การประเมินระดับความเสี่ยงด้านไซเบอร์และการบริหารความเสี่ยงด้านไซเบอร์ภายธุรกิจและองค์กร

 ปัจจุบันเทคโนโลยีและระบบสารสนเทศ เป็นเครื่องมือสำคัญต่อการขับเคลื่อนธุรกิจและองค์กรให้มีความก้าวหน้าและรวดเร็ว รวมทั้งการเปลี่ยนแปลงธุรกิจให้เข้าสู่สังคมดิจิทัล (Transformation) ทำให้ธุรกิจและองค์กรเหล่านั้นต้องเผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์ (Cyber Threats) ที่มากขึ้น การรักษาความมั่นคงปลอดภัยต่อภัยคุกคามทางไซเบอร์ จึงมีบทบาทที่สำคัญต่อธุรกิจและองค์กรเป็นอย่างมาก การมีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์ที่มีความรัดกุมต่อระดับความเสี่ยง เพื่อเตรียมความพร้อมในการรับมือกับภัยคุกคาม ทางไซเบอร์รวมถึงการบริหารความเสี่ยงทั้งด้านบุคลากร กระบวนการ และเครื่องมือเทคโนโลยีสารสนเทศ เพื่อช่วยเพิ่มความมั่นใจและมั่นคงต่อผู้ใช้บริการทั้งภาครัฐและภาคประชาชน

จากตัวอย่างการประเมินระดับความเสี่ยงด้านไซเบอร์และการบริหารความเสี่ยงด้านไซเบอร์โดยธนาคารแห่งประเทศไทย (ธปท.) ได้กำหนดหลักเกณฑ์กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศโดยหลักเกณฑ์การกำกับดูแลระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันช่วยให้ผู้ประกอบธุรกิจมีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี มีการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการบริหารความเสี่ยงอย่างเหมาะสม โดยหลักเกณฑ์กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ ประกอบด้วย 2 ส่วนสำคัญ ได้แก่

1. การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศขั้นต้นที่จำเป็น (Cyber Hygiene) ซึ่งเป็นมาตรการขั้นต้นเพื่อยกระดับความมั่นคงปลอดภัยในการป้องกันและรับมือภัยคุกคามทางไซเบอร์ที่สำคัญทั้งภายในและภายนอก
2. การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management) ซึ่งมุ่งเน้นให้มีคุณสมบัติตามหลักเกณฑ์การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เหมาะสม มีโครงสร้างองค์กร องค์ประกอบและการกำหนดบทบาทหน้าที่ของผู้ดูแล เพื่อกำหนดนโยบายในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศที่ครอบคลุมตลอดจนกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับลักษณะการให้บริการหรือดำเนินธุรกิจในการกำกับดูแลการดำเนินงานและการบริหารความเสี่ยงด้านไซเบอร์สอดคล้องตามหลัก 3-Lines of Defense ซึ่งเป็นเครื่องมือมาตรฐานสากลมาตรการตรวจสอบ

ภาพแสดงถึงโมเดลของ 3-Lines of Defense (The Institute of Internal Auditors, 2013)

จุดประสงค์สำคัญของ “Lines of Defense Model” คือหลักการควบคุมดูแลแบบเป็นลำดับขั้นให้เป็นไปตามกฎระเบียบขั้นตอน โดย 3 Lines of Defense ประกอบไปด้วยส่วนที่เป็น 1st Line of Defense , 2nd Line of Defense และ 3rd Line of Defense ซึ่งกระบวนการในแต่ละระดับ (Line) โดยก่อให้เกิดกระบวนการกำกับดูแลที่ดีมีประสิทธิภาพและเป็นส่วนหนึ่งของการบริหารตามกรอบการบริหารจัดการความเสี่ยงในภาพรวมขององค์กร (enterprise wide risk) รวมถึงมีบุคลากรที่มีความรู้และความเชี่ยวชาญเพียงพอในการปฏิบัติงานและบุคลากรทุกระดับมีความตระหนักถึงการรักษาความมั่นคงปลอดภัยไซเบอร์โดยคณะกรรมการสถาบันการเงินมีบทบาทและหน้าที่ความรับผิดชอบในการดูแลให้มีกลยุทธ์และนโยบายรวมทั้งดูแลให้มีกลไกในการกำกับดูแลและติดตามให้มีการรักษาความมั่นคงปลอดภัยไซเบอร์

ความเสี่ยงทางไซเบอร์คืออะไร

ความเสี่ยงทางไซเบอร์คือแนวโน้มที่จะได้รับผลกระทบจากการหยุดชะงักต่อข้อมูลที่ละเอียดอ่อน การเงิน หรือการดำเนินธุรกิจออนไลน์ รวมถึงการให้บริการบางอย่างที่มีความเกี่ยวข้องต่อการดำเนินธุรกิจและการให้บริการประชาชน โดยทั่วไปความเสี่ยงทางไซเบอร์มีความเกี่ยวข้องกับเหตุการณ์ที่อาจส่งผลให้เกิดการละเมิดข้อมูล การขโมยข้อมูล หรือการทำลายข้อมูลเพื่อให้ไม่สามารถให้บริการได้ ความเสี่ยงทางไซเบอร์นั้นเป็นภัยคุกคามด้านความปลอดภัยต่อการดำเนินงานของธุรกิจและองค์กร ตัวอย่างของความเสี่ยงทางไซเบอร์ ได้แก่

• Ransomware (แรนซัมแวร์) ซึ่งเป็นหนึ่งในมัลแวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูลด้วยวิธีการต่าง ๆ เช่น การเข้ารหัสด้วย Advanced Encryption Standard (AES) ซึ่งเป็นหนึ่งในมาตรฐานการเข้ารหัสที่ได้รับความเชื่อถือในอุตสาหกรรมและองค์กรต่าง ๆ ที่ต้องการสร้างความมั่นใจและความปลอดภัยของข้อมูลเพื่อไม่ให้ผู้อื่นสามารถล่วงรู้ความลับของข้อมูลได้ ด้วยเหตุนี้จึงทำให้ผู้ไม่หวังดีได้มีการพัฒนามัลแวร์ได้มีการเอาประโยชน์ของการเข้ารหัสนี้มาใช้ประโยชน์ด้วยการเข้ารหัสข้อมูลของเป้าหมายทำให้ไม่สามารถเข้าใช้ข้อมูลได้จนกว่าจะจ่ายค่าไถ่ข้อมูลให้กับผู้พัฒนา Ransomware
• Data leaks (ข้อมูลรั่วไหล) ข้อมูลรั่วไหลเกิดขึ้นเมื่อมีข้อมูลที่ละเอียดอ่อนหรือข้อมูลที่เป็นความลับถูกเปิดเผยโดยไม่ได้ตั้งใจบนอินเทอร์เน็ตหรือรูปแบบอื่นใด การนำข้อมูลออกโดยอาจบันทึกผ่าน Flash drive External Hard disk หรือผ่านเครื่องคอมพิวเตอร์พกพาและเกิดการสูญหายซึ่งอาจเกิดความเสี่ยงที่ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
• Phishing (ฟิชชิง) คือการโจมตีรูปแบบหนึ่งที่หลอกให้เป้าหมายกรอกข้อมูลส่วนบุคคล ข้อมูลที่เป็นความลับ ข้อมูลทางการเงิน ข้อมูลบัตรประชาชน ด้วยวิธีการต่าง ๆ เพื่อให้เป้าหมายส่งข้อมูลนั้นให้กับผู้ไม่หวังดี เช่นการส่งอีเมลหลอกเป้าหมาย “คุณมีการถอนเงินเป็นจำนวนหนึ่ง หากไม่ใช่กรุณาคลิกลิงก์ด้านล่างนี้เพื่อ ยกเลิกการทำรายการ” หรือ “คุณเป็นผู้โชคดีได้รับ iPhone ฟรีเพียงแค่กรอกข้อมูลในนี้” และเมื่อเป้าหมายส่งข้อมูลให้กับผู้ไม่หวังดีแล้วผู้ไม่หวังนำข้อมูลไปดำเนินการเข้าถึงข้อมูลส่วนอื่น ๆ ของเป้าหมาย เช่นข้อมูลการเงิน ข้อมูลรหัสระบบต่าง ๆ ที่เป็นข้อมูลส่วนบุคคล
• Malware (มัลแวร์) หรือ Malicious Software (ซอฟต์แวร์อันตราย) คือซอฟต์แวร์ที่พัฒนาโดยผู้ไม่หวังดี เพื่อขโมยข้อมูลและสร้างความเสียหายให้กับระบบคอมพิวเตอร์ โดยมัลแวร์นั้นได้แบ่งออกเป็นหลายประเภท เช่น
• Virus (ไวรัส) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารสนเทศเป็นอย่างซึ่งโดยมุ่งเน้นในการโจมตี ขัดขวางเพื่อไม่ให้ระบบสามารถใช้งานได้
• Worms (เวิร์ม) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารเทศที่มีการเชื่อมต่อผ่านระบบเครือข่ายทั้งภายในและภายนอกโดยซอฟต์แวร์ชนิดนี้มุ่งเน้นเพื่อการโจมตี ขัดขวางการทำงานและขยายตัวส่งต่อภายในระบบเครือข่ายจนทำให้ไม่สามารถใช้งานระบบสารสนเทศได้
• Trojan (โทรจัน) เป็นซอฟต์แวร์ที่มีเป้าหมายการดักจับเปลี่ยนแปลงแก้ไขข้อมูลซึ่งอาจส่งผลต่อความถูกต้องของข้อมูลภายในระบบสารสนเทศหรือาจเกิดความเสียหายภายในระบบสารสนเทศได้
• Spyware (สปายแวร์) ซอฟต์แวร์ประสงค์ร้ายที่ทำงานอย่างลับๆ บนคอมพิวเตอร์และรายงานกลับไปยังผู้ใช้ระยะไกล โดยสปายแวร์มุ่งเน้นเพื่อขโมยข้อมูลทางการเงินหรือข้อมูลส่วนบุคคล
• Adware (แอดแวร์) คือซอฟต์แวร์ที่รวบรวมข้อมูลการใช้งานระบบคอมพิวเตอร์และจัดเตรียมโฆษณาให้กับเป้าหมาย ถึงแม้ว่าแอดแวร์อาจไม่เป็นอันตราย แต่ในบางกรณีแอดแวร์อาจทำให้เกิดปัญหากับระบบสารสนเทศได้ซึ่งแอดแวร์สามารถเปลี่ยนแปลงเส้นทางการเข้าถึงเว็บไซต์ไปสู่เว็บไซต์ที่ไม่ปลอดภัยได้
• Ransomware (แรนซัมแวร์) คือซอฟต์แวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูล ไฟล์และเอกสารเพื่อไม่ให้เป้าหมายสามารถใช้งานได้
• Insider threats (ภัยคุกคามจากภายใน) คือภัยคุกคามจากภายในอาจเกิดขึ้นได้กับคนใกล้ชิดภายในองค์กรที่ได้รับอนุญาตในการเข้าถึงข้อมูลที่เป็นความลับซึ่งการเข้าถึงอาจส่งผลเสียต่อข้อมูลหรือระบบที่สำคัญขององค์กรได้ โดยภัยคุกคามชนิดนี้อาจจะเป็นพนักงาน ผู้ขาย ผู้รับเหมา หุ้นส่วนหรือบุคคลที่มีความใกล้ชิด โดยความเสี่ยงและช่องโหว่ทางไซเบอร์นั้นมีวิธีการในการทำงานที่แตกต่างกัน โดยช่องโหว่ถือเป็นจุดอ่อนที่ส่งผลให้เกิดการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตจากผู้ไม่หวังดีที่อาจก่อให้เกิดความเสี่ยงทางไซเบอร์ภายในระบบสารสนเทศของธุรกิจและองค์กร

การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้ธุรกิจและองค์กรเข้าใจ ควบคุม และลดความเสี่ยงทางไซเบอร์ทุกรูปแบบ ที่เป็นองค์ประกอบสำคัญของการบริหารความเสี่ยงและลดความเสี่ยง หากไม่มีการประเมินความเสี่ยงการรักษาความปลอดภัยทางไซเบอร์ อาจส่งผลกระทบต่อข้อมูลและทรัพยากรสำคัญใน การดำเนินการอยู่ของธุรกิจและองค์กรได้ การใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ มีวิธีการคำนวณตาม OWASP Risk Assessment

*Risk = Likelihood Impact**

โดยมีขั้นตอนการประเมินความเสี่ยงดังนี้

1. ระบุความเสี่ยง คือการระบุถึงความเสี่ยงที่จะเกิดขึ้นกับระบบสารสนเทศ
2. ปัจจัยในการประมาณความน่าจะเป็น คือปัจจัยที่สามารถช่วยกำหนดความน่าจะเป็นได้ ซึ่งมีความเกี่ยวข้องกับตัวภัยคุกคาม
3. ปัจจัยในการประเมินผลกระทบ คือปัจจัยที่ส่งผลกระทบการทำงานของระบบสารสนเทศ
4. การกำหนดความรุนแรงของความเสี่ยง คือความรุนแรงที่อาจส่งผลกระทบต่อระบบสารสนเทศ
5. ตัดสินใจว่าจะแก้ไขในอนาคตหรือไม่ คือมีแนวโน้มที่จะแก้ไขช่องโหว่ที่เกิดขึ้นนี้ในอนาคตหรือไม่
6. การจำลองการประเมินความเสี่ยง คือการมีกรอบการจัดลำดับความเสี่ยงที่ปรับแต่งได้สำหรับธุรกิจเป็นสิ่งสำคัญสำหรับการนำไปใช้

เมื่อเข้าสู่ขั้นตอนการประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ โดยคำนึงถึงจุดอ่อนที่มีระดับความเสี่ยงต่ำหมายถึงจุดอ่อนมีความรุนแรงต่ำ จุดอ่อนที่มีความเสี่ยงสูงหมายถึงจุดอ่อนที่อาจก่อให้เกิดความเสียหายต่อระบบสารสนเทศสูงหรือมีระดับความรุนแรงสูง และง่ายต่อการโจมตี โดยใช้หลักการวิเคราะห์ความรุนแรงของช่องโหว่และการประเมินความเสี่ยง ดังนี้

ความรุนแรง

มาก ช่องโหว่สามารถขัดขวาง หรือยุติการให้บริการ หรือทำให้ข้อมูลเสียหายได้

ปานกลาง ช่องโหว่ไม่สามารถทำให้ระบบหยุดการให้บริการได้ หรือจำเป็นจะต้องอาศัยช่องโหว่อื่นๆ ช่วยในการทำให้ระบบยุติการให้บริการ

ต่ำ ช่องโหว่ไม่สามารถยุติการให้บริการได้ แต่ทำให้ได้ข้อมูลพื้นฐานเกี่ยวกับการให้บริการ

ซึ่งการประเมินความเสี่ยงทางไซเบอร์ถูกกำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เป็นการประเมินความเสี่ยงที่ใช้ในการระบุ การประมาณการและการจัดลำดับความสำคัญของความเสี่ยง ต่อการดำเนินงานของธุรกิจและองค์กร สินทรัพย์ของธุรกิจและองค์กร บุคคล ธุรกิจและองค์กรอื่นๆ และประเทศ ซึ่งเป็นผลมาจากการดำเนินงานและการใช้ระบบสารสนเทศ วัตถุประสงค์หลักของการประเมินความเสี่ยงทางไซเบอร์คือ การแจ้งให้ผู้มีส่วนได้ส่วนเสียทราบและสนับสนุนการตอบสนองที่เหมาะสมต่อความเสี่ยงที่เกิดขึ้น พร้อมสามารถสรุปข้อมูลสำคัญสำหรับผู้บริหาร เพื่อช่วยผู้บริหารและกรรมการในการตัดสินใจเกี่ยวกับการรักษาความปลอดภัย

การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์คือ แนวปฏิบัติในการจัดลำดับความสำคัญของ มาตรการป้องกันความปลอดภัยทางไซเบอร์ โดยพิจารณาจากผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามที่ออกแบบ มาเพื่อใช้ในการโจมตีเป้าหมาย การสร้างแนวทางการบริหารความเสี่ยง เพื่อการสร้างความมั่นคงด้านความปลอดภัยทางไซเบอร์ ซึ่งธุรกิจและองค์กรที่เกิดขึ้นใหม่ อาจไม่สามารถกำจัดช่องโหว่ของระบบทั้งหมดหรือบล็อกการโจมตี ทางไซเบอร์ได้ทั้งหมด ผ่านการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ธุรกิจและองค์กรควรให้ความสำคัญกับข้อบกพร่องของระบบ แนวโน้มภัยคุกคาม และการโจมตีที่สำคัญที่สุดต่อธุรกิจก่อน

กรอบการบริหารความเสี่ยงทางไซเบอร์โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)

NIST Cyber Security Framework Functions ช่วยให้สามารถสร้างกลยุทธ์การป้องกันความเสี่ยงทาง ไซเบอร์และลดความเสี่ยงทางไซเบอร์พร้อมทั้งการบริหารความเสี่ยงทางไซเบอร์ซึ่งมีองค์ประกอบดังนี้

1. Identify ฟังก์ชันการระบุช่วยในการพัฒนาความเข้าใจในธุรกิจและองค์กรเกี่ยวกับการจัดการความเสี่ยงต่อระบบ บุคคล สินทรัพย์ ข้อมูล และความสามารถ วัตถุประสงค์หลักเพื่อระบุบุคคล กระบวนการ หรือระบบทั้งหมดที่อาจเสี่ยงต่อภัยคุกคามประเภทนี้
2. Protect ฟังก์ชันป้องกันสนับสนุนความสามารถในการจำกัดหรือควบคุมผลกระทบของภัยคุกคาม วัตถุประสงค์หลักเพื่อจำกัดการคุกคามของการโจมตีได้อย่างไรโดยการลบหรือบล็อกช่องโหว่
3. Detect ฟังก์ชันตรวจจับกำหนดกิจกรรมเพื่อระบุเหตุการณ์ที่เกิดขึ้นในเวลาที่เหมาะสม วัตถุประสงค์หลักเพื่อหากไม่สามารถหยุดการคุกคามได้ (เช่น ขั้นตอนการป้องกัน) จะรู้ได้อย่างไรว่าสิ่งที่กำลังเกิดขึ้น และธุรกิจและองค์กรกำลังประสบกับอันตรายทางภัยคุกคามทางไซเบอร์
4. Respond ฟังก์ชันตอบสนองรวมถึงกิจกรรมที่เหมาะสมเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อลดผลกระทบ วัตถุประสงค์หลักเพื่อตระหนักถึงภัยคุกคาม ป้องกันความเสียหายที่เกิดขึ้นเพิ่มเติม ความเสียหายต่อชื่อเสียง หรือการละเมิดความเป็นส่วนตัว
5. Recover ฟังก์ชันการกู้คืนประกอบด้วยการระบุกิจกรรมที่เหมาะสมเพื่อรักษาแผนสำหรับความยืดหยุ่นและเพื่อกู้คืนบริการที่บกพร่องระหว่างเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้น วัตถุประสงค์หลักเพื่อให้สิ่งที่เกิดขึ้นกลับสู่ในสภาพที่เท่าเทียมหรือดีกว่าก่อนเกิดเหตุ

ตัวอย่าง ตารางการบริหารความเสี่ยงทางไซเบอร์ (https://owasp.org/www-project-threat-and-safeguard-matrix/)

สรุป

ประโยชน์ของการประเมินความเสี่ยงสามารถช่วยให้ผู้บริหารสามารถตัดสินใจเพื่อตอบสนองความเสี่ยงและสามารถจัดตั้งผู้รับผิดชอบในการจัดการความเสี่ยงที่ถูกประเมินได้อย่างมีประสิทธิภาพ และการวิเคราะห์ ความปลอดภัยอื่นเพิ่มเติมภายในระบบสารสนเทศของธุรกิจหรือองค์กร ซึ่งหลังจากการประเมินความเสี่ยงแล้วนั้น ยังมีการจัดทำกรอบการบริหารความเสี่ยงทางไซเบอร์ซึ่งเป็นกรอบงานความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เป็นหนึ่งในกรอบการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ที่ได้รับความนิยมมากที่สุดในอุตสาหกรรม NIST จัดทำแผนที่แบบ end-to-end ของกิจกรรมและผลลัพธ์ที่เกี่ยวข้อง 5 ฟังก์ชันของการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์คือ ระบุ ปกป้อง ตรวจจับ ตอบสนอง และกู้คืน ซึ่งเป็นส่วนสำคัญต่อการดำเนินงานของธุรกิจและองค์กรในยุคดิจิทัล 4.0

ขอขอบคุณข้อมูลจาก : www.depa.or.th