การประกอบธุรกิจสู่ความยั่งยืน (Sustainability) ที่ปัจจุบันต้องคำนึงถึงสิ่งแวดล้อม สังคม และบรรษัทภิบาล (ESG) เป็นตัวขับเคลื่อนหลัก แต่สิ่งที่เห็นกันทั่วไปและเป็นจุดเริ่มต้นแรกๆ ที่หน่วยงานเริ่มดำเนินงานก่อนคือ ‘สิ่งแวดล้อม’ เพราะช่วยให้หลายคนสัมผัสและเห็นเป็นรูปธรรมได้ง่าย อย่างไรก็ตาม บุคคลทั่วไปหรือผู้ลงทุนที่เน้นเรื่องความยั่งยืน อาจหลงลืมไปว่ายังมีเรื่องการดูแลสังคมและการเป็นบรรษัทภิบาลที่ดีเป็นส่วนประกอบด้วย

ปัจจุบันต้องยอมรับว่า เป็นงานหนักสำหรับทุกองค์กรในการเริ่มกระบวนการทำให้ ESG เข้าไปอยู่ในกระบวนการดำเนินธุรกิจ หรือที่เรียกว่า In Process ให้เสมือนว่ามีแผนงานและกลยุทธ์ทั้ง 3 ด้าน (E-S-G) เป็นส่วนหนึ่งของแผนงานขององค์กรนั้นๆ ซึ่งแต่เดิมก่อนหน้านี้อาจคุ้นเคยกับคำว่า CSR in Process มาก่อน 

บรรษัทภิบาลที่ดีต้องรู้จักบริหารจัดการความเสี่ยงในอนาคต

สิ่งที่บริษัทจดทะเบียนไทย (บจ.) ต้องรายงาน ESG ใน One Report หรือรายงานประจำปีของการเป็นบรรษัทภิบาลที่ดี ในปัจุบันต้องมีมากกว่าการมีกรรมการอิสระ เพื่อให้เกิดความสมดุลในการบริหาร โดยตอนนี้ข้อมูลที่รายงานครอบคลุมไปถึงเรื่องที่บริษัทต้องรู้จักประเมินความเสี่ยงและบริหารจัดการกับความเสี่ยงที่อาจเกิดขึ้นระหว่างการผลิตหรือการดำเนินธุรกิจได้ตลอดเวลา เพราะถ้าเกิดเหตุการณ์ที่ไม่คาดคิดขึ้นมา ย่อมส่งผลต่อทั้งห่วงโซ่ธุรกิจแน่นอน ไม่ว่าจะเป็นภัยธรรมชาติ ภาวะโลกร้อน หรือทำให้สภาพภูมิอากาศเปลี่ยนแปลงบ่อย รวมถึงความขัดแย้งทางภูมิรัฐศาสตร์ ซึ่งอาจกระทบให้วัตถุดิบในการผลิตขาดแคลน จนต้องลดกำลังการผลิตหรือหยุดการผลิตไป รวมทั้งต้องติดตามมาตรการทางการค้าต่างๆ ที่คู่ค้าต่างประเทศมีการเปลี่ยนแปลงอยู่เสมอ หรือภัยคุกคามทางไซเบอร์ เพราะหากตั้งรับไม่ดีพออาจเกิดวิกฤต แล้วย่อมส่งผลกระทบมาก-น้อยตามความพร้อมที่ได้เตรียมการไว้  

ภัยคุกคามทางไซเบอร์คือความเสี่ยงที่ห้ามลืม

สำหรับบุคคลทั่วไป หลายคนเคยมีประสบการณ์ไม่ดีจากการถูกมิจฉาชีพหลอก เช่น พยายามมาหลอกให้เราล็อกอินช่องทางสื่อสารออนไลน์ต่างๆ เพื่อดูดเงินจากบัญชีเราไป นี่ก็ถือเป็นความเสี่ยงทางไซเบอร์ที่เจอได้ง่าย 

แต่ในมุมขององค์กรธุรกิจขนาดใหญ่ งานวิจัยจาก SET Note โดย สุมิตรา ตั้งสมวรพงษ์ ฝ่ายวิจัย ตลาดหลักทรัพย์แห่งประเทศไทย ในหัวข้อ ‘บริษัทจดทะเบียนในตลาดหุ้นไทยเตรียมพร้อมด้านความมั่นคงปลอดภัยทางไซเบอร์’ ระบุว่า จากรายงานประจำปี 2565 ของ บจ. 50 อันดับแรก หรือ SET 50 มีความตื่นตัวและตั้งรับกับเรื่องราวนี้เป็นอย่างดี แม้จะเป็นกลุ่มความเสี่ยงเกิดใหม่ (Emerging Risk) ที่แต่ละบริษัทต้องมีการประเมินขนาดและโอกาสที่อาจเกิดขึ้น รวมทั้งผลกระทบด้วย โดยต้องมีการวางแผนรับมือเพื่อสร้างการสร้างความมั่นคงและความปลอดภัยทางไซเบอร์ ซึ่งนี่คือเหตุผลหนึ่งในเรื่อง ESG ที่อาจสร้างความเสียหายต่อการดำเนินธุรกิจ กระทบต่อรายได้ ชื่อเสียง หรือความน่าเชื่อถือต่อองค์กร ไม่มากก็น้อย

บจ.ไทย มองภัยทางไซเบอร์ต้องส่งเสริมเป็นวัฒนธรรมองค์กร

SET 50 ส่วนใหญ่มีการออกมาตรการและกฎระเบียบเพื่อป้องกันภัยคุกคามทางไซเบอร์ (Cyber Treats / Cyber Crime) เพื่อมุ่งเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ ด้วยรูปแบบการวางแผนระดับนโยบายและกระจายลงสู่การปฏิบัติในระดับล่าง (Top-Down Approach) โดยที่พร้อมจะส่งเสริมให้เป็นวัฒนธรรม ซึ่งใช้ 3 แนวคิดในการบริหารจัดการ

1. บุคลากร (People) เน้นสร้างความตระหนักเท่าทันภัยไซเบอร์ผ่านการให้ความรู้และวางแผนพัฒนาบุคลากรด้านความมั่นคงปลอดภัยทางไซเบอร์ และมีการแต่งตั้งคณะกรรมการกำกับดูแลกิจการ บริหารความเสี่ยง ดูแลความปลอดภัยทางเทคโนโลยีสารสนเทศ คณะกรรมการบริหารจัดการ Enterprise Architecture โดยบางบริษัทพยายามเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ให้กลายเป็นวัฒนธรรมองค์กร ควบคู่ไปกับการให้ความรู้ จากการจัดอบรมสัมมนาเพื่อสร้างความตระหนักรู้ พร้อมสุ่มทดสอบเพื่อวัดความตระหนักคือความเท่าทันภัยของพนักงานในองค์กร เช่น การสุ่มทดสอบอีเมลหลอกลวง (Phishing Mail) อย่างสม่ำเสมอ และมีการกำหนดจำนวนบุคลากรที่ผ่านการทดสอบเป็นเป้าหมายในการทำแบบทดสอบด้วย รวมทั้งการจัดหาบุคลากรด้าน IT Security มาเพิ่มให้พอ

“บางบริษัทที่มีบริการด้านเทคโนโลยีอยู่แล้ว หรือมีบริษัทในเครือจำนวนมากที่มีรูปแบบการขยายงานด้านความมั่นคงปลอดภัยทางไซเบอร์ ด้วยการจัดตั้งเป็นบริษัทย่อย เพื่อให้บริการดูแลเพิ่มเติมโดยเฉพาะ หรือร่วมกับสถาบันการศึกษาต่างๆ ปรับหลักสูตรเพิ่มการสร้างทักษะ Upskill และใช้รูปแบบการเรียนรู้ E-Learning ให้พนักงาน พร้อมทั้งให้ความรู้ประชาชนไปด้วย”

2. กระบวนการ (Process) กำหนดนโยบายและพร้อมปรับกระบวนการทำงานให้เป็นไปตามมาตรฐานสากลเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ เช่น ISO / IEC27001 โดยจะเริ่มตั้งแต่ประเมินความเสี่ยงและวางแผนรับมือ พร้อมมีแผนการกู้คืนระบบ ตลอดจนซักซ้อมกรณีที่ต้องโต้ตอบกับภัยไซเบอร์ พร้อมกับมีนโยบายและจัดทำคู่มือปฏิบัติเรื่องความปลอดภัยสารสนเทศให้เป็นที่เข้าใจตรงกัน

3. เทคโนโลยี เน้นการลงทุนระบบเทคโนโลยีสารสนเทศ แอปพลิเคชัน เครือข่าย วางแผนนำระบบอัตโนมัติ (Aftificial Intelligent / Machine Learning) มาใช้ในกระบวนการตรวจจับความผิดพลาดและมีการตรวจสอบตลอดเวลา ตั้งแต่ทดสอบฟังก์ชันการใช้งานหรือการจำลองเหตุการณ์โจมตี เพื่อหาจุดอ่อนของระบบป้องกัน และใช้เทคโนโลยีใหม่ให้ทันสมัยอยู่เสมอ เช่น การใช้ AI มาช่วยตรวจจับความผิดพลาด การรีเช็กด้วยการสุ่มตรวจ เพื่อซ้อมรับมือให้สามารถกู้คืนข้อมูลหรือระบบได้ โดยยังครอบคลุมถึงระบบที่มีการเชื่อมต่อกับลูกค้าหรือหน่วยงานภายนอก

รับมือภัยไซเบอร์เป็นเรื่องจำเป็น แต่ยังขาดแคลนบุคลากร

จากรายงานของ isc2.org มีบุคลากรทางไซเบอร์ทั่วโลกทั้งหมด 4.65 ล้านคน มีจำนวนเพิ่มจากปี 2564 ถึง 11.1% และยังพบว่า ภูมิภาคเอเชีย-แปซิฟิกมีบุคลากรด้านความมั่นคงทางไซเบอร์เพิ่มขึ้นจากปี 2564 จำนวน 8.59 แสนล้านคน ซึ่งสูงกว่าในภูมิภาคอื่นถึง 15.6% แต่ปัจจุบันทั่วโลกกำลังขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยทางไซเบอร์อยู่ 

โดยปี 2565 ทั่วโลกกำลังขาดแคลนบุคลากรด้านนี้กว่า 3.43 ล้านคน เพิ่มขึ้น 26.2% จากปีก่อน โดยเอเชีย-แปซิฟิกเป็นภูมิภาคที่ต้องการเพิ่มสูงถึง 2.16 ล้านคน หรือ 63% ของจำนวนทั้งหมดที่ทั่วโลกต้องการ และเชื่อว่าความต้องการจะมีมากขึ้นไปเรื่อยๆ 

สอดคล้องกับรายงานของ 2022 Official Cybercrime Report ที่ระบุว่า ปี 2564 โลกต้องการบุคลากรด้านนี้ถึง 3.5 ล้านคน หรือเพิ่มขึ้นจาก 1 ล้านคนเมื่อปี 2556 หรือเพิ่มขึ้นมาถึง 3.4 เท่า และในอนาคตอีก 5 ปีข้างหน้าก็จะยิ่งมีจำนวนมากขึ้นไปเรื่อยๆ หรือที่นิตยสาร Fortune ได้ประเมินว่า เพียงแค่สหรัฐอเมริกาประเทศเดียวยังมีความต้องการบุคลากรทางด้านนี้มากกว่า 7 แสนคน 

บริษัทหรือหน่วยงานไทยต้องตื่นตัวและมองให้เป็นปัญหา

ปัจจุบันประเทศไทยก็มีปัญหาขาดแคลนบุคลากรที่มีความเชี่ยวชาญและความสามารถป้องกันภัยคุกคามทางไซเบอร์เช่นเดียวกับทั่วโลก โดยหน่วยงานรัฐปัจจุบันมีข้าราชการที่ถนัดเรื่องนี้ประมาณ 4,000 คนเมื่อเทียบกับจำนวนข้าราชการทั้งระบบที่มีกว่า 4 แสนคน ขณะที่ภาคเอกชนจะเห็นว่าหลายองค์กรหรือหลายบริษัทก็มีการประกาศรับสมัครงานด้านนี้กันอย่างต่อเนื่อง 

สำรวจ บจ.ไทย ที่มีนโยบายทางไซเบอร์ที่เข้มข้น

ธนาคารไทยพาณิชย์ หรือ SCB 

อยู่ระหว่างพัฒนาแพลตฟอร์มนวัตกรรมจากเทคโนโลยีใหม่ที่เพิ่มขีดความสามารถด้านเทคโนโลยีและอาชญากรผู้ก่อการร้าย โดยจัดให้ฝ่าย Financial Crime ทำหน้าที่รักษาความปลอดภัยแก่บัญชีของลูกค้าตลอด 24 ชั่วโมง และอยู่ระหว่างการจัดตั้งศูนย์ความเป็นเลิศด้านการจัดการ (Center of Excellence) ความเสี่ยงทางไซเบอร์และเทคโนโลยีที่จะช่วยให้กลุ่มมีเครื่องมือที่มีความทันสมัย มีความรู้ และได้รับการฝึกอบรม เพื่อสร้างทักษะและความสามารถด้านเทคโนโลยี

ธนาคารกรุงไทย หรือ KTB

ตั้งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) ขึ้นมา เพื่อรับผิดชอบงานบริหารจัดการความเสี่ยงทางไซเบอร์ พร้อมทั้งติดตั้งโปรแกรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และกำหนดมาตรฐานการรักษาความปลอดภัยของข้อมูลสารสนเทศ เพื่อให้เป็นแนวทางสำหรับพนักงานของธนาคาร ในการปฏิบัติงานให้มีความเหมาะสมกับการดำเนินงานในปัจจุบัน ซึ่งมาตรฐานดังกล่าวจะมีการทบทวนและปรับปรุงอย่างน้อยปีละ 1 ครั้ง 

พร้อมทดสอบการตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ (Incident Response) หากพบเหตุผิดปกติทั่วไปจะดำเนินการตอบสนองโดยทันที หรือถ้าเป็นเหตุผิดปกติที่มีความซับซ้อนจะได้รับการวิเคราะห์และตรวจสอบเชิงลึกโดยผู้เชี่ยวชาญเฉพาะด้าน เพื่อหาแนวทางในการจัดการ หากเป็นเหตุการณ์ระดับที่ส่งผลกระทบรุนแรงมาก จะรายงานและยกระดับการจัดการ (Incident Escalation Process) ไปยังผู้บริหารด้านการรักษาความปลอดภัยระดับสูง (Chief Information Security Officer: CISO), ผู้บริหารด้านเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer: CIO) และ ผู้บริหารสูงสุดของธนาคาร (Chief Executive Officer: CEO) ตามลำดับ

ปตท. หรือ PTT

กำหนดวิสัยทัศน์ด้านดิจิทัล มุ่งที่จะเป็นผู้นำในการนำนวัตกรรมดิจิทัลมาใช้ ตลอดจนการนำเทคโนโลยีมาใช้ เพื่อตอบสนองต่อการเปลี่ยนแปลงได้อย่างรวดเร็ว รวมทั้งกำหนดทิศทางกลยุทธ์การพัฒนาและปรับปรุงกรอบยุทธศาสตร์ เพื่อการพัฒนาเทคโนโลยีดิจิทัลของ ปตท. เป็นแผนระยะยาวประจำปี 2566-2570 ซึ่ง ปตท. เน้นการผสมผสานระหว่างการพัฒนาความสามารถและศักยภาพของบุคคลและเทคโนโลยีไปพร้อมกัน โดยส่วนของเทคโนโลยีจะมุ่งเน้นที่เรื่องของการนำปัญญาประดิษฐ์และข้อมูลในองค์กรมาใช้ให้เกิดประโยชน์ (AI and Data) และการพัฒนาเทคโนโลยีใหม่ที่มีลักษณะเป็นโมดูลที่สามารถเชื่อมต่อกับแพลตฟอร์มขององค์กรได้ (Modular Technology) 

ในด้านของบุคคล พร้อมส่งเสริมคนในองค์กรให้มีทักษะความรู้ด้านดิจิทัล (Digital Talent) เพื่อเพิ่มประสิทธิภาพในการทำงาน สามารถช่วยองค์กรตัดสินใจได้มากขึ้น และลักษณะการทำงานที่เป็นแบบทีม (Team Based) เพื่อรองรับการเปลี่ยนแปลงตลอดเวลา

สำหรับการดำเนินงานในอนาคต ปตท. ได้กำหนดแผนการดำเนินงานด้านการรักษาความปลอดภัยทางไซเบอร์ (Cyber Security Roadmap) โดยวางแนวทางในการดำเนินงานภายใต้กรอบการบริหารจัดการตามแนวคิดหรือทฤษฎี Zero Trust Security Model ซึ่งเป็นแนวคิดของการไม่เชื่อถือซึ่งกันและกัน และจะต้องตรวจสอบสิทธิก่อนเสมอ (Never Trust, Always Verify) ครอบคลุมทั้งในด้านบุคลากร (People), กระบวนการทำงาน (Process) และเทคโนโลยี (Technology) 

โดยจะนำผลลัพธ์จากการศึกษากระบวนการด้าน Cyber Security มาวางแผนปรับปรุงกระบวนการทำงานและพิจารณานำเทคโนโลยีที่ทันสมัยมาใช้งาน เพื่อยกระดับมาตรฐานความปลอดภัย (Security) เพิ่มขีดความสามารถในการปกป้องระบบงานของ ปตท. ให้เท่าทันภัยคุกคาม (Threat) ซึ่งรวมไปถึงการออกแบบการใช้งานระบบ Cloud อย่างมั่นคงและปลอดภัย

น่าจะถึงเวลาแล้วที่ต้องมีการช่วยกันแก้ปัญหาระหว่างหน่วยงานที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ให้มากขึ้น เพราะไม่เช่นนั้นจะมีผลกระทบในวงกว้างมากขึ้นเรื่อยๆ โดยอย่าลืมว่าอาชญากรทางไซเบอร์ก็ใช้จังหวะหรือโอกาสที่เทคโนโลยีมีการพัฒนาและเปลี่ยนแปลงเร็ว ไปใช้ดำเนินการสร้างความเสียหายให้กับบุคคลหรือหน่วยงานต่างๆ เช่นกัน

อ้างอิง:

• https://storage.googleapis.com/sg-prd-set-mis-cms/common/research/1303.pdf
• https://scb.listedcompany.com/misc/flipbook/index.html?id=268828
• https://www.pttplc.com/th/Sustainability/Economics/Digitalization.aspx
• https://krungthai.com/th/sustainability/esg-policy/governance/cyber-security
• https://bluebik.com/th/insights/6457