support@icik-academy.com
เดือนเมษายนเป็นช่วงเวลาที่คนไทยทั้งประเทศรอคอย เทศกาลสงกรานต์คือหมุดหมายของการพักผ่อน การเดินทางกลับภูมิลำเนา และการใช้เวลากับครอบครัว แต่ในขณะที่ออฟฟิศว่างเปล่าและพนักงานส่วนใหญ่อยู่ในโหมดพักผ่อน ช่วงเวลานี้กลับกลายเป็น “นาทีทอง” ของเหล่าอาชญากรไซเบอร์ (Cybercriminals)
สถิติจากหลายสถาบันด้านความปลอดภัยระบุตรงกันว่า การโจมตีทางไซเบอร์ ไม่ว่าจะเป็น Ransomware, Phishing หรือการเจาะระบบ มักเกิดขึ้นบ่อยที่สุดในช่วงวันหยุดยาว เพราะแฮกเกอร์รู้ดีว่าทีม IT ขาดแคลนกำลังคนในการเฝ้าระวัง และการตอบสนองต่อเหตุฉุกเฉินจะล่าช้ากว่าปกติ ที่สำคัญ หากการโจมตีนั้นนำไปสู่การรั่วไหลของข้อมูลลูกค้า องค์กรของคุณอาจต้องเผชิญกับฝันร้ายทางกฎหมายตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งมีโทษปรับที่รุนแรง
เพื่อป้องกันไม่ให้วันหยุดยาวกลายเป็นวิกฤตขององค์กร ICIK Academy ขอเสนอ 5 เช็กลิสต์เชิงลึกที่คุณต้องตรวจสอบก่อนปิดออฟฟิศ:
1. อัปเดตระบบและใช้หลักการ Zero Trust การปิดช่องโหว่คือปราการด่านแรก ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ ซอฟต์แวร์ ไฟร์วอลล์ และอุปกรณ์เครือข่ายทั้งหมดได้รับการติดตั้งแพตช์ (Patch) ล่าสุด นอกจากนี้ ควรพิจารณาใช้หลักการ Zero Trust (ไม่ไว้ใจใครเลยแม้จะอยู่ในเครือข่าย) บังคับใช้การยืนยันตัวตนแบบสองขั้นตอน (Multi-Factor Authentication – MFA) สำหรับทุกการเข้าถึงจากภายนอก
2. กฎการสำรองข้อมูลแบบ 3-2-1 (The 3-2-1 Backup Rule) หากโดน Ransomware โจมตี ข้อมูลสำรองคือสิ่งเดียวที่จะช่วยชีวิตธุรกิจคุณได้ กฎ 3-2-1 คือ:
มีข้อมูลสำรองอย่างน้อย 3 ชุด
จัดเก็บในสื่อ (Media) ที่แตกต่างกัน 2 ประเภท
จัดเก็บไว้นอกสถานที่ (Offsite) หรือบนคลาวด์ที่ปลอดภัย 1 แห่ง (และต้องเป็นแบบ Offline ที่แฮกเกอร์รีโมทไปลบไม่ได้)
3. จัดการสิทธิ์การเข้าถึง (Access Control Audit) ช่วงก่อนวันหยุดยาวคือเวลาที่ดีในการ “ล้างบาง” สิทธิ์การเข้าถึงระบบ ตรวจสอบว่ามีบัญชีของอดีตพนักงานที่ยังไม่ได้ปิดทิ้งหรือไม่? พนักงานชั่วคราวหรือ Outsource ยังมีสิทธิ์เข้าถึงข้อมูลที่เกินความจำเป็นอยู่ไหม? ให้ระงับสิทธิ์ที่ไม่ได้ใช้งานทันที และจำกัดสิทธิ์ของพนักงานให้เข้าถึงเฉพาะข้อมูลที่จำเป็นต่อการทำงานเท่านั้น (Principle of Least Privilege)
4. นโยบายโต๊ะทำงานสะอาด (Clean Desk & Physical Security) ข้อมูลรั่วไหลไม่ได้เกิดจากการแฮกเสมอไป การละเมิด PDPA หลายครั้งเกิดจากเอกสารกระดาษ กำชับพนักงานทุกระดับให้เก็บเอกสารสำคัญ สัญญา หรือข้อมูลส่วนบุคคลของลูกค้าเข้าตู้และล็อกกุญแจให้เรียบร้อย ห้ามจดรหัสผ่านแปะไว้หน้าจอคอมพิวเตอร์ และตรวจสอบระบบรักษาความปลอดภัยทางกายภาพ เช่น กล้องวงจรปิด และระบบคีย์การ์ดเข้าออกออฟฟิศให้ทำงานได้ตามปกติ
5. ซักซ้อมแผนรับมือเหตุฉุกเฉิน (Incident Response Plan) หากเกิดเหตุขึ้นจริง “ใครต้องทำอะไร?” คือคำถามที่ต้องมีคำตอบล่วงหน้า กำหนดตัวบุคคลที่ต้องสแตนด์บาย (On-call) จัดทำรายชื่อผู้ติดต่อฉุกเฉิน (ฝ่าย IT, ผู้บริหาร, ฝ่ายกฎหมาย) และที่สำคัญที่สุดคือ DPO (Data Protection Officer) ต้องเตรียมพร้อมสำหรับขั้นตอนการประเมินความเสี่ยงและแจ้งเหตุละเมิดต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด
อย่าปล่อยให้ความหละหลวมเพียงไม่กี่วัน ทำลายความน่าเชื่อถือที่องค์กรสร้างมาทั้งชีวิต การเตรียมพร้อมที่ดีที่สุดคือการลงมือทำตั้งแต่วันนี้ ขอให้ทุกท่านมีความสุขและปลอดภัยในเทศกาลสงกรานต์
ฉลาดของเครื่องจักร” เข้ากับ “ปัญญาและประสบการณ์ของมนุษย์” ทุกวัยได้อย่างกลมกลืนที่สุดต่างหาก
