[Interlink Telecom] การประเมินระดับความเสี่ยงด้านไซเบอร์และการบริหารความเสี่ยงด้านไซเบอร์ภายธุรกิจและองค์กร ความเสี่ยงทางไซเบอร์คืออะไร ?

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

17 พ.ค. 2022 เวลา 13:00 • วิทยาศาสตร์ & เทคโนโลยี

การประเมินระดับความเสี่ยงด้านไซเบอร์และการบริหารความเสี่ยงด้านไซเบอร์ภายธุรกิจและองค์กร

ความเสี่ยงทางไซเบอร์คืออะไร ?

ความเสี่ยงทางไซเบอร์ คือ แนวโน้มที่จะได้รับผลกระทบจากการหยุดชะงักต่อข้อมูลที่ละเอียดอ่อน การเงิน หรือการดำเนินธุรกิจออนไลน์ รวมถึงการให้บริการบางอย่างที่มีความเกี่ยวข้องต่อการดำเนินธุรกิจและการให้บริการประชาชน

โดยทั่วไปความเสี่ยงทางไซเบอร์มีความเกี่ยวข้องกับเหตุการณ์ที่อาจส่งผลให้เกิดการละเมิดข้อมูล การขโมยข้อมูล หรือการทำลายข้อมูลเพื่อให้ไม่สามารถให้บริการได้

ความเสี่ยงทางไซเบอร์นั้นเป็นภัยคุกคามด้านความปลอดภัยต่อการดำเนินงานของธุรกิจและองค์กร ตัวอย่างของความเสี่ยงทางไซเบอร์ ได้แก่

●
Ransomware (แรนซัมแวร์)

หนึ่งในมัลแวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูลด้วยวิธีการต่าง ๆ

เช่น การเข้ารหัสด้วย Advanced Encryption Standard (AES) ซึ่งเป็นหนึ่งในมาตรฐานการเข้ารหัสที่ได้รับความเชื่อถือในอุตสาหกรรมและองค์กรต่าง ๆ ที่ต้องการสร้างความมั่นใจและความปลอดภัยของข้อมูลเพื่อไม่ให้ผู้อื่นสามารถล่วงรู้ความลับของข้อมูลได้

เหตุนี้จึงทำให้ผู้ไม่หวังดีได้มีการพัฒนามัลแวร์ได้มีการเอาประโยชน์ของการเข้ารหัสนี้มาใช้ประโยชน์ด้วยการเข้ารหัสข้อมูลของเป้าหมายทำให้ไม่สามารถเข้าใช้ข้อมูลได้จนกว่าจะจ่ายค่าไถ่ข้อมูลให้กับผู้พัฒนา Ransomware

●
Data leaks (ข้อมูลรั่วไหล)

ข้อมูลรั่วไหลเกิดขึ้นเมื่อมีข้อมูลที่ละเอียดอ่อนหรือข้อมูลที่เป็นความลับถูกเปิดเผยโดยไม่ได้ตั้งใจบนอินเทอร์เน็ตหรือรูปแบบอื่นใด

การนำข้อมูลออกโดยอาจบันทึกผ่าน Flash drive External Hard disk หรือผ่านเครื่องคอมพิวเตอร์พกพาและเกิดการสูญหายซึ่งอาจเกิดความเสี่ยงที่ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้

●
Phishing (ฟิชชิง)

คือการโจมตีรูปแบบหนึ่งที่หลอกให้เป้าหมายกรอกข้อมูลส่วนบุคคล ข้อมูลที่เป็นความลับ ข้อมูลทางการเงิน ข้อมูลบัตรประชาชน ด้วยวิธีการต่าง ๆ เพื่อให้เป้าหมายส่งข้อมูลนั้นให้กับผู้ไม่หวังดี

เช่น การส่งอีเมลหลอกเป้าหมาย “คุณมีการถอนเงินเป็นจำนวนหนึ่ง หากไม่ใช่กรุณาคลิกลิงก์ด้านล่างนี้เพื่อ ยกเลิกการทำรายการ” หรือ “คุณเป็นผู้โชคดีได้รับ iPhone ฟรีเพียงแค่กรอกข้อมูลในนี้”

และเมื่อเป้าหมายส่งข้อมูลให้กับผู้ไม่หวังดีแล้วผู้ไม่หวังนำข้อมูลไปดำเนินการเข้าถึงข้อมูลส่วนอื่น ๆ ของเป้าหมาย เช่นข้อมูลการเงิน ข้อมูลรหัสระบบต่าง ๆ ที่เป็นข้อมูลส่วนบุคคล

●
Malware (มัลแวร์)

หรือ Malicious Software (ซอฟต์แวร์อันตราย) คือซอฟต์แวร์ที่พัฒนาโดยผู้ไม่หวังดี เพื่อขโมยข้อมูลและสร้างความเสียหายให้กับระบบคอมพิวเตอร์ โดยมัลแวร์นั้นได้แบ่งออกเป็นหลายประเภท เช่น

- Virus (ไวรัส) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารสนเทศเป็นอย่างซึ่งโดยมุ่งเน้นในการโจมตี ขัดขวางเพื่อไม่ให้ระบบสามารถใช้งานได้

- Worms (เวิร์ม) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารเทศที่มีการเชื่อมต่อผ่านระบบเครือข่ายทั้งภายในและภายนอกโดยซอฟต์แวร์ชนิดนี้มุ่งเน้นเพื่อการโจมตี ขัดขวางการทำงานและขยายตัวส่งต่อภายในระบบเครือข่ายจนทำให้ไม่สามารถใช้งานระบบสารสนเทศได้

- Trojan (โทรจัน) เป็นซอฟต์แวร์ที่มีเป้าหมายการดักจับเปลี่ยนแปลงแก้ไขข้อมูลซึ่งอาจส่งผลต่อความถูกต้องของข้อมูลภายในระบบสารสนเทศหรือาจเกิดความเสียหายภายในระบบสารสนเทศได้

- Spyware (สปายแวร์) ซอฟต์แวร์ประสงค์ร้ายที่ทำงานอย่างลับๆ บนคอมพิวเตอร์และรายงานกลับไปยังผู้ใช้ระยะไกล โดยสปายแวร์มุ่งเน้นเพื่อขโมยข้อมูลทางการเงินหรือข้อมูลส่วนบุคคล

- Adware (แอดแวร์) คือซอฟต์แวร์ที่รวบรวมข้อมูลการใช้งานระบบคอมพิวเตอร์และจัดเตรียมโฆษณาให้กับเป้าหมาย ถึงแม้ว่าแอดแวร์อาจไม่เป็นอันตราย แต่ในบางกรณีแอดแวร์อาจทำให้เกิดปัญหากับระบบสารสนเทศได้ซึ่งแอดแวร์สามารถเปลี่ยนแปลงเส้นทางการเข้าถึงเว็บไซต์ไปสู่เว็บไซต์ที่ไม่ปลอดภัยได้

- Ransomware (แรนซัมแวร์) คือซอฟต์แวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูล ไฟล์และเอกสารเพื่อไม่ให้เป้าหมายสามารถใช้งานได้

●
Insider threats (ภัยคุกคามจากภายใน)

คือภัยคุกคามจากภายในอาจเกิดขึ้นได้กับคนใกล้ชิดภายในองค์กรที่ได้รับอนุญาตในการเข้าถึงข้อมูลที่เป็นความลับซึ่งการเข้าถึงอาจส่งผลเสียต่อข้อมูลหรือระบบที่สำคัญขององค์กรได้ โดยภัยคุกคามชนิดนี้อาจจะเป็นพนักงาน ผู้ขาย ผู้รับเหมา หุ้นส่วนหรือบุคคลที่มีความใกล้ชิด โ

ดยความเสี่ยงและช่องโหว่ทางไซเบอร์นั้นมีวิธีการในการทำงานที่แตกต่างกัน โดยช่องโหว่ถือเป็นจุดอ่อนที่ส่งผลให้เกิดการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตจากผู้ไม่หวังดีที่อาจก่อให้เกิดความเสี่ยงทางไซเบอร์ภายในระบบสารสนเทศของธุรกิจและองค์กร

การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์

การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้ธุรกิจและองค์กรเข้าใจ ควบคุม และลดความเสี่ยงทางไซเบอร์ทุกรูปแบบ ที่เป็นองค์ประกอบสำคัญของการบริหารความเสี่ยงและลดความเสี่ยง

หากไม่มีการประเมินความเสี่ยงการรักษาความปลอดภัยทางไซเบอร์ อาจส่งผลกระทบต่อข้อมูลและทรัพยากรสำคัญใน การดำเนินการอยู่ของธุรกิจและองค์กรได้ การใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ มีวิธีการคำนวณตาม OWASP Risk โดยมีขั้นตอนการประเมินความเสี่ยงดังนี้

1. ระบุความเสี่ยง คือการระบุถึงความเสี่ยงที่จะเกิดขึ้นกับระบบสารสนเทศ

2. ปัจจัยในการประมาณความน่าจะเป็น คือปัจจัยที่สามารถช่วยกำหนดความน่าจะเป็นได้ ซึ่งมีความเกี่ยวข้องกับตัวภัยคุกคาม

3. ปัจจัยในการประเมินผลกระทบ คือปัจจัยที่ส่งผลกระทบการทำงานของระบบสารสนเทศ

4. การกำหนดความรุนแรงของความเสี่ยง คือความรุนแรงที่อาจส่งผลกระทบต่อระบบสารสนเทศ

5. ตัดสินใจว่าจะแก้ไขในอนาคตหรือไม่ คือมีแนวโน้มที่จะแก้ไขช่องโหว่ที่เกิดขึ้นนี้ในอนาคตหรือไม่

6. การจำลองการประเมินความเสี่ยง คือการมีกรอบการจัดลำดับความเสี่ยงที่ปรับแต่งได้สำหรับธุรกิจเป็นสิ่งสำคัญสำหรับการนำไปใช้

เมื่อเข้าสู่ขั้นตอนการประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ โดยคำนึงถึงจุดอ่อนที่มีระดับความเสี่ยงต่ำหมายถึงจุดอ่อนมีความรุนแรงต่ำ จุดอ่อนที่มีความเสี่ยงสูงหมายถึงจุดอ่อนที่อาจก่อให้เกิดความเสียหายต่อระบบสารสนเทศสูงหรือมีระดับความรุนแรงสูง และง่ายต่อการโจมตี

โดยใช้หลักการวิเคราะห์ความรุนแรงของช่องโหว่และการประเมินความเสี่ยง ดังนี้

ความรุนแรง

✓
มาก ช่องโหว่สามารถขัดขวาง หรือยุติการให้บริการ หรือทำให้ข้อมูลเสียหายได้
✓
ปานกลาง ช่องโหว่ไม่สามารถทำให้ระบบหยุดการให้บริการได้ หรือจำเป็นจะต้องอาศัยช่องโหว่อื่นๆ ช่วยในการทำให้ระบบยุติการให้บริการ
✓
ต่ำ ช่องโหว่ไม่สามารถยุติการให้บริการได้ แต่ทำให้ได้ข้อมูลพื้นฐานเกี่ยวกับการให้บริการ

ซึ่งการประเมินความเสี่ยงทางไซเบอร์ถูกกำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เป็นการประเมินความเสี่ยงที่ใช้ในการระบุ การประมาณการและการจัดลำดับความสำคัญของความเสี่ยง ต่อการดำเนินงานของธุรกิจและองค์กร สินทรัพย์ของธุรกิจและองค์กร บุคคล ธุรกิจและองค์กรอื่นๆ และประเทศ

ซึ่งเป็นผลมาจากการดำเนินงานและการใช้ระบบสารสนเทศ วัตถุประสงค์หลักของการประเมินความเสี่ยงทางไซเบอร์คือ การแจ้งให้ผู้มีส่วนได้ส่วนเสียทราบและสนับสนุนการตอบสนองที่เหมาะสมต่อความเสี่ยงที่เกิดขึ้น

พร้อมสามารถสรุปข้อมูลสำคัญสำหรับผู้บริหาร เพื่อช่วยผู้บริหารและกรรมการในการตัดสินใจเกี่ยวกับการรักษาความปลอดภัย

การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์คือ แนวปฏิบัติในการจัดลำดับความสำคัญของ มาตรการป้องกันความปลอดภัยทางไซเบอร์

โดยพิจารณาจากผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามที่ออกแบบ มาเพื่อใช้ในการโจมตีเป้าหมาย การสร้างแนวทางการบริหารความเสี่ยง เพื่อการสร้างความมั่นคงด้านความปลอดภัยทางไซเบอร์

ซึ่งธุรกิจและองค์กรที่เกิดขึ้นใหม่ อาจไม่สามารถกำจัดช่องโหว่ของระบบทั้งหมดหรือบล็อกการโจมตี ทางไซเบอร์ได้ทั้งหมด ผ่านการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์

ธุรกิจและองค์กรควรให้ความสำคัญกับข้อบกพร่องของระบบ แนวโน้มภัยคุกคาม และการโจมตีที่สำคัญที่สุดต่อธุรกิจก่อน

ขอบคุณข้อมูลจาก : สำนักงานส่งเสริมเศรษฐกิจดิจิทัล https://www.depa.or.th/th/article-view/cyber-risk-assessment-and-cyber-risk-management

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน