งานวิจัยฉบับล่าสุดของแคสเปอร์สกี้[1] ชี้ว่าภายในระยะเวลาสองปีที่ผ่านมา ธุรกิจทั่วโลก 11% ที่เป็นเป้าการโจมตีทางไซเบอร์นั้นมีสาเหตุมาจากที่พนักงานใช้งานอุปกรณ์ไอทีจากภายนอกระบบ โดยสามารถจำแนกผลกระทบจากการใช้งานอุปกรณ์ไอทีนอกระบบได้ตามความรุนแรงของความเสียหาย ซึ่งไม่ได้เป็นเพียงเรื่องเล็กน้อย ทั้งการรั่วไหลของข้อมูลลับเฉพาะและความเสียหายต่อธุรกิจ
ไอทีนอกระบบคืออะไร
คำว่าไอทีนอกระบบ หรือ Shadow IT หมายถึงโครงสร้างพื้นฐานด้านไอทีที่อยู่นอกขอบเขตการเฝ้าระวังของฝ่ายไอทีและฝ่ายรักษาความปลอดภัยข้อมูล เช่น แอปพลิเคชัน อุปกรณ์ต่าง ๆ บริการคลาวด์สาธารณะ และอื่น ๆ ซึ่งไม่ได้นำมาผนวกเข้ากับนโยบายรักษาความปลอดภัยข้อมูลของทางธุรกิจ การนำไอทีนอกระบบมาใช้งานหรือปฏิบัติงานบนระบบดังกล่าว สามารถนำไปสู่ผลเสียหายทางธุรกิจได้ งานวิจัยของแคสเปอร์สกี้พบว่ามีเหตุการณ์ความเสียหายเกิดขึ้นมากมาย ซึ่งเผยให้เห็นว่าอุตสาหกรรมไอทีตกเป็นเป้าการโจมตีอย่างหนัก ในช่วงปี 2565 - 2566 ความเสียหายจากการโจมตีทางไซเบอร์ 16% เกิดจากการใช้งานไอทีนอกระบบ ขณะที่ภาคอุตสาหกรรมอื่นที่ได้รับผลกระทบแบบเดียวกันคืออุตสาหกรรมโครงสร้างพื้นฐานหลัก และภาคอุตสาหกรรมการคมนาคมขนส่ง ในสัดส่วน 13%
จากกรณี Okta ล่าสุด สามารถยืนยันความร้ายแรงของปัญหาการใช้งานไอทีนอกระบบได้เป็นอย่างดี โดยกรณีดังกล่าวมีพนักงานที่ใช้งานบัญชีกูเกิ้ลของตนเองในอุปกรณ์ขององค์กรโดยไม่ได้ตั้งใจ ทำให้อาชญากรพบช่องโหว่ในการเล็ดลอดเข้าสู่ระบบดูแลลูกค้าของ Okta ได้ จากนั้นก็ยึดไฟล์ที่มีโทเคนของส่วนต่าง ๆ ไว้ในการครอบครอง นำมาใช้ต่อยอดการโจมตีได้ Okta รายงานว่า เหตุการณ์ดังกล่าวเกิดขึ้นเป็นเวลา 20 วัน และส่งผลกระทบต่อธุรกิจของลูกค้ามากกว่า 134 ราย
ล้อมกรอบ 'เงาเลือนลาง' ให้เด่นชัด
เมื่อกล่าวถึงการตรวจหาไอทีนอกระบบ สิ่งใดบ้างที่เราต้องมองหา โจทย์ข้อนี้สามารถระบุได้ว่าอาจเป็นแอปพลิเคชันที่ไม่ผ่านการรับรองที่ติดตั้งอยู่บนคอมพิวเตอร์ของพนักงาน หรือแฟลชไดรฟ์ไม่พึงประสงค์ ไปจนถึงโทรศัพท์มือถือและโน้ตบุ๊ก เป็นต้น
แต่ก็ยังมีปัจจัยอื่น ๆ ที่มีความน่าสงสัยน้อยกว่าว่าอาจจะสามารถเป็นไอทีนอกระบบได้เช่นกัน ตัวอย่างที่น่าสนใจคือ อุปกรณ์ฮาร์ดแวร์ของระบบที่ถูกโละจากการปรับปรุงหรือจัดระเบียบโครงสร้างพื้นฐานไอทีใหม่ ซึ่งอุปกรณ์เหล่านี้ก็สามารถนำมาใช้งานเป็นไอทีนอกระบบได้โดยตัวพนักงานเอง เกิดช่องโหว่ที่ไม่ช้าก็เร็วจะสามารถหลุดเข้าไปยังระบบโครงสร้างพื้นฐานขององค์กรได้
ในส่วนของผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศและโปรแกรมเมอร์ สิ่งที่เห็นบ่อยๆ คือพวกเขาสามารถเขียนและออกแบบโปรแกรมของตนเอง เพื่อเพิ่มประสิทธิภาพของทีมหรือองค์กรทั้งหมดได้ หรือใช้แก้ไขปัญหาภายใน ทำให้งานเร็วขึ้นและมีประสิทธิผลมากขึ้น อย่างไรก็ตาม พวกเขาก็มักจะไม่แจ้งให้แผนกความปลอดภัยข้อมูลทุกครั้งที่มีการใช้งานโปรแกรมเหล่านี้ และสิ่งนี้ก่อให้เกิดความเสียหายที่อาจตามมาได้อย่างร้ายแรง
นายอเล็กซี วอฟก์ หัวหน้าฝ่ายรักษาความปลอดภัยของข้อมูล แคสเปอร์สกี้ กล่าวว่า "พนักงานที่ใช้แอปพลิเคชัน อุปกรณ์ หรือบริการคลาวด์ ที่ไม่ผ่านการอนุมัติจากฝ่ายไอที มีความเชื่อว่าหากอุปกรณ์ไอทีเหล่านั้นมาจากผู้จัดจำหน่ายที่เชื่อถือได้ อุปกรณ์เหล่านี้ก็ควรมีความปลอดภัยและได้รับการปกป้องอยู่ก่อนแล้ว อย่างไรก็ดี ใน 'เงื่อนไขและข้อตกลงการใช้งาน' ของผู้จัดจำหน่ายหรือผู้ให้บริการบุคคลที่สามนั้น จะใช้คำว่า 'รูปแบบความรับผิดชอบร่วมกัน' โดยระบุว่า ด้วยการเลือกตอบ 'ข้าพเจ้ายินยอม' นั่นหมายถึงผู้ใช้งานยอมรับเงื่อนไขว่าพวกเขาจะทำการอัปเดตซอฟต์แวร์นั้น ๆ อย่างสม่ำเสมอ และพร้อมรับผิดชอบต่อกรณีความเสียหายใด ๆ ที่อาจเกิดขึ้นจากการใช้งานซอฟต์แวร์ดังกล่าว (รวมถึงการรั่วไหลของข้อมูลด้วย) แต่ในท้ายที่สุดแล้ว ธุรกิจก็ยังมีความจำเป็นที่จะต้องมองหาเครื่องมือในการควบคุมไอทีนอกระบบที่ใช้งานโดยพนักงาน ดังนั้นเราจึงขอแนะนำ Kaspersky Endpoint Security for Business และ Kaspersky Endpoint Security Cloud ที่มอบฟังก์ชันการควบคุม แอปพลิเคชัน เว็บไซต์ และตัวอุปกรณ์ ที่จะช่วยในการจำกัดการใช้งานแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ต่อพ่วงที่ไม่พึงประสงค์ได้ ขณะที่ฝ่ายรักษาความปลอดภัยข้อมูลก็ยังต้องทำการสแกนเครือข่ายภายในองค์กรตามปรกติเพื่อป้องกันการลักลอบใช้งานแอปพลิเคชัน อุปกรณ์ และบริการ ที่ไม่ปลอดภัยและไม่สามารถควบคุมได้"
โดยทั่วไปแล้ว การใช้ไอทีนอกระบบ หรือ Shadow IT อย่างแพร่หลายในองค์กรนั้น เป็นสถานการณ์ที่ซับซ้อนและอาจก่อให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัยได้ สาเหตุหนึ่ง คือ พนักงานไม่ทราบผลที่ตามมาหากฝ่าฝืนนโยบายเทคโนโลยีสารสนเทศขององค์กร นอกจากนี้ ยังอนุมานได้ว่าการใช้งานไอทีนอกระบบจะกลายเป็นภัยคุกคามระดับแถวหน้าต่อองค์กรภายในปี 2568 อย่างไรก็ตามข่าวดีสำหรับองค์กร คือแรงจูงใจของพนักงานในการใช้อุปกรณ์ไอทีนอกระบบนั้นไม่ได้เป็นไปในแง่ร้ายเสมอไป ยิ่งไปกว่านั้นแรงจูงใจดังกล่าวยังออกมาในทางตรงกันข้ามอีกด้วย ในหลาย ๆ กรณีพนักงานเลือกใช้ไอทีนอกระบบในฐานะตัวช่วยในการขยายศักยภาพของอุปกรณ์ที่ตนใช้ในการทำงาน ด้วยเหตุผลที่ว่าชุดซอฟต์แวร์ที่ได้รับการอนุมัติให้ทำงานในระบบนั้นยังไม่เพียงพอต่อการเพิ่มประสิทธิภาพ หรือเหตุผลที่เรียบง่ายกว่านั้นคือพวกเขาถนัดใช้งานโปรแกรมที่ตนเองคุ้นเคยจากคอมพิวเตอร์ของตนเองมากกว่าเท่านั้น
แคสเปอร์สกี้ขอเสนอคำแนะนำ เพื่อลดความเสี่ยงจาการใช้งานไอทีนอกระบบภายในองค์กร ดังต่อไปนี้
- เน้นย้ำความร่วมมือระหว่างองค์กรและฝ่ายไอที ด้วยการเปิดหารือถึงความต้องการใหม่ ๆ ทางธุรกิจอย่างสม่ำเสมอ พร้อมทั้งเปิดรับฟังข้อคิดเห็นจากการใช้งานระบบด้านไอที เพื่อเสริมสร้างและปรับปรุงระบบไอทีเดิมที่มีอยู่ให้ตอบสนองต่อความต้องการของธุรกิจ
- จัดทำบัญชีสินทรัพย์ด้านไอทีและสแกนเครือข่ายในองค์กรอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้อุปกรณ์หรือซอฟต์แวร์ที่อยู่นอกเหนือการควบคุมเล็ดรอดเข้ามาในระบบได้
- ในแง่ของอุปกรณ์ส่วนตัวของพนักงาน แนวทางที่ดีที่สุดคือการจำกัดสิทธิ์การเข้าถึงระบบภายในให้มากที่สุดเท่าที่จะเป็นไปได้ ให้มีเพียงแค่การเข้าถึงทรัพยากรที่จำเป็นต่อการปฏิบัติงานของพนักงานเท่านั้น ขอให้เลือกใช้งานระบบการควบคุมการเข้าถึงที่สามารถเปิดให้อุปกรณ์ที่ผ่านการอนุมัติเท่านั้นที่สามารถเข้าถึงเครือข่ายภายในได้
- จัดโปรแกรมการฝึกอบรมบุคลากรเพื่อพัฒนาทักษะด้านการรักษาความปลอดภัยข้อมูลให้แก่พนักงาน และเพื่อเสริมสร้างการตระหนักรู้ต่อความสำคัญของการรักษาความปลอดภัยของข้อมูลในหมู่พนักงานด้วยกันเอง โดยองค์กรสามารถเลือกใช้โปรแกรมการฝึกอบรมจาก Kaspersky Automated Security Awareness Platform ซึ่งสอนหลักสูตรด้านพฤติกรรมการใช้งานอินเทอร์เน็ตอย่างปลอดภัย
- ลงทุนเรื่องหลักสูตรการฝึกอบรมที่เกี่ยวข้องสำหรับผู้เชี่ยวชาญด้านไอที โดย Kaspersky Cybersecurity for IT Online จะช่วยเสริมสร้างแนวทางการรักษาความปลอดภัยด้านไอทีที่เรียบง่ายแต่มีประสิทธิภาพ รวมถึงฉากทัศน์ในการรับมือต่อเหตุภัยคุกคามทางไซเบอร์แบบปรกติสำหรับผู้ดูแลระบบไอทีทั่ว ๆ ไป ขณะที่ Kaspersky Expert Training จะเน้นไปที่การเสริมแกร่งทักษะและองค์ความรู้ล่าสุดในการบริหารจัดการ และลดความเสี่ยงต่อภัยคุกคามให้กับทีมรักษาความปลอดภัยทางไซเบอร์ขององค์กร
- เลือกใช้ผลิตภัณฑ์และโซลูชันที่ช่วยให้สามารถควบคุมการใช้งานไอทีนอกระบบภายในองค์กรได้ โดย Kaspersky Endpoint Security for Business และ Kaspersky Endpoint Security Cloud จะมอบการควบคุมแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ ซึ่งจะจำกัดการใช้งานแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ต่อพ่วงที่ไม่พึงประสงค์ สามารถลดความเสี่ยงต่อการติดมัลแวร์ได้อย่างมีนัยสำคัญ แม้กระทั่งในกรณีที่พนักงานใช้งานไอทีนอกระบบ หรือในกรณีของข้อผิดพลาดที่เกิดขึ้นจากการขาดวินัยในการรักษาความปลอดภัยทางไซเบอร์ได้
- จัดทำบัญชีสินทรัพย์ด้านไอทีเพื่อป้องกันมิให้เกิดปัญหาการนำอุปกรณ์หรือฮาร์ดแวร์ที่ถูกโละจากระบบกลับมาใช้ใหม่ได้
- จัดการกระบวนการทำงานแบบรวมศูนย์ เพื่อกระจายโซลูชันที่เขียนเองออกไปสู่ระบบ เพื่อที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลจะสามารถศึกษาโซลูชันเหล่านี้ได้ทันต่อเวลา
- จำกัดการทำงานบนอุปกรณ์ของพนักงานหรือบริการจากบุคคลที่สาม และหากเป็นไปได้ ให้ทำการปิดกั้นการเข้าถึงการแลกเปลี่ยนทรัพยากรข้อมูลของบริการคลาวด์ที่เป็นที่นิยม
[1] การสำรวจครอบคลุม 19 ประเทศ ได้แก่ บราซิล ชิลี จีน โคลอมเบีย ฝรั่งเศส เยอรมนี อินเดีย อินโดนีเซีย ญี่ปุ่น คาซัคสถาน เม็กซิโก รัสเซีย ซาอุดีอาระเบีย แอฟริกาใต้ สเปน ตุรกี สหรัฐอาหรับเอมิเรตส์ สหราชอาณาจักร และสหรัฐอเมริกา ผู้ตอบแบบสอบถามทั้งหมดเป็นวิศวกรด้านความปลอดภัยด้านไอทีและไอทีในระดับ Manager+ ซึ่งทำงานให้กับ SME ที่มีพนักงานมากกว่า 100 คน หรือองค์กรที่มีพนักงานมากกว่า 1,000 คน
ที่มา: พิตอน คอมมิวนิเคชั่น
