เมื่อโลกเข้าสู่ยุคดิจิทัลแบบเต็มใบ รูปแบบของผลิตภัณฑ์และบริการต่าง ๆ ถูกนำไปไว้บนโลกออนไลน์ แต่บนโลกอินเตอร์เน็ตก็ไม่ได้มีแค่ผู้ให้บริการ แต่ยังมีภัยคุกคามทางไซเบอร์ที่เฝ้าเล่นงานไปยังกลุ่มคนทุกระดับ
Cybersecurity ไม่ใช่เรื่องที่ควรมองข้าม องค์กรต่างๆจึงต้องปรับตัว นี่จึงเป็นคำถามตัวใหญ่ๆ ว่า
องค์กรควรปรับตัวอย่างไร ต้องคำนึงถึงอะไรบ้าง วันนี้ ดร. นรัตถ์ สาระมาน ผู้ก่อตั้ง ประธานกรรมการ และกรรมการผู้จัดการ บริษัท โกลบอลเทคโนโลยีอินทิเกรเทด จำกัด และ สราญ เทคโนโลยี กรุ๊ป และ นายกสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) จะมาให้คำตอบในประเด็นนี้
Q: ความสำคัญของ Cyber Security ต่อองค์กรธุรกิจในไทย
A: ผมขอยกตัวอย่างแบบนี้ บ้านเราสมัยมี ATM ใหม่ ๆ ผู้คนก็ไม่ได้กล้าใช้บัตรไปกดเงิน การเดินไปที่ธนาคารจึงรู้สึกปลอดภัยมากกว่า เพราะรับเงินกับมือเจ้าหน้าที่ กล้อง CCTV ก็เช่นกัน สมัยก่อนก็ไม่ได้มีใครติดกล้อง CCTV เพราะมองว่าเมื่อติดแล้วไม่ได้เห็นแค่โจร แต่รบกวนความเป็นส่วนตัวไปด้วย สุดท้ายปัจจุบันก็ติดกล้องกันทุกมุมเมือง
ปัญหา Cybersecurity ก็เช่นกัน ในต่างประเทศผู้คนอยู่ในจุดที่ให้ความสำคัญกับสิ่งนี้ แต่ในบ้านเราเองยังไม่ได้ไปอยู่ในจุดนั้น แต่อย่างไรก็ตามเราก็จะไปอยู่ในจุดที่ให้ความสำคัญเช่นกัน เพราะจะเริ่มเข้าใจว่าการไม่มีระบบรักษาความปลอดภัยทางไซเบอร์ ก็เท่ากับการไม่มีกล้อง CCTV จนเกิดความเสี่ยง
บริษัทบางแห่งเคยโดนโจมตีด้วย Ransomware เคยโดนโจมตี Network จนไม่สามารถใช้งานได้ แต่กลับคิดเพียงว่า เมื่อกู้ระบบกลับคืนมาแล้วทุกอย่างก็ใช้งานได้ ไม่เห็นต้องมี Cybersecurity เฝ้าระวังภัยคุกคาม เช่น โรงงานแห่งหนึ่งมีรายได้ต่อปี 700-800 ล้านบาท กำไรต่อปี เป็น 100 ล้านบาท ลงทุนใน IT เกือบ 100 ล้านบาท แต่ไม่ได้ลงทุนใน Cybersecurity เลย เพราะมองว่าไม่ได้จำเป็น เมื่อเกิดเหตุครั้งแรกโดนโจมตี Ransomware แต่กู้ระบบคืนมาได้ก็ไม่ได้สนใจอะไร แต่เมื่อเกิดครั้งที่สองในเวลาที่ต้องส่งงาน Prototype ให้กับลูกค้า ทำให้เสียหายหลายร้อยล้านบาท แต่ไม่ใช้แค่รายได้ ความน่าเชื่อถือก็เสียหายไปด้วย เมื่อถึงจุดหนึ่งผู้คนก็จะเริ่มเห็นความสำคัญและจุดนั้นก็ใกล้เข้ามาแล้ว
Q: ตัวอย่างการโจมตีทางไซเบอร์ที่เกิดขึ้นจริงในไทย
A: ความเสียหายจากการโดนโจมตีแบบ Ransomware นั้น วัดผลเป็นความเสียหายได้ แต่การโจมตีรูปแบบอื่นเช่น ระบบโดนแฮก เซิร์ฟเวอร์โดนฝังมัลแวร์ จนถูกควบคุมเหมือนกับ “ซอมบี้” หน่วยงานที่เป็น บลจ. เองก็โดนโจมตีรูปแบบนี้แต่ก็ไม่เป็นข่าว ส่วนใหญ่จะเป็นเรื่อง Ransomware, ข้อมูลรั่วไหลเป็นส่วนใหญ่
ซึ่งหากข้อมูลรั่วไหลแล้ว องค์กรอาจมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 และหากข้อมูลเหล่านั้นทำให้บุคคลที่เป็นเจ้าของข้อมูลเสียหาย บุคคลนั้นก็สามารถเรียกร้องค่าเสียหายได้ถึง 2 เท่า ทำให้ในหลายๆ ที่ไม่มีข่าวเหล่านี้
Q: เรื่องที่ควรคำนึงถึง เมื่อเริ่มทำ Cyber Security ให้กับองค์กร
A: สิ่งแรกที่ต้องทำความเข้าใจ คือ ไม่มีโซลูชั่นแบบไหนที่จะตอบโจทย์ได้ทุกหน่วยงาน เรื่องแรกที่ต้องคำนึง คือ หน่วยงานนั้นต้องทราบถึงกฎหมายที่เกี่ยวข้องกับด้านไซเบอร์อยู่หลักๆ 3 อย่างด้วยกัน
1. พ.ร.บ.ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ซึ่งจะถูกใช้มากที่สุด ในมาตราที่ 14 เช่น การโพสต์ที่ละเมิดบุคคลอื่น การไปละเมิดบุคคลอื่น
2. พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่างเช่น หากองค์กรหรือบริษัทมีการจัดเก็บข้อมูลส่วนบุคคล เช่น ข้อมูลพนักงาน ทุกบริษัทจะต้องใส่ใจกฎหมายฉบับบนี้ เพราะมีการระบุไว้ในกฎหมายอีกว่า ข้อมูลส่วนบุคคลไม่ควรหลุดออกไปแบบง่ายดาย ต้องมีเครื่องเฝ้าระวังภัยคุกคามที่ชัดเจน ไม่ใช่ใครจะแฮกเข้าไปได้ง่ายๆ อีกทั้งจะกลายเป็นว่าองค์กรของคุณไม่ได้มีการป้องกันใดๆ
3. พ.ร.บ.ความมั่นคงทางไซเบอร์แห่งชาติ ซึ่งมุ่งเน้นไปที่โครงสร้างพื้นฐานเป็นหลัก ประกอบด้วยโครงสร้างหลักๆ อาทิเช่น ไฟฟ้า ประปา ระบบโลจิสติกส์ สาธารณสุข องค์กรที่เข้าข่ายจึงต้องมีระบบเฝ้าระวังภัยคุกคาม
ที่กล่าวมานี้จึงต้องคำนึงว่าองค์กรมีอุปกรณ์หรือเครื่องมืออะไรบ้างที่สอดคล้องกันกับกฎหมายเหล่านี้
Q: สถานการณ์การทำ Cyber Security ของธุรกิจต่างๆ ในไทยในปัจจุบัน
A: ถ้าเป็นกลุ่มโรงงานและยิ่งเป็นโรงงานข้ามชาติส่วนใหญ่จะเข้มงวดเรื่องกฎหมายมาก และจะลงทุนเรื่อง Cybersecurity แต่หากเป็นโรงงานไทยก็ยังไม่ได้ใส่ใจในเรื่องนี้ เพราะมองว่าฟุ่มเฟือย ซึ่งเป็นสิ่งที่อันตราย
ในส่วนของ SME ก็ยังให้ความสำคัญในเรื่อง Cybersecurity น้อยมาก และ 60% ไม่มีการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ซึ่งหากเกิดภัยคุกคามทางไซเบอร์จนต้องมีการตรวจสอบจากข้อมูลการจราจรทางคอมพิวเตอร์แล้ว ก็จะมีความผิดเพราะไม่มีการปฏิบัติตามจนเกิดความเสียหาย
Q: บริการ และ Solutions ต่าง ๆ จาก Global Technology Integrated
A: Global Technology Integrated เป็นบริษัท R&D ก่อตั้งมาตั้งแต่ปี พ.ศ. 2546 มีการพัฒนา Product ของเรานั้นคือ SRAN
เราจะเน้นขายผ่าน Partner ไม่เคยขายกับลูกค้าเอง ส่วนใหญ่จะเป็น SI ที่นำอุปกรณ์ไปใช้ ลูกค้ามีทุก Sector และส่วนใหญ่เป็นโรงงานต่างชาติ นอกจากนี้ Global Technology Integrated ยังเป็นที่ปรึกษาด้าน PDPA มีรับOutsource เรื่อง DPO และยังมีบริการประเมินความเสี่ยงขององค์กรให้กับลูกค้า ครบทุกบริการด้าน Cybersecurity
Q: ช่องทางติดต่อ เพื่อปรึกษา Global Technology Integrated
A: กรุณาติดต่อ Global Technology Integrated ผ่านช่องทางตามระบุด้านล่าง หรือ Partner ที่เกี่ยวข้อง
Website: www.gbtech.co.th
E-mail: info@gbtech.co.th
Tel: 0-2982-5445