บีเอสเอ | พันธมิตรซอฟต์แวร์ (BSA | Software Alliance) ออกมาแจ้งเตือนพร้อมเน้นย้ำถึงการใช้ซอฟต์แวร์หมดอายุการใช้งานและไม่ปลอดภัยในโครงการที่เกี่ยวกับระบบโครงสร้างพื้นฐานสาธารณะ ซึ่งอาจทำให้เกิดความเสี่ยงในด้านความปลอดภัยแก่สาธารณะได้

นายดรุณ ซอว์เนย์ ผู้อำนวยการอาวุโส บีเอสเอ กล่าวว่า “ผู้บริหารและผู้นำทางธุรกิจทุกท่านในอุตสาหกรรมวิศวกรรมและการออกแบบควรตั้งเป้าหมายสำหรับ 2567 ในด้านการจัดการสินทรัพย์ซอฟต์แวร์อย่างรัดกุม เนื่องจากรัฐบาลทั่วทั้งภูมิภาคกำลังจับตามองการใช้ซอฟต์แวร์ในโครงการสาธารณะ อย่างใกล้ชิด เพื่อให้ทุกโครงการที่เกี่ยวกับโครงสร้างพื้นฐานอันมาจากภาษีของประชาชน ได้ถูกออกแบบด้วยซอฟต์แวร์ที่ปลอดภัยและถูกต้องตามกฎหมาย”

ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิ์ มีความเสี่ยงสูงต่อการถูกคุกคามทางไซเบอร์ ซึ่งปัจจุบันมีจำนวนเพิ่มขึ้นทั่วโลก โดยในภูมิภาคเอเชียตะวันออกเฉียงใต้มีมูลค่าความเสียหายที่เกิดจากการละเมิดข้อมูลพุ่งแตะระดับสูงสุดเป็นประวัติการณ์ สร้างความสูญเสียเป็นมูลค่ามากกว่า 3 ล้านเหรียญสหรัฐฯ หรือกว่า 100 ล้านบาท ในปี 2566 ซึ่งสูงขึ้นถึง 6% เมื่อเทียบกับปี 2565

และเพื่อการเริ่มต้นปีใหม่ที่ดี บริษัทต่างๆ โดยเฉพาะบริษัทที่มีส่วนเกี่ยวข้องกับโครงการของระบบโครงสร้างพื้นฐาน ควรปฏิบัติตามแนวทางที่มีประสิทธิภาพที่สุด ในการรับมือกับการใช้งานซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิซึ่งมีอยู่อย่างแพร่หลาย ด้วยเหตุนี้ บีเอสเอจึงได้นำเสนอแนวทางปฏิบัติทั้ง 5 ข้อให้แก่ภาคธุรกิจเพื่อเป็นแนวทางในการปฏิบัติตามกฎระเบียบของซอฟต์แวร์และส่งเสริมความปลอดภัยทางไซเบอร์ ดังนี้

1)ใช้ซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิเพื่อเป็นปราการด่านแรกตั้งรับอาชญากรรมทางไซเบอร์ การใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายไม่เพียงแต่เป็นการปฏิบัติตามกฎระเบียบเท่านั้น แต่ยังสามารถทำหน้าที่เป็นด่านแรกในการป้องกันอาชญากรรมทางไซเบอร์สำหรับองค์กรได้ เนื่องจากผู้ให้บริการซอฟต์แวร์ที่ได้รับอนุญาตถูกต้องตามกฎหมายจะมีการตรวจสอบการเปลี่ยนแปลงของระบบอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ต่างๆ ทำให้ผู้ใช้งานสามารถติดตั้งซอฟต์แวร์ที่มาพร้อมกับมาตรการรักษาความปลอดภัยตัวล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นอยู่ตลอดเวลา ในทางกลับกันการใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิจะสร้างความเสี่ยงอย่างมากให้กับองค์กร เนื่องจากโปรแกรมเหล่านี้มักขาดการตรวจสอบด้านความปลอดภัยที่จำเป็น จึงทำให้เกิดช่องโหว่ในระบบและเป็นการเปิดโอกาสให้อาชญากรไซเบอร์เข้ามาโจมตีได้ ยิ่งไปกว่านั้น การใช้ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิอาจทำให้บริษัทวิศวกรรมและการออกแบบต้องเสี่ยงกับมัลแวร์ แรนซัมแวร์ และภัยคุกคามอื่นๆ ที่อาจส่งผลกระทบต่อความมั่นคงของโครงการ ไปจนถึงการถูกละเมิดข้อมูลและการขัดขวางการดำเนินการทางธุรกิจ ดังนั้นการบังคับใช้นโยบายที่เข้มงวดสำหรับการละเมิดลิขสิทธิ์ซอฟต์แวร์จึงเป็นสิ่งจำเป็นอย่างยิ่งสำหรับองค์กรเหล่านี้ เพื่อให้สมาชิกทุกคนเข้าใจถึงความเสี่ยงที่มาจากการใช้ซอฟต์แวร์ที่ผิดกฎหมายและผู้นำจำเป็นต้องเน้นย้ำถึงบทบาทของซอฟต์แวร์ที่มีสัญญาอนุญาตให้ใช้สิทธิว่าสามารถป้องกันความปลอดภัยทางไซเบอร์ขององค์กรได้อย่างไรบ้าง

2) จัดซื้อซอฟต์แวร์จากผู้จัดจำหน่ายที่เชื่อถือได้และถูกต้องตามกฎหมาย การเลือกแหล่งจัดซื้อที่เชื่อถือได้ไม่เพียงแค่ช่วยให้ซอฟต์แวร์ที่ได้รับมาเป็นของแท้ แต่ยังสร้างความมั่นใจให้แก่ผู้ใช้งานได้ว่ามันปราศจากภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นโปรแกรมประสงค์ร้าย ไวรัส หรือช่องโหว่ที่เป็นอันตรายที่อาจส่งผลต่อความปลอดภัยของระบบต่างๆ ภายในองค์กร อีกทั้ง ผู้จัดจำหน่ายที่ได้รับการรับรองจากกฎหมายจะปฏิบัติตามมาตรฐานของอุตสาหกรรม โดยจะมีการอัปเดตและการสนับสนุนซอฟต์แวร์เป็นประจำเพื่อพัฒนาฟังก์ชันการทำงานของซอฟต์แวร์ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างทันท่วงที นอกจากนี้ ทางบริษัทจำเป็นต้องควบคุมการจัดซื้อซอฟต์แวร์จากศูนย์กลางเดียว เพื่อสร้างแนวทางปฏิบัติให้เป็นไปในทิศทางเดียวกันและเป็นไปตามมาตรฐานของการตรวจสอบและนำซอฟต์แวร์มาใช้ภายในองค์กร ซึ่งจะช่วยลดความเสี่ยงในการใช้โปรแกรมที่ไม่ได้รับอนุญาตหรือที่เป็นอันตรายโดยไม่ได้ตั้งใจ อีกทั้ง นี่ยังเป็นการปฏิบัติที่จะช่วยให้มีการกำกับดูแลที่ดีขึ้น และทำให้มั่นใจได้ว่าซอฟต์แวร์ทั้งหมดเป็นไปตามนโยบายของบริษัทตลอดจนข้อกำหนดของสิทธิการอนุญาต และมาตรฐานความปลอดภัย

3) สร้างระบบการจัดการสินทรัพย์ที่แข็งแกร่ง หนึ่งสิ่งสำคัญในการจัดการสินทรัพย์อย่างมีประสิทธิภาพคือการตรวจสอบสถานะของไลเซนส์ซอฟต์แวร์เป็นประจำ ซึ่งทำได้โดยการจัดเก็บรายละเอียดการสั่งซื้อและหมั่นตรวจเช็ควันหมดอายุของไลเซนส์ การบกพร่องในการตรวจเช็คข้างต้น อาจส่งผลเสียต่อบริษัททั้งในทางกฎหมายและทางการเงิน ดังนั้น การปฏิบัติตามคำแนะนำดังกล่าวจะช่วยหลีกเลี่ยงความเสี่ยงเกี่ยวกับการจัดสรรไลเซนส์น้อยกว่าจำนวนบุคลากรเพื่อประหยัดงบประมาณ ซึ่งอาจนำไปสู่การละเมิดโดยไม่ได้ตั้งใจ และส่งผลต่อความมั่นคงของโครงสร้างความปลอดภัยทางไซเบอร์ขององค์กร ซึ่งซอฟต์แวร์ที่ไม่ได้ถูกรับรองอาจเป็นช่องโหว่ที่อาชญากรไซเบอร์สามารถใช้ประโยชน์ได้

นอกจากนี้ ธุรกิจต่างๆ ควรตระหนักถึงความสำคัญของการประยุกต์ใช้ปัญญาประดิษฐ์ หรือ AI เข้ากับระบบรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน เนื่องจากเหล่าอาชญากรไซเบอร์ต่างใช้ประโยชน์จากเทคโนโลยีมากขึ้นเรื่อยๆ ในการวางแผนการโจมตีทางไซเบอร์ที่ซับซ้อน ดังนั้น ธุรกิจต่างๆ จึงต้องก้าวตามภัยคุกคามใหม่ๆ ให้ทันซึ่งสามารถทำได้โดยการลงทุนในโซลูชันที่ขับเคลื่อนด้วย AI เพราะ AI มีบทบาทสำคัญในการวิเคราะห์อีเมลและพฤติกรรมผู้ใช้งานเพื่อวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น อีกทั้ง AI ยังสามารถช่วยตรวจจับการลงชื่อเข้าใช้และบัญชีผู้ใช้ที่น่าสงสัย พร้อมทั้งช่วยเสริมความปลอดภัยให้กับโซลูชันสำหรับการพิสูจน์ตัวตนได้อีกด้วย เมื่อองค์กรต่างๆ นำ AI มาประยุกต์ใช้ จะสามารถเสริมการป้องกันขององค์กร ตลอดจนระบุและรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในเชิงรุกได้

4) ปลูกฝังวัฒนธรรมการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์ การสร้างความตระหนักรู้ให้แก่สมาชิกภายในองค์กรถือเป็นขั้นแรกที่สำคัญในการสร้างวัฒนธรรมที่แข็งแกร่งสำหรับการปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์และความปลอดภัยทางไซเบอร์ภายในองค์กร ซึ่งสามารถทำได้โดยการจัดการอบรมให้ความรู้อย่างเป็นประจำเพื่อปลูกฝังความเข้าใจถึงความสำคัญของการปฏิบัติตามกฎระเบียบและผลกระทบที่อาจเกิดขึ้นจากความปลอดภัยทางไซเบอร์ที่หละหลวม โดยบริษัทสามารถลงทุนกับโปรแกรมการฝึกอบรมที่ครอบคลุมหัวข้อสำคัญต่างๆ เช่น ภัยคุกคามใหม่ๆ  มาตรฐานการปฏิบัติตามกฎระเบียบตลอดจนแนวทางปฏิบัติที่ดีที่สุดเพื่อให้พนักงานมีความสามารถเชิงรุกในการระบุและจัดการความเสี่ยงที่อาจเกิดขึ้นได้ อีกทั้งการตระหนักรู้เรื่องพื้นฐานนี้ยังเป็นการปลูกฝังความตื่นตัวและกระตือรือร้นในหมู่พนักงานอีกด้วย

นอกจากนี้การส่งเสริมความมุ่งมั่นร่วมกันในด้านความปลอดภัยทางไซเบอร์ถือเป็นอีกหนึ่งกุญแจสำคัญเพราะการที่สมาชิกในทีมมีส่วนร่วมอย่างจริงจังในการรักษาความปลอดภัยทางไซเบอร์ขององค์กร แสดงให้เห็นถึงความรับผิดชอบร่วมกันในการรักษาความมั่นคงของสภาพแวดล้อมทางดิจิทัลที่ปลอดภัย

5) กำหนดนโยบายการใช้งานซอฟต์แวร์ให้พนักงานทุกคนปฏิบัติตามบริษัทต่างๆ สามารถกำหนดนโยบายเชิงปฏิบัติที่ส่งเสริมให้พนักงานมีส่วนร่วมเพื่อสร้างวัฒนธรรมเพื่อความปลอดภัยทางไซเบอร์ โดยกุญแจสำคัญของนโยบายนี้คือการสร้างกระบวนการที่ชัดเจนและเป็นระบบสำหรับการรายงานเกี่ยวกับสิ่งที่ไม่เป็นไปตามกฎระเบียบ การคุกคาม และช่องโหว่ต่างๆ การสนับสนุนให้พนักงานมีส่วนร่วมในกระบวนการเหล่านี้จะช่วยส่งเสริมวัฒนธรรมการใช้งานซอฟต์แวร์ขององค์กร และช่วยให้บริษัทสามารถระบุและรายงานความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้ ซึ่งถือเป็นกุญแจสำคัญในการป้องกันภัยคุกคามทางไซเบอร์ภายในองค์กร

นอกจากนี้ ยังช่วยให้บริษัทสามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างรวดเร็วและใช้มาตรการเชิงรุกเพื่อลดผลกระทบจากการละเมิดความปลอดภัยทางไซเบอร์ได้อีกด้วย

ในขณะเดียวกัน บริษัทอาจมีความจำเป็นต้องจำกัดการเข้าถึงซอฟต์แวร์บางตัวสำหรับพนักงานที่ผ่านการฝึกอบรมการใช้ซอฟต์แวร์แล้วเท่านั้น เพื่อป้องกันไม่ให้เกิดความเสียหายจากข้อผิดพลาดที่เกิดจากบุคลากรที่ไม่ได้รับการฝึกอบรม ซึ่งช่วยลดความเสี่ยงของข้อผิดพลาดที่อาจเกิดขึ้นโดยไม่ได้ตั้งใจ ไม่เพียงเท่านั้น แต่นี่ยังเน้นย้ำถึงความสำคัญของโปรแกรมการฝึกอบรมที่ครอบคลุม ซึ่งเป็นสิ่งสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ขององค์กร ซอฟต์แวร์ที่ไม่มีสัญญาอนุญาตให้ใช้สิทธิถือเป็นการละเมิดกฎหมายและอาจส่งผลให้เกิดผลกระทบร้ายแรง ทั้งการเสียค่าปรับจำนวนมากและการถูกดำเนินคดีทางกฎหมายเนื่องจากเป็นการละเมิดสิทธิในทรัพย์สินทางปัญญา โดยในปี 2567 การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์จะมีความสำคัญมากยิ่งขึ้น โดยเฉพาะกับบริษัทที่ทำงานเกี่ยวกับโครงสร้างพื้นฐานสาธารณะ ทั้งนี้ การปฏิบัติตามกฎระเบียบการใช้งานซอฟต์แวร์ถือเป็นพื้นฐานในการรับรองความปลอดภัยของตัวบุคคลและองค์กรในระยะยาว.