ตั้งแต่เราก้าวเข้าสู่ยุคดิจิทัล อาชญากรรมทางอินเทอร์เน็ตก็มีมากขึ้น รุนแรงขึ้น และซับซ้อนขึ้นเรื่อยๆ อาชญากรรมในโลกไซเบอร์ได้ส่งผลกระทบต่อชีวิตของเราไม่ทางใดก็ทางหนึ่ง การโจมตีทางไซเบอร์อาจมีตั้งแต่การแฮ็กเข้าสู่ระบบและโซเชียลมีเดีย การโจมตีแบบฟิชชิง ซอฟต์แวร์ที่เป็นอันตราย รวมถึงแรนซัมแวร์ การโจรกรรมเอกลักษณ์บุคคล โซเชียลเอ็นจิเนียริ่ง ไปจนถึงการโจมตีแบบปฏิเสธบริการ การกระทำของอาชญากรไซเบอร์เช่นนี้สร้างปัญหาให้กับผู้คนมาแล้วนับไม่ถ้วน จากข้อมูลของ McAfee บริษัทซอฟต์แวร์รักษาความปลอดภัยคอมพิวเตอร์พบว่า ค่าใช้จ่ายในการโจมตีทางไซเบอร์เหล่านี้กำลังเพิ่มขึ้น เช่น ในปี 2563 (ค.ศ.2020) มีมูลค่าถึงหนึ่งล้านล้านเหรียญสหรัฐ
ป้องกันอาชญากรรมทางอินเทอร์เน็ตได้อย่างไร
เนื่องจากการระบาดใหญ่ของ COVID-19 ทำให้เราพึ่งพาระบบดิจิทัลมากขึ้น จึงไม่น่าแปลกใจที่รายงาน Global Risks Report 2022 ระบุว่าภัยคุกคามความปลอดภัยทางไซเบอร์เป็นหนึ่งในความเสี่ยงที่เพิ่มขึ้นซึ่งโลกกำลังเผชิญอยู่ ความล้มเหลวด้านความปลอดภัยทางไซเบอร์กำลังเลวร้ายมากขึ้นและกำลังคุกคามความเจริญก้าวหน้าของมนุษยชาติในระยะยาว
แล้วเราจะก้าวไปข้างหน้าได้อย่างไร การสร้างระบบป้องกันทางไซเบอร์ที่ดีและคาดการณ์ภัยคุกคามเป็นองค์ประกอบสำคัญในการต่อสู้กับอาชญากรรมทางอินเทอร์เน็ต แต่ความยืดหยุ่นและการกำกับดูแลจะไม่เกิดขึ้นหากไม่มีแผนการจัดการความเสี่ยงทางไซเบอร์ที่น่าเชื่อถือและซับซ้อน
ดร.เอ็ดเวิร์ด ฮัมฟรีย์ผู้เชี่ยวชาญด้านความปลอดภัยทางอาชญากรรมไซเบอร์กล่าวว่าอาชญากรรมไซเบอร์เป็นเหตุการณ์ที่แพร่กระจายอย่างรวดเร็วทั้งในและต่างประเทศซึ่งส่งผลกระทบต่อภาคธุรกิจ รัฐบาล และสังคมโดยรวม ขนาดและความซับซ้อนของการกระทำผิดทางอาญานี้มีผลกระทบอย่างกว้างขวางและเป็นอันตราย และสถานการณ์ก็ไม่ชัดเจนเมื่ออาชญากรไซเบอร์ดำเนินการโดยใช้โครงสร้างพื้นฐานทางเทคนิคข้ามพรมแดนของประเทศ ด้วยเหตุนี้ ความร่วมมือระหว่างประเทศ และมาตรฐานสากลจึงมีความสำคัญและจำเป็นสำหรับการปกป้องระดับโลก
นอกจาก ดร.ฮัมฟรีย์ จะมีประสบการณ์จากการดำเนินธุรกิจแล้ว เขายังเป็นนักวิจัยอาวุโสที่เชี่ยวชาญด้านการวิจัยความเสี่ยงทางไซเบอร์ ความปลอดภัย และจิตวิทยาไซเบอร์ รวมทั้งการศึกษานวัตกรรมระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISMS) และผู้ประสานงาน ISO/IEC ของคณะทำงานที่รับผิดชอบด้านการจัดการ การพัฒนา และการบำรุงรักษา ISO/IEC 27000 ซึ่งเป็นมาตรฐานในกลุ่ม ISMS
เขากล่าวว่ามาตรฐานสากลช่วยให้องค์กรสามารถกำหนดกรอบงานและระบบเพื่อประเมินและจัดการสถานการณ์ เพื่อปกป้องข้อมูล เพื่อรักษาความปลอดภัยแอปพลิเคชันและบริการ และโครงสร้างพื้นฐานระดับประเทศได้เป็นอย่างดี
ขั้นตอนแรกในการจัดการกับอาชญากรรมทางอินเทอร์เน็ตคือการรู้ถึงความเสี่ยงที่เรากำลังเผชิญอยู่ จากนั้นจึงตัดสินใจเลือกการควบคุมที่จำเป็นต้องดำเนินการเพื่อลดความเสี่ยงเหล่านั้น ดร.ฮัมฟรีย์ชี้ไปยังมาตรฐานต่างๆ เช่น มาตรฐานในกลุ่ม ISO/IEC 27000 ที่พัฒนาโดยไอเอสโอ และไออีซี หรือคณะกรรมธิการะหว่างประเทศว่าด้วยมาตรฐานสาขาอิเล็กทรอเทคนิกส์ (International Electrotechnical Commission: IEC) ซึ่งเป็นทางเลือกที่แท้จริงสำหรับองค์กรที่ต้องการสร้างแนวทางการดำเนินงานที่แข็งแกร่งเพื่อต่อต้านอาชญากรรมทางอินเทอร์เน็ต ชุดมาตรฐานสากลเหล่านั้นมีการระบุระบบการจัดการที่เข้าสู่กระบวนการบริหารความเสี่ยงในการประเมินความเสี่ยง จากนั้นจึงกำหนดการควบคุมที่จำเป็นในการปฏิบัติต่อความเสี่ยงเหล่านั้น
ใช้มาตรฐานสากลจัดการความมั่นคงปลอดภัยข้อมูล
ดร.ฮัมฟรีย์กล่าวต่อไปว่า มีมาตรฐานมากมายที่สนับสนุน ISO/IEC 27001 เช่น ISO/IEC 27005 เกี่ยวกับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล และแนวทางการนำ ISO/IEC 27003 ไปปฏิบัติ และมีมาตรฐานอื่นๆ อีกมากมายที่ให้การสนับสนุนทางเทคนิคสำหรับ ISO/IEC27001 เช่น การรักษาความปลอดภัยเครือข่ายและการฝังตัวคุณสมบัติด้านการรักษาความปลอดภัยลงไปในเทคโนโลยี บริการ และแอปพลิเคชันต่างๆ
ดร.ฮัมฟรีย์ย้ำถึงความจำเป็นที่บริษัทต่างๆ จะต้องเตรียมพร้อมเพื่อเผชิญกับการโจมตีเหล่านั้น แน่นอนว่าการโจมตีทางไซเบอร์อาจเกิดขึ้นได้ทุกที่ ทุกเวลา แต่เราไม่รู้เลยว่ามันจะเกิดขึ้นเมื่อไรหรือที่ไหน ดังนั้น การเตรียมความพร้อมจึงเป็นกิจกรรมทางธุรกิจที่จำเป็นสำหรับการอยู่รอดซึ่งเกี่ยวข้องกับธุรกิจที่มีกระบวนการที่สามารถคาดการณ์และระบุตรวจจับและรายงานเหตุการณ์และวิเคราะห์เหตุการณ์ต่างๆ เพื่อตัดสินใจว่าจะตอบสนองต่อเหตุการณ์เหล่านั้นได้อย่างไร ทั้งหมดนี้จำเป็นต้องดำเนินการอย่างรวดเร็วและทันท่วงทีเพื่อจำกัดผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์เหล่านั้น
แล้วธุรกิจจะเตรียมความพร้อมได้อย่างไร มีมาตรฐานอื่นๆ อีกหรือไม่ที่จะช่วยให้ธุรกิจองค์กรสามารถนำไปใช้เป็นแนวทางเพื่อให้ก้าวล้ำไปกว่าอาชญากรไซเบอร์ โปรดติดตามในบทความตอนต่อไปค่ะ
ที่มา: https://www.iso.org/contents/news/2022/05/counter-attacks-on-cybersecurity.html
Related posts
Tags: COVID-19, Cybersecurity, Digitization, IEC, ISO, ISO/IEC 27001, ISO/IEC 27003, ISO/IEC 27005, Standardization, Standards
Recent Comments