กรุงเทพฯ--26 เม.ย.--แคสเปอร์สกี้ แลป
ค่าใช้จ่ายที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ของธุรกิจการเงินกำลังถีบตัวสูงขึ้น ขณะที่ความยุ่งยากซับซ้อนของภัยคุกคามก็มากขึ้นด้วยเช่นกัน รายงานการวิจัยฉบับใหม่ โดยแคสเปอร์สกี้ แลป กับ บีทูบี อินเตอร์เนชั่นแนล เผยขนาดและผลกระทบของการโจมตี ที่ธุรกิจการเงินต่างต้องเผชิญความสูญเสียมูลค่าเฉลี่ยเกือบล้านดอลล่าร์สหรัฐ ($926,000) ต่อการถูกโจมตีแต่ละครั้ง
ตัวเลขเหล่านี้เป็นส่วนหนึ่งของ Financial Institutions Security Risks 2016 รายงานผลการสำรวจบรรดามืออาชีพในอุตสาหกรรมการเงินเน้นที่ความท้าทายด้านความปลอดภัยหลักของธนาคาร และสถาบันการเงิน ทั่วโลก และค่าใช้จ่ายด้านการเงินที่เกี่ยวเนื่องกับการถูกโจมตีทางไซเบอร์ในบางกรณี ประเภทการโจมตีที่มีมูลค่าความเสียหายสูงที่สุดสำหรับองค์กรการเงิน คือ ภัยคุกคามที่ใช้ช่องโหว่ในระบบ point-of-sale (POS) ซึ่งมูลค่าความเสียหายขององค์กรหนึ่งๆ สูงถึง $2,086,000 การโจมตีอุปกรณ์สื่อสารเคลื่อนที่มาเป็นลำดับที่สองที่มีค่าความเสียหายถึง $1,641,000 ตามด้วยการโจมตีแบบกำหนดเป้าหมาย $1,305,000
การปฏิบัติตามกฎเกณฑ์ข้อกำหนดเป็นตัวผลักดันหลักในการเพิ่มการลงทุนในระบบความปลอดภัยไอทีของธนาคารและสถาบันการเงิน การสำรวจพบว่า 63% ขององค์กรเชื่อว่าการปฏิบัติตามกฎเกณฑ์นั้นไม่เพียงพอต่อระบบความปลอดภัย และที่สำคัญโครงสร้างไอทีก็มีความซับซ้อนขนาดใหญโตขึ้น จึงต้องเพิ่มการลงทุนด้านความปลอดภัยตามไปด้วย ตัวอย่างเช่น บริษัทการเงินโดยทั่วไปมักจะใช้โครงสร้าง Virtual Desktop Infrastructure (VDI) และบริหารจัดการอุปกรณ์ของผู้ใช้งานทั้งสิ้นโดยประมาณที่ 10,000 ราย และประมาณกึ่งหนึ่งเป็นสมาร์ทโฟนและแท็บเล็ต
การขาดความเชี่ยวชาญภายในองค์กร ขาดทิศทางที่ชัดเจนจากฝ่ายบริหาร และการที่ธุรกิจขยายตัวต่อเนื่อง จัดเป็นเหตุผลหลักๆ ที่ต้องเพิ่มงบประมาณในการลงทุนด้านความปลอดภัย ซึ่งโดยทั่วไปก็ดูจะเป็นเรื่องที่ไม่สามารถเลี่ยงได้สำหรับบรรดาบริษัทการเงินส่วนมาก โดยที่ 83% ของบริษัทเหล่านี้คาดการณ์การเพิ่มงบลงทุนด้านระบบความปลอดภัยไอทีด้วยเช่นกัน
เวเนียมีน เลฟซอฟ รองประธาน ฝ่ายธุรกิจเอ็นเทอร์ไพรซ์ แคสเปอร์สกี้ แลป ให้ความเห็นว่า "เมื่อพิจารณามูลค่าความเสียหายจากการโจมตีไซเบอร์แล้ว ไม่แปลกใจเลยว่าบริษัทการเงินต้องวางแผนเพิ่มงบประมาณด้านระบบความปลอดภัย เพราะนโยบายกลยุทธ์ด้านความปลอดภัยที่จะประสบความสำเร็จได้จะต้องวางดุลยภาพให้เหมาะสมด้านการจัดสรรทรัพยากร— ไม่เพียงแค่ใช้จ่ายซื้อเพื่อให้เข้ากับกฎข้อกำหนดต่างๆ เท่านั้น แต่ยังต้องจัดการรับมือกับระบบการป้องกันให้พ้นจากการโจมตีแบบกำหนดเป้าหมาย ใส่ใจกับความรู้เรื่องความปลอดภัยระดับบุคคล และยังต้องมีข้อมูลเชิงลึกที่แม่นยำเกี่ยวกับภัยที่คุกคามอุตสาหกรรมการเงินอยู่โดยเฉพาะอีกด้วย"
การสำรวจพบว่าบริษัทการเงินต้องการหาวิธีรับมือกับปัญหาด้านความปลอดภัยให้ได้ดียิ่งขึ้น ด้วยการหันมาสนใจข้อมูลเชิงลึก และทำการตรวจสอบระบบความปลอดภัย พบว่า 73% เชื่อว่ามาตรการเช่นนี้ให้ผลดี อย่างไรก็ตาม องค์กรการเงินมักไม่นิยมใช้บริการจากเธิร์ดปาร์ตี้หรือบริษัทจากภายนอกองค์กร มีเพียง 53% ที่พบว่าเป็นวิธีการที่ให้ผลสำเร็จ
ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป แนะนำหลัก 5 ประการด้านกลยุทธ์ความปลอดภัยที่เหมาะสมกับองค์กรการเงินในปี 2017
1. ระวังการโจมตีแบบกำหนดเป้าหมาย
การโจมตีแบบกำหนดเป้าหมายต่อองค์กรทางการเงินนั้นมีแนงโน้มว่าอาศัยผ่านเธิร์ดปาร์ตี้มือที่สาม หรือผู้รับจ้าง บริษัทเหล่านี้มักมีระบบความปลอดภัยที่ไม่ได้เรื่องหรือไม่มีเลย และถูกใช้เป็นจุดแรกของมัลแวร์หรือฟิชชิ่งเริ่มเจาะเข้าระบบ
2. อย่ามองข้ามภัยคุกคามที่ดูไม่ซับซ้อน
ผู้ร้ายสามารถลงมือกับคนหมู่มาก เพื่อเงินที่ตกได้จากจำนวนเหยื่อด้วยการใช้ทูลที่ธรรมดาที่สุด วิศวกรรมสังคม (Social engineering) มีส่วนถึง 75% ของการโกงทางไซเบอร์ ขณะที่ 17% เท่านั้นที่เกิดจากมัลแวร์
3. อย่าให้น้ำหนักการปฏิบัติตามกฎเกณฑ์มากกว่าการป้องกันตนเอง
งบประมาณมักจะลงไปที่การปฏิบัติตามให้อยู่ในกฎเกณฑ์ข้อกำหนด แต่การเสริมความแข็งแกร่งให้ระบบความปลอดภัย และลงทุนกับเทคโนโลยีใหม่ๆ ก็เป็นการสร้างดุลยภาพที่เหมาะสมให้แก่การจัดการทรัพยากรภายในองค์กร
4. ทำการทดสอบการเจาะเข้าระบบเป็นประจำ
ช่องโหว่ที่เล็ดลองสายตานั้นมีอยู่จริง สามารถตรวจหาได้ด้วยการติดตั้งทูลที่มีความซับซ้อน สามารถที่จะตรวจสอบ ทดสอบการเจาะเข้าระบบ เพื่อระบุหาช่องโหว่ที่อาจมีอยู่ได้ ต้องคอยสอดส่องหาจุดอ่อนและภัยคุกคามอยู่ตลอดเวลา ก่อนที่จะสายเกินไป
5. ใส่ใจกับภัยคุกคามจากภายในองค์กร
พนักงานสามารถเป็นเหยื่อของอาชญากร หรือเป็นผู้ร้ายเสียเอง นโยบายด้านความปลอดภัยที่ให้ผลดีคือต้องปกป้องข้ามขั้น ต้องลงลึกไปจนถึงเทคนิคการตรวจจับพฤติกรรมกิจกรรมใดๆ ที่น่าสงสัยภายในองค์กรได้ด้วย
สามารถอ่านข้อมูลเพิ่มเติมเรื่องความเสียหายของระบบความปลอดภัยขององค์กรการเงิน และมาตรการด้านความปลอดภัยจากรายงานของแคสเปอร์สกี้ แลป ได้ที่ blogpost ของบริษัท