ขโมยอีเมล เรียกค่าไถ่ รับมืออย่างไรกับภัยคุกคามดิจิทัล

แม้ว่าการทำธุรกรรมทุกวันนี้จะกลายเป็นเรื่องง่ายและทำให้เราเข้าใกล้สังคมไร้เงินสด (Cashless Society) ไปอีกขั้น ความสะดวกสบายเหล่านี้ยังมาพร้อมความเสี่ยง เพราะการส่งข้อมูลระหว่างทางยังมีช่องโหว่ที่อาจถูกโจมตีทางไซเบอร์ (Cyber-attack) ได้ทุกเมื่อ ที่สำคัญภัยคุกคามรูปแบบใหม่นี้กำลังคุกคามธุรกิจทุกประเภท โดยเฉพาะธุรกิจใหญ่ๆ มักจะตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง

 

หนึ่งในอุตสาหกรรมสำคัญที่เป็นเป้าหมายหลักและมีความเสี่ยงมากที่สุดในโลกก็คือ อุตสาหกรรมการเงินและธนาคาร โดยรูปแบบการโจมตีทางไซเบอร์ที่พบบ่อยนั้นมีทั้งการก่อกวนเครือข่าย (Distributed Denial of Service Attack หรือ DDoS Attack) หรือการระดมเรียกใช้งานระบบพร้อมๆ กันในเวลาสั้นๆ จนทำให้ระบบใช้งานไม่ได้ การปลอมหน้าเว็บไซต์ (Phishing) การปลอมแปลงหรือเปลี่ยนแปลงข้อมูลบนหน้าเว็บไซต์เพื่อให้เกิดการเข้าใจผิดหรือเกิดความเสื่อมเสีย และการติดตั้งโปรแกรมมัลแวร์ (Malware) เพื่อขโมยข้อมูลและโจรกรรมเงินในบัญชี

 

เมื่อข้อมูลคือมูลค่า สถาบันทางการเงินยิ่งจำเป็นต้องลงทุนไปกับการพัฒนาโครงสร้างพื้นฐานทางดิจิทัล เพื่อสร้างความมั่นคงให้กับระบบความปลอดภัย

ลองมาดูตัวอย่างความเสียหายจากการถูกคุกคามทางไซเบอร์ในหน่วยงานธนาคาร ในปี 2014 ผู้ให้บริการด้านการเงินการธนาคาร การลงทุน และการบริหารทรัพย์สินที่ใหญ่ที่สุดแห่งหนึ่งของโลกอย่าง เจพีมอร์แกน เชส (JPMorgan Chase) ได้ถูกโจมตีทางไซเบอร์เพื่อขโมยข้อมูลจากบัญชีผู้ใช้งานไปได้กว่า 83 ล้านบัญชี โดยได้ข้อมูลบางส่วนไป การโจมตีในครั้งนี้ถือเป็นหนึ่งในการบุกรุกเอาข้อมูลจากหน่วยงานในสหรัฐอเมริกาที่อุกอาจ และเป็นหนึ่งการขโมยฐานข้อมูลจำนวนมากที่สุดในประวัติศาสตร์ โดยแฮกเกอร์ได้โจมตีระบบเพื่อขโมยข้อมูลของผู้ใช้บัญชี จากเหตุโจมตีนี้ทำให้เจพีมอร์แกน เชส สูญเสียความเชื่อมั่นจากลูกค้าจำนวนมาก


ปี 2013 เกาหลีใต้ถูกโจมตีทางไซเบอร์ด้วยมัลแวร์ชื่อ DarkSeoul รุนแรงถึงขั้นที่ ATM และการจ่ายเงินผ่านโทรศัพท์มือถือนั้นไม่สามารถทำได้ ธนาคารหลายแห่งของเกาหลีใต้ได้รับผลกระทบอย่างหนัก ทั้งถูกบล็อกเซิร์ฟเวอร์สำหรับบริการ Internet Banking ระบบปฏิบัติการในบางสาขาหยุดทำงานทันทีหลังจากโดนมัลแวร์โจมตีและถูกลบไฟล์ข้อมูลทั้งหมด นอกจากนี้มัลแวร์ตัวนี้ยังสร้างความเสียหายให้กับระบบการเผยแพร่ภาพของสถานีโทรทัศน์เกาหลีใต้อีกด้วย
 

เพื่อรับมือกับการโจมตีที่สร้างมูลค่าความเสียหายชนิดประเมินค่าไม่ได้ หน่วยงานทางการเงินและสถาบันการเงินจึงต้องสร้างระบบและนโยบายด้านการบริหารความเสี่ยงที่ชัดเจน ทำให้เกิดบริการใหม่ อย่างเช่น ประกันภัยไซเบอร์ (Cyber Insurance) เพื่อคุ้มครองความปลอดภัยของข้อมูล ทั้งจากฐานข้อมูลเว็บไซต์และเซิร์ฟเวอร์ส่วนบุคคล โดยคาดว่าจะเป็นตลาดที่มีมูลค่าการเติบโตมากถึง 5 พันล้านเหรียญสหรัฐต่อปี ภายในปี 2018 และจะเพิ่มขึ้นถึง 7.5 พันล้านเหรียญสหรัฐ ในปี 2020
 

พอล เดลบริดจ์ (Paul Delbridge) พาร์ตเนอร์แห่ง PwC กล่าวไว้ว่า “การรักษาความน่าเชื่อถือในธุรกิจที่มีความเสี่ยงจากภัยคุกคามทางไซเบอร์นั้นสำคัญมาก ยิ่งถ้าหากเราต้องการเป็นผู้นำในตลาดที่เติบโตอย่างรวดเร็ว เพราะถ้ายอมประนีประนอม และเกิดคู่แข่งที่พร้อมโจมตีเมื่อไหร่ จะเป็นเรื่องยากหากต้องการจะกู้คืนชื่อเสียงของแบรนด์หลังจากสูญเสียไปแล้ว”
 

ปัจจุบันหน่วยงานส่วนใหญ่จัดสรรงบประมาณสำหรับการป้องกันภัยทางไซเบอร์มากขึ้น โดยเฉพาะการป้องกันข้อมูลรั่วไหล (Data Breach) ตามที่ระบุไว้ในรายงาน 2017 Thales Data Threat Report โดยบริษัท Thales e-Security แต่ยังขาดการวางแผนเชิงนโยบาย และการพัฒนาทักษะพนักงานให้รู้เท่าทันและพร้อมรับการโจมตี ทั้งก่อนและหลังการโจมตี

อีกหนึ่งกลไกสำคัญที่เข้ามาช่วยป้องกันภัยคุกคามรูปแบบใหม่ก็คือกฎหมายและข้อบังคับ ยุโรปเป็นกลุ่มแรกๆ ที่ตระหนักถึงภัยดังกล่าวและเดินหน้าลงมือกำหนดกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Strategy) รวมถึงกำหนดกฎการรักษาความมั่นคงปลอดภัยของเครือข่ายและข้อมูลแห่งสหภาพยุโรป (EU Network and Information Security Directive) เพื่อรักษาความมั่นคงในโลกไซเบอร์ เพื่อวัตถุประสงค์สำคัญคือ ทำให้รัฐบาลและภาคธุรกิจสามารถที่จะใช้เครือข่ายดิจิทัลและโครงสร้างพื้นฐานที่จะให้บริการที่จำเป็นแก่ประชาชนและผู้บริโภคทั้งในประเทศและนอกประเทศได้อย่างมั่นใจและมั่นคงปลอดภัย

ด้านสหรัฐอเมริกาก็ไม่นิ่งเฉย สถาบันมาตรฐานเทคโนโลยีสารสนเทศแห่งชาติได้กำหนดแนวทางการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity Framework) ให้หน่วยงาน ธุรกิจ หรือสถาบันต่างๆ นำไปปรับใช้ เพื่อสนับสนุนการป้องกันหน่วยงานที่มีความสำคัญต่อความมั่นคงของชาติ (Critical Infrastructure) ข้อดีของแนวทางนี้มีความยืดหยุ่น ทำซ้ำได้ และประหยัดงบประมาณ เพื่อให้เป็นแนวทางที่สามารถช่วยเหลือเจ้าของธุรกิจหรือผู้ปฏิบัติการให้สามารถป้องกันการถูกโจมตีได้จริง
 

สำหรับในประเทศไทย ถึงจะยังไม่มีกฎหมายอย่างเป็นทางการ แต่ก็อยู่ในระหว่างการพิจารณาร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แสดงให้เห็นว่าภาครัฐเริ่มปรับปรุงกฎเกณฑ์และกฎหมายที่เกี่ยวข้องเพื่อรองรับความเสี่ยงจากโลกไซเบอร์แล้ว พร้อมกับที่หน่วยงานที่รับผิดชอบโดยตรงอย่างธนาคารแห่งประเทศไทย จำเป็นต้องกำหนดมาตรฐานความปลอดภัยให้เป็นสากล และร่วมมือกับธนาคารพาณิชย์ต่างๆ เพื่อหาแนวทางป้องกันการโจมตีและภัยคุกคามไซเบอร์ ทำให้สามารถสร้างความเชื่อมั่นและไว้วางใจให้กับผู้ใช้งานได้จริง เพราะยิ่งเทคโนโลยีพัฒนารุดหน้า ก็อาจเป็นดาบสองคมที่สร้างความเสียหายรุนแรงเกินกว่าจะประเมินค่าได้