“Phishing ฟิชชิ่ง” เป็นหนึ่งในรูปแบบการหลอกลวงทางโลกออนไลน์เพื่อเข้ามาล้วงข้อมูล โดยมีวิธีการหลอกล่อให้เหยื่อกดคลิกลิงก์หรือเปิดไฟล์บางอย่างที่มาพร้อมกับมัลแวร์นั้น ถือเป็นวิธีการที่อาชญากรทางไซเบอร์นิยมใช้บ่อยที่สุด ซึ่งหากคุณหลงเชื่อกับข้อความเชิญชวนต่าง ๆ เหล่านี้แล้วก็อาจกลายเป็นเหยื่อที่ถูกขโมยข้อมูลในทันที ดังนั้นสิ่งสำคัญที่คุณต้องคอยย้ำกับตัวเองเสมอคือ ‘คิดก่อนคลิก’ และตรวจเช็กแหล่งที่มาและความน่าเชื่อถือของลิงก์ ไฟล์ หรืออีเมลต่าง ๆ ให้ดีก่อนจะคลิกลิงค์ใดๆ ก็ตาม เพราะเพียงแค่ “คลิกเดียว” คุณอาจถูกล้วงข้อมูลส่วนบุคคล และเกิดความเสียหายมากมายตามมา!!!!
ในระดับองค์กร ปัจจุบันทุกองค์กรต่างให้ความสำคัญกับกฎหมาย PDPA โดยมุ่งเน้นเรื่อง Policy และ Notice เพื่อรองรับการบังคับใช้ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จนมองข้ามการดูแลระบบโครงสร้างพื้นฐาน รวมไปถึงระบบปฏิบัติการ และแอปพลิเคชันต่างๆ ภายในองค์กร ซึ่งเป็นสิ่งสำคัญที่ไม่อาจละเลยได้เช่นกัน เนื่องจากหากเกิดช่องโหว่ขึ้นแล้ว อาจทำให้เกิดความเสียหายจากภัยคุกคามทางไซเบอร์ และส่งผลกระทบต่อทั้งองค์กรได้ จึงจำเป็นที่จะต้องทำควบคู่กันไปเพื่อรักษาความปลอดภัยของข้อมูลภายในองค์กร และป้องกันการโจมตีทางไซเบอร์จากทั้งภายในและภายนอก
ภัยคุกคามที่เกิดขึ้นทางไซเบอร์สามารถส่งผลกระทบต่อภาคธุรกิจทุกวงการอย่างต่อเนื่อง เพราะในปัจจุบัน รูปแบบการโจมตีมีความซับซ้อนมากยิ่งขึ้น จากเหตุการณ์ใหญ่ที่มีข่าวเกิดขึ้นอย่างแพร่หลาย จะพบว่า Attacker ใช้การโจมตีในทุกรูปแบบไว้ในเหตุการณ์เดียว เช่น การเริ่มโจมตีโดยการส่งอีเมลหลอกลวง (Phishing) เพื่อหาทางให้เข้าถึงระบบของเหยื่อได้ หลังจากนั้นจะพยายามขโมยข้อมูลสำคัญๆ ของเหยื่อออกมาเพื่อแสวงหาผลประโยชน์ และหลังจากนั้น ทำการเข้ารหัสข้อมูลในระบบเพื่อให้ระบบไม่สามารถใช้งาน ด้วยวิธีการที่เรียกว่า มัลแวร์เรียกค่าไถ่ (Ransomware) เมื่อระบบของเหยื่อได้รับความเสียหายทาง Attacker จะพยายามติดต่อมาเพื่อเรียกค่าไถ่ ซึ่งหากเหยื่อไม่ยอมจ่าย Attacker ก็พยายามโจมตีมาที่ระบบปฏิบัติการ รวมถึงระบบอื่นๆ ในองค์กร เพื่อไม่ให้เหยื่อสามารถใช้งานได้ทุกระบบด้วยวิธีการ (DDOS Attack) เพื่อข่มขู่ให้เหยื่อหวาดกลัวมากขึ้น และยอมที่จะจ่ายเงินเรียกค่าไถ่เพื่อให้ Attacker หยุดการโจมตีทั้งหมด
การให้ความรู้พนักงานอย่างต่อเนื่องถือเป็นขั้นตอนที่สำคัญในการรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ในสมัยใหม่ ซึ่งจะต้องถูกวางแผนและออกแบบการ Training ให้เหมาะกับพนักงานในแต่ละแผนก เช่น หากเป็นพนักงานในระดับปฏิบัติการทั่วไปแล้ว ก็อาจเน้นไปที่การให้ความรู้เกี่ยวกับการถูก Phishing และมัลแวร์ต่าง ๆ ที่พวกเขาอาจมีโอกาสพบเจอได้บ่อยที่สุดตามอีเมลและไฟล์ต่างๆ ที่เปิดใช้งาน หรือหากเป็นพนักงานที่ต้องทำงานใกล้ชิดกับข้อมูลความลับและข้อมูลสำคัญต่างๆ ขององค์กรแล้วก็อาจต้องการองค์ความรู้เพิ่มเติมสำหรับการจัดเก็บข้อมูล และการเปิดสิทธิ์การใช้งานข้อมูลต่าง ๆ ให้กับคู่ค้าและแผนกอื่นๆ ภายในองค์กร
นอกจากการป้องกันโดยให้ความรู้กับพนักงานในองค์กรแล้ว การนำระบบหรือซอฟต์แวร์เข้ามาช่วยบริหารจัดการ และกำหนดมาตรการป้องกันความเสี่ยงกรณีเกิดเหตุข้อมูลรั่วไหล เป็นอีกหนึ่งสิ่งที่องค์กรไม่ควรมองข้าม เพราะนอกจากจะสร้างความเชื่อมั่นให้กับเจ้าของข้อมูลส่วนบุคคลแล้ว ยังช่วยให้องค์กรวางแผนและปฏิบัติตามขั้นตอนได้ตามที่กฎหมายกำหนด wisework มี Modules “Data Breach” ฟังก์ชันสำคัญที่ช่วยรับมือและจัดการกับเหตุข้อมูลรั่วไหลอย่างเป็นระบบ
ขอบคุณข้อมูลจาก @IT Audit Thailand