เป็นที่ทราบกันดีว่า ข้อผิดพลาดของมนุษย์เป็นหนึ่งในสาเหตุหลักของเหตุการณ์ทางไซเบอร์ต่อองค์กรธุรกิจ แต่ก็ไม่อาจระบุแยกถูกหรือผิดได้ เนื่องสถานะของความปลอดภัยทางไซเบอร์ขององค์กรนั้นซับซ้อนกว่านั้น และมีปัจจัยอีกมากมาย
ด้วยเหตุนี้ แคสเปอร์สกี้จึงได้ทำการศึกษา[1]เพื่อสอบถามความคิดเห็นของผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่ทำงานให้กับ SME และเอ็นเทอร์ไพรซ์ทั่วโลก เกี่ยวกับผลกระทบของพนักงานที่มีต่อความปลอดภัยทางไซเบอร์ของบริษัท การวิจัยนี้มีวัตถุประสงค์เพื่อรวบรวมข้อมูลเกี่ยวกับกลุ่มบุคลากรต่างๆ ที่มีผลต่อความปลอดภัยทางไซเบอร์ โดยพิจารณาจากเจ้าหน้าที่ภายในและผู้ปฏิบัติงานภายนอก โดยมีการสำรวจผู้ตอบแบบสำรวจทั้งหมด 234 รายในเอเชียแปซิฟิก
การศึกษาของแคสเปอร์สกี้เปิดเผยว่า นอกเหนือจากข้อผิดพลาดที่แท้จริงแล้ว การละเมิดนโยบายความปลอดภัยของข้อมูลโดยพนักงานเป็นหนึ่งในปัญหาที่ใหญ่ที่สุดต่อธุรกิจต่างๆ ในภูมิภาคนี้
ผู้ตอบแบบสอบถามจากองค์กรต่างๆ ในเอเชียแปซิฟิกระบุว่า ในช่วงสองปีที่ผ่านมาการกระทำโดยเจตนาเพื่อละเมิดกฎความปลอดภัยทางไซเบอร์นั้นเกิดขึ้นโดยทั้งพนักงานที่ไม่ใช่ฝ่ายไอทีและพนักงานฝ่ายไอที และระบุว่าในช่วงสองปีที่ผ่านมา การละเมิดนโยบายความปลอดภัยโดยเจ้าหน้าที่รักษาความปลอดภัยไอทีอาวุโสทำให้เกิดเหตุการณ์ทางไซเบอร์ 16% ซึ่งสูงกว่าค่าเฉลี่ยทั่วโลก 4% ผู้เชี่ยวชาญด้านไอทีอื่นๆ และเพื่อนร่วมงานที่ไม่ใช่ไอทีทำให้เกิดเหตุการณ์ทางไซเบอร์ประมาณ 15% และ 12% ตามลำดับ
ในแง่ของพฤติกรรมของพนักงานแต่ละคน ปัญหาที่พบบ่อยที่สุดคือพนักงานจงใจทำสิ่งที่ต้องห้าม และล้มเหลวในการปฏิบัติตามมาตรการที่จำเป็น ผู้ตอบแบบสอบถามระบุว่าเหตุการณ์ทางไซเบอร์ในช่วงสองปีที่ผ่านมาจำนวนหนึ่งในสี่ (35%) เกิดขึ้นจากการใช้รหัสผ่านที่ไม่รัดกุมหรือไม่สามารถเปลี่ยนแปลงรหัสผ่านได้ทันท่วงที ซึ่งเป็นจำนวนที่สูงกว่า10% ของผลลัพธ์ทั่วโลกที่ 25%
อีกสาเหตุหนึ่งของการละเมิดความปลอดภัยทางไซเบอร์จำนวนเกือบหนึ่งในสาม (32%) เป็นผลมาจากการที่พนักงานในเอเชียแปซิฟิกเยี่ยมชมเว็บไซต์ที่ไม่ปลอดภัย รายงานพบว่าองค์กร 25% เผชิญกับเหตุการณ์ทางไซเบอร์เนื่องจากพนักงานไม่ได้อัปเดตซอฟต์แวร์ระบบหรือแอปพลิเคชันเมื่อจำเป็น
นายเอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า "น่าตกใจที่ว่า แม้ปีนี้จะมีข่าวการละเมิดข้อมูลและการโจมตีด้วยแรนซัมแวร์ที่เกิดขึ้นหลายครั้งในภูมิภาค แต่พนักงานจำนวนมากยังคงจงใจละเมิดนโยบายความปลอดภัยของข้อมูลขั้นพื้นฐาน ผลการศึกษาล่าสุดนี้แสดงให้เห็นว่าตัวเลขของภูมิภาคนี้สูงกว่าค่าเฉลี่ยทั่วโลกอยู่เสมอ แนวทางการทำงานร่วมกันแบบหลายแผนกเพื่อสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ขององค์กรที่แข็งแกร่ง จึงเป็นความจำเป็นเร่งด่วน เพื่อแก้ไขช่องว่างด้านปัจจัยมนุษย์ที่กำลังถูกอาชญากรไซเบอร์แสวงหาประโยชน์"
การใช้บริการหรืออุปกรณ์ที่ไม่พึงประสงค์เป็นอีกสาเหตุสำคัญที่ทำให้เกิดการละเมิดนโยบายความปลอดภัยของข้อมูลอย่างจงใจ บริษัทจำนวนเกือบหนึ่งในสี่ (31%) ประสบปัญหาทางไซเบอร์ เนื่องจากพนักงานใช้ระบบที่ไม่ได้รับอนุญาตในการแชร์ข้อมูล พนักงานในบริษัท 25% จงใจเข้าถึงข้อมูลผ่านอุปกรณ์ที่ไม่ได้รับอนุญาต ในขณะที่พนักงาน 26% ส่งข้อมูลงานไปยังอีเมลส่วนตัว นอกจากนี้ ยังมีการปรับใช้ Shadow IT หรือการใช้งานซอฟต์แวร์ที่ยังไม่ได้รับการอนุญาตจากผู้ดูแลระบบไอทีบนอุปกรณ์ทำงาน โดยผู้ตอบแบบสอบถาม 15% ระบุว่าทำให้เกิดเหตุการณ์โจมตีทางไซเบอร์
การสำรวจพบข้อมูลที่น่าตกใจ ผู้ตอบแบบสอบถามในเอเชียแปซิฟิกยอมรับว่า นอกเหนือจากพฤติกรรมขาดความรับผิดชอบที่กล่าวไปแล้วนั้น งการกระทำที่เป็นอันตราย 26% เป็นการกระทำโดยพนักงานเพื่อผลประโยชน์ส่วนตัว นอกจากนี้ ผู้ตอบแบบสอบถาม 18% รายงานว่า การละเมิดนโยบายความปลอดภัยของข้อมูลโดยจงใจโดยพนักงาน เป็นปัญหาที่ค่อนข้างใหญ่ในบริการทางการเงิน
นายอเล็กซี่ วอว์ก หัวหน้าฝ่ายความปลอดภัยของข้อมูล แคสเปอร์สกี้ กล่าวว่า "นอกเหนือจากภัยคุกคามความปลอดภัยทางไซเบอร์จากภายนอกแล้ว ยังมีปัจจัยภายในอีกมากมายที่สามารถนำไปสู่เหตุการณ์ในองค์กรได้ ตามสถิติแสดงให้เห็นว่า พนักงานจากแผนกต่างๆ ไม่ว่าจะเป็นผู้เชี่ยวชาญหรือผู้ที่ไม่เชี่ยวชาญด้านความปลอดภัยไอที สามารถส่งผลเสียต่อความปลอดภัยทางไซเบอร์ทั้งโดยตั้งใจและไม่ได้ตั้งใจ ด้วยเหตุนี้ จึงสำคัญที่จะต้องพิจารณาวิธีการป้องกันการละเมิดนโยบายความปลอดภัยของข้อมูล เช่น การนำแนวทางบูรณาการเพื่อความปลอดภัยทางไซเบอร์ จากการวิจัยของเรา นอกเหนือจากเหตุการณ์ทางไซเบอร์ 26% ที่เกิดจากการละเมิดนโยบายความปลอดภัยของข้อมูลแล้ว การละเมิด 38% เกิดขึ้นเนื่องจากความผิดพลาดของมนุษย์ ซึ่งเป็นตัวเลขที่น่าตกใจ จึงจำเป็นต้องสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กรตั้งแต่เริ่มต้น โดยการพัฒนาและบังคับใช้นโยบายความปลอดภัย ตลอดจนสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับพนักงาน ทำให้พนักงานสามารถเข้าถึงกฎอย่างมีความรับผิดชอบมากขึ้น และเข้าใจถึงผลที่ตามมาจากการละเมิดอย่างชัดเจน"
แคสเปอร์สกี้ขอแนะนำมาตรการเพื่อรักษาโครงสร้างพื้นฐานของบริษัทให้ปลอดภัยจากการละเมิดนโยบายความปลอดภัยของข้อมูลโดยพนักงาน ดังนี้
- ใช้ผลิตภัณฑ์รักษาความปลอดภัยทางไซเบอร์ด้วยคุณสมบัติการควบคุมแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ เช่น Kaspersky Endpoint Security for Business และ Kaspersky Endpoint Security Cloud ฟังก์ชันนี้สามารถจำกัดการใช้แอป เว็บไซต์ และอุปกรณ์ต่อพ่วงที่ไม่พึงประสงค์ ซึ่งช่วยลดความเสี่ยงในการติดมัลแวร์ได้
- ฟีเจอร์ Advanced Anomaly Control ของโซลูชัน Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business และ Kaspersky Endpoint Detection and Response Optimum ช่วยป้องกันกิจกรรมที่อาจเป็นอันตรายซึ่ง 'ไม่ปกติ' ครอบคลุมกิจกรรมที่ดำเนินการโดยผู้ใช้และเริ่มโดยผู้โจมตีที่ได้ยึดครองการควบคุมระบบไปเรียบร้อยแล้ว
- ควบคุมการถ่ายโอนข้อมูลทั้งทางเข้าและออกจากระบบ เนื่องจากมีความเสี่ยงเช่นกัน ด้วยโซลูชัน Kaspersky Endpoint Security Cloud, Kaspersky Security for Mail Server และ Kaspersky Security for Microsoft Office 365 จะสามารถแก้ไขได้ด้วยฟังก์ชันการค้นหาข้อมูลและกรองเนื้อหา
- Kaspersky Security for Internet Gateway มีฟีเจอร์การกรองเนื้อหา เพื่อป้องกันการถ่ายโอนข้อมูลที่ไม่พึงประสงค์ โดยไม่คำนึงถึงประเภท สถานะการป้องกันแพลตฟอร์ม หรือพฤติกรรมของผู้ใช้ที่จุดเอ็นพอยต์ภายในเครือข่าย
ผู้สนใจสามารถอ่านรายงานฉบับเต็มและข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับผลกระทบของมนุษย์ต่อความปลอดภัยทางไซเบอร์ของธุรกิจได้ที่ https://www.kaspersky.com/blog/human-factor-360-report-2023/
[1] การสำรวจดำเนินการใน 19 ประเทศ ได้แก่ บราซิล ชิลี จีน โคลอมเบีย ฝรั่งเศส เยอรมนี อินเดีย อินโดนีเซีย ญี่ปุ่น คาซัคสถาน เม็กซิโก รัสเซีย ซาอุดีอาระเบีย แอฟริกาใต้ สเปน ตุรกี สหรัฐอาหรับเอมิเรตส์ สหราชอาณาจักร และสหรัฐอเมริกา
ที่มา: Piton Communications
