เที่ยวสงกรานต์อย่างไร ให้ปลอดภัยไซเบอร์

แคสเปอร์สกี้แนะเที่ยวสงกรานต์ให้ปลอดภัยไซเบอร์ เผยคำแนะนำสำหรับบุคคลและภาคธุรกิจ เพื่อลดความเสี่ยงข้อมูลรั่วไหลช่วงวันหยุดสงกรานต์

ในที่สุดฤดูร้อนก็มาถึง หลายคนพร้อมที่จะจัดกระเป๋าและเตรียมไปพักผ่อนในวันหยุด ได้วางงาน ผ่อนคลาย และใช้เวลาที่มีคุณภาพกับครอบครัวและเพื่อนฝูง เส้นแบ่งระหว่างการทำงานกับการใช้ชีวิตเริ่มเลือนลางตั้งแต่เกิดโรคระบาด แนวคิดเรื่องความสมดุลระหว่างสองสิ่งเพิ่มมากขึ้น และ ‘vacation’ ก็พัฒนาไปสู่ ‘staycation’ และ ‘workcation’ ทำให้ในช่วงวันหยุดยาวนี้หลายๆ คนจึงเอางานติดตัวไปทำระหว่างท่องเที่ยวด้วย ซึ่งเป็นความท้าทายด้านการรักษาความปลอดภัยของข้อมูลองค์กรและข้อมูลส่วนบุคคลอย่างแน่นอน แคสเปอร์สกี้จึงมาพร้อมคำแนะนำที่ดีเพื่อความปลอดภัยไซเบอร์สำหรับสงกรานต์นี้

ความปลอดภัยของข้อมูลกายภาพ

เมื่อคุณทำงานที่สำนักงานของนายจ้าง การปกป้องข้อมูลส่วนใหญ่เป็นความรับผิดชอบของฝ่ายไอที อย่างไรก็ตาม การเคลื่อนย้ายงานของคุณระหว่างที่ทำงาน บ้าน และสถานที่พักผ่อน เช่น แล็ปท็อป ไฟล์ และแฟลชไดรฟ์ ทำให้ข้อมูลของบริษัทมีความเสี่ยงที่จะถูกละเลยหรือแม้กระทั่งถูกขโมย

ถ้าเป็นไปได้ ให้แยกดีไวซ์สำหรับโฮมออฟฟิศและธุรกิจออกจากกัน เพราะนอกจากจะไม่ต้องแบกงานไปเที่ยวแล้ว ยังเป็นวิธีที่มีความปลอดภัยมากขึ้นด้วย หากคุณต้องเดินทางโดยระบบขนส่งสาธารณะ แนะนำให้ใช้กระเป๋าแล็ปท็อปที่แข็งแรงซึ่งมีตัวล็อกและซิป

ไม่ควรเก็บโน้ตบุ๊กพร้อมพาสเวิร์ดไว้ในกระเป๋าใส่แล็ปท็อป แนะนำให้ใช้ตัวจัดการพาสเวิร์ด (password manager) เพื่อสร้างและรักษาพาสเวิร์ดให้ปลอดภัย (การจำพาสเวิร์ดเอง 2-3 รายการนั้นปลอดภัยจริง และการใช้สัญลักษณ์ต่างๆ เพื่อช่วยจำนั้นช่วยได้มาก)

ใส่ใจกับความปลอดภัยของข้อมูลดิจิทัล

หากคุณต้องพกพาดีไวซ์ติดตัวไปด้วยในวันหยุด ให้พิจารณาถึงความเสี่ยงที่จะสูญเสียดีไวซ์และเตรียมตัวให้พร้อม ควรพิจารณาการเข้ารหัสข้อมูลที่เป็นความลับเพื่อปกป้องข้อมูล สามารถใช้เครื่องมือเริ่มต้นในระบบปฏิบัติการของคุณได้ เช่น BitLocker ใน Windows และ FileVault ใน macOS หรือเครื่องมือของที่อื่นหากบริษัทของคุณอนุญาต ด้วยวิธีนี้ ต่อให้มีใครขโมยแล็ปท็อปไป ก็จะไม่สามารถเข้าถึงไฟล์ในเครื่องได้

คุณสามารถหลีกเลี่ยงการจัดเก็บข้อมูลใดๆ ในเครื่องได้โดยการใช้บริการคลาวด์แทนที่จะใช้การเข้ารหัสทั้งดิสก์ ตัวอย่างเช่น Google Docs ที่กลายเป็นคู่แข่งสำคัญกับซอฟต์แวร์เพิ่มประสิทธิภาพการทำงานออฟไลน์แบบเดิม และควรตั้งค่าการเข้าถึงไฟล์อย่างปลอดภัย เมื่อใช้งานเอกสาร สเปรดชีต หรือเครื่องมืออื่นๆ

การพิจารณาขั้นพื้นฐานที่สำคัญที่สุดคือใช้การรับรองความถูกต้องด้วยสองปัจจัย (two-factor authentication) เลือกบริการที่เสนอ 2FA เพื่อทำให้การละเมิดบัญชียากมากขึ้น และไม่ควรเก็บข้อมูลที่เป็นความลับในคลาวด์

ข้อมูลที่ละเอียดอ่อนบนดีไวซ์ส่วนบุคคล

พนักงานจะรู้สึกปลอดภัยหากบริษัทของคุณมีแผนงาน BYOD ที่มั่นคง และพนักงานต้องตระหนักถึงความเสี่ยงในการทำงานจากดีไวซ์ส่วนบุคคล มิฉะนั้น หากเกิดเหตุการณ์วิกฤติในช่วงเทศกาลวันหยุด อาจเป็นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ซึ่งพนักงานจำเป็นจัดการเมื่ออยู่ไกลจากที่ทำงานหรือแม้แต่ที่บ้าน

สิ่งสำคัญอีกเรื่องคือ หลายบริษัทใช้โปรแกรมสื่อสารผ่านโมบายดีไวซ์สำหรับธุรกิจโดยเฉพาะ พนักงานมักจะบันทึกข้อมูลติดต่อของเพื่อนร่วมงานและลูกค้าไว้ในดีไวซ์ของตน

ดีไวซ์บางอย่างยังเก็บการสื่อสารด้วยเสียง สมาร์ทโฟนบางรุ่นมีคุณสมบัติในตัวเพื่อบันทึกการสนทนาทางโทรศัพท์โดยอัตโนมัติ และเจ้าของดีไวซ์สามารถใช้แอปพลิเคชันนอกบริษัทได้อีก

นักท่องเที่ยวเป็นเป้าหมายทางไซเบอร์

ในช่วงวันหยุด ผู้คนจะผ่อนคลายมากขึ้นและใส่ใจในรายละเอียดน้อยลงกว่าที่ควร ซึ่งรวมถึงสมาร์ทโฟนและแท็บเล็ตด้วย โอกาสสูญเสียดีไวซ์ล้ำค่ามีสูงมาก ดีไวซ์ที่ถูกขโมยหรือสูญหายนั้นมักจะถูกล้างข้อมูลก่อนที่จะขายต่อ

ผู้โจมตีทางไซเบอร์สามารถเข้าถึงข้อมูลที่มีค่าโดยไม่ต้องหยิบสมาร์ทโฟนออกจากกระเป๋าของเจ้าของ พนักงานที่ไปเที่ยวพักผ่อนหลายคนใช้ Wi-Fi สาธารณะ ซึ่งมีความสะดวกแต่มีความเสี่ยงมากกว่า อาชญากรไซเบอร์สามารถตรวจสอบและดักสกัดข้อมูลได้ เช่นเดียวกับที่ชาร์จ USB ที่สนามบินและสถานที่สาธารณะอื่น ๆ อาชญากรไซเบอร์สามารถใช้เพื่อขโมยข้อมูลจากดีไวซ์และแพร่ซอฟต์แวร์ที่เป็นอันตราย เช่น สปายแวร์


ผลกระทบที่อาจเกิดขึ้น

ความลับทางการค้าที่ตกอยู่ในมือคนผิดอาจทำให้เกิดความเสียหายร้ายแรง ข้อมูลเกี่ยวกับการควบรวมกิจการที่อาจเกิดขึ้น แผนธุรกิจ รายงานทางการเงิน และข้อมูลองค์กรอื่นๆ สามารถนำไปขายให้กับคู่แข่งได้ ซึ่งจะส่งผลที่สำคัญต่อบริษัทของคุณ

การบันทึกการสนทนาทางโทรศัพท์กับเพื่อนร่วมงานไว้อาจไม่เปิดเผยความลับทางการใดๆ แต่ข้อมูลที่อาชญากรไซเบอร์รวบรวมได้อาจนำมาใช้ในการแบล็กเมล์หรือการโจมตีที่เกี่ยวข้องกับวิศวกรรมสังคม

นอกจากนี้ ผู้โจมตีโดยใช้วิธีฟิชชิ่งยังสนใจข้อมูลติดต่อของคุณ เป็นไปได้ว่าสมุดข้อมูลติดต่อที่รั่วไหลอาจมีอีเมลแอดเดรสที่ไม่ได้เปิดเผยไว้ทางออนไลน์ เจ้าของอีเมลแอดเดรสดังกล่าวมักจะเชื่อถืออีเมลที่ได้รับ เพราะคิดว่าบุคคลภายนอกไม่สามารถเข้าถึงอีเมลแอดเดรสนี้ได้

นางสาวเบญจมาศ จูฑาพิพัฒน์ ผู้จัดการประจำประเทศไทย แคสเปอร์สกี้ กล่าวว่า “เมื่อวางแผนวันหยุดเรียบร้อยแล้ว คุณก็พร้อมที่จะออกเดินทางท่องเที่ยวสู่จุดหมายปลายทางพร้อมดีไวซ์ในมือ สถานการณ์ในอุดมคติคือการแยกธุรกิจและชีวิตส่วนตัวออกจากกัน แต่อย่างไรก็ตาม หากต้องนำดีไวซ์ที่เกี่ยวข้องกับงานติดตัวไปด้วย ขอแนะนำให้ระมัดระวังและคำนึงถึงหลักปฏิบัติด้านสุขอนามัยพื้นฐานทางดิจิทัล เพราะนี่ไม่ใช่แค่การปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการเงินของคุณเท่านั้น แต่ยังรวมถึงการปกป้องข้อมูลของบริษัทที่อยู่ภายใต้การดูแลของคุณ”

นางสาวเบญจมาศ กล่าวเสริมว่า “นายจ้างควรมีบทบาทสำคัญในการให้การฝึกอบรม การเตือนความจำ และคำแนะนำที่รวดเร็วแก่พนักงานของตนอย่างสม่ำเสมอเมื่อต้องเผชิญกับภัยคุกคามทางไซเบอร์ สุขสันต์วันหยุดสงกรานต์นะคะ”


วิธีลดความเสี่ยงการรั่วไหลของข้อมูลในช่วงวันหยุด

เป็นไปไม่ได้ที่จะป้องกันไม่ให้พนักงานใช้ดีไวซ์ส่วนตัวในการทำงาน ดังนั้นเพื่อรักษาความปลอดภัยข้อมูลธุรกิจจากบุคคลภายนอก แคสเปอร์สกี้ขอแนะนำการฝึกอบรมพนักงานเกี่ยวกับพื้นฐานของความปลอดภัยของข้อมูล รวมถึงวิธีใช้สมาร์ทโฟนและแท็บเล็ต นอกจากนี้ แนะนำให้นายจ้างส่งบันทึกช่วยจำก่อนช่วงพักร้อนของพนักงาน ดังนี้

•    อธิบายมาตรการรักษาความปลอดภัยที่เหมาะสมสำหรับพนักงานในการเก็บข้อมูลส่วนบุคคลได้อย่างปลอดภัยจากการสอดส่อง เช่น จดหมายโต้ตอบ ภาพถ่าย รายละเอียดบัตรธนาคาร

•    ส่งเสริมให้พนักงานเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการง่ายๆ ในการปกป้องข้อมูลส่วนบุคคล เน้นย้ำถึงความสำคัญของการเข้ารหัสข้อมูล การรับรองความถูกต้องด้วยสองปัจจัย และการใช้พาสเวิร์ดที่รัดกุม และอธิบายว่าต้องทำอย่างไรหากดีไวซ์ถูกขโมย

•    ให้ความรู้พนักงานเกี่ยวกับอันตรายของการใช้ Wi-Fi สาธารณะ และวิธีทำให้ปลอดภัยยิ่งขึ้น (เช่น ใช้ VPN)

•    แนะนำให้ชาร์จสมาร์ทโฟนในเต้ารับที่ผนัง ไม่ใช่ผ่าน USB

•    อธิบายความสำคัญของการติดตั้งโซลูชันการรักษาความปลอดภัยที่เชื่อถือได้พร้อมเทคโนโลยีป้องกันการโจรกรรมบนดีไวซ์พกพาส่วนบุคคล

•    เตือนพนักงานว่าการรายงานความพยายามในการโจมตีทางอินเทอร์เน็ตเป็นสิ่งสำคัญ และนายจ้างควรระบุขั้นตอนที่ชัดเจนในการดำเนินการดังกล่าว เช่น มีระบบการรายงานเหตุการณ์ หรือการโทรและส่งข้อความโดยเฉพาะ