ความสำคัญในการรักษาความปลอดภัยของระบบ IT ภายในองค์กรและแนวโน้มการถูกโจมตีจากเทคโนโลยีที่ส่งผลกระทบต่อธุรกิจในปัจจุบัน บทความที่ 2 : กรณีตัวอย่างจากการถูกโจมตีทางเทคโนโลยี

31/03/2022

Thai NS Solutions co., Ltd.

จากบทความที่ 1 ซึ่งได้กล่าวถึงความสำคัญในการรักษาความปลอดภัยของระบบ IT และแนวโน้มการโจมตีทางเทคโนโลยีแล้ว ในบทความที่ 2 นี้จะกล่าวถึงผลกระทบจากการถูกโจมตีทางเทคโนโลยีที่ส่งผลเสียต่อภาคธุรกิจ โดยเฉพาะอุตสาหกรรมการผลิตและกรณีตัวอย่างที่เกิดขึ้นจริงในประเทศไทย

▶ การรักษาความปลอดภัยของระบบ IT ภายในองค์กร บทความที่ 1

ผลกระทบจากการถูกโจมตีทางเทคโนโลยีที่ทำให้เกิดความเสียหายด้านความน่าเชื่อถือทางธุรกิจ

ด้วยกระแสความเปลี่ยนแปลงของการโจมตีที่เปลี่ยนไปจากในอดีตแต่เดิมที่เน้นโจมตีเพื่อความสนุกกลับกลายเป็นการโจมตีเพื่อหวังผลทางธุรกิจหรือกล่าวได้ว่าต้องการมีรายได้จากการโจมตีเหล่านั้น ทำให้แฮกเกอร์พุ่งเป้าการโจมตีไปที่กลุ่มธุรกิจต่างๆ เช่น กลุ่มธุรกิจด้านสุขภาพ (Healthcare) ด้านอุตสาหกรรมการผลิต (Manufacturing) กลุ่มผู้ให้บริการเฉพาะทาง (Professional Services) และ ภาครัฐ (Public Sector) เป็นต้น

สาเหตุที่กลุ่มธุรกิจต่างๆ กลายเป็นเป้าได้ในการถูกโจมตีนั้นมีสาเหตุมาจาก “จำนวนเงิน” ที่แฮกเกอร์จะได้รับ โดยเฉพาะในกลุ่มธุรกิจด้านอุตสาหกรรมการผลิตที่มีข้อมูลเกี่ยวกับลิขสิทธิ์ทางปัญญาหรือข้อมูลของบริษัทคู่ค้าที่แชร์ข้อมูลทางธุรกิจซึ่งกันและกัน ด้วยเหตุนี้จึงมีความเป็นไปได้ว่ากลุ่มธุรกิจเหล่านี้จะจ่ายเงินค่าไถ่เพื่อนำข้อมูลที่ถูกขโมยกลับคืนมา

▲ ภาพแสดงอัตราของภาคธุรกิจที่ถูกโจมตีในประเภทต่างๆ โดยดูความถี่ได้จากจุดสีฟ้า

กรณีตัวอย่างจากการถูกโจมตีทางเทคโนโลยีที่เกิดขึ้นกับกลุ่มธุรกิจอุตสาหกรรมในประเทศไทย

กรณีที่ 1 บริษัทผู้ผลิตชิ้นส่วนรถยนต์
ส่งอีเมลที่เป็น Social Engineering Attack ทำให้ไลน์การผลิตหยุดลงประมาณ 1 สัปดาห์

สาเหตุของปัญหา
เกิดจากการที่พนักงานในแผนกจัดซื้อของบริษัทกด Link ที่ได้รับจากบริษัทขนส่งในอีเมลเพื่อติดตามสถานะการขนส่ง ซึ่งสิ่งนี้เป็นขั้นตอนการทำงานตามปกติของพนักงานในแผนกจัดซื้อแต่เนื่องจากพนักงานไม่ได้สังเกตว่าอีเมลที่ได้รับนั้นไม่ใช่อีเมลจากบริษัทขนส่งแต่เป็นอีเมลที่ถูกเขียนขึ้นมาเพื่อให้เหมือนกันหรือที่เรียกว่า Social Engineering Attack*

หลังจากคลิกที่ Link ในอีเมลแล้วทำให้เครื่องคอมพิวเตอร์ของพนักงานคนนั้นติด Ransomware ไฟล์ทั้งหมดในคอมพิวเตอร์จึงถูกล็อก ทำให้ไม่สามารถเข้าถึงข้อมูลได้และข้อมูลถูกคัดลอกออกไป อีกทั้งยังส่งผลให้ข้อมูลภายในองค์กรเกิดความเสียหาย ระบบต่างๆ รวมถึงระบบการผลิตภายในโรงงานใช้งานไม่ได้ชั่วคราวและต้องหยุดไลน์การผลิตไปประมาณ 1 สัปดาห์

*Social Engineering attack หรือ วิศวกรรมสังคม คือการหลอกลวงผู้อื่นเพื่อให้เปิดเผยข้อมูล โดยอาศัยความประมาทหรือความรู้เท่าไม่ถึงการณ์

วิธีการป้องกัน
1. อบรมให้ความรู้แก่พนักงานว่าควรสังเกตจุดใดบ้างก่อนที่จะเปิด Link ที่ได้รับจากอีเมล
2. ตรวจสอบ Back-end system หรือระบบหลังบ้านว่ามีการตั้งค่าความปลอดภัยในระดับที่ป้องกันได้หรือไม่

กรณีที่ 2 ผู้ผลิตชิ้นส่วนพลาสติก
การมีช่องโหว่ของระบบอีเมลทำให้ถูกใช้เป็นช่องทางส่ง Fake email

สาเหตุของปัญหา
เมื่อเดือนตุลาคม ปี 2564 ที่ผ่านมา พนักงานของบริษัทผลิตชิ้นส่วนพลาสติกได้รับการติดต่อจากลูกค้าว่าได้รับอีเมลและระบบสามารถตรวจจับได้ว่าเป็น Phishing email เมื่อตรวจสอบย้อนกลับไปพบว่าพนักงานคนนั้นไม่ได้เป็นผู้ส่ง แต่อีเมลถูกส่งมาจากตัวระบบโดยแฮกเกอร์เจาะเข้ามายังระบบของอีเมลและใช้ช่องทางการติดต่อของพนักงานในการส่ง Fake email ไปยังลูกค้านั่นเอง เมื่อทางบริษัท Thai NS Solution ตรวจสอบแล้วพบว่า สาเหตุที่แท้จริงของปัญหาเกิดจากช่องโหว่ของระบบอีเมล โดยบริษัทผู้ผลิตระบบอีเมลนี้ทราบถึงปัญหาและดำเนินการแก้ไขโดยการออกซอฟต์แวร์อัปเดตแล้วตั้งแต่เดือนมีนาคม ปี 2564 แต่พนักงานยังไม่ได้ทำการอัปเดตซอฟต์แวร์ให้เป็นปัจจุบัน จึงส่งผลให้แฮกเกอร์สามารถเจาะระบบเข้ามาได้

วิธีการป้องกัน
1. ควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
2. สร้างความตระหนักถึงความสำคัญในการจัดการกับระบบ IT โดยพนักงาน IT ควรตรวจเช็กและทดสอบระบบของซอฟต์แวร์ก่อนที่จะให้พนักงานในองค์กรใช้งานจริง
3. ใช้ซอฟต์แวร์ที่ได้รับการตรวจสอบโดยพนักงาน IT ก่อนใช้งานจริง

การตระหนักถึงความสำคัญในจัดการด้านความปลอดภัยของระบบ IT เป็นสิ่งสำคัญ

“จากกรณีตัวอย่างที่กล่าวไป หนึ่งในสาเหตุที่สำคัญ คือ การที่องค์กรไม่ได้ตระหนักถึงปัญหาที่มาจากการโจมตีทางเทคโนโลยีครับ อย่างไรก็ตาม ตอนนี้หลายองค์กรเริ่มให้ความสนใจด้านการทำ DX หรือนำเอาเทคโนโลยีมาใช้เพื่อเปลี่ยนรูปแบบทางธุรกิจมาขึ้นและยังมีหลายองค์กรที่อยากจะย้ายระบบไปทำงานผ่านคลาวด์ แต่ยังมองไม่เห็นภาพว่าควรจะเริ่มต้นอย่างไร ซึ่งบริษัท Thai NS Solution ของเรามีความพร้อมในการให้บริการลูกค้าและพร้อมที่จะให้การช่วยเหลือในด้านนี้ครับ” (คุณสรนันท์ แก้วเมือง / ตำแหน่ง Junior Manager แผนก Systems Planning & Engineering - 1)

สรนันท์ แก้วเมือง / Soranan Kaewmuang
Junior Manager / Systems Planning & Engineering - 1
เข้าทำงานในบริษัท Thai NS Solution เมื่อปี 2563
มีประสบการณ์ด้าน IT ที่มีมากกว่า 15 ปี ทำให้ได้รับผิดชอบด้าน Solution Architect ไม่ว่าจะเป็น Infrastructure, Security รวมถึงการออกแบบพื้นฐานของ Application และ Cloud

หากคุณสนใจการจัดการด้านความปลอดภัยของระบบ IT หรือต้องการสอบถามเกี่ยวกับการรักษาความปลอดภัยของระบบ IT สามารถติดต่อเราได้ผ่านแบบฟอร์มด้านล่างนี้

แบบฟอร์มสอบถามข้อมูล

โปรดติดต่อเราโดยกรอกแบบฟอร์มด้านล่าง

สามารถติดต่อได้ทางเบอร์โทรศัพท์หรืออีเมล

ชื่อ-นามสกุล จำเป็น

ชื่อสถานที่ทำงาน

หมายเลขโทรศัพท์

ที่อยู่อีเมล จำเป็น

ข้อความที่ต้องการติดต่อสอบถาม จำเป็น

KOA-SHA (THAILAND) ผู้ให้บริการเว็บไซต์ (จะเรียกต่อจากนี้ว่า "บริษัทของเรา") จะให้บริการต่างๆ (จะเรียกต่อจากนี้ว่า "บริการนี้") ตามนโยบายความเป็นส่วนตัว (จะเรียกต่อจากนี้ว่า "นโยบายนี้") ดังต่อไปนี้

คำนิยามของข้อมูลส่วนบุคคล: ในนโยบายนี้ คำว่า “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลที่เกี่ยวกับตัวบุคคลที่ยังดำรงชีวิตอยู่ ชี้ถึงการที่สามารถแยกแยะตัวบุคคลได้จากชื่อและนามสกุล, วันเดือนปีเกิด และการให้รายละเอียดอื่นๆ รวมถึงข้อมูลที่เกี่ยวข้อง (รวมถึงข้อมูลที่สามารถเทียบเคียงกับข้อมูลอื่นๆ ได้ง่าย ซึ่งจะช่วยให้สามารถระบุตัวบุคคลได้)

การรับข้อมูลส่วนบุคคล: บริษัทของเราจะรับข้อมูลส่วนบุคคลด้วยวิธีที่ถูกต้องตามกฎหมายและมีความยุติธรรม

การใช้ข้อมูลส่วนบุคคล

บริษัทของเราจะใช้ข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นสำหรับการดำเนินธุรกิจ ภายในขอบเขตวัตถุประสงค์ที่ระบุไว้ ดังต่อไปนี้

เพื่อให้ข้อมูลที่เหมาะสมที่สุดแก่ผู้ใช้แต่ละรายในบริการนี้
เพื่อเป็นประโยชน์ในการปรับปรุงคุณภาพของบริการนี้โดยการวิเคราะห์ทางสถิติ
เพื่อรองรับในการติดต่อสอบถามที่เกี่ยวข้องกับบริการนี้
เพื่อเตรียมข้อมูลจากการดาวน์โหลดแคตตาล็อกให้กับบริษัทสมาชิกแต่ละแห่ง และดำเนินการทำแบบสอบถามที่เกี่ยวข้องกับบริการนี้
เพื่อที่จะส่งคำแนะนำเกี่ยวกับผลิตภัณฑ์ใหม่ๆ และเคมเปญที่ดำเนินการโดยบริษัทของเรา
อื่นๆ วัตถุประสงค์ที่อาจเกิดขึ้นได้กับวัตถุประสงค์การใช้งานที่ระบุในข้างต้น

เกี่ยวกับ Cookie: บริษัทของเราใช้ cookie ในเว็บไซต์ของบริการนี้ อีกทั้งในระบบการโฆษณาก็มีบางส่วนที่ใช้ cookie ด้วย Cookie เป็นเทคโนโลยีที่ใช้บันทึกประวัติการใช้งานที่ส่งและรับระหว่างเบราเซอร์กับเซิร์ฟเวอร์ลงเป็นไฟล์ในคอมพิวเตอร์เทอร์มินอลของผู้ใช้ หากคุณไม่ต้องการให้บริษัทของเราใช้ cookie ก็สามารถตั้งค่าปฏิเสธการใช้ cookie ในเบราเซอร์ของคุณเองได้ อย่างไรก็ตามในกรณีที่คุณปฏิเสธ cookie อาจเกิดผลกระทบตอนที่คุณเข้าใช้บริการนี้ในเว็บไซต์

การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม

บริษัทของเราจะไม่เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่สามโดยไม่ได้รับความยินยอมจากตัวบุคคลก่อนล่วงหน้า เว้นในกรณีที่มีการบัญญัติตามกฎหมาย

อนึ่ง บริษัทของเราอาจเข้าถึงข้อมูลส่วนตัวและเปิดเผยแก่บุคคลที่สามในกรณีดังต่อไปนี้

ในกรณีที่ได้รับความยินยอมจากผู้ใช้เอง
ในกรณีที่ได้รับการเรียกร้องให้เปิดเผยข้อมูลจากคำพิพากษา, คำตัดสิน และคำสั่งตามกฎหมายของศาลและองค์กรบริหารต่างๆ เป็นต้น
ในกรณีที่จำเป็นต้องใช้มาตรการการจัดการเพื่อป้องกันการรุกรานและป้องกันสิทธิและทรัพย์สินของบริษัทของเรา
ในกรณีที่จำเป็นต้องปกป้องชีวิตร่างกายหรือทรัพย์สินของ บริษัทของเรา ลูกค้า หรือบุคคลทั่วไปอื่น ๆ และเป็นการยากที่จะได้รับความยินยอมจากผู้ใช้
ในกรณีที่จำเป็นอย่างยิ่งสำหรับการยกระดับสาธารณสุขและการส่งเสริมการพัฒนาสุขภาพของเด็กและเป็นการยากที่จะได้รับความยินยอมจากผู้ใช้
ในกรณีที่หน่วยงานระดับชาติหรือหน่วยงานของรัฐในประเทศหรือบุคคลที่ได้รับมอบหมายให้ร่วมมือในการดำเนินกิจการตามที่กฎหมายกำหนดและได้รับความยินยอมจากผู้ใช้ขัดขวางการปฏิบัติงานดังกล่าว เมื่อมีอันตรายอาจส่งผลต่อ
ในกรณีที่เปิดเผยและให้ข้อมูลในสภาพที่ไม่สามารถระบุตัวบุคคลผู้ใช้ด้วยข้อมูลทางสถิติได้

การจัดการข้อมูลส่วนบุคคล

บริษัทของเราจะเก็บรักษาความถูกต้องของข้อมูลส่วนบุคคลและจัดการข้อมูลนี้อย่างปลอดภัย
บริษัทของเราจะใช้มาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย การทำลาย การปลอมแปลง และการรั่วไหลของข้อมูลส่วนบุคคล
บริษัทของเราจะควบคุมข้อมูลส่วนบุคคลอย่างถูกต้องเหมาะสมผ่านการปรับปรุงระบบการจัดการและการฝึกอบรมของพนักงาน และใช้มาตรการป้องกันไม่ให้ข้อมูลสูญหาย ถูกทำลาย ถูกปลอมแปลง และรั่วไหล

การร้องขอให้แจ้ง, เปิดเผย, แก้ไข, ระงับใช้ และอื่นๆ โดยมีวัตถุประสงค์เพื่อใช้ข้อมูลส่วนบุคคล

ในกรณีที่บริษัทของเราได้รับคำขอเกี่ยวกับการเปิดเผย การแก้ไข การเพิ่ม การลบ การระงับหรือการยกเลิกการใช้งาน การระงับการให้ข้อมูลแก่บุคคลที่สาม และการแจ้งวัตถุประสงค์การใช้งานเกี่ยวกับข้อมูลส่วนบุคคลจากตัวลูกค้าเอง เมื่อยืนยันได้ว่าผู้ยื่นคำขอเป็นตัวจริงแล้ว บริษัทของเราจะดำเนินการด้วยความสุจริตและรวดเร็วตามบทบัญญัติแห่งพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล

อนึ่ง ในกรณีที่คำขอไม่เป็นไปตามข้อกำหนดในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือหากมีเหตุผลที่สามารถยอมรับการปฏิเสธการเปิดเผยข้อมูลอื่นๆ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายและข้อบังคับอื่นๆ บริษัทของเราก็อาจไม่สามารถปฏิบัติตามคำขอได้

นอกจากนี้ ในการร้องขอให้เปิดเผยข้อมูลและอื่นๆ ลูกค้าไม่จำเป็นต้องชำระค่าธรรมเนียมให้กับบริษัทของเรา แต่อย่างไรก็ตาม ในส่วนของค่าใช้จ่ายที่เกิดขึ้นตอนที่ลูกค้าจัดเตรียมเอกสารเพื่อยืนยันตัวตนตามข้อกำหนดข้างต้น รวมถึงค่าบริการด้านการสื่อสารและค่าขนส่งที่ลูกค้าจะส่งมาถึงบริษัทของเรา จะถือเป็นความรับผิดชอบของลูกค้าเอง

การเปลี่ยนแปลงแก้ไขนโยบายความเป็นส่วนตัว: บริษัทของเราจะทบทวนสถานะการบังคับใช้เกี่ยวกับการจัดการข้อมูลส่วนบุคคลตามที่เห็นสมควร และจะพยายามปรับปรุงอย่างต่อเนื่อง และเราอาจเปลี่ยนแปลงนโยบายนี้ตามความจำเป็น นโยบายความเป็นส่วนตัวที่มีการเปลี่ยนแปลงจะมีการประกาศเมื่อถึงคราวจำเป็นบนเว็บไซต์นี้