ปัจจุบัน ธุรกิจต้องเผชิญกับความเสี่ยงจากการโจมตีไซเบอร์เพิ่มมากขึ้น เนื่องจากมีการเพิ่มการใช้งานอุปกรณ์ไอทีจากภายนอกองค์กรและจากพนักงานเองอีกด้วย ผลการวิจัยล่าสุดจากแคสเปอร์สกี้ (Kaspersky) พบว่าภายในสองปีที่ผ่านมา ธุรกิจ 77% ได้รับความเสียหายจากการโจมตีไซเบอร์ โดยที่ธุรกิจ 11% ที่ถูกโจมตีมีสาเหตุมาจากการใช้งานอุปกรณ์ไอทีที่ยังไม่ผ่านการตรวจรับรองของบริษัท
งานวิจัยฉบับล่าสุดของแคสเปอร์สกี้[1] ชี้ว่าภายในระยะเวลาสองปีที่ผ่านมา ธุรกิจทั่วโลก 11% ที่เป็นเป้าการโจมตีทางไซเบอร์นั้นมีสาเหตุมาจากที่พนักงานใช้งานอุปกรณ์ไอทีจากภายนอกระบบ โดยสามารถจำแนกผลกระทบจากการใช้งานอุปกรณ์ไอทีนอกระบบได้ตามความรุนแรงของความเสียหาย ซึ่งไม่ได้เป็นเพียงเรื่องเล็กน้อย ทั้งการรั่วไหลของข้อมูลลับเฉพาะและความเสียหายต่อธุรกิจ
ไอทีนอกระบบคืออะไร
คำว่าไอทีนอกระบบ หรือ Shadow IT หมายถึงโครงสร้างพื้นฐานด้านไอทีที่อยู่นอกขอบเขตการเฝ้าระวังของฝ่ายไอทีและฝ่ายรักษาความปลอดภัยข้อมูล เช่น แอปพลิเคชัน อุปกรณ์ต่าง ๆ บริการคลาวด์สาธารณะ และอื่น ๆ ซึ่งไม่ได้นำมาผนวกเข้ากับนโยบายรักษาความปลอดภัยข้อมูลของทางธุรกิจ การนำไอทีนอกระบบมาใช้งานหรือปฏิบัติงานบนระบบดังกล่าว สามารถนำไปสู่ผลเสียหายทางธุรกิจได้ งานวิจัยของแคสเปอร์สกี้พบว่ามีเหตุการณ์ความเสียหายเกิดขึ้นมากมาย ซึ่งเผยให้เห็นว่าอุตสาหกรรมไอทีตกเป็นเป้าการโจมตีอย่างหนัก ในช่วงปี 2565 – 2566 ความเสียหายจากการโจมตีทางไซเบอร์ 16% เกิดจากการใช้งานไอทีนอกระบบ ขณะที่ภาคอุตสาหกรรมอื่นที่ได้รับผลกระทบแบบเดียวกันคืออุตสาหกรรมโครงสร้างพื้นฐานหลัก และภาคอุตสาหกรรมการคมนาคมขนส่ง ในสัดส่วน 13%
จากกรณี Okta ล่าสุด สามารถยืนยันความร้ายแรงของปัญหาการใช้งานไอทีนอกระบบได้เป็นอย่างดี โดยกรณีดังกล่าวมีพนักงานที่ใช้งานบัญชีกูเกิ้ลของตนเองในอุปกรณ์ขององค์กรโดยไม่ได้ตั้งใจ ทำให้อาชญากรพบช่องโหว่ในการเล็ดลอดเข้าสู่ระบบดูแลลูกค้าของ Okta ได้ จากนั้นก็ยึดไฟล์ที่มีโทเคนของส่วนต่าง ๆ ไว้ในการครอบครอง นำมาใช้ต่อยอดการโจมตีได้ Okta รายงานว่า เหตุการณ์ดังกล่าวเกิดขึ้นเป็นเวลา 20 วัน และส่งผลกระทบต่อธุรกิจของลูกค้ามากกว่า 134 ราย
ล้อมกรอบ ‘เงาเลือนลาง’ ให้เด่นชัด
เมื่อกล่าวถึงการตรวจหาไอทีนอกระบบ สิ่งใดบ้างที่เราต้องมองหา โจทย์ข้อนี้สามารถระบุได้ว่าอาจเป็นแอปพลิเคชันที่ไม่ผ่านการรับรองที่ติดตั้งอยู่บนคอมพิวเตอร์ของพนักงาน หรือแฟลชไดรฟ์ไม่พึงประสงค์ ไปจนถึงโทรศัพท์มือถือและโน้ตบุ๊ก เป็นต้น
แต่ก็ยังมีปัจจัยอื่น ๆ ที่มีความน่าสงสัยน้อยกว่าว่าอาจจะสามารถเป็นไอทีนอกระบบได้เช่นกัน ตัวอย่างที่น่าสนใจคือ อุปกรณ์ฮาร์ดแวร์ของระบบที่ถูกโละจากการปรับปรุงหรือจัดระเบียบโครงสร้างพื้นฐานไอทีใหม่ ซึ่งอุปกรณ์เหล่านี้ก็สามารถนำมาใช้งานเป็นไอทีนอกระบบได้โดยตัวพนักงานเอง เกิดช่องโหว่ที่ไม่ช้าก็เร็วจะสามารถหลุดเข้าไปยังระบบโครงสร้างพื้นฐานขององค์กรได้
ในส่วนของผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศและโปรแกรมเมอร์ สิ่งที่เห็นบ่อยๆ คือพวกเขาสามารถเขียนและออกแบบโปรแกรมของตนเอง เพื่อเพิ่มประสิทธิภาพของทีมหรือองค์กรทั้งหมดได้ หรือใช้แก้ไขปัญหาภายใน ทำให้งานเร็วขึ้นและมีประสิทธิผลมากขึ้น อย่างไรก็ตาม พวกเขาก็มักจะไม่แจ้งให้แผนกความปลอดภัยข้อมูลทุกครั้งที่มีการใช้งานโปรแกรมเหล่านี้ และสิ่งนี้ก่อให้เกิดความเสียหายที่อาจตามมาได้อย่างร้ายแรง
นายอเล็กซี วอฟก์ หัวหน้าฝ่ายรักษาความปลอดภัยของข้อมูล แคสเปอร์สกี้ กล่าวว่า “พนักงานที่ใช้แอปพลิเคชัน อุปกรณ์ หรือบริการคลาวด์ ที่ไม่ผ่านการอนุมัติจากฝ่ายไอที มีความเชื่อว่าหากอุปกรณ์ไอทีเหล่านั้นมาจากผู้จัดจำหน่ายที่เชื่อถือได้ อุปกรณ์เหล่านี้ก็ควรมีความปลอดภัยและได้รับการปกป้องอยู่ก่อนแล้ว อย่างไรก็ดี ใน ‘เงื่อนไขและข้อตกลงการใช้งาน’ ของผู้จัดจำหน่ายหรือผู้ให้บริการบุคคลที่สามนั้น จะใช้คำว่า ‘รูปแบบความรับผิดชอบร่วมกัน’ โดยระบุว่า ด้วยการเลือกตอบ ‘ข้าพเจ้ายินยอม’ นั่นหมายถึงผู้ใช้งานยอมรับเงื่อนไขว่าพวกเขาจะทำการอัปเดตซอฟต์แวร์นั้น ๆ อย่างสม่ำเสมอ และพร้อมรับผิดชอบต่อกรณีความเสียหายใด ๆ ที่อาจเกิดขึ้นจากการใช้งานซอฟต์แวร์ดังกล่าว (รวมถึงการรั่วไหลของข้อมูลด้วย) แต่ในท้ายที่สุดแล้ว ธุรกิจก็ยังมีความจำเป็นที่จะต้องมองหาเครื่องมือในการควบคุมไอทีนอกระบบที่ใช้งานโดยพนักงาน ดังนั้นเราจึงขอแนะนำ Kaspersky Endpoint Security for Business และ Kaspersky Endpoint Security Cloud ที่มอบฟังก์ชันการควบคุม แอปพลิเคชัน เว็บไซต์ และตัวอุปกรณ์ ที่จะช่วยในการจำกัดการใช้งานแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ต่อพ่วงที่ไม่พึงประสงค์ได้ ขณะที่ฝ่ายรักษาความปลอดภัยข้อมูลก็ยังต้องทำการสแกนเครือข่ายภายในองค์กรตามปรกติเพื่อป้องกันการลักลอบใช้งานแอปพลิเคชัน อุปกรณ์ และบริการ ที่ไม่ปลอดภัยและไม่สามารถควบคุมได้”
In general, the situation with the widespread usage of shadow IT is complicated by the fact that many organizations do not have any documented sanctions where their employees will suffer as a consequence of going against IT policies in this matter. Moreover, it is assumed that shadow IT could become one of the top threats to corporate cybersecurity by 2025. The good news is that the motivation for employees to use shadow IT is not always malicious, even more often, it’s the opposite. Employees in many cases use this as an option to expand the functionality of the products they use at work because they believe that the set of allowed software is insufficient, or they simply prefer the familiar program from their personal computer.
โดยทั่วไปแล้ว การใช้ไอทีนอกระบบ หรือ Shadow IT อย่างแพร่หลายในองค์กรนั้น เป็นสถานการณ์ที่ซับซ้อนและอาจก่อให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัยได้ สาเหตุหนึ่ง คือ พนักงานไม่ทราบผลที่ตามมาหากฝ่าฝืนนโยบายเทคโนโลยีสารสนเทศขององค์กร นอกจากนี้ ยังอนุมานได้ว่าการใช้งานไอทีนอกระบบจะกลายเป็นภัยคุกคามระดับแถวหน้าต่อองค์กรภายในปี 2568 อย่างไรก็ตามข่าวดีสำหรับองค์กร คือแรงจูงใจของพนักงานในการใช้อุปกรณ์ไอทีนอกระบบนั้นไม่ได้เป็นไปในแง่ร้ายเสมอไป ยิ่งไปกว่านั้นแรงจูงใจดังกล่าวยังออกมาในทางตรงกันข้ามอีกด้วย ในหลาย ๆ กรณีพนักงานเลือกใช้ไอทีนอกระบบในฐานะตัวช่วยในการขยายศักยภาพของอุปกรณ์ที่ตนใช้ในการทำงาน ด้วยเหตุผลที่ว่าชุดซอฟต์แวร์ที่ได้รับการอนุมัติให้ทำงานในระบบนั้นยังไม่เพียงพอต่อการเพิ่มประสิทธิภาพ หรือเหตุผลที่เรียบง่ายกว่านั้นคือพวกเขาถนัดใช้งานโปรแกรมที่ตนเองคุ้นเคยจากคอมพิวเตอร์ของตนเองมากกว่าเท่านั้น
แคสเปอร์สกี้ขอเสนอคำแนะนำ เพื่อลดความเสี่ยงจาการใช้งานไอทีนอกระบบภายในองค์กร ดังต่อไปนี้
- เน้นย้ำความร่วมมือระหว่างองค์กรและฝ่ายไอที ด้วยการเปิดหารือถึงความต้องการใหม่ ๆ ทางธุรกิจอย่างสม่ำเสมอ พร้อมทั้งเปิดรับฟังข้อคิดเห็นจากการใช้งานระบบด้านไอที เพื่อเสริมสร้างและปรับปรุงระบบไอทีเดิมที่มีอยู่ให้ตอบสนองต่อความต้องการของธุรกิจ
- จัดทำบัญชีสินทรัพย์ด้านไอทีและสแกนเครือข่ายในองค์กรอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้อุปกรณ์หรือซอฟต์แวร์ที่อยู่นอกเหนือการควบคุมเล็ดรอดเข้ามาในระบบได้
- ในแง่ของอุปกรณ์ส่วนตัวของพนักงาน แนวทางที่ดีที่สุดคือการจำกัดสิทธิ์การเข้าถึงระบบภายในให้มากที่สุดเท่าที่จะเป็นไปได้ ให้มีเพียงแค่การเข้าถึงทรัพยากรที่จำเป็นต่อการปฏิบัติงานของพนักงานเท่านั้น ขอให้เลือกใช้งานระบบการควบคุมการเข้าถึงที่สามารถเปิดให้อุปกรณ์ที่ผ่านการอนุมัติเท่านั้นที่สามารถเข้าถึงเครือข่ายภายในได้
- จัดโปรแกรมการฝึกอบรมบุคลากรเพื่อพัฒนาทักษะด้านการรักษาความปลอดภัยข้อมูลให้แก่พนักงาน และเพื่อเสริมสร้างการตระหนักรู้ต่อความสำคัญของการรักษาความปลอดภัยของข้อมูลในหมู่พนักงานด้วยกันเอง โดยองค์กรสามารถเลือกใช้โปรแกรมการฝึกอบรมจาก Kaspersky Automated Security Awareness Platform ซึ่งสอนหลักสูตรด้านพฤติกรรมการใช้งานอินเทอร์เน็ตอย่างปลอดภัย
- ลงทุนเรื่องหลักสูตรการฝึกอบรมที่เกี่ยวข้องสำหรับผู้เชี่ยวชาญด้านไอที โดย Kaspersky Cybersecurity for IT Online จะช่วยเสริมสร้างแนวทางการรักษาความปลอดภัยด้านไอทีที่เรียบง่ายแต่มีประสิทธิภาพ รวมถึงฉากทัศน์ในการรับมือต่อเหตุภัยคุกคามทางไซเบอร์แบบปรกติสำหรับผู้ดูแลระบบไอทีทั่ว ๆ ไป ขณะที่ Kaspersky Expert Training จะเน้นไปที่การเสริมแกร่งทักษะและองค์ความรู้ล่าสุดในการบริหารจัดการ และลดความเสี่ยงต่อภัยคุกคามให้กับทีมรักษาความปลอดภัยทางไซเบอร์ขององค์กร
- เลือกใช้ผลิตภัณฑ์และโซลูชันที่ช่วยให้สามารถควบคุมการใช้งานไอทีนอกระบบภายในองค์กรได้ โดย Kaspersky Endpoint Security for Business และ Kaspersky Endpoint Security Cloud จะมอบการควบคุมแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ ซึ่งจะจำกัดการใช้งานแอปพลิเคชัน เว็บไซต์ และอุปกรณ์ต่อพ่วงที่ไม่พึงประสงค์ สามารถลดความเสี่ยงต่อการติดมัลแวร์ได้อย่างมีนัยสำคัญ แม้กระทั่งในกรณีที่พนักงานใช้งานไอทีนอกระบบ หรือในกรณีของข้อผิดพลาดที่เกิดขึ้นจากการขาดวินัยในการรักษาความปลอดภัยทางไซเบอร์ได้
- จัดทำบัญชีสินทรัพย์ด้านไอทีเพื่อป้องกันมิให้เกิดปัญหาการนำอุปกรณ์หรือฮาร์ดแวร์ที่ถูกโละจากระบบกลับมาใช้ใหม่ได้
- จัดการกระบวนการทำงานแบบรวมศูนย์ เพื่อกระจายโซลูชันที่เขียนเองออกไปสู่ระบบ เพื่อที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลจะสามารถศึกษาโซลูชันเหล่านี้ได้ทันต่อเวลา
- จำกัดการทำงานบนอุปกรณ์ของพนักงานหรือบริการจากบุคคลที่สาม และหากเป็นไปได้ ให้ทำการปิดกั้นการเข้าถึงการแลกเปลี่ยนทรัพยากรข้อมูลของบริการคลาวด์ที่เป็นที่นิยม
[1] การสำรวจครอบคลุม 19 ประเทศ ได้แก่ บราซิล ชิลี จีน โคลอมเบีย ฝรั่งเศส เยอรมนี อินเดีย อินโดนีเซีย ญี่ปุ่น คาซัคสถาน เม็กซิโก รัสเซีย ซาอุดีอาระเบีย แอฟริกาใต้ สเปน ตุรกี สหรัฐอาหรับเอมิเรตส์ สหราชอาณาจักร และสหรัฐอเมริกา ผู้ตอบแบบสอบถามทั้งหมดเป็นวิศวกรด้านความปลอดภัยด้านไอทีและไอทีในระดับ Manager+ ซึ่งทำงานให้กับ SME ที่มีพนักงานมากกว่า 100 คน หรือองค์กรที่มีพนักงานมากกว่า 1,000 คน
