Skip to main content

ความปลอดภัยทางไซเบอร์

20 มิถุนายน 2567

 

นำห้องประชุมมาสู่สนามรบไซเบอร์

ผู้เชี่ยวชาญด้านไซเบอร์กำลังฝึกอบรมผู้นำองค์กรให้สามารถตัดสินใจในเรื่องสำคัญๆ ที่จะช่วยปกป้องบริษัทของตนจากการโจมตีด้วยแรนซัมแวร์และสปายแวร์ที่เพิ่มมากขึ้น รวมถึงภัยคุกคามอื่นๆ

Christine Gibson

Contributor

ในช่วงต้นปี 2020 กลุ่มแฮกเกอร์ที่มีความเชี่ยวชาญสูงมากได้ก่อเหตุ โจมตีทางไซเบอร์ครั้งใหญ่ที่สุดครั้งหนึ่ง ในประวัติศาสตร์ เชื่อกันว่าพวกเขาทำงานให้กับรัฐบาลรัสเซีย โดยพวกเขาแทรกซึมเข้าไปในระบบคอมพิวเตอร์ของบริษัทพัฒนาซอฟต์แวร์บริหารจัดการด้านไอทีชื่อ SolarWinds และฝังโค้ดที่เป็นอันตรายลงในชุดเครื่องมือตรวจสอบของบริษัท

ภายในเดือนมิถุนายน มัลแวร์ดังกล่าวได้เปิดโอกาสให้แฮกเกอร์มี Access ระบบการทำงานภายในของหน่วยงานรัฐบาลกลางหลายร้อยแห่งและบริษัทในกลุ่ม Fortune 500 เมื่อตรวจพบการแฮ็ก กลุ่มดังกล่าวมีเวลาหลายเดือนในการสอดแนมการดำเนินงานของหน่วยงานรัฐบาลและบริษัทต่างๆ

เหตุการณ์นี้ถือเป็นสัญญาณเตือนภัยสำหรับทั้งภาครัฐและภาคเอกชน เกี่ยวกับภัยคุกคามที่ทวีความรุนแรงขึ้นเรื่อยๆ การโจมตีทางไซเบอร์มีมานานพอๆ กับอินเทอร์เน็ต แต่ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีเหล่านี้มีความซับซ้อน ร้ายกาจ และทำลายล้างมากขึ้น แม้ว่าความเสียหายที่รายงานโดยตรงจากภัยคุกคามทางไซเบอร์จะมีมูลค่าไม่มาก ประมาณ 500,000 ดอลลาร์สหรัฐ แต่กองทุนการเงินระหว่างประเทศ (IMF) เพิ่งรายงานว่าความเสี่ยงต่อความเสียหายร้ายแรง ซึ่งอาจสูงถึง 2.5 พันล้านดอลลาร์สหรัฐ นั้นเพิ่มสูงขึ้น

เนื่องจากความเสี่ยงสูงมาก ความรับผิดชอบในการปกป้ององค์กรจากภัยคุกคามทางไซเบอร์จึงตกอยู่กับสมาชิกที่มีตำแหน่งสูงสุด นั่นก็คือคณะกรรมการบริหาร ส่วนสำคัญอย่างยิ่งของงานในปัจจุบันคือการประเมินว่าวัฒนธรรมและการกำกับดูแลที่เหมาะสมนั้นมีอยู่ในบริษัทหรือไม่ เพื่อปกป้องระบบของบริษัทจากภัยคุกคามทางไซเบอร์ และพวกเขาจำเป็นต้องมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับความเสี่ยงทางไซเบอร์เพื่อที่จะทำเช่นนั้นได้

“แน่นอนว่าคณะกรรมการบริหารต้องมีความเชี่ยวชาญด้านการเงิน แต่พวกเขาก็ต้องมีความเชี่ยวชาญด้านไซเบอร์ด้วยเช่นกัน” รอน กรีน ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ของ Mastercard และอดีตหัวหน้าเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยกล่าว “พวกเขาต้องเผชิญกับความท้าทายนั้นทุกวัน ไม่ว่าพวกเขาจะรู้ตัวหรือไม่ก็ตาม”

อย่างไรก็ตาม ความเชี่ยวชาญระดับนั้นหาได้ยากในหมู่ผู้กำกับ คิมเบอร์ลี ชีทเทิล ผู้อำนวยการหน่วยสืบราชการลับของสหรัฐฯ กล่าวว่า มีเพียง 12% ของคณะกรรมการบริหารของบริษัทในดัชนี S&P 500 เท่านั้นที่มีผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ โดยอ้างอิงจาก ผลการศึกษาในปี 2023 ของ NightDragon บริษัทร่วมทุนที่ให้ทุนแก่บริษัทด้านความปลอดภัยทางไซเบอร์ และ Diligent Institute

เพื่อช่วยให้กรรมการบริษัทปกป้องบริษัทของตนและพลเมืองคนอื่นๆ จากอาชญากรรมไซเบอร์ Mastercard ได้พัฒนาหลักสูตรฝึกอบรม "Cybersecurity Board Academy" โดยร่วมมือกับหน่วยงานต่างๆ เช่น หน่วยงาน Secret Service ของสหรัฐฯ, หน่วยงาน Cybersecurity and Infrastructure Security Agency, สมาคมกรรมการบริษัทแห่งชาติ (National Association of Corporate Directors) และ NightDragon ชีทเทิลกล่าวว่า “นี่เป็นโอกาสพิเศษอย่างยิ่งที่จะเริ่มต้นลดช่องว่างนั้นลง”

การประชุมครั้งแรกของสถาบันฝึกอบรมคณะกรรมการบริหาร CISA และหน่วยสืบราชการลับ ซึ่งจัดขึ้นเมื่อวันอังคารที่ผ่านมา ณ ศูนย์ฝึกอบรมเจมส์ เจ. โรว์ลีย์ ของหน่วยสืบราชการลับ ในเมืองเซาท์ ลอเรล รัฐแมริแลนด์ ได้รวบรวมกรรมการบริษัทและผู้เชี่ยวชาญในอุตสาหกรรมเพื่อสำรวจสถานะปัจจุบันของเทคโนโลยีการป้องกันเครือข่ายดิจิทัล

 

รอน กรีน ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Mastercard กล่าวบรรยายแก่กรรมการบริษัทที่เข้าร่วมการอบรมเรื่องความเสี่ยงและความยืดหยุ่นทางไซเบอร์ในรัฐแมริแลนด์เมื่อต้นสัปดาห์นี้ (เครดิตภาพ: รีเบคก้า อับราฮัม)

เจน อีสเตอร์ลี ผู้อำนวยการของ CISA กล่าวว่า "เราต้องการให้แน่ใจว่าเรากำลังเสริมสร้างการเชื่อมต่อเหล่านั้นให้แข็งแกร่งยิ่งขึ้น" เธอกล่าวว่า “เห็นได้ชัดว่าไม่ควรคาดหวังให้ภาคเอกชนเผชิญหน้ากับกลุ่มผู้มีอำนาจระดับรัฐที่มีความซับซ้อนเพียงลำพัง” ดังนั้นจึงให้ความสำคัญอย่างยิ่งต่อการเพิ่มและเสริมสร้างความเชื่อมโยงระหว่างภาครัฐและภาคเอกชน"

ร่วมมือกันเพื่อปกป้องโครงสร้างพื้นฐานของชาติ

ในโลกที่เชื่อมโยงถึงกันมากขึ้นเรื่อย ๆ การรักษาความปลอดภัยทางไซเบอร์จึงต้องอาศัยความร่วมมือจากทีมงาน ดังนั้น Mastercard และพันธมิตรจึงเชิญกรรมการจากบริษัทในกลุ่ม Fortune 500 และผู้แทนจากโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ จำนวนมาก เพื่อเรียนรู้โดยตรงจากผู้เชี่ยวชาญภาครัฐและภาคอุตสาหกรรม ในหลักสูตรที่อิงตามหลักการของ NACD และ Internet Security Alliance สำหรับการกำกับดูแลความเสี่ยงทางไซเบอร์อย่างมีประสิทธิภาพ ผู้เข้าร่วมได้อภิปรายเกี่ยวกับภัยคุกคาม การกำกับดูแล การป้องกัน และความยืดหยุ่น เพื่อสร้างรากฐานของแนวปฏิบัติที่ดีที่สุดสำหรับการป้องกันภัยทางไซเบอร์อย่างต่อเนื่อง

ในการโจมตีเหล่านี้ ความเสียหายอาจแผ่ขยายไปไกลเกินกว่าขอบเขตทางการเงิน โดยผู้กระทำความผิดทั้งที่เป็นอาชญากรและผู้ที่ได้รับการสนับสนุนจากรัฐอาจดำเนินการจารกรรมหรือพยายามทำลายโครงสร้างพื้นฐานที่สำคัญของชาติ ไม่มีสถาบันใดที่อยู่นอกเหนือขอบเขตการเข้าถึง โรงพยาบาล ระบบโรงเรียน ห้องปฏิบัติการวิจัยทางการแพทย์ รัฐบาลระดับรัฐและท้องถิ่น ล้วนตกเป็นเป้าหมาย และเนื่องจากโครงสร้างพื้นฐานส่วนใหญ่ของสหรัฐฯ เป็นของภาคเอกชน ภาคธุรกิจจึงมีบทบาทสำคัญอย่างยิ่งในการป้องกันภัยพลเรือน

“การหาแนวทางในการเฝ้าระวังเรื่องนี้อย่างรอบคอบเพื่อประโยชน์ของบริษัทของเรา และเพื่อประโยชน์ของประเทศของเรา เป็นสิ่งสำคัญยิ่งต่อสิ่งที่เราทำ” สตีเฟน เจนนิงส์ กรรมการอิสระของบริษัทผลิตชิป Analog Devices ซึ่งเป็นหนึ่งในกรรมการ 16 คนที่เข้าร่วมการประชุมครั้งแรกกล่าว “เราเริ่มเข้าใจถึงขีดความสามารถในการบังคับใช้กฎหมาย แนวโน้มล่าสุด และความเสี่ยงล่าสุดได้ดียิ่งขึ้น”

“การรักษาความปลอดภัยทางไซเบอร์ต้องเป็นความพยายามร่วมกัน และตอนนี้เราสามารถมีการแลกเปลี่ยนความคิดเห็นระหว่างภาคอุตสาหกรรมและภาครัฐได้มากขึ้น เพื่อรับมือกับภัยคุกคามนี้ต่อไป” ภัยคุกคามนี้จะยังไม่หายไปในเร็ววันนี้ นี่จะเป็นการต่อสู้ที่ยืดเยื้อต่อไป”

Stephen Jennings

นอกจากนี้ โครงการยังสร้างความร่วมมือระหว่างภาครัฐและเอกชนอย่างต่อเนื่อง เพื่อให้ผู้เข้าร่วมสามารถเรียนรู้ซึ่งกันและกันและรับมือกับภัยคุกคามได้อย่างทันท่วงที สมาชิกคณะกรรมการสามารถเข้าถึงเครือข่ายผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่กว้างขวางขึ้น ในขณะที่ CISA และหน่วยงานสืบราชการลับมีช่องทางในการให้ข้อเสนอแนะเพื่อปรับปรุงข้อความของตนให้เหมาะสมกับภาคเอกชนในวงกว้าง

เจนนิงส์กล่าวว่า “การรักษาความปลอดภัยทางไซเบอร์ต้องเป็นความพยายามร่วมกัน และตอนนี้เราสามารถมีการแลกเปลี่ยนความคิดเห็นระหว่างภาคอุตสาหกรรมและภาครัฐได้มากขึ้น เพื่อรับมือกับภัยคุกคามนี้ต่อไป” “ภัยคุกคามนี้จะยังไม่หายไปในเร็ว ๆ นี้” นี่จะเป็นการต่อสู้ที่ยืดเยื้อต่อไป”