที่ขาดไม่ได้เรียบร้อยแล้วหรือยัง?

3. ซักซ้อมแผน ประหนึ่งวิกฤตไซเบอร์ได้เกิดขึ้นจริง

เอสเอ็มอีควรทดสอบความพร้อมทางไซเบอร์อยู่เสมอ ซึ่งวิธีหนึ่งที่สามารถทำได้คือการฝึกซ้อมแผนบนโต๊ะ (Table–Top Exercise : TX) โดยจำลองสถานการณ์วิกฤตไซเบอร์ที่เกิดขึ้นจริง เพื่อเตรียมการตั้งรับ ป้องกัน และแก้ไข พร้อมทำความเข้าใจในบทบาทหน้าที่ ความรับผิดชอบ เพื่อให้ผู้ร่วมฝึกซ้อมทุกคนเข้าใจในสถานการณ์ภาพรวมเหตุการณ์ที่อาจเกิดขึ้น

บ่อยครั้งที่พนักงานจำนวนไม่น้อยอาจละเลยการเปลี่ยนรหัสผ่านทุกๆ 30 วัน หรือพนักงานหลายคนอาจถูกหลอกลวงด้วย Phishing ง่ายๆ (เทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูลสำคัญ) โดย Phyllis Newhouse กล่าวเพิ่มเติมว่า การละเมิดข้อมูลเกิดขึ้นได้บ่อยครั้งเนื่องจากบริษัทต่างๆ ละเลยที่จะปฏิบัติตามสุขอนามัยทางไซเบอร์ (Cyber Hygiene) ที่เหมาะสม การฝึกซ้อมแผนจะช่วยให้บริษัทตระหนักถึงจุดอ่อนในระบบของตัวเอง และสิ่งที่จะสามารถทำได้เพื่อปรับปรุงให้มีความปลอดภัยมากยิ่งขึ้น

4. งบประมาณด้าน Cyber Security

ด้วยความที่เอสเอ็มอีมีงบประมาณจำกัดในการใช้จ่ายด้านความปลอดภัยทางไซเบอร์ ดังนั้นเมื่อตัดสินใจว่าจะลงทุนแล้ว บริษัทต่างๆ ก็ควรคำนึงถึงจำนวนเงินที่จะสูญเสียหากข้อมูลของตนถูกโจรกรรม โดยผู้ก่อตั้งและซีอีโอของ Xtreme Solutions ได้ยกเคสตัวอย่างก็คือ บริษัทกฎหมายเล็กๆ ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ มีพนักงานไอทีคนหนึ่งซึ่งเป็นพนักงานที่ไม่มีพื้นฐานทางไซเบอร์ ก่อนจบลงด้วยการจ่ายเงินค่าไถ่ประมาณ 2 ล้านเหรียญสหรัฐ (ราว 60 ล้านบาท) เพื่อให้ได้ข้อมูลที่ถูกโจรกรรมกลับคืนมา

“หากคุณมองความสูญเสียที่แท้จริงของบริษัทแล้ว โดยเฉพาะในแง่ของทรัพย์สินทางปัญญา การวิจัย และอื่นๆ นับว่าเป็นการลงทุนที่คุ้มค่า โดยการให้เอาต์ซอสที่มีประสบการณ์เชี่ยวชาญโดยเฉพาะมาดูแล เพื่อให้แน่ใจว่าข้อมูลปลอดภัย หรือจะจ้างใครสักคนที่มีความรู้ความสามารถในเรื่องนี้จริงๆ มาดูแล Cyber security เป็นการเฉพาะ” ซีอีโอของ Xtreme Solutions กล่าวเสริม

5. ลงทุนในเครื่องมือสแกนเพื่ออุดช่องโหว่

เอสเอ็มอีควรลงทุนในเครื่องสแกนช่องโหว่ ซึ่งเป็นซอฟต์แวร์อัตโนมัติที่สแกนเครือข่ายเว็บเซิร์ฟเวอร์และแอปพลิเคชันเป็นประจำ โดยจะทำให้บริษัททราบว่าจุดอ่อนของตัวเองคืออะไร ซึ่งนั่นก็หมายถึงช่องโหว่ด้านความปลอดภัยด้วย เพื่อที่จะได้เร่งอุดรอยรั่วและเสริมระบบป้องกันได้ทันท่วงที

ข้อสำคัญที่ควรทราบก็คือ บริษัทผู้ให้บริการรักษาความมั่นคงปลอดภัยทางไซเบอร์นั้นเป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮกเกอร์ ในขณะที่การลงทุนด้านความปลอดภัยอาจทำให้เอสเอ็มอีรู้สึกปลอดภัย แต่สิ่งสำคัญคือต้องพิจารณาถึงความน่าเชื่อถือของ Cybersecurity Vendor รวมถึงต้องมีการประเมินว่า มาตรฐานที่เอ่ยอ้างนั้นสามารถทำได้จริงด้วย

“แม้จะเป็นผู้ให้บริการที่เชื่อถือได้ในวงการ Cybersecurity เอสเอ็มอีก็ต้องประเมินมาตรฐานอย่างละเอียดเพื่อให้แน่ใจถึงความปลอดภัยที่เราจะได้รับ” Adam Hunt กล่าวทิ้งท้าย

ความท้าทายสำหรับเอสเอ็มอีก็คือ สินค้าหรือบริการที่เกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ที่มีอยู่ในปัจจุบันนั้น มักจะถูกออกแบบมาให้ใช้งานได้แพร่หลายในหลายอุตสาหกรรม ทำให้บ่อยครั้งที่แนวทางการแก้ไขปัญหาเหล่านี้ ไม่สามารถนำมาติดตั้งหรือแก้ปัญหาเฉพาะด้าน หรือไม่สามารถตอบสนองต่อเป้าหมายเฉพาะบางประการได้ ขณะที่เมื่อพัฒนาเทคโนโลยีขึ้นมาใช้เองก็เวลานานจนบางครั้งอาจไม่ทันกับสถานการณ์ รวมถึงการใช้เทคโนโลยีอนาไลติกส์มาใช้ในการช่วยวิเคราะห์ธุรกิจและภัยคุกคาม แต่มักจะเห็นผลตอบแทนช้า อันเนื่องมาจากปริมาณข้อมูลไม่มากเพียงพอ

แหล่งอ้างอิง :

https://www.inc.com/amrita-khalid/

https://www.inc.com/magazine/

https://www.depa.or.th/

https://www.thaicert.or.th/

http://www.rdpb.go.th/

https://www.dga.or.th/

สมัครสินเชื่อ >>สินเชื่อธุรกิจบัวหลวง SMEs ดีแน่นอน<<