ภัยคุกคามทางไซเบอร์ 2021 สิ่งที่องค์กรต้องระวัง เมื่อพนักงาน Work From Home

ภัยคุกคามทางไซเบอร์

เนื้อหาในบทความ

ในปี 2021 สถานการณ์การแพร่ระบาดของเชื้อไวรัสโควิด 19 ที่ยังคงมียอดผู้ติดเชื้อเพิ่มขึ้นอย่างต่อเนื่อง ในประเทศไทย ทำให้หลายองค์กรต้องตัดสินใจปรับเปลี่ยนรูปแบบการทำงานเป็น Work From Home เพื่อเว้นระยะห่าง หยุดการแพร่เชื้อและรักษาสวัสดิภาพของบุคลากรในองค์กร

 แต่ทว่า หลังการปรับเปลี่ยนไปทำงานแบบ Remote Working กลับมีสถิติการก่อเหตุอาชาญกรรมทาง ไซเบอร์เพิ่มสูงขึ้น เมื่อกิจกรรมหลักของพนักงานอยู่บนโลกออนไลน์ แต่พวกเขาอาจไม่ได้มีความรู้ ความเข้าใจด้าน Cyber Security มากพอ ประกอบกับระบบรักษาความปลอดภัยของอุปกรณ์ และเครือข่าย ในบ้านที่อ่อนแอจนเกินไป เมื่อเทียบกับขององค์กร ซึ่งปัจจัยเหล่านี้เป็นช่องโหว่ทำให้ภัยคุกคามทางไซเบอร์ โจมตีพนักงานและองค์กรของคุณได้อย่างง่ายดาย

องค์กรต้องเสี่ยงกับ ภัยคุกคามทางไซเบอร์ ในปี 2021 มีอะไรบ้าง


1.เมื่อพนักงานนำอุปกรณ์และข้อมูลสำคัญไปทำงานที่บ้าน

ปัจจัยสำคัญที่ทำให้พนักงานในองค์กรสามารถทำงานบนแพลตฟอร์มออนไลน์ได้อย่างมีประสิทธิภาพคือ เครือข่ายอินเทอร์เน็ต และอุปกรณ์เทคโนโลยี เช่น คอมพิวเตอร์ โน้ตบุ๊ก แท็บเล็ต เป็นต้น แต่ใน ทางตรงกันข้าม ทั้ง 2 ปัจจัยที่เรากล่างถึงนี้ก็เป็นเครื่องมือที่ทำให้อาชาญกรไซเบอร์สามารถโจมตี เพื่อจารกรรมข้อมูลและทรัพย์สินขององค์กรและผู้ใช้งานทั่วไปได้อย่างประสบความสำเร็จเช่นกัน

เพราะผลสำรวจภัยคุกคาม 5 เดือนแรกในปี 2564 ของไทยเซิร์ส พบว่าสาเหตุของการโจมตีทางไซเบอร์ กว่า 34.5% หรือ 302 ครั้งเกิดจาก คอมพิวเตอร์ทั้งฮาร์ดแวร์ ซอฟต์แวร์

นั่นหมายความว่า หากเครือข่ายอินเทอร์เน็ตในบ้าน หรืออุปกรณ์ส่วนตัวของพนักงานมีระบบรักษา ความปลอดภัยที่อ่อนแอจนเกินไป มันก็ไม่ใช่เรื่องยากที่อุปกรณ์ของพนักงานจะติดไวรัส มัลแวร์ หรือถูกอาชาญกรทางไซเบอร์สอดแนมขโมยข้อมูลสำคัญบนอุปกรณ์ ไม่ว่าจะเป็นข้อมูลส่วนตัวของ บุคลากร หรือข้อมูลสำคัญ ข้อมูลความลับขององค์กร  หรือแม้แต่นำอีเมล-รหัสผ่านของพนักงานมาเข้าสู่ระบบขององค์กร นำไปสู่เหตุการณ์ข้อมูลรั่วไหล หรือการเรียกค่าไถ่! และนี่คือภัยอันตรายที่บุคลากรของคุณอาจหลีกเลี่ยงไม่ได้เมื่อ Work From Home

2.Phishing Email (อีเมลหลอกลวง)

อาชาญกรไซเบอร์จะฉวยโอกาสสถานการณ์การแพร่ระบาดเชื้อไวรัส COVID-19 ปลอมแปลงอีเมล เป็นบุคลากรฝ่ายบุคคลขององค์กร หรือหน่วยงานด้านสาธารสุข เพื่อหลอกให้พนักงานคลิกลิงก์ กรอกข้อมูลส่วนตัว อีเมลและรหัสผ่านอีเมลขององค์กร เพื่อรับสวัสดิการ การเยียวยาช่วยเหลือจากต่าง ๆ เกี่ยวกับการ Work From Home หรือหลอกให้เปิดไฟล์แนบ ทันทีที่เปิด มัลแวร์จะถูกติดตั้งลงบนอุปกรณ์ทันที

ยกตัวอย่างเช่น Phishing Email ที่แอบอ้างเป็นกระทรวงสาธารณสุขส่งข้อมูลเกี่ยวกับไวรัสโคโรน่า พร้อมไฟล์แนบ ที่มีชื่อว่า ‘กระทรวง สาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.g2’ โดยอีเมลดังกล่าว มีการแนบโลโก้สถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้กระทรวงสาธารณสุข แต่กลับมีเนื้อหา ภาษาไทยที่มีลักษณะคล้ายกับใช้โปรแกรมแปลภาษา และไฟล์แนบที่มีสกุลแปลกปลอม ซึ่งนี่เป็น ลักษณะของ Phishing Email

(แหล่วข่าวจาก : แจ้งเตือน พบการแพร่กระจายมัลแวร์ผ่านอีเมล โจมตีคนไทย อ้างชื่อไวรัสโคโรน่าและกระทรวงสาธารณสุข (thaicert.or.th))

ภัยคุกคามทางไซเบอร์

3.แอปพลิเคชันที่มีช่องโหว่ด้านความปลอดภัย

เทรนด์การทำงานออนไลน์ ทำให้เกิดโปรแกรม หรือแอปพลิเคชันเพื่อการทำงานมากขึ้น นี่จึงเป็นอีกโอกาส ที่อาชาญกรไซเบอร์ใช้ในการสอดแนมโปรแกรม หรือแอปพลิเคชันที่มีระบบรักษาความปลอดภัยต่ำ เพื่อสอดแนมดูข้อมูลคสำคัญของผู้ใช้งาน เช่น โปรแกรมประชุมออนไลน์ที่มีข่าวโด่งดัง ซึ่งถูกอาชาญกร ไซเบอร์มือดีแฮกเข้าไปข้อมูลผู้ใช้งาน รวมถึงควบคุมสั่งเปิดเปิดกล้องเว็บแคมของผู้ใช้งานอัตโนมัติอีกด้วย

5 วิธี Work From Home ให้ปลอดภัยจาก ภัยคุกคามทางไซเบอร์

การทำงานภายในสำนักงาน คุณสามารถสร้างความมั่นคงปลอดภัยต่อทรัพย์สินสารสนเทศได้ร้อย เปอร์เซ็นด้วยระบบหรืออุปกรณ์ด้านการรักษาความปลอดภัย รวมไปถึงเจ้าหน้าที่ด้านไอทีที่พร้อม ช่วยเหลือและแก้ไขปัญหาให้กับพนักงาน

 แต่ในการทำงานที่บ้าน (Work From Home) คุณไม่สามารถควบคุมได้เลยว่าพนักงานของคุณจะสามารถ ป้องกันอุปกรณ์และข้อมูลสำคัญขององค์กรให้ปลอดภัยได้ตลอดเวลา วันนี้เราจึงรวมรวม 5 เรื่องสำคัญที่ องค์กรควรให้ความสำคัญ และควรสร้างความตระหนักระวังภัยให้กับบุคลากร ขณะ Work From Home  ดังนี้ค่ะ

1.เชื่อมต่อเครือข่ายอินเทอร์เน็ตบ้านที่ปลอดภัยเท่านั้น

การเชื่อมต่อ Wifi บ้านในการทำงาน อาจไม่ปลอดภัยร้อยเปอร์เซ็น หาก Router Wifi ที่พนักงานซื้อมาใช้ บริการ ยังคงใช้รหัสผ่าน default ที่เจ้าของผลิตภัณฑ์ตั้งมาให้ ซึ่งเป็นรหัสผ่านที่ง่ายและอ่อนแอ เสี่ยงต่อการที่อาชาญกรไซเบอร์จะคาดเดาและแอบเชื่อมต่อใช้งาน เพื่อสอดแนมดูกิจกรรมการใช้งาน บนอินเทอร์เน็ตของบุคลากรคุณได้

ทางที่ดี คุณควรแนะนำให้พนักงานเปลี่ยนรหัสผ่านทันทีที่เปิดใช้งาน Router Wifi ครั้งแรก และไม่ควรบอก รหัสผ่าน Wifi กับคนแปลกหน้า หรือเพื่อนบ้าน หากเคยบอกรหัสผ่านไปก่อนหน้านี้ ให้รีบเปลี่ยนรหัสผ่านใน ทันที และเพื่อเพิ่มความเป็นส่วนตัว ควรเปิดใช้งาน VPN (Virtual  Private Network ) ในการเข้าสู่ระบบงาน หรือรับส่งข้อมูลสำคัญขององค์กร เพราะการใช้งาน VPN จะทำให้ข้อมูลมีการเข้ารหัสตั้งแต่บ้านจนถึง ปลายทางระบบงานขององค์กรอย่างปลอดภัย

2.ไม่โพสต์ภาพการประชุมออนไลน์ หรือข้อมูลใด ๆ ขององค์กรลงโซเชียลมีเดีย

บนโลกออนไลน์มีอาชาญกรไซเบอร์มากมายแฝงตัวเป็นเพื่อนบนโซเชียลมีเดียของผู้ใช้งานทั่วไป           การโพสต์ภาพข้อมูลการประชุม หรือข้อมูลสำคัญขององค์กรลงโซเชียลมีเดีย เพื่อแชร์กิจกรรมที่ทำใน แต่ละวัน หรือเพื่อความสนุกสนานใดก็ตาม อาจทำให้อาชาญกรไซเบอร์ หรือผู้ไม่ประสงค์ดีสามารถเก็บ รวบรวม และนำข้อมูลสำคัญขององค์กรไปใช้งานสร้างความเสียหายต่อในอนาคตได้

3.อัปเดตโปรแกรมการทำงาน โปรแกรมแอนตี้ไวรัส และระบบปฏิบัติการของอุปกรณ์

การอัปเดตเวอร์ชันของโปรแกรมที่ใช้ในการทำงาน โปรแกรมแอนตี้ไวรัสและระบบปฏิบัติการจะช่วยแก้ไข จุดบกพร่องของซอฟต์แวร์เพื่อปิดช่องโหว่ ไม่ให้มัลแวร์ หรืออาชาญกรไซเบอร์สามารถโจมตีสร้างความเสีย หายใด ๆ ได้

4. ล็อกหน้าจออุปกรณ์ทุกครั้งที่ไม่ใช้งาน

การล็อกหน้าจอ จะช่วยเซฟเรื่องความปลอดภัยของข้อมูลได้ระดับหนึ่ง เพราะผู้อื่นที่เดินผ่านไปผ่านมาจะ ไม่สามารถเข้าใช้งานหรือแอบเปิดอ่านข้อมูลสำคัญของตัวพนักงานเอง รวมไปถึงข้อมูลงานต่าง ๆ ของ องค์กรได้

5.ไม่อนุญาตให้คนในครอบครัวใช้อุปกรณ์ขององค์กร

พนักงานอาจไม่มีจุดประสงค์ในการเปิดเผยข้อมูลสำคัญขององค์กร แต่การอนุญาตให้บุคคลอื่นใช้งาน อุปกรณ์ที่มีข้อมูลสำคัญขององค์กร อาจนำไปสู่เหตุการณ์ข้อมูลรั่วไหลได้ หากบุคคลดังกล่าวนำอุปกรณ์ ไปเข้าสู่เว็บไซต์อันตราย หรือนำไปใช้งานที่เสี่ยงทำให้อุปกรณ์ติดมัลแวร์ การดูแลรักษาอุปกรณ์ขององค์กรให้ปลอดภัย พนักงานควรพกอุปกรณ์ติดตัวอยู่ตลอดเวลา และไม่อนุญาต ให้บุคคลอื่นใช้งานอุปกรณ์ได้

ภัยคุกคามทางไซเบอร์

ทำไมองค์กรควรทำ Security Awareness เพื่อลดความเสี่ยง ภัยคุกคามทางไซเบอร์

ดังนั้น สิ่งสำคัญที่คุณและองค์กรของคุณไม่ควรมองข้าม คือการทำ Cyber Security Awareness สร้างความรู้ ความเข้าใจด้านการดูแลรักษาและใช้งาน ทรัพยากรสารสนเทศขององค์กรอย่างปลอดภัยให้กับบุคลากรในองค์คุณ เพื่อให้พวกเขาสามารถดูแลรักษา ทรัพย์สิน ป้องกันระวังภัย ไม่ว่าจะอยู่ในสถานการณ์ โรคระบาดที่ทำให้ต้อง Work From Home หรือต้องตก อยู่ในสถานการณ์ใดก็ตาม

ซึ่งหากคุณกำลังมองหาโซลูชันที่จะช่วยคุณสื่อสารความรู้ด้าน Cyber Security อย่างครบวงจรให้กับ พนักงานในองค์กร เราขอแนะนำ SECAP Security Awareness Platform แพลตฟอร์มที่สื่อสารเนื้อหา ความรู้ และอัปเดตทริคป้องกันภัยคุกคาม ทางไซเบอร์ที่ครอบคลุมทุกความเสี่ยงบนโลกออนไลน์ จากผู้เชี่ยวชาญด้าน Cyber Security

บทความที่เกี่ยวข้อง

Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »