“องค์กร 85% ต้องการต้องยกระดับการป้องกัน Supply chain attacks หลายแห่งมีปัญหาการขาดแคลนบุคลากรด้านความปลอดภัยไซเบอร์ที่มีคุณสมบัติเหมาะสม เป็นอุปสรรคสำคัญในการลดความเสี่ยงการโจมตีซัพพลายเชน
ผลการศึกษาล่าสุดของแคสเปอร์สกี้เกี่ยวกับ ความเสี่ยงของซัพพลายเชนและความสัมพันธ์ที่เชื่อถือกันทางธุรกิจแสดงให้เห็นว่า การโจมตีซัพพลายเชนกลายเป็นภัยคุกคามอันดับต้นๆ ขององค์กรธุรกิจ โดยองค์กรจำนวน 1 ใน 3 ได้รับผลกระทบจากการโจมตีประเภทนี้ในช่วงปีที่ผ่านมา
ซึ่งความรุนแรงและความถี่ของการโจมตีซัพพลายเชน Supply chain attacks ทำให้องค์กรจำเป็นต้องค้นหาสาเหตุสำคัญที่ขัดขวางไม่ให้องค์กรจัดการกับความเสี่ยงได้อย่างประสบความสำเร็จ
จากผลสำรวจพบว่า หนึ่งในอุปสรรคสำคัญในการลดความเสี่ยงในซัพพลายเชนและความสัมพันธ์ที่เชื่อถือกันคือการขาดแคลนบุคลากรที่มีคุณสมบัติเหมาะสม, การขาดแคลนบุคลากรนี้ทำให้องค์กรขาดศักยภาพในการเข้าถึงและตรวจสอบช่องโหว่ของเธิร์ดปาร์ตี้ที่อาจเกิดขึ้นในระบบนิเวศขององค์กรอย่างสม่ำเสมอ
องค์กรทั่วโลกจำนวนเกือบครึ่งหนึ่ง (42%) ระบุว่า กำลังเผชิญกับอุปสรรคดังกล่าว ขณะที่ในเอเชียแปซิฟิก สัดส่วนขององค์กรที่ระบุว่า ขาดแคลนบุคลากรด้านความปลอดภัยไอทีที่มีคุณสมบัติเหมาะสมมีตั้งแต่สิงคโปร์ 34% และเวียดนาม 57% ความท้าทายด้าน ความพร้อมของบุคลากรที่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ นั้นเห็นได้ชัดในมาเลเซียเช่นกัน
ในบรรดาอุปสรรคสำคัญอื่นๆ กลุ่มตัวอย่างระบุถึงความจำเป็นในการจัดการกับลำดับความสำคัญด้านความปลอดภัยทางไซเบอร์หลายอย่างพร้อมกัน โดยเฉพาะอย่างยิ่งกลุ่มตัวอย่างจากอินเดีย (54%) เวียดนาม (48%) และสิงคโปร์ (47%)
ข้อมูลนี้สะท้อนให้เห็นว่า ทีมรักษาความปลอดภัยต้องรับผิดชอบงานมากเกินไปในเวลาเดียวกัน ซึ่งอาจทำให้ภัยคุกคามในซัพพลายเชนไม่ได้รับการแก้ไข
นอกเหนือจากข้อจำกัดด้านทรัพยากรแล้ว กลุ่มตัวอย่างยังชี้ให้เห็นถึงปัญหาเชิงโครงสร้าง ในตลาดเอเชียแปซิฟิก สัดส่วนของกลุ่มตัวอย่างที่รายงานว่า สัญญาไม่มีข้อผูกพันด้านความปลอดภัยทางไอทีสำหรับผู้รับเหมามีตั้งแต่ 30 – 61%
ซึ่งบ่งชี้ว่าองค์กรจำนวนมากยังคงดำเนินงานโดยไม่มีข้อกำหนดด้านความปลอดภัยที่ชัดเจนสำหรับบุคคลภายนอก นอกจากนี้ 25 – 38% ระบุว่าเจ้าหน้าที่ที่ไม่ใช่ฝ่ายรักษาความปลอดภัยทางไอที มักไม่เข้าใจความเสี่ยงนี้อย่างถ่องแท้
85% เห็นด้วยต้องยกระดับการป้องกันความเสี่ยงจากซัพพลายเชน
การสำรวจทั่วโลกพบว่า ธุรกิจจำนวน 85% ยอมรับว่าองค์กรของตนจำเป็นต้องยกระดับการป้องกันความเสี่ยงจากซัพพลายเชนและความสัมพันธ์ที่เชื่อถือกัน โดยมีองค์กรเพียง 15% เท่านั้นที่พิจารณาว่ามาตรการรักษาความปลอดภัยในปัจจุบันมีประสิทธิภาพเพียงพอ
ทั้งนี้ความเชื่อมั่นนี้ลดลงอย่างมากในประเทศเศรษฐกิจสำคัญเช่น เยอรมนี (6%) ตุรกี (7%) อิตาลี (8%) บราซิล (8%) รัสเซีย (8%) และซาอุดีอาระเบีย (9%)
ในภูมิภาคเอเชียแปซิฟิกนั้นมีระดับความเชื่อมั่นมีความแตกต่างกันมากขึ้น ในขณะที่ตลาดอย่างเช่น อินเดีย (11%), อินโดนีเซีย (14%) และสิงคโปร์ (14%) รายงานระดับความเชื่อมั่นที่ต่ำใกล้เคียงกัน แต่ตลาดอื่นๆ อย่างเช่น เวียดนาม (21%) และจีน (34%) แสดงให้เห็นถึงความเชื่อมั่นในมาตรการคุ้มครองที่มีอยู่มากกว่า
ผลการสำรวจแสดงให้เห็นว่า แนวทางการลดความเสี่ยงจากเธิร์ดปาร์ตี้ในปัจจุบันยังคงกระจัดกระจาย แม้แต่มาตรการป้องกันที่พบได้ทั่วไปอย่างการตรวจสอบสิทธิ์แบบสองขั้นตอน ก็ยังมีการใช้งานที่ไม่สม่ำเสมอทั่วทั้งภูมิภาค
โดยมีอัตราการใช้งานแตกต่างกันอย่างมากในแต่ละตลาด ผู้ตอบแบบสอบถามจากสิงคโปร์มีอัตราการใช้งานที่ต่ำอย่างน่าตกใจเพียง 28% ในขณะที่ประเทศอื่นๆ รายงานอัตราการใช้งานที่สูงกว่า โดยมีคะแนนการนำแนวทางปฏิบัตินี้มาใช้สูงกว่า 35% แต่ยังคงต่ำกว่าค่าเฉลี่ยทั่วโลก
นอกจากนี้ ในตลาดเอเชียแปซิฟิก การดำเนินการด้านความปลอดภัยทางไซเบอร์ไม่ได้ดำเนินการอย่างสม่ำเสมอ ทำให้องค์กรต่างๆ มองเห็นความปลอดภัยของพันธมิตรได้น้อยลง ทำให้เสี่ยงต่อช่องโหว่ที่เปลี่ยนแปลงไปในระบบนิเวศขององค์กร
เป็นที่น่าสังเกตว่า บริษัทที่เคยเจอการโจมตีซัพพลายเชนและความสัมพันธ์ธุรกิจมาก่อน มักจะนำเอาพฤติกรรมด้านความปลอดภัยที่เข้มงวดมากขึ้นมาใช้ ในระดับโลกบริษัทที่ได้รับผลกระทบจากเหตุการณ์โจมตีซัพพลายเชนมีแนวโน้มที่จะขอผลการทดสอบการเจาะระบบมากกว่า (56%)
ในขณะที่ผู้ที่ตกเป็นเหยื่อของการละเมิดความสัมพันธ์ธุรกิจจะให้ความสำคัญกับการตรวจสอบการปฏิบัติตามมาตรฐานอุตสาหกรรม (56%) และนโยบายซัพพลายเชนของผู้รับเหมาเอง (53%)
เอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า “ขณะที่องค์กรต่างๆ ทั่วเอเชียแปซิฟิกขยายระบบนิเวศดิจิทัลของตน ความปลอดภัยของซัพพลายเชนจำเป็นต้องได้รับการจัดการด้วยระเบียบวินัยในระดับเดียวกับการดำเนินงานภายใน”
“นั่นหมายถึงการกำหนดข้อกำหนดด้านความปลอดภัยที่ชัดเจนสำหรับพันธมิตร การตรวจสอบมาตรฐานเหล่านั้นอย่างสม่ำเสมอ และการสร้างความรับผิดชอบในกระบวนการทางธุรกิจประจำวัน ด้วยแนวทางที่เป็นระบบ องค์กรต่างๆ สามารถเสริมสร้างความไว้วางใจทั่วทั้งระบบนิเวศของตนในขณะที่ลดความเสี่ยงที่สามารถจะหลีกเลี่ยงได้”
องค์กรธุรกิจต่างๆ จะสามารถลดความเสี่ยงในซัพพลายเชนและสร้างความยืดหยุ่นให้กับธุรกิจได้ก็ต่อเมื่อมีการดำเนินมาตรการป้องกันทั่วทั้งองค์กร และวางแผนกลยุทธ์ในการสร้างความร่วมมือกับซัพพลายเออร์และผู้รับเหมาอย่างรอบคอบเท่านั้น
แคสเปอร์สกี้ขอแนะนำเพื่อลดความเสี่ยง Supply chain attacks ดังต่อไปนี้
- ใช้บริการรักษาความปลอดภัยแบบจัดการ (Managed Security Services) สำหรับองค์กรที่ขาดทรัพยากรด้านความปลอดภัยทางไซเบอร์โดยเฉพาะ วิธีที่ดีที่สุดคือการใช้บริการเอาต์ซอร์ส ใช้บริการต่างๆ เช่น Kaspersky Managed Detection and Response (MDR) และ/หรือ Kaspersky Incident Response ซึ่งครอบคลุมวงจรการจัดการเหตุการณ์ทั้งหมด ตั้งแต่การระบุภัยคุกคามไปจนถึงการป้องกันและการแก้ไขอย่างต่อเนื่อง
- ลงทุนในหลักสูตรด้านความปลอดภัยทางไซเบอร์เพิ่มเติม เพิ่มพูนความรู้ด้านความปลอดภัยทางไซเบอร์ของพนักงานด้วยหลักสูตรฝึกอบรมด้านความปลอดภัยทางไซเบอร์ของแคสเปอร์สกี้ (Kaspersky Cybersecurity Training) ที่เน้นการปฏิบัติจริง ทั้งแบบเรียนรู้ด้วยตนเองหรือแบบสด หลักสูตรเหล่านี้ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยพัฒนาทักษะและปกป้องบริษัทจากการโจมตีที่ซับซ้อน
- ประเมินซัพพลายเออร์อย่างละเอียดก่อนทำสัญญา ตรวจสอบนโยบายด้านความปลอดภัยทางไซเบอร์ ข้อมูลเกี่ยวกับเหตุการณ์ที่ผ่านมา และการปฏิบัติตามมาตรฐานความปลอดภัยของอุตสาหกรรม สำหรับซอฟต์แวร์และบริการคลาวด์ ขอแนะนำให้ตรวจสอบข้อมูลช่องโหว่และผลการทดสอบการเจาะระบบด้วย
- ปฏิบัติตามข้อกำหนดด้านความปลอดภัยในสัญญา สัญญากับซัพพลายเออร์ควรมีข้อกำหนดด้านความปลอดภัยของข้อมูลที่เฉพาะเจาะจง เช่น การตรวจสอบความปลอดภัยเป็นประจำ การปฏิบัติตามนโยบายความปลอดภัยที่เกี่ยวข้องขององค์กร และโปรโตคอลการแจ้งเตือนเหตุการณ์
- ร่วมมือกับซัพพลายเออร์ในประเด็นด้านความปลอดภัย เสริมสร้างการป้องกันทั้งสองฝ่ายและให้ความสำคัญร่วมกัน
Featured Image: DC Studio
