HIGHLIGHT
|
Data Breach ได้กลายเป็นศัพท์ที่ถูกพูดถึงมากขึ้นเรื่อย ๆ ในยุคที่โลกของเรากำลังก้าวเข้าสู่ยุคของ Data Driven อย่างเป็นรูปธรรม และกระบวนการ HR Transformation นับจากนี้ล้วนต้องอาศัยข้อมูลเพื่อนำไปประยุกต์ใช้กับกลยุทธ์ต่าง ๆ อย่างหลีกเลี่ยงไม่ได้ ดังนั้นการหลุดรอดของข้อมูลส่วนตัวไม่ว่าจะของพนักงานหรือความลับด้านธุรกิจขององค์กร จะสร้างความเสียหายอย่างใหญ่หลวงต่อการดำเนินธุรกิจ ซึ่งอาจร้ายแรงถึงขั้นชี้เป็นชี้ตายของบริษัทก็ได้
ดังนั้นองค์กรที่เอาแต่ให้ความสำคัญกับการคิดค้นนวัตกรรมใหม่ ๆ โดยละเลยเรื่องของ Security Education จะถือว่าเป็นองค์กรที่ดำเนินงานอยู่บนความเสี่ยงและไม่เกินผลดีในระยะยาว
Data Breach คืออะไรและสำคัญกับองค์กรมากแค่ไหน หาคำตอบไปพร้อมกับเราได้เลย
Data Breach คืออะไร และมีส่วนเกี่ยวข้องกับ HR อย่างไร ?
Data Breach คือการที่ข้อมูลของเราถูกเข้าถึงโดยกลุ่มคนที่ไม่มีสิทธิ์ ซึ่งเป็นได้ทั้งแฮ็กเกอร์, นักขโมยข้อมูลจากบริษัทคู่แข่ง หรือแม้แต่อดีตพนักงานที่ออกจากองค์กรไปแล้วก็ได้ โดยข้อมูลที่ถูกขโมยประกอบไปด้วยประวัติทางด้านการเงิน, ข้อมูลส่วนตัวของพนักงาน หรือเอกสารที่เป็นความลับ ความเสียหายที่เกิดขึ้นจากเรื่องนี้สามารถส่งผลได้ตั้งแต่ระดับองค์กรไปจนถึงคู่ค้าทั้งในและต่างประเทศ ซึ่ฃสามารถสร้างความเสียหายจนทำให้องค์กรต้องปิดตัวลงได้เช่นกัน
Data Breach มักเกิดขึ้นตามกระบวนการดังต่อไปนี้
IBM ได้ทำการวิจัยในปี 2023 และพบว่า Data Breach ได้ทำให้องค์กรทั่วโลกสูญเสียเงินรวมกันถึง 4.45 ล้านดอลลาร์สหรัฐ ดังนั้นเพื่อป้องกันการเกิดปัญหาขึ้น เราขออธิบายกระบวนการเกิด Data Breach ดังนี้
- ช่วงของการค้นคว้าข้อมูล (Researching) : ผู้ที่ไม่หวังดีจะเริ่มต้นด้วยการหาข้อมูลของเหยื่อให้มากที่สุด พยายามหาจุดอ่อนให้ได้ว่าหากต้องการข้อมูลที่สำคัญจะต้องเข้าหาในเวลาไหน ด้วยวิธีการแบบไหน พวกเขาจะนำข้อมูลเชิงลึก (Insight) มาวิเคราะห์ และประยุกต์สร้างเป็นเครื่องมือเพื่อใช้เจาะข้อมูลในลำดับต่อไป
- ช่วงของการโจมตี (Attacking) : เมื่อวิเคราะห์ข้อมูลเรียบร้อยแล้ว มิจฉาชีพก็จะเข้าโจมตีจุดอ่อนขององค์กรทันทีในเวลาที่เหมาะสม, ด้วยวิธีการที่เหมาะสม ซึ่งได้ลองพิสูจน์แล้วว่าวิธีดังกล่าวจะทำให้บรรลุผลในการโจรกรรมข้อมูลจริง ๆ ตัวอย่างการโจมตี เช่น การเจาะรหัสผ่านที่อ่อนแอ, การหลอกให้กรอกข้อมูลผ่าน Phishing Platform หรือการขโมย Log-in Credential เป็นต้น
- ช่วงของการจัดเก็บข้อมูล (Compromising Data) : เมื่อสามารถเข้าถึงข้อมูลที่ต้องการแล้ว ผู้เจาะข้อมูลก็จะใช้เทคนิคที่หลากหลายในการเก็บข้อมูลให้ได้มากที่สุดโดยไม่ทิ้งร่องรอยเอาไว้ ข้อมูลเหล่านี้อาจถูกนำไปขายตาม Dark Web หรือส่งต่อให้บริษัทคู่แข่งก็ได้
สรุปสัมมนา How to Win in The World of Data จากงาน BIZ CUBE Chula Forum 2023 |
HR สามารถช่วยแก้ปัญหาเรื่อง Data Breach ได้อย่างไร ?
นอกเหนือจากการใช้เทคโนโลยีแล้ว สิ่งที่องค์กรส่วนใหญ่มักลืมก็คือการตั้งคำถามว่าพนักงานของเรามีความพร้อมในการใช้เทคโนโลยีนั้น ๆ แล้วหรือยัง เพราะมีอยู่หลายครั้งที่องค์กรจ่ายเงินเพื่อนำ HR Tech ล้ำสมัยมาใช้ แต่กลับมีคนเพียงกลุ่มหนึ่งเท่านั้นที่สามารถใช้งานได้จริง นี่คือปัญหาที่ตอกย้ำให้เห็นว่า Security Education ยังเป็นจุดอ่อนของหลาย ๆ องค์กร
ดังนั้นสิ่งแรกที่ HR ต้องทำก็คือการเน้นย้ำว่า กระบวนการเรียนรู้เรื่อง Data Security ไม่ใช่เรื่องที่สามารถทำแค่ปีละครั้งหรือไตรมาสละครั้งอีกต่อไป แต่เราต้องทำเรื่องนี้ให้เป็นวัฒนธรรมองค์กร พนักงานต้องรู้สึกว่าการปกป้องข้อมูลของบริษัทเป็นหน้าที่ของทุกคน และเมื่อองค์กรนำนวัตกรรมใหม่ ๆ ที่เกี่ยวข้องกับความปลอดภัยเข้ามาในบริษัท HR ก็ควรจัดอบรมสัมมนาเพื่อให้พนักงานรู้ว่าเครื่องมือเหล่านั้นมีวิธีการใช้งานให้เกิดประโยชน์สูงสุดได้อย่างไร นี่คือขั้นตอนพื้นฐานที่จะช่วยให้บริษัทของคุณห่างไกลจาก Data Breach มากยิ่งขึ้น
เมื่อเรามีรากฐานที่แข็งแรงแล้วให้เริ่มกระบวนการป้องกัน Data Breach ด้วยแนวทางเหล่านี้
1. HR ต้องเข้าใจว่าเนื้อหาแต่ละประเภทต้องการรูปแบบการรักษาความปลอดภัยแบบไหน
ลองนึกภาพง่าย ๆ ว่าภาพการ Outing ของบริษัทไม่จำเป็นต้องใช้ระบบรักษาความปลอดภัยเทียบเท่ากับ Business Plan ของบริษัท เราต้องเลือกใช้ระบบรักษาความปลอดภัยให้เหมาะสม โดยเราสามารถคิดเพิ่มเติมจากการตั้งคำถามแบบนี้
- เรากำลังปกป้องข้อมูลอะไรอยู่ และกำลังปกป้องจากใคร
- ระบบที่ใช้ในองค์กรของเราลูกค้าและพันธมิตรทางธุรกิจคือแบบใด มีความสอดคล้องหรือไม่ เราสามารถส่งต่อข้อมูลได้อย่างปลอดภัยโดยไม่ถูกโจรกรรมหรือไม่
- องค์กรของเราจะป้องกันจุดอ่อนด้าน Data Security โดยอ้างอิงกับระบบของทุกฝ่ายตามที่กล่าวไว้ข้างต้นได้อย่างไร
2. กำหนดให้ชัดเจนว่าใครสามารถเข้าถึงข้อมูลแบบใดได้บ้าง
หลังจากที่เรากำหนดได้แล้วว่าข้อมูลแบบใดควรใช้ระบบป้องกันภัยแบบไหน, ด้วยเครื่องมือแบบไหน เราก็ต้องมาจำกัดด้วยว่าข้อมูลดังกล่าวสามารถเข้าถึงด้วยพนักงานในระดับใด และจากแผนกใดได้บ้าง เพราะบางองค์กรมักกำหนดให้คนที่ใช้อีเมลบริษัทเข้าถึงไดรฟ์ได้เท่า ๆ กัน ไม่ได้เจาะจงกลุ่มใดกลุ่มหนึ่งเป็นพิเศษ แต่วิธีดังกล่าวจะทำให้คนที่ไม่เกี่ยวข้องเข้าถึงไฟล์ของบริษัทได้ง่ายขึ้น ดังนั้นหากเราจำกัดวงข้อมูลให้แคบลง ความปลอดภัยก็จะพุ่งสูงขึ้นตามไปด้วย
3. HR ต้องร่วมมือกับฝ่าย IT เพื่อตรวจสอบและจำกัดการเข้าถึงของพนักงานให้ครอบคลุมที่สุด
ปัญหาสำคัญของหลายองค์กรคือพอมีพนักงานลาออกหรือเปลี่ยนตำแหน่งแล้ว ระบบยังเปิดโอกาสให้พวกเขาเข้าถึงข้อมูลที่เคยถือครองอยู่ได้ในระยะเวลาหนึ่ง ทั้งที่ช่วงเวลาเหล่านั้นเป็นช่วงเวลาที่ละเอียดอ่อนมาก ลองนึกตามดูว่าถ้าพนักงานของเราย้ายไปอยู่กับบริษัทคู่แข่งหรือบริษัทในสายธุรกิจเดียวกัน การเข้าถึงข้อมูลเชิงลึกขององค์กรมีแต่จะทำให้บริษัทต้องเสียข้อได้เปรียบทางธุรกิจ เรื่อยไปจนถึงการถูกขโมยข้อมูลไปใช้จนอาจพลาดโอกาสในการสร้างสรรค์นวัตกรรมเลยก็ได้
ดังนั้นหากมีพนักงานลาออกหรือย้ายตำแหน่ง องค์กรต้องตรวจสอบให้ชัดเจนว่าข้อมูลที่พนักงานเลือกลบจากคอมพิวเตอร์ใบนั้นมีอะไรบ้าง และต้องยืนยันกับฝ่ายไอทีว่าพนักงานไม่สามารถเข้าถึงข้อมูลได้แล้วจริง ๆ
หน้าที่ของ HR หลังเกิดเหตุการณ์ Data Breach คืออะไร ?
สถานการณ์โลกในปัจจุบันมีการใช้เทคโนโลยีมากขึ้น และเทคโนโลยีดังกล่าวก็พัฒนาไปถึงขั้นตอนที่สามารถเรียนรู้ได้ด้วยตัวเอง (Generative AI) จึงไม่แปลกหากองค์กรของคุณจะถูกโจมตีโดยเหล่าแฮ็กเกอร์เป็นประจำ แต่ในฐานะของ HR การปล่อยให้องค์กรกลายเป็นเป้าโจมตีอยู่เรื่อย ๆ ไม่ใช่สิ่งที่ถูกต้อง เพราะถือว่ากำลังนำองค์กรไปอยู่บนความเสี่ยง พนักงานไม่สามารถทำงานอย่างสบายใจ เพราะไม่รู้ว่านวัตกรรมที่สร้างขึ้นมาจะถูกขโมยไปหรือไม่ ดังนั้น HR ต้องมีความรู้ในเบื้องต้นว่าจะรับมือกับสถานการณ์ที่ไม่คาดฝันได้อย่างไร เพื่อให้ฝ่ายไอทีแก้ไขปัญหาและสร้างความมั่นใจให้พนักงานทำหน้าที่ได้อย่างสมบูรณ์ ไม่หมดกำลังใจ
หากเกิด Data Breach ขึ้นในองค์กรของคุณให้ปฏิบัติตามแนวทางดังต่อไปนี้
HR ต้องสื่อสารให้เป็น
สิ่งแรกที่ต้องทำการสื่อสารให้ทุกคนเข้าใจว่าเมื่อสถานการณ์เกิดขึ้นแล้ว สิ่งที่เราต้องทำไม่ใช่การตื่นตระหนก แต่เป็นการตั้งสติและรับมือกับสถานการณ์อย่างมืออาชีพที่สุด
เมื่อสถานการณ์เริ่มนิ่งลงแล้ว เราก็ต้องจับคนทุกแผนกมาพูดคุยเพื่อสร้างความเข้าใจร่วมกันว่าแนวทางแก้ปัญหาขององค์กรเป็นอย่างไร มีจุดไหนที่ต้องระมัดระวังเป็นพิเศษ เมื่อเราจัดลำดับความสำคัญตรงนี้ เราก็จะทำงานได้อย่างมีขั้นตอน ไม่สะเปะสะปะ สามารถแก้ไขปัญหาได้อย่างมีระเบียบมากขึ้น
HR ต้องชี้แจงให้พนักงานเข้าใจว่าสถานการณ์ที่เกิดขึ้นมีเรื่องที่ต้องกังวลอย่างไรบ้าง เพราะพนักงานควรเข้าใจข้อเท็จจริงอย่างโปร่งใส (Transparency) พนักงานมีสิทธิ์ตั้งคำถามถึงแนวทางแก้ไขขององค์กร ขณะที่กลุ่มผู้นำก็มีสิทธิ์ตั้งคำถามถึงกลยุทธ์และเครื่องมือที่องค์กรมีไว้สำหรับรับมือกับปัญหาเหล่านี้
การสร้างความเชื่อมั่นกับกลุ่มผู้นำมีความสำคัญ เพราะพวกเขาคือคนที่จะถ่ายทอดข้อมูลในแง่บวกไปสู่พนักงานที่กำลังตื่นตระหนกอยู่อีกต่อหนึ่ง ดังนั้นสิ่งแรกที่ HR ต้องมีคือทักษะการสื่อสาร เพราะจะทำให้สถานการณ์คลี่คลายลง
HR ต้องสร้างความเข้าใจกับลูกค้า
เมื่อข้อมูลขององค์กรหลุดรอดออกไป ปัญหาที่เกิดขึ้นไม่ได้จำกัดอยู่แค่กับพนักงานภายในองค์กรเท่านั้น เพราะอย่าลืมว่าธุรกิจโดยทั่วไปจำเป็นต้องมีการติดต่อสื่อสารกับลูกค้าอยู่เสมอ นั่นแปลว่าการถูกล้วงข้อมูลในแต่ละครั้งมักมีข้อมูลของลูกค้าปะปนอยู่ด้วย
ดังนั้นเราต้องตรวจสอบโดยละเอียดว่ามีข้อมูลสำคัญของคนอื่นที่ตกอยู่ในอันตรายหรือเปล่า หากมี เราต้องรีบแจ้งเพื่อสร้างความเข้าใจและหาแนวทางแก้ไขอย่างเป็นรูปธรรม เพราะถือว่าลูกค้ามอบความเชื่อใจให้เราดูแลข้อมูลเหล่านั้น เราจึงมีหน้าที่รับผิดชอบให้ดีที่สุด หากเราไม่สื่อสารตรงนี้ให้ชัดเจนก็ มีโอกาสสูงมากที่ลูกค้าจะยกเลิกสัญญา ซึ่งส่งผลเสียต่อการทำธุรกิจขององค์กร
HR ต้องเก็บข้อมูลที่เกี่ยวข้องให้มากที่สุด
เมื่อ Data Breach เกิดขึ้น สิ่งที่ HR ต้องทำคือการเก็บข้อมูลพื้นฐานทั้งหมดให้ชัดเจนเพื่อให้ฝ่ายกฎหมายนำไปใช้ และเอาไว้ให้ทีมงานศึกษาเพื่อระมัดระวังในครั้งต่อไป โดยข้อมูลที่เราต้องเก็บประกอบด้วย 1.) เวลาที่เหตุการณ์เกิดขึ้น 2.) รายการข้อมูลที่ถูกขโมย 3.) เหตุการณ์เกิดขึ้นได้อย่างไร 4.) จุดอ่อนของระบบรักษาความปลอดภัยอยู่ตรงไหน เป็นต้น
HR มีหน้าที่บริหารจัดการเรื่องนี้โดยตรง โดยวิธีที่ง่ายที่สุดก็คือการเอาหัวหน้าแผนกทุกฝ่ายมาพูดคุยกัน ทั้งแผนกที่โดนล้วงข้อมูลกับแผนกที่ยังไม่เจอเหตุการณ์นี้ เพื่อให้เข้าใจปัญหาร่วมกันมและช่วยป้องกันได้อย่างมีประสิทธิภาพที่สุด
HR ต้องคิดว่าเทคโนโลยีมีการพัฒนาอยู่เสมอ ดังนั้นระบบรักษาความปลอดภัยที่องค์กรใช้อยู่เดิมก็ต้องพัฒนาตามไปด้วย เราไม่สามารถปล่อยให้เหตุการณ์ร้ายแรงเกิดขึ้นแล้วค่อยทำการยกระดับระบบรักษาความปลอดภัย แต่เราควรศึกษาหาข้อมูลเป็นระยะเพื่อให้แน่ใจว่าพนักงานทุกคนสามารถดำเนินงานได้บนพื้นฐานของความปลอดภัย ไม่ต้องตกอยู่ในความกลัวโดยไม่จำเป็น
ตัวอย่างเหตุการณ์ Data Breach จากบริษัทชั้นนำ
ในช่วงที่ผ่านมามีเหตุการณ์ Data Breach เกิดขึ้นกับบริษัทชั้นนำของโลกดังต่อไปนี้
Yahoo!
เหตุการณ์นี้เกิดขึ้นในช่วงระหว่างปี 2013 – 2014 โดยมิจฉาชีพสามารถเข้าถึงชื่อ, อีเมล, ที่อยู่ และข้อมูลส่วนตัวอื่น ๆ ได้โดยปราศจากการยินยอม ซึ่งหลังจากที่ข้อมูลหลุดรอดออกมา ก็ทำให้มูลค่าของของบริษัทยักษ์ใหญ่แห่งนี้ตกลงหลายเท่าตัว
Marriot
เครือข่ายโรงแรมชื่อดังของโลกแห่งนี้ก็เคยเป็นเหยื่อของ Data Breach เช่นกัน โดยพวกเขาถูกโจรกรรมข้อมูลไปมากกว่า 500 ล้านชิ้น ประกอบด้วยชื่อ, ที่อยู่, ข้อมูลพาสปอร์ต, ข้อมูลบัตรเครดิต ซึ่งท้ายสุดองค์กรแห่งนี้ถูกปรับเป็นเงินสูงถึง 23 ล้านดอลลาร์สหรัฐ ด้วยเหตุผลว่าพวกเขาไม่สามารถปกป้องข้อมูลส่วนตัวของลูกค้าได้
Microsoft
ในปี 2021 ไมโครซอฟ บริษัทใหญ่ของโลกถูกเจาะข้อมูล ทำให้มี Data Breach ที่ส่งผลกระทบกับองค์กรมากถึง 60,000 แห่งทั่วโลก โดยวิธีการที่ใช้คือการปล่อยมัลแวร์เข้าไปในระบบ และเข้าไปควบคุมการทำงานของฐานข้อมูล
AI เติบโตมากขึ้น Data Breach ยิ่งรุนแรงขึ้น HR ต้องรีบแก้ปัญหาก่อนที่จะสายเกินไป
ถ้าคุณไม่รู้ว่าการเติบโตของเทคโนโลยีมีอันตรายต่อการทำงานอย่างไร เราขอชี้ให้เห็นตัวอย่างด้วยการวิจัยจากบริษัท Home Security Hero จากรัฐเท็กซัส, สหรัฐอเมริกา ที่ได้ทดลองนำโปรแกรม PassGAN เครื่องมือถอดรหัสพาสเวิร์ดด้วย Deep Learning มาวิเคราะห์ข้อมูลส่วนตัวจำนวน 15,680,000 ชิ้น จากฐานข้อมูลจริงของ RockYou Dataset ที่หลุดมาสู่สาธารณะ ก่อนจะได้ข้อสรุปว่า 51% ของพาสเวิร์ดแบบทั่วไป (Common Password เช่น 12345, ชื่อจริง, วันเดือนปีเกิด สามารถเจาะได้ในเวลาไม่ถึง 1 นาที
ด้วยความเร็วดังกล่าว ทำให้เราต้องมาตั้งคำถามอย่างจริงจังว่าระบบความปลอดภัยในองค์กรของเรามีความแน่นหนาแค่ไหน เพราะแผนก HR ได้รชื่อว่าเป็นหน่วยงานที่ตั้งรหัสผ่านแบบคาดเดาได้ง่ายที่สุด ดังนั้นหากเราไม่ได้แก้ไขปัญหานี้ แม้จะหาเทคโนโลยีเข้ามาป้องกันมากแค่ไหน ก็ถือว่าองค์กรมีรากฐานที่ไม่แข็งแรงอยู่ดี
Data Breach คือสิ่งที่องค์กรต้องระมัดระวังอย่างสูง และหากคุณกังวลว่าจะปรับตัวเข้ากับความเปลี่ยนแปลงไม่ทัน เราก็ขอแนะนำให้ใช้บริการ Office Solution เพื่อยกระดับความปลอดภัยในองค์กรของคุณ ซึ่งสามารถเลือกได้ผ่านบริการ HR Products & Services แพลตฟอร์มที่รวบรวมผลิตภัณฑ์ HR ไว้มากที่สุดในเมืองไทย รับรองว่าปลอดภัยหายห่วงแน่นอน
บทสรุป
เราพูดถึงเรื่องของวัฒนธรรมองค์กรกันอยู่บ่อย ๆ ในปัจจุบัน แต่หนึ่งในวัฒนธรรมที่ต้องใส่ใจที่สุดก็คือวัฒนธรรมเรื่องการมีส่วนร่วม (Engagement) และความรู้สึกเป็นเจ้าของ (Sense of Belonging) เพราะแนวคิดนี้จะทำให้เราอยากปกป้องสิ่งที่เป็นขององค์กรเสมือนว่าเป็นของตนเอง
เราขอเน้นย้ำว่าหน้าที่นี้ไม่ใช่เรื่องของ HR หรือฝ่าย IT เพียงอย่างเดียว แต่เป็นหน้าที่ของทุกคน ดังนั้นหากเราอยากยกระดับองค์กรให้เติบโตอย่างยั่งยืนและมั่นคงแข็งแรง นี่คือสิ่งสำคัญที่องค์กรจะมองข้ามไปไม่ได้อีกแล้ว
Sources |