ผลสำรวจภัยคุกคามจากบุคคลภายในธุรกิจบริการด้านการเงินและไอทีชี้ พฤติกรรมของพนักงานก่อให้เกิดความเสี่ยงต่อข้อมูลสำคัญทางธุรกิจ

24 Oct 2008

กรุงเทพฯ--24 ต.ค.--พีซี แอนด์ แอสโซซิเอทส์ คอนซัลติ้ง

ผลการศึกษาล่าสุดจากอาร์เอสเอเผยปัญหาของบุคคลภายในที่ต้องเลือกระหว่างนโยบายความปลอดภัย การเชื่อมต่อระยะไกลตามบทบาทผู้ใช้ และการทำงานนอกสถานที่

กว่า 50% หลบเลี่ยงนโยบายความปลอดภัยไอทีเพื่อเพิ่มความสะดวกในการทำงาน

อาร์เอสเอ (RSA) กลุ่มธุรกิจการรักษาความปลอดภัยของอีเอ็มซี (NYSE: EMC) เปิดเผยผลการสำรวจล่าสุดเกี่ยวกับภัยคุกคามจากบุคคลภายในองค์กร (Insider Threat) จากการสัมภาษณ์ผู้เข้าร่วมกิจกรรมสำคัญๆ ในภาคอุตสาหกรรมที่จัดขึ้นในอเมริกาเหนือและละตินอเมริกาในช่วงฤดูใบไม้ผลิและฤดูร้อน ปี 2551

การสำรวจความคิดเห็นในครั้งนี้มีผู้เข้าร่วม 417 คน รวมถึงตัวแทนจากองค์กรต่างๆ ที่เข้าร่วมการประชุม RSA Conference ซึ่งเปิดเผยเกี่ยวกับพฤติกรรมและทัศนคติเรื่องความปลอดภัยที่เกี่ยวเนื่องกับการทำงาน ทั้งนี้ผู้ตอบแบบสอบถามทำงานในหลากหลายอุตสาหกรรม โดยมุ่งเน้นที่ภาคธุรกิจการเงินและเทคโนโลยีเป็นหลัก เกือบครึ่งหนึ่งของหน้าที่การงานของผู้ตอบแบบสอบถามเกี่ยวเนื่องกับเทคโนโลยีสารสนเทศ ในขณะที่ปัจจุบันมีการรายงานเกี่ยวกับการละเมิดนโยบายเรื่องข้อมูลอย่างกว้างขวาง ผลการสำรวจในครั้งนี้ชี้ให้เห็นว่าแม้กระทั่งบุคคลที่ความรู้ในเรื่องนี้เป็นอย่างดีก็ยังมีพฤติกรรมที่อาจก่อให้เกิดความเสี่ยงต่อข้อมูลสำคัญๆ ทางธุรกิจ

ผู้ตอบแบบสอบถามมีคุณสมบัติดังนี้:

46% ทำงานในธุรกิจบริการด้านการเงิน

20% ทำงานในธุรกิจเทคโนโลยี

46% เป็นผู้เชี่ยวชาญด้านไอที

11% เป็นผู้บริหาร

54% ทำงานในบริษัทขนาดใหญ่ที่มีพนักงานมากกว่า 5,000 คน

บุคลากรมักจะดำเนินการตามที่ตนเองต้องการ แม้ว่าจะรับทราบถึงแนวทางการรักษาความปลอดภัย

ผลการสำรวจความคิดเห็นระบุว่าพนักงานรับทราบถึงข้อจำกัดที่กำหนดโดยฝ่ายไอที แต่หลายคนก็มักจะหลบเลี่ยงมาตรการควบคุมดังกล่าวเพื่อที่จะทำงานด้วยวิธีที่สะดวกและรวดเร็ว

จากผลการสำรวจความคิดเห็น พบว่า:

94% มีความคุ้นเคยกับนโยบายการรักษาความปลอดภัยด้านไอทีขององค์กร แต่ 53% รู้สึกว่าจำเป็นที่จะต้องปฏิบัติตามนโยบายการรักษาความปลอดภัยด้านไอทีเพื่อที่จะทำงานให้เสร็จสมบูรณ์

จากการตอบคำถามที่แยกต่างหาก 64% ส่งเอกสารงานไปยังอีเมลแอดเดรสส่วนตัวเป็นประจำหรือบางครั้ง เพื่อให้สามารถเข้าถึงเอกสารดังกล่าวและทำงานได้จากที่บ้าน

จากการสำรวจความคิดเห็นของผู้เข้าร่วมกิจกรรมในสหรัฐฯ ตัวเลขดังกล่าวลดลงเหลือ 50% แต่กลับเพิ่มขึ้นเป็น 62% สำหรับการสำรวจที่เม็กซิโก และ 71% ที่บราซิล

15% เปิดประตูห้องทำงานทิ้งไว้ ซึ่งอาจเปิดโอกาสให้บุคคลอื่นในที่ทำงานเข้ามาได้โดยที่เขาไม่ทราบ

จากการสำรวจความคิดเห็นของผู้เข้าร่วมกิจกรรมในบราซิล พบตัวเลขที่ดีที่สุดที่ 7% ตามมาด้วย 16% ที่เม็กซิโก แต่ในทางตรงกันข้าม ผลการสำรวจจากสหรัฐฯ เผยว่าเกือบหนึ่งในสามของบุคคลภายใน (31%) เปิดโอกาสให้คนแปลกหน้าเข้าไปในสถานที่ทำงาน

เมื่อบุคคลภายในละเลยนโยบายการรักษาความปลอดภัย ข้อมูลสำคัญๆ ก็อาจถูกเปิดเผย และทำให้องค์กรธุรกิจและลูกค้า โดยเฉพาะอย่างยิ่งผู้บริโภค ต้องตกอยู่ในภาวะเสี่ยงโดยไม่จำเป็น องค์กรต่างๆ สามารถหลีกเลี่ยงความเสี่ยงนี้ได้อย่างเป็นรูปธรรมด้วยการพัฒนานโยบายการรักษาความปลอดภัยที่มุ่งเน้นข้อมูล ซึ่งสอดคล้องกับความจำเป็นและสิ่งที่เกิดขึ้นจริงในธุรกิจ วิธีนี้จะช่วยรักษาความครบถ้วนสมบูรณ์และความลับของข้อมูลตลอดอายุการใช้งานของข้อมูลนั้นๆ ไม่ว่าข้อมูลจะถูกเคลื่อนย้ายไปยังที่ใด ไม่ว่าใครจะเข้าถึงข้อมูลนั้น หรือข้อมูลถูกใช้งานอย่างไร กล่าวโดยสรุปก็คือ องค์กรต่างๆ ควรจะปรับใช้เทคโนโลยีการรักษาความปลอดภัยที่สะดวกมากขึ้น ไม่ซับซ้อน และมีการแบ่งเป็นระดับชั้นต่างๆ เพื่อลดปัจจัยที่จะทำให้พนักงานละเมิดกฎระเบียบและฝ่าฝืนนโยบายการรักษาความปลอดภัยของบริษัท

การเข้าถึงข้อมูลสำคัญในแบบระยะไกล: ไม่แน่นอน ปราศจากการคุ้มครอง

ในโลกไร้สายในปัจจุบัน ผลการสำรวจความคิดเห็นยืนยันว่าบรรดาพนักงานพึ่งพาการเข้าถึงข้อมูลของบริษัทผ่านการเชื่อมต่อระยะไกลในช่วงที่อยู่นอกสำนักงาน ไม่ว่าจะเป็นที่บ้านหรือพื้นที่สาธารณะ

จากผลการสำรวจความคิดเห็น พบว่า:

89% ดำเนินธุรกิจระยะไกลเป็นประจำหรือในบางครั้ง โดยเชื่อมต่อผ่านเครือข่ายส่วนตัวแบบเสมือน (Virtual Private Network - VPN) หรือเว็บเมล

58% เข้าถึงอีเมลของบริษัทโดยใช้คอมพิวเตอร์สาธารณะเป็นประจำหรือในบางครั้ง และ 65% เข้าถึงอีเมลของบริษัทโดยใช้ฮอตสปอตไร้สายสาธารณะเป็นประจำหรือในบางครั้ง

การเข้าถึงข้อมูลสำคัญๆ ผ่านการเชื่อมต่อระยะไกลจำเป็นต้องอาศัยวิธีการรับรองความถูกต้องที่เข้มงวดกว่าการใช้ชื่อผู้ใช้และรหัสผ่าน เพื่อที่จะแก้ไขปัญหานี้ องค์กรต่างๆ สามารถรักษาความยืดหยุ่นและความสะดวกในการเข้าถึงระยะไกลสำหรับเครือข่าย VPN และเว็บเมล ด้วยการจัดหารหัสผ่านแบบใช้ครั้งเดียวผ่านทางโทเค็น (Token) แบบฮาร์ดแวร์หรือซอฟต์แวร์ ซึ่งสามารถใช้งานได้อย่างง่ายดายบนอุปกรณ์พกพา เช่น สมาร์ทโฟน BlackBerry?

ข้อมูลอาจตกเป็นเป้าหมายเคลื่อนที่ และข้อมูลพกพามักจะถูกจัดการอย่างไม่เหมาะสม

ผลการสำรวจความคิดเห็นชี้ว่า ในการเพิ่มประสิทธิภาพการทำงานสูงสุดให้แก่พนักงาน จะต้องสามารถเคลื่อนย้ายข้อมูลได้โดยอิสระ แต่กระนั้น การที่พนักงานทำงานนอกสถานที่มากขึ้นส่งผลให้เกิดความรับผิดชอบที่เพิ่มมากขึ้นในการปกป้องข้อมูลที่อยู่ภายนอกองค์กร

จากผลการสำรวจความคิดเห็น พบว่า:

หนึ่งในสิบของผู้ตอบแบบสอบถามเคยทำเครื่องแลปท็อป สมาร์ทโฟน และ/หรือแฟลชไดรฟ์ USB สูญหาย โดยที่อุปกรณ์ดังกล่าวเก็บข้อมูลบริษัทเอาไว้

จากการสำรวจความคิดเห็นของผู้เข้าร่วมกิจกรรมในเม็กซิโก พบความเสี่ยงที่ข้อมูลของบริษัทอาจถูกเปิดเผยมากที่สุด โดยผู้ตอบแบบสอบถาม 29% ยืนยันว่าตนเองเคยทำเครื่องแลปท็อป สมาร์ทโฟน และ/หรือแฟลชไดรฟ์ USB สูญหาย ส่วนในสหรัฐฯ ตัวเลขดังกล่าวอยู่ในระดับต่ำสุดที่ 5%

79% ออกจากสถานที่ทำงานโดยถืออุปกรณ์พกพาที่มีข้อมูลสำคัญเกี่ยวกับงานที่ทำอยู่ เช่น เครื่องแลปท็อป สมาร์ทโฟน และ/หรือแฟลชไดรฟ์ USB เป็นประจำหรือในบางครั้ง

ถึงแม้ระบบประมวลผลแบบพกพาถือเป็นปัจจัยสำคัญต่อความคล่องตัวในการดำเนินธุรกิจ แต่ข้อมูลที่ไม่ได้รับการปกป้อง ไม่ว่าจะถูกจัดเก็บไว้ที่ใดก็ตาม ย่อมจะก่อให้เกิดความเสี่ยงเพิ่มมากขึ้น แนวทางที่ใช้นโยบายสำหรับการคุ้มครองข้อมูลจะช่วยให้องค์กรต่างๆ สามารถจำแนกประเภทของข้อมูลสำคัญๆ ทั้งยังเพิ่มความสะดวกในการค้นหาข้อมูลทั่วทั้งองค์กร การบังคับใช้มาตรการควบคุม รวมถึงการรายงานและตรวจสอบการปฏิบัติตามนโยบาย

“การป้องกันข้อมูลสูญหายนับเป็นเรื่องสำคัญสำหรับบุคลากรที่มีหน้าที่ดูแลรักษาเครือข่ายและข้อมูลของบริษัท อย่างไรก็ตาม ปัจจุบันมีการพกพาข้อมูลกันอย่างกว้างขวางมากขึ้น ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องกำหนดนโยบายและมาตรการควบคุมที่ชัดเจนในการปกป้องข้อมูล แทนที่จะพึ่งพาการดำเนินการตามอำเภอใจของพนักงาน” ทอม คอร์น รองประธานฝ่ายรักษาความปลอดภัยสารสนเทศของอาร์เอสเอ กล่าว “วิธีนี้จะช่วยให้องค์กรต่างๆ สามารถป้องกันไม่ให้มีการบันทึกข้อมูลสำคัญไว้ในแฟลชไดรฟ์ USB ตั้งแต่แรก หรืออย่างน้อยก็จะต้องมีการเข้ารหัสข้อมูลอย่างเหมาะสมเสียก่อน”

จำกัดการเข้าถึงข้อมูลให้แก่บุคคลที่เกี่ยวข้องเท่านั้น

องค์กรต่างๆ มีการเปลี่ยนแปลงอย่างไม่หยุดนิ่ง และบุคลากรมีการปรับเปลี่ยนบทบาทอย่างต่อเนื่อง เช่น พนักงานประจำย้ายไปทำงานที่แผนกอื่น หรือที่ปรึกษาภายนอกย้ายออกไปหลังจากที่สัญญาโครงการสิ้นสุดลง อย่างไรก็ดี ในบางครั้ง การกำกับดูแลเครือข่ายขององค์กรอาจไม่สามารถก้าวทันความเปลี่ยนแปลงดังกล่าวได้

จากผลการสำรวจความคิดเห็น พบว่า:

43% ได้เปลี่ยนตำแหน่งงานภายในองค์กร แต่ยังคงสามารถเข้าถึงบัญชี/ทรัพยากรที่ไม่จำเป็นต้องใช้ในการทำงานอีกต่อไป

การสำรวจความคิดเห็นในเม็กซิโกรายงานผลลัพธ์ที่ดีที่สุดที่ 30% ตามมาด้วยบราซิลที่ 42% อย่างไรก็ตาม ที่สหรัฐฯ หนึ่งในสองของผู้ตอบแบบสอบถาม (50%) ยังคงสามารถเข้าถึงส่วนที่ไม่จำเป็นในระบบขององค์กร

79% เปิดเผยว่าบริษัทของตนเองว่าจ้างพนักงานชั่วคราวและ/หรือผู้รับเหมาที่จำเป็นต้องเข้าใช้ข้อมูลและระบบสำคัญๆ ขององค์กร

37% เคยเข้าสู่พื้นที่บางส่วนของเครือข่ายองค์กรที่พวกเขาเชื่อว่าตัวเองไม่ควรจะเข้าถึงได้

ควรจะให้สิทธิ์การเข้าถึงข้อมูลที่มีความสำคัญอย่างยิ่งแก่บุคคลที่จำเป็นต้องใช้ข้อมูลดังกล่าวเท่านั้น และในบางสายงาน จำเป็นที่จะต้องเข้าถึงพื้นที่ที่เฉพาะเจาะจงอย่างมากภายในโครงสร้างพื้นฐานสารสนเทศ องค์กรต่างๆ จะสามารถจัดการผู้ใช้จำนวนมาก พร้อมทั้งบังคับใช้นโยบายการรักษาความปลอดภัยแบบรวมศูนย์ตามบทบาทของผู้ใช้ ซึ่งรองรับการปฏิบัติตามกฎระเบียบ คุ้มครองทรัพยากรขององค์กรเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และเพิ่มความสะดวกให้แก่ผู้ใช้ในการทำงานอย่างถูกต้องเหมาะสม

“ผลการสำรวจความคิดเห็นเปิดเผยว่า องค์กรธุรกิจจำเป็นที่จะต้องใช้นโยบายรักษาความปลอดภัยสารสนเทศและมาตรการควบคุมอย่างเข้มงวด โดยมุ่งเน้นการปกป้องการดำเนินการในแต่ละวันของบุคคลภายในที่มีเจตนาบริสุทธิ์ ควบคู่ไปกับนโยบายและมาตรการที่ออกแบบเป็นพิเศษเพื่อรับมือกับบุคคลที่มุ่งร้าย” คริสโตเฟอร์ ยัง รองประธานอาวุโสของอาร์เอสเอ กล่าว “เป็นที่ชัดเจนว่าองค์กรธุรกิจจำเป็นที่จะต้องปรับใช้แนวทางคุ้มครองความปลอดภัยที่แบ่งเป็นหลายๆ ระดับชั้น เพื่อหลีกเลี่ยงความเสี่ยงจากบุคคลภายในและปกป้องข้อมูลให้ปลอดภัย ด้วยเหตุนี้ จึงจำเป็นอย่างมากที่องค์กรจะต้องทราบว่ามีใครบ้างที่เข้าถึงข้อมูลของคุณ และจะต้องควบคุมการเข้าถึงผ่านทางนโยบาย กำกับดูแลกิจกรรมที่น่าสงสัยเพื่อตรวจสอบตัวตนของผู้ใช้ กำหนดและบังคับใช้นโยบายและมาตรการคุ้มครองข้อมูล และแปลงข้อมูลเหตุการณ์แบบเรียลไทม์ให้กลายเป็นข้อมูลข่าวกรองเรื่องการปฏิบัติตามกฎระเบียบและการรักษาความปลอดภัยที่สามารถนำไปใช้ปฏิบัติได้จริง”

สำหรับรายงานฉบับสมบูรณ์สำหรับผลการสำรวจความคิดเห็นประจำปี 2551 และคำแนะนำที่เกี่ยวข้อง โปรดดู “ผลการสำรวจความคิดเห็นเกี่ยวกับภัยคุกคามจากบุคคลภายในองค์กร: พนักงานยอมรับว่าพฤติกรรมในแต่ละวันก่อให้เกิดความเสี่ยงต่อข้อมูลสำคัญ” (Insider Threat Survey: Workers Admit to Everyday Behavior That Puts Sensitive Information at Risk) ประจำปี 2551

ระเบียบวิธีที่ใช้ในการสำรวจความคิดเห็น

การสำรวจความคิดเห็นเกี่ยวกับภัยคุกคามจากบุคคลภายในองค์กรประจำปี 2551 ที่จัดทำโดยอาร์เอสเอ ซึ่งเป็นกลุ่มธุรกิจการรักษาความปลอดภัยของอีเอ็มซี มีผู้ตอบแบบสอบถาม 417 คน โดยเป็นผู้เข้าร่วมกิจกรรมที่สำคัญ 3 กิจกรรม ซึ่งจัดขึ้นใน 3 ประเทศในภูมิภาคอเมริกาเหนือและละตินอเมริกา:

การประชุม RSA Conference ในสหรัฐฯ (7-11 เมษายน; ผู้ตอบแบบสอบถาม 134 คน)

การสัมมนาเรื่อง Demystifying the Payment Card Industry Standard: Routes to PCI Compliance ที่เม็กซิโกซิตี้ (28 พฤษภาคม; ผู้ตอบแบบสอบถาม 44 คน)

งาน CIAB 2008 ในบราซิล (11-13 มิถุนายน; ผู้ตอบแบบสอบถาม 239 คน)

ผู้ตอบแบบสำรวจความคิดเห็นเกี่ยวกับภัยคุกคามจากบุคคลภายใน ประจำเดือนพฤศจิกายน 2550 ของอาร์เอสเอ ได้แก่ เจ้าหน้าที่ของรัฐหรือพนักงานบริษัทเอกชนที่เดินไปมาตามท้องถนนในบอสตันและวอชิงตัน ดี.ซี. โดยผู้ตอบแบบสอบถามทั้งในช่วงปี 2550 และ 2551 เป็นพนักงาน ผู้รับเหมา คู่ค้า บุคคลภายนอก และที่ปรึกษา ซึ่งสามารถเข้าถึงทรัพยากรขององค์กรได้ทั้งในแบบกายภาพและ/หรือแบบโลจิคัล และแบบสอบถามแต่ละชุดมีคำถามที่เหมือนกัน

เกี่ยวกับอาร์เอสเอ

อาร์เอสเอ (RSA) กลุ่มธุรกิจการรักษาความปลอดภัยของอีเอ็มซี เป็นผู้นำด้านการจัดหาโซลูชั่นการรักษาความปลอดภัยสำหรับการขยายธุรกิจให้เติบโตอย่างรวดเร็ว ซึ่งช่วยให้องค์กรชั้นนำระดับโลกประสบความสำเร็จ โดยช่วยแก้ไขปัญหาท้าทายที่ซับซ้อนและมีความสำคัญอย่างยิ่งในเรื่องการรักษาความปลอดภัย แนวทางการรักษาความปลอดภัยโดยมุ่งเน้นข้อมูลของอาร์เอสเอช่วยรักษาความครบถ้วนสมบูรณ์และความลับของข้อมูลตลอดอายุการใช้งานของข้อมูลนั้นๆ ไม่ว่าข้อมูลจะถูกเคลื่อนย้ายไปยังที่ใด ไม่ว่าใครจะเข้าถึงข้อมูลนั้น หรือข้อมูลถูกใช้งานอย่างไร

อาร์เอสเอนำเสนอโซลูชั่นระดับชั้นนำของอุตสาหกรรมในการพิสูจน์ตัวตนผู้ใช้ (Identity) และการควบคุมการเข้าถึง การเข้ารหัสและการจัดการคีย์ การปฏิบัติตามกฎระเบียบและการจัดการข้อมูลความปลอดภัย และการป้องกันการปลอมแปลง โซลูชั่นเหล่านี้ช่วยสร้างความน่าเชื่อถือให้กับผู้ใช้หลายล้านราย รวมถึงธุรกรรมที่ผู้ใช้เหล่านี้ดำเนินการ และข้อมูลที่สร้างขึ้น หากต้องการข้อมูลเพิ่มเติม โปรดเยี่ยมชม www.RSA.com และ www.EMC.com

ข้อมูลเกี่ยวกับอีเอ็มซี

อีเอ็มซี คอร์ปอเรชั่น (NYSE: EMC) เป็นผู้นำระดับโลกในด้านการพัฒนาและจัดหาโซลูชั่นและเทคโนโลยีสารสนเทศ ซึ่งช่วยให้องค์กรทุกขนาดปรับปรุงขีดความสามารถในการแข่งขันและใช้ประโยชน์อย่างคุ้มค่าจากข้อมูลที่มีอยู่ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์และบริการของอีเอ็มซี คลิกไปที่ www.thailand.emc.com

สำหรับสื่อมวลชน สอบถามรายละเอียดเพิ่มเติมได้ที่

มงคล จุลโยธิน / อมีนา มาเจริญ

บริษัท พีซี แอนด์ แอสโซซิเอทส์ คอนซัลติ้ง จำกัด Tel: 0-2971-3711 Fax: 0-2521-9030

Email: [email protected]