10 แนวทางป้องกันภัยไซเบอร์ สำหรับธุรกิจขนาดกลางและเล็ก

7 สิงหาคม 2023

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ในความเป็นจริงแล้ว ไม่ว่าคุณจะประกอบธุรกิจประเภทไหน มีขนาดใหญ่หรือขนาดเล็ก ก็สามารถเสี่ยงการถูกโจมตีทางไซเบอร์ อย่างมัลแวร์ หรือฟิชชิ่ง ได้ทั้งนั้น แต่รู้ไหมว่า? สิ่งที่ทำให้เหล่าธุรกิจรายย่อยหรือ SME มีความเสี่ยงมากกว่ารายใหญ่ คืออะไร คำตอบคือความชะล่าใจ เพราะเจ้าของธุรกิจรายย่อยบางคนอาจจะยังเข้าใจผิด คิดว่าธุรกิจของตัวเองนั้นมีขนาดเล็ก มีข้อมูลที่ไม่สำคัญมากพอที่จะเตะตาให้เหล่าแฮกเกอร์ให้มาสนใจและโจมตีได้ 

ความคิดเหล่านี้ส่งผลให้เราพบผลสำรวจจาก Provident Bank ว่า ในบรรดาธุรกิจรายย่อยหรือ SME ทั้งหมด มีเพียง 50% เท่านั้นที่ให้ความสนใจในเรื่องของเตรียมพร้อมรับมือกับการโจมตีทางไซเบอร์ เจ้าของธุรกิจเหล่านั้นไม่ได้ให้ความสำคัญกับเรื่องความปลอดภัยของข้อมูลในองค์กรเป็นอันดับแรก จึงทำให้ไม่ได้จัดสรรงบประมาณสำหรับการดูแลระบบ หรือให้ความรู้เรื่องนี้แก่บุคลากรในองค์กร ส่งผลให้องค์กรเกิดช่องโหว่ที่จะสามารถเข้ามาโจมตีได้โดยที่ไม่ทันระวัง 

รูปแบบการโจมตีทางไซเบอร์ที่พบในธุรกิจ SME ของไทย 

กว่า 65% ของ SME ในไทยมักจะถูกโจมตีทางไซเบอร์ โดยผลการวิจัยในปีที่ผ่านมาจาก Cybersecurity for SMBs: Asia Pacific Businesses Prepare for Digital Defense by Cisco พบว่า ธุรกิจในไทยโดยประมาณ 56% ได้ประสบปัญหาการดำเนินงานหยุดชะงักเนื่องจากการโจมตีทางไซเบอร์ และ 47% ที่เคยถูกโจมตีสร้างความเสียหายต่อธุรกิจคิดเป็นมูลค่าอย่างน้อย 16 ล้านบาท ขณะที่ 28% ได้รับความเสียหายเป็นมูลค่ากว่า 32 ล้านบาท ซึ่งสาเหตุสำคัญที่สุดที่ทำให้ 49% ของธุรกิจSME ถูกโจมตีจากการโจมตีด้วยมัลแวร์มาเป็นอันดับหนึ่ง (91%) และตามด้วยการโจมตีในรูปแบบ ฟิชชิง (Phishing) มากถึง 77% 

สาเหตุเป็นเพราะว่าโซลูชันด้าน Cybersecurity ไม่มีประสิทธิภาพเพียงพอที่จะตรวจจับ หรือป้องกันการโจมตีจากภัยคุกคามทางไซเบอร์ได้ ในขณะที่ 25% ระบุว่าสาเหตุหลักคือองค์กรนั้น ๆ ไม่ได้ติดตั้งโซลูชันด้าน Cybersecurity และไม่ได้ให้ความสำคัญด้านความปลอดภัยเป็นอันดับแรก ๆ 

และในรายงานผลวิจัยข้างต้นยังระบุว่า มีจำนวน 76% ของบริษัทที่ถูกโจมตีสูญเสียข้อมูลของลูกค้าไป และ 69% ของบริษัทได้สูญเสียข้อมูลของพนักงาน อีกทั้งยังมีบริษัทที่ถูกโจมตีคิดเป็นอัตราส่วนที่แตกต่างกันไปได้มีการสูญเสียข้อมูลอีเมลภายในองค์กร (65%) สูญเสียทรัพย์สินทางปัญญา (53%) สูญเสียข้อมูลด้านการเงิน (57%) และ สูญเสียข้อมูลธุรกิจที่สำคัญอื่น ๆ (49%)

10 แนวทางการป้องกันที่เหมาะสำหรับธุรกิจขนาดเล็ก

กว่า 80% ของการถูกโจมตีทางไซเบอร์ ส่วนใหญ่เกิดจากความผิดพลาดของมนุษย์ ดังนั้นหากเจ้าของธุรกิจต้องการที่จะอุดช่องโหว่ไม่ให้เกิดรอยรั่วให้บรรดาแฮกเกอร์เข้ามาโจมตีได้นั้น การให้ความรู้เกี่ยวกับการรักษาความปลอดภัยทางข้อมูลแก่บุคคลากรในองค์กร จึงเป็นสิ่งสำคัญ ที่จำเป็นจะต้องทำควบคู่กันไปกับการดูแลและตรวจสอบระบบ

คราวนี้เรามาดูกันว่า หากต้องการอุดรอยรั่วนั้น จะมีวิธีไหนบ้างที่เราควรต้องเร่งศึกษาและให้ความสำคัญ ก่อนที่ความเสียหายจะเกิดขึ้นในวันที่สายเกินแก้ไขสถานการณ์

1. ใช้ Firewall

ถ้าหากคุณมีธุรกิจขนาดเล็ก เสี่ยงต่อการถูกโจมตีทางไซเบอร์ได้ง่าย ยิ่งต้องรีบเสริมเกาะป้องกันความปลอดภัยโดยติดตั้ง Firewall ซอฟต์แวร์หรือฮาร์ดแวร์บนเครือข่าย ที่ทำหน้าที่ช่วยตรวจสอบข้อมูลของพนักงานที่ผ่านเข้า-ออกจากระบบเครือข่าย เพื่อเป็นการป้องกันว่าข้อมูลเหล่านั้นมีความปลอดภัยหรือไม่

2. แบ่งระบบเครือข่ายให้ชัดเจน

การแบ่งระบบเครือข่ายให้เป็นสัดส่วนชัดเจน เพื่อป้องกันความปลอดภัยอย่างเหมาะสม ได้แก่ ระบบเครือข่ายภายในองค์กร สำหรับพนักงานในองค์กรที่ใช้ในงานสำคัญเท่านั้น และ ระบบเครือข่ายภายนอกองค์กร ที่ผู้เยี่ยมชมสามารถเข้ามาได้จากการค้นหาทางอินเทอร์เน็ต แต่ไม่สามารถเข้าถึงเครือข่ายองค์กรของคุณได้ โดยตั้งข้อกำหนดด้านความปลอดภัยที่ชัดเจน ยกตัวอย่างเช่น ไม่อนุญาตให้เว็บเซิร์ฟเวอร์สาธารณะเข้าถึงเครือข่ายภายใน แต่อาจอนุญาตให้เข้าถึงในแบบผู้เยี่ยมชม หรือพิจารณาแยกเครือข่ายตามหน้าที่ของธุรกิจต่าง ๆ (ส่วนบันทึกลูกค้า การเงิน พนักงานทั่วไป) เป็นต้น   

3. กําหนดเอกสารนโยบายความปลอดภัยทางไซเบอร์ให้ดี

เพราะธุรกิจขนาดเล็กอาจมีช่องโหว่ในเรื่องของการป้องกันภัยคุกคามและการรักษาความปลอดภัยทางโลกไซเบอร์​ได้ ดังนั้นควรกำหนดนโยบายให้ชัดเจนและให้พนักงานรับทราบโดยทั่วกัน เช่น การใช้อุปกรณ์และการสื่อสารทางออนไลน์ หรือเก็บรักษาข้อมูลที่สำคัญธุรกิจของคุณให้ปลอดภัย เพื่อลดปัญหาการถูกคุกคามทางไซเบอร์

4. ฝึกอบรมให้ความรู้กับพนักงานทุกคน

เรื่องความปลอดภัยทางด้านข้อมูลนั้นสำคัญกับทั้งตัวบริษัทและพนักงานทุกคน ดังนั้นสิ่งที่จำเป็นมากที่สุดคือวางแนวทางการป้องกันความปลอดภัยบนโลกไซเบอร์ ด้วยการฝึกอบรมให้พนักงานได้รับความรู้ทางด้านไอที เช่น ใช้อีเมลอย่างไรให้ปลอดภัย รวมถึงการใช้งานผ่านเว็บเบราว์เซอร์ เพื่อป้องกันภัยคุกคามทางคอมพิวเตอร์

5. บังคับใช้รหัสผ่านที่ปลอดภัย

จากรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon ปี 2016 พบว่า 63% ของการละเมิดข้อมูลเกิดขึ้น เนื่องจากรหัสผ่านที่เกิดสูญหาย ถูกขโมย หรืออ่อนแอ อีกทั้งร้อยละ 65 ของธุรกิจขนาดเล็ก ไม่ได้บังคับใช้นโยบายของรหัสผ่าน ดังนั้น การกำหนดให้พนักงานในองค์กรตั้งรหัสผ่านที่ปลอดภัยบนอุปกรณ์ที่เข้าถึงเครือข่ายขององค์กรได้จึงเป็นสิ่งสำคัญที่ไม่ควรมองข้าม 

โดยการตั้งรหัสผ่านที่เหมาะสมและปลอดภัย ไม่ควรที่จะใช้ตัวเลขหรือตัวอักษรที่คาดเดาได้ง่าย ไม่ว่าจะเป็น เลขวันเกิด เลขซ้ำ เลขเรียงตามจำนวน หรือคำสะกดเป็นชื่อของตัวพนักงานเข้ามาเป็นองค์ประกอบของรหัสนั้น เช่น Somchai1234, kAn99999 เป็นต้น แต่เราควรตั้งรหัสให้คาดเดาได้ยาก โดยอาศัยหลักการเบื้องต้น ดังนี้

  • ตั้งรหัสผ่านให้ยาวเข้าไว้ รู้ไหมว่าการใช้รหัสผ่านแบบ 10 ตัว ทำให้คาดเดาได้ยากกว่าการตั้งรหัสผ่านแบบ 8 ตัวถึง 4,000 เท่า ดังนั้นจึงขอแนะนำว่าโดยควรตั้งรหัสผ่าน 10-12 ตัวอักษรขึ้นไป จะเพิ่มความปลอดภัยของข้อมูลมากยิ่งขึ้น 
  • เลี่ยงการใช้ภาษามนุษย์ เพราะหากใช้ตัวอักษรธรรมดาที่สามารถสะกดเป็นคำได้ จะยิ่งเพิ่มความเสี่ยง เนื่องจากคำเหล่านั้นถูกบรรจุไว้ในโปรแกรมคาดเดา ดังนั้นควรตั้งด้วยการใช้ตัวอักษรหรืออักขระพิเศษ เพิ่มความยากและป้องกันการใช้โปรแกรมคาดเดาของบรรดาเหล่าแฮกเกอร์

สรุปง่าย ๆ คือ การตั้งรหัสผ่าน ควรใช้ตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และอักขระพิเศษ มาผสมผสานกันตั้งแต่ 10-12 ตัวขึ้นไป ก็จะสามารถเพิ่มความปลอดภัยของรหัสผ่านขึ้นมาได้ ยกตัวอย่างเช่น จากเดิมใช้รหัส Somchai1234 ลองเปลี่ยนเป็น S^o8m%=ch5Ai จะทำให้ความยากในการคาดเดามีเพิ่มขึ้น ข้อมูลสำคัญที่อยู่ภายในรหัสผ่านชุดนี้ก็จะปลอดภัยมากขึ้นตามไปด้วย

6. สำรองข้อมูลที่จำเป็นไว้ทั้งหมด

บางทีคุณอาจคิดว่าไฟล์ข้อมูลได้รับการป้องกันไว้เป็นอย่างดีแล้ว แต่หารู้ไม่ยิ่งข้อมูลเยอะมากเท่าไหร่ ยิ่งต้องรีบสำรองไว้ก่อน ด้วยการนำข้อมูลไปจัดเก็บไว้บนคลาวด์ เช่น ไฟล์เอกสาร ไฟล์ของฝ่ายบุคคล ไฟล์ลูกหนี้ หรือฐานข้อมูลที่สำคัญต่าง ๆ ในระบบ และเพื่อให้การสำรองข้อมูลมีประสิทธิภาพสูงสุดและมั่นใจว่าข้อมูลจะไม่สูญหาย เพราะการสำรองข้อมูลเรียกได้ว่าเป็นหนึ่งในการปฏิบัติงานด้านความมั่นคงปลอดภัยที่ทุกองค์กรพึงกระทำเป็นประจำ โดยเฉพาะอย่างยิ่งในยุคปัจจุบันที่ Ransomware กำลังแพร่ระบาดไปทั่ว การสำรองข้อมูลช่วยให้องค์กรสามารถย้อนคืนระบบกลับมายังสถานะก่อนที่จะเกิดเหตุการณ์ผิดปกติ หรือถูกโจมตีได้ โดยเทคนิคสำคัญที่นิยมใช้กันคือ กฎ 3-2-1 Backup Rule ซึ่งประกอบด้วยใจความหลัก 3 ข้อ ได้แก่ 

 6.1 สำรองข้อมูลอย่างน้อย 3 ชุด ได้แก่ ข้อมูลหลักต้นฉบับบนคอมพิวเตอร์ 1 ชุด และข้อมูลสำรองบนระบบสำรองอีก 2 ชุด

 6.2 ใช้ 2 เทคโนโลยีในการสำรองข้อมูลเป็นอย่างน้อย เช่น HDD + Cloud หรือ HDD + Tape เป็นต้น

6.3 มีการสำรองข้อมูล 1 ชุดไปยังที่อื่น (ที่ไม่ใช่ Data Center) หรือสำรองเอาไว้แบบออฟไลน์ เช่น DR Site หรือ Cloud

สรุปกฎทั้ง 3 ข้อนี้จะนำไปสู่การทำระบบ Local Backup และ Remote Backup นั่นเอง สามารถนำ 3-2-1 Backup Rule ไปใช้ได้กับการสำรองข้อมูลส่วนตัว หรือสำรองข้อมูลในที่ทำงาน รวมไปถึงการสำรองข้อมูลบนระบบ Data Center ขนาดใหญ่ได้ เช่น สำรองข้อมูลภายในเครื่อง + สำรองข้อมูลที่ DR Site + สำรองข้อมูลบน Cloud เป็นต้น เพื่อความปลอดภัยของข้อมูลในองค์กร

7. ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์

ถ้าพนักงานที่ได้รับเมล สามารถดูออกว่าอีเมลไหนเป็นอีเมลหลอกก็คงจะดี แต่ความจริงไม่ได้เป็นเช่นนั้น จากรายงานการตรวจสอบการละเมิดข้อมูลของ  Bitdefender Data Breach Investigations Report  พบว่า ผู้ใช้มากกว่า 30% เปิดอีเมลฟิชชิง (Phishing Email) และมีจำนวนเพิ่มขึ้นทุกปี นอกการการอบรมสร้างความตระหนักในด้าน Cybersecurity ให้กับพนักงานเป็นสิ่งจำเป็นที่ต้องทำแล้ว การมีซอฟต์แวร์ป้องกันมัลแวร์ติดตั้งในทุกอุปกรณ์และเครือข่าย ก็จะช่วยเสริมความปลอดภัยมากยิ่งขึ้น โดยการโจมตีด้วยฟิชชิงมักจะมุ่งไปที่บทบาทของพนักงานโดยเฉพาะธุรกิจขนาดเล็ก และใช้กลยุทธ์เฉพาะตำแหน่ง เช่น ผู้บริหารระดับสูง ผู้ช่วยฝ่ายบริหาร พนักงานขาย เป็นต้น

8. ใช้วิธีการยืนยันตัวตนแบบหลายปัจจัย

สำหรับวิธีการยืนยันตัวตนแบบหลายปัจจัย หรือที่รู้จักกันในชื่อ MFA (Multi-Factor Authentication) ซึ่งเป็นวิธีการเพิ่มความปลอดภัยในการเข้าใช้งานระบบ ที่กำหนดให้ผู้ใช้ป้อนข้อมูลที่นอกเหนือจากรหัสผ่าน ตัวอย่างเช่น ระบบอาจขอให้ผู้ใช้ป้อนรหัสที่ส่งไปยังอีเมล, SMS หรือ App Authentication ที่ใช้คู่กับการป้อนรหัสผ่าน รูปแบบที่เพิ่มขึ้นมาจะช่วยป้องกันการเข้าถึงบัญชีโดยไม่ได้รับอนุญาตได้ในกรณีที่รหัสผ่านเกิดหลุดออกไป

9. เพิ่มความปลอดภัยให้กับอีเมลของคุณ

โดยส่วนใหญ่ไฟล์ที่ถูกแนบมาจากในอีเมลมักไม่ค่อยปลอดภัย ดังนั้นข้อควรระวังความปลอดภัยในการใช้อีเมลนั่นก็คือ ไม่เปิดไฟล์แนบ หรือลิงก์ที่น่าสงสัย หรือมาจาก Email ที่ไม่รู้จัก เพื่อป้องกันไวรัสที่แฝงเข้ามาทำลายข้อมูลของคุณได้

10. ระมัดระวังในการซอฟต์แวร์ฟรี

แน่นอนว่าในยุคดิจิทัลแบบนี้หลายคนมีแอปพลิเคชันจำนวนมากอยู่ในสมาร์ทโฟน หรือซอฟต์แวร์ในคอมพิวเตอร์ ที่มักดาวน์โหลดกันมาแบบฟรีไม่มีค่าใช้จ่าย แต่ถ้าไม่ดูให้ดี คุณอาจเจอกับซอฟต์แวร์ที่มาพร้อมกับโทรจันที่ซ่อนอยู่ ซึ่งสามารถขโมยข้อมูล รหัสผ่าน และข้อมูลส่วนตัวของคุณได้ ดังนั้น เลือกซอฟต์แวร์ที่น่าเชื่อถือและตรวจสอบได้ เพราะใช่ว่าทุกอย่างที่ดาวน์โหลดฟรีจะปลอดภัย

ไม่ว่าคุณจะประกอบธุรกิจรูปแบบไหน การให้ความสำคัญกับความปลอดภัยของข้อมูลควรมาเป็นลำดับแรก ๆ ในการประกอบกิจการ หมั่นดูแลตรวจเช็กระบบ ควบคู่ไปกับการให้ความรู้บุคลากรในองค์กร เพราะหากวันใดวันหนึ่งเกิดการโจมตีขึ้นมาจริง ๆ มูลค่าความเสียหายที่เกิดขึ้นอาจทำให้คุณคิดได้ว่า “ลงทุนกับความปลอดภัยตั้งแต่แรก” นั้นคุ้มค่ากว่าเยอะ

ที่มา : aware , aws.amazon , verizon , techsauce , cisco , positioningmag , bitdefender

บทความที่เกี่ยวข้อง

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที

  • 6 มีนาคม 2024

    ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ได้สรุปสถิติภัยคุกคามการโจมตีในปี 2023 ที่ผ่านมา มีอะไรบ้างที่ควรรู้และในปีถัดไปควรระวังเรื่องใด