ในสถานการณ์ที่ COVID-19 กำลังระบาด การ Work From Home เป็นหนึ่งในวิธีการทำงานที่ทำให้ธุรกิจยังคงดำเนินต่อไปได้ และลดความเสี่ยงให้กับพนักงาน แต่การทำงานจากที่บ้านมีข้อมูลสำคัญมากมายที่ต้องนำออกมาจากบริษัท จึงควรมีการวางแผนให้รัดกุมเพื่อควบคุมความเสี่ยงนั้น
1. ทบทวนนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Security Policy) รวมถึงแนวปฏิบัติขององค์กร เพื่อให้พนักงานตระหนักถึงความสำคัญแม้ในยามวิกฤต
ความปลอดภัยเริ่มต้นจากการสร้างความตระหนักให้กับพนักงาน ในช่วงเวลานี้พนักงานจำเป็นต้องเรียนรู้เครื่องมือที่ช่วยให้พวกเขาเข้าถึงระบบงานต่างๆ แม้จะไม่ได้อยู่ในองค์กร เป็นเรื่องดีหากองค์กรจะสอนการใช้ Tools ต่างๆ เช่น VPNs ควบคู่ไปกับการทบทวน Security Awareness
2. กำหนดการเข้าถึง Application และข้อมูลสำคัญตามสิทธิ์ผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลโดยผู้ที่ไม่เกี่ยวข้อง และการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต
การควบคุม Security ที่ Endpoint และ Network โดยที่ผู้ใช้งานเข้ามาจากภายนอกทำได้ยาก จึงควรกำหนดสิทธิ์การเข้าถึงข้อมูลสำคัญเฉพาะกับคนที่ต้องใช้เท่านั้นและให้ใช้ได้ในระดับที่จำเป็น หากองค์กรของคุณยังไม่มี Policy เรื่อง Least Privilege นี่เป็นโอกาสดีที่จะได้เริ่มจัดทำและนำมาใช้
3. ทดสอบความปลอดภัยของ Remote Access
บริษัทควรมีการตรวจสอบความปลอดภัยตามจุดเชื่อมต่อของ Remote Access และทดสอบก่อนใช้งานจริง เพื่อให้พนักงานสามารถทำงานจากที่บ้านได้อย่างมีประสิทธิภาพควบคู่กับระบบที่มีความปลอดภัย
4. สร้างความมั่นใจอีกขั้นด้วย Multi-factor Authentication
แม้ว่าบริษัทจะกำหนดให้คอมพิวเตอร์บริษัทหรืออุปกรณ์ส่วนตัวที่ได้รับการอนุมัติเท่านั้นที่สามารถ Remote Access ได้ แต่การจะตรวจสอบว่าผู้กำลังใช้งานอยู่เป็นเจ้าของอุปกรณ์นั้นเป็นไปได้ยาก ซึ่งการทำ Multi-factor Authentication จะเป็นการยืนยันผู้ใช้งาน และลดความเสี่ยงเรื่องการถูกสวมรอย (Credential being Compromised)
5. ความโปร่งใส่และการตรวจสอบได้เป็นเรื่องสำคัญ แม้อยู่ในระหว่างการ Work From Home
องค์กรควรมีวิธีตรวจสอบการทำงานของพนักงาน วิธีการที่เข้าถึงข้อมูลสำคัญรวมถึงการจัดเก็บข้อมูลเหล่านั้น และการนำไปใช้ นอกจากนี้ยังมีช่องโหว่ ที่อาจเกิดขึ้นจากการกระทำของพนักงานที่อยู่นอกเหนือจากการควบคุมด้าน Security ซึ่งอาจทำให้บริษัทถูกโจมตีจากผู้ไม่ประสงค์ดีได้
5 เทคนิคนี้แหละคือหัวใจสำคัญของบริหารจัดการ Security ยุคใหม่ ซึ่งช่วยให้องค์กรมีมุมมองที่กว้างขึ้นในการทบทวนแผน Work From Home ก่อนเริ่มใช้จริง
ภัยคุกคามจากภายใน (Insider Threat) ที่ถูกมองข้าม
อีกเรื่องที่กลายเป็นข่าวใหญ่โตน่าตกใจมากในประเทศไทยเราเอง เมื่อองค์กรสำคัญและกุมข้อมูลส่วนตัวของประชาชนไว้มหาศาล ได้แก่ โรงพยาบาลแห่งหนึ่งและสายการบินอีกแห่งหนึ่ง ถูกคนร้ายใช้มัลแวร์แฮคข้อมูลลูกค้าเอาไปทำมิดีมิชอบ จากเหตุการณ์นี้คุณได้ตระหนักไหมว่า ความเสี่ยงที่ใหญ่ที่สุดขององค์กรคือข้อมูลที่องค์กรของคุณถือไว้นั่นเอง ซึ่งความเสี่ยงเหล่านี้มาจากแหล่งใดและใครกัน ถ้าคุณกำลังนึกถึงแฮคเกอร์หรือขโมยที่บุกรุกบ้านของคุณจากภายนอก ลองมามองว่าก่อนว่าในองค์กรเองนั้น มีบุคคลกลุ่มไหนบ้างที่มีส่วนช่วยในการสร้างความสำเร็จเหล่านี้ให้กับแฮคเกอร์
• พนักงานประจำ พนักงานชั่วคราว
• พนักงานที่ได้รับสิทธิพิเศษ ในการเข้าถึงข้อมูลความลับ
• พันธมิตรทางธุรกิจ หรือ Partners ซึ่งปัจจุบัน MNCs ทั้งหลายนิยมแบ่งแยก Partners ให้เป็น Platinum, Titanium, Gold, Silver หรืออื่นๆ ตามระดับความสำคัญ
• คู่ค้า
• กลุ่มพนักงาน Outsource หรือ Contractors ที่ทำสัญญาจ้างมาจากแหล่งงานอื่นๆ
บุคคลภายในองค์กรทั้งหลายเหล่านี้กลับกลายเป็นภัยคุกคามทางไซเบอร์ ได้ ก็เพราะองค์กรให้สิทธิพวกเขาในการเข้ามาใช้ทรัพยากรภายในองค์กร หรือ Facilities ซึ่งรวมไปถึงการให้สิทธิในการใช้ข้อมูลของบริษัทในระดับใดระดับหนึ่ง
เป็นเรื่องปกติธรรมดาที่บุคคลภายในองค์กรจะมีอำนาจหรือสิทธิในการเข้าถึงข้อมูลและระบบที่สำคัญขององค์กร คุณเองอาจคาดไม่ถึงด้วยว่าบุคคลเหล่านี้สามารถทำให้เกิดภัยคุกคามแก่องค์กรแบบวอดวายมหาศาลและสร้างความเสี่ยงให้กับองค์กรได้ในทุกวันๆ ซึ่งความเสี่ยงเหล่านี้มักจะเกี่ยวข้องกับการเข้าถึงหรือส่งต่อข้อมูลไปยังผู้ไม่พึงประสงค์ โดยมีองค์ประกอบสำคัญ ได้แก่ Application, Data และ System
ขอเน้นอีกครั้งว่าภัยคุกคามทางไซเบอร์จากภายใน ส่วนใหญ่เกิดขึ้นได้โดยไม่ได้ตั้งใจหรือรู้เท่าไม่ถึงการณ์ และที่สำคัญองค์กร หรือผู้บริหารไม่มีระบบการเฝ้าระวังที่ดี ซึ่งองค์กรที่มีลำดับการทำงานที่ซับซ้อน มีหลายสาขากระจายในแต่ละภูมิภาค ถือว่ามีความเสี่ยงที่สูงมากเพราะมีช่องว่างในระบบที่มากกว่าบริษัทเล็กๆ ยิ่งในช่วงที่ Work From Home กลายเป็นเรื่องปกติ ยิ่งบีบให้ทีมรักษาความปลอดภัยไซเบอร์ต้องกลับมาประเมินความเสี่ยงของโครงสร้างระบบ Telework ที่เพิ่มเข้ามา รวมถึงต้องปรับกลยุทธ์และหาโซลูชั่นดีๆ เพื่อดำเนินการป้องกันระบบขององค์กรให้พร้อมรับกับภัยคุกคามที่พัฒนาอย่างต่อเนื่องได้
แนวคิด Insider Threat Management Solution หรือ ITMS
ฉีกกฎแนวคิดเดิมที่ว่าเรื่องของการรักษาความปลอดภัยไซเบอร์เป็นเรื่องของฝ่ายที่เกี่ยวข้องเท่านั้น
Insider Threat Management Solution (ITMS) หรือโซลูชั่นการจัดการภัยคุกคามที่เกิดจากบุคคลภายในองค์กร เป็นการมุ่งเน้นในการจัดการความเสี่ยงที่บุคคลภายในอาจก่อให้เกิดความเสียหายต่อทรัพย์สินขององค์กร ที่เริ่มจากการวางรากฐานที่แน่นหนาอันเกิดจากการทำงานร่วมกันอย่างราบรื่นระหว่างหลายๆ ฝ่าย ได้แก่ ฝ่าย Internal Audit ฝ่าย QA/QC ฝ่าย IT Support ฝ่ายกฎหมาย ฝ่าย HR รวมไปถึงผู้บริหาร
ดังนั้นแนวคิดดั้งเดิมที่ว่าเรื่องของการรักษาความปลอดภัยไซเบอร์เป็นเรื่องของฝ่ายที่เกี่ยวข้องโดยเฉพาะเท่านั้น จึงไม่ใช่แนวคิดของ ITMS เพราะการจะทำ ITMS ให้ประสบความสำเร็จจะต้องมีการวางแผนให้ทุกฝ่ายทำงานร่วมกันเพื่อบรรลุเป้าหมายเดียวกัน คือการลดความเสี่ยงขององค์กร นั่นหมายถึงทุกฝ่ายต้องมีความสามารถในการสื่อสารที่ดีระหว่างทีมงานด้าน IT และทีมงานด้าน Non-IT
กระบวนการแก้ปัญหาภัยคุกคามทางไซเบอร์จากภายใน เป็นเรื่องที่ซับซ้อนและอาจใช้เวลาเป็นปีในการพัฒนาเกราะป้องกันให้สำเร็จ แต่องค์กรสามารถเริ่มการป้องกันได้ทันทีด้วยการสร้างความสามารถในการปฏิบัติงานเบื้องต้น โดยใช้โซลูชั่นสำคัญที่เข้ามาช่วยในการทำ ITMS ที่ในบางองค์กรควรพิจารณาเพิ่มกระบวนการรักษาความปลอดภัยหลายชั้น เพื่อจัดการกับภัยคุกคามในโครงสร้างระบบที่กระจัดกระจายไปทั่ว และต้องมีมาตรการทบทวน เรียนรู้ หลังเหตุการณ์ที่เกิดขึ้นอยู่เสมอ เพื่อพัฒนาการใช้งาน ITMS ตลอดเวลา
การนำ ITMS มาใช้งาน ต้องอาศัยการทำความเข้าใจบริบทวิธีการทำงานของพนักงานแต่ละฝ่าย มองเห็นว่าองค์กรยังมีจุดไหนที่อาจเป็นช่องโหว่ให้ภัยคุกคามโจมตี และนำเทคโนโลยีมาป้องกันจุดนั้น
People-Centric Insider Management หมายถึงอะไร
เทคโนโลยีที่เรากำลังจะพูดถึงนี้จะต้องทำงานอย่างชาญฉลาดและเพิ่มประสิทธิภาพการทำงานได้อีกด้วย ทั้งหมดนี้เกิดจากโมเดลการรักษาความปลอดภัยที่ยึดผู้คนเป็นศูนย์กลาง People-Centric Insider Management มุ่งเน้นไปที่กิจกรรมของผู้ใช้ที่เราต้องรับรู้ว่าพวกเขาใช้งานหรือเข้าไปเกี่ยวข้องกับข้อมูลและสินทรัพย์ที่มีความอ่อนไหวขององค์กรอย่างไร มากกว่าที่จะเป็นการตรวจสอบเทคโนโลยีหรือขอบเขตของระบบเครือข่ายโดยรวม
ระบบการรักษาความปลอดภัยที่ยึดผู้คนเป็นศูนย์กลาง People-Centric Insider Management จึงหมายถึงการมองเห็นภาพรวมที่สมบูรณ์ และมองเห็นบริบทว่าบุคคลภายในใช้งานข้อมูลและทรัพย์สินขององค์กรอย่างไร
โซลูชั่นการจัดการภัยคุกคามที่เกิดจากบุคคลภายในองค์กร ที่องค์กรนำไปใช้เพื่อการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดจากบุคคลภายใน ต้องมีคุณสมบัติหลักๆ เพื่อให้องค์กรสามารถระบุ (Identify) หรือ กำจัด (Eliminate) หรือเฝ้าระวัง ได้
1. ยึดหลักการ “eyes on the endpoint” หรือ “จับตาดูปลายทาง” ตรวจสอบข้อมูลอย่างต่อเนื่องเพื่อหาสัญญาณของการใช้ในทางที่ผิด ทบทวนการดำเนินการทั้งหมดของ Users ในระบบขององค์กรเพื่อปกป้องข้อมูลและลดความเสี่ยง ในเวลาเพียงเสี้ยววินาที สามารถสร้างรายงานการตรวจสอบการละเมิดโดยย้อนกลับไปยังการดำเนินการของ User ของเหตุการณ์นั้น อย่างไรก็ดี องค์กรควรที่จะสามารถเลือกที่จะปกปิดข้อมูลที่จับได้ เพื่อปกป้องความเป็นส่วนตัว
2. ยึดแผนการตรวจสอบแบบ Full Context เมื่อเกิดเหตุการณ์ขึ้น ผู้บริหาร ทีมไอทีหรือทีมรักษาความปลอดภัย ต้องเห็นภาพรวมและบริบททั้งหมดเพื่อทำความเข้าใจว่าเกิดอะไรขึ้น ลดความยุ่งยากและเพิ่มความคล่องตัวในการตรวจสอบ โดยนำเสนอรายละเอียดปลีกย่อยของกิจกรรมของ User ด้วยการรวบรวมและจัดทำดัชนีพฤติกรรมของ User ที่เกี่ยวข้องกันเหตุการณ์ต้องสงสัยนั้น ทำให้ทีมไอทีและทีมรักษาความปลอดภัยมีหลักฐานที่หักล้างไม่ได้ ในระหว่างที่การสอบสวนหรือตรวจสอบยังไม่สิ้นสุด
3. ป้องกันเหตุการณ์ก่อนความเสียหายจะเกิด ภัยคุกคามทางไซเบอร์จากบุคคลภายในควรถูกป้องกันไม่ให้เกิดเสียตั้งแต่แรก หรือปฏิบัติการแบบเชิงรุก ระบบควรจะต้องแจ้ง (Notify) ให้ User ทราบเมื่อพฤติกรรมของ User เริ่มเบี่ยงเบนจากนโยบาย บล็อกกิจกรรมที่น่าสงสัยไว้เสียก่อน และในขณะเดียวกันก็ต้องให้ความรู้แก่ User โดยทันที เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด เพื่อไม่ให้ User สร้างความเสี่ยงหรือละเมิดโดยไม่ได้ตั้งใจ
แนวโน้มทางเลือกที่ทีมรักษาความปลอดภัยเลือกใช้เป็นโซลูชั่น ของหลายๆ ธุรกิจแห่งในประเทศไทย ในช่วงสองสามปีที่ผ่านมา คือ แพลตฟอร์มที่มีชื่อว่า ObserveIT ที่มีจุดเด่นครบสมบูรณ์ทั้ง 3 ประการ หลังจากการนำเข้าในประเทศไทยโดยบริษัทเมจิก ซอฟท์แวร์ฯ มีการเน้นการเน้นการใช้แพลตฟอร์ม ITMS ให้เป็น People Centric ที่สมบูรณ์แบบยิ่งขึ้น การมีอีกหลายจุดเด่นที่ทำให้ทีมรักษาความปลอดภัยเลือกใช้ เช่น เป็น Lightweight Architecture ไม่มีการติดตั้งอุปกรณ์หรือฮาร์ดแวร์ การ Deploy ใช้เวลาไม่นานมาก สามารถติดตั้งใช้งานได้ทันที จึงคุ้มค่าต่อการลงทุนเพื่อความปลอดภัยและปกป้องข้อมูลสำคัญขององค์กร โดยแพลตฟอร์มที่รองรับสำหรับ OS ได้แก่ Windows Linux MacOS และ UNIX และสำหรับ Virtualized Platform ได้แก่ VMWare และ Citrix
เขียนโดย : Thonthep & Kanitha
วันที่เผยแพร่ : 7 ก.ย. 2564