7 เทคนิค เพิ่มความใส่ใจของพนักงานในประเด็น Cybersecurity

คุณอาจเคยได้ยินประโยคที่ว่า “พนักงาน คือ ทรัพย์สินที่มีค่าที่สุดขององค์กร” มาแล้วนับครั้งไม่ถ้วน แต่ในอีกมุมหนึ่งจากฟากฝั่ง Cybersecurity นั้น บางทีพนักงานก็อาจกลายเป็นช่องโหว่ที่อาชญากรทางไซเบอร์จับจ้องและเฝ้าคอยโอกาสที่จะสร้างความเสียหายให้กับองค์กรด้วยเช่นกัน

เมื่อมองย้อนกลับไปในเหตุการณ์ Cyber Attacks ที่เกิดขึ้นในช่วง 5-7 ปีหลังนั้น อาวุธหลักที่กลุ่มผู้ไม่หวังดีเลือกใช้โจมตีองค์กรบ่อยครั้งมากที่สุดก็คือมัลแวร์และ Phishing ซึ่งอาศัยช่องว่างในความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ของพนักงาน 

ปัจจุบันการโจมตีด้วยมัลแวร์ยังคงเพิ่มสูงขึ้นทั่วโลก จนมีการค้นพบมัลแวร์ชนิดใหม่ ๆ ถึง 560,000 ตัว/วัน ในขณะที่มีการคาดการณ์กันว่าโลกของเรานั้นอาจมีมัลแวร์ต่าง ๆ รวมแล้วมากกว่า 1 พันล้านตัว

องค์กรส่วนใหญ่อาจให้ความสำคัญเกี่ยวกับการให้ความรู้พนักงานด้านภัยคุกคามทางไซเบอร์เพียง 1 ครั้งเท่านั้นในช่วงเริ่มทำงาน หรืออย่างมากที่สุดก็ปีละ 1 ครั้ง แต่สิ่งเหล่านี้อาจไม่เพียงพออีกต่อไปในยุคสมัยนี้ 

เพราะในขณะที่ภัยคุกคามทางไซเบอร์รูปแบบต่าง ๆ ได้รับการอัปเดตทุกวัน แต่ความตระหนักรู้และวิธีการรับมือของพนักงานในองค์กรกลับหยุดนิ่งอยู่ที่เดิม ดังนั้นจึงไม่ต้องแปลกใจหากช่องโหว่นี้จะขยายกว้างขึ้นในทุก ๆ ปี

ทว่า การขาดความตระหนักรู้ในประเด็น Cybersecurity นั้น ไม่ใช่ความผิดของพนักงานแต่อย่างใด แต่เป็นหน้าที่ขององค์กรและผู้รับผิดชอบที่ต้องสร้างให้เกิดขึ้น เพื่อป้องกันความสูญเสียที่อาจเกิดขึ้นในอนาคต

วันนี้ NT cyfence จึงขอหยิบยก 7 เทคนิค ที่ช่วยเพิ่มความใส่ใจและการตระหนักรู้ของพนักงานในประเด็นที่เกี่ยวกับ Cybersecurity ซึ่งเคยพูดถึงโดยคุณ Wesley Simpson ผู้บริหาร (ICS)² องค์กรผู้เชี่ยวชาญด้าน Cybersecurity ที่ใหญ่ที่สุดในโลก มาแบ่งปันเพื่อให้ทุกองค์กรได้ลองนำไปปรับใช้กัน จะมีอะไรบ้าง? มาดูกันเลย !

1. เริ่มต้นดี เริ่มที่วันแรก 

ในวันแรกของการทำงานที่พนักงานใหม่ต้องเข้าร่วมการ onboard หรือ orientation ทุกคนนั้น ถือเป็นช่วงเวลาที่เหมาะสมที่องค์กรจะได้ทำการสื่อสารให้พนักงานได้เข้าใจถึงความสำคัญของ Cybersecurity รวมถึงร่วมสร้างจิตสำนึกที่ดีในการตระหนักรู้ตั้งแต่วันแรกของการทำงาน  

2. ซ้อมรับมือ

แน่นอนว่าทุกองค์กรต่างคุ้นเคยกันดีกับการซ้อมอพยพหนีไฟประจำปี แล้วทำไมเราถึงไม่ลองนำแนวคิดนี้มาปรับใช้กับการซ้อมรับมือเหตุการณ์ Cyber Attacks กันดูบ้างล่ะ? 

ด้วยไอเดียของการซ้อมรับมือนี้ องค์กรสามารถกำหนดสถานการณ์ต่าง ๆ ขึ้นได้เอง เช่น การส่งอีเมลที่ฝังด้วยมัลแวร์ซึ่งถูกสร้างขึ้นโดยฝ่าย IT ไปยังพนักงานภายในองค์กรโดยไม่แจ้งล่วงหน้า เพื่อทดสอบการรับรู้ วิธีการรับมือ และให้พนักงานได้เห็นถึงความร้ายแรงของภัยคุกคามทางไซเบอร์พร้อมเข้าใจขั้นตอนปฏิบัติต่าง ๆ เพื่อรับมือกับสถานการณ์ 

เรียกว่าแนวคิดเดียวกับการอพยพหนีไฟที่ต้องมีการซักซ้อมเป็นอย่างดี เพื่อให้พนักงานได้รู้วิธีปฏิบัติเมื่อเกิดเหตุขึ้นจริงนั่นเอง

3. กำหนดแผนงานที่ชัดเจน

ถือเป็นหน้าที่หนึ่งของฝ่าย IT ภายในองค์กรที่จะต้องกำหนดแผนงานและขั้นตอนการรับมือกับเหตุการณ์ Cyber Attacks ที่อาจเกิดขึ้น เช่น เมื่อเกิดเหตุขึ้นแล้วใครจะรับผิดชอบส่วนไหนอย่างไร หรือจะดำเนินการด้วยวิธีใดเพื่อแก้ไขสถานการณ์ให้ได้โดยเร็วที่สุด

นอกจากนี้ยังรวมถึงการกำหนดแผน Training พนักงานอย่างต่อเนื่องและเป็นขั้นเป็นตอนตลอดทั้งปี เพื่อสร้างความตระหนักรู้และอัปเดตความรู้ใหม่ ๆ ที่เกี่ยวกับการรับมือภัยคุกคามทางไซเบอร์อีกด้วย

4. Training อย่างต่อเนื่อง 

การให้ความรู้พนักงานอย่างต่อเนื่องถือเป็นขั้นตอนที่สำคัญในการรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ในสมัยใหม่ ซึ่งจะต้องถูกวางแผนและออกแบบการ Training ให้เหมาะกับพนักงานในแต่ละแผนก เช่น หากเป็นพนักงานในระดับปฏิบัติการทั่วไปแล้ว ก็อาจเน้นไปที่การให้ความรู้เกี่ยวกับการถูก Phishing และมัลแวร์ต่าง ๆ ที่พวกเขาอาจมีโอกาสพบเจอได้บ่อยที่สุดตามอีเมลและไฟล์ต่าง ๆ ที่เปิดใช้งาน  

หรือหากเป็นพนักงานที่ต้องทำงานใกล้ชิดกับข้อมูลความลับและข้อมูลสำคัญต่าง ๆ ขององค์กรแล้วก็อาจต้องการองค์ความรู้เพิ่มเติมสำหรับการจัดเก็บข้อมูล และการเปิดสิทธิ์การใช้งานข้อมูลต่าง ๆ ให้กับคู่ค้าและแผนกอื่น ๆ ภายในองค์กร

5. ทดสอบและประเมินผล

การทดสอบและประเมินผลการรับมือกับ Cyber Attacks ของทั้งระบบและพนักงานภายใต้การควบคุมของทีมที่รับผิดชอบนั้นเป็นสิ่งที่องค์กรสามารถทำได้ตลอดทั้งปี เพื่อค้นหาช่องโหว่ที่อาจสร้างความเสียหายได้ในอนาคต

6. การสื่อสารภายในองค์กร

ปัจจุบันหลายองค์กรต่างให้ความสำคัญการสื่อสารภายในองค์กรอยู่แล้ว แต่ส่วนใหญ่ก็อาจเป็นเพียงการสื่อสารในรูปแบบของทิศทางบริษัท ค่านิยมองค์กร หรือข้อความจากผู้บริหารเป็นหลัก แต่หากเพิ่มการสื่อสารเกี่ยวกับ Cybersecurity เข้าไปด้วยแล้ว ก็จะเป็นอีกช่องทางหนึ่งที่ช่วยทำให้พนักงานรับรู้ถึงความเอาจริงเอาจังในการรับมือกับภัยคุกคามทางไซเบอร์ขององค์กร

และไม่เพียงแต่จะต้องปฏิบัติตามในขณะที่อยู่ในสำนักงานเท่านั้น แต่แม้แต่การ work from home หรือทำงานนอกสถานที่ก็จะต้องไม่ลืมถึงความใส่ใจในประเด็น Cybersecurity นี้เด็ดขาด ซึ่งสิ่งเหล่านี้ถือเป็นค่านิยมและจิตสำนึกที่องค์กรต้องปลูกฝังให้กับพนักงานทุกคน

7. ให้รางวัล 

อีกหนึ่งวิธีการง่าย ๆ ที่ใช้ได้ผลเสมอ และไม่ว่าใครก็ชื่นชอบ โดยองค์กรอาจกำหนดให้มีการมอบรางวัลแก่พนักงานที่ค้นพบช่องโหว่ในการถูกโจมตี อีเมลหรือไฟล์ต้องสงสัยที่อาจมาพร้อมกับมัลแวร์ 

ในขณะเดียวกันสิ่งที่องค์กรไม่ควรทำมากที่สุดก็คือการสร้างบทลงโทษที่พนักงานต้องคอยหวาดกลัว เพราะแม้พนักงานส่วนใหญ่ในองค์กรจะมีความรู้ความเข้าใจในประเด็น Cybersecurity ดีเพียงใด แต่ด้วยภัยคุกคามที่นับวันจะมีความซับซ้อนมากยิ่งขึ้น รวมถึงไฟล์ข้อมูลและอีเมลต่าง ๆ ที่พนักงานต้องใช้งานนับร้อย ๆ ไฟล์ในแต่ละวัน จึงเป็นเรื่องยากที่จะหลีกเลี่ยงจากภัยคุกคามทางไซเบอร์นี้ได้แบบ 100%

ซึ่งโดยสถิติแล้ว แม้องค์กรจะอยู่สถานการณ์ที่พนักงานเกือบทั้งหมดมีความเข้าใจในประเด็น Cybersecurity เป็นอย่างดี แต่ยังมีโอกาสเพียง 4-6% เท่านั้น ที่จะสามารถหยุดยั้ง Cyber Attacks ได้ทุกรูปแบบ 100% 

ดังนั้นแล้วการจะต่อกรกับภัยคุกคามทางไซเบอร์ได้อย่างแท้จริงนั้นจึงต้องอาศัยทั้งเทคโนโลยี ระบบ เครื่องมือ ความรู้ความเข้าใจ จิตสำนึกและหลาย ๆ อย่างเข้าด้วยกัน ซึ่งทั้งหมดนั้นล้วนมีจุดเริ่มต้นคือความใส่ใจในประเด็น Cybersecurity ขององค์กรนั่นเอง

ที่มา:

• https://www.techrepublic.com/article/how-to-make-your-employees-care-about-cybersecurity-10-tips/  
• https://dataprot.net/statistics/malware-statistics