IT Security: An Unexpected Challenge amid the Pandemic Crisis
ปัจจุบัน “เทคโนโลยีสารสนเทศ” (Information Technology) เข้ามามีบทบาทสำคัญต่อการดำเนินธุรกิจมากขึ้น โดยเป็นโครงสร้างพื้นฐานสำคัญที่รองรับการดำเนินธุรกิจ เพิ่มศักยภาพในการแข่งขัน ตลอดจนสร้างความต่อเนื่องและความคล่องตัวในการดำเนินงาน โดยเฉพาะอย่างยิ่ง ในช่วงการระบาดของ “โควิด-19” ที่ผ่านมา “การเว้นระยะห่างทางสังคม” หรือ Social Distancing กลายเป็นเรื่องจำเป็นอย่างมากเพื่อลดการแพร่กระจายของเชื้อโรค เราได้เห็นกิจการหลายแห่งประกาศนโยบายให้พนักงาน “ทำงานที่บ้าน” (Work from Home) รวมถึงสถาบันการศึกษาก็เริ่มมีการจัดการเรียนการสอนผ่านช่องทางออนไลน์มากขึ้น ทำให้โปรแกรมวิดีโอคอลอย่าง Zoom โดยบริษัท Zoom Video Communications Inc. ได้กลายมาเป็นหนึ่งในแอปพลิเคชันที่ได้รับความนิยมเป็นอันดับต้นๆในเวลานั้น
โอกาส...ที่มาพร้อมกับความเสี่ยง
 แม้เหตุการณ์บ้านเมืองและสภาพแวดล้อมทางธุรกิจในช่วงเวลาดังกล่าวจะส่งผลในเชิงบวกต่อ Zoom เป็นอย่างมาก ทั้งในด้านจำนวนผู้ใช้และมูลค่าบริษัทที่พุ่งสูงขึ้นกว่าเท่าตัวตั้งแต่ช่วงต้นปีที่ผ่านมา แต่ความกังวลเกี่ยวกับความปลอดภัยของระบบและข้อมูลส่วนบุคคลของผู้ใช้ก็ได้กลับกลายเป็นปัญหาที่ Zoom ต้องรีบสะสางไปพร้อมๆกัน เนื่องจากในช่วงเวลาเดียวกันนั้นเอง มีการตรวจสอบพบว่าแอปฯ Zoom บน iOS ทำการส่งข้อมูลของผู้ใช้ เช่น อุปกรณ์ที่เข้าใช้งาน และรหัสโฆษณาของอุปกรณ์ (Unique Advertising ID) ให้กับบริษัท Facebook โดยไม่แจ้งให้ผู้ใช้ทราบอย่างชัดเจน นั่นหมายความว่า เมื่อใดก็ตามที่เรา Log In เข้าสู่ระบบของ Zoom บน iOS ข้อมูลต่างๆของเราจะถูกส่งไปยัง Facebook เพื่อใช้ประโยชน์ด้านงานโฆษณาให้ตรงกับความสนใจของเรา ...แม้ว่าเราจะไม่มีบัญชี Facebook อยู่เลยก็ตาม !
เมื่อนาย Eric Yuan กรรมการผู้จัดการใหญ่ของ Zoom ได้รับทราบถึงปัญหาดังกล่าว เขาได้เปิดเผยว่า Zoom มีการส่งข้อมูลให้ Facebook จริง หลังจากที่ได้มีการเพิ่มทางเลือกให้ผู้ใช้สามารถเข้าสู่ระบบผ่านทาง Facebook ได้ ซึ่งต้องมีการนำระบบพัฒนาโปรแกรมของ Facebook มาใช้ และขณะนี้ Zoom ได้ถอดระบบดังกล่าวออกจากแอปฯบนระบบ iOS ไปแล้ว เหตุการณ์ดังกล่าวทำให้ Zoom ถูกดำเนินคดีแบบกลุ่ม (Class Action) ที่ศาลรัฐแคลิฟอร์เนียเมื่อเดือนมีนาคมที่ผ่านมา นอกจากนี้ ยังมีการอ้างว่า Zoom ได้รับเงินสนับสนุนเมื่อส่งต่อข้อมูลผู้ใช้ให้ Facebook และบริษัทอื่นๆ แต่ไม่เป็นที่ทราบจำนวนอีกด้วย อย่างไรก็ตาม ฝ่ายกฎหมายของ Zoom ได้ออกมาปฏิเสธในกรณีดังกล่าวว่าไม่มีมูลความจริงแต่อย่างใด
ด้านอัยการสูงสุดของนิวยอร์กได้ขอให้ Zoom เปิดเผยรายละเอียดว่าบริษัทมีนโยบายปกป้องข้อมูลของผู้ใช้อย่างไร โดยในเอกสารดังกล่าวได้แสดงความกังวลว่านโยบายความปลอดภัยของ Zoom ในปัจจุบันอาจ “ไม่เพียงพอต่อการรับมือกับข้อมูลอ่อนไหว” ที่ถูกส่งผ่านระบบ รวมถึงปริมาณการใช้ที่พุ่งสูงขึ้นอย่างฉับพลัน
วิกฤตซ้ำสอง...กับเหตุฉาวรายวัน
เคราะห์กรรมของ Zoom เหมือนจะยังไม่จบลงง่ายๆ เมื่อพบว่าในเวลาไล่เลี่ยกันนั้นเอง ได้เกิดเทรนด์การโจมตีทางออนไลน์รูปแบบใหม่ที่เรียกกันว่า Zoom Bombing ซึ่งพูดง่ายๆก็คือ การถูกผู้ไม่ประสงค์ดีเข้ามาร่วมฟังการประชุมด้วย โดยจะคอยก่อกวนด้วยการส่งภาพลามกอนาจาร หรือส่งข้อความหยาบคายต่างๆเข้ามาจนทำให้ไม่สามารถประชุมได้อีกต่อไป
เหตุการณ์ดังกล่าวทำให้องค์กรขนาดใหญ่ต่างพากันเข็ดขยาดและเกิดความลังเลที่จะใช้งาน Zoom อีก โดยล่าสุดทางการไต้หวัน ถึงกับสั่งห้ามหน่วยงานรัฐทำการประชุมผ่านแอปพลิเคชันนี้ ด้วยเหตุผลทางด้านความมั่นคงของชาติ โดยอนุญาตให้ใช้เฉพาะโปรแกรมของ Google และ Microsoft เท่านั้น เนื่องจากพิจารณาเห็นว่า สองบริษัทนี้มีความปลอดภัยทางด้านไซเบอร์เป็นที่น่ายอมรับ ทางด้านกระทรวงการต่างประเทศของเยอรมนีก็ได้ส่งหนังสือเวียนแจ้งให้พนักงานหลีกเลี่ยงการใช้แอปพลิเคชัน Zoom สำหรับการประชุมทางไกล ด้วยเหตุผลด้านความปลอดภัยทางไซเบอร์เช่นกัน
.jpg) เหตุการณ์ที่เกิดขึ้นกับ Zoom เป็นกรณีศึกษาชั้นดีที่สะท้อนให้เห็นความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) ใหม่ๆ ซึ่งในวันนี้ไม่ใช่เรื่องไกลตัวเราอีกต่อไป ดังจะเห็นได้จากข้อมูลในรายงาน Global Threat Intelligence Report ประจำปี 2020 โดย NTT Group ที่เผยว่า ถึงแม้องค์กรต่างๆจะพยายามป้องกันการโจมตีทางไซเบอร์อย่างเต็มที่ แต่เหล่า “อาชญากรไซเบอร์” ก็ยังมิวายคิดค้นรูปแบบการโจมตีใหม่ๆ ออกมาได้รวดเร็วไม่ยิ่งหย่อนไปกว่ากัน โดยมากกว่าครึ่งของการโจมตีทั้งหมดในปี 2019 เป็นการโจมตีแบบผสมทั้งบนเว็บแอปพลิเคชัน (Web-Application) และแอปพลิเคชันสำหรับงานเฉพาะด้าน (Application-Specific)
รายงานยังเปิดเผยด้วยว่า ในปีที่ผ่านมา เป้าหมายการโจมตีเพิ่มสูงขึ้นในทุกอุตสาหกรรม โดยอุตสาหกรรมที่มีสถิติการถูกโจมตีมากที่สุดคือกลุ่มเทคโนโลยี (คิดเป็นร้อยละ 25 ของการถูกโจมตีทั้งหมด) ตามมาด้วยภาครัฐ ซึ่งได้แรงกระตุ้นมาจากกิจกรรมทางการเมือง (ร้อยละ 16) สถาบันการเงิน (ร้อยละ 15) ภาคธุรกิจและบริการด้านวิชาชีพ (ร้อยละ 12) และสถาบันการศึกษา (ร้อยละ 9)
ผลวิจัยข้างต้นชวนให้นึกถึงคำพูด (ติดตลก) ที่เขาว่ากันว่า... ทุกวันนี้ มีบริษัทอยู่ 2 ประเภท ประเภทแรก คือ “บริษัทที่ถูกแฮก...และรู้ตัวว่ากำลังถูกแฮก” กับประเภทที่สอง คือ “บริษัทที่ถูกแฮก...แต่ไม่รู้ตัวด้วยซ้ำว่ากำลังถูกแฮกอยู่”
...แล้วบริษัทท่านหละ เป็นแบบไหน ? (หวังว่าจะไม่ใช่ทั้ง 2 แบบนะครับ)
บอร์ดยุคใหม่... (จำเป็น) ต้องรู้ทันภัยไซเบอร์
การดำเนินธุรกิจในยุคดิจิทัล (ที่ระคนไปกับวิกฤตโรคระบาด) ทำให้ความเสี่ยงดังกล่าวไม่ได้จำกัดอยู่เพียงระดับปฏิบัติการเท่านั้น แต่ยังส่งผลต่อการดำเนินกลยุทธ์ของธุรกิจอีกด้วย ดังนั้น “คณะกรรมการ” ในฐานะผู้นำองค์กร จึงควรสนับสนุนและผลักดันให้กิจการมีนโยบายด้านเทคโนโลยีสารสนเทศ (IT Policy) ที่มีประสิทธิภาพ ตลอดจนมีแนวทางในการรับมือภัยคุกคามทางไซเบอร์ (Cyber Threats) ที่อาจเกิดขึ้น รวมทั้งผลักดันให้องค์กรเกิดความตระหนักในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
ท่านเอง...ในฐานะกรรมการ ต้องดูแลให้มั่นใจว่าการบริหารจัดการภัยคุกคามทางไซเบอร์ไม่ใช่ความรับผิดชอบของหน่วยงานด้านเทคโนโลยีสารสนเทศ (IT Department) แต่เพียงฝ่ายเดียว หากแต่เป็นของทุกคนในองค์กร ดังนั้น ท่านจึงควรให้ความสำคัญกับการพัฒนาความรู้ด้านเทคโนโลยีสารสนเทศแก่บุคลากรทุกระดับ เพื่อให้เกิดความตระหนักและพร้อมรับมือกับการโจมตีใหม่ๆได้อย่างทันท่วงที ตลอดจนใช้โอกาสนี้ ในการมองเข้าไปใน Boardroom ของท่านเอง แล้วทบทวนร่วมกันกับกรรมการท่านอื่นๆว่า “ในวันนี้... คณะกรรมการของเราจำเป็นถึงขนาดที่ต้องมีกรรมการที่มีความเชี่ยวชาญด้านไอที (IT Expert) แล้วหรือยัง”
สุดท้าย...ก็คงจะต้องขึ้นอยู่กับดุลยพินิจของคณะกรรมการและฝ่ายบริหาร ว่าพร้อมที่จะ “ลงทุน” มากน้อยเพียงใดเพื่อบริหารจัดการกับความเสี่ยงดังกล่าว เพราะการบริหารความเสี่ยงนั้นก็เปรียบได้กับ “การทำประกัน” ซึ่งตอนที่ทำ ก็มักจะไม่เกิดอะไรขึ้น... แต่พอไม่ทำเมื่อไหร่ ภัยต่างๆก็รุมเร้าเข้ามาแบบไม่ทันตั้งตัว
อภิลาภ เผ่าภิญโญ
นักวิเคราะห์ CG อาวุโส
สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย
|
