BSA กระตุ้นผู้บริหารโปรเจกต์ไทยใส่ใจใช้ซอฟต์แวร์ที่มีใบอนุญาตสำหรับโครงการสาธารณะ ที่ผ่านแผนการจัดการความเสี่ยงทางไซเบอร์และความปลอดภัยในเชิงรุกประจำปี 2567 ชี้ปี 66 เกิดข้อถกเถียงกันในแวดวงวิศวกรรมและการออกแบบ เนื่องจากมีการพบว่าบริษัทยักษ์ใหญ่หลายแห่งยังคงมีการใช้งานซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิกันอย่างแพร่หลาย
นายดรุณ ซอว์เนย์ ผู้อำนวยการอาวุโส บีเอสเอ กล่าวว่า จากการดำเนินการของเจ้าหน้าที่ตำรวจในภูมิภาคเอเชียตะวันออกเฉียงใต้ช่วงที่ผ่านมาได้เผยให้เห็นว่า บริษัทด้านการออกแบบและวิศวกรรมที่ใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิหลายบริษัทมีส่วนร่วมในโครงการที่เกี่ยวกับระบบโครงสร้างพื้นฐานสาธารณะ ด้วยเหตุนี้ บีเอสเอ พันธมิตรซอฟต์แวร์ (BSA | Software Alliance) จึงออกมาแจ้งเตือนพร้อมเน้นย้ำถึงการใช้ซอฟต์แวร์หมดอายุการใช้งานและไม่ปลอดภัยในโครงการดังกล่าว ซึ่งอาจทำให้เกิดความเสี่ยงในด้านความปลอดภัยแก่สาธารณะได้
“ผู้บริหารและผู้นำทางธุรกิจทุกท่านในอุตสาหกรรมวิศวกรรมและการออกแบบควรตั้งเป้าหมายสำหรับ 2567 ในด้านการจัดการสินทรัพย์ซอฟต์แวร์อย่างรัดกุม เนื่องจากรัฐบาลทั่วทั้งภูมิภาคกำลังจับตามองการใช้ซอฟต์แวร์ในโครงการสาธารณะอย่างใกล้ชิด เพื่อให้ทุกโครงการที่เกี่ยวกับโครงสร้างพื้นฐานอันมาจากภาษีของประชาชน ได้ถูกออกแบบด้วยซอฟต์แวร์ที่ปลอดภัยและถูกต้องตามกฎหมาย”
ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิมีความเสี่ยงสูงต่อการถูกคุกคามทางไซเบอร์ ซึ่งปัจจุบันมีจำนวนเพิ่มขึ้นทั่วโลก โดยในภูมิภาคเอเชียตะวันออกเฉียงใต้มีมูลค่าความเสียหายที่เกิดจากการละเมิดข้อมูลพุ่งแตะระดับสูงสุดเป็นประวัติการณ์ สร้างความสูญเสียเป็นมูลค่ามากกว่า 3 ล้านเหรียญสหรัฐ หรือกว่า 100 ล้านบาท ในปี 2566 ซึ่งสูงขึ้นถึง 6% เมื่อเทียบกับปี 2565
บีเอสเอจึงมองว่าบริษัทที่มีส่วนเกี่ยวข้องกับโครงการของระบบโครงสร้างพื้นฐาน ควรปฏิบัติตามแนวทางที่มีประสิทธิภาพที่สุด ในการรับมือกับการใช้งานซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิซึ่งมีอยู่อย่างแพร่หลาย ด้วยเหตุนี้ บีเอสเอจึงได้นำเสนอ 5 แนวทางปฏิบัติแก่ภาคธุรกิจ เพื่อเป็นแนวทางในการปฏิบัติตามกฎระเบียบของซอฟต์แวร์และส่งเสริมความปลอดภัยทางไซเบอร์ โดยแนวทางแรกคือการใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิเพื่อเป็นปราการด่านแรกตั้งรับอาชญากรรมทางไซเบอร์
"การใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายไม่เพียงแต่เป็นการปฏิบัติตามกฎระเบียบเท่านั้น แต่ยังสามารถทำหน้าที่เป็นด่านแรกในการป้องกันอาชญากรรมทางไซเบอร์สำหรับองค์กรได้ เนื่องจากผู้ให้บริการซอฟต์แวร์ที่ได้รับอนุญาตถูกต้องตามกฎหมายจะมีการตรวจสอบการเปลี่ยนแปลงของระบบอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ต่างๆ ทำให้ผู้ใช้งานสามารถติดตั้งซอฟต์แวร์ที่มาพร้อมกับมาตรการรักษาความปลอดภัยตัวล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นอยู่ตลอดเวลา" บีเอสเออธิบาย
ในทางกลับกัน บีเอสเอชี้ว่าการใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิจะสร้างความเสี่ยงอย่างมากให้องค์กร เนื่องจากโปรแกรมเหล่านี้มักขาดการตรวจสอบด้านความปลอดภัยที่จำเป็น จึงทำให้เกิดช่องโหว่ในระบบและเป็นการเปิดโอกาสให้อาชญากรไซเบอร์เข้ามาโจมตีได้ ยิ่งไปกว่านั้น การใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิอาจทำให้บริษัทวิศวกรรมและการออกแบบต้องเสี่ยงกับมัลแวร์ แรนซัมแวร์ และภัยคุกคามอื่นๆ ที่อาจส่งผลกระทบต่อความมั่นคงของโครงการ ไปจนถึงการถูกละเมิดข้อมูล และการขัดขวางการดำเนินการทางธุรกิจ
แนวทางที่ 2 คือการจัดซื้อซอฟต์แวร์จากผู้จัดจำหน่ายที่เชื่อถือได้และถูกต้องตามกฎหมาย โดยการเลือกแหล่งจัดซื้อที่เชื่อถือได้ไม่เพียงแค่ช่วยให้ซอฟต์แวร์ที่ได้รับมาเป็นของแท้ แต่ยังสร้างความมั่นใจให้แก่ผู้ใช้งานได้ว่าปราศจากภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นโปรแกรมประสงค์ร้าย ไวรัส หรือช่องโหว่ที่เป็นอันตรายที่อาจส่งผลต่อความปลอดภัยของระบบต่างๆ ภายในองค์กร อีกทั้งผู้จัดจำหน่ายที่ได้รับการรับรองจากกฎหมายจะปฏิบัติตามมาตรฐานของอุตสาหกรรม โดยจะมีการอัปเดตและการสนับสนุนซอฟต์แวร์เป็นประจำเพื่อพัฒนาฟังก์ชันการทำงานของซอฟต์แวร์ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างทันท่วงที
บีเอสเอย้ำว่าบริษัทจำเป็นต้องควบคุมการจัดซื้อซอฟต์แวร์จากศูนย์กลางเดียว เพื่อสร้างแนวทางปฏิบัติให้เป็นไปในทิศทางเดียวกันและเป็นไปตามมาตรฐานของการตรวจสอบและนำซอฟต์แวร์มาใช้ภายในองค์กร ซึ่งจะช่วยลดความเสี่ยงในการใช้โปรแกรมที่ไม่ได้รับอนุญาตหรือที่เป็นอันตรายโดยไม่ได้ตั้งใจ อีกทั้งนี่ยังเป็นการปฏิบัติที่จะช่วยให้มีการกำกับดูแลที่ดีขึ้น และทำให้มั่นใจได้ว่าซอฟต์แวร์ทั้งหมดเป็นไปตามนโยบายของบริษัท ตลอดจนข้อกำหนดของสิทธิการอนุญาต และมาตรฐานความปลอดภัย
แนวทางที่ 3 คือสร้างระบบการจัดการสินทรัพย์ที่แข็งแกร่ง เนื่องจากหนึ่งสิ่งสำคัญในการจัดการสินทรัพย์อย่างมีประสิทธิภาพคือการตรวจสอบสถานะของไลเซนส์ซอฟต์แวร์เป็นประจำ ซึ่งทำได้โดยการจัดเก็บรายละเอียดการสั่งซื้อและหมั่นตรวจเช็กวันหมดอายุของไลเซนส์ การบกพร่องในการตรวจเช็กข้างต้น อาจส่งผลเสียต่อบริษัททั้งในทางกฎหมายและทางการเงิน ดังนั้น การปฏิบัติตามคำแนะนำดังกล่าวจะช่วยหลีกเลี่ยงความเสี่ยงเกี่ยวกับการจัดสรรไลเซนส์น้อยกว่าจำนวนบุคลากรเพื่อประหยัดงบประมาณ ซึ่งอาจนำไปสู่การละเมิดโดยไม่ได้ตั้งใจ และส่งผลต่อความมั่นคงของโครงสร้างความปลอดภัยทางไซเบอร์ขององค์กร ซึ่งซอฟต์แวร์ที่ไม่ได้ถูกรับรองอาจเป็นช่องโหว่ที่อาชญากรไซเบอร์สามารถใช้ประโยชน์ได้
บีเอสเอเชื่อว่าธุรกิจต่างๆ ควรตระหนักถึงความสำคัญของการประยุกต์ใช้ปัญญาประดิษฐ์ หรือ AI เข้ากับระบบรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน เนื่องจากเหล่าอาชญากรไซเบอร์ต่างใช้ประโยชน์จากเทคโนโลยีมากขึ้นเรื่อยๆ ในการวางแผนการโจมตีทางไซเบอร์ที่ซับซ้อน ดังนั้น ธุรกิจต่างๆ จึงต้องก้าวตามภัยคุกคามใหม่ๆ ให้ทัน ซึ่งสามารถทำได้โดยการลงทุนในโซลูชันที่ขับเคลื่อนด้วย AI เพราะ AI มีบทบาทสำคัญในการวิเคราะห์อีเมลและพฤติกรรมผู้ใช้งานเพื่อวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น อีกทั้ง AI ยังสามารถช่วยตรวจจับการลงชื่อเข้าใช้และบัญชีผู้ใช้ที่น่าสงสัย พร้อมทั้งช่วยเสริมความปลอดภัยให้โซลูชันสำหรับการพิสูจน์ตัวตนได้อีกด้วย เมื่อองค์กรต่างๆ นำ AI มาประยุกต์ใช้ จะสามารถเสริมการป้องกันขององค์กร ตลอดจนระบุและรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในเชิงรุกได้
แนวทางที่ 4 ปลูกฝังวัฒนธรรมการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์ เพราะการสร้างความตระหนักรู้ให้แก่สมาชิกภายในองค์กรถือเป็นขั้นแรกที่สำคัญในการสร้างวัฒนธรรมที่แข็งแกร่งสำหรับการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์ภายในองค์กร ซึ่งสามารถทำได้โดยการจัดการอบรมให้ความรู้อย่างเป็นประจำเพื่อปลูกฝังความเข้าใจถึงความสำคัญของการปฏิบัติตามกฎระเบียบและผลกระทบที่อาจเกิดขึ้นจากความปลอดภัยทางไซเบอร์ที่หละหลวม โดยบริษัทสามารถลงทุนกับโปรแกรมการฝึกอบรมที่ครอบคลุมหัวข้อสำคัญต่างๆ เช่น ภัยคุกคามใหม่ๆ มาตรฐานการปฏิบัติตามกฎระเบียบ ตลอดจนแนวทางปฏิบัติที่ดีที่สุดเพื่อให้พนักงานมีความสามารถเชิงรุกในการระบุและจัดการความเสี่ยงที่อาจเกิดขึ้นได้ อีกทั้งการตระหนักรู้เรื่องพื้นฐานนี้ยังเป็นการปลูกฝังความตื่นตัวและกระตือรือร้นในหมู่พนักงานอีกด้วย
แนวทางที่ 5 คือกำหนดนโยบายการใช้งานซอฟต์แวร์ให้พนักงานทุกคนปฏิบัติตาม เพราะบริษัทต่างๆ สามารถกำหนดนโยบายเชิงปฏิบัติที่ส่งเสริมให้พนักงานมีส่วนร่วมเพื่อสร้างวัฒนธรรมเพื่อความปลอดภัยทางไซเบอร์ โดยกุญแจสำคัญของนโยบายนี้ คือการสร้างกระบวนการที่ชัดเจนและเป็นระบบสำหรับการรายงานเกี่ยวกับสิ่งที่ไม่เป็นไปตามกฎระเบียบ การคุกคาม และช่องโหว่ต่างๆ การสนับสนุนให้พนักงานมีส่วนร่วมในกระบวนการเหล่านี้ จะช่วยส่งเสริมวัฒนธรรมการใช้งานซอฟต์แวร์ขององค์กร และช่วยให้บริษัทสามารถระบุและรายงานความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้ ซึ่งถือเป็นกุญแจสำคัญในการป้องกันภัยคุกคามทางไซเบอร์ภายในองค์กร นอกจากนี้ ยังช่วยให้บริษัทสามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว และใช้มาตรการเชิงรุกเพื่อลดผลกระทบจากการละเมิดความปลอดภัยทางไซเบอร์ได้อีกด้วย
บีเอสเอทิ้งท้ายว่า ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิถือเป็นการละเมิดกฎหมาย และอาจส่งผลให้เกิดผลกระทบร้ายแรง ทั้งการเสียค่าปรับจำนวนมาก และการถูกดำเนินคดีทางกฎหมายเนื่องจากเป็นการละเมิดสิทธิในทรัพย์สินทางปัญญา โดยในปี 2567 การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์จะมีความสำคัญมากยิ่งขึ้น โดยเฉพาะกับบริษัทที่ทำงานเกี่ยวกับโครงสร้างพื้นฐานสาธารณะ ทั้งนี้ การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์ถือเป็นพื้นฐานในการรับรองความปลอดภัยของตัวบุคคลและองค์กรในระยะยาว
