ข่าวสาร

เปิดศักราชใหม่แล้ว แต่ปัญหาเดิมๆ ยังไม่ไปไหน

เคยสงสัยไหมว่า ทำไมบริษัทใหญ่ๆ ถึงยังถูกแฮกได้ ทั้งที่ลงทุนด้านระบบไปตั้งมากมาย คำตอบส่วนใหญ่ไม่ได้อยู่ที่การที่บริษัทมีเทคโนโลยีที่ไม่ดีพอในการป้องกัน หรือเฝ้าระวังตรวจสอบ แต่มักเกิดจาก "ช่องโหว่เล็กๆ" ที่มองข้ามกันไป ในปี 2026 คาดการณ์ว่าจำนวนเหยื่อ Ransomware จะเพิ่มขึ้นถึง 40% เมื่อเทียบกับปี 2024 และภัยคุกคามจาก AI จะครองสัดส่วนถึง 50% ของภัยคุกคามทั้งหมด

จากประสบการณ์การตรวจสอบด้าน IT ของเราที่ผ่านมา พบว่า 10 ปัญหาเหล่านี้ยังคงเจอซ้ำแล้วซ้ำเล่าในหลาย ๆ องค์กร ได้แก่

1. รหัสผ่านง่ายเกินไป

- "123456", "password" ตัวเลขล้วน หรือชื่อบริษัท ยังคงเป็นรหัสผ่านยอดนิยม ทั้งที่รหัสผ่านที่อ่อนแอเป็นสาเหตุของการรั่วไหลข้อมูลในองค์กรมากกว่า 80%

2. พนักงานลาออกแต่ยังเข้าระบบได้

- พนักงานที่ลาออกยังคงเข้าถึงระบบและข้อมูลของบริษัทเดิมได้ เพราะไม่มีกระบวนการปิดสิทธิ์ที่ชัดเจน หรือมีการยืดหยุ่นให้กับผู้ใช้งานมากเกินไป

3. ไม่มีการสำรองข้อมูลที่พร้อมใช้งาน

- หลายองค์กรมีระบบ Backup แต่ไม่เคยทดสอบว่ากู้คืนได้จริงหรือไม่ เมื่อเกิดเหตุจริงจึงพบว่าข้อมูลใช้การไม่ได้

4. แชร์รหัสผ่านกันภายในทีม

– พนักงานส่วนใหญ่ยอมรับว่าเคยแชร์รหัสผ่านให้เพื่อนร่วมงาน เนื่องจากไว้ใจ และสะดวกให้เข้าใช้งานแทนเมื่อตนเองไม่อยู่หน้าคอมพิวเตอร์ แต่ไม่ได้ตระหนักถึงผลกระทบที่จะตามมา ซึ่งเมื่อเกิดปัญหาขึ้นพนักงานจะปฏิเสธการกระทำดังกล่าวทันทีว่าตนเองไม่ได้ใช้งาน หรือไม่ได้ทำ หรือไม่รู้เรื่อง ซึ่งยิ่งทำให้การตามหาตัวผู้กระทำความผิดยากไปกันใหญ่

5. ไม่เปิดใช้ระบบยืนยันตัวตนสองชั้น (MFA)

- ปี 2026 หลายระบบ หรือแอพลิเคชั่น เริ่มมีการบังคับให้มีการเปิดใช้งาน MFA แล้ว แต่ส่วนใหญ่ในปีที่ผ่านมาการเปิดใช้ MFA บนระบบ หรืออุปกรณ์ของหลายๆ บริษัท ยังไม่ได้เปิดใช้กัน ซึ่งสาเหตุก็คือเน้นความสะดวกสบายของผู้ใช้งานเป็นหลัก แต่หารู้ไม่ว่าการเปิดใช้ MFA นั้น สามารถป้องกันการโจมตีแบบ Phishing ได้ถึง 96% แต่หลายองค์กรยังไม่บังคับใช้

6. อัปเดตซอฟต์แวร์ช้าเกินไป

- จากสถิติปี 2024 เวลาเฉลี่ยที่แฮกเกอร์ใช้โจมตีหลังช่องโหว่ถูกเปิดเผยลดลงเหลือเพียง 5 วัน แต่หลายองค์กรใช้เวลาหลายเดือนกว่าจะอัปเดต

7. ให้สิทธิ์เข้าถึงข้อมูลมากเกินจำเป็น

- พนักงานหลายคนเข้าถึงข้อมูลที่ไม่เกี่ยวกับงานของตัวเอง เพราะไม่มีการทบทวนสิทธิ์เป็นระยะ

8. ตกเป็นเหยื่อ Phishing และ Deepfake

- ภัยคุกคามประเภทนี้เริ่มมีมากในประเทศไทย หลายองค์กรเคยตกเป็นเหยื่อการโจมตีแบบ Phishing และปี 2025 การโจมตีด้วย Deepfake ทางโทรศัพท์ (Vishing) เพิ่มขึ้นซึ่งคาดว่าจะรุนแรงขึ้นอีกในปี 2026 นี้

9. ไม่มีแผนรับมือเหตุฉุกเฉินที่ชัดเจน

– จะว่าไปหลายองค์กรมีแผนรองรับสถานการณ์ฉุกเฉิน แต่ส่วนใหญ่พบว่า มีไว้แค่ให้ผู้ตรวจสอบไว้ดูเท่านั้น แต่ไม่เคยเข้าใจว่าการกำหนดขั้นตอน หรือการปฏิบัติตามแผนนั้นสำคัญอย่างไร และในกรณีที่เกิดเหตุขึ้นจริง หลายองค์กรยังไม่รู้ว่าต้องติดต่อใคร ต้องแจ้งผู้ที่เกี่ยวข้องอย่างไร หรือต้องทำอะไรภายในระยะเท่าไหร่ เป็นต้น

10. ใช้ AI โดยไม่มีการควบคุม (Shadow AI)

- ปี 2025 ที่ผ่านมาต้องบอกว่าการใช้งาน AI หรือระบบปัญญาประดิษฐ์ในการช่วยทำงานนั้นมีเพิ่มขึ้นมากในหลายๆ องค์กร และมีรายงานเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับ AI มากขึ้นด้วยเช่นกัน ส่วนใหญ่ พบว่า มีการอนุญาตให้ใช้งาน แต่ยังไม่มีการกำหนดนโยบาย หรือมาตรการควบคู่การให้ใช้งานไปด้วย

ช่องโหว่ที่กล่าวมาข้างต้นอาจไม่ได้จำเป็นต้องใช้เทคโนโลยีด้าน IT ขั้นสูงในการแก้ไข แต่ต้องการเพียง "ความใส่ใจ" และ "ระบบการควบคุมภายในที่ดี" เท่านั้น ก็จะสามารถลด และป้องกันการเกิดปัญหาเหล่านี้ได้

บริษัท ตรวจสอบภายในธรรมนิติ จำกัด ให้บริการงานตรวจสอบ ครอบคลุมทั้งงานตรวจสอบภายใน (Internal Audit) การประเมินระบบควบคุมภายใน งานตรวจสอบด้าน IT รวมถึงบริการสอบทานมาตรการต่อต้านการทุจริต (CAC) หากองค์กรของท่านต้องการผู้เชี่ยวชาญที่จะช่วยยกระดับระบบการควบคุมภายในให้แข็งแกร่งและพร้อมรับมือกับความเสี่ยงยุคใหม่ สามารถติดต่อเราได้ที่ โทร. 02-596-0500 หรือเยี่ยมชมเว็บไซต์ www.dir.co.th