หนึ่งในข้อกังวลหลักของบริษัทต่างๆ คือการป้องกันภัยคุกคามทางดิจิทัล แม้จะมีการใช้มาตรการ แอปพลิเคชัน และโซลูชันที่เป็นนวัตกรรมมากมายเพื่อป้องกันการบุกรุกและการโจรกรรมข้อมูล แต่ปัญหาเหล่านี้ไม่ได้ขึ้นอยู่กับเทคโนโลยีขั้นสูงเพียงอย่างเดียว แต่ยังขึ้นอยู่กับพฤติกรรมของมนุษย์ด้วย เลโอนาร์โด ไบอาร์ดี ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก dataRain ระบุว่า 74% ของการโจมตีทางไซเบอร์เกิดจากปัจจัยของมนุษย์ ผู้บริหารเน้นย้ำว่าการฝึกอบรมพนักงานอย่างเพียงพอเป็นสิ่งสำคัญอย่างยิ่งต่อกลยุทธ์ด้านความปลอดภัยที่มีประสิทธิภาพ
ไบอาร์ดีมองว่ามนุษย์คือจุดอ่อนที่สุดเมื่อต้องรับมือกับความเสี่ยงทางไซเบอร์ในสภาพแวดล้อมองค์กร “ทุกคนในบริษัทต้องเข้าใจว่าพวกเขามีหน้าที่รับผิดชอบด้านความปลอดภัยของข้อมูล และสิ่งนี้จะสำเร็จได้ก็ต่อเมื่อผ่านการฝึกอบรม ความรับผิดชอบ และการสื่อสารระหว่างแผนกต่างๆ ทุกคนต้องตระหนักถึงความเสี่ยงที่ตนเองอาจเผชิญ”
ความคิดเห็นของผู้เชี่ยวชาญสอดคล้องกับรายงาน Human Factors Report ประจำปี 2023 ของ Proofpoint ซึ่งเน้นย้ำถึงบทบาทสำคัญของปัจจัยมนุษย์ต่อช่องโหว่ด้านความปลอดภัย การศึกษาเผยให้เห็นปริมาณการโจมตีทางวิศวกรรมสังคมผ่านอุปกรณ์มือถือที่เพิ่มขึ้นถึงสิบสองเท่า ซึ่งเป็นการโจมตีประเภทหนึ่งที่เริ่มต้นด้วยข้อความที่ดูเหมือนไม่เป็นอันตราย แต่กลับก่อให้เกิดความสัมพันธ์ขึ้น Baiardi ระบุว่าสิ่งนี้เกิดขึ้นเพราะพฤติกรรมของมนุษย์สามารถถูกควบคุมได้ “ดังที่ Kevin Mitnick แฮ็กเกอร์ระดับตำนานกล่าวไว้ จิตใจของมนุษย์เป็นทรัพย์สินที่แฮ็กได้ง่ายที่สุด เพราะมนุษย์มีอารมณ์อ่อนไหวต่ออิทธิพลจากภายนอกสูง ซึ่งอาจนำไปสู่การกระทำที่หุนหันพลันแล่น เช่น การคลิกลิงก์ที่เป็นอันตรายหรือการแชร์ข้อมูลที่ละเอียดอ่อน” เขากล่าว
ชุดฟิชชิ่งที่ออกแบบมาเพื่อหลีกเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) และการโจมตีบนคลาวด์ ซึ่งผู้ใช้ประมาณ 94% ตกเป็นเป้าหมายทุกเดือน ถือเป็นภัยคุกคามที่บันทึกบ่อยที่สุดในรายงานเช่นกัน
ข้อผิดพลาดที่พบบ่อยที่สุด
Baiardi ระบุถึงความผิดพลาดที่พบบ่อยที่สุดซึ่งนำไปสู่การละเมิดความปลอดภัยไว้ดังนี้: ไม่ตรวจสอบความถูกต้องของอีเมล ปล่อยให้คอมพิวเตอร์ไม่ได้ล็อก ใช้เครือข่าย Wi-Fi สาธารณะเพื่อเข้าถึงข้อมูลขององค์กร และทำให้เกิดความล่าช้าในการอัปเดตซอฟต์แวร์
“พฤติกรรมเหล่านี้อาจเปิดช่องให้เกิดการบุกรุกและการโจรกรรมข้อมูลได้” เขาอธิบาย เพื่อหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อของกลโกง ผู้เชี่ยวชาญแนะนำให้หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัย ดังนั้น เขาจึงแนะนำให้ตรวจสอบผู้ส่ง โดเมนอีเมล และความเร่งด่วนของข้อความ “หากยังมีข้อสงสัยอยู่ แนะนำให้วางเมาส์ไว้เหนือลิงก์โดยไม่คลิก ซึ่งจะทำให้คุณสามารถดู URL แบบเต็มได้ หากลิงก์นั้นดูน่าสงสัย แสดงว่าอาจเป็นลิงก์อันตราย” เขาแนะนำ
ฟิชชิ่ง
ฟิชชิงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุด โดยใช้อีเมลขององค์กรเป็นช่องทางการโจมตี เพื่อป้องกันฟิชชิง ไบอาร์ดีเสนอแนวทางแบบหลายชั้น ได้แก่ การสร้างความตระหนักรู้และการฝึกอบรมให้กับพนักงาน ควบคู่ไปกับมาตรการทางเทคนิคที่เข้มงวด
การอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยอยู่เสมอเป็นสิ่งสำคัญอย่างยิ่งต่อการลดช่องโหว่ “ช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน วิธีที่ง่ายที่สุดในการลดความเสี่ยงคือการอัปเดตระบบอยู่เสมอ ในสภาพแวดล้อมที่สำคัญยิ่งต่อภารกิจ ซึ่งไม่สามารถอัปเดตได้อย่างต่อเนื่อง จำเป็นต้องมีกลยุทธ์ที่แข็งแกร่งยิ่งขึ้น”
เขาให้ตัวอย่างจากสถานการณ์จริงว่าการฝึกอบรมที่มีประสิทธิภาพช่วยป้องกันการโจมตีได้อย่างไร "หลังจากนำการจำลองสถานการณ์และการฝึกอบรมฟิชชิงมาใช้ เราพบว่ามีรายงานความพยายามฟิชชิงจากพนักงานเพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งแสดงให้เห็นถึงวิจารณญาณเชิงวิพากษ์วิจารณ์ที่เฉียบคมยิ่งขึ้นเมื่อเผชิญกับภัยคุกคาม"
เพื่อวัดประสิทธิผลของการฝึกอบรม Baiardi แนะนำให้กำหนดขอบเขตที่ชัดเจนและดำเนินการจำลองสถานการณ์เป็นระยะ ๆ โดยใช้ตัวชี้วัดที่กำหนดไว้ล่วงหน้า “จำเป็นต้องวัดปริมาณและคุณภาพของการตอบสนองของพนักงานต่อภัยคุกคามที่อาจเกิดขึ้น”
ผู้บริหารอ้างอิงรายงานของ Knowbe4 บริษัทด้านการศึกษาด้านความปลอดภัยไซเบอร์ ซึ่งแสดงให้เห็นว่าบราซิลยังตามหลังประเทศต่างๆ เช่น โคลอมเบีย ชิลี เอกวาดอร์ และเปรู ผลสำรวจในปี 2024 เน้นย้ำถึงประเด็นที่พนักงานเข้าใจถึงความสำคัญของความปลอดภัยไซเบอร์ แต่กลับไม่เข้าใจอย่างแท้จริงว่าภัยคุกคามทำงานและทำงานอย่างไร ดังนั้น ผลสำรวจจึงเน้นย้ำถึงความสำคัญของวัฒนธรรมองค์กรในการส่งเสริมแนวปฏิบัติด้านความปลอดภัย: “หากไม่มีโปรแกรมวัฒนธรรมความปลอดภัยไซเบอร์ที่ดำเนินการอย่างดี ก็เป็นไปไม่ได้ที่จะวัดระดับวุฒิภาวะของบริษัทในด้านนี้”
ผู้เชี่ยวชาญท่านนี้ยังรับผิดชอบในการนำส่งข้อเสนอด้านความปลอดภัยทางไซเบอร์ที่ส่งเสริมโดย dataRain ซึ่งนำเสนอโซลูชันที่แข็งแกร่งและใช้งานได้รวดเร็ว เช่น ความปลอดภัยของอีเมล การประเมินการปฏิบัติตามข้อกำหนดและช่องโหว่ ความปลอดภัยปลายทาง และธรรมาภิบาลคลาวด์ “ความปลอดภัยทางไซเบอร์เป็นความท้าทายที่ยังคงดำเนินอยู่ และบุคลากรเป็นพื้นฐานสำคัญในการปกป้องข้อมูลและความสมบูรณ์ของระบบ การลงทุนในการฝึกอบรมและการสร้างความตระหนักรู้ถือเป็นการลงทุนด้านความปลอดภัยของทั้งองค์กร และการส่งมอบทั้งหมดของเรามาพร้อมกับการถ่ายทอดความรู้ ซึ่งช่วยให้เราเพิ่มความตระหนักรู้เกี่ยวกับภัยคุกคามให้กับลูกค้าได้” เขากล่าวสรุป
