เมื่อภัยทางไซเบอร์ไม่ได้มาจาก “แฮกเกอร์” แต่อาจมาจากคนที่นั่งทำงานอยู่ใกล้คุณ
By Jattawatt Buranasant,
Penetration Tester Team, Datafarm Company Limited
บทความนี้จัดทำขึ้นเพื่อให้ความรู้ด้าน Cybersecurity ไม่ได้มีเจตนาหมิ่นหรือ กล่าวหาบุคคลใด
ถ้าถามว่าองค์กรกลัวอะไรมากที่สุด หลาย ๆ คนคงตอบว่า “แฮกเกอร์” แต่ความจริงแล้ว คนที่นั่งทำงานข้างๆ คุณนั้นแหละอาจเป็นภัยที่อันตรายกว่าก็เป็นได้
ไม่ต้องเป็นแฮกเกอร์มืออาชีพ บางครั้งแค่คลิกผิดปุ่ม หรือคัดลอกไฟล์ก่อนลาออก ก็ทำให้ข้อมูลลูกค้าหลายหมื่นรายหลุดออกไปได้
ตามรายงาน Verizon Data Breach Investigations Report พบว่า มากกว่า 30–40% ของการรั่วไหลของข้อมูลมาจากพนักงานภายใน สิ่งที่น่ากลัวคือ คนเหล่านี้ไม่ต้องแฮก เพราะพวกเขามีสิทธิ์เข้าถึงข้อมูลอยู่แล้ว
เรามาเริ่มด้วย 3 ประเภทของ “ศัตรูจากภายใน” กันครับ
1. คนใจลอย (Negligent Insider)
ทำผิดพลาดโดยไม่ตั้งใจ เช่น ส่งไฟล์ผิดคน, แชร์ Google Drive แบบ Public หรือ ตั้งรหัสผ่านที่ไม่รัดกุม
มักพบบ่อยที่สุดในยุค Work from Home
2. คนที่ถูกหลอก (Compromised Insider)
พนักงานที่ถูกแฮกเกอร์หลอกใช้ เช่น เปิดลิงก์ปลอม, ให้รหัส OTP ตาม “ไอทีปลอม(แฮกเกอร์)”
https://media.makeameme.org/created/scammers-scammers-everywhere-5c6259.jpg
3. คนทรยศ (Malicious Insider)
มีเจตนาร้าย เช่น ขายข้อมูลสำคัญให้คู่แข่ง หรือขายให้แก๊งคอลเซ็นเตอร์
กรณีศึกษาจริง
เกิดอะไรขึ้น?
น้องเปิ้ล(น่ารัก) พนักงานฝ่ายการตลาด ต้องการทดสอบระบบส่งจดหมายข่าว จึงดาวน์โหลดรายชื่ออีเมลลูกค้ากว่า 10,000 รายจากระบบ CRM แล้วอัปโหลดขึ้น Mailchimp เพื่อจัดการให้สะดวก
แต่… เธอลืมตั้งค่าความเป็นส่วนตัว 😱
ผลคือ ไฟล์ข้อมูลถูกจัดเก็บใน URL สาธารณะ และถูก Google ทำการ index ภายในไม่กี่วันต่อมา
ผลกระทบ:
ข้อมูลอีเมลและเบอร์โทรลูกค้ากว่าหมื่นรายค้นเจอใน Google
ลูกค้าถูกส่งสแปมและอีเมลหลอกลวงจำนวนมาก
บริษัทถูก สคส. (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) เรียกตรวจสอบ
ความเชื่อมั่นของลูกค้าพังยับ จนคนทยอยเริ่มยกเลิกการสมัครสมาชิก
ค่าปรับตาม พ.ร.บ. PDPA อาจสูงถึง X ล้านบาท
บทเรียน:
Data Leak ไม่จำเป็นต้องเกิดจากการแฮกเสมอไป บางครั้งมันเกิดจากการคลิกผิดปุ่มเพียงครั้งเดียว + ความไม่เข้าใจเรื่องความปลอดภัยข้อมูล
เคส 2: “พนักงานไอทีคัดลอกข้อมูลก่อนลาออก”
พี่แตงโม เจ้าหน้าที่ไอทีที่เตรียมลาออก คัดลอกฐานข้อมูลลูกค้าทั้งหมดลง External Hard Drive โดยอ้างว่า “เก็บไว้ตรวจสอบ Log ก่อนส่งต่องาน”
โชคดีที่บริษัทมีระบบ Data Loss Prevention (DLP) ตรวจจับได้ว่ามีการถ่ายโอนไฟล์ขนาดใหญ่ผิดปกติ
ทีม Security ตรวจสอบพบว่าพี่แตงโมคัดลอกข้อมูลจริง แต่ยังไม่ได้ส่งออกไปภายนอก อย่างไรก็ตาม การกระทำนี้ละเมิดนโยบายข้อมูลขององค์กรแล้ว
ผลกระทบ:
บริษัทต้องรีเซ็ตรหัสผ่านทุกระบบ + ปิดสิทธิ์เข้าถึงฉุกเฉิน
ต้อง audit ระบบทั้งหมดเพื่อดูว่ามีข้อมูลอะไรหลุดไปบ้าง
ทีมกฎหมายเข้ามาเกี่ยวข้องเพื่อป้องกันการนำข้อมูลไปใช้ในเชิงพาณิชย์
พี่แตงโมถูกดำเนินคดีตามสัญญาการรักษาความลับ
ค่าใช้จ่ายในการแก้ไขปัญหารวมกันเกิน X00,000 บาท
บทเรียน:
คนในที่มีสิทธิ์เข้าถึงข้อมูลเชิงลึกตรวจจับยาก ต้องมีระบบ User Behavior Analytics (UEBA) เพื่อสังเกตพฤติกรรมผิดปกติตลอดเวลา
เคส 3: “แชร์ไฟล์ใน Line กลุ่มทำงาน”
เป็นสถานการณ์จริงที่เจอบ่อยได้ในไทย
พนักงานคนหนึ่งถ่ายรูปใบเสนอราคาที่มีข้อมูลส่วนตัวของลูกค้า แล้วส่งใน Line กลุ่มทำงานที่มีทั้งพนักงานเก่า-ใหม่-ผู้รับเหมา รวมกว่า 50 คน
ปัญหาคือ:
มีคนในกลุ่มที่ไม่ควรเห็นข้อมูลนั้น
ไฟล์สามารถดาวน์โหลดและแชร์ต่อได้ไม่จำกัด
บางคนอาจนำไปใช้ในทางที่ผิด
บทเรียน:
“ความสะดวก” อาจนำมาซึ่ง “ความเสี่ยง” อย่าใช้แชตส่วนตัวในการแชร์ข้อมูลสำคัญ ควรใช้ระบบที่มี Access control เพื่อควบคุม
ต่อมาเรามาดู 5 สาเหตุหลักของ Data Leak จากคนในกันครับ
1. ความประมาท (Negligence)
ส่งไฟล์ผิดคน / แชร์ไฟล์สาธารณะ
ตัวอย่าง: ส่งอีเมลข้อมูลสำคัญ ให้กับลูกค้าผิดคน (ต่างบริษัท)
2. ขาดความรู้ (Lack of Awareness)
ไม่รู้ว่าการกระทำของตัวเองเสี่ยงแค่ไหน เช่น กดลิงก์ที่ได้รับจากเมลแปลก ๆ ติดตั้งโปรแกรมที่ไม่รู้ที่มา
จากสถิติกว่า 90% ของพนักงานไทยไม่เคยได้รับอบรม Security Awareness
3. สิทธิ์มากเกินไป (Excessive Privilege)
พนักงาน Admin มี Access มากเกินความจำเป็น
ปัญหา: “พี่ช่วยเปิดสิทธิ์ให้หน่อย” พอดำเนินการเรียบร้อยแล้วไม่มีใครปิดให้
4. เจตนาร้าย (Malicious Intent)
ขโมยข้อมูลเพื่อขายหรือ เอาไปใช้ที่บริษัทใหม่
เคส: พนักงานขายคัดลอกฐานข้อมูลลูกค้าก่อนไปทำงานที่คู่แข่ง
5. ไม่มีระบบตรวจจับ (Lack of Monitoring)
ไม่มี Log, ไม่มี Alert, ไม่รู้ว่าใครทำอะไรกับข้อมูล
ความจริง: SME ไทย 70% ไม่มีระบบ Monitoring เลย
เรามาดู 7 วิธีป้องกันที่ใช้ได้จริงกันดีกว่าครับ
1. ใช้หลัก “Least Privilege” ให้สิทธิ์แค่พอดี
พนักงานบัญชีสามารถเข้าถึงเฉพาะระบบบัญชี ไม่สามารถเข้าถึงระบบ HR หรือไฟล์โค้ดของทีม Dev ได้
ผู้ใช้ในองค์กรไม่มีสิทธิ์ติดตั้งซอฟต์แวร์เอง ต้องขออนุญาตจาก IT ก่อน
2. ติดตั้งระบบ DLP (Data Loss Prevention)
ระบบ DLP ทำหน้าที่ ตรวจจับ, ป้องกัน, และแจ้งเตือน เมื่อพบพฤติกรรมที่เสี่ยงต่อการรั่วไหลของข้อมูล
บล็อกการส่งอีเมลที่มีข้อมูลส่วนบุคคล (PII): เช่น เลขบัตรประชาชน, เบอร์โทร
แจ้งเตือนเมื่อมีการคัดลอกไฟล์ขนาดใหญ่ไปยัง USB
ป้องกันการอัปโหลดข้อมูลไปยัง Cloud ส่วนตัว
3. เปิด Monitoring + เก็บ Audit Logs
เพื่อรู้ว่า “ใคร เข้าถึงอะไร เมื่อไหร่” เก็บ Log การเข้าถึงข้อมูลสำคัญและการเปลี่ยนแปลงสิทธิ์
4. อบรม Security Awareness (แบบสนุก)
จัดแข่งขัน Phishing Simulation
โดยให้รางวัลกับทีมที่ผ่านคะแนน
5. นโยบาย Exit Procedure
เมื่อมีคนลาออก: ปิดสิทธิ์ทันที, เปลี่ยนรหัสผ่าน, ตรวจสอบอุปกรณ์, ให้ลงนาม NDA อีกครั้ง
6. ใช้ CASB และ UEBA
CASB: ตรวจสอบการใช้งาน Google Drive, Dropbox
UEBA: วิเคราะห์พฤติกรรมผู้ใช้เพื่อหาความผิดปกติ
7. จัดทำ Data Classification
แบ่งข้อมูลเป็น 3 ระดับ:
Confidential: ข้อมูลลับสุด ข้อมูลส่วนบุคคล (PII): เช่น เลขบัตรประชาชน, เบอร์โทร, อีเมล
Internal: ข้อมูลภายใน (เอกสารทำงาน)
Public: เปิดเผยได้ (โบรชัวร์)
มาตรการเสริม
Encryption: ปกป้องข้อมูลตอนจัดเก็บและตอนส่ง (BitLocker, FileVault)
MFA: ถ้ารหัสผ่านหลุด ก็ยังเข้าระบบไม่ได้ถ้าไม่มี OTP
USB Control: บล็อกการใช้ USB Storage
Cloud Audit Trail: ดูว่าใครเข้าถึงไฟล์ไหน เมื่อไหร่
ค่าใช้จ่ายที่ต้องรู้
หาก Data Leak เกิดขึ้น:
ค่าปรับ PDPA: หลักแสนไปจนถึงหลักล้านบาท
ค่าแก้ไขปัญหา: Incident Response, Forensics, Legal
ค่าเสียหายต่อชื่อเสียง: วัดค่าไม่ได้
เปรียบเทียบ:
ป้องกัน: 200,000–500,000 บาท/ปี
แก้ไข Data Leak: หลักแสนไปจนถึงหลักล้านบาท++
บทสรุป
“ระบบที่แข็งแกร่งแค่ไหน ก็ไม่สามารถป้องกันภัยจากคนที่ถือกุญแจได้ หากเขาไม่เข้าใจวิธีใช้อย่างปลอดภัย”
การป้องกัน Data Leak จากคนในไม่ใช่แค่เรื่องของเทคนิค แต่เป็นเรื่องของ “พฤติกรรมและ วัฒนธรรมองค์กร”
สูตรสำเร็จ = เทคโนโลยี + นโยบาย + การตระหนักรู้
เพราะสุดท้ายแล้ว “มนุษย์” อาจเป็นช่องโหว่ แต่ถ้าได้รับการอบรมอย่างถูกต้อง พวกเขาก็จะกลายเป็น “แนวป้องกันที่แข็งแกร่งที่สุด” ของคุณได้เช่นกัน
ขอบคุณครับ
Figure 2https://i.pinimg.com/564x/2b/ab/c1/2babc199bd4874a6c32ea1b8e9e96721.jpg
