18 สิงหาคม 2015
385

กระแส Internet of Things หรือการใช้อินเตอร์เน็ตเชื่อมโยงเข้ากับอุปกรณ์และเครื่องมือต่าง ๆ ในชีวิตประจำวัน เช่น โทรศัพท์มือถือ รถยนต์ โทรทัศน์ เข้าไว้ด้วยกันกำลังเป็นที่พูดถึงกันมากในปัจจุบัน ซึ่งกูรูหลายสำนักวิเคราะห์ว่า แนวโน้มต่อจาก Internet of Things ก็คือ Internet of Everything หรือในอนาคตทุกสิ่งทุกอย่างรอบตัวเราจะถูกเชื่อมโยงเข้ากับอินเตอร์เน็ตทั้งหมด

ในการทำงาน ความก้าวหน้าทางเทคโนโลยีในด้านต่าง ๆ ทั้งอุปกรณ์เคลื่อนที่ (Mobile Device) หรือระบบ Cloud ทำให้พนักงานสามารถเข้าถึงองค์ความรู้ขององค์กรได้รวดเร็วขึ้น ไม่ว่าที่ไหนและเมื่อไรก็ตาม การพัฒนาเทคโนโลยีด้าน Social Media ทำให้เราค้นหาความรู้ใหม่ ๆ ได้ง่ายขึ้น และสามารถแลกเปลี่ยนเรียนรู้กับใครที่ไหนก็ได้ในโลกใบนี้ โดยไม่ต้องรู้จักหน้ากัน ซึ่งในขณะที่ชีวิตเรากำลังพึ่งพาอินเทอร์เน็ตมากขึ้น สิ่งที่คืบคลานเข้ามาพร้อมกันกับความสะดวกสบายนี้อย่างเงียบ ๆ คือ ความปลอดภัยข้อมูลและความรู้ที่สำคัญภายในองค์กร

ภัยจากไซเบอร์กลายเป็นความท้าทายระดับโลกที่ World Economic Forum จัดระดับความสำคัญไว้ในระดับ Top 10 ซึ่งในอนาคตจะทวีบทบาทมากขึ้นเรื่อย ๆ ต่อไปองค์กรทุกแห่งในโลก ไม่ว่าจะขนาดเล็กหรือใหญ่ ในเมืองหรือชนบทล้วนมีความเสี่ยงที่จะถูกคุกคามหรือจารกรรมข้อมูล ซึ่งองค์กรที่ปรึกษาชั้นนำของโลกหลายแห่งอย่างเช่น Ernst & Young, McKinsey & Company, TrendMicro ล้วนเห็นพ้องต้องกันว่า การคุกคามในโลกไซเบอร์เป็นภัยที่นับวันมีแต่ยากที่จะป้องกันได้เพิ่มขึ้นเรื่อย ๆ และกลายเป็นปัญหาร้ายแรงที่ทุกองค์กรต้องให้ความสำคัญ

การคุกคามในยุคอินเทอร์เน็ต

Hack-1เดิมในธุรกิจที่มีการแข่งขันสูง วิธีการเสาะหาความลับของคู่แข่งมีการใช้เทคนิคแพรวพราว ตั้งแต่การดักฟังโทรศัพท์ การจ้างให้คนเข้าไปทำงานที่องค์กรคู่แข่งเพื่อขโมยข้อมูล หรือแม้แต่การขอซื้อขยะกระดาษที่ใช้แล้วของคู่แข่งไปค้นหาความลับก็เคยเกิดขึ้นจนกลายเป็นคดีความกันมาแล้ว

แต่ปัจจุบัน ความก้าวหน้าทางเทคโนโลยีทำให้เราสามารถใช้คอมพิวเตอร์ โทรศัพท์มือถือ หรือ อุปกรณ์ต่าง ๆ เชื่อมต่อกับอินเตอร์เน็ตด้วยความเร็วที่สูงขึ้นในราคาที่ถูกลงจนองค์กรส่วนใหญ่หันมาเก็บข้อมูลในรูปอิเล็กทรอนิกส์ไฟล์และใช้อินเตอร์เน็ตในการเก็บข้อมูล ทำงาน และติดต่อสื่อสารทั้งภายในและภายนอกองค์กรเป็นหลัก ทำให้การขโมยหรือทำลายข้อมูลและความรู้ในทุกวันนี้ไม่ได้ยากลำบากเหมือนในหนังสายลับอย่าง James Bond หรือ Mission: Impossible อีกต่อไป อีกทั้งยังใช้กำลังคน เงิน และเวลาน้อยกว่า ในขณะที่สามารถก่อให้เกิดความเสียหายรุนแรงกว่ามาก

อย่างเมื่อเร็ว ๆ นี้ มีการระบาดของมัลแวร์ RansomWare หรือที่ประเทศไทยเราเรียกกันว่า ไวรัสเรียกค่าไถ่ ซึ่งเป็นมัลแวร์ที่นำข้อมูลทั้งหมดในเครื่องคอมพิวเตอร์ไปเข้ารหัสแล้วส่งจดหมายขู่ไปยังเจ้าของให้จ่ายเงินภายในระยะเวลาที่กำหนดเพื่อไถ่ไฟล์คืนกลับมา หากคอมพิวเตอร์ที่ติด RansomWare เชื่อมต่อกับอินเตอร์เน็ต External Hard Disk หรือ Flash Drive แล้ว ไฟล์ในหน่วยความจำเหล่านั้นก็จะถูกล็อคเข้ารหัสด้วย ซึ่งแม้เรายอมจ่ายเงินตามที่ถูกข่มขู่ก็ไม่แน่เสมอไปว่าจะได้ไฟล์คืน ดังนั้น ถ้าหากไม่มีการสำรองไฟล์ไว้ที่อื่น ความรู้ที่เราค่อย ๆ สั่งสมรวบรวมมาตลอดชีวิตก็จะกลายเป็นของคนอื่นเพียงแค่เสี้ยววินาที

ถึงแม้ว่าการคุกคามทางไซเบอร์จะถือเป็นภัยร้ายแรงระดับโลกที่หลายประเทศกว่าค่อนโลกให้ความสำคัญกันมาก แต่สำหรับประเทศส่วนใหญ่ในอาเซียนกลับยังขาดความระมัดระวังและไม่ให้ความสำคัญในการสร้างระบบรักษาความปลอดภัยแก่ความรู้ขององค์กร เห็นได้จากเมื่อเดือนเมษายนที่ผ่านมามีข่าวรายงานว่า องค์กรภาครัฐและเอกชนหลายแห่งในภูมิภาคเอเชียตะวันออกเฉียงใต้และอินเดียถูกลอบจารกรรมข้อมูลทางอินเตอร์เน็ต ทั้งข้อมูลด้านการเมือง เศรษฐกิจ การทหาร การก่อสร้าง พลังงาน ขนส่ง โทรคมนาคม และการบิน มาตั้งแต่ปีพ.ศ. 2548 เป็นอย่างน้อยโดยไร้การป้องกันหรือรับมือใด ๆ

เฉพาะในประเทศไทยเอง องค์กรจำนวนมากยังมองว่า การคุกคามทางไซเบอร์เป็นเรื่องไกลตัวและไม่ค่อยตระหนักถึงความสำคัญในเรื่องดังกล่าวเช่นกัน ยกตัวอย่างเช่น หลายองค์กรในภาครัฐยังใช้ Internet และ Intranet เป็นอันเดียวกัน เพราะมองว่า ตนเองมีหน้าที่บริการและให้ความรู้แก่ประชาชน จึงพยายามเปิดเผยข้อมูลและความรู้ทุกอย่างขององค์กรให้ประชาชนเห็นได้ทั้งหมด ซึ่งก็เป็นมุมมองที่ไม่ผิด แต่หากมองกลับกัน องค์กรภาครัฐมีข้อมูลประชาชนที่ถือเป็นความลับส่วนบุคคลจำนวนมหาศาล และมีข้อมูลและความรู้หลายเรื่องที่ส่งผลกระทบต่อชีวิตคนจำนวนมาก ดังเห็นได้จากหลายกรณีที่เกิดขึ้นในต่างประเทศ ซึ่งการที่หน่วยงานรัฐหลายแห่งถูกคุกคามทำให้เกิดผลกระทบต่อประชาชนในวงกว้าง อย่างเช่น ทำให้การเดินรถไฟของนิวยอร์กต้องหยุดชะงัก ทำให้ประชาชน 8.5 ล้านคนในรัฐเวอร์จิเนียถูกลบข้อมูลการสั่งจ่ายยา ทำให้ชาวออสเตรเลียไม่มีไฟฟ้าใช้ แม้แต่ทำให้เครื่องบินไม่สามารถบินขึ้นจากสนามบินฝรั่งเศสได้

หรือกรณีขององค์กรเอกชนที่มีข่าวโด่งดังไปทั่วโลกล่าสุด คือ บริษัท Sony Pictures ที่ถูกคุกคามทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้ทั้งบริษัท และถูกขโมยภาพยนตร์ที่ยังไม่ถูกฉาย 5 เรื่องนำไปเผยแพร่ทางออนไลน์รวมถึงข้อมูลส่วนตัว อีเมล์ของผู้บริหาร พนักงาน ดาราพรีเซนเตอร์ และผู้เกี่ยวข้องกว่า 47,000 คน ซึ่งทำให้บริษัทสูญเสียรายได้และความน่าเชื่อถืออย่างยากที่จะกลับมาเป็นเหมือนเดิมได้ในระยะเวลาอันสั้น

แล้วเราจะทำอย่างไร

John Chambers ประธานและ CEO บริษัท Cisco Systems, Inc ซึ่งเป็นบริษัทชั้นนำระดับโลกในด้าน IT กล่าวว่า มีองค์กรอยู่ 2 ประเภท ประเภทแรกคือองค์กรที่ถูกแฮก ประเภทหลังคือองค์กรที่ไม่รู้ตัวว่าตัวเองถูกแฮก

นั่นหมายความว่า ไม่ว่าองค์กรไหนก็ไม่สามารถป้องกันการคุกคามทางไซเบอร์ได้ 100%

ถึงแม้สิ่งที่ Chambers กล่าวจะเป็นความจริงก็ตาม แต่เราก็ไม่สามารถนั่งอยู่เฉย ๆ ปล่อยให้คนอื่นมาเอาความรู้ของเราไปทำอะไรตามอำเภอใจ ดังนั้น แม้ไม่อาจป้องกันการคุกคามทางไซเบอร์ได้ 100% แต่อย่างน้อยองค์กรก็ควรมีการวางระบบป้องกันและมาตรการจัดการกับปัญหาที่จะเกิดขึ้นได้

หัวใจสำคัญของการรักษาความปลอดภัยให้แก่ข้อมูลมักใช้หลักที่เรียกว่า CIA Triad (คล้ายตัวย่อของหน่วยงาน Central Intelligence Agency หน่วยข่าวกรองกลางสหรัฐอเมริกา) ซึ่งเราสามารถนำหลักการนี้มาประยุกต์ใช้กับการปกป้องความรู้ได้เช่นกัน โดย CIA Triad ประกอบด้วย

1. การรักษาความลับ (Confidentiality)

การรักษาความรู้ที่ควรเป็นความลับ ไม่ให้ผู้ที่ไม่ได้รับอนุญาตล่วงรู้ โดยเฉพาะความรู้ที่ชี้เป็นชี้ตายขององค์กร เช่น ความรู้เกี่ยวกับกลยุทธ์ ลูกค้า หรือสูตรการผลิตต่าง ๆ เป็นต้น การวิเคราะห์ว่าความรู้ใดที่สำคัญต่อองค์กร ซึ่งเป็นประเด็นที่เราหยิบยกมาพูดคุยกันหลายครั้ง นอกจากจะช่วยให้องค์กรทำ KM แบบไม่หว่านแหแล้ว ยังทำให้การป้องกันความรู้ที่สำคัญสามารถให้ทำได้ง่ายและมีประสิทธิภาพมากขึ้นอีกด้วย

มาตรการที่องค์กรส่วนใหญ่ใช้รักษาความลับให้แก่ความรู้ที่สำคัญเหล่านี้ คือ การกำหนด Password และชั้นความลับว่า พนักงานแต่ละระดับสามารถเข้าถึงความรู้ได้ในระดับไหน เช่น ระดับพนักงานสามารถเข้าถึงเฉพาะความรู้เกี่ยวกับโครงการที่ตนรับผิดชอบได้ ผู้บริหารระดับกลางเข้าถึงความรู้เกี่ยวกับกลยุทธ์ระดับฝ่าย ในขณะที่ผู้บริหารระดับสูงสามารถเข้าถึงกลยุทธ์ระดับองค์กรได้เป็นต้น ซึ่งการกำหนดชั้นความลับจะช่วยให้องค์กรสามารถกลั่นกรองและจำกัดวงผู้ใช้ได้ระดับหนึ่งเพื่อหาแหล่งต้นตอเมื่อเกิดปัญหา

2. การรักษาความน่าเชื่อถือ (Integrity)

ความรู้จะมีคุณค่าก็ต่อเมื่อความรู้นั้นเป็นความรู้ที่ถูกต้อง ดังนั้น องค์กรจะต้องสร้างให้พนักงานเกิดความเชื่อมั่นว่า ความรู้ที่อยู่ในระบบเป็นความรู้ที่ถูกต้อง ครบถ้วน ไม่ปล่อยให้บุคคลภายนอกหรือผู้ที่ไม่ได้รับอนุญาตเข้ามาแก้ไข ทำลาย เปลี่ยนแปลง หรือใส่สิ่งแปลกปลอมลงไป การรักษาให้ความรู้มีความถูกต้องเป็นเรื่องที่สำคัญมากเพราะความน่าเชื่อถือของความรู้เป็นเรื่องอ่อนไหว หากมีความรู้เรื่องใดเรื่องหนึ่งไม่ถูกต้องเพียงนิดเดียวก็จะกระทบต่อความน่าเชื่อถือของความรู้ทั้งหมดในทันที

โดยทั่วไป วิธีการรักษาความน่าเชื่อถือที่องค์กรนิยมใช้กันมาก คือ การเข้ารหัส (Encryption) โดยแปลงความรู้ของเราให้เป็นรูปแบบที่ไม่สามารถอ่านเข้าใจได้ หากไม่มีกุญแจสำหรับถอดรหัสเพื่อเปิดอ่านความรู้นั้น เพื่อให้แน่ใจว่า ความรู้นั้นจะไม่ถูกบุคคลภายนอกแก้ไขหรือดัดแปลง ซึ่งการเข้ารหัสนี้ยังช่วยในเรื่องการรักษาความลับของความรู้อีกทางหนึ่งด้วย ปัจจุบันการเข้ารหัสไม่ยุ่งยากเหมือนหนังสายลับในอดีต มีโปรแกรมหลายอันอย่าง PGP (Pretty Good Privacy) หรือ GnuPG (GNU Privacy Guard) ที่ช่วยให้เข้ารหัสไฟล์ต่าง ๆ ได้ง่ายขึ้น

3. การรักษาการเข้าถึง (Availability)

ระบบในการเก็บความรู้ขององค์กรที่ดีจะต้องทำให้ผู้มีสิทธิ์สามารถเข้าถึงความรู้ได้เสมอเมื่อต้องการ เพราะหากไม่สามารถเข้าถึงความรู้นั้นได้ในเวลาที่จำเป็นหรือวิกฤต แม้ความรู้นั้นจะเลอค่าเพียงใดก็ไม่มีระโยชน์อีกต่อไป

การขัดขวางไม่ให้เข้าระบบได้ถือเป็นการคุกคามทางไซเบอร์ที่พบเห็นได้แทบทุกวัน เป้าหมายการคุกคามส่วนใหญ่คือการกีดกันไม่ให้ผู้ใช้สามารถเข้าถึงฐานข้อมูลและความรู้ต่าง ๆ ได้ เพราะทำให้องค์กรสูญเสียเงิน ภาพลักษณ์และความน่าเชื่อถือขององค์กรในทันที นอกจากนี้ ในปัจจุบันเกิดภัยพิบัติบ่อยครั้งขึ้น ไม่ว่าจะเป็นน้ำท่วม แผ่นดินไหว ซึ่งเราไม่สามารถคาดการณ์ได้ว่าจะเกิดขึ้นเมื่อใด ดังนั้น การทำให้ระบบมีความพร้อมใช้งานอยู่เสมอ จึงยิ่งทวีความสำคัญ เพื่อให้องค์กรสามารถดำเนินงานต่อได้แม้ระบบล่มหรือมีปัญหา

องค์กรส่วนใหญ่นิยมรักษาการเข้าถึงด้วยการสำรองฐานข้อมูลและความรู้ไว้ที่อื่น เพื่อให้สามารถดึงมาใช้งานทันทีเมื่อเกิดปัญหาหรือเรื่องฉุกเฉิน เช่น เมื่อถูกแฮกระบบซึ่งเป็นที่น่ายินดีว่า องค์กรส่วนใหญ่ในประเทศไทยให้ความสำคัญกับประเด็นความปลอดภัยในด้านนี้อยู่แล้ว ในหน่วยงานราชการก็มีการสำรองฐานภายใต้คำรับรองการปฏิบัติราชการในเรื่องการบริหารความเสี่ยง แต่เป็นที่น่าเสียดายว่า องค์กรทั้งรัฐและเอกชนส่วนใหญ่ยังมุ่งเน้นการสำรองข้อมูลมากกว่าการสำรองความรู้ที่สำคัญ

“การขัดขวางไม่ให้เข้าระบบได้ ถือเป็นการคุกคามทางไซเบอร์ที่พบเห็นได้แทบทุกวัน”

นอกจากนี้ สิ่งสำคัญอีกประการที่องค์กรต้องดำเนินการคู่ขนานกับการออกแบบระบบการป้องกันภัยคุกคาม คือ การสื่อสาร

ถึงแม้เราจะวางระบบไว้รัดกุมเพียงใดก็ตาม ก็ไม่สามารถปกป้องความรู้ได้ทั้งหมด พนักงานบางคนอาจเผลอเก็บ Password ไว้ในโทรศัพท์มือถือหรือบนโต๊ะทำงาน บางคนอาจใช้อินเทอร์เน็ตสาธารณะส่งไฟล์งานสำคัญโดยไม่รู้ว่าสามารถถูกล้วงข้อมูลได้ง่าย ๆ ดังนั้น องค์กรจึงควรปิดช่องโหว่เหล่านี้ด้วยการกำหนดแนวทางการปฎิบัติให้ชัดเจนและสื่อสารผ่านช่องทางที่หลากหลายเพื่อตอกย้ำแนวทางดังกล่าวอย่างสม่ำเสมอ เพื่อให้แน่ใจว่าทุกคนเข้าใจและปฏิบัติตรงกัน

ความรู้เป็นหนึ่งในทรัพยากรที่ทรงคุณค่าและสำคัญต่อองค์กร ความรู้ขององค์กรไม่ได้เกิดได้ในวันเดียว แต่เป็นสิ่งที่สั่งสมผ่านประสบการณ์กันมาอย่างยาวนานจากทุกคนในองค์กรที่ถ่ายทอดจากรุ่นสู่รุ่น การดูแลและปกป้องความรู้ที่องค์กรหวงแหนจึงเป็นสิ่งจำเป็นที่ต้องทำ เพราะหากความรู้ที่สำคัญได้เล็ดลอดหรือถูกทำลายไป ความเสียหายที่เกิดขึ้นคงไม่อาจประเมินค่าได้อย่างแน่นอน

 

เอกสารอ้างอิง

1. Ceri Parker. (2015). “10 global challenges, 10 expert views from Davos”. URL: https://agenda.weforum.org/2015/01/10-global-challenges-10-expert-viewsfrom-davos/




Writer

อ่านบทความทั้งหมดในคอลัมน์

Measurement, Analysis and KM, วารสาร Productivity World, องค์ความรู้

โดย นภัสวรรณ ไทยานันท์

นักวิจัย ส่วนวิจัยการจัดการองค์กร
ฝ่ายวิจัย สถาบันเพิ่มผลผลิตแห่งชาติ