Topic

CG Today : Cybersecurity Governance ภัยสำคัญที่องค์กรไม่อาจมองข้าม

 

Cybersecurity Governance: ภัยสำคัญที่องค์กรไม่อาจมองข้าม

ในยุคที่ธุรกิจทั่วโลกต้องเผชิญกับความเสี่ยงที่หลากหลาย การกำกับดูแลด้าน Cybersecurity กลายเป็นหนึ่งในปัจจัยสำคัญที่องค์กรไม่อาจมองข้ามได้อีกต่อไป จากรายงาน Global Risks Report 2024 โดย World Economic Forum (WEF) [1] ระบุว่า ความเสี่ยงด้าน Cybersecurity เป็นหนึ่งในความเสี่ยงหลักที่ทุกธุรกิจต้องให้ความสนใจ ไม่ว่าจะเป็นระยะสั้นหรือระยะยาว เนื่องจากการโจมตีทางไซเบอร์สามารถสร้างผลกระทบทั้งทางการเงินและชื่อเสียงขององค์กรได้อย่างรุนแรง

หนึ่งในภัยคุกคามที่พบมากที่สุดในปี 2023 คือการโจมตีแบบเรียกค่าไถ่ หรือ Ransomware โดยจากข้อมูลของ Sophos [2] พบว่า บริษัททั่วโลกกว่า 66% ถูกโจมตีในลักษณะนี้ และกว่า 56% ของผู้ที่ถูกโจมตียอมจ่ายเงินให้กับแฮกเกอร์ โดยมูลค่าของค่าไถ่ส่วนใหญ่อยู่ระหว่าง 1 ถึง 5 ล้านเหรียญสหรัฐฯสำหรับภูมิภาคเอเชียตะวันออกเฉียงใต้ ประเทศไทยมีสถิติสูงสุดในการถูกโจมตีโดย Ransomware โดยมีรายงานการโจมตีถึง 109,315 ครั้ง [3] ในปี 2023 ตามมาด้วยอินโดนีเซียและเวียดนาม ซึ่งแสดงให้เห็นว่าภัยคุกคามนี้เป็นเรื่องที่ทุกธุรกิจในประเทศไทยต้องเตรียมพร้อมรับมืออย่างจริงจัง

 

 

กรณีศึกษาของไทย: บทเรียนจากการละเลยด้าน Cybersecurity

ในต้นปี 2567 บริษัทขายสินค้าออนไลน์ชื่อดังของไทยถูกปรับเป็นเงินกว่า 7 ล้านบาท [4] หลังจากข้อมูลส่วนบุคคลของลูกค้ารั่วไหลไปยังแก๊งคอลเซ็นเตอร์ โดยไม่มีมาตรการควบคุมดูแลรักษาความมั่นคงปลอดภัยตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด เหตุการณ์นี้สะท้อนถึงการขาดการกำกับดูแลด้าน Cybersecurity อย่างชัดเจน ไม่ว่าจะเป็นการไม่มีมาตรการป้องกันข้อมูลที่เพียงพอ การละเลยข้อร้องเรียนจากลูกค้า รวมถึงการขาดผู้รับผิดชอบในด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ผลกระทบนี้ไม่เพียงแต่สร้างความเสียหายทางการเงิน แต่ยังทำลายชื่อเสียงของบริษัทอย่างรุนแรง

 

 

บริษัทดังกล่าวควรมีการปรับปรุง Cybersecurity Governance อย่างไร?

ทบทวนบทบาทของกรรมการและผู้บริหารระดับสูง: คณะกรรมการเป็นผู้ทำหน้าที่กำหนดนโยบายและให้ความเห็นในประเด็นสำคัญที่อาจก่อให้เกิดความเสี่ยง ดังนั้นบริษัทควรมีกรรมการอย่างน้อย 1 ท่านที่มีความรู้ความสามารถในเรื่อง Cybersecurity [5] รวมถึงควรกำหนดให้ประเด็นด้าน Cybersecurity เป็นเรื่องที่ต้องมีการติดตามอย่างต่อเนื่องและมีผู้รับผิดชอบในฝ่ายจัดการอย่างชัดเจน โดยอาจกำหนดให้มี Chief Information Security Officer (CISO) เพื่อกำกับดูแลให้การปฏิบัติงานด้าน Cybersecurity ก็จะยิ่งช่วยเพิ่มประสิทธิภาพการดำเนินงานมากยิ่งขึ้น

ทบทวนนโยบายและแนวปฏิบัติด้าน Cybersecurity: เนื่องจากการเปลี่ยนแปลงในยุคปัจจุบันเป็นไปอย่างรวดเร็ว การดำเนินงานแบบเดิมอาจไม่เพียงพอ บริษัทนี้จึงควรกำหนดให้มีการทบทวนนโยบายและแนวปฏิบัติอย่างเป็นประจำอย่างน้อย ปีละ 1 ครั้ง โดยควรนำ framework ด้าน Cybersecurity มาใช้ในการทบทวน เช่น NIST[6], COBIT[7], ISO/IEC 27001[8] หรือ GDPR[9] เป็นต้น เพื่อให้มั่นใจว่านโยบายและแนวปฏิบัติที่มี นั้นเพียงพอและเป็นปัจจุบัน

ปรับปรุงระบบการบริหารความเสี่ยง: บริษัทดังกล่าวควรกลับมาทบทวนระบบบริหารความเสี่ยงองค์กร (Enterprise Risk Management) ว่ามีการนำความเสี่ยงด้านเทคโนโลยีเข้ามาอยู่ในกระบวนการประเมินความเสี่ยงหรือไม่ โดยหากประเมินความเสี่ยงแล้วพบว่ามีนัยสำคัญต่อธุรกิจก็ควรจัดเตรียม วิธีการป้องกันและการจัดการเมื่อเกิดเหตุการณ์ความปลอดภัย ซึ่งควรครอบคลุมถึงการจัดทำแผนรับมือเมื่อเกิดเหตุการณ์วิกฤติ (Incident Response Plan) ด้วย

กลับมาทบทวนระบบการติดตามและการตรวจสอบ: จากเหตุการณ์ที่เกิดขึ้นแสดงให้เห็นอย่างชัดเจนว่า บริษัทนี้ขาดการควบคุมดูแลฐานข้อมูลที่ดี จนทำให้ข้อมูลของลูกค้ารั่วไหลออกไปยังภายนอกได้ ดังนั้นจึงควรจัดให้มีการตรวจสอบว่ามีการดำเนินการตามมาตรการและนโยบายความปลอดภัยที่กำหนดเป็นระยะ โดยฝ่ายตรวจสอบภายใน (Internal Auditor) เพื่อความครบถ้วนของการตรวจประเมิน โดยอาจพิจารณาแนวปฏิบัติจาก Cybersecurity Topical Requirement [10] ซึ่งจัดทำโดยสมาคมผู้ตรวจสอบภายใน เพื่อใช้ศึกษาเป็นแนวทางเพิ่มเติม

ฝึกอบรมและให้ความรู้แก่พนักงาน: จากทั้งหมดที่กล่าวมาจะไม่เกิดประโยชน์เลย หากคนส่วนใหญ่ในองค์กรอย่างพนักงานไม่รับทราบและไม่เข้าใจ เนื่องจากภัยคุกคามไซเบอร์มักจะเกิดขึ้นจากพฤติกรรมของพนักงาน เช่น การคลิกที่ลิงก์ที่ไม่ปลอดภัย หรือการใช้รหัสผ่านที่ไม่ปลอดภัย เป็นต้น การสื่อสารผ่านช่องทางต่างๆ เช่น สื่อความรู้ จัดการอบรมและทดสอบความรู้เป็นประจำ จะช่วยลดความเสี่ยงนี้ได้

 

 

สุดท้ายนี้ขอเน้นย้ำว่า Cybersecurity Governance เป็นเรื่องที่สำคัญเป็นอย่างยิ่ง

โดยในกรณีนี้ หากบริษัทดังกล่าวให้ความสำคัญกับการกำกับดูแลที่ดีและรอบคอบ โอกาสเกิดการรั่วไหลของข้อมูลดังกล่าวก็จะน้อยลง ทั้งนี้ความสำเร็จของการกำกับดูแลขึ้นอยู่กับการทำงานร่วมกันของทุกฝ่าย ตั้งแต่คณะกรรมการผู้บริหารจนถึงพนักงาน ในการปฏิบัติตามหลักเกณฑ์ที่มีอย่างเคร่งครัด

 

[1] World Economic Forum The Global Risks Report 2024
[2] https://assets.sophos.com/X24WTUEQ/at/9brgj5n44hqvgsp5f5bqcps/sophos-state-of-ransomware-2024-wp.pdf
[3] https://www.bangkokpost.com/business/general/2792735/thailand-tops-region-for-ransomware-attacks
[4] https://www.matichon.co.th/economy/news_4747175
[5] https://shorturl.at/WKBmB
[6] https://www.nist.gov/cyberframework
[7] https://www.isaca.org/resources/cobit
[8] https://shorturl.at/MJniThttps://www.iso.org/standard/27001
[9] https://www.dft.go.th/th-th/DetailHotNews/ArticleId/10986/10986GDPR
[10] https://www.theiia.org/globalassets/site/standards/editable-versions/cybersecurity-topical-requirement-english.pdf

 

 



ฝ่ายพัฒนาธุรกิจเพื่อความยั่งยืน
ตลาดหลักทรัพย์แห่งประเทศไทย

 

 

 

ตลาดหลักทรัพย์แห่งประเทศไทย | สงวนลิขสิทธิ์
เนื้อหาทั้งหมดบนเว็บไซต์นี้ มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ตลาดหลักทรัพย์ฯ มิได้ให้การรับรองและขอปฏิเสธต่อความรับผิดใด ๆ ในเว็บไซต์นี้
ข้อตกลงและเงื่อนไขการใช้งานเว็บไซต์ | นโยบายคุ้มครองข้อมูลส่วนบุคคล | นโยบายการใช้คุกกี้