ในปัจจุบัน เรามักจะพบผู้ไม่ประสงค์ดี (Attacker) ทำการโจมตีหรือขโมยข้อมูลด้วยวิธีหลอกลวงทางอิเล็กทรอนิกส์เพิ่มขึ้น ซึ่งทำการปลอมแปลงตัวเองเป็นหน่วยงานภาครัฐ เอกชน หรือเป็นผู้ให้บริการด้านความมั่นคงปลอดภัยและบริการต่าง ๆ มากมาย เช่น บริการขนส่งเอกชนหรือรัฐ หน่วยงานกำกับดูแลต่าง ๆ เพื่อให้เป้าหมายหลงเชื่อและตกใจกลัวจากการกระทำความผิดต่าง ๆ เพื่อให้ได้ข้อมูลสำคัญของเหยื่อเอามาทำประโยชน์ต่าง ๆ หรือสร้างความเสียหายให้กับผู้ที่ตกเป็นเหยื่อ
ในปัจจุบัน เรามักจะพบผู้ไม่ประสงค์ดี (Attacker) ทำการโจมตีหรือขโมยข้อมูลด้วยวิธีหลอกลวงทางอิเล็กทรอนิกส์เพิ่มขึ้น ซึ่งทำการปลอมแปลงตัวเองเป็นหน่วยงานภาครัฐ เอกชน หรือเป็นผู้ให้บริการด้านความมั่นคงปลอดภัยและบริการต่าง ๆ มากมาย เช่น บริการขนส่งเอกชนหรือรัฐ หน่วยงานกำกับดูแลต่าง ๆ เพื่อให้เป้าหมายหลงเชื่อและตกใจกลัวจากการกระทำความผิดต่าง ๆ เพื่อให้ได้ข้อมูลสำคัญของเหยื่อเอามาทำประโยชน์ต่าง ๆ หรือสร้างความเสียหายให้กับผู้ที่ตกเป็นเหยื่อ
ดังนั้นการมุ่งเป้าหมายและความสนใจไปที่บุคคลทั่วไปหรือพนักงานในองค์กรจึงเป็นที่นิยมมากขึ้น หนึ่งในวิธีที่ผู้ไม่ประสงค์ดีใช้กันเพื่อขโมยข้อมูลส่วนตัวหรือรหัสผ่านต่างๆ คือ การทำฟิชชิ่ง (Phishing) เนื่องจากวิธีการทำนั้นทำได้ง่าย รวดเร็ว อีกทั้งยังสามารถส่งให้ไปหลายๆ คนได้ในคราวเดียวกันและยังสามารถได้ข้อมูลส่วนตัว (ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ วัน เดือน ปีเกิด) มาได้ง่ายอีกด้วย เช่น การส่งอีเมลเพื่อจูงใจในการได้ของรางวัลต่างๆ โดยให้กรอกข้อมูลส่วนบุคคลเพื่อลุ้นรับรางวัลหรือการส่งอีเมลเพื่อทำให้แก้ไขรหัสผ่านของแอพพลิเคชั่นต่าง ๆ ซึ่งมีการจำลองปลายทางให้เหมือนต้นฉบับรอไว้อยู่แล้ว ทำให้ปัญหาเหล่านี้เป็นสิ่งท้าทายยิ่งขึ้นสำหรับองค์กรและทีมรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร (IT Security) ในการแก้ไขปัญหาและสร้างความตระหนักรู้และวิธีการสังเกตุถึงวิธีการหลอกลวงประเภทนี้
ฟิชชิ่ง (Phishing) คืออะไร ?
ฟิชชิ่งบนโลกอินเทอร์เน็ต คือ การที่ผู้ไม่ประสงค์ดีทำการส่งอีเมลที่อาจจะมีการปลอมในส่วนของผู้ส่ง(Sender) โดเมนเนม (Domain Name) ที่อยู่ของเว็บไซต์ (URL) ซึ่งเนื้อหาส่วนใหญ่ภายในอีเมลจะเป็นการขอให้เหยื่อทำการใส่ข้อมูลส่วนตัว หรือ รหัสผ่าน เป็นต้น ยกตัวอย่างเช่น
- คุณได้รับคูปองของขวัญ กดรับภายใน 2 ชั่วโมง (โดยการกรอกชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ หมายเลขบัตรประชน เป็นต้น)
- คลิกที่นี่ เพื่อรับของขวัญฟรี-ข้อเสนอใช้ได้เฉพาะวันนี้เท่านั้น !
- รหัสผ่านของคุณกำลังหมดอายุ ! ภายใน 2 ชั่วโมง
แล้วองค์กรจะทำอย่างไร?
การป้องกันและสร้างความตระหนักรู้ความด้านความมั่นคงปลอดภัยข้อมูลและการใช้งานอีเมลอย่างปลอดภัยจึงเป็นสิ่งสำคัญที่องค์กรและทีมความมั่นคงปลอดภัยสารสนเทศ (IT Security) ขององค์กร ต้องดำเนินการจัดเตรียมวิธีการสื่อสารและให้ความรู้ต่าง ๆ กับพนักงานภายในองค์กร ซึ่งรวมถึงการเฝ้าระวังการใช้งานอีเมลอย่างใกล้ชิด โดยวิธีการที่ง่ายและได้ผลรวดเร็วที่สุดสำหรับในการพัฒนาและเสริมสร้างความรู้ให้กับพนักงานภายในองค์กร คือการจำลองการโจมตี โดยใช้วิธี Phishing Simulation นั่นเอง เพื่อเป็นการทดสอบความรู้ และความตระหนักเกี่ยวกับภัยคุกคามทางไซเบอร์และรวมถึงวิธีการตอบสนองต่อการจัดการอีเมลที่มีเนื้อหาที่ส่งผลกระทบต่อการตัดสินใจของบุคคลนั้น ๆ เพื่อดูว่าพนักงานในองค์กรจะจัดการกับอีเมลดังกล่าวได้อย่างไรนั้น ซึ่งจะมีการวิเคราะห์พฤติกรรมของเหตุการณ์นี้อยู่ 3 ลักษณะดังนี้
- ผู้ได้รับอีเมลที่มีการเปิดอีเมลอ่านนั้นหรือไม่
- ผู้ได้รับอีเมลมีการคลิกเปิดลิงก์แนบมาของอีเมลหรือไม่
- ผู้ได้รับอีเมลมีการกรอกข้อมูลส่วนบุคคลกลับมายังผู้ไม่ประสงค์ดีหรือไม่
จากข้อมูลข้างต้นนั้น เราสามารถนำข้อมูลที่ได้มาวิเคราะห์ โดยอาศัยข้อมูลสถิติที่ได้จากพฤติกรรมของเหตุการณ์ ที่แสดงให้เห็นถึงความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ขององค์กรดีมาก-น้อยเพียงใด และหลังจากนั้นองค์กรยังสามารถจัดอบรมหรือทำแบบทดสอบเพื่อเพิ่มความรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ของพนักงานในองค์กรได้อีกด้วย
ซึ่งจากเหตุการณ์ข้างต้น ที่ได้มีการอธิบายและสรุปออกมาแล้วเราสามารถรับรู้ถึงประโยชน์ของการทดสอบการจำลองเหตุการณ์ภัยคุกคามประเภทนี้มีประโยชน์ต่อองค์กรในด้านใดบ้าง
- ด้านประเมินความเสี่ยง
การทดสอบยังสามารถเป็นการประเมินความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร เพื่อช่วยในการสาเหตุและผลกระทบของเหตุการณ์ของภัยคุกคามได้มากขึ้น ซึ่งอาจรวมถึงวิธีการจัดการต่าง ๆ เช่น การพัฒนาคน กระบวนการเทคโนโลยีได้เพิ่มเติม
2. ด้านการปฏิบัติตามกฎระเบียบ ข้อบังคับและการฝึกอบรม
ช่วยให้องค์กรสามารถจัดระเบียบหรือนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยข้อมูลและความเป็นส่วนตัว เพื่อพัฒนาให้พนักงานสามารถปฏิบัติในการใช้งานระบบสารสนเทศและการเข้าถึงข้อมูลต่าง ๆ ขององค์กรได้อย่างปลอดภัย
3. การรายงานภัยคุกคามที่เพิ่มขึ้น
สร้างความเข้าใจและความรู้ที่มากพอสามารถช่วยให้พนักงานสามารถเข้าใจและปฏิบัติงานได้อย่างปลอดภัย เมื่อพนักงานพบเหตุการณ์จริง พนักงานสามารถป้องกันตัวเองเบื้องต้นได้และยังสามารถรายงานหรือแจ้งข้อมูลกลับมายังหน่วยงานที่รับผิดชอบเพื่อช่วยเหลือหรือตรวจสอบก่อนได้
4. การโจมตีที่ลดลง
เมื่อพนักงานในองค์กรมีความตะหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ พนักงานก็จะสามารถรับมือและการรายงานเหตุการณ์ผิดปกติเหล่านี้ ให้กับผู้เกี่ยวข้องตรวจสอบ ซึ่งสามารถทำให้เหตุการณ์เหล่านี้จะลดน้อยลง
สุดท้าย การจำลองสถานการณ์หรือเหตุการณ์ภัยคุกคามเกี่ยวกับการหลอกลวงนั้น เป็นอีกหนึ่งช่องทางที่ช่วยให้พนักงานและองค์กรมีความรู้สำหรับปกป้องข้อมูลสำคัญของตนเองจากผู้ไม่ประสงค์ดี และยังช่วยให้องค์กรมีการพัฒนา ปรับปรุงกระบวนการทำงานและการพัฒนาความรู้ความเข้าใจต่าง ๆ ด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยให้มีความสำคัญภายในองค์กรเกิดขึ้น เพราะภัยคุกคามต่าง ๆ ไม่เคยรอที่จะขโมยข้อมูลต่าง ๆ ของคนเราและองค์กร ดังนั้นองค์กรจะไม่สามารถป้องกันเหตุการณ์เหล่านี้ได้หากปราศจากการพัฒนาและเรียนของบุคลากรในองค์กร ดังคำกล่าว “การรักษาความมั่นคงปลอดภัยจะไม่สมบูรณ์หากไม่มีคุณ” หรือ “Security is not complete without you”
