การโจมตีซัพพลายเชนกลายเป็นภัยคุกคามทางไซเบอร์ที่พบบ่อยที่สุดที่ธุรกิจทั่วโลกต้องเผชิญ โดยบริษัทในภูมิภาคเอเชียแปซิฟิกก็ระบุว่า การโจมตีซัพพลายเชนเป็นหนึ่งในภัยคุกคามที่พบบ่อยที่สุดในรอบปีที่ผ่านมาเช่นกัน จากการศึกษาทั่วโลกของแคสเปอร์สกี้พบว่า บริษัททั่วโลกจำนวนเกือบ 1 ใน 3 ต้องเผชิญกับภัยคุกคามซัพพลายเชนในรอบปีที่ผ่านมา ข้อมูลที่น่าสังเกตคือ พบความเสี่ยงด้านซัพพลายเชนในประเทศต่างๆ ที่สูงกว่าค่าเฉลี่ยทั่วโลก เช่น จีน ซึ่งบ่งชี้ถึงความจำเป็นในการเพิ่มการป้องกันทางไซเบอร์ทั่วทั้งภูมิภาค
จากข้อมูลล่าสุดของ World Economic Forum องค์กรขนาดใหญ่จำนวนเกือบสองในสาม (65%) ระบุว่าช่องโหว่ของเธิร์ดปาร์ตี้และซัพพลายเชนเป็นอุปสรรคที่ใหญ่ที่สุดต่อความยืดหยุ่นทางไซเบอร์ในภูมิทัศน์ดิจิทัลที่เชื่อมโยงถึงกันในปัจจุบัน ศูนย์วิจัยตลาดภายในของแคสเปอร์สกี้ได้ทำการศึกษาทั่วโลก[1] เพื่อประเมินความเปราะบางขององค์กรต่อภัยคุกคามนี้ โดยการตรวจสอบว่าความเสี่ยงนี้มีการพัฒนาอย่างไร และธุรกิจทั่วโลกกำลังเผชิญกับความเสี่ยงในระดับใด
การโจมตีซัพพลายเชน
จากการสำรวจที่จัดทำโดยแคสเปอร์สกี้พบว่าธุรกิจองค์กรทั่วโลก 31% ได้รับผลกระทบจากการโจมตีซัพพลายเชนในช่วงสิบสองเดือนที่ผ่านมา ซึ่งมากกว่าภัยคุกคามทางไซเบอร์ประเภทอื่นๆ โดยภัยคุกคามนี้ได้แพร่หลายในภูมิภาคเอเชียแปซิฟิกเช่นกัน โดยธุรกิจในจีนจำนวนสองในห้า (40%) ประสบกับการโจมตีซัพพลายเชนในช่วงปีที่ผ่านมา ซึ่งสูงที่สุดในภูมิภาคและสูงกว่าค่าเฉลี่ยทั่วโลก 9% รองลงมาคือเวียดนาม (34%) อินเดีย (29%) สิงคโปร์ (26%) และอินโดนีเซีย (20%)
ภัยคุกคามซัพพลายเชนมุ่งเป้าไปที่องค์กรที่มีการเชื่อมต่อมากที่สุด โดยองค์กรขนาดใหญ่รายงานอัตราการโจมตีที่สูงที่สุดถึง 36% เมื่อเทียบกับองค์กรขนาดเล็ก[2] และขนาดกลาง[3] ข้อมูลที่น่าสังเกตคือกลุ่มองค์กรขนาดใหญ่[4] กลุ่มนี้ได้รายงานว่ามีจำนวนซัพพลายเออร์ซอฟต์แวร์และฮาร์ดแวร์โดยเฉลี่ยสูงที่สุด โดยเฉลี่ยแล้วจัดการซัพพลายเออร์ประมาณ 100 ราย ซึ่งเห็นได้ชัดว่าสร้างพื้นที่การโจมตีที่มีศักยภาพขนาดใหญ่ นอกจากนี้ องค์กรต่างๆ ยังยอมรับว่าได้ให้สิทธิ์การเข้าถึงระบบขององค์กรแก่ผู้รับเหมาหลายสิบราย โดยเฉลี่ยแล้วองค์กรขนาดเล็กจะมีผู้รับเหมาประมาณ 50 ราย ในขณะที่องค์กรขนาดใหญ่ตัวเลขผู้รับเหมาพุ่งสูงขึ้นเป็นมากกว่า 130 ราย ซึ่งก่อให้เกิดความเสี่ยงทางไซเบอร์อีกรูปแบบหนึ่งที่เกิดจากการพึ่งพาอาศัยกันในพื้นที่ดิจิทัล นั่นคือ การโจมตีความสัมพันธ์ที่น่าเชื่อถือ ซึ่งผู้โจมตีอาจใช้ประโยชน์จากความเชื่อมโยงที่ถูกต้องตามกฎหมายระหว่างองค์กรต่างๆ
การโจมตีผ่านความสัมพันธ์ที่เชื่อถือได้
ตลอดปีที่ผ่านมา การโจมตีผ่านความสัมพันธ์ที่เชื่อถือได้ติดอันดับหนึ่งในห้าภัยคุกคามที่พบบ่อยที่สุด โดยส่งผลกระทบต่อบริษัทต่างๆ ทั่วโลกถึงหนึ่งในสี่ (25%) ในบรรดาประเทศในภูมิภาคเอเชียแปซิฟิก สิงคโปร์โดดเด่นในฐานะตลาดเป้าหมายของการโจมตีที่ใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้มากที่สุด โดยองค์กรจำนวนหนึ่งในสามประสบกับการโจมตีดังกล่าวในช่วงสิบสองเดือนที่ผ่านมา เวียดนามตามมาที่ 27% ในขณะที่อินเดีย (23%) อินโดนีเซีย (22%) และจีน (15%) ก็รายงานว่าได้รับผลกระทบอย่างมากจากการโจมตีที่แพร่หลายมากขึ้นนี้เช่นกัน
ข้อมูลที่น่าสนใจคือ บริษัทในประเทศต่างๆ เช่น สิงคโปร์ (37%) และอินเดีย (35%) มองว่าการโจมตีผ่านความสัมพันธ์ที่เชื่อถือได้เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่อันตรายที่สุด ซึ่งสูงกว่าค่าเฉลี่ยทั่วโลกที่ 26% อย่างมาก อย่างไรก็ตาม ระดับความระมัดระวังที่สูงขึ้นนี้ไม่ได้เกิดขึ้นในตลาดอื่นๆ ในภูมิภาคเอเชียแปซิฟิก เช่น อินโดนีเซีย (21%) จีน (21%) หรือเวียดนาม (20%) แม้ว่าการโจมตีเหล่านี้ยังคงแพร่หลายในประเทศเหล่านี้ก็ตาม ความแตกต่างนี้ชี้ให้เห็นถึงการประเมินความรุนแรงหรือผลกระทบของการโจมตีผ่านความสัมพันธ์ที่เชื่อถือได้ต่ำเกินไปอย่างอันตราย
การประเมินภัยคุกคามต่ำเกินไป
แม้ว่าการโจมตีซัพพลายเชนและความสัมพันธ์ที่ไว้วางใจจะเป็นภัยคุกคามที่พบบ่อยที่สุด แต่ผลสำรวจแสดงให้เห็นว่าผู้นำหลายคนมักประเมินภัยคุกคามเหล่านี้ต่ำเกินไป เมื่อสอบถามให้จัดประเภทภัยคุกคามตามระดับความอันตราย องค์กรต่างๆ พุ่งไปที่การโจมตีที่ซับซ้อน เช่น ภัยคุกคามขั้นสูงแบบต่อเนื่อง (APTs) แรนซัมแวร์ หรือภัยคุกคามจากบุคคลภายใน มากกว่าภัยคุกคามที่องค์กรเผชิญบ่อยที่สุด มีธุรกิจทั่วโลกเพียง 9% ที่จัดอันดับการโจมตีซัพพลายเชนเป็นข้อกังวลอันดับต้นๆ ซึ่งเป็นระดับความสนใจที่ต่ำอย่างน่าตกใจเมื่อพิจารณาว่าภัยคุกคามเหล่านี้มักทำให้การดำเนินงานหยุดชะงักบ่อยครั้งเพียงใด ในทำนองเดียวกัน มีองค์กรเพียง 8% เท่านั้นที่ระบุถึงการโจมตีความสัมพันธ์ที่ไว้วางใจได้
ยิ่งไปกว่านั้น ผู้เชี่ยวชาญส่วนใหญ่เข้าใจว่าการละเมิดซัพพลายเชนหรือความสัมพันธ์ที่ไว้วางใจได้สามารถทำให้การดำเนินงานหยุดชะงักได้ โดยผู้ตอบแบบสอบถามจำนวนมากกว่าครึ่งระบุว่านี่คือผลกระทบหลักของการโจมตีดังกล่าว แต่มีเพียงไม่กี่รายที่จัดอันดับภัยคุกคามเหล่านี้เป็นลำดับความสำคัญสูงสุด ช่องว่างนี้แสดงให้เห็นว่าความเสี่ยงได้รับการยอมรับในทางทฤษฎี แต่ไม่ได้ดำเนินการในทางปฏิบัติ
จากรายงานระบุว่าการโจมตีซัพพลายเชนถูกจัดอันดับให้เป็นหนึ่งใน 3 ภัยคุกคามทางไซเบอร์ที่อันตรายที่สุด บ่อยกว่าค่าเฉลี่ยทั่วโลก โดยบริษัทในสิงคโปร์ (38%), บราซิล (36%), โคลอมเบีย (36%) และเม็กซิโก (35%) ตามลำดับ
เซอร์เกย์ โซลดาตอฟ หัวหน้าศูนย์ปฏิบัติการด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “องค์กรธุรกิจกำลังดำเนินงานอยู่ในระบบนิเวศดิจิทัลที่ทุกการเชื่อมต่อ ทุกซัพพลายเออร์ ทุกการบูรณาการ ล้วนเป็นส่วนหนึ่งของโปรไฟล์ความปลอดภัย เมื่อองค์กรต่างๆ มีการเชื่อมต่อกันมากขึ้น ความเสี่ยงต่อการถูกโจมตีก็เพิ่มขึ้นตามไปด้วย ในสภาพแวดล้อมเช่นนี้ การปกป้ององค์กรสมัยใหม่จึงต้องการแนวทางที่ครอบคลุมทั้งระบบนิเวศ ซึ่งไม่เพียงแต่เสริมสร้างความแข็งแกร่งให้กับระบบแต่ละระบบเท่านั้น แต่ยังรวมถึงเครือข่ายความสัมพันธ์ทั้งหมดที่ทำให้ธุรกิจดำเนินต่อไปได้ด้วย”
เอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า “ทั่วทั้งภูมิภาคเอเชียแปซิฟิก ความเสี่ยงด้านซัพพลายเชนและความสัมพันธ์ที่น่าเชื่อถือเผยให้เห็นถึงความเสี่ยงที่ไม่เท่าเทียมกัน ตลาดอย่างเวียดนามและจีนเผชิญกับภัยคุกคามทางไซเบอร์ที่หลากหลายกว่าค่าเฉลี่ยทั่วโลก ซึ่งส่งผลให้มีความกังวลมากขึ้นเกี่ยวกับการทำงานที่หยุดชะงักที่เกิดจากซัพพลายเชน ในทางกลับกัน ประเทศสิงคโปร์แสดงให้เห็นถึงความระมัดระวังที่สูงขึ้นต่อการโจมตีความสัมพันธ์ที่ไว้วางใจนี้ เนื่องจากมีความเสี่ยงสูงกว่าค่าเฉลี่ย อย่างไรก็ตาม เรายังพบว่าการตระหนักรู้ความเสี่ยงไม่ได้สอดคล้องกับช่องโหว่ที่แท้จริงเสมอไป การประเมินความเสี่ยงนี้ต่ำเกินไปอาจขัดขวางการลงทุนด้านความปลอดภัยทางไซเบอร์ที่เหมาะสมอย่างมาก ทำให้องค์กรมีความเปราะบางมากขึ้นกว่าเดิม เนื่องจากภัยคุกคามยังคงเติบโตทั้งในด้านขนาดและความซับซ้อน”
“ความเชื่อมโยงอย่างลึกซึ้งของซัพพลายเชนในภูมิภาคเอเชียแปซิฟิกบ่งชี้ถึงความจำเป็นเร่งด่วนในการสร้างระบบป้องกันที่แข็งแกร่งทั่วทั้งระบบนิเวศ เพื่อป้องกันการหยุดชะงักที่อาจส่งผลกระทบข้ามอุตสาหกรรมและพรมแดน ธุรกิจที่มุ่งมั่นที่จะสร้างความได้เปรียบในการแข่งขันในภูมิภาคนี้ ต้องมุ่งมั่นที่จะเสริมสร้างขีดความสามารถในการป้องกันด้วยความทุ่มเทเช่นเดียวกับที่ใช้ในการขับเคลื่อนการเติบโต” เอเดรียนกล่าวเสริม
บริษัทต่างๆ สามารถลดความเสี่ยงในซัพพลายเชนและสร้างความยืดหยุ่นให้กับธุรกิจได้ก็ต่อเมื่อมีการใช้มาตรการป้องกันทั่วทั้งองค์กรและวางแผนกลยุทธ์ในการสร้างความร่วมมือกับซัพพลายเออร์และผู้รับเหมา
แคสเปอร์สกี้ขอแนะนำเพื่อลดความเสี่ยงดังต่อไปนี้
- ประเมินซัพพลายเออร์อย่างละเอียดก่อนทำข้อตกลง ตรวจสอบนโยบายความปลอดภัยทางไซเบอร์ ข้อมูลเกี่ยวกับเหตุการณ์ที่ผ่านมา และการปฏิบัติตามมาตรฐานความปลอดภัยของอุตสาหกรรม สำหรับซอฟต์แวร์และบริการคลาวด์ แนะนำให้ตรวจสอบข้อมูลช่องโหว่และการทดสอบการเจาะระบบด้วย
- ปฏิบัติตามข้อกำหนดด้านความปลอดภัยในสัญญา ทำการตรวจสอบความปลอดภัยเป็นประจำ และตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามนโยบายความปลอดภัยและโปรโตคอลการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องขององค์กร
- ใช้มาตรการทางเทคโนโลยีเชิงป้องกัน ใช้แนวทางปฏิบัติด้านความปลอดภัย เช่น หลักการสิทธิ์ขั้นต่ำ Zero Trust และการจัดการข้อมูลประจำตัวที่ครบถ้วน เพื่อลดความเสียหายหากซัพพลายเออร์ถูกโจมตี
- ตรวจสอบอย่างต่อเนื่อง ใช้โซลูชันอย่าง XDR หรือ MXDR ซึ่งเป็นส่วนหนึ่งของผลิตภัณฑ์ Kaspersky Next สำหรับการตรวจสอบโครงสร้างพื้นฐานแบบเรียลไทม์และการตรวจจับความผิดปกติในซอฟต์แวร์และการรับส่งข้อมูลเครือข่าย ขึ้นอยู่กับความพร้อมของพนักงานภายในองค์กรที่สามารถดำเนินการตรวจสอบดังกล่าวได้
- พัฒนาแผนรับมือเหตุการณ์ฉุกเฉิน ตรวจสอบว่าแผนดังกล่าวครอบคลุมการโจมตีซัพพลายเชนและรวมถึงขั้นตอนในการระบุและควบคุมการละเมิดอย่างรวดเร็ว เช่น การตัดการเชื่อมต่อซัพพลายเออร์ออกจากระบบของบริษัท
- ร่วมมือกับซัพพลายเออร์ในประเด็นด้านความปลอดภัย เสริมสร้างการป้องกันทั้งสองฝ่ายและทำให้เป็นเรื่องสำคัญร่วมกัน
สามารถอ่านคำแนะนำเพิ่มเติมพร้อมกับข้อค้นพบที่น่าสนใจอื่นๆ เกี่ยวกับความเสี่ยงทางธุรกิจต่อการโจมตีซัพพลายเชนได้ที่นี่
[1] รายงานฉบับนี้ ศูนย์วิจัยตลาดภายในของแคสเปอร์สกี้ได้ว่าจ้างบริษัทให้ทำการสำรวจ โดยสอบถามผู้เชี่ยวชาญด้านเทคนิค 1,714 คน ตั้งแต่พนักงานระดับซีและรองประธาน ไปจนถึงหัวหน้าทีมและผู้เชี่ยวชาญอาวุโสจากองค์กรที่มีพนักงานมากกว่า 500 คน การศึกษาครอบคลุม 16 ประเทศ ได้แก่ เยอรมนี สเปน อิตาลี บราซิล เม็กซิโก โคลอมเบีย สิงคโปร์ เวียดนาม จีน อินเดีย อินโดนีเซีย ซาอุดีอาระเบีย ตุรกี อียิปต์ สหรัฐอาหรับเอมิเรตส์ และรัสเซีย
[2] ธุรกิจขนาดเล็ก: พนักงาน 500-1,499 คน
[3] ธุรกิจขนาดกลาง: พนักงาน 1,500-2,499 คน
[4] ธุรกิจขนาดใหญ่: พนักงาน 2,500 คนขึ้นไป
