ความปลอดภัยทางไซเบอร์ (Cyber Security) นั้นกลายเป็นประเด็นความเสี่ยงที่น่าจับตามองในช่วงปี พ.ศ. 2567 เนื่องจากข่าวหน่วยงานภาครัฐปล่อยให้เกิดการรั่วไหลของข้อมูลประชาชนในวันที่ 26 พฤศจิกายน 2566 ทั้งนี้เหตุการณ์ที่เกิดขึ้นนั้นไม่ใช่ครั้งแรกของหน่วยงานภาครัฐในประเทศไทย ในปี พ.ศ. 2565 เกิดการรั่วไหลของข้อมูลส่วนตัวของนักเรียนในระบบ TCAS (ระบบการคัดเลือกกลางบุคคลเข้าศึกษาในสถาบันอุดมศึกษา) และในช่วงเดือน มีนาคม พ.ศ.2566นี้ ได้มีแฮกเกอร์ชื่อว่า 9near ประกาศขายข้อมูลและรายชื่อคนไทยจำนวน 55 ล้านคน ที่มาจากคลังข้อมูลของรัฐ เป็นต้น จากตัวอย่างเหตุการณ์ดังกล่าวนั้น แสดงให้เห็นถึงความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องไกลตัวของสถานศึกษา / มหาวิทยาลัยอีกต่อไป เนื่องจากสถานศึกษา / มหาวิทยาลัย มีการจัดเก็บข้อมูลส่วนบุคคลของนักเรียน นักศึกษา นิสิต รวมถึงบุคลากร โดยข้อมูลที่กล่าวมานั้นประกอบไปด้วยข้อมูลส่วนตัวอย่าง เพศ วันเดือนปีเกิด เลขประจำตัวประชาชน เป็นต้น
ผลจากการสำรวจประเด็นความเสี่ยงจาก Managing Risk in Higher Education: Higher Education Sector Risk Profile 2023 จากบริษัท PWC พบว่าในปี ค.ศ. 2023 นี้ความเสี่ยงทางด้านความปลอดภัยทางไซเบอร์ได้ขึ้นมาครองอันดับหนึ่งแทนประเด็นความเสี่ยงด้านการเงินในปีที่แล้ว
ภาพที่ 1 แสดงประเด็นความเสี่ยงของสถาบันการศึกษาระดับอุดมศึกษาเปรียบเทียบกันในแต่ละปี
โดยมีรายละเอียดดังต่อไปนี้ ความปลอดภัยทางไซเบอร์ขึ้นมาครองอันดับหนึ่งสำหรับความเสี่ยงในปี ค.ศ. 2023 นี้ หลังจากที่ช่วงปี ค.ศ. 2020 – ค.ศ. 2023 นั้นอยู่ในช่วง 3 อันดับแรกมาโดยตลอด สิ่งนี้สะท้อนให้เห็นว่าเกิดการโจมตีเพื่อขโมยข้อมูลต่างๆนานา เนื่องจากข้อมูลเหล่านั้นล้วนมีมูลค่า การบรรเทาโอกาสและผลกระทบของการโจมตีทางไซเบอร์ถือเป็นเรื่องท้าทายและมีค่าใช้จ่ายไม่น้อยเพราะ 1) ในสถานศึกษา / มหาวิทยาลัย หลายแห่งไม่ได้ลงทุนในทางด้านการควบคุมไอที และเจ้าหน้าที่รักษาความปลอดภัยทางด้านไอทีโดยเฉพาะ 2) สภาพแวดล้อมด้านไอทีในสถานศึกษา / มหาวิทยาลัย มีความหลากหลาย 3) เกิดการใช้ Shadow IT (การใช้งานซอฟต์แวร์ อุปกรณ์คอมพิวเตอร์ หรือระบบเครือข่ายที่ยังไม่ได้รับการอนุญาตหรือสนับสนุนจากผู้ดูแลระบบไอทีภายในองค์กรอย่างเป็นทางการ เพื่อการทำงานภายในองค์กร หรือหน่วยงาน) เป็นเรื่องปกติและแพร่หลายในหลายสถาบัน 4) การสรรหาพนักงานที่มีความสามารถในด้าน IT ถือเป็นเรื่องท้าทายและมีค่าใช้จ่ายสูง 5) การได้รับประกันเพื่อถ่ายโอน (Transfer) ความเสี่ยงด้านความปลอดภัยทางไซเบอร์นั้นยากขึ้นเรื่อยๆ
นอกจากความเสี่ยงด้านความปลอดภัยทางไซเบอร์แล้ว สถานศึกษา / มหาวิทยาลัยหลายแห่งยังเผชิญความท้าทายในโครงสร้างพื้นฐานด้านไอทีที่กว้างขึ้น บางสถานศึกษา /มหาวิทยาลัยพบว่าการย้ายข้อมูลไปไว้บนคลาวด์มีทั้งค่าใช้จ่ายและความท้าทายทางเทคนิค และนักเรียน นักศึกษา นิสิตอาจจะมีความต้องการใช้พื้นที่คลาวน์เพิ่มขึ้นในส่วนที่มีการศึกษาเกี่ยวกับนวัตกรรม
ไม่เพียงข้อมูลจากบริษัท PWC เท่านั้นที่มีผลการสำรวจด้านความเสี่ยงด้านความปลอดภัยทางไซเบอร์มาเป็นอันดับหนึ่ง ข้อมูลจากบริษัท Allianz ได้ทำการสำรวจ The Most Important Business Risk in 2023พบว่าประเด็นความเสี่ยงด้านไซเบอร์ (Cyber Incidents) ได้อันดับหนึ่ง
ภาพที่ 2 ผลการสำรวจ The Most Important Business Risk in 2023
โดยมีรายละเอียดดังต่อไปนี้ ความเสี่ยงด้านไซเบอร์ เช่น การขัดข้องด้านไอที การโจมตีด้วยแรนซัมแวร์หรือการละเมิดข้อมูล ถือเป็นความเสี่ยงที่สำคัญที่สุดทั่วโลก เป็นปีที่ 2 ติดต่อกัน เนื่องจากในปัจจุบันมีการคาดการณ์ว่าเหตุการณ์อาชญากรรมทางไซเบอร์นั้นจะสร้างความเสียหายให้กับเศรษฐกิจโลกเกินกว่า 1 ล้านล้านดอลลาร์ต่อปี หรือประมาณ 1% ของ GDP โลก จึงไม่น่าแปลกใจที่ความกังวลด้านความเสียหายทางไซเบอร์จะเป็นข้อกังวลของการสำรวจครั้งนี้ นอกจากนี้เหตุการณ์ทางไซเบอร์ยังได้รับการจัดอันดับให้เป็นภัยอันตรายอันดับต้นๆใน 19 ประเทศอีกด้วย (อาร์เจนตินา ออสเตรีย เบลเยียม แคนาดา โคลัมเบีย เดนมาร์ก ฟินแลนด์ ฝรั่งเศส อินเดีย อิตาลี ญี่ปุ่น มาดากัสการ์ มอริเชียส โมร็อกโก โปรตุเกส สเปน สวีเดน สวิตเซอร์แลนด์ และสหราชอาณาจักร) เป็นความเสียหายที่บริษัทขนาดเล็กกังวลมากที่สุด ซึ่งเป็นสาเหตุของการหยุดชะงักทางธุรกิจ
จากข้อมูลข้างต้นแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ที่มีความกังวลสูงขึ้นเนื่องจากหากเกิดความเสี่ยงนี้ขึ้น จะเกิดผลกระทบต่อการดำเนินงานของ สถานศึกษา / มหาวิทยาลัย และองค์กรได้ โดยผลกระทบของความเสี่ยงที่เกิดขึ้นนั้นในหลากหลายมิติ ทั้งในด้านการเงิน (Financial) ด้านปฏิบัติการ (Operation) และด้านชื่อเสียง (Reputation) ดังนั้นในสถานศึกษา / มหาวิทยาลัย ควรเฝ้าระวัง และเตรียมแผนรับมือกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ไว้เพื่อให้สามารถจัดการลดความเสี่ยงได้ทันก่อนที่จะเกิดความเสียหายต่อสถานศึกษา / มหาวิทยาลัย ในการต่อไป
ตัวอย่างการเตรียมรับมือกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์จากสำนักบริหารเทคโนโลยีสารสนเทศ จุฬาลงกรณ์มหาวิทยาลัยนั้น เช่น เฝ้าระวังเหตุการณ์ด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการกระทำผิดโดยใช้ระบบเทคโนโลยีสารสนเทศของมหาวิทยาลัย ดำเนินการด้าน ISO27001 (มาตรฐานหลักในหมวดระบบมาตรฐานความปลอดภัยสารสนเทศ ซึ่งแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมูลอย่างเป็นระบบ การดำเนินการให้สอดคล้องกับ ISO 27001 ช่วยเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม)
พัฒนาระบบในการสแกนช่องโหว่ของระบบ มีการให้บริการระบบสำรองข้อมูลที่ถูกออกแบบให้ทำงานได้อย่างมีประสิทธิภาพตลอด 24 ชั่วโมง 365 วันต่อปี โดยไม่หยุดชะงักและได้มีการปรับปรุงระบบสำรองข้อมูล เพื่อให้สามารถสำรองข้อมูลระบบงานที่จำเป็นได้อย่างครบถ้วน เพื่อให้สามารถกู้คืนข้อมูลที่ต้องการได้ และรวมถึงการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ เป็นต้น
ทางศูนย์บริหารความเสี่ยง ไม่รอช้าจึงได้ร่วมมือกับสำนักบริหารเทคโนโลยีสารสนเทศ จัดกิจกรรมแลกเปลี่ยนเรียนรู้ผู้ประสานการขับเคลื่อนการบริหารความเสี่ยง ครั้งที่ 1 ประจำปีงบประมาณ 2567 (Risk Champion MeetUp 1st, 2024) ที่มีการให้ความสำคัญยุทธวิธีรู้ทันและป้องกันความปลอดภัยทางไซเบอร์ ในวันพุธที่ 6 ธันวาคม 2566 ผ่านทางช่องทางออนไลน์ จึงขอเชิญชวนประชาคมจุฬาฯเข้าร่วมกิจกรรมได้โดยการกดลิงค์นี้ https://forms.gle/Bdi5VomNpMVMQgNJ9 หรือ สามารถสแกน QR Code บนโปสเตอร์
แปลและเรียบเรียงโดย Temsiri Bualuang
อ้างอิง
เปิดเอกสาร รมว.ดีอี แจง 3 เหตุผล หน่วยงานรัฐทำข้อมูลรั่วไหล. (26 พฤศจิกายน 2566). ฐานเศรษฐกิจ. สืบค้นจาก https://www.thansettakij.com/technology/technology/581894
Allianz. (2023). Allianz Risk Barometer Identifying The Major Business Risks For 2023. Retrieved from https://commercial.allianz.com/news-and-insights/reports/allianz-risk-barometer.html#download
PDPA Thailand. (2566). สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566. สืบค้น 27 พฤศจิกายน, จาก https://shorturl.asia/CAsuz
PWC. (2023). Managing Risk in Higher Education. Retrieved from https://www.pwc.co.uk/government-public-sector/education/documents/higher-education-sector-risk-profile-2023.pdf
ภาพประกอบ
OpenAI. (2023). ChatGPT-4 (Mar 14 version) [Large multimodal model]. https://chat.openai.com/