แอปการทำงานร่วมกันทางออนไลน์กลายเป็นเรื่องสำคัญสำหรับหลายธุรกิจในปัจจุบัน แต่หลายองค์กรยังไม่ได้แก้ไขข้อผิดพลาดด้านความปลอดภัยจากการเร่งใช้เครื่องมือเหล่านี้ในช่วงเริ่มต้นของการแพร่ระบาดของ Covid-19
ก่อนเกิดโรคระบาด Covid-19 ในโลกธุรกิจถือว่าคนทำงานส่วนใหญ่จะต้องทำงานในออฟฟิศของบริษัท อย่างไรก็ตาม หลังการระบาดใหญ่ พนักงานจำนวนมากสามารถทำงานได้จากทุกที่ ทุกเวลา และบนอุปกรณ์ใดก็ได้ที่มีการเชื่อมต่ออินเทอร์เน็ต
เมื่อมีมาตรการให้ทำงานที่บ้านจากการระบาด Covid-19 มีผลบังคับใช้ทั่วโลกในต้นปี 2563 องค์กรต่าง ๆ จึงนำเครื่องมือการทำงานร่วมกันออนไลน์มาใช้ ตั้งแต่การประชุมด้วยเสียงและวิดีโอไปจนถึงการเขียนเอกสารร่วมกันและการติดตามโครงการ เครื่องมือเหล่านี้ช่วยให้ทีมสามารถสื่อสาร ทำงานร่วมกัน และแบ่งปันข้อมูลอัปเดตเกี่ยวกับโครงการและความคิดต่างๆ จากที่บ้านหรือที่อื่น
ในขณะที่บางบริษัทกำลังที่จะสนับสนุน หรือแม้แต่สั่งให้พนักงานจำนวนมากกลับมาทำงานในออฟฟิศ แต่เครื่องมือในการทำงานร่วมกันยังคงมีความสำคัญต่อการดำเนินธุรกิจ Doug Glair ผู้อำนวยการฝ่ายความปลอดภัยทางไซเบอร์ของบริษัทวิจัยและที่ปรึกษาด้านเทคโนโลยี ISG กล่าวว่าพวกเขากลายเป็นส่วนพื้นฐานของการทำธุรกิจกับคนที่ทำงานในสถานที่ต่างๆ ทั้งภายในบริษัทและภายนอกกับลูกค้า ซัพพลายเออร์ และบุคคลที่สามอื่นๆ ด้วยเหตุนี้ บริษัทต่างๆ จึงต้องมั่นใจว่าเครื่องมือในการทำงานร่วมกันมีความยืดหยุ่น ใช้งานง่าย และปลอดภัย โดยคำนึงถึงคุณค่าที่สำคัญต่อธุรกิจ
แม้ว่าองค์กรต่างๆ จะใช้เครื่องมือการทำงานร่วมกันมาหลายปี แต่ก็ยังคงทำผิดพลาดด้านความปลอดภัยเช่นเดียวกับในช่วงแรก ๆ ของการแพร่ระบาด ผู้เชี่ยวชาญกล่าว
หนึ่งในเหตุผลหลักคือเครื่องมือในการทำงานร่วมกันมักถูกใช้ต่างกันในแต่ละแผนก ไม่ใช่ทั่วทั้งบริษัท ตามคำกล่าวของ Avani Desai ซีอีโอของ Schellman ซึ่งเป็นบริษัทประเมินความปลอดภัยทางไซเบอร์ “บางทีฉันต้องการใช้ Asana และคนอื่นต้องการใช้ SharePoint และคนอื่นต้องการใช้ Jira และทีมผู้บริหารต้องการใช้เครื่องมืออื่น ดังนั้นการเข้าถึงของผู้ใช้จึงไม่ได้รับการอนุญาตในระดับองค์กร” เธอกล่าว “การเข้าถึงของผู้ใช้เป็นปัญหามานานหลายปี และยังคงเป็นปัญหาต่อไป”
Patrick Hevesi นักวิเคราะห์ของ Gartner เห็นด้วยกับการประเมินของ Desai “สมมติว่ามาตรฐานองค์กรของคุณคือ Microsoft 365 หรือ G Suite หรืออะไรก็ตาม แต่คนอื่นในบริษัทต้องการใช้ Slack” เขากล่าว “ผู้คนกำลังเพิ่มเครื่องมือการทำงานร่วมกันมากขึ้นโดยไม่ได้รับอนุญาตจากฝ่ายรักษาความปลอดภัยด้านไอที”
ยิ่งไปกว่านั้น องค์กรที่ใช้เครื่องมือการทำงานร่วมกัน เช่น Microsoft Teams, Slack, Box, Dropbox, GitHub, Jira, Asana และอื่นๆ มักจะมุ่งเน้นไปที่ประโยชน์ด้านประสิทธิภาพการทำงาน ส่วนการรักษาความปลอดภัยให้กับแพลตฟอร์ม การสื่อสาร และข้อมูลที่พวกเขาแบ่งปันมักจะเป็นสิ่งที่คำนึงในภายหลังหากยังคิดเรื่องนี้อยู่ เจย์ มาร์ติน หัวหน้าฝ่ายปฏิบัติด้านความปลอดภัยของ GreenPages Technology Solutions บริษัทผู้ให้บริการด้านการจัดการกล่าวว่า “การทำให้แพลตฟอร์มการทำงานร่วมปลอดภัยมากขึ้นเป็นสิ่งสำคัญในการปกป้ององค์กรจากผู้คุกคามที่แสวงหาช่องทางเข้าถึงข้อมูลที่เป็นกรรมสิทธิ์ ข้อมูลทางการเงิน ทรัพย์สินทางปัญญา และอื่นๆ”
Computerworld ได้ขอให้นักวิเคราะห์ในอุตสาหกรรมเทคโนโลยี ผู้ให้บริการด้านไอที และที่ปรึกษาด้านความปลอดภัยระบุข้อผิดพลาดด้านความปลอดภัยในเครื่องมือการทำงานร่วมกันที่ใหญ่ที่สุดที่พวกเขายังคงเห็นองค์กรต่างๆ ทำอยู่ในปัจจุบัน — และจะทำอย่างไรกับปัญหาเหล่านี้ นี่คือคำแนะนำจากพวกเขา
ข้อผิดพลาดด้านความปลอดภัยในเครื่องมือการทำงานร่วมกัน 1: ไม่มีการกำกับดูแลส่วนกลางสำหรับเครื่องมือการทำงานร่วมกัน
Sourya Biswas ผู้อำนวยการด้านเทคนิค การบริหารความเสี่ยง และการกำกับดูแลของบริษัทที่ปรึกษาด้านความปลอดภัย NCC Group กล่าวว่า หากองค์กรไม่ให้การเข้าถึงเครื่องมือการทำงานร่วมกันที่ผ่านการตรวจสอบแล้ว พนักงานมักจะพบโซลูชันของตนเองและใช้โซลูชันที่ไม่ปลอดภัย “ดังนั้น แม้ว่าองค์กรต่างๆ จะยอมรับการทำงานร่วมกันทางดิจิทัลเป็นสิ่งสำคัญ แต่ในขณะเดียวกันก็ควรป้องกันการติดตั้งและการใช้เครื่องมือที่ไม่ได้รับอนุมัติด้วยกลไกต่างๆ เช่น การจำกัดการเข้าถึงของผู้ดูแลระบบในแต่ละส่วนและการจัดการเบราว์เซอร์ที่มี”
แม้ว่าเครื่องมือการทำงานร่วมกันจะได้รับการตรวจสอบและอนุมัติแล้ว แต่องค์กรก็ต้องตระหนักถึงแพลตฟอร์มการทำงานร่วมกันที่แตกต่างกันซึ่งพนักงานแต่ละคนได้รับอนุญาตให้เข้าถึงได้ เพื่อป้องกันไม่ให้ข้อมูลสำคัญถูกขโมยและหลีกเลี่ยงการสร้างการโจมตีใหม่ๆ โดยผู้ไม่หวังดี กล่าวโดย Michael McCracken ผู้อำนวยการอาวุโส ของโซลูชันผู้ใช้ปลายทางที่ SHI International ซึ่งเป็นตัวแทนจำหน่ายผลิตภัณฑ์และบริการด้านเทคโนโลยี
นอกจากนี้ ฝ่ายไอทีจำเป็นต้องรักษาการควบคุมส่วนกลางสำหรับเครื่องมือเหล่านี้ AJ Yawn หุ้นส่วน ที่ปรึกษาด้านการประกันความเสี่ยงของ Armanino ซึ่งเป็นบริษัทที่ปรึกษาด้านบัญชีและธุรกิจอิสระกล่าว “หากมีคนถูกเลิกจ้าง คนที่เลิกจ้างจะรู้หรือไม่ว่าต้องออกจากการเข้าถึงเครื่องมือเหล่านี้ หรือ [อดีตพนักงาน] เหล่านั้นยังคงสามารถเข้าถึง [ข้อมูลที่ละเอียดอ่อนของบริษัท] ได้หรือไม่”
ข้อผิดพลาดด้านความปลอดภัยในเครื่องมือการทำงานร่วมกัน 2: การใช้วิธีการแชร์ไฟล์ที่ไม่ปลอดภัย
Schellman’s Desai กล่าว องค์กรหลายแห่งใช้วิธีที่ไม่ปลอดภัยในการแชร์ไฟล์ จะยกตัวอย่างให้เห็นสองตัวอย่างคือไฟล์แนบอีเมลที่ไม่ได้เข้ารหัสและการแชร์ไฟล์สาธารณะที่เกิดขึ้นกับเครื่องมือการทำงานร่วมกันที่ไม่มีการเข้ารหัสในตัว
“การใช้วิธีแชร์ไฟล์ที่ไม่ปลอดภัยเป็นข้อกังวลด้านความปลอดภัย เพราะอาจทำให้ข้อมูลรั่วไหลได้” เธอกล่าว เธอแนะนำให้บริษัทต่างๆ ใช้เฉพาะแพลตฟอร์มแชร์ไฟล์ที่มีการเข้ารหัสที่ปลอดภัยเท่านั้น
ข้อผิดพลาดด้านความปลอดภัยในเครื่องมือการทำงานร่วมกัน 3: ไม่ดำเนินการตรวจสอบสถานะกับที่ปรึกษาและผู้ให้บริการ
แม้ว่าผู้จำหน่ายเครื่องมือการทำงานร่วมกันชั้นนำจะนำเสนอคุณสมบัติด้านความปลอดภัยที่แข็งแกร่ง แต่สุดท้ายก็ขึ้นอยู่กับผู้ปรับใช้และการจัดการซอฟต์แวร์เพื่อให้แน่ใจว่าได้รับการกำหนดค่าเพื่อความปลอดภัยสูงสุด ในหลายกรณี โดยเฉพาะอย่างยิ่งในธุรกิจขนาดเล็ก องค์กรต่างๆ จะใช้บริการที่ปรึกษาด้านไอทีหรือผู้ให้บริการสำหรับบริการเหล่านี้ Kunal Purohit หัวหน้าเจ้าหน้าที่ฝ่ายบริการดิจิทัลของ Tech Mahindra บริษัทที่ให้บริการด้านไอทีและที่ปรึกษากล่าวว่า แม้จะมีความตระหนักมากขึ้นเกี่ยวกับความปลอดภัยในเครื่องมือการทำงานร่วมกัน แต่ที่ปรึกษาและผู้ให้บริการก็ยังคงทำผิดพลาดซึ่งทำให้ข้อมูลของลูกค้าตกอยู่ในความเสี่ยง
ข้อผิดพลาดเหล่านี้รวมถึงการควบคุมการเข้าถึงที่ไม่รัดกุมพอ เช่น การอนุญาตให้แชร์รหัสผ่านหรือให้สิทธิ์มากเกินไป ละเลยที่จะบังคับใช้มาตรการรับรองความถูกต้องที่รัดกุม เช่น การตรวจสอบสิทธิ์แบบสองปัจจัย และความล้มเหลวในการอัปเดตซอฟต์แวร์และระบบอย่างสม่ำเสมอ ซึ่งสามารถเปิดช่องโหว่ได้ ข้อผิดพลาดอื่น ๆ ที่ที่ปรึกษาและผู้ให้บริการทำคือไม่เข้ารหัสข้อมูลที่ละเอียดอ่อนระหว่างการส่งและ/หรือการจัดเก็บที่ดีพอ “นอกจากนี้ ความล้มเหลวในการดำเนินการตรวจสอบและประเมินความปลอดภัยอย่างสม่ำเสมอยังทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยง” Purohit กล่าว
องค์กรควรดำเนินการตรวจสอบสถานะอย่างถี่ถ้วนก่อนที่จะว่าจ้างที่ปรึกษาหรือผู้ให้บริการใดๆ Purohit แนะนำ ซึ่งรวมถึงการตรวจสอบว่าบุคคลที่สามเหล่านี้มีประวัติการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเหมาะสม
“องค์กรควรกำหนดข้อกำหนดและความคาดหวังด้านความปลอดภัยอย่างชัดเจน และรวมไว้ในข้อตกลงตามสัญญากับที่ปรึกษาหรือผู้ให้บริการ นอกจากนี้ บริษัทต่างๆ ควรดำเนินการตรวจสอบและประเมินความปลอดภัยอย่างสม่ำเสมอ เพื่อระบุช่องโหว่หรือการไม่ปฏิบัติตามข้อกำหนด”
ตามที่ Purohit กล่าวไว้ องค์กรควรใช้การควบคุมการเข้าถึงอย่างเข้มงวด โดยให้ที่ปรึกษาและผู้ให้บริการได้รับสิทธิ์จำกัดตามความต้องการของพวกเขาเท่านั้น และสำคัญที่สุดคือ องค์กรควรสร้างช่องทางการสื่อสารที่ชัดเจนกับพวกเขา เพื่อรายงานเหตุการณ์ด้านความปลอดภัยหรือการละเมิดโดยทันที
ข้อผิดพลาดด้านความปลอดภัยในเครื่องมือการทำงานร่วมกัน 4: ไม่มั่นใจว่าพนักงานกำลังใช้การเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย
การสามารถทำงานร่วมกันจากทุกที่ในโลกด้วยการเชื่อมต่ออินเทอร์เน็ตเปิดโอกาสให้พนักงานเชื่อมต่อกับจุดเชื่อมต่อไร้สายที่ไม่ปลอดภัยในสถานที่สาธารณะ เช่น ร้านกาแฟและสนามบิน ซึ่งจะเป็นการเสี่ยงต่อข้อมูลที่ส่งผ่านการเชื่อมต่อ NCC’s Biswas ได้กล่าวไว้ว่า การใช้ Virtual private networks (VPN), secure access service edge (SASE), และ zero-trust network access tools เป็นวิธีการป้องกันความเสี่ยงดังกล่าว
Rahul Mahna ผู้นำทีมบริการ IT ของ EisnerAmper ก็เห็นด้วยกับความเสี่ยงดังกล่าว โดยกล่าวไว้ว่า “ตอนนี้ทุกคนกำลังเดินทางแล้วใช้ Wi-Fi ฟรีที่มีให้บริการบน Acela, ห้องโรงแรมของพวกเขาและศูนย์ประชุมเพื่อเชื่อมต่อไปยังเครื่องมือการทำงานร่วมกันของพวกเขา แต่มันเป็นเรื่องที่ไม่ปลอดภัย เราจึงต้องบอกผู้คนว่าการเชื่อมต่อที่ปลอดภัยที่สุดคือการเชื่อมต่ออินเทอร์เน็ตผ่านมือถือ เพราะความปลอดภัยของผู้ให้บริการโทรศัพท์ของคุณจะดีกว่าความปลอดภัย ที่คุณสามารถได้จาก Wi-Fi ฟรี”
อย่าปล่อยเวลาให้เลื่อนลอย
Kris Lovejoy ผู้นำฝ่ายปฏิบัติด้านความปลอดภัยของ Kyndryl บริษัทให้บริการโครงสร้างพื้นฐาน IT กล่าวไว้ว่า “การทำงานร่วมกันแพร่หลายขับเคลื่อนสถานที่ทำงานในปัจจุบัน” โดยการระบุว่าการแพร่กระจายของการโจมตีไซเบอร์เป็นไปตามพื้นที่ทำงานที่หลากหลายในช่วงการแพร่ระบาดของโควิด-19 ซึ่งเพิ่มความเสี่ยงให้กับการโจมตีไซเบอร์
ที่มา: computerworld.com
