content-image
ARTICLES | 04 March 2021

Cybersecurity for Startup/SME Business ตอนที่ 1/3

author-image

Nuttakorn Dhiraprayudti

รู้หรือยัง ? ว่ากำลังตกอยู่ในความเสี่ยง

ทำธุรกิจย่อมต้องมีความเสี่ยง ซึ่งความเสี่ยงด้าน Cybersecurity ก็ไม่ได้มาเล่น ๆ ข้อมูลจาก World Economic Forum: The Global Risks Report 2020 ภาพด้านล่างสีม่วงจะเป็น Technology Risk ซึ่งความเสี่ยงด้าน Cyberattacks นั้นได้มาอยู่ในรายงานนี้นานแล้ว สังเกตว่าในปี 2012 เริ่มติด Top 5 ในมุมของ Likelihood (โอกาสเกิด)

Ref: Global Risks Report 2020

TOP 5 Global Risks

TOP 5 Global Risks

ถ้าเอามาพล็อตกราฟตามความเสี่ยง (Risk = Impact * Likelihood) ยิ่งผลกระทบมาก โอกาสเกิดสูง ยิ่งมีความเสี่ยง จะเห็นว่าความเสี่ยงด้าน Cyberattacks อยู่ด้านขวาบน

Global Risks Report 2020

Global Risks Report 2020

ในอดีตหลายองค์กรที่มีธุรกิจขนาดเล็กมักจะมองข้ามเรื่อง Cybersecurity ว่าเป็นเรื่องที่ใช้เงินลงทุนสูง และเป็นเรื่องไกลตัว เช่น การมีความคิดว่าองค์กรของเราขนาดเล็ก เราไม่โดนโจมตีหรอก

แต่ในช่วงที่ผ่านมา โดยเฉพาะ 2–3 ปีนี้ ผมสังเกตว่ามุมมองในเรื่องนี้เปลี่ยนไป ซึ่งนั่นก็อาจเป็นผลจากรูปแบบของการโจมตีที่เปลี่ยนไป ตั้งแต่ Ransomeware เริ่มมานี่เห็นได้ชัดเลย หลายองค์กรเริ่มให้ความสำคัญกับเรื่อง Cybersecurity มากขึ้น อย่างในกรณีล่าสุด Maze ransomware ที่มีลักษณะเป็น Multi-Stage Ransomware โดยเราได้เขียนอธิบายความแตกต่างไว้ในบทความ Difference between Single-stage Ransomware and Multi-stage Ransomware

ซึ่ง Tactic ของ Maze ที่ใช้คือ เข้ารหัส, ขโมยข้อมูล, ขู่กรรโชก ถ้าไม่จ่ายค่าไถ่ข้อมูลก็จะถูกแพร่กระจายออกสู่สาธารณะ

Encrypt - Exfiltrate - Extort

Encrypt - Exfiltrate - Extort

ถ้ามองย้อนกลับไปแล้วเรื่องการปล่อยข้อมูลที่มีความสำคัญ หรือ ข้อมูลลับออกสู่สาธารณะนั้นก็เป็นเรื่องการรักษาความลับ (Confidentiality) ซึ่งถือเป็น 1 ในพื้นฐานด้าน Cybersecurity ที่ประกอบด้วย Confidentiality, Integrity, Availability (CIA) นั่นแหละ

หลังจากที่เราเริ่มเห็นความเสี่ยงแล้ว ขั้นตอนถัดไปคือเราจะจัดการกับเรื่องนี้อย่างไรมากกว่า หลาย ๆ บริษัท Startup ที่ผมได้มีโอกาสพบปะพูดคุย โดยเฉพาะถ้าอยู่ในกลุ่ม Tech จะให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก แต่ในขณะเดียวกันหลายองค์กร ถ้าไม่อยู่ในกลุ่ม Tech ก็ยังมีความลังเลในการตัดสินใจลงทุนอยู่พอสมควร

เราเองมีความเข้าใจดีว่าทำไมองค์กรบางที่ถึงไม่ได้ตัดสินใจจัดการปัญหาเหล่านี้ในทันที แต่ในมุมที่ปรึกษานั้นเราก็ไม่อยากให้เกิดเหตุการณ์ที่สร้างความเสียหายก่อนแล้วค่อยมาจัดการ (วัวหายล้อมคอก) ซึ่งอุปสรรคที่หลาย ๆ องค์กรจะต้องเจอและส่งผลต่อการตัดสินใจนั้นมีหลายส่วน เช่น

  1. เงินที่ใช้ในการลงทุนด้าน Cybersecurity ซึ่งแน่นอนเป็นเงินที่ใช้แล้วไม่ก่อให้เกิดรายได้ แต่ทำให้ความเสี่ยงหรือความเสียหายเมื่อเกิดปัญหาลดลงนะ
  2. เมื่อใช้เงินแล้วปัญหาจะต้องจบ 100% แต่ไม่มีใครกล้ารับประกันให้คุณ 100% หรอกว่าทุกอย่างจะปลอดภัยแน่นอน
  3. Cybersecurity solution มีมากมาย เมื่อก่อนมีอุปกรณ์ไม่กี่อย่าง แค่ซื้อตามก็อ่วมแล้ว เดี๋ยวนี้มีมากกว่าเดิมแล้วต้องซื้ออันไหนล่ะ ซื้อมาแล้วไม่ได้ใช้ก็มีเยอะแยะ
  4. ขาด workforce ทางด้าน Cybersecurity ในองค์กร ซึ่งที่จริงแล้วไม่ต้องพูดถึงในองค์กรหรอก ในระดับโลกเราก็ขาดบุคลากรที่มีความสามารถทางด้าน Cybersecurity เยอะมาก

ซึ่งสิ่งเหล่านี้เองก็เป็นเรื่องที่ท้าทายสำหรับที่ปรึกษาเช่นกัน เราจะ fit สิ่งต่าง ๆ ให้เหมาะกับบริบทขององค์กรได้อย่างไร เพราะแต่ละองค์กรก็มีความแตกต่างกันทั้งในเรื่องของความรู้ ธุรกิจ ทรัพยากรต่าง ๆ


ในตอนที่ 2 จะเขียนถึงแนวทางในการจัดการกับปัญหา Cybersecurity สำหรับ Startup และ SME

Blog preview image

Cybersecurity for Startup/SME Business ตอนที่ 2/3

ก่อนจะจัดการกับความเสี่ยงด้าน Cybersecurity ยิ่งถ้าเราไม่ค่อยรู้อะไร เรายิ่งต้องเริ่มจากวางแผนอย่างมีหลักการ หากเริ่มต้นโดยแก้ปัญหาเป็นจุด ๆ จะการทำแบบนั้นก็เหมือนกับเราเดินหลงในป่าตอนกลางคืน ไม่มีไฟฉาย ดูทิศทางไม่เป็น เดินไปเดินมาก็อาจทำให้หลงกว่าเดิม บทความใน Series นี้เราแบ่งเป็น 5 ขั้นตอน

Up Next

Blog preview image

ARTICLES

Mar

03

2021

Secure Code Warrior

วันก่อนเจอ Tweet ที่คุณ Troy Hunt เจ้าของ haveibeenpwned ได้ share มาเกี่ยวกับ paper อันนึงที่น่าสนใจมาก

READ MORE

Blog preview image

ARTICLES

Mar

03

2021

หลักแห่งการออกแบบระบบอย่างมั่นคงปลอดภัย (Secure Design Principles)

ธนาคารรายใหญ่มีกฎระเบียบข้อบังคับในการคัดเลือกผู้ให้บริการหลายข้อ ทั้งในแง่ขีดความสามารถและความมั่นคงทางการเงินของบริษัท แต่เมื่อมีการจัดซื้อจัดจ้างผลิตภัณฑ์หรือบริการไปแล้ว

READ MORE

Blog preview image

ARTICLES

Mar

02

2021

ทำความรู้จักกับ Application Sandboxing บน Mobile Platform

เมื่อพูดถึงกลไกการรักษาความปลอดภัยของ Smartphone ในปัจจุบัน ไม่ว่าจะ iOS, Android หรือ Windows Phone ล้วนมีกลไกการรักษาความปลอดภัยพื้นฐานมาอยู่แล้วซึ่งช่วยให้ผู้ใช้งานทั่วไปสามารถใช้งาน Smartphone ได้อย่างมั่นคงปลอดภัยในระดับหนึ่ง

READ MORE

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Petchakasem Road, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2025 Incognito Lab Co., Ltd. All rights reserved

Terms & Conditions Privacy Policy