โดย นายสตีฟ ทรีกัสต์ ผู้อำนวยการด้านอุตสาหกรรม การเงิน ทรัพยากรมนุษย์ยุคใหม่ และกลยุทธ์ระดับโลก และนายเทโร ฮันนิเนน ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ บริษัท ไอเอฟเอส
แฮกเกอร์เหรอ พวกเขาคือใคร แล้วมีลักษณะแบบไหนกันบ้าง คนกลุ่มนี้เคยเป็นเด็กอายุ 17 ปีที่ใช้เวลาหมกตัวอยู่ในห้องใต้ดินของที่บ้าน และตอนนี้ได้เติบใหญ่จนมีอายุ 35-40 ปีแล้ว และได้เข้ามามีส่วนเกี่ยวข้องกับการก่ออาชญากรรมอย่างเป็นระบบ
พวกเขาทำอะไรกันบ้าง
- มัลแวร์ (Malware) – น่าจะเป็นสิ่งที่พบเจอได้มากที่สุดและมีการนำไปใช้หาประโยชน์เป็นจำนวนมาก แน่นอนว่าย่อมมีมัลแวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ (Ransomware) รวมอยู่ด้วย โดยแฮกเกอร์บางคนจะทำหน้าที่เขียนมัลแวร์ ส่วนอีกหลายคนจะคอยแจกจ่ายมัลแวร์ ทั้งยังมีบริการสนับสนุนทางโทรศัพท์ตลอด 24 ชั่วโมงในทุกวันอีกด้วย!
- APT – ภัยคุกคามขั้นสูงแบบต่อเนื่อง คือมัลแวร์ที่มีการกำหนดเป้าหมายไว้ในระดับสูง และพยายามที่จะละเมิดและแทรกซึมเข้าสู่เครือข่ายของคุณ
- กลุ่มต่อต้านหัวรุนแรง (Activists) – มีเป้าหมายการทำลายล้างที่ชัดเจน
- คนวงใน (Insiders) – เช่น Edward Snowdon อดีตผู้ดูแลระบบ SharePoint
- ระดับชาติ (Nation states) – อาจไม่ใช่เรื่องใหญ่ในระดับที่ต้องมีการรายงานข่าว แต่ถ้าเกิดผลกระทบระดับชาติแล้ว ลองคิดว่าจะเกี่ยวข้องกับงบประมาณมากเพียงใด
และแน่นอนแฮกเกอร์เหล่านี้ทำเพื่อเงิน ในขณะที่เรากำลังแปรรูปสิ่งต่างๆ ให้เป็นระบบดิจิทัล ฝั่งอาชญากรเองก็กำลังดำเนินการเช่นเดียวกับเรา พวกเขามีเส้นทางดิจิทัลทรานส์ฟอร์เมชั่นเป็นของตัวเองด้วยเหมือนกัน
ตัวอย่าง: Equifax
อีควิกแฟกซ์ (Equifax) เป็นหน่วยงานรายงานเครดิตสำหรับผู้บริโภคที่ถูกแฮกระบบ การแก้ไขข้อบกพร่องที่ตรวจพบเป็นไปอย่างเชื่องช้าและเป็นช่วงจังหวะที่เหมาะกับการถูกโจมตี และนี่คือวิธีการทำงานของแฮกเกอร์: พวกเขาลักลอบเข้ามา ใช้เวลาชั่วครู่ในระบบ และเริ่มดำเนินการคัดแยกข้อมูล
ตัวอย่าง: การโจมตีซัพพลายเชนของซอฟต์แวร์
มีซอฟต์แวร์ธุรกิจที่สำคัญ 2 ชุดที่คุณต้องใช้หากต้องการทำธุรกิจในประเทศยูเครน หนึ่งในนั้นก็คือ MeDoc ซึ่งถูกโจมตีไปเรียบร้อยแล้ว ซอฟต์แวร์ดังกล่าวมีระบบแพทช์สำหรับแก้ไขข้อบกพร่องโดยอัตโนมัติ แต่ระบบอัพเดตของพวกเขาถูกแฮกและถูกใช้ในการเผยแพร่แพทช์ทางประตูหลังของระบบ ไม่มีใครรู้ว่าเกิดอะไรขึ้นหลังจากที่ระบบถูกบุกรุก แต่ในที่สุดแฮกเกอร์ก็ปล่อยไวรัสที่มีความสามารถในการทำลายล้างออกมา ส่งผลให้เกิดการเข้ารหัสคอมพิวเตอร์ของผู้คนไปทั่ว
ดังนั้น เมื่อต้องคอยอัพเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ คุณจะต้องเชื่อมั่นในแพทช์ที่นำมาใช้ในการติดตั้งด้วย นั่นคือสิ่งที่เรากำลังพูดคุยกันอยู่ภายในองค์กร
ตอนนี้ครึ่งหนึ่งของโลกได้เชื่อมต่อกับอินเทอร์เน็ตกันแล้ว แรนซัมแวร์ เป็นธุรกิจที่มีมูลค่าหลายพันล้านดอลลาร์ มีอุปกรณ์ ไอโอที (IoT) มากถึง 200,000 ล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งคาดกันว่าอาชญากรรมไซเบอร์จะมีมูลค่ามากถึง 6 ล้านล้านดอลลาร์ในปี 2564
และนั่นจะก่อให้เกิดความสับสนวุ่นวายมากขึ้น เว้นแต่ว่าเราจะลงมือจัดการ และจะต้องเป็นการลงมือร่วมกันด้วย กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) หรือ General Data Protection Regulation เป็นสัญญาณแรกที่รัฐบาลนำมาใช้และไม่คิดว่าธุรกิจด้านมืดดังกล่าวจะยินยอมปฏิบัติตามโดยง่าย
จีดีพีอาร์ (GDPR)
กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจะช่วยปกป้องพลเมืองในสหภาพยุโรป ดังนั้นจึงส่งผลกระทบต่อทุกบริษัทที่ครอบครองและจัดเก็บข้อมูลของผู้บริโภคอยู่ นี่เป็นเครื่องมือที่ไม่ได้มีความซับซ้อนแต่อย่างใด และมีความเกี่ยวข้องโดยตรงกับบุคคลใน 3 บทบาท ได้แก่
- เจ้าของข้อมูล – บุคคลที่เป็นเจ้าของข้อมูลที่ถูกจัดเก็บไว้
- ผู้กำกับดูแลข้อมูล – บุคคลที่ตัดสินใจว่าจะทำอะไรกับข้อมูลบ้าง
- ผู้ประมวลผลข้อมูล – บุคคลที่ทำหน้าที่วิเคราะห์หรือดำเนินการกับข้อมูล
หลักการทั่วไปก็คือคุณควรเก็บข้อมูลเพื่อวัตถุประสงค์อันจำกัดภายใต้การอนุญาตให้ดำเนินการได้เท่านั้น ควรเก็บข้อมูลไว้ไม่ให้นานเกินกว่าที่กำหนดไว้และควรทำลายทิ้งเมื่อไม่ได้ใช้อีกต่อไป
มีมูลเหตุอันจะอ้างกฎหมายได้ 6 อย่างที่เกี่ยวข้องกับการเก็บข้อมูลซึ่งมีความสำคัญอย่างมากและคุณจะต้องพิสูจน์ให้เห็นว่าคุณได้ปฏิบัติตามแล้ว ได้แก่
- ความยินยอม
- การปฏิบัติตามสัญญา
- ภาระผูกพันตามกฎหมาย
- ผลประโยชน์ที่สำคัญยิ่ง
- งานสาธารณะ
- ผลประโยชน์อันชอบธรรมตามกฎหมาย
การกำหนดตำแหน่ง GDPR ใน GRC
คุณต้องการข้อมูล กิจกรรมด้านการกำกับดูแล และกิจกรรมที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ คุณจะจัดการเรื่องการละเมิดได้อย่างไร คุณทำอย่างไรจึงจะสามารถปฏิบัติตามกฎระเบียบได้ หากตอบคำถามดังกล่าวได้ คุณสามารถนำเอา GDPR ไปใส่ไว้ในขั้นตอนการปฏิบัติตามกฎระเบียบที่หน่วยงานของรัฐกำหนด (GRC) ได้แน่นอน
###
เกี่ยวกับไอเอฟเอส
ไอเอฟเอส (IFS™) เป็นผู้นำระดับโลกด้านการพัฒนาและนำเสนอซอฟต์แวร์สำหรับการวางแผนทรัพยากรองค์กร (Enterprise Resource Planning หรือ ERP) การบริหารจัดการสินทรัพย์ขององค์กร (Enterprise Asset Management หรือ EAM) และ การบริหารจัดการงานบริการขององค์กร (Enterprise Service Management หรือ ESM) ทั้งนี้ ไอเอฟเอสก่อตั้งขึ้นในปี พ.ศ. 2526 โดยมีส่วนช่วยสนับสนุนให้ลูกค้าที่เป็นกลุ่มเป้าหมายสามารถดำเนินธุรกิจได้ดีขึ้น ตลอดจนผลักดันให้เกิดความคล่องตัวในการดำเนินงาน พร้อมทั้งจัดเตรียมสิ่งต่างๆ สำหรับอุตสาหกรรมเพื่อให้พร้อมรับมือกับอนาคต ไอเอฟเอส มีพนักงาน 2,800 คนที่พร้อมให้การสนับสนุนผู้ใช้ทั่วโลกมากกว่า 1 ล้านคนผ่านสำนักงานสาขาในเขตพื้นที่ต่างๆ และผ่านเครือข่ายพันธมิตรที่กำลังขยายตัวเพิ่มมากขึ้น สำหรับข้อมูลเพิ่มเติม โปรดไปที่เว็บไซต์: IFSworld.com
ติดตามเราทาง Twitter: @ifsworld
เยี่ยมชมบล็อกของไอเอฟเอสเกี่ยวกับเทคโนโลยี นวัตกรรม และผลงานสร้างสรรค์ต่างๆ: http://blog.ifsworld.com/