1. User Access Control
สิ่งที่ตรวจพบ : การมีบัญชีผู้ใช้งานที่ควรถูกปิดไปแล้ว (Inactive Accounts) ตกค้างอยู่ เป็นความเสี่ยงอันดับต้นๆ เพราะหากบัญชีนั้นถูกเจาะเข้าไปได้ จะไม่มีใครสังเกตเห็นความผิดปกติเลย มักเกิดจากกระบวนการระหว่าง HR และ IT ไม่ซิงค์กัน หรือการลืมลบบัญชีในระบบย่อย (Sub-systems)
ความเสี่ยง : การขโมยข้อมูลจากบุคคลภายใน หรืออดีตพนักงานที่ไม่หวังดี
วิธีแก้ไข:
1) ทำการตรวจสอบสิทธิ์การเข้าถึง (User Access Review) ทุก 3 เดือน, 6 เดือน หรือ 1 ปี โดยให้หัวหน้างานเป็นผู้ยืนยันว่าลูกน้องยังจำเป็นต้องใช้ระบบนั้นอยู่จริง
2) เชื่อมต่อระบบ HR กับ IT เพื่อให้การยกเลิกสิทธิ์ เป็นไปโดยอัตโนมัติเมื่อพนักงานลาออก
3) ใช้หลักการ Least Privilege (ให้สิทธิ์เท่าที่จำเป็นต้องใช้ทำงานเท่านั้น)
2. Password Policy
สิ่งที่ตรวจพบ: การตั้งรหัสผ่านที่เดาง่าย หรือการพึ่งพาแค่รหัสผ่านเพียงอย่างเดียว (Single-factor) เป็นเรื่องที่อันตรายมากในปัจจุบัน พนักงานมักใช้รหัสง่ายๆ เช่น 1234 หรือใช้รหัสเดียวกับชื่อ User ID
ความเสี่ยง: หากรหัสผ่านสั้นและไม่มีตัวอักษรพิเศษ เครื่องคอมพิวเตอร์สมัยใหม่สามารถถอดรหัส (Crack) ได้ในเวลาไม่กี่วินาที
วิธีแก้ไข:
1) บังคับใช้ Multi-Factor Authentication (เช่น App Authenticator หรือ Token) สำหรับการเข้าถึงจากภายนอก (VPN) และระบบสำคัญ
2) เน้นที่ความยาวและความยากของรหัสผ่าน มากกว่าบังคับเปลี่ยนรหัสผ่านบ่อยๆ (ตามหลักเกณฑ์การตั้งรหัสผ่านของ NIST ใหม่)
3) ตั้งค่าให้ระบบ “ล็อคบัญชี” ทันทีหากใส่รหัสผิดเกินจำนวนครั้งที่กำหนด (เช่น 3-5 ครั้ง) เพื่อป้องกันการสุ่มรหัส (Brute Force) ต่อเนื่อง
3. Backup & Recovery
สิ่งที่ตรวจพบ: มีการสำรองข้อมูลทุกวัน มีการตั้ง Auto-backup ไว้ แต่ไม่เคยตรวจสอบ Log หรือไม่เคยลองดึงข้อมูลออกมาทดสอบ (Restore Test) ทำให้เวลาเจอ Ransomware จริงๆ กลับกู้ข้อมูลไม่ได้ หรือข้อมูลที่กู้กลับมาได้เป็นเวอร์ชั่นที่เก่าเกิน ต้องเสียเวลาในการบันทึกข้อมูลย้อนหลังเข้าไปใหม่ค่อนข้างนาน
ความเสี่ยง: เมื่อโดน Ransomware หรือระบบล่ม ธุรกิจจะหยุดชะงัก (Downtime) นานเกินควร
วิธีแก้ไข:
1) ใช้กฎ 3-2-1 Rule: สำรองข้อมูล 3 ชุด, เก็บใน Media 2 ชนิด, และ 1 ชุดต้องเก็บไว้นอกสถานที่ (Off-site) หรือบน Cloud
2) ต้องมีการทำ Restore Test อย่างน้อยปีละ 1-2 ครั้ง และบันทึกผลการทดสอบไว้เป็นหลักฐานยืนยัน
4. Patch Management
สิ่งที่ตรวจพบ: ไม่อัปเดต Windows Server เป็นเวลานาน กลัวว่าอัปเดตแล้วระบบจะค้าง หรือโปรแกรมเดิมจะใช้งานไม่ได้ เลยเลือกที่จะไม่อัปเดตทิ้งไว้เป็นปีๆ
ความเสี่ยง: แฮกเกอร์สามารถเจาะระบบผ่านช่องโหว่ที่ผู้ผลิตซอฟต์แวร์ประกาศเตือนไว้นานแล้ว (Known Vulnerabilities)
วิธีแก้ไข:
1) จัดทำ Inventory List ว่าเรามี Software/Hardware อะไรบ้าง
2) ตั้งตารางการอัปเดต Patch ประจำเดือน โดยอัปเดต Patch ในเครื่องทดสอบก่อน 7-14 วัน ก่อนที่จะลงในเครื่อง Production จริง เพื่อลดความเสี่ยงระบบล่ม
3) ใช้เครื่องมือสแกนหาช่องโหว่ (Vulnerability Scanning) เพื่อหาจุดอ่อนเป็นประจำ
5. Physical Security
สิ่งที่ตรวจพบ: ต่อให้ลงระบบ Security ราคาแพงแค่ไหน แต่ถ้าใครก็ได้สามารถเดินเข้าไปดึง Hard drive ในห้อง Server ได้ จากการที่ไม่ล็อค, วางกุญแจทิ้งไว้, หรือไม่มี Log การเข้า-ออก (Access Log) ทุกอย่างก็จบ
ความเสี่ยง: การถูกโจรกรรม และการหยุดชะงักของธุรกิจ เกิดจากความประมาทหรือความตั้งใจ เช่น การเดินเตะปลั๊กไฟหลุด, การกดปุ่มปิดเครื่องผิด, หรือการทำน้ำหกใส่ตู้ Rack นำไปสู่ระบบล่ม (Downtime) ที่ส่งผลกระทบต่อรายได้และความน่าเชื่อถือขององค์กร
วิธีแก้ไข:
1) มีการล็อคห้องและมีระบบการยืนยันตัวตนก่อนเข้าห้อง เช่น ใช้บัตรพนักงาน สแกนนิ้ว หรือสแกนหน้า โดยต้องกำหนดสิทธิ์ให้เข้าได้เฉพาะผู้ที่มีความจำเป็นเท่านั้น
2) ติดกล้องวงจรปิดที่สามารถบันทึกภาพผู้เข้าใช้งานได้อย่างชัดเจน และเก็บ Log การเข้า-ออกเพื่อให้ทราบว่า “ใคร” เข้าไปตอน “กี่โมง” ไว้ตรวจสอบย้อนหลังได้อย่างน้อย 90 วัน
สรุปสั้นๆ: IT Security ที่ดี คือการ “ปิด-ป้อง-ซ่อม-ซ้อม”
ปิด: บัญชีพนักงานที่ลาออกทันที
ป้อง: ใช้ MFA และล็อคห้อง Server ให้แน่นหนา
ซ่อม: อัปเดต Patch สม่ำเสมออย่าให้ค้างปี
ซ้อม: ลอง Restore ข้อมูลสำรองเพื่อให้มั่นใจว่าใช้ได้จริง
สุดท้ายแล้ว การลงทุนกับระบบป้องกันราคาแพง จะไร้ความหมายทันทีหากเราละเลยพื้นฐานความปลอดภัย 5 ข้อนี้ ซึ่งการตรวจสอบ IT Audit ไม่ใช่เรื่องของการจับผิด แต่คือการช่วยค้นหา ‘ช่องโหว่’ ก่อนที่ผู้ไม่หวังดีจะเจอ เพราะในโลกไซเบอร์ ความผิดพลาดเพียงจุดเดียวอาจขยายผลเป็นความเสียหายมหาศาล การหมั่นตรวจสอบสิทธิ์ อัปเดตระบบ และซ้อมรับมือเหตุฉุกเฉินอย่างสม่ำเสมอ จะช่วยให้ธุรกิจก้าวไปข้างหน้าได้อย่างมั่นคงและปลอดภัย
ผู้เขียน : คุณชฎาพา สุขสมัย
IT Audit – บริษัท สอบบัญชีธรรมนิติ จำกัด