IBM เผยผลการศึกษา วิธีวางแผนรับมือภัยคุกคามทางไซเบอร์ที่พุ่งสูงขึ้นแต่การป้องกันยังมีปัญหาอยู่

IBM เผยผลการศึกษาองค์กรทั่วโลกประจำปีเกี่ยวกับประสิทธิภาพในการเตรียมความพร้อมและการรับมือกับภัยไซเบอร์ของธุรกิจต่างๆ พบในช่วงห้าปีที่ผ่านมา องค์กรเริ่มค่อยๆ พัฒนาขีดความสามารถในการวางแผน ตรวจจับ และรับมือกับการโจมตีทางไซเบอร์ แต่ความสามารถในการยับยั้งการโจมตีกลับลดลงถึงร้อยละ 13 โดยผลการสำรวจของสถาบันโพเนมอนที่สนับสนุนโดยไอบีเอ็มในครั้งนี้ พบว่าการใช้เครื่องมือรักษาความปลอดภัยหลายเครื่องมือเกินไป รวมถึงการขาดแนวทางปฏิบัติเฉพาะในการรับมือกับการโจมตีแบบทั่วไป กำลังกลายเป็นอุปสรรคสำคัญขององค์กร

แม้องค์กรจะเริ่มทยอยพัฒนาแผนรับมือภัยคุกคามทางไซเบอร์อย่างช้าๆ แต่องค์กรส่วนใหญ่ (ร้อยละ 74) ยังรายงานว่าแผนรับมือของตนเป็นแบบเฉพาะกิจ (ad-hoc) ที่ไม่ได้นำมาใช้ประจำ หรือไม่มีแผนแต่อย่างใด ทั้งนี้ การขาดแผนรับมือภัยคุกคามทางไซเบอร์ อาจส่งผลกระทบต่อค่าใช้จ่ายในการจัดการกับเหตุด้านซิเคียวริตี้ โดยบริษัทที่มีทีมรับมือภัยคุกคามทางไซเบอร์และดำเนินการทดสอบแผนรับมือเป็นระยะๆ มีค่าใช้จ่ายโดยเฉลี่ยเมื่อเกิดเหตุข้อมูลรั่วไหลน้อยกว่าบริษัทที่ลดค่าใช้จ่ายด้วยการตัดทีมงานและแผนด้านซิเคียวริตี้ออกไปถึง 36 ล้านบาท [1]

ข้อมูลสำคัญจากรายงาน Cyber Resilient Organization Report ยังรวมถึง

•    การพัฒนาอย่างช้าๆ:  ตลอด 5 ปีที่ผ่านมานี้ บริษัทที่นำแผนรับมือภัยคุกคามไซเบอร์มาใช้ทั่วทั้งองค์กรอย่างจริงจังมีจำนวนเพิ่มขึ้นมาก โดยเพิ่มขึ้นจากร้อยละ 18 ในปี 2558 เป็นร้อยละ 26 ในปีนี้ (เพิ่มขึ้นร้อยละ 44) 

•    แนวทางปฏิบัติเป็นสิ่งจำเป็น: แม้แต่ในกลุ่มของผู้ที่มีแผนรับมือภัยคุกคามไซเบอร์อย่างเป็นกิจจะลักษณะอยู่แล้ว ก็ยังมีเพียงหนึ่งในสามเท่านั้น (คิดเป็นร้อยละ 17 ของผู้ที่ตอบแบบสำรวจทั้งหมด) ที่ได้จัดทำแนวทางปฏิบัติสำหรับการรับมือกับการโจมตีแบบทั่วไป โดยแผนรับมือกับวิธีการโจมตีแบบใหม่ๆ ที่เกิดขึ้นอย่างแรนซัมแวร์ยังคงล้าหลังอยู่มาก 

•    ความซับซ้อนเป็นอุปสรรคต่อการรับมือกับภัยคุกคาม: เครื่องมือรักษาความปลอดภัยจำนวนมากที่องค์กรนำมาใช้นั้น ได้ส่งผลกระทบเชิงลบต่อการรับมือกับภัยคุกคาม โดยองค์กรที่ใช้เครื่องมือรักษาความปลอดภัยตั้งแต่ 50 ชนิดขึ้นไป มีขีดความสามารถในการตรวจจับภัยคุกคามลดลงร้อยละ 8 และขีดความสามารถในการรับมือกับการโจมตีลดลงร้อยละ 7 เมื่อเทียบกับองค์กรที่ใช้เครื่องมือน้อยกว่า

•    ยิ่งวางแผนดีเท่าไหร่ ก็ยิ่งลดการหยุดชะงักของธุรกิจได้มากเท่านั้น: องค์กรที่นำแผนรับมือภัยคุกคามไซเบอร์มาใช้กับทุกส่วนงานอย่างเป็นกิจจะลักษณะ มีโอกาสน้อยกว่ามากที่จะเกิดปัญหาการหยุดชะงักทางธุรกิจอันเป็นผลมาจากการโจมตีทางไซเบอร์ ในช่วงสองปีที่ผ่านมา มีเพียงร้อยละ 39 ของบริษัทเหล่านี้ที่ประสบกับเหตุด้านความมั่นคงปลอดภัยทางไซเบอร์จนธุรกิจหยุดชะงัก เมื่อเทียบกับร้อยละ 62 สำหรับบริษัทที่ไม่มีแผนรับมืออย่างเป็นกิจจะลักษณะ หรือนำแผนการมาใช้อย่างไม่สม่ำเสมอ

“แม้จำนวนองค์กรที่นำแผนรับมือภัยคุกคามไซเบอร์มาใช้อย่างจริงจังจะมีจำนวนมากขึ้น แต่การเตรียมพร้อมรับมือกับการโจมตีทางไซเบอร์เพียงอย่างเดียวคงไม่พอ” เวนดิ วิทมอร์ รองประธานของ IBM X-Force Threat Intelligence กล่าว “องค์กรยังต้องให้ความสำคัญกับการทดสอบ การฝึกซ้อม รวมถึงการประเมินแผนรับมือภัยคุกคามเป็นประจำ นอกจากนี้ การใช้ประโยชน์จากเทคโนโลยีที่ทำงานร่วมกันได้และระบบอัตโนมัติ จะช่วยให้เราเอาชนะความซับซ้อนและช่วยยับยั้งเหตุได้อย่างรวดเร็ว” 

การอัพเดตแนวทางปฏิบัติสำหรับภัยคุกคามใหม่ๆ ที่เกิดขึ้น

จากการสำรวจพบว่า แม้กระทั่งในองค์กรที่มีแผนรับมือกับเหตุด้านความปลอดภัยทางไซเบอร์ (CSIRP) อย่างเป็นกิจจะลักษณะ มีเพียงร้อยละ 33 เท่านั้นที่มีแนวทางปฏิบัติสำหรับการรับมือกับการโจมตีประเภทต่างๆ โดยเฉพาะ เนื่องจากรูปแบบการโจมตีประเภทต่างๆ ต้องใช้เทคนิคการรับมือที่เฉพาะเจาะจง การมีแนวทางปฏิบัติที่กำหนดไว้ล่วงหน้าจะช่วยให้องค์กรต่างๆ มีแผนปฏิบัติการที่สอดคล้องและสามารถดำเนินการซ้ำได้ เพื่อจัดการกับการโจมตีแบบทั่วๆ ไปที่มีแนวโน้มว่าจะพบบ่อยมากที่สุด   

ในบรรดาองค์กรส่วนน้อยที่มีการเตรียมแนวทางปฏิบัติในการรับมือกับการโจมตีประเภทต่างๆ ไว้ พบว่ามักเป็นการเตรียมรับมือกับการโจมตีแบบ DDoS (ร้อยละ 64) และมัลแวร์ (ร้อยละ 57) แม้วิธีการโจมตีเหล่านี้จะเคยเป็นปัญหาอันดับต้นๆ ขององค์กร แต่วันนี้วิธีการโจมตีแบบใหม่ๆ อย่างแรนซัมแวร์กำลังพุ่งสูงขึ้น และแม้ว่าการโจมตีด้วยแรนซัมแวร์ได้พุ่งขึ้นเกือบร้อยละ 70 ในช่วงสองสามปีที่ผ่านมา  [2]แต่กลับมีองค์กรเพียงร้อยละ 45 เท่านั้นที่นำแนวทางปฏิบัติที่กำหนดแผนการรับมือกับการโจมตีของแรนซัมแวร์เอาไว้มาใช้

นอกจากนี้ เกินกว่าครึ่ง (ร้อยละ 52) ขององค์กรที่มีแผนรับมือภัยคุกคามทางไซเบอร์ระบุว่า องค์กรไม่เคยตรวจสอบหรือกำหนดเวลาในการตรวจสอบ/ทดสอบแผนรับมือเหล่านั้นเลย ในขณะที่การดำเนินธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็วเนื่องจากพนักงานได้เปลี่ยนไปทำงานจากระยะไกลกันมากขึ้น เทคนิคการโจมตีแบบใหม่ๆ ได้ถูกนำมาใช้อย่างต่อเนื่อง ข้อมูลนี้บ่งชี้ว่าธุรกิจจำนวนมากกำลังพึ่งพาแผนรับมือที่ล้าหลังซึ่งไม่สอดรับกับภัยคุกคามและภูมิทัศน์ทางธุรกิจในปัจจุบัน 

ยิ่งใช้เครื่องมือมาก ก็ยิ่งทำให้ความสามารถในการรับมือแย่ลง

นอกจากนี้ รายงานยังพบว่าความซับซ้อนของเครื่องมือได้ส่งผลในเชิงลบต่อความสามารถในการรับมือกับเหตุการณ์ ผู้ที่ตอบแบบสำรวจประเมินว่าองค์กรของตนใช้เครื่องมือรักษาความปลอดภัยโดยเฉลี่ยมากกว่า 45 ชนิด โดยในการรับมือกับเหตุการณ์แต่ละครั้ง จำเป็นต้องอาศัยการทำให้เครื่องมือประมาณ 19 ชนิดทำงานประสานสอดคล้องกัน อย่างไรก็ตาม การศึกษายังพบอีกว่า แท้จริงแล้ว เครื่องมือที่มีมากเกินไปอาจเป็นอุปสรรคในการรับมือกับการโจมตีรูปแบบต่างๆ โดยองค์กรที่ใช้เครื่องมือมากกว่า 50 ชนิดมีขีดความสามารถในการตรวจจับการโจมตีลดลงร้อยละ 8 (5.83/10 เทียบกับ 6.66/10) และมีขีดความสามารถในการรับมือกับการโจมตีลดลงประมาณร้อยละ 7 (5.95/10 เทียบกับ 6.72/10) 

ข้อมูลที่พบชี้ให้เห็นว่า การนำเครื่องมือต่างๆ มาใช้มากขึ้นไม่ได้ช่วยให้การรับมือกับการโจมตีดีขึ้นเสมอไป ซึ่งอันที่จริงแล้ว อาจได้รับผลตรงกันข้าม การใช้แพลตฟอร์มแบบเปิดที่สามารถทำงานร่วมกันได้ รวมถึงเทคโนโลยีการทำงานแบบอัตโนมัติจะช่วยลดความซับซ้อนในการจัดการเครื่องมือที่ไม่เชื่อมโยงถึงกัน โดยจากรายงานพบว่าร้อยละ 63 ขององค์กรที่มีผลประกอบการดี เลือกใช้เครื่องมือที่ทำงานร่วมกันได้ดี ซึ่งช่วยให้พวกเขารับมือกับการโจมตีทางไซเบอร์ได้ดียิ่งขึ้น

การวางแผนรับมือที่ดีขึ้นนำไปสู่ความสำเร็จ

รายงานของปีนี้ชี้ให้เห็นว่า องค์กรที่ลงทุนในการวางแผนอย่างเป็นกิจจะลักษณะ จะประสบความสำเร็จในการรับมือกับเหตุต่างๆ มากกว่า โดยในบรรดาบริษัทที่มีการนำ CSIRP มาใช้อย่างสม่ำเสมอทั่วทั้งองค์กรนั้น มีเพียงร้อยละ 39 เท่านั้นที่ประสบกับเหตุการณ์ที่ทำให้ธุรกิจต้องหยุดชะงักอย่างมีนัยสำคัญในช่วงเวลาสองปีที่ผ่านมา เปรียบเทียบกับร้อยละ 62 ที่ไม่มีแผนรับมืออย่างเป็นกิจจะลักษณะ 

เมื่อพิจารณาเหตุผลที่ทำให้องค์กรต่างๆ มองว่าตนมีศักยภาพในการรับมือกับการโจมตี พบว่าทักษะด้านซิเคียวริตี้ของบุคลากรคือปัจจัยที่องค์กรมองว่าสำคัญสูงสุด โดยร้อยละ 61 ของผู้ที่ตอบแบบสำรวจต่างมองว่าการจ้างพนักงานที่มีทักษะความชำนาญเป็นปัจจัยสำคัญสูงสุดในการทำให้บริษัทมีความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์เพิ่มขึ้น ขณะที่ผู้ตอบแบบสำรวจที่ระบุว่าความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ของบริษัทไม่ได้เพิ่มขึ้นนั้น ร้อยละ 41 ระบุว่าเป็นเพราะขาดพนักงานที่มีทักษะความชำนาญ 

เทคโนโลยีคือปัจจัยอีกอย่างหนึ่งที่ทำให้เกิดความแตกต่าง ซึ่งช่วยให้องค์กรต่างๆ มีความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์มากยิ่งขึ้น โดยเฉพาะเครื่องมือที่ช่วยแก้ไขปัญหาเรื่องความซับซ้อน เมื่อพิจารณาองค์กรต่างๆ ที่มีระดับความสามารถในการรับมือภัยคุกคามทางไซเบอร์ที่สูงกว่า ปัจจัยสำคัญสองประการที่ช่วยยกระดับความสามารถดังกล่าวคือ การมีความรู้เกี่ยวกับแอพพลิเคชันและข้อมูล (57%) และการมีเครื่องมือในการทำงานแบบอัตโนมัติ (55%) โดยรวมแล้ว ข้อมูลชี้ว่าองค์กรที่พึ่งพานวัตกรรมทางเทคโนโลยีเพื่อเพิ่มความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์มากกว่า จะมีความพร้อมในการรับมือที่มากกว่า