ผู้เชี่ยวชาญเตือน ‘แฮ็กเกอร์’ พุ่งเป้า ‘พนักงาน’ มากกว่าโจมตีองค์กรโดยตรง

ผู้เชี่ยวชาญในการประชุมอุตสาหกรรมความปลอดภัยทางไซเบอร์ RSA ได้เปิดเผยว่า โลกของความปลอดภัยทางไซเบอร์กำลังเผชิญกับภัยคุกคามใหม่ ๆ นอกเหนือจากการโจมตีด้วยแรนซัมแวร์แบบกำหนดเป้าหมาย โดยตอนนี้แฮ็กเกอร์พุ่งเป้าไปที่ ตัวพนักงาน มากกว่าจะเจาะองค์กรตรง ๆ และต้องการจะล้วงข้อมูลส่วนตัวของพนักงานและลูกค้ามาขู่เรียกค่าไถ่

Joe McMann หัวหน้าฝ่ายบริการความปลอดภัยทางไซเบอร์ของ Binary Defense ซึ่งเป็นผู้ให้บริการโซลูชันความปลอดภัยทางไซเบอร์ กล่าวว่า สมรภูมิใหม่ของการโจมตีทางไซเบอร์ คือ การขู่กรรโชกข้อมูล และบริษัทต่าง ๆ จำเป็นต้องเปลี่ยนเกียร์เพื่อเผชิญกับภัยคุกคาม

ในอดีต ผู้โจมตีแรนซัมแวร์จะเข้ารหัสหรือลบข้อมูลที่เป็นกรรมสิทธิ์ขององค์กร และขอค่าไถ่ก่อนที่จะยกเลิกการโจมตี แต่ปัจจุบัน แฮ็กเกอร์กำลังมุ่งเน้นไปที่การขโมยข้อมูลลูกค้าหรือพนักงานและขู่ว่าจะปล่อยออกสู่สาธารณะ เพื่อทำให้องค์กรเสียชื่อเสียง ซึ่งจะส่งผลกระทบต่อความน่าเชื่อถือของอค์กร รวมถึงยังผิดกฎหมายข้อบังคับว่าด้วยเรื่องการปกป้องข้อมูลส่วนบุคคลด้วย

International Data Corporation คาดการณ์ว่าบริษัทต่าง ๆ จะใช้เงินกว่219,000 ล้านดอลลาร์ ในการรักษาความปลอดภัยทางไซเบอร์ในปีนี้ อย่างไรก็ตาม แฮ็กเกอร์ได้เปลี่ยนกลยุทธ์หลังจากการโจมตีของแรนซัมแวร์ โดย คริส เพียร์สัน ผู้ก่อตั้งและซีอีโอของ Black Cloak ซึ่งเป็นบริษัทปกป้องผู้บริหารทางดิจิทัล กล่าวว่า เนื่องจากบริษัทต่าง ๆ เข้าใจถึงภัยคุกคามที่เพิ่มขึ้น ทำให้แฮ็กเกอร์ มุ่งเป้าไปที่พนักงาน โดยเฉพาะในระดับ ผู้บริหาร นอกระบบรักษาความปลอดภัยขององค์กร โดยเล็งไปที่อุปกรณ์ส่วนบุคคลมากขึ้น

เมื่อทุกบริษัทเปลี่ยนไปสู่โลกดิจิทัล พนักงานก็เริ่มทำงานบนอุปกรณ์ส่วนตัว โดยทันทีที่ใช้อุปกรณ์ส่วนตัวหรือเครือข่ายในบ้านที่แชร์กับอุปกรณ์ขององค์กร การโจมตีจะเปลี่ยนไป เนื่องจาก Digital Footprint หรือ ประวัติทางพฤติกรรมที่ผู้ใช้งานกระทำในโลกอินเทอร์เน็ตนั้นยังหาได้ง่าย โดย 40% ของที่อยู่ IP ที่บ้านของผู้บริหารองค์กรนั้นเปิดเผยต่อสาธารณะในเว็บไซต์ที่ให้ข้อมูลต่าง ๆ

ทั้งนี้ McMann ให้คำแนะนำว่า บริษัทต่าง ๆ ควรให้ความสำคัญกับการแก้ไขง่าย ๆ ก่อน เพราะอาชญากรจะลองใช้วิธีการแบบเก่าก่อน เช่น แรนซัมแวร์ ก่อนที่จะย้ายไปใช้วิธีใหม่ และการฝึกซ้อมสำหรับการโจมตีทางไซเบอร์มีความสำคัญพอ ๆ กับการฝึกฉุกเฉินอื่น ๆ

Source