Hidden Threat from using email
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ทำไมผู้บริหารจึงควรใส่ใจ และ ดูแลการใช้ email ของพนักงาน ? เป็นคำถามที่น่าสนใจและควรนำมาคิดไตร่ตรองหาคำตอบ เพราะ ในช่วงไม่กี่ปีที่ผ่านมา email ได้กลายเป็นสื่อกลางชนิดใหม่ที่สำคัญในการสื่อสารขององค์กร ไม่ว่าจะเป็นการสื่อสารกับลูกค้า หุ้นส่วนธุรกิจ หรือ แม้แต่กับพนักงานภายในองค์กรด้วยกันเอง ถึงแม้ว่าองค์กรทุกองค์กรต้องการใช้ email ให้เกิดประโยชน์สูงสุดทางธุรกิจ แต่องค์กรยังมีความตระหนักถึงผลกระทบจากการใช้สื่อชนิดใหม่นี้น้อยมาก อาจจะทำให้เกิดผลลบต่อพนักงานและภาพลักษณ์ขององค์กรโดยรวมได้
เรื่องการใช้ email ที่ถูกต้องในองค์กรนั้น มีความเข้าใจผิดกันอย่างมาก เพราะว่า ธรรมชาติของ email ซึ่งเป็นสื่อทางอิเล็คทรอนิกส์อย่างไม่เป็นทางการ ทำให้คิดกันไปว่าไม่จำเป็นต้องควบคุมมากนัก ซึ่งไม่เป็นความจริงในทางปฏิบัติ เพราะ ในกฎหมายธุรกรรมอิเล็คทรอนิกส์นั้น email และระบบ Digital Signature นั้นสามารถถือเป็นเอกสารที่ใช้อ้างอิงตามกฎหมายได้ไม่ต่างจากเอกสารประเภทอื่นๆ ดังนั้นองค์กร ทุกองค์กรจึงควรใส่ใจควบคุมการใช้สื่อ email ไม่น้อยไปกว่าการใช้สื่อ ทางธุรกิจประเภทอื่นๆ
email address ของพนักงานนั้นไม่ได้แสดงถึงตัวตนของพนักงานเท่านั้น แต่ยังแสดงถึงความเป็นภาพลักษณ์องค์กรโดยรวมอีกด้วย ดังนั้นหากพนักงานใช้ email ของบริษัทในการส่งข้อความหรือ เอกสารที่ไม่เหมาะสมออกสู่สาธารณะ ภาพลักษณ์ด้านลบจะไม่เพียงเกิดขึ้นกับพนักงานผู้นั้น หากแต่จะมีผลกับทบอย่างรุนแรงต่อองค์กรที่พนักงานผู้นั้นทำงานอยู่อีกด้วย ธุรกิจต่างๆมักจะเข้มงวดต่อการส่งจดหมายที่มีการพิมพ์ซอง หรือหัวกระดาษของบริษัท ไม่ให้ส่งในเรื่องส่วนตัว แต่ทำไมถึงได้ปล่อยให้พนักงานส่ง e-mail ออกมาโดยไม่มีการควบคุมที่ดีพอ เป็นเรื่องที่น่าคิดพอสมควร
การที่องค์กรไม่มีการควบคุมดูแลการใช้ e-mail นั้นอาจก่อให้เกิดปัญหา การฉ้อโกง การฟ้องร้อง เช่น การเปิดเผย ข้อมูลที่เป็นความลับ การส่งต่อภาพหรือข้อความที่ไม่เหมาะสม ทำให้ธุรกิจเสียภาพลักษณ์ พูดให้ชัดลงไปก็คือ ถ้าองค์กรของคุณยังไม่มีนโยบายสำหรับการใช้ email แล้วละก็ ถึงเวลาที่จะต้องเริ่มมีนโยบายสำหรับการใช้ email ขององค์กรกันแล้วละครับ
จากมุมมองภายในองค์กร ผู้บริหารมีหน้าที่ในการดูแลพนักงานไม่ให้ใช้ email ในทางที่ผิด หน่วยงาน DTI ของยุโรปได้สำรวจกลุ่มองค์กรธุรกิจของประเทศอังกฤษ พบว่าพนักงานจำนวนถึงเกือบ หนึ่งในสี่ ของพนักงานทั้งหมด ที่ประสบปัญหาจากการล่วงละเมิดทางเพศผ่านทาง e-mail (ทั้งพนักงานชายและหญิง)
อย่างไรก็ตาม งานด้านการ จำกัดการใช้ email ในเรื่องส่วนตัวนั้น เปรียบเสมือนการแก้ปัญหาที่เห็นเพียงยอดภูเขาน้ำแข็งเท่านั้น ยังมีงานที่ผู้บริหารต้องทำอีกเป็นจำนวนมาก การไม่ดูแลการใช้ email ในองค์กรนั้นยังเป็นช่องทางให้ข้อมูลที่เป็นความลับในองค์กร ถูกเปิดเผยอีกด้วย พนักงานส่วนใหญ่เมื่อได้รับ email ก็มักจะเปิดอ่านและโหลดไฟล์แนบโดยไม่สนใจว่าเป็น email ที่มาจากใคร ดังนั้น email พวกนี้จึงเป็นที่มาของ spyware,ไวรัส และ โทรจัน ต่างๆ ซึ่งก่อให้เกิดปัญหาระบบเครือข่ายล่ม จนถึง การถูกขโมยข้อมูลผ่านทางโปรแกรมโทรจันซึ่งไม่สามารถตรวจจับได้โดยโปรแกรมกำจัดไวรัส ต้องใช้โปรแกรมกำจัด spyware โดยเฉพาะ
Hacker และ นักเขียนโปรแกรมไวรัส นั้นมีการพัฒนาเทคนิคมากขึ้นทุกๆวัน และ มีการออกแบบข้อความในจดหมายที่น่าสนใจ โดยใช้วิธีปลอมที่อยู่ผู้ส่งให้เป็นคนที่เหยื่อรู้จัก เป็นต้น อุปสรรค์ในการควบคุมการใช้ email ขององค์กรนั้นเกิดจากการที่พนักงานมีการใช้ email จากภายนอกองค์กรมากขึ้น การรับส่ง email ที่เกี่ยวข้องกับงานโดยใช้เครื่องคอมพิวเตอร์ส่วนตัวที่ไม่ได้ติดตั้งโปรแกรมกำจัดไวรัสอย่างถูกต้องนั้นจะทำให้เกิดปัญหาการใช้งานโดยไม่ผ่านกระบวนการด้าน information security ขององค์กรโดยไม่ตั้งใจ จึงไม่ต้องสงสัยเลยว่า พนักงานนั้นเป็นช่องโหว่ด้าน information security ที่ร้ายแรงที่สุดในองค์กร วิธีเดียวที่องค์กรจะสามารถป้องกัน hacker และภัยอื่นๆซึ่งวิ่งผ่านทางระบบดิจิตอลนั้นคือ การอ้างสิทธิในการดูแลขอเปิดอ่าน email ที่น่าสงสัย และการบังคับใช้ นโยบาย email ขององค์กรอย่างจริงจัง
การมีนโยบายการใช้ email ที่ชัดเจน และ เปิดให้พนักงานทุกคนเข้าถึงได้นั้นยังไม่เพียงพอ หากแต่จะต้องมีการลงนามทำสัญญาอย่างจริงจังด้วย เพื่อทำให้พนักงานทุกคนปฏิบัติตามนโยบายที่กำหนดไว้อย่างเคร่งครัด ยิ่งไปกว่านั้น นโยบายการใช้ email ที่สัมฤทธิ์ผลนั้นไม่เพียงแต่ต้องบังคับใช้ได้ แต่ ยังต้องมีการ ปรับปรุงอย่างต่อเนื่องอีกด้วย เพราะว่า พวก Hacker ที่ใช้เทคนิค Phishing หรือ Pharming และ นักเขียนโปรแกรมไวรัส เองนั้นก็พัฒนาวิธีในการโจมตีหรือล่อลวงอย่างสม่ำเสมอ เช่น การใช้ เทคนิค Social Engineering หลอกเหยื่อเป็นต้น (รายละเอียดเพิ่มเติมดูได้ที่www.antiphishing.org) ผู้บริหารจึงต้องแก้ไขนโยบายให้ทันสมัยเพื่อให้พนักงานสามารถใช้งาน email ได้อย่างถูกต้อง และ ไม่หลงกลการล่อลวงแบบใหม่ซึ่งมีการอาศัย email เป็นสื่อดังที่กล่าวมาแล้ว
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนมิถุนายน 2548
Update Information : 22 มิถุนายน 2548