ผู้เชี่ยวชาญเตือน โปรแกรมแบบเช่าใช้ (SaaS) หลายตัวอาจเปิดทางให้มัลแวร์เข้าสู่เครื่อง

ปัจจุบัน ซอฟต์แวร์ประเภทเช่าใช้ หรือ Software-as-a-Service (SaaS) ได้กลายมาเป็นที่นิยมด้วยการที่ผู้ใช้ควบคุมงบได้ ราคาจับต้องได้ และผู้ผลิตยังได้เงินตลอดจากค่าเช่า แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์บางรายกลับเตือนว่า สิ่งเหล่านี้อาจเป็นตัวที่จะนำภัยทางไซเบอร์มาสู่องค์กร

จากรายงานโดยเว็บไซต์ Blocks and Files ได้มีการกล่าวถึงรายงาน The State of SaaS Resilience in 2024 โดย HYCU บริษัทผู้เชี่ยวชาญด้านเทคโนโลยีคลาวด์ ร่วมกับสถาบัน Sapio Research ซึ่งเป็นรายงานที่เก็บข้อมูลจากการสัมภาษณ์เหล่าผู้บริหารที่มีอำนาจในการตัดสินใจมากกว่า 400 รายทั่วโลก

โดยในงานวิจัยนี้ได้มีการเปิดเผยตัวเลขของด้านลบในการใช้งานซอฟต์แวร์ประเภท SaaS ที่น่าตกใจคือ กว่า 61% ของผู้เข้ารับการสัมภาษณ์ทั้งหมดได้กล่าวว่า ตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ (Ransomware) โดยมีต้นตอมาจากซอฟต์แวร์ SaaS ไม่เพียงเท่านั้นงานวิจัยยังเปิดเผยถึงกรณีช่องโหว่ความปลอดภัยของซอฟต์แวร์ SaaS ต่อการโจมตีโดยมัลแวร์อีกว่า “กว่า 90% ของธุรกิจที่ใช้งานนั้นไม่สามารถกูข้อมูลที่ถูกเข้ารหัสที่อยู่ในตัวซอฟต์แวร์ได้ภายใน 1 ชั่วโมง ส่งผลให้เกิดความขัดข้องติดขัดในการดำเนินกิจการเป็นอย่างมาก และถึงแม้กว่า 71% จะสามารถกู้ข้อมูลได้ภายใน 1 วัน แต่ก็ยังคงส่งผลเชิงลบต่อธุรกิจอย่างหนักหน่วงอยู่ดี”

ทาง HYCU ได้กล่าวถึงปัญหาดังกล่าวว่า “จุดอ่อนซึ่งเป็นข้อท้าทายที่สำคัญของซอฟต์แวร์แบบ SaaS นั่นคือ การแชร์ความรับผิดชอบในความปลอดภัยของข้อมูล ซึ่งโดยมากนั้นผู้ใช้งานทั่วไป (End Customers) มักไม่ทราบหรือไม่ได้รับข้อมูลที่เพียงพอเกี่ยวกับเรื่องนี้ ซึ่งระบบการทำงานของซอฟต์แวร์ประเภทนี้ในด้านความปลอดภัยคือ ตัวผู้พัฒนาจะปกป้องความปลอดภัยของแพลตฟอร์มโดยรวม ขณะที่ผู้ใช้งานทั่วไปมักถูกปล่อยให้รักษาความปลอดภัยของบัญชีใช้งาน และตัวข้อมูลด้วยตนเอง”

ซึ่งในปัจจุบันนั้น ทางทีมวิจัยพบว่า มีซอฟต์แวร์แบบ SaaS ประมาณ 200 ตัว ที่เป็นที่นิยมใช้ในกลุ่มธุรกิจขนาดกลาง และขนาดเล็ก (SME หรือ Small-to-Medium Enterprise) แต่องค์กรเหล่านั้นมักจะไม่ทราบเลยว่าต้องมีการปกป้องความปลอดภัยของข้อมูลด้วยตนเอง นำไปสู่ปัญหาที่กล่าวไว้ข้างต้น นอกจากนั้นแล้วจากงานวิจัยยังพบอีกว่า โดยเฉลี่ยแล้วองค์กรมักจะใช้ซอฟต์แวร์ SaaS ประมาณ 22 ตัว ต่อ 1 ธุรกิจ และที่น่าตกใจคือ ธุรกิจระดับ SME กลับมีปริมาณการใช้งานเฉลี่ยที่มากกว่านี้ถึงเกือบ 10 เท่า หรือ ประมาณ 217 ตัว อ้างอิงจากงานวิจัยโดย Moor Insights & Strategy โดยทาง HYCU ยังกล่าวอีกว่า ธุรกิจระดับ SME นั้นมีความรู้ความเข้าใจเกี่ยวกับการจัดการด้านความปลอดภัยจากการใช้งานซอฟต์แวร์ SaaS และข้อมูลที่บรรจุขึ้นบนซอฟต์แวร์เหล่านี้น้อยมาก โดยจากผู้เข้าร่วมงานวิจัยนั้น มีถึง 43% ทีเดียวที่กล่าวว่า องค์กรของพวกเขามีความสามารถ (Skills) ที่ไม่เพียงพอในการรับมือด้านความปลอดภัยในการใช้งานซอฟต์แวร์ประเภทนี้

โดยตามงานวิจัยจากหลายแหล่งที่สอดคล้องไปในทางเดียวกันนี้ องค์กรต่าง ๆ โดยเฉพาะอย่างยิ่งธุรกิจ SME จำเป็นที่จะต้องเพิ่มมาตรฐานและลงทุนในด้านการพัฒนาความสามารถของคนภายใน โดยเฉพาะกลุ่มผู้ใช้งานให้อย่างน้อยสามารถรับมือ และรับผิดชอบกับความปลอดภัยของข้อมูลจากการใช้งานซอฟต์แวร์ SaaS ได้ นอกจากนั้นทางแหล่งข่าวยังได้มีข้อแนะนำอีก 2 ข้อ ที่องค์กรความปฏิบัตินั่นคือ

• การกำหนดขอบข่ายการใช้งานซอฟต์แวร์ SaaS ให้มีความชัดเจน นอกจากนั้นแล้วยังต้องกำหนดขอบข่ายในรูปแบบเดียวกันกับเครื่องมืออื่น ๆ ที่อยู่ในหมวด “ไอทีเงา” (Shadow IT คือ ซอฟต์แวร์และบริการด้าน IT ต่าง ๆ ที่สามารถซื้อหาได้เอง โดยที่ไม่ได้รับการดูแล อนุมัติ จากทางผู้เชี่ยวชาญอย่างแผนก IT)
• กำหนดการสำรองข้อมูลเป็นประจำ โดยต้องมีการสำรองข้อมูลที่เป็นปัจจุบันอย่างสม่ำเสมอ