Posted inNote

หยุดโทษผู้ใช้! ทำไมความปลอดภัยทางไซเบอร์ยังล้มเหลว และบทเรียนจากระบบที่ผิดพลาด

Posted inNote

หยุดโทษผู้ใช้! ทำไมความปลอดภัยทางไซเบอร์ยังล้มเหลว และบทเรียนจากระบบที่ผิดพลาด

บ่อยครั้งที่เกิดเหตุการณ์ทางไซเบอร์ ไม่ว่าจะเป็นข้อมูลรั่วไหลหรือการถูกโจมตี หลายคนมักจะชี้ไปที่ “ผู้ใช้งาน” เป็นต้นเหตุ ความผิดพลาดง่าย ๆ อย่างการคลิกลิงก์ที่น่าสงสัย หรือดาวน์โหลดไฟล์ที่ไม่รู้จัก มักถูกมองว่าเป็นความบกพร่องส่วนบุคคล แต่แนวคิดนี้อาจกำลังพาเราหลงทาง และบดบังปัญหาที่แท้จริงซึ่งฝังลึกอยู่ใน “ระบบ” ที่เราสร้างขึ้นมา

ต้นตอของปัญหาไม่ได้อยู่ที่ตัวบุคคล

แนวคิดที่ว่าปัญหาเกิดจากตัวบุคคลนั้น เป็นสิ่งที่ W. Edwards Deming ปรมจารย์ด้านคุณภาพ ได้พิสูจน์ให้เห็นเมื่อหลายสิบปีก่อน ว่ามันไม่ใช่เรื่องจริงเสมอไป เขายืนยันว่าความผิดพลาดส่วนใหญ่ไม่ได้มาจากความตั้งใจหรือความสามารถของแต่ละคน แต่เกิดจาก ระบบ ที่ถูกออกแบบมาอย่างผิดพลาด หรือมีข้อจำกัดที่ทำให้เกิด ความผันผวน และ ข้อบกพร่อง ได้ง่าย

 

 

บทเรียนจาก “ลูกปัดแดง” ที่สะท้อนปัญหาเชิงระบบ

Deming ได้สร้างการทดลองที่โด่งดังชื่อว่า “การทดลองลูกปัดแดง” เพื่อสาธิตแนวคิดนี้ ในการทดลอง ผู้จัดการจะสั่งให้คนงานตักลูกปัดสีขาวออกมาจากถังที่ผสมลูกปัดสีแดงไว้จำนวนหนึ่ง แม้ว่าคนงานจะพยายามอย่างเต็มที่ หรือถูกตำหนิว่าทำงานผิดพลาด แต่จำนวนลูกปัดแดงที่ตักได้ก็ไม่ได้ลดลงอย่างมีนัยสำคัญ เพราะอะไรน่ะหรือ? ก็เพราะว่า ระบบ หรือกระบวนการนั้นเองที่มีลูกปัดแดงปะปนอยู่ตั้งแต่แรก ไม่ว่าจะพยายามมากแค่ไหน ผลลัพธ์ก็ยังคงถูกจำกัดด้วย ข้อบกพร่องเชิงโครงสร้าง ที่ไม่อาจแก้ไขได้ด้วยความพยายามส่วนบุคคลเพียงอย่างเดียว

 

 

เมื่อความปลอดภัยทางไซเบอร์ยังคงล้มเหลว

ลองนำบทเรียนจากลูกปัดแดงมาปรับใช้กับเรื่องของ ความปลอดภัยทางไซเบอร์ การโทษผู้ใช้ที่คลิกลิงก์ phishing หรือใช้งานรหัสผ่านที่อ่อนแอ ก็ไม่ต่างอะไรกับการตำหนิคนงานที่ตักลูกปัดแดงได้มาก ในเมื่อ ระบบ โดยรวมอาจเต็มไปด้วยความเสี่ยง เช่น ระบบป้องกัน phishing ที่ไม่แข็งแกร่งพอ การตั้งค่าเริ่มต้นที่ไม่ปลอดภัย เครื่องมือที่ไม่เป็นมิตรต่อผู้ใช้งาน หรือแม้แต่ วัฒนธรรมองค์กร ที่ไม่ได้ให้ความสำคัญกับการรักษาความปลอดภัยอย่างจริงจัง

 

 

ทางออกคือการออกแบบ “ระบบ” ที่แข็งแกร่ง

เพื่อสร้าง ความปลอดภัยทางไซเบอร์ ที่ยั่งยืน เราต้องเปลี่ยนมุมมองและหยุดตำหนิผู้ใช้งาน แต่หันมาโฟกัสที่การ ออกแบบระบบ เสียใหม่ ลองจินตนาการถึงระบบที่การกระทำที่ปลอดภัยเป็นเรื่องง่ายและสะดวกที่สุด การกระทำที่ไม่ปลอดภัยเป็นเรื่องที่ยากหรือไม่สามารถทำได้เลย นี่คือแนวคิดของ การออกแบบระบบให้ปลอดภัยโดยค่าเริ่มต้น (Secure by Design)

 

 

สิ่งเหล่านี้รวมถึงการนำเทคโนโลยีเข้ามาช่วย เช่น การกรองอีเมลขยะและ phishing ที่มีประสิทธิภาพสูง การใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่บังคับใช้งานตั้งแต่แรก หรือการสร้างสภาพแวดล้อมการทำงานที่แยกส่วนความเสี่ยงออกจากกันอย่างชัดเจน

 

 

เมื่อเราเปลี่ยนจากการตั้งรับและแก้ไขที่ปลายเหตุ มาเป็นการป้องกันด้วยการ ออกแบบ และปรับปรุง ระบบ อย่างต่อเนื่อง ผู้คนก็จะทำงานได้อย่างมั่นใจ และองค์กรจะมีความปลอดภัยที่แข็งแกร่งกว่าเดิมมาก

Tags: