จากปรากฎการณ์การก่ออาชญากรรมไซเบอร์ทั่วโลกที่มีแนวโน้มสูงขึ้น และด้วยอุปกรณ์เคลื่อนที่ที่มีการเชื่อมต่อกับทุกสิ่งหรือ IoT จึงทำให้เราพบว่ามีเป้าหมายใหม่ๆ ที่ถูกโจมตีอยู่เสมอ ผู้เชี่ยวชาญด้านอุตสาหกรรมประมาณการว่าความสูญเสียจากการก่ออาชญากรรมไซเบอร์จะสูงขึ้นถึงสองล้านล้านเหรียญสหรัฐภายในปีนี้
เมื่อปลายเดือนมกราคม 2562 สำนักข่าวบีบีซีได้นำเสนอข่าวว่าชาวอังกฤษประมาณ 13,000 คนต้องสูญเสียเงินในวันหนึ่งรวมกันแล้วมากกว่า 190,000 ปอนด์จากการตกเป็นเหยื่อของแฮกเกอร์ที่ใช้โซเชียลมีเดียและอีเมล์เป็นช่องทางเข้ามาหลอกล่อ ซึ่งทางการอังกฤษได้เตือนประชาชนให้ระมัดระวังโดยจัดเก็บรหัสลับหรือพาสเวิร์ดแยกอกจากบัญชีออนไลน์ต่างๆ
แรงจูงใจที่ทำให้แฮคเกอร์ก่ออาชญากรรมนั้นค่อนข้างเห็นได้ชัด เช่น การที่เว็บต่างๆ มีปฏิสัมพันธ์กันเหมือนใยแมงมุม การลงโทษสำหรับอาชญากรไซเบอร์มีสถานะค่อนข้างเบา แนวทางที่ทำให้เกิดการฟอกเงินได้ง่ายและการจ่ายเงินก้อนใหญ่ เป็นต้น หัวใจสำคัญคือการเตรียมตัวและการมองเห็นจุดอ่อนและความยืดหยุ่นในแง่ของการมีปฏิสัมพันธ์กับระบบการจัดการทั้งหมดในภาพรวม และจากจุดนี้เอง คือสิ่งที่ทำให้เกิดมาตรฐานระบบการจัดการด้านความมั่นคงปลอดภัยของข้อมูล ISO/IEC 27001 ซึ่งเป็นเป้าหมายสำคัญของมาตรฐานชุด ISO/IEC 27000 และได้รับการเผยแพร่ครั้งแรกมานานกว่า 20 ปีแล้ว
มาตรฐานนี้ได้รับการพัฒนาโดย ISO/IEC JTC 1 คณะกรรมการวิชาการร่วมของไอเอสโอและไออีซี เพื่อจัดเตรียมสิ่งที่จำเป็นสำหรับการมาตรฐานที่เป็นทางการในด้านเทคโนโลยีสารสนเทศ และได้รับการปรับปรุงให้ทันสมัยอยู่เสมอ โดยมีการนำไปใช้กันอย่างแพร่หลายในประเทศต่างๆ และมีมาตรฐานสากลจำนวนมากกว่า 40 มาตรฐานที่ครอบคลุมทุกสิ่งนับตั้งแต่การสร้างคำศัพท์ที่ใช้ร่วมกัน (ISO/IEC 27000), การจัดการความเสี่ยง (ISO/IEC 27005), ความมั่นคงปลอดภัยของคลาวด์ (ISO/IEC 27017และ ISO/IEC 27018) ไปจนถึงเทคนิคการสืบสวนอาชญากรรมทางกฎหมายที่ใช้วิเคราะห์หลักฐานทางดิจิตอล (ISO/IEC 27042 และเทคนิคการสืบสวนเหตุการณ์ (ISO/IEC 27043)
มาตรฐานเหล่านี้ไม่เพียงแต่ช่วยให้จัดการด้านความมั่นคงปลอดภัยของข้อมูลเท่านั้น แต่จะช่วยให้เกิดความยุติธรรมในกระบวนการก่ออาชญากรรมด้วย ตัวอย่างเช่น มาตรฐาน ISO/IEC 27043 มีการเสนอแนวทางที่อธิบายกระบวนการและหลักการที่นำไปปรับใช้กับการสืบสวนประเภทต่างๆ ได้ รวมทั้งการเข้าถึงที่ไม่ได้รับอนุญาต การโจรกรรมข้อมูล การทำให้ระบบเกิดความเสียหาย หรือการละเมิดความมั่นคงปลอดภัยข้อมูลขององค์กร รวมทั้งการสืบสวนทางดิจิตอลอื่นๆ เป็นต้น
ไอเอสโอก้าวล้ำไปกว่าเกมของอาชญากรไซเบอร์
การทำให้มาตรฐานชุดนี้สามารถปรับใช้ได้กับความต้องการของธุรกิจทั้งขนาดเล็กและขนาดใหญ่ด้วยกระบวนการของวิวัฒนาการที่คงที่เป็นความรับผิดชอบอย่างยิ่งของคณะกรรมการไอเอสโอ ISO/IEC JTC1 คณะอนุกรรมการ SC 27 ด้านเทคนิคความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ ซึ่งเป็นเรื่องที่สำคัญเป็นส่วนใหญ่ในด้านเทคโนโลยีสารสนเทศ และผู้ที่มีส่วนสำคัญในการทำงานด้านนี้คือ ศาสตราจารย์เอ็ดเวิร์ด ฮัมฟรีย์ ประธานกลุ่มงานที่รับผิดชอบในการพัฒนามาตรฐาน Information Security Management System: ISMS ซึ่งมาตรฐานนี้ยังคงเป็นหนึ่งในเครื่องมือการจัดการความเสี่ยงที่มีประสิทธิผลมากที่สุดสำหรับการต่อสู้กับการจู่โจมนับพันล้านครั้งที่เกิดขึ้นในแต่ละปี
ศาสตราจารย์ฮัมฟรีย์ผู้มีประสบการณ์ด้านการให้คำปรึกษาและด้านการศึกษามากกว่า 37 ปี กล่าวถึงพื้นฐานของ ISMS ว่ามาตรฐานนี้สามารถก้าวล้ำไปกว่าอาชญากรไซเบอร์ในการปกป้องธุรกิจและผู้บริโภคโดยที่มาตรฐาน ISO/IEC 27001 เป็นการปรับปรุงอย่างต่อเนื่องที่ทำให้ธุรกิจสามารถก้าวทันการก่ออาชญากรรมทางไซเบอร์ ซึ่งหมายความว่าองค์กรสามารถประเมินความเสี่ยง มีการนำการควบคุมไปใช้เพื่อลดความเสี่ยงแล้วทำการติดตามและทบทวนความเสี่ยงและการควบคุมความเสี่ยงเหล่านั้นด้วย
ดังนั้น หากมีการนำมาตรฐาน ISMS ไปใช้อย่างเหมาะสม ก็จะทำให้มีการปรับปรุงวิธีป้องกันได้อย่างเหมาะสม และมีการเตรียมพร้อมสำหรับการจู่โจมอยู่เสมอ มาตรฐานนี้จะทำให้องค์กรสามารถก้าวทันการก่ออาชญากรรรมทางไซเบอร์ได้ ซึ่งเป็นการตอบสนองต่อสภาพแวดล้อมด้านความเสี่ยงที่เข้ามาเกี่ยวข้อง เช่นจากโลกของอินเทอร์เน็ตหรือโลกไซเบอร์
นอกจากมาตรฐาน ISO/IEC 27001แล้ว ยังมีมาตรฐานที่ก้าวล้ำไปกว่าเกมของอาชญากรไซเบอร์ซึ่งคณะอนุกรรมการ SC 27 ได้พัฒนาขึ้นมา จะเป็นมาตรฐานอะไรนั้น โปรดติดตามได้ในครั้งต่อไปซึ่งเป็นตอนจบค่ะ
ที่มา: 1. https://www.iso.org/news/ref2360.html
2. https://www.bbc.com/news/uk-47016671?intlink_from_url=https://www.bbc.com/news/topics/c1xp19421ezt/cyber-crime&link_location=live-reporting-story
Related posts
Tags: IT, Standardization, Strategic Management
Recent Comments