เปิด 10 จุดอ่อนร้ายแรงต้นเหตุหน่วยงานรัฐ-เอกชนถูกโจมตีไซเบอร์

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เปิดเผยรายงานวิเคราะห์การโจมตีไซเบอร์ต่อระบบของหน่วยงานภาครัฐและเอกชนไทยตลอดปี 2567 พบว่าสาเหตุส่วนใหญ่เกิดจาก “ความไม่มั่นคงปลอดภัยเชิงโครงสร้างและการบริหารจัดการภายในองค์กร” มากกว่าจะเป็นเทคนิคของแฮกเกอร์ระดับสูงอย่างที่เข้าใจกันทั่วไป

จากรายงานดังกล่าว พบว่า ปัจจัยหลักที่เปิดช่องให้กลุ่มผู้ไม่หวังดีสามารถเจาะเข้ามายังระบบของหน่วยงานไทยได้ มีอย่างน้อย 10 ประเด็นสำคัญ ได้แก่

- ระบบพัฒนาภายในหรือจ้างพัฒนาไม่มีมาตรฐานความปลอดภัย: ทั้งภาครัฐและเอกชนจำนวนมากยังใช้กระบวนการพัฒนาระบบโดยไม่ฝังแนวคิดด้านความมั่นคงปลอดภัยในการเขียนโปรแกรม หรือไม่ได้ประเมินความเสี่ยงด้านไซเบอร์ในกระบวนการออกแบบระบบ

- ใช้ซอฟต์แวร์ล้าสมัยหรือมีช่องโหว่: ระบบจำนวนมากยังคงใช้ซอฟต์แวร์ที่ไม่ได้อัปเดตเป็นเวอร์ชันล่าสุด หรือมีช่องโหว่ที่เป็นที่รู้กันทั่วไปในหมู่แฮกเกอร์

- รหัสผ่านพื้นฐานยังไม่ถูกเปลี่ยน: พบว่ายังมีผู้ดูแลระบบจำนวนหนึ่งที่ใช้ username/password ตั้งต้นที่ติดมากับอุปกรณ์ เช่น admin/admin หรือ root/1234 โดยไม่เปลี่ยนแปลง ทำให้แฮกเกอร์สามารถเข้าสู่ระบบได้ง่ายดาย

- ไม่มีระบบเฝ้าระวังและตรวจจับการโจมตี: หลายองค์กรขาดการติดตั้งระบบ Security Operations Center (SOC) หรือไม่มีเครื่องมือตรวจจับพฤติกรรมผิดปกติภายในเครือข่าย ทำให้ไม่สามารถตอบสนองได้อย่างทันท่วงที

- ภัยจากบุคคลภายใน (Insider Threat): พบว่าในบางกรณี การรั่วไหลของข้อมูลหรือการเปิดช่องให้แฮกเกอร์เกิดจากพนักงานภายในองค์กรเอง ไม่ว่าจะโดยเจตนาหรือจากความประมาท

- การเข้ารหัสข้อมูลที่ไม่รัดกุม: บางระบบไม่มีการเข้ารหัสข้อมูล หรือใช้มาตรฐานการเข้ารหัสที่ล้าสมัย ทำให้ข้อมูลสำคัญถูกถอดรหัสได้ง่าย

- ขาดบุคลากรด้านความมั่นคงไซเบอร์: หน่วยงานหลายแห่งไม่มีเจ้าหน้าที่เฉพาะทาง เช่น Chief Information Security Officer (CISO) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่สามารถกำกับดูแลความเสี่ยงด้านไซเบอร์ได้อย่างเป็นระบบ

- การจัดการสิทธิ์ผู้ใช้งานที่ออกจากองค์กรไม่เหมาะสม: บางองค์กรยังไม่ได้ปิดการเข้าถึงระบบของพนักงานที่ลาออก หรือยังใช้บัญชีที่เกี่ยวข้องกับอดีตพนักงานอยู่

- มาตรการกำกับการเข้าถึงจากภายนอกยังไม่เข้มงวด: เช่น เปิดพอร์ตที่ไม่จำเป็น ไม่มีการควบคุม IP หรือใช้ระบบ Remote Desktop โดยไม่มีการเข้ารหัสหรือยืนยันตัวตนหลายขั้น

- ขาดความรู้ความเข้าใจของพนักงาน: ผู้ใช้งานระบบจำนวนมากยังไม่มีความรู้พื้นฐานเกี่ยวกับฟิชชิ่ง, มัลแวร์, หรือวิธีป้องกันข้อมูลส่วนตัว

ThaiCERT ชี้ว่า ปัจจัยเหล่านี้ล้วนสามารถป้องกันได้ หากองค์กรมีการวางแผนด้านความมั่นคงไซเบอร์ที่ชัดเจนและมีการปฏิบัติจริงอย่างต่อเนื่อง

โดยในปี 2568 ThaiCERT ได้เสนอ 10 แนวทางสำคัญ สำหรับหน่วยงานทั้งรัฐและเอกชนในการยกระดับความมั่นคงปลอดภัยไซเบอร์ดังนี้

• อัปเดตระบบและหลีกเลี่ยงซอฟต์แวร์ผิดกฎหมาย: ซอฟต์แวร์ทุกตัวต้องอัปเดตเป็นเวอร์ชันล่าสุด พร้อมหลีกเลี่ยงการใช้ซอฟต์แวร์เถื่อนที่มักแฝงมัลแวร์
• สำรองข้อมูลอย่างสม่ำเสมอ: ควรจัดทำแผนการสำรองข้อมูลที่มั่นคงปลอดภัยและทดสอบการกู้คืนข้อมูลเป็นประจำ
• ใช้ระบบยืนยันตัวตนหลายชั้น (MFA): ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้รหัสผ่านจะถูกขโมยไปแล้ว
• แต่งตั้ง DPO และ CISO อย่างเป็นทางการ: เพื่อกำกับนโยบายความมั่นคงไซเบอร์และข้อมูลส่วนบุคคลอย่างต่อเนื่อง
• จัดตั้ง SOC และตรวจจับภัยคุกคามตลอดเวลา: เพื่อให้สามารถรับมือกับเหตุการณ์ได้แบบ Real-Time
• บริหารความเสี่ยงจาก AI: กำกับดูแลการใช้ AI ไม่ให้กลายเป็นช่องโหว่ หรือถูกใช้โดยผู้ไม่หวังดี
• ใช้แนวคิด Zero-Trust และรหัสผ่านที่แข็งแรง: ไม่ไว้ใจอุปกรณ์หรือผู้ใช้งานใด ๆ โดยอัตโนมัติ และบังคับใช้นโยบายรหัสผ่านที่ซับซ้อน
• เลือกบริษัทพัฒนาระบบที่มีมาตรฐาน: และหลีกเลี่ยงการใช้ข้อมูลจริงในสภาพแวดล้อมการพัฒนา
• ป้องกัน Insider Threat และจัดการ Offboarding อย่างปลอดภัย: ยกเลิกสิทธิ์และเข้าถึงของพนักงานที่ลาออกทันที
• ฝึกอบรมพนักงานอย่างต่อเนื่อง: ให้เข้าใจภัยไซเบอร์ที่อัปเดตอยู่ตลอดเวลา และปฏิบัติตัวอย่างเหมาะสม

ในยุคที่ภัยคุกคามไซเบอร์เกิดขึ้นอย่างรวดเร็วและซับซ้อน การป้องกันเชิงรุกและการสร้างวัฒนธรรมด้านความปลอดภัยในองค์กรจะเป็นเกราะสำคัญในการปกป้องข้อมูล ทรัพย์สินทางดิจิทัล และความน่าเชื่อถือของหน่วยงานในระยะยาว