ความรู้เท่าไม่ถึงการณ์ของพนักงานเพียง 1 คน อาจหมายถึงความเสี่ยงของทั้งองค์กรที่จะเกิด Cyber Attack จนนำมาซึ่งความเสียหายมากมายในทันที บทความนี้จะนำเสนอ 10 พฤติกรรมเสี่ยงจากการใช้งาน ที่เพิ่มความเสี่ยงให้องค์กรของคุณถูกโจมตีโดยไม่รู้ตัว ลองสำรวจพฤติกรรมของพนักงานว่ามี 10 พฤติกรรมนี้หรือไม่เพื่อเพิ่มความปลอดภัยจากไซเบอร์ (Cyber Security) ในองค์กร และลดโอกาสการถูกโจมตี (Cyber Attack)
1. การใช้ซอฟต์แวร์ที่ล้าสมัย
ช่องโหว่ในระบบปฏิบัติการ เบราว์เซอร์ และซอฟต์แวร์อื่น ๆ บนพีซี มือถือ แท็บเล็ต และอุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ตของคุณเป็นหนึ่งในวิธีการที่แฮกเกอร์สามารถใช้โจมตีองค์กรได้ ซึ่งในปี 2020 ช่องโหว่ต่างๆเหล่านี้ถูกเจอมากกว่า 18,100 รายการ และมีจำนวนช่องโหว่ของซอฟต์แวร์ใหม่มากกว่า 50 รายการต่อวัน
วิธีการปัญหาซอฟต์แวร์ที่ล้าสมัย
การตั้งค่าให้โปรแกรมหรือซอฟต์แวร์ต่าง ๆ ในเครื่องให้มีการอัปเดตแบบอัตโนมัติ รวมทั้งมีการตรวจสอบ อย่างสม่ำเสมอ (Maintenance Services) ก็สามารถปิดช่องโหว่นี้ได้เป็นอย่างดี
2. การตั้งรหัสผ่านที่ง่ายต่อการคาดเดา
ปัญหาส่วนใหญ่ที่คนพบเจอในยุคที่ทุกอย่างต้องมีการเข้าสู่ระบบ คือ การลืมรหัสผ่าน ซึ่งวิธีแก้ปัญหาของผู้ใช้งานส่วนใหญ่เป็นการใช้รหัสผ่านเดิม ๆ สำหรับทุกบัญชีการใช้งาน รวมถึงการตั้งรหัสผ่านอย่างง่าย ๆ เพื่อป้องกันการลืม แต่การตั้งรหัสที่เหมือนกัน หรือสามารถคาดเดาได้อย่างง่ายดายนั้นเป็นโอกาสสำคัญสำหรับผู้ไม่ประสงค์ดีในการโจมตีระบบขององค์กรเรา
วิธีการปัญหาการตั้งรหัสผ่าน
เพื่อป้องกันการถูกโจมตี หรือถูก Cyber Attach แบบง่าย ๆ ผู้ใช้งานจึงควรตั้งรหัสผ่านที่มีความแข็งแรง ยากต่อการคาดเดา และหลีกเลี่ยงการใช้รหัสผ่านเดิมซ้ำ ๆ รวมถึงเปิดใช้งานระบบยืนยันตัวตนแบบ two-factor authentication (2FA) เพื่อป้องกันการโดนขโมยข้อมูลจากเหล่าแฮกเกอร์
3. การใช้ Wi-Fi สาธารณะ
ภัยคุกคามแอบแฝงอาจมาในรูปแบบของการล่อลวงให้ใช้ Wi-Fi สาธารณะ แฮ็กเกอร์สามารถใช้เครือข่ายเดียวกันเพื่อดักฟังการใช้งานอินเทอร์เน็ต เข้าถึงบัญชีและขโมยข้อมูลประจำตัวของคุณ ดังนั้นพยายามหลีกเลี่ยงการใช้ Wi-Fi สาธารณะ หากจำเป็นต้องใช้ก็ไม่ควรลงชื่อเข้าใช้บัญชีสำคัญใด ๆ ในขณะที่เชื่อมต่อ
4. ไม่คิดก่อนคลิก!
Phishing หรือการหลอกล่อให้เหยื่อกดคลิกลิงก์หรือเปิดไฟล์บางอย่างที่มาพร้อมกับมัลแวร์นั้น ถือเป็นวิธีการที่แฮกเกอร์ใช้บ่อยที่สุด ซึ่งหากหลงกลกับข้อความเชิญชวนต่าง ๆ เหล่านี้อาจจะถูกขโมยข้อมูลในทันที ดังนั้นควรตรวจเช็กแหล่งที่มาและความน่าเชื่อถือของลิงก์ ไฟล์ หรืออีเมลต่าง ๆ ให้ดีก่อนจะคลิกใด ๆ และการ Phishing นั้นส่วนมากจะมาในรูปแบบการส่งเมลขององค์กร ซึ่งมีการปลอมแปลงหน้าตาอีเมลและเนื้อหาให้ใกล้เคียงกับที่ได้รับมากที่สุดเพือให้ผู้ใช้งานคิดว่าเนื้อหาเหล่านั้นเป็นของจริง และทำการกดเพื่อดูข้อมูลเพิ่ม หรือแม้กระทั่งไปกรอกข้อมูลตามลิงค์ที่แฮกเกอร์ทำดักทางไว้
ดังนั้นองค์กรจึงควรมีการให้ความรู้แก่พนักงานในเรื่องความปลอดภัยทางไซเบอร์ (Cyber security) เพื่อให้เกิดความตระหนักในการระมัดระวังการใช้งานผ่านเครือข่าย รวมทั้งองค์กรควรจะมีการทำแบบทดสอบ phishing test และประเมินว่าหากเกิดเหตุการณ์ phishing ขึ้นจริง ๆ พนักงานสามารถรับมือได้ทุกคนหรือไม่
5. ไม่มีโปรแกรมป้องกัน Virus หรือ Malware ในอุปกรณ์อื่นๆ
ไม่ต้องบอกก็รู้ว่าในยุคที่มีภัยคุกคามทางไซเบอร์มากมาย คุณและองค์กรของคุณควรมีการป้องกันมัลแวร์จากผู้ให้บริการที่มีชื่อเสียงในพีซีและแล็ปท็อปทั้งหมดของคุณ แต่มีพวกเรากี่คนที่ขยายความปลอดภัยแบบเดียวกันนี้ไปยังอุปกรณ์เคลื่อนที่และแท็บเล็ตของเรา การวิจัยชี้ให้เห็นว่าเราใช้เวลาเกือบ 5,000 ชั่วโมงในแต่ละปีกับแกดเจ็ตเหล่านี้ และมีโอกาสมากมายที่จะเจอแอพและเว็บไซต์ที่เป็นอันตรายในเวลานั้น ปกป้องอุปกรณ์ของคุณให้ครอบคลุมทุกอุปกรณ์ อย่าให้รูรั่วที่มีเพียงจุดเดียวทำให้เกิดภัยคุกคามทางไซเบอร์อื่น ๆ ที่ตามมาในองค์กรของคุณ
6. การเข้าเว็บไซต์ที่ไม่ปลอดภัย
สัญลักษณ์ HTTPS ของเว็บไซต์ต่าง ๆ นั้นถือเป็นจุดสังเกตที่ง่ายที่สุดที่บอกเราได้ว่าเว็บไซต์นั้นมีความปลอดภัย และมีความน่าเชื่อของเว็บไซต์เพียงใด ถึงแม้ว่าบางครั้งการมี HTTPS ก็อาจจะไม่สามารถรับประกันได้ 100% ว่าเว็บไซต์นั้นปลอดภัย แต่อย่างน้อย ๆ ก็จะช่วยให้ผู้ใช้สามารถตรวจสอบก่อนใช้งาน และมีโอกาสรอดพ้นจากการถูกขโมยข้อมูลมาแล้ว ดังนั้นก่อนที่คุณเข้าใช้งานเว็บไซต์ใด ๆ ที่ไม่รู้จัก การสังเกตสัญลักษณ์ HTTPS ตรง URL ของเว็บไซต์ ก็ยังถือเป็นสิ่งที่ควรทำเป็นอันดับแรก
7. ใช้ชีวิตส่วนตัวปะปนกับเรื่องงาน
อาจจะมีบางครั้งที่เผลอใช้อีเมลและรหัสผ่านของที่ทำงานไปใช้กับเรื่องส่วนตัว เช่น สั่งซื้อสินค้าออนไลน์ หรือสมัครสมาชิกเว็บไซต์ต่าง ๆ เพราะหากเว็บไซต์เหล่านั้นที่เคยเข้าใช้งานผ่านอีเมลหรือบัญชีของบริษัทเป็นเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้ไม่หวังดี องค์กรของก็จะมีความเสี่ยงต่อการถูกขโมยข้อมูลหรือถูกเจาะเข้าสู่ network ขององค์กร และเช่นเดียวกับการใช้คอมพิวเตอร์ส่วนตัวที่ไม่มีระบบ Cyber security ที่ได้มาตรฐานเพียงพอสำหรับการทำงาน ก็จะยิ่งเพิ่มความเสี่ยงของถูก Cyber Attack ให้สูงขึ้นด้วยเช่นกัน
8. ให้ข้อมูลส่วนตัวทางโทรศัพท์
เช่นเดียวกับการฟิชชิงทางอีเมลและ SMS มิจฉาชีพมักจะใช้หมายเลขจริงเพื่อเพิ่มความน่าเชื่อถือในการหลอกเอาข้อมูล การป้องกันที่ดีที่สุดคือไม่ให้ข้อมูลที่ละเอียดอ่อนทางโทรศัพท์ เช็คว่าปลายสายเป็นใครและโทรมาจากไหน หรือโทรหาบริษัทโดยตรงเพื่อตรวจสอบก่อนทำธุรกรรมใด ๆ
9. การไม่สำรองข้อมูล
อาชญากรรมทางไซเบอร์สามารถสร้างความเสียหายให้กับธุรกิจมูลค่าหลายร้อยล้านต่อปี แม้ว่าเราป้องกันตัวเองอย่างดีที่สุดแต่ก็อาจจะมีช่องว่างบางอย่างที่แฮกเกอร์หาเจอ การหมั่นสำรองข้อมูลเก็บไว้เป็นประจำก็จะช่วยลดความสูญเสียที่อาจเกิดขึ้นไม่ว่าจะเป็นการเข้าถึงไฟล์ไม่ได้จากการถูก Ransomware หรือการถูกมัลแวร์อื่น ๆ โจมตีทำให้ไม่สามารถใช้งานไฟล์เหล่านั้นได้ การสำรองข้อมูลไว้อย่างน้อย 3 ที่ถือเป็นการป้องกันข้อมูลไปได้มากทีเดียว
10. เชื่อมต่ออุปกรณ์อย่างไม่ระวัง
ในยุคที่ทุกอุปกรณ์เชื่อมถึงกันอย่างง่ายดาย แต่ถ้าหากไม่ระวังให้ดีแล้ว บางอุปกรณ์ของคุณก็อาจกลายเป็นช่องทางสำคัญให้ผู้ไม่หวังดีเข้าถึงข้อมูลส่วนตัวและองค์กรของคุณในอุปกรณ์อื่น ๆ ที่เชื่อมต่ออยู่ใน network เดียวกันนี้ได้ ตัวอย่างเช่นการใช้สายชาร์ตแบบต่อ USB ตรง ต้องบอกว่าสาย USB นั้นสามารถส่งทั้งกระแสไฟ และส่งข้อมูลได้ ดังนั้นหากต้องการชาร์ตอุปกรณ์เคลื่อนที่ใด ๆ ที่มีข้อมูลสำคัญนั้นจึงควรใช้หัวเสียบที่ต่อจากไฟโดยตรง ก็ถือเป็นการป้องกันข้อมูลรั่วไหลในเบื้องต้น
สรุป
10 พฤติกรรมที่กล่าวมาข้างต้น เป็นพฤติกรรมเล็ก ๆ น้อย ๆ ที่ผู้ใช้งานอาจจะเผลอ หรือหลงลืมไป ดังนั้นในหน่วยงานจึงควรจะมีการจัดอบรมเรื่องความปลอดภัยทางด้านไซเบอร์ รวมถึงอัพเดทข่าวเกี่ยวกับการโจมตีทางไซเบอร์รูปแบบใหม่ ๆ ให้พนักงานอยู่เสมอ เพื่อให้ได้ตระหนักถึงความสำคัญในพฤติกรรมการใช้งานอุปกรณ์ใด ๆ ที่อาจจะเป็นส่วนหนึ่งที่ทำให้เกิดการโจมตีเข้ามายังองค์กร
รวมทั้งองค์กร โดยเฉพาะองค์กรขนาดใหญ่ควรจะต้องจัดทำเทสการโจมตีรูปแบบต่าง ๆ เพื่อให้มั่นใจได้ว่าพนักงานในองค์กร รวมถึงระบบที่องค์กรมีอยู่ในปัจจุบันนั้นสามารถรับมือกับการโจมตีได้มากน้อยเพียงใด ซึ่งหากยังไม่สามารถรับมือได้ องค์กรยังมีโอกาสในการจัดหาระบบในการป้องกัน และการจัดอบรมพนักงานก่อนที่จะถูกโจมตีจริงที่ไม่สามารถแก้ไขอะไรได้ทัน
X10 มีทีมผู้เชี่ยวชาญในการวางระบบ Cyber Security, Cyber Attack Test และการจัดอบรมความปลอดภัยทางไซเบอร์ โดยได้รับความไว้ใจจากองค์กรชั้นนำ และหน่วยงานรัฐ เราสามารถหา Solution ที่เหมาะกับองค์กรของคุณได้ ติดต่อทีมผู้เชี่ยวชาญของเราเพื่อรับคำปรึกษาเกี่ยวกับ Cyber Security ได้ที่
: 02-693-1989
: Sales@extend-it-resource.com
Commentaires