ลองจินตนาการดูว่า…
คุณเป็นหัวหน้าฝ่าย IT อยู่ในบริษัทที่มีการติดตั้งไฟร์วอลล์และเซิฟเวอร์ทุกเครื่องมีการอัพเดทแพทช์เรียบร้อย เครื่องผู้ใช้งานมีการติดตั้งโปรแกรมป้องกันมัลแวร์ สแปม และฟิชชิ่ง .. Adobe Flash .. ไม่มีการใช้งานในบริษัท ระบบรักษาความปลอดภัยแบบ Role-based ก็ติดตั้งไปแล้วเมื่อ 3 ปีก่อน นอกจากนี้ ระบบ BYOD ก็อนุญาตให้เฉพาะเครื่องที่ติดตั้งโปรแกรมแอนตี้ไวรัสและถูกควบคุมโดยนโยบายรักษาความปลอดภัยอย่างเข้มงวด ฝ่าย IT ปฏิบัติงานตามแผนดูแลระบบความปลอดภัยทุกขั้นตอนอย่างเคร่งครัด … คงไม่มีระบบใดที่ยอดเยี่ยมไปกว่านี้อีกแล้ว
ความจริงอันแสนโหดร้าย
แต่ในความเป็นจริงนั้นต่างจากจินตนาการอย่างสิ้นเชิง บริษัทขนาดเล็กมักประสบปัญหาในการพัฒนาระบบรักษาความปลอดภัย รวมทั้งจ้างผู้เชี่ยวชาญมาดูแล หรือแม้แต่บริษัทขนาดใหญ่เอง บางทีก็ไม่สามรถระบุได้ว่าระบบหรือข้อมูลส่วนใดของตนเองที่จำเป็นต้องป้องกันอย่างเข้มงวด หลายบริษัทลงทุนเป็นจำนวนมหาศาลเพื่อติดตั้งฮาร์ดแวร์และซอฟต์แวร์รักษาความปลอดภัยอย่างไร้จุดหมายที่แน่ชัด โดยหวังว่าจะสามารถป้องกันระบบข้อมูลการเงิน ความลับของบริษัท และข้อมูลลูกค้าจากการถูกเจาะได้ทั้งหมด
คำถาม คือ ถ้าบริษัทขนาดใหญ่มีการติดตั้งระบบรักษาความปลอดภัยที่เหมาะสม ละจ้างวานบุคลากรที่มีคุณภาพมาดูแลระบบ ทำไมบริษัทเหล่านั้นยังคงถูกเจาะ ??
คำตอบที่ง่ายที่สุด คือ ระบบของบริษัทโดยทั่วไปแล้วมีการขยายตัว และเพิ่มความสลับซับซ้อนขึ้นเรื่อยๆ ส่งผลให้อาจจะพลาดในการระบุช่องโหว่ที่แอบซ่อนอยู่ในระบบ ไม่ว่าจะเป็นการกำหนดกฏของไฟร์วอลล์ผิดพลาด การตั้งค่า Wi-Fi Access Point ไม่ปลอดภัย หรือพนักงานใหม่เผลอกดลิงค์ผิด เป็นลิงค์ฟิชชิ่ง หรือไวรัสดาวน์โหลดมาติดตั้งบนเครื่อง ส่งผลให้แฮ็คเกอร์มีช่องทางในการเจาะระบบเข้ามาได้
มีบริษัทเพียง 33% เท่านั้น ที่ทดสอบระบบรักษาความปลอดภัยอย่างครบถ้วน
เพื่อเป็นแนวทางในการดูแลระบบและข้อมูลของบริษัทให้ปลอดภัย ข้อกำหนดและมาตรฐานต่างๆจึงถูกคิดค้นขึ้น เช่น PCI-DSS ที่ระบุรายการความต้องการด้านความปลอดภัยสำหรับการรับส่งข้อมูล จัดเก็บ และประมวลผลข้อมูลบัตรเครดิต สำหรับให้ร้านค้าขนาดเล็กจนไปถึงหน่วยงานรัฐปฏิบัติตามเพื่อให้ผู้ใช้บริการมั่นใจได้ว่า ข้อมูลบัตรเครดิตของตนเองมีความปลอดภัย ตารางด้านล่างแสดงข้อกำหนดของ PCI-DSS 12 ข้อ โดย PCI Security Standards Council
รายการที่ 11 ระบุว่า “Regularly test security systems and processes” หรือก็คือ หมั่นทดสอบความปลอดภัยของระบบและการประมวลผลต่างๆ ซึ่งการทดสอบนี้ก็ชัดเจนว่ามีเป้าหมายเพื่อค้นหาช่องโหว่ที่อาจเปิดทางให้อาชญากรบนโลกไซเบอร์เจาะระบบเข้ามาได้
จากรายงานข้อกำหนด PCI ของ Verizon ประจำปี 2015 พบว่าในปี 2014 ที่ผ่านมา หลายบริษัทมีการตื่นตัวเรื่องการพัฒนาระบบรักษาความปลอดภัยให้ผ่านตามข้อกำหนด PCI-DSS ทั้ง 12 ข้อมากยิ่งขึ้นเมื่อเทียบกับปี 2013 ยกเว้นแค่ข้อ 11 เท่านั้น มีเพียง 33% ของบริษัททั้งหมดเท่านั้น ที่มีการทดสอบระบบรักษาความปลอดภัยอย่างถูกต้องครบถ้วน
ผลลัพธ์สุดท้าย คือ หลายบริษัทปล่อยให้ระบบของตนเองมีช่องโหว่ และโดยส่วนใหญ่ บริษัทเหล่านั้นมักไม่มีการทำตรวจสอบหรือ Audit ระบบของตนเองเนื่องจากต้องลงทุนสูงและสิ้นเปลืองเวลาเป็นอย่างมาก บริษัทขนาดเล็กเองก็ไม่มีงบประมาณเพียงพอที่จะติดตั้งระบบตรวจสอบ นอกจากนี้ ในรายงานยังระบุอีกว่า ช่องโหว่หลายรายการสามารถค้นพบจากการสแกนช่องโหว่ตามรายการที่ 11 เพียงอย่างเดียว ซึ่งรายการที่ 11 เป็นความต้องการพื้นฐานที่ทำให้มั่นใจได้ว่าบริษัทมีความพร้อมต่อการถูกโจมตีหลากหลายรูปแบบ ระหว่างการตรวจสอบการเจาะระบบในช่วงครึ่งหลัง พบว่ามีบริษัทที่ผ่านข้อกำหนดเพียง 9% เท่านั้น
ทดสอบ – ติดตามผล – ตรวจสอบผล
แนวคิดในการแก้ปัญหาช่องโหว่นั่นง่ายมา คือ ทดสอบ ติดตามผล ตรวจสอบผล และทดสอบใหม่อีกครั้ง ไปเรื่อยๆ ว่าจ้างนักทดสอบเจาะระบบและนักตรวจสอบ (Auditor) มืออาชีพนับว่าเป็นความคิดที่ดี แต่วิธีการนี้จำเป็นต้องลงทุนสูง ไม่ว่าจะเป็นด้านการเงิน หรือด้านบุคลากร ซึ่งหลายบริษัทอาจจะไม่มีงบประมาณเพียงพอ
ความสามารถในการปกป้องข้อมูลของลูกค้า และทรัพย์สินทางปัญญาของบริษัทไม่ได้เป็นสิ่งจำเป็นทางกฏหมาย แต่เป็นสิ่งที่ทำให้บริษัทเหนือกว่าคู่แข่ง ถึงแม้ว่าบริษัทจะมีการติดตั้งระบบรักษาความปลอดภัยที่ยอดเยี่ยมและทันสมัยที่สุด การทดสอบระบบและตรวจสอบระบบสม่ำเสมอก็นับว่าเป็นสิ่งสำคัญไม่แพ้กัน แผนความปลอดภัยที่ไม่มีการทดสอบและตรวจสอบระบบก็จะไม่ถูกนับว่าเป็นแผนที่สมบูรณ์พร้อม
ที่มา: http://blog.fortinet.com/post/if-you-re-not-being-audited-and-pen-tested-you-should-be