BSA เน้นย้ำการใช้ซอฟต์แวร์ที่มีใบอนุญาตสำหรับโครงการสาธารณะที่ผ่านแผนการจัดการความเสี่ยงทางไซเบอร์และความปลอดภัยในเชิงรุกประจำปี 2567


ในปีที่ผ่านมา เกิดข้อถกเถียงกันในแวดวงวิศวกรรมและการออกแบบ เนื่องจากมีการพบว่าบริษัทยักษ์ใหญ่หลายแห่งยังคงมีการใช้งานซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิกันอย่างแพร่หลาย

จากการดำเนินการของเจ้าหน้าที่ตำรวจในภูมิภาคเอเชียตะวันออกเฉียงใต้ช่วงที่ผ่านมาได้เผยให้เห็นว่า บริษัทด้านการออกแบบและวิศวกรรมที่ใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิหลายบริษัทมีส่วนร่วมในโครงการที่เกี่ยวกับระบบโครงสร้างพื้นฐานสาธารณะ ด้วยเหตุนี้ บีเอสเอ | พันธมิตรซอฟต์แวร์ (BSA | Software Alliance) จึงออกมาแจ้งเตือนพร้อมเน้นย้ำถึงการใช้ซอฟต์แวร์หมดอายุการใช้งานและไม่ปลอดภัยในโครงการดังกล่าว ซึ่งอาจทำให้เกิดความเสี่ยงในด้านความปลอดภัยแก่สาธารณะได้

นายดรุณ ซอว์เนย์ ผู้อำนวยการอาวุโส บีเอสเอ กล่าวว่า “ผู้บริหารและผู้นำทางธุรกิจทุกท่านในอุตสาหกรรมวิศวกรรมและการออกแบบควรตั้งเป้าหมายสำหรับ 2567 ในด้านการจัดการสินทรัพย์ซอฟต์แวร์อย่างรัดกุม เนื่องจากรัฐบาลทั่วทั้งภูมิภาคกำลังจับตามองการใช้ซอฟต์แวร์ในโครงการสาธารณะอย่างใกล้ชิด เพื่อให้ทุกโครงการที่เกี่ยวกับโครงสร้างพื้นฐานอันมาจากภาษีของประชาชน ได้ถูกออกแบบด้วยซอฟต์แวร์ที่ปลอดภัยและถูกต้องตามกฎหมาย”

ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ์ มีความเสี่ยงสูงต่อการถูกคุกคามทางไซเบอร์ ซึ่งปัจจุบันมีจำนวนเพิ่มขึ้นทั่วโลก โดยในภูมิภาคเอเชียตะวันออกเฉียงใต้มีมูลค่าความเสียหายที่เกิดจากการละเมิดข้อมูลพุ่งแตะระดับสูงสุดเป็นประวัติการณ์ สร้างความสูญเสียเป็นมูลค่ามากกว่า 3 ล้านเหรียญสหรัฐฯ หรือกว่า 100 ล้านบาท ในปี 2566 ซึ่งสูงขึ้นถึง 6% เมื่อเทียบกับปี 2565

และเพื่อการเริ่มต้นปีใหม่ที่ดี บริษัทต่าง ๆ โดยเฉพาะบริษัทที่มีส่วนเกี่ยวข้องกับโครงการของระบบโครงสร้างพื้นฐาน ควรปฏิบัติตามแนวทางที่มีประสิทธิภาพที่สุด ในการรับมือกับการใช้งานซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิซึ่งมีอยู่อย่างแพร่หลาย ด้วยเหตุนี้ บีเอสเอจึงได้นำเสนอแนวทางปฏิบัติทั้ง 5 ข้อ ให้แก่ภาคธุรกิจเพื่อเป็นแนวทางในการปฏิบัติตามกฎระเบียบของซอฟต์แวร์และส่งเสริมความปลอดภัยทางไซเบอร์ ดังนี้

1) ใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิเพื่อเป็นปราการด่านแรกตั้งรับอาชญากรรมทางไซเบอร์

การใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายไม่เพียงแต่เป็นการปฏิบัติตามกฎระเบียบเท่านั้น แต่ยังสามารถทำหน้าที่เป็นด่านแรกในการป้องกันอาชญากรรมทางไซเบอร์สำหรับองค์กรได้ เนื่องจากผู้ให้บริการซอฟต์แวร์ที่ได้รับอนุญาตถูกต้องตามกฎหมายจะมีการตรวจสอบการเปลี่ยนแปลงของระบบอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ต่าง ๆ ทำให้ผู้ใช้งานสามารถติดตั้งซอฟต์แวร์ที่มาพร้อมกับมาตรการรักษาความปลอดภัยตัวล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นอยู่ตลอดเวลา

ในทางกลับกัน การใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิจะสร้างความเสี่ยงอย่างมากให้กับองค์กร เนื่องจากโปรแกรมเหล่านี้มักขาดการตรวจสอบด้านความปลอดภัยที่จำเป็น จึงทำให้เกิดช่องโหว่ในระบบและเป็นการเปิดโอกาสให้อาชญากรไซเบอร์เข้ามาโจมตีได้ ยิ่งไปกว่านั้น การใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิอาจทำให้บริษัทวิศวกรรมและการออกแบบต้องเสี่ยงกับมัลแวร์ แรนซัมแวร์ และภัยคุกคามอื่น ๆ ที่อาจส่งผลกระทบต่อความมั่นคงของโครงการ ไปจนถึงการถูกละเมิดข้อมูล และการขัดขวางการดำเนินการทางธุรกิจ

ดังนั้นการบังคับใช้นโยบายที่เข้มงวดสำหรับการละเมิดลิขสิทธิ์ซอฟต์แวร์จึงเป็นสิ่งจำเป็นอย่างยิ่งสำหรับองค์กรเหล่านี้ เพื่อให้สมาชิกทุกคนเข้าใจถึงความเสี่ยงที่มาจากการใช้ซอฟต์แวร์ที่ผิดกฎหมาย และผู้นำจำเป็นต้องเน้นย้ำถึงบทบาทของซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิว่าสามารถป้องกันความปลอดภัยทางไซเบอร์ขององค์กรได้อย่างไรบ้าง

2) จัดซื้อซอฟต์แวร์จากผู้จัดจำหน่ายที่เชื่อถือได้และถูกต้องตามกฎหมาย

การเลือกแหล่งจัดซื้อที่เชื่อถือได้ไม่เพียงแค่ช่วยให้ซอฟต์แวร์ที่ได้รับมาเป็นของแท้ แต่ยังสร้างความมั่นใจให้แก่ผู้ใช้งานได้ว่ามันปราศจากภัยไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นโปรแกรมประสงค์ร้าย ไวรัส หรือช่องโหว่ที่เป็นอันตรายที่อาจส่งผลต่อความปลอดภัยของระบบต่าง ๆ ภายในองค์กร อีกทั้ง ผู้จัดจำหน่ายที่ได้รับการรับรองจากกฎหมายจะปฏิบัติตามมาตรฐานของอุตสาหกรรม โดยจะมีการอัปเดตและการสนับสนุนซอฟต์แวร์เป็นประจำเพื่อพัฒนาฟังก์ชันการทำงานของซอฟต์แวร์ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างทันท่วงที

นอกจากนี้ ทางบริษัทจำเป็นต้องควบคุมการจัดซื้อซอฟต์แวร์จากศูนย์กลางเดียว เพื่อสร้างแนวทางปฏิบัติให้เป็นไปในทิศทางเดียวกันและเป็นไปตามมาตรฐานของการตรวจสอบและนำซอฟต์แวร์มาใช้ภายในองค์กร ซึ่งจะช่วยลดความเสี่ยงในการใช้โปรแกรมที่ไม่ได้รับอนุญาตหรือที่เป็นอันตรายโดยไม่ได้ตั้งใจ อีกทั้ง นี่ยังเป็นการปฏิบัติที่จะช่วยให้มีการกำกับดูแลที่ดีขึ้น และทำให้มั่นใจได้ว่าซอฟต์แวร์ทั้งหมดเป็นไปตามนโยบายของบริษัท ตลอดจนข้อกำหนดของสิทธิการอนุญาต และมาตรฐานความปลอดภัย

3) สร้างระบบการจัดการสินทรัพย์ที่แข็งแกร่ง

หนึ่งสิ่งสำคัญในการจัดการสินทรัพย์อย่างมีประสิทธิภาพคือการตรวจสอบสถานะของไลเซนส์ซอฟต์แวร์เป็นประจำ ซึ่งทำได้โดยการจัดเก็บรายละเอียดการสั่งซื้อและหมั่นตรวจเช็ควันหมดอายุของไลเซนส์ การบกพร่องในการตรวจเช็คข้างต้น อาจส่งผลเสียต่อบริษัททั้งในทางกฎหมายและทางการเงิน ดังนั้น การปฏิบัติตามคำแนะนำดังกล่าวจะช่วยหลีกเลี่ยงความเสี่ยงเกี่ยวกับการจัดสรรไลเซนส์น้อยกว่าจำนวนบุคลากรเพื่อประหยัดงบประมาณ ซึ่งอาจนำไปสู่การละเมิดโดยไม่ได้ตั้งใจ และส่งผลต่อความมั่นคงของโครงสร้างความปลอดภัยทางไซเบอร์ขององค์กร ซึ่งซอฟต์แวร์ที่ไม่ได้ถูกรับรองอาจเป็นช่องโหว่ที่อาชญากรไซเบอร์สามารถใช้ประโยชน์ได้

นอกจากนี้ ธุรกิจต่าง ๆ ควรตระหนักถึงความสำคัญของการประยุกต์ใช้ปัญญาประดิษฐ์ หรือ AI เข้ากับระบบรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน เนื่องจากเหล่าอาชญากรไซเบอร์ต่างใช้ประโยชน์จากเทคโนโลยีมากขึ้นเรื่อย ๆ ในการวางแผนการโจมตีทางไซเบอร์ที่ซับซ้อน ดังนั้น ธุรกิจต่าง ๆ จึงต้องก้าวตามภัยคุกคามใหม่ ๆ ให้ทัน ซึ่งสามารถทำได้โดยการลงทุนในโซลูชันที่ขับเคลื่อนด้วย AI เพราะ AI มีบทบาทสำคัญในการวิเคราะห์อีเมลและพฤติกรรมผู้ใช้งานเพื่อวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น อีกทั้ง AI ยังสามารถช่วยตรวจจับการลงชื่อเข้าใช้และบัญชีผู้ใช้ที่น่าสงสัย พร้อมทั้งช่วยเสริมความปลอดภัยให้กับโซลูชันสำหรับการพิสูจน์ตัวตนได้อีกด้วย เมื่อองค์กรต่าง ๆ นำ AI มาประยุกต์ใช้ จะสามารถเสริมการป้องกันขององค์กร ตลอดจนระบุและรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในเชิงรุกได้

4) ปลูกฝังวัฒนธรรมการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์

การสร้างความตระหนักรู้ให้แก่สมาชิกภายในองค์กรถือเป็นขั้นแรกที่สำคัญในการสร้างวัฒนธรรมที่แข็งแกร่งสำหรับการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์ภายในองค์กร ซึ่งสามารถทำได้โดยการจัดการอบรมให้ความรู้อย่างเป็นประจำเพื่อปลูกฝังความเข้าใจถึงความสำคัญของการปฏิบัติตามกฎระเบียบและผลกระทบที่อาจเกิดขึ้นจากความปลอดภัยทางไซเบอร์ที่หละหลวม โดยบริษัทสามารถลงทุนกับโปรแกรมการฝึกอบรมที่ครอบคลุมหัวข้อสำคัญต่าง ๆ เช่น ภัยคุกคามใหม่ ๆ มาตรฐานการปฏิบัติตามกฎระเบียบ ตลอดจนแนวทางปฏิบัติที่ดีที่สุดเพื่อให้พนักงานมีความสามารถเชิงรุกในการระบุและจัดการความเสี่ยงที่อาจเกิดขึ้นได้ อีกทั้ง การตระหนักรู้เรื่องพื้นฐานนี้ยังเป็นการปลูกฝังความตื่นตัวและกระตือรือร้นในหมู่พนักงานอีกด้วย

นอกจากนี้ การส่งเสริมความมุ่งมั่นร่วมกันในด้านความปลอดภัยทางไซเบอร์ถือเป็นอีกหนึ่งกุญแจสำคัญ เพราะการที่สมาชิกในทีมมีส่วนร่วมอย่างจริงจังในการรักษาความปลอดภัยทางไซเบอร์ขององค์กร แสดงให้เห็นถึงความรับผิดชอบร่วมกันในการรักษาความมั่นคงของสภาพแวดล้อมทางดิจิทัลที่ปลอดภัย
 
5) กำหนดนโยบายการใช้งานซอฟต์แวร์ให้พนักงานทุกคนปฏิบัติตาม

บริษัทต่าง ๆ สามารถกำหนดนโยบายเชิงปฏิบัติที่ส่งเสริมให้พนักงานมีส่วนร่วมเพื่อสร้างวัฒนธรรมเพื่อความปลอดภัยทางไซเบอร์ โดยกุญแจสำคัญของนโยบายนี้ คือการสร้างกระบวนการที่ชัดเจนและเป็นระบบสำหรับการรายงานเกี่ยวกับสิ่งที่ไม่เป็นไปตามกฎระเบียบ การคุกคาม และช่องโหว่ต่าง ๆ การสนับสนุนให้พนักงานมีส่วนร่วมในกระบวนการเหล่านี้ จะช่วยส่งเสริมวัฒนธรรมการใช้งานซอฟต์แวร์ขององค์กร และช่วยให้บริษัทสามารถระบุและรายงานความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้ ซึ่งถือเป็นกุญแจสำคัญในการป้องกันภัยคุกคามทางไซเบอร์ภายในองค์กร นอกจากนี้ ยังช่วยให้บริษัทสามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว และใช้มาตรการเชิงรุกเพื่อลดผลกระทบจากการละเมิดความปลอดภัยทางไซเบอร์ได้อีกด้วย

ในขณะเดียวกัน บริษัทอาจมีความจำเป็นต้องจำกัดการเข้าถึงซอฟต์แวร์บางตัวสำหรับพนักงานที่ผ่านการฝึกอบรมการใช้ซอฟต์แวร์แล้วเท่านั้น เพื่อป้องกันไม่ให้ เกิดความเสียหายจากข้อผิดพลาดที่เกิดจากบุคลากรที่ไม่ได้รับการฝึกอบรม ซึ่งช่วยลดความเสี่ยงของข้อผิดพลาดที่อาจเกิดขึ้นโดยไม่ได้ตั้งใจ ไม่เพียงเท่านั้น แต่นี่ยังเน้นย้ำถึงความสำคัญของโปรแกรมการฝึกอบรมที่ครอบคลุม ซึ่งเป็นสิ่งสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ขององค์กร

ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิถือเป็นการละเมิดกฎหมาย และอาจส่งผลให้เกิดผลกระทบร้ายแรง ทั้งการเสียค่าปรับจำนวนมาก และการถูกดำเนินคดีทางกฎหมายเนื่องจากเป็นการละเมิดสิทธิในทรัพย์สินทางปัญญา โดยในปี 2567 การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์จะมีความสำคัญมากยิ่งขึ้น โดยเฉพาะกับบริษัทที่ทำงานเกี่ยวกับโครงสร้างพื้นฐานสาธารณะ ทั้งนี้ การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์ถือเป็นพื้นฐานในการรับรองความปลอดภัยของตัวบุคคลและองค์กรในระยะยาว
ใหม่กว่า เก่ากว่า