รายงานความปลอดภัยไซเบอร์ล่าสุดประจำปี 2024 ระบุว่าผลิตภัณฑ์ของแคสเปอร์สกี้ตรวจพบและบล็อกเหตุการณ์อันตรายที่เกิดจากเซิร์ฟเวอร์ในประเทศไทยได้มากกว่า 730,000 รายการ 

รายงาน Kaspersky Security Network บันทึกเหตุการณ์อันตรายที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์ในประเทศไทยเพิ่มขึ้นอย่างมาก ในปี 2024 แคสเปอร์สกี้ตรวจพบเหตุการณ์ดังกล่าวจำนวน 732,620 รายการ ซึ่งเพิ่มขึ้น 125.91% เมื่อเทียบกับปี 2023 ที่ตรวจพบจำนวน 324,295 รายการ 

ย้อนกลับไปในปี 2019 แคสเปอร์สกี้ตรวจพบเหตุการณ์อันตรายจากเซิร์ฟเวอร์ในประเทศไทยมากที่สุด โดยตรวจพบ จำนวน 1,088,189 รายการ และลดลงในอีกสองปีถัดมา คือปี 2020 (273,458 รายการ) และปี 2021 (192,217 รายการ) อย่างไรก็ตาม จำนวนเหตุการณ์อันตรายได้เพิ่มขึ้นอีกครั้งในปี 2022 (364,219 รายการ) และปี 2023 (324,295 รายการ) และเพิ่มสูงสุดอีกครั้งเมื่อปีที่แล้ว โดยแคสเปอร์สกี้ตรวจพบเหตุการณ์จำนวนทั้งสิ้น 732,620 รายการ 

ผู้ก่อภัยคุกคามจะโจมตีและใช้เซิร์ฟเวอร์ที่ถูกละเมิดเพื่อโฮสต์เว็บไซต์ใช้ส่งมัลแวร์ ผู้ใช้อินเทอร์เน็ตที่ไม่ทันระวังจะถูกหลอกล่อเข้าสู่เว็บไซต์อันตรายโดยใช้โฆษณาปลอม ลิงก์ฟิชชิงในอีเมล SMS และวิธีการอื่นๆ จากนั้นคอมพิวเตอร์และอุปกรณ์ของเหยื่อจะถูกอาชญากรไซเบอร์สำรวจเพื่อหาช่องโหว่และช่องทางละเมิด ในขณะที่ผู้ใช้เผชิญกับภัยคุกคามออนไลน์จากสถานการณ์ดังกล่าว โซลูชันของแคสเปอร์สกี้จะตรวจจับและบล็อกภัยคุกคามนั้น อีกทั้งยังค้นหาและบันทึกแหล่งที่มาของภัยคุกคามด้วย 

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้หกปีแล้วนับตั้งแต่ พ.ศ. 2562 (2019) ประเทศไทยประสบกับเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลหลายครั้ง ซึ่งเกิดจากอาชญากรไซเบอร์ที่แทรกซึมเข้าระบบและเกิดจากมาตรการป้องกันที่ไม่เพียงพอ เหตุการณ์สำคัญในประเทศมีทั้งการละเมิดข้อมูลและการโจมตีโรงพยาบาลท้องถิ่นและโรงพยาบาลรัฐหลายแห่ง สายการบิน ธนาคารและสมาคมธนาคาร บริษัทประกันภัย เครือร้านอาหารทั่วประเทศ ระบบส่วนกลางรับนักศึกษามหาวิทยาลัย และระบบการลงทะเบียนวัคซีนของรัฐ 

นายเอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า “เหตุการณ์ด้านความปลอดภัยไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่ถูกละเมิดในประเทศไทยเพิ่มสูงขึ้นอย่างมาก ทั้งนี้ภาคส่วนศูนย์ข้อมูลของไทยกำลังขยายตัวอย่างรวดเร็ว คาดการณ์ว่ามูลค่าตลาดจะเพิ่มขึ้นอย่างเห็นได้ชัดในอีกไม่กี่ปีข้างหน้า การเติบโตนี้ได้รับแรงหนุนจากปัจจัยต่างๆ เช่น การใช้บริการคลาวด์ที่เพิ่มขึ้น การเปลี่ยนแปลงทางดิจิทัลที่มากขึ้น และความต้องการโซลูชันการจัดเก็บและประมวลผลข้อมูลที่เพิ่มขึ้น คาดว่าภายในปี 2030 ตลาดจะมีมูลค่าถึง 1.5 พันล้านดอลลาร์สหรัฐ ซึ่งสะท้อนถึงอัตราการเติบโตเฉลี่ยต่อปีแบบทบต้น (CAGR) ประมาณ 13.1% เห็นได้ชัดว่าอาชญากรไซเบอร์รับรู้ถึงการเติบโตของศูนย์ข้อมูลในประเทศและเกาะกระแสนี้เพื่อหาประโยชน์”

ผลกระทบจากการโจมตีทางไซเบอร์ที่ร้ายแรงอาจขยายวงออกไปเกินขอบเขตของไอทีและความปลอดภัยทั้งหมด การตอบสนองต่อการโจมตีในเบื้องต้นควรให้ความสำคัญกับการระบุ ควบคุม และกู้คืน ทั้งนี้การพิจารณาถึงสิ่งที่เกิดขึ้นหลังจากเหตุการณ์ผ่านไปก็มีความสำคัญไม่แพ้กัน แม้ว่าการตอบสนองต่อเหตุการณ์อย่างรวดเร็วจะช่วยไม่ให้เกิดความเสียหายอย่างมีนัยสำคัญ แต่ประเด็นสำคัญคือ องค์กรควรพิจารณาสิ่งต่างๆ เพื่อปรับปรุงความสามารถในการป้องกันการโจมตีที่คล้ายคลึงกันในอนาคต

แนวทางปฏิบัติหลังเกิดเหตุโจมตีทางไซเบอร์เพื่อยกระดับความปลอดภัยโดยรวมขององค์กร

• การมีส่วนร่วมของบุคลากร

นอกจากทีมไอทีและความปลอดภัยแล้ว ผู้บริหารระดับสูง ผู้มีส่วนได้ส่วนเสียในระบบไอที และเวนเดอร์บุคคลที่สามที่ได้รับผลกระทบจากเหตุการณ์หรือมีส่วนร่วมในการตอบสนองควรมีส่วนร่วมกัน การสร้างบรรยากาศการทำงานที่มีประสิทธิภาพเป็นสิ่งสำคัญ ข้อผิดพลาดจะได้รับการแก้ไข ควรหลีกเลี่ยงการกล่าวโทษและการจัดการข้อมูลเนื่องจากจะทำลายความปลอดภัยในระยะยาวขององค์กร 

บริษัทหลายแห่งเลือกที่จะเก็บรายละเอียดของเหตุการณ์ไว้เป็นความลับเนื่องจากกังวลเรื่องความเสียหายต่อชื่อเสียงหรือเสี่ยงเผชิญกับการโจมตีที่คล้ายกันในอนาคต ซึ่งเป็นเรื่องที่เข้าใจได้และข้อมูลบางส่วนควรเก็บเป็นส่วนตัว แต่สิ่งสำคัญคือต้องมุ่งเน้นให้มีความโปร่งใสสูงสุดในการตอบสนองต่อเหตุการร์ ควรสื่อสารรายละเอียดของการโจมตีและมาตรการที่ดำเนินการแก่เครือข่ายที่เชื่อถือได้ในชุมชนความปลอดภัยไซเบอร์ ซึ่งสามารถช่วยให้ผู้อื่นหลีกเลี่ยงเหตุการณ์ที่คล้ายกันได้

• การวิเคราะห์เหตุการณ์โดยละเอียด

การวิเคราะห์หลังเหตุการณ์ช่วยให้ได้ข้อมูลเชิงลึกที่ลึกซึ้งยิ่งขึ้น เช่น ผู้ไม่หวังดีเจาะเข้าไปในองค์กรได้อย่างไรและเมื่อใด จุดอ่อนและช่องโหว่ใดบ้างที่ถูกใช้ประโยชน์ การโจมตีเกิดขึ้นได้อย่างไร การระบุการกระทำของผู้โจมตีและความพยายามในการตอบสนองเป็นไทม์ไลน์จะช่วยระบุได้ว่าความผิดปกติถูกตรวจพบเมื่อใด ดำเนินการตอบสนองอย่างไร ทีมงานที่เกี่ยวข้องทั้งหมดได้รับการติดต่อทันทีหรือไม่ และปฏิบัติตามสถานการณ์การยกระดับปัญหาหรือไม่

ควรบันทึกคำตอบอย่างละเอียดถี่ถ้วน รวมถึงบันทึก SIEM ไทม์สแตมป์สำหรับตัวจัดการงาน ไทม์สแตมป์สำหรับอีเมลที่ส่ง เป็นต้น วิธีนี้จะช่วยสร้างภาพรวมที่สมบูรณ์และละเอียดถี่ถ้วน ทำให้ประเมินความเร็วและประสิทธิภาพของขั้นตอนการตอบสนองแต่ละขั้นตอนได้

นอกจากนี้ จำเป็นต้องประเมินผลกระทบต่อส่วนอื่นๆ ของธุรกิจ เช่น ความต่อเนื่องในการดำเนินงาน ความสมบูรณ์ของข้อมูลและการรั่วไหล การสูญเสียทางการเงิน และชื่อเสียงของบริษัท เพื่อช่วยสร้างสมดุลระหว่างขนาดและต้นทุนของเหตุการณ์ กับขนาดและต้นทุนของมาตรการในการเสริมสร้างความปลอดภัยของข้อมูล

• การระบุจุดแข็งและจุดอ่อน

รายงานทางเทคนิคอาจระบุว่าผู้โจมตีเข้าสู่ระบบโดยใช้ช่องโหว่เฉพาะ องค์กรจึงต้องแก้ไขช่องโหว่นั้นบนเซิร์ฟเวอร์ทั้งหมด ทั้งนี้รายงานควรระบุรายละเอียดสำคัญ เช่น ช่องโหว่นี้ไม่ได้รับการแก้ไขนานเพียงใด มีช่องโหว่อื่นๆ บนเซิร์ฟเวอร์หรือไม่ มีการกำหนดลำดับความสำคัญของช่องโหว่ภายในบริษัทหรือไม่

แต่ละขั้นตอนที่ได้รับผลกระทบจากเหตุการณ์โจมตีจำเป็นต้องมีการสืบสวนเพื่อตรวจสอบปัญหาความปลอดภัยที่ทำให้เกิดเหตุการณ์นั้น การสืบสวนและการพิจารณาควรพิจารณาในเชิงบวกว่าทีมงานตอบสนองอย่างรวดเร็วและมีประสิทธิภาพหรือไม่ เทคโนโลยีที่มีอยู่ช่วยในการบรรเทาผลกระทบหรือไม่ ประสบการณ์นี้สามารถนำไปใช้ในที่อื่นได้หรือไม่

• การวางแผนการปรับปรุง

การวางแผนเพื่อการปรับปรุงเป็นขั้นตอนที่สร้างสรรค์ที่สุดและท้าทายที่สุดในการวิเคราะห์เหตุการณ์ องค์กรจำเป็นต้องพัฒนาขั้นตอนที่มีประสิทธิผลและทำได้จริงเพื่อแก้ไขจุดอ่อนทั้งที่ทรัพยากรจำกัด ประเด็นที่ควรพิจารณาในแผนงาน ได้แก่ การอัปเดตแผนที่ทรัพยากรไอที เทคโนโลยีการตรวจจับและการตอบสนอง กระบวนการและนโยบาย และปัจจัยด้านมนุษย์และพฤติกรรม การให้ผู้บริหารระดับสูงมีส่วนร่วมในกระบวนการนี้เป็นประโยชน์อย่างยิ่ง

การปฏิบัติตามกระบวนการใหม่อาจมีความท้าทายมากกว่าและต้องใช้ความพยายามเป็นพิเศษในการฝึกอบรม เอกสารแจ้งเตือนจากผู้บริหารและโปรแกรมจูงใจมีส่วนช่วยให้การนำกฎระเบียบใหม่มาใช้โดยสมบูรณ์

• การเตรียมพร้อมสำหรับเหตุการณ์ครั้งต่อไป

ในทางทฤษฎี มาตรการทั้งหมดที่ระบุไว้ข้างต้นจะช่วยเพิ่มความสามารถในการรับมือด้านความปลอดภัยไซเบอร์และความพร้อมสำหรับเหตุการณ์ต่างๆ แต่เพื่อให้แน่ใจในผลลัพธ์ ควรตรวจสอบประสิทธิผลของมาตรการด้วยการฝึกซ้อมด้านความปลอดภัยทางไซเบอร์ การทดสอบการเจาะระบบ การทำงานเป็นทีม การจำลองเหตุการณ์ทางไซเบอร์ที่เกิดขึ้นจริงเหล่านี้มีวัตถุประสงค์ที่แตกต่างกัน ดังนั้นการผสมผสานที่เหมาะสมที่สุดจึงขึ้นอยู่กับองค์กรและมาตรการที่ใช้หลังจากเกิดเหตุการณ์

การนำมาตรการด้านความปลอดภัยและการปรับปรุงทั้งหมดมาใช้ เป็นกระบวนการที่ใช้เวลานานและเป็นระยะๆ ดังนั้นจำเป็นต้องมีการประชุมกับทุกฝ่ายที่เกี่ยวข้องเป็นประจำเพื่อรวบรวมข้อเสนอแนะ หารือเรื่องการนำไปปฏิบัติ จัดการกับความท้าทาย สำรวจการปรับปรุงด้านความปลอดภัยเพิ่มเติม และติดตามความคืบหน้าอย่างมีประสิทธิภาพ

“มาตรการด้านความปลอดภัยหลายชั้นเป็นสิ่งจำเป็นเพื่อจัดการกับการเติบโตของการโจมตีไซเบอร์ เราพบว่าการโจมตีมีความซับซ้อนเพิ่มขึ้นโดยใช้ APT และช่องโหว่ในซัพพลายเชนที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญและข้อมูลที่ละเอียดอ่อน องค์กรควรเน้นที่มาตรการด้านความปลอดภัยเชิงรุกที่สอดคล้องกับโครงการของรัฐบาล ความร่วมมือในแวดวงอุตสาหกรรม และความรับผิดชอบของแต่ละบุคคล ซึ่งรวมถึงการแบ่งปันคลังข้อมูลภัยคุกคามที่มีประสิทธิภาพ การตรวจสอบความปลอดภัยอย่างต่อเนื่องโดยใช้ความสามารถในการตรวจจับขั้นสูง เช่น AI และ ML รวมถึงการฝึกอบรมความตระหนักด้านความปลอดภัยแก่พนักงาน เพื่อลดความเสี่ยงจากฟิชชิงและวิศวกรรมทางสังคม” นายเอเดรียนกล่าวเสริม

‘การป้องกันนั้นดีกว่าการแก้ไขเสมอ’ ทั้งนี้ แคสเปอร์สกี้ขอแนะนำให้ธุรกิจทุกขนาดดำเนินการเพื่อปกป้องระบบจากการถูกละเมิดดังต่อไปนี้

• ใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวด ซึ่งรวมถึงการใช้ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และซอฟต์แวร์รักษาความปลอดภัยทางไซเบอร์ Kaspersky Next เพื่อปกป้องอุปกรณ์เอ็นด์พ้อยต์
• สำรองข้อมูลเป็นประจำ หากถูกโจมตี การสำรองข้อมูลจะทำให้สามารถกู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่
• อัปเดตซอฟต์แวร์บนอุปกรณ์ทั้งหมดที่ใช้ เพื่อป้องกันไม่ให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่และแทรกซึมเครือข่าย
• สำหรับบริษัทขนาดใหญ่ ควรพิจารณาพัฒนาโครงสร้างพื้นฐานที่แข็งแกร่งขึ้นโดยตั้งศูนย์ปฏิบัติการรักษาความปลอดภัยโดยใช้เครื่องมือ SIEM (การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย) เช่น Kaspersky Unified Monitoring and Analysis Platform (KUMA) ซึ่งเป็นคอนโซลรวมสำหรับตรวจสอบและวิเคราะห์เหตุการณ์ด้านความปลอดภัยของข้อมูล และโซลูชัน Kaspersky Next XDR ซึ่งเป็นโซลูชันรักษาความปลอดภัยไซเบอร์ที่แข็งแกร่งซึ่งป้องกันภัยคุกคามทางไซเบอร์ที่ซับซ้อนได้
• การให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์ผ่านเครื่องมือ Kaspersky Automated Security Awareness Platform พนักงานควรตระหนักถึงความเสี่ยงจากภัยคุกคามไซเบอร์ และวิธีการป้องกันตนเองจากความเสี่ยงต่างๆ