แคสเปอร์สกี้แนะเที่ยวสงกรานต์ให้ปลอดภัยไซเบอร์ โชว์ 6 คำแนะนำสำหรับบุคคลและภาคธุรกิจ เพื่อลดความเสี่ยงข้อมูลรั่วไหลช่วงวันหยุดสงกรานต์
น.ส.เบญจมาศ จูฑาพิพัฒน์ ผู้จัดการประจำประเทศไทย แคสเปอร์สกี้ กล่าวว่า เมื่อวางแผนวันหยุดเรียบร้อยแล้ว หลายคนพร้อมที่จะออกเดินทางท่องเที่ยวสู่จุดหมายปลายทางพร้อมดีไวซ์ในมือ สถานการณ์ในอุดมคติคือการแยกธุรกิจและชีวิตส่วนตัวออกจากกัน แต่อย่างไรก็ตาม หากต้องนำดีไวซ์ที่เกี่ยวข้องกับงานติดตัวไปด้วย ขอแนะนำให้ระมัดระวังและคำนึงถึงหลักปฏิบัติด้านสุขอนามัยพื้นฐานทางดิจิทัล เพราะนี่ไม่ใช่แค่การปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการเงินของคุณเท่านั้น แต่ยังรวมถึงการปกป้องข้อมูลของบริษัทที่อยู่ภายใต้การดูแลของทุกคน
“นายจ้างควรมีบทบาทสำคัญในการให้การฝึกอบรม การเตือนความจำ และคำแนะนำที่รวดเร็วแก่พนักงานของตนอย่างสม่ำเสมอเมื่อต้องเผชิญกับภัยคุกคามทางไซเบอร์ สุขสันต์วันหยุดสงกรานต์นะคะ”
แคสเปอร์สกี้อธิบายว่า เมื่อพนักงานทำงานที่สำนักงานของนายจ้าง การปกป้องข้อมูลส่วนใหญ่เป็นความรับผิดชอบของฝ่ายไอที อย่างไรก็ตาม การเคลื่อนย้ายงานระหว่างที่ทำงาน บ้าน และสถานที่พักผ่อน เช่น แล็ปท็อป ไฟล์ และแฟลชไดรฟ์ ทำให้ข้อมูลของบริษัทมีความเสี่ยงที่จะถูกละเลยหรือแม้กระทั่งถูกขโมย
"ถ้าเป็นไปได้ให้แยกดีไวซ์สำหรับโฮมออฟฟิศและธุรกิจออกจากกัน เพราะนอกจากจะไม่ต้องแบกงานไปเที่ยวแล้ว ยังเป็นวิธีที่มีความปลอดภัยมากขึ้นด้วย หากคุณต้องเดินทางโดยระบบขนส่งสาธารณะ แนะนำให้ใช้กระเป๋าแล็ปท็อปที่แข็งแรงซึ่งมีตัวล็อกและซิป" แคสเปอร์สกี้ระบุในแถลงการณ์
แคสเปอร์สกี้ย้ำว่า ไม่ควรเก็บโน้ตบุ๊กพร้อมพาสเวิร์ดไว้ในกระเป๋าใส่แล็ปท็อป แนะนำให้ใช้ตัวจัดการพาสเวิร์ด (password manager) เพื่อสร้างและรักษาพาสเวิร์ดให้ปลอดภัย (การจำพาสเวิร์ดเอง 2-3 รายการนั้นปลอดภัยจริง และการใช้สัญลักษณ์ต่างๆ เพื่อช่วยจำนั้นช่วยได้มาก)
หากต้องพกพาดีไวซ์ติดตัวไปด้วยในวันหยุด ให้พิจารณาถึงความเสี่ยงที่จะสูญเสียดีไวซ์และเตรียมตัวให้พร้อม แคสเปอร์สกี้ชี้ว่า ควรพิจารณาการเข้ารหัสข้อมูลที่เป็นความลับเพื่อปกป้องข้อมูล สามารถใช้เครื่องมือเริ่มต้นในระบบปฏิบัติการได้ เช่น BitLocker ใน Windows และ FileVault ใน macOS หรือเครื่องมือของที่อื่นหากบริษัทอนุญาต ด้วยวิธีนี้ต่อให้มีใครขโมยแล็ปท็อปไปก็จะไม่สามารถเข้าถึงไฟล์ในเครื่องได้
"คุณสามารถหลีกเลี่ยงการจัดเก็บข้อมูลใดๆ ในเครื่องได้โดยการใช้บริการคลาวด์แทนที่จะใช้การเข้ารหัสทั้งดิสก์ ตัวอย่างเช่น Google Docs ที่กลายเป็นคู่แข่งสำคัญกับซอฟต์แวร์เพิ่มประสิทธิภาพการทำงานออฟไลน์แบบเดิม และควรตั้งค่าการเข้าถึงไฟล์อย่างปลอดภัย เมื่อใช้งานเอกสาร สเปรดชีต หรือเครื่องมืออื่นๆ" แคสเปอร์สกี้ระบุ
แคสเปอร์สกี้เชื่อว่าพื้นฐานที่สำคัญที่สุดคือใช้การรับรองความถูกต้องด้วย 2 ปัจจัย (two-factor authentication) เลือกบริการที่เสนอ 2FA เพื่อทำให้การละเมิดบัญชียากมากขึ้น และไม่ควรเก็บข้อมูลที่เป็นความลับในคลาวด์
สำหรับข้อมูลที่ละเอียดอ่อนบนดีไวซ์ส่วนบุคคล แคสเปอร์สกี้อธิบายว่า พนักงานจะรู้สึกปลอดภัยหากบริษัทมีแผนงาน BYOD ที่มั่นคง และพนักงานต้องตระหนักถึงความเสี่ยงในการทำงานจากดีไวซ์ส่วนบุคคล มิฉะนั้น หากเกิดเหตุการณ์วิกฤตในช่วงเทศกาลวันหยุด อาจเป็นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ซึ่งพนักงานจำเป็นจัดการเมื่ออยู่ไกลจากที่ทำงาน หรือแม้แต่ที่บ้าน
สิ่งสำคัญอีกเรื่องคือ หลายบริษัทใช้โปรแกรมสื่อสารผ่านโมบายดีไวซ์สำหรับธุรกิจโดยเฉพาะ พนักงานมักจะบันทึกข้อมูลติดต่อของเพื่อนร่วมงานและลูกค้าไว้ในดีไวซ์ของตัวเอง ขณะที่ดีไวซ์บางอย่างยังเก็บการสื่อสารด้วยเสียง สมาร์ทโฟนบางรุ่นมีคุณสมบัติในตัวเพื่อบันทึกการสนทนาทางโทรศัพท์โดยอัตโนมัติ และเจ้าของดีไวซ์สามารถใช้แอปพลิเคชันนอกบริษัทได้อีก
สำหรับในช่วงวันหยุด ผู้คนจะผ่อนคลายมากขึ้นและใส่ใจในรายละเอียดน้อยลงกว่าที่ควร ซึ่งรวมถึงสมาร์ทโฟนและแท็บเล็ตด้วย โอกาสสูญเสียดีไวซ์ล้ำค่ามีสูงมาก ดีไวซ์ที่ถูกขโมยหรือสูญหายนั้นมักจะถูกล้างข้อมูลก่อนที่จะขายต่อ หากผู้โจมตีทางไซเบอร์สามารถเข้าถึงข้อมูลที่มีค่าโดยไม่ต้องหยิบสมาร์ทโฟนออกจากกระเป๋าของเจ้าของ พนักงานที่ไปเที่ยวพักผ่อนหลายคนใช้ Wi-Fi สาธารณะ ซึ่งมีความสะดวกแต่มีความเสี่ยงมากกว่า อาชญากรไซเบอร์สามารถตรวจสอบและดักสกัดข้อมูลได้ เช่นเดียวกับที่ชาร์จ USB ที่สนามบินและสถานที่สาธารณะอื่นๆ อาชญากรไซเบอร์สามารถใช้เพื่อขโมยข้อมูลจากดีไวซ์และแพร่ซอฟต์แวร์ที่เป็นอันตราย เช่น สปายแวร์
หากมองถึงผลกระทบที่อาจเกิดขึ้น แคสเปอร์สกี้ชี้ว่าความลับทางการค้าที่ตกอยู่ในมือคนผิดอาจทำให้เกิดความเสียหายร้ายแรง ข้อมูลเกี่ยวกับการควบรวมกิจการที่อาจเกิดขึ้น แผนธุรกิจ รายงานทางการเงิน และข้อมูลองค์กรอื่นๆ สามารถนำไปขายให้คู่แข่งได้ ซึ่งจะส่งผลที่สำคัญต่อบริษัท
ในส่วนการบันทึกการสนทนาทางโทรศัพท์กับเพื่อนร่วมงานไว้อาจไม่เปิดเผยความลับทางการใดๆ แต่ข้อมูลที่อาชญากรไซเบอร์รวบรวมได้อาจนำมาใช้ในการแบล็กเมล์ หรือการโจมตีที่เกี่ยวข้องกับวิศวกรรมสังคม นอกจากนี้ ผู้โจมตีโดยใช้วิธีฟิชชิ่งยังสนใจข้อมูลติดต่อของคุณ เป็นไปได้ว่าสมุดข้อมูลติดต่อที่รั่วไหลอาจมีอีเมลแอดเดรสที่ไม่ได้เปิดเผยไว้ทางออนไลน์ เจ้าของอีเมลแอดเดรสดังกล่าวมักจะเชื่อถืออีเมลที่ได้รับ เพราะคิดว่าบุคคลภายนอกไม่สามารถเข้าถึงอีเมลแอดเดรสนี้ได้
6 ขั้นลดเสี่ยงข้อมูลรั่วไหลช่วงวันหยุด
แคสเปอร์สกี้เชื่อว่าเป็นไปไม่ได้ที่จะป้องกันไม่ให้พนักงานใช้ดีไวซ์ส่วนตัวในการทำงาน ดังนั้น เพื่อรักษาความปลอดภัยข้อมูลธุรกิจจากบุคคลภายนอก แคสเปอร์สกี้จึงแนะนำการฝึกอบรมพนักงานเกี่ยวกับพื้นฐานของความปลอดภัยของข้อมูล รวมถึงวิธีใช้สมาร์ทโฟนและแท็บเล็ต นอกจากนี้ แนะนำให้นายจ้างส่งบันทึกช่วยจำก่อนช่วงพักร้อนของพนักงาน 6 ขั้นตอน
ขั้นแรกคือ อธิบายมาตรการรักษาความปลอดภัยที่เหมาะสมสำหรับพนักงานในการเก็บข้อมูลส่วนบุคคลได้อย่างปลอดภัยจากการสอดส่อง เช่น จดหมายโต้ตอบ ภาพถ่าย รายละเอียดบัตรธนาคาร ขั้นที่ 2 คือ ส่งเสริมให้พนักงานเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการง่ายๆ ในการปกป้องข้อมูลส่วนบุคคล เน้นย้ำถึงความสำคัญของการเข้ารหัสข้อมูล การรับรองความถูกต้องด้วย 2 ปัจจัย และการใช้พาสเวิร์ดที่รัดกุม และอธิบายว่าต้องทำอย่างไรหากดีไวซ์ถูกขโมย
ขั้นต่อมาคือ ให้ความรู้พนักงานเกี่ยวกับอันตรายของการใช้ Wi-Fi สาธารณะ และวิธีทำให้ปลอดภัยยิ่งขึ้น (เช่น ใช้ VPN) ขั้นที่ 4 คือ แนะนำให้ชาร์จสมาร์ทโฟนในเต้ารับที่ผนัง ไม่ใช่ผ่าน USB ขณะที่ขั้นที่ 5 คือ อธิบายความสำคัญของการติดตั้งโซลูชันการรักษาความปลอดภัยที่เชื่อถือได้พร้อมเทคโนโลยีป้องกันการโจรกรรมบนดีไวซ์พกพาส่วนบุคคล
ขั้นสุดท้าย คือ เตือนพนักงานว่าการรายงานความพยายามในการโจมตีทางอินเทอร์เน็ตเป็นสิ่งสำคัญ และนายจ้างควรระบุขั้นตอนที่ชัดเจนในการดำเนินการดังกล่าว เช่น มีระบบการรายงานเหตุการณ์ หรือการโทร.และส่งข้อความโดยเฉพาะ
