ขานรับ Lifestyle of BYOD Trend

18 มิถุนายน 2015

อุมารัตน์ โพธิ์ชัย
อุมารัตน์ โพธิ์ชัยผู้จัดการส่วนมาตรฐานบริการความปลอดภัยเทคโนโลยีสารสนเทศ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

สถิติในปี 2014 ที่ผ่านมามียูสเซอร์ที่ใช้งานอินเทอร์เน็ตมากกว่า 3 พันล้านยูสเซอร์จาก 198 ประเทศทั่วโลก และประเทศไทยถูกจัดว่ามีการใช้งานอินเทอร์เน็ตอยู่ในอันดับ 29 นอกจากนี้ยังพบว่าคนไทยมีการใช้งานอินเทอร์เน็ตไม่ต่ำกว่า 7.2 ชั่วโมงต่อวัน และเทรนด์เทคโนโลยีการเชื่อมต่ออินเทอร์เน็ตที่มาแรงคือ Bring Your Own Device (BYOD) หากแปลตามอักษรคือ “นำอุปกรณ์ของคุณมาเอง” ซึ่งหมายถึงแนวโน้มทางเทคโนโลยีที่พนักงานนำอุปกรณ์พกพาของตัวเองมาใช้เชื่อมต่อระบบเครือข่ายในที่ทำงานและใช้อุปกรณ์ดังกล่าวเข้าถึงระบบเทคโนโลยีสารสนเทศที่สำคัญในองค์กร เช่น อีเมล, ไฟล์เซิร์ฟเวอร์ และฐานข้อมูล เป็นต้น

WebRoot-v2

ภาพจาก http://www.inauth.com/byod-putting-corporate-data-at-risk/

การเติบโตของ BYOD นั้น โดยเฉลี่ยแล้วพนักงาน 1 คนจะพกพาอุปกรณ์ของตัวเองมาใช้ในองค์กรไม่ต่ำกว่า 3 เครื่อง เช่น Smartphone, Tablet, Notebook หรืออุปกรณ์สื่อสารแบบพกพาประเภทต่างๆ ที่สามารถเชื่อมต่ออินเทอร์เน็ตหรืออินทราเน็ตภายในองค์กรได้ นอกจากนี้ยังคาดการณ์ว่าพนักงานในแต่ละองค์กรจะมีการใช้งานผ่านอุปกรณ์ Tablet เพิ่มขึ้น 50% ในทุกๆ ปี และตลาดอุปกรณ์ Smartphone จะมีจำนวนถึง 1.2 พันล้านเครื่องในปี 2018

เราจะเห็นได้ว่าแนวโน้มการใช้งานในรูปแบบของ BYOD มีอัตราการเพิ่มขึ้น เนื่องจากความสะดวกรวดเร็วในการติดต่อสื่อสารและการปฏิบัติงาน แต่ทว่าทุกเทคโนโลยีก็เหมือนเหรียญสองด้าน เมื่อมีด้านสว่างก็จะมีด้านมืดเสมอ ดังนั้นสิ่งที่ทุกองค์กรไม่อาจมองข้ามได้ นั่นคือประตูความเสี่่ยงจากการที่องค์กรอนุญาตให้พนักงานใช้อุปกรณ์ BYOD เข้าถึงสารสนเทศที่สำคัญขององค์กรเอง

ข่าวแจ้งเตือนเกี่ยวกับการรักษาความมั่นคงปลอดภัยที่มีเกือบทุกวัน โดยพบช่องโหว่ในอุปกรณ์ BYOD เพิ่มจำนวนมากขึ้นเป็นเงาตามตัว อาทิ ข่าวการเจาะข้อมูลบัตรเครดิตจาก Smartphone การติดมัลแวร์ (Malwares) การแฮกข้อมูลของยูสเซอร์ในระบบ Cloud รวมถึงภัยจากการเจาะระบบด้วยเทคนิค Brute-force เพื่อ Bypass passcode หรือรหัสผ่านของเครื่อง อีกทั้งอุปกรณ์พกพานี้อาจมีการ Jail-breaking ในระบบปฏิบัติการ iOS ของ Apple หรือ Rooting ในระบบปฏิบัติการ Android ซึ่งถือเป็นกระบวนการ Reconfigure ที่ส่งผลให้แฮกเกอร์สามารถลงโปรแกรมภัยร้ายบางอย่างที่นำไปสู่การ Bypass ระบบ Security ที่องค์กรได้กำหนดไว้ กระทั่งส่งผลให้ทั้งข้อมูลส่วนตัวและสารสนเทศที่สำคัญขององค์กรรั่วไหลผ่านช่องทาง BYOD และนี่ถือเป็นด้านมืดของช่องโหว่ที่เพิ่มมากขึ้นหากปล่อยให้ไม่มีการบริหารจัดการด้านความปลอดภัยที่ดี

องค์กรจะรับมือกับ Lifestyle BYOD ได้อย่างไร

ทุกองค์กรควรวางกติกาในการบริหารจัดการการเข้าถึงสารสนเทศที่สำคัญขององค์กรผ่านอุปกรณ์โมบาย (Mobile Device Management: M2M) เพื่อเสริมสร้างความมั่นคงปลอดภัยในระบบ IT Security ในหลายรูปแบบอาทิ

  1. การจัดระดับชั้นความลับสารสนเทศที่สำคัญ
  2. การบริหารจัด Network Zoning ในการอนุญาตให้ใช้งานอุปกรณ์ BYOD
  3. การกำหนดสิทธิการเข้าถึงระบบเทคโนโลยีสารสนเทศและสารสนเทศที่สำคัญ
  4. การเข้ารหัสข้อมูลเมื่อมีการเชื่อมต่อระบบเครือข่ายและระบบเทคโนโลยีสารสนเทศขององค์กร (VPN)
  5. การลงทะเบียนอุปกรณ์ BYOD
  6. การยืนยันตัวด้วยระบบ 2-factor authentication
  7. ติดตั้งและอัพเดท Antivirus บนอุปกรณ์ BYOD
  8. กำหนดให้ทำการ Auto lock อุปกรณ์ BYOD และเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ
  9. จัดเก็บ Log File ตาม พรบ.คอมพิวเตอร์ฯ

ข้อแนะนำเบื้องต้นเหล่านี้ถือเป็นพื้นฐานสำคัญในการกำหนด “นโยบายความมั่นคงปลอดภัยจากการใช้งาน BYOD” แต่สิ่งที่ไม่อาจมองข้ามเพื่อเสริมสร้างประสิทธิภาพให้กับนโยบายดังกล่าว นั่นคือ “การสร้างความตระหนักถึงภัยคุกคาม” ให้กับพนักงานทุกคนที่นำอุปกรณ์ BYOD เข้ามาใช้งานในระบบเทคโนโลยีสารสนเทศขององค์กร เพราะหากทุกคนได้มองเห็นถึงภัยที่จะเกิดขึ้น ทั้งกับข้อมูลของตนเองและองค์กร สิ่งนี้จะนำไปสู่การปฏิบัติจริงโดยไม่มีข้อกังขา และน่าจะเป็นแนวทางที่ได้ผลชัดเจนกว่าการนำมาตรการใด ๆ เข้ามาบังคับใช้

วิถีแห่ง BYOD ที่พร้อมสรรพทั้งความสะดวกสบายในการเข้าถึงข้อมูลทุกที่ทุกเวลาและมีความมั่นคงปลอดภัยจะเป็นจริงได้ก็ต่อเมื่อทุกคนในองค์กรต้องให้ความสำคัญและสร้างขึ้นร่วมกัน

บทความที่เกี่ยวข้อง

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที

  • 6 มีนาคม 2024

    ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ได้สรุปสถิติภัยคุกคามการโจมตีในปี 2023 ที่ผ่านมา มีอะไรบ้างที่ควรรู้และในปีถัดไปควรระวังเรื่องใด