“ธุรกิจ SMEs” เหตุใดจึงตกเป็นเป้าหมายของอาชญากรไซเบอร์?
การทำธุรกิจในยุคที่ทุกอย่างเชื่อมต่อกับอินเทอร์เน็ต สิ่งที่ผู้ประกอบการต้องเผชิญกับความเสี่ยงอย่างหลีกเลี่ยงไม่ได้ก็คือ “ภัยคุกคามทางไซเบอร์” ทุกองค์กรไม่ว่าจะขนาดเล็กหรือใหญ่ย่อมมีโอกาสที่จะถูกโจมตี หากไม่มีการวางมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพียงพอหรือเหมาะสมกับรูปแบบของธุรกิจที่ทำอยู่ โดยเฉพาะธุรกิจรายเล็ก หรือ SMEs ซึ่งมักตกเป็นเป้าหมายของอาชญากรอยู่เสมอ
ในจังหวะที่ธุรกิจอย่าง SMEs เข้าสู่ความเปลี่ยนแปลงมีการใช้เทคโนโลยีออนไลน์เพื่อเข้าถึงลูกค้ากลุ่มใหม่ๆ เพื่อสร้างยอดขายเพิ่มขึ้น ทุกสิ่งดำเนินไปเพื่อความเติบโตอย่างยั่งยืน และเมื่อธุรกิจ SMEs เริ่มมีวิวัฒนาการที่ทันสมัย
ภัยคุกคามทางไซเบอร์ก็พุ่งเป้าโจมตีมาอย่างรวดเร็วเช่นกัน เพราะอาชญากรไซเบอร์ไม่ได้กำหนดเป้าหมายเฉพาะองค์กรขนาดใหญ่เท่านั้น ในความเป็นจริงธุรกิจรายเล็กสามารถเป็นเป้าหมายที่ดีกว่าด้วยซ้ำ
สาเหตุของการตกเป็นเหยื่อในการโจมตีทางไซเบอร์
สาเหตุหลักที่ธุรกิจ SMEs ตกเป็นเป้าหมายของอาชญากรไซเบอร์ เนื่องจากตัวบริษัทมักมีงบประมาณที่จำกัด รวมถึงไม่มีเวลาที่จะทุ่มเทให้กับการรักษาความปลอดภัยทางไซเบอร์เหมือนบริษัทขนาดใหญ่ หรือถ้ามีก็เป็นระบบที่ไม่แข็งแรงเพียงพอ ง่ายต่อการเจาะระบบและขโมยข้อมูล ซ้ำร้ายในบางกรณีเรื่องของ Cybersecurity ถูกลำดับความสำคัญไว้หลังๆเพราะมีเรื่องอื่นที่สำคัญกว่าต้องทำ บางองค์กรก็ทิ้งเรื่องดังกล่าวไว้กลางทาง และเข้าใจว่าไม่จำเป็นต้องมีระบบ Cybersecurity ก็ได้ ทั้งๆ ที่ธุรกิจของตนเองมีข้อมูลของลูกค้า พนักงาน ทรัพย์สินทางปัญญา ข้อมูลทางการเงินที่โจรไซเบอร์ต้องการ เมื่อเป็นเช่นนี้แล้วผู้ประกอบการธุรกิจ SMEs ต้องทำอย่างไรถึงจะปกป้องธุรกิจของตนให้มีความปลอดภัยจากการโจมตีทางไซเบอร์ คำตอบง่ายๆ ก็คือ “ความตระหนักรู้” นั่นเอง
Cybersecurity การสร้างความตระหนักรู้กับผู้ประกอบการ
เชื่อว่ายังมีผู้ประกอบธุรกิจ SMEs อีกจำนวนมากที่ไม่รู้ว่า Cybersecurity คืออะไร? วันนี้จึงเป็นโอกาสอันดีที่จะได้เรียนรู้ไปด้วยกัน…
Cybersecurity หรือ “ความมั่นคงปลอดภัยทางไซเบอร์” คือการนำเครื่องมือทางด้านเทคโนโลยีและกระบวนการ รวมถึงวิธีการปฏิบัติที่ถูกออกแบบไว้เพื่อป้องกันและรับมือความเสี่ยงที่อาจจะถูกโจมตีเข้ามายังอุปกรณ์เครือข่าย, โครงสร้างพื้นฐานทางสารสนเทศ, ระบบหรือโปรแกรมที่อาจจะเกิดความเสียหายจากการที่ถูกเข้าถึงโดยบุคคลที่สามที่ไม่ได้รับอนุญาต
ในปัจจุบันหน่วยงานภาครัฐ และภาคเอกชนได้เริ่มให้ความสำคัญในเรื่องของความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น เนื่องจากเป้าหมายในการโจมตีมีความหลากหลาย รวมถึงรูปแบบของการโจมตีที่ซับซ้อน และสร้างความเสียหายให้กับองค์กรอย่างมหาศาล
ดังนั้นปัญหาการคุกคามทางไซเบอร์จึงไม่ใช่เรื่องเล็กๆ อีกต่อไป ไม่ใช่การสร้างความเสียหายเฉพาะบุคคล อย่างเช่นการแฮกค์บัญชีธนาคาร หรือการเจาะข้อมูลเข้าไปในอีเมลส่วนบุคคล แต่วันนี้มีตัวอย่างมากมายที่แสดงให้เห็นว่าอาชญากรทางไซเบอร์อันตรายและสามารถสร้างความเสียหายได้รุนแรงกว่าที่คิด เพราะอาชญากรสามารถเจาะระบบความปลอดภัยและขโมยข้อมูลทางการค้าของบริษัทใหญ่ๆ เพื่อนำไปขายให้คู่แข่ง ไปจนถึงการเจาะระบบเข้าไปในหน่วยงานภาครัฐเพื่อสร้างข่าวปลอมทำให้เกิดผลกระทบต่อความมั่นคงและเศรษฐกิจของประเทศ
ผลกระทบเมื่อถูกโจมตีทางไซเบอร์
การโจมตีทางไซเบอร์นั้นสามารถสร้างความเสียหายอย่างมหาศาลให้แก่ธุรกิจ SMEs ทั้งการสูญเสียทางการเงิน เช่น การโจรกรรมข้อมูลเพื่อเรียกค่าไถ่ Ransomware หรือการถูกโจมตีไปที่เว็บไซต์หรือระบบการทำงานให้หยุดชะงักลงด้วย DDoS Attack ซึ่งอาจส่งผลให้การดำเนินธุรกิจต้องสะดุด ทำให้สูญเสียโอกาสในการทำธุรกิจ รวมถึงผลกระทบต่อภาพลักษณ์ขององค์กรและความเชื่อมั่นของผู้บริโภค ซึ่งอาจทำให้สูญเสียฐานลูกค้า และอาจได้รับบทลงโทษทางกฎหมายในกรณีเลวร้ายที่สุด ความสูญเสียอาจมีมูลค่ามากจนทำให้ธุรกิจต้องปิดตัวลงได้อีกด้วย จากการศึกษาภัยคุกคามทางไซเบอร์ต่อธุรกิจขนาดเล็กของ U.S. Securities and Exchange Commission ในสหรัฐฯ พบว่า กว่า 60% ของธุรกิจรายเล็กที่ถูกโจมตีทางไซเบอร์ต้องปิดตัวลงใน 6 เดือนหลังการโจมตี
First Steps ก้าวแรกที่ต้องเดินให้ถูกทาง
เมื่อผู้ประกอบการรู้ความหมายของ Cybersecurity และเข้าใจถึงผลกระทบแล้ว ก้าวต่อไปก็จะเป็นเรื่องของการประเมินความเสี่ยง โดยภาพรวมนั้นการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้ธุรกิจและองค์กรเข้าใจ ควบคุม และลดความเสี่ยงทางไซเบอร์ทุกรูปแบบได้ หากไม่มีการประเมินความเสี่ยงอาจส่งผลกระทบต่อข้อมูลและทรัพยากรสำคัญในการดำเนินธุรกิจขององค์กร
ขณะเดียวกันประโยชน์ของการประเมินความเสี่ยงคือการช่วยให้เจ้าของธุรกิจ SMEs เข้าใจองค์กรของตนเองมากขึ้น รู้ว่าข้อมูลและทรัพย์สินที่สำคัญนั้นจัดเก็บอยู่ที่ไหนในโลกดิจิทัล ในคอมพิวเตอร์จัดเก็บอะไรไว้บ้าง อะไรควรได้รับการปกป้อง ทั้งนี้เพื่อให้สามารถจัดลำดับความสำคัญได้อย่างมีประสิทธิภาพ ทราบถึงความน่าจะเป็น และความรุนแรงของความเสี่ยง
อีกทั้งยังสามารถเลือกใช้โซลูชันรักษาความปลอดภัยให้เหมาะสมกับรูปแบบการทำธุรกิจของตนเอง เจ้าของธุรกิจ SMEs ยังสามารถจัดตั้งผู้รับผิดชอบในการจัดการความเสี่ยงที่ถูกประเมิน และการวิเคราะห์ความปลอดภัยอื่นๆ เพิ่มเติมภายในระบบสารสนเทศของธุรกิจหรือองค์กร
เรียนรู้การโจมตีทางไซเบอร์ที่เกิดขึ้นทั่วไป
การทำความเข้าใจเกี่ยวกับภัยคุกคามทางไซเบอร์ที่พบบ่อยที่สุด ซึ่งกำหนดเป้าหมายไปยังธุรกิจ SMEs สามารถช่วยให้ผู้ประกอบการหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีเหล่านี้ได้ ยกตัวอย่างเช่น
มัลแวร์ - คือซอฟต์แวร์หรือรหัสที่เป็นอันตรายซึ่งใช้เพื่อขโมยข้อมูลและสร้างความเสียหายต่ออุปกรณ์ รวมถึงคอมพิวเตอร์ เซิร์ฟเวอร์ และเครือข่ายคอมพิวเตอร์ ตัวอย่างมัลแวร์ที่พบได้บ่อยคือ “ไวรัส” และ “แรนซัมแวร์”
ไวรัส - คือโปรแกรมรหัสหรือซอฟต์แวร์ที่เป็นอันตราย ซึ่งสามารถจำลองตัวเองเพื่อแพร่กระจายระหว่างคอมพิวเตอร์และอุปกรณ์เชื่อมต่ออื่นๆ โดยปกติแล้วจะถูกส่งผ่านไฟล์แนบอีเมลและอาจทำให้คอมพิวเตอร์และฮาร์ดไดรฟ์เสียหายได้ ไวรัสช่วยให้อาชญากรไซเบอร์เข้าถึงระบบของธุรกิจได้
แรนซัมแวร์ - เป็นมัลแวร์รูปแบบหนึ่งที่ออกแบบมาเพื่อโจมตีเครือข่ายคอมพิวเตอร์ของบุคคลหรือองค์กร มันจำกัดการเข้าถึงและเข้ารหัสข้อมูลแล้วจับไว้เป็นตัวประกันจนกว่าจะจ่ายค่าไถ่ แรนซัมแวร์มักจะแพร่กระจายผ่านทางอีเมลและใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในซอฟต์แวร์
ฟิชชิง - คือการโจมตีทางไซเบอร์ประเภทหนึ่งที่แอบอ้างเป็นบุคคล เว็บไซต์ หรือองค์กรที่น่าเชื่อถือเพื่อหลอกลวงให้เหยื่อเปิดเผยชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนตัวอื่นๆ ผ่านช่องทาง E-Mail, SMS, เว็บไซต์ หรือ Social Media
ฟิชชิงมักมาพร้อมกับลิงก์หรือไฟล์แนบอันตราย เมื่อคลิกลิงค์แล้วจะปล่อยมัลแวร์ที่รวบรวมข้อมูลที่สำคัญ เพื่อนำข้อมูลดังกล่าวของเหยื่อไปใช้ในการทำธุรกรรม
มาถึงตรงนี้สิ่งที่ต้องคำนึงถึงของธุรกิจ SMEs ก็คือเรื่องของการลงทุนในระบบ Cybersecurity ซึ่งต้องพัฒนาระบบการดูแลความปลอดภัยที่ครอบคลุมทั้งเครือข่าย IT ที่ใช้ในองค์กร เนื่องด้วยรูปแบบของการโจมตีทางไซเบอร์ที่ปรับเปลี่ยนกลวิธีอยู่ตลอดเวลา ทำให้ต้องมีการอัพเดทระบบและมอนิเตอร์ความเสี่ยงในทุกๆ ด้านอยู่เสมอ ซึ่งอาจจะทำให้เกิดข้อจำกัดทางด้านงบประมาณและบุคลากรที่จะดูแลงานด้าน IT
ดังนั้นทางเลือกหนึ่งในการพัฒนาระบบ Cybersecurity ของธุรกิจ SMEs คือการใช้บริการด้าน Cybersecurity จากผู้ให้บริการภายนอก ซึ่งมีความสอดคล้องกับความต้องการของธุรกิจ SMEs อาทิเช่น ค่าใช้จ่ายต่ำ ลดต้นทุนด้านโครงสร้างพื้นฐาน ไม่ต้องมีบุคลากรที่เชี่ยวชาญเฉพาะทางด้านความปลอดภัยประจำอยู่ภายในองค์กร และสามารถรักษาความปลอดภัยได้อย่างมีประสิทธิภาพ
ท้ายที่สุดแล้วการรักษาความปลอดภัยทางไซเบอร์แม้ว่าจะเป็นการเพิ่มต้นทุนในการดำเนินธุรกิจของ SMEs แต่ผู้ประกอบการก็ยากที่จะหลีกเลี่ยงต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นกับองค์กร นั่นเพราะความเสียหายที่จะเกิดขึ้นในทุกวันนี้นั้นรุนแรงมากกว่าเดิมหลายเท่า ถึงขั้นต้องปิดกิจการเพราะไม่สามารถกู้คืนข้อมูลที่สำคัญกลับมาได้ อีกทั้งผลลัพธ์ที่เป็นประโยชน์ในการวางระบบ Cybersecurity ไม่เพียงแต่ทำให้องค์กรและธุรกิจ SMEs มีความปลอดภัยแล้ว หากแต่ยังเป็นการปกป้องลูกค้า คู่ค้า พนักงาน ผู้มีส่วนได้ส่วนเสีย ฯลฯ ให้ปลอดภัยไปพร้อมๆ กันได้อีกด้วย
อาจกล่าวได้ว่าระบบ Cybersecurity นั้น เป็นการลงทุนที่คุ้มค่าเมื่อเทียบกับความเสียหายที่จะเกิดขึ้น อย่ารอให้ภัยคุกคามโจมตีธุรกิจของคุณแล้วค่อยหาทางแก้ไข เพราะความมั่นคงและปลอดภัยทางไซเบอร์เป็นปัจจัยสำคัญที่จะช่วยนำพาธุรกิจ SMEs ให้เติบโตในยุคดิจิทัลได้อย่างปลอดภัยและยั่งยืน
แหล่งข้อมูล
https://it.nc.gov/resources/cybersecurity-risk-management/cybersecurenc/businesses/threats
https://www.scbeic.com/th/detail/product/8400
https://ict.dmh.go.th/events/events/files/CyberSecurity-Awareness.pdf
https://www.depa.or.th/th/article-view/cyber-risk-assessment-and-cyber-risk-management
https://www.bangkokbanksme.com/en/sme1-cyber-security-smes-must-be-aware