ผลการศึกษาล่าสุดจาก UC San Diego Health ทำให้เกิดคำถามเกี่ยวกับหนึ่งในวิธีป้องกันภัยไซเบอร์ ที่องค์กรส่วนใหญ่เพื่อใช้ป้องกันภัยฟิชชิ่ง นั่นคือ ” คอร์สอบรมภัยไซเบอร์ ” เพื่อให้พนักงานรู้ทัน แต่ดันกลับไม่ได้ช่วยอะไรมากนัก
งานวิจัยนี้ได้ทำการทดลองกับพนักงานเกือบ 20,000 คน เป็นเวลานาน 8 เดือน โดยมีการส่งอีเมลหลอกลวงจำลองไปให้พนักงานถึง 10 ครั้ง เพื่อทดสอบว่าการอบรมประจำปีที่ใช้กันอย่างแพร่หลายนั้น ช่วยให้พนักงานระวังตัวมากขึ้นหรือไม่
ผลลัพธ์ที่ได้คือ ไม่มีความแตกต่างอย่างมีนัยสำคัญในอัตราการคลิกพลาดของพนักงาน ไม่ว่าพนักงานคนนั้นจะเพิ่งผ่านการอบรมมาเมื่อไหร่ก็ตาม ซึ่งบ่งชี้ว่า การอบรม Phishing ที่บังคับให้พนักงานเท่านั้น ไม่ได้ช่วยสร้างความรู้หรือทักษะในการป้องกันตัวให้พนักงานได้อย่างแท้จริง
– พนักงานที่ผ่านการอบรม มีอัตราการคลิกพลาดลดลงเพียง 1.7% เมื่อเทียบกับกลุ่มที่ไม่ได้อบรมเลย
– พนักงานส่วนใหญ่ใช้เวลาดูเนื้อหาอบรมน้อยกว่า 1 นาที และกว่า 37-51% ปิดหน้าต่างการอบรมทิ้งทันที
ทำไมการอบรมถึงไม่ได้ผล?
ผู้จัดทำวิจัยเชื่อว่าสาเหตุที่การอบรมไม่ได้ผลอาจมาจากหลายปัจจัย เช่น เนื้อหาอาจจะกว้างเกินไป, ออกแบบมาไม่ดี, หรืออยู่ในรูปแบบที่พนักงานไม่อยากมีส่วนร่วม (เช่น คอร์สออนไลน์ที่ต้องกดให้ผ่านไปเฉยๆ) ทำให้พนักงานไม่ซึมซับเนื้อหาและมองว่าเป็นการทำเพื่อให้เสร็จๆ ไปเท่านั้น
อย่างไรก็ตาม การทดลองพบว่า การอบรมแบบถาม-ตอบ ให้ผลดีที่สุด โดยพนักงานที่เรียนจนจบหลักสูตรนี้ มีแนวโน้มจะตกเป็นเหยื่อ Phishing น้อยลงถึง 19% แต่ปัญหาก็คือมีพนักงานน้อยคนมากที่เรียนจนจบ ทำให้ภาพรวมของทั้งองค์กรยังคงมีความเสี่ยงเท่าเดิม
ปัจจุบัน การโจมตีทางไซเบอร์ ผ่าน Phishing ยังคงเป็นหนึ่งในภัยคุกคามที่อันตรายและพบบ่อยที่สุด การพึ่งพาแค่การอบรมพนักงานเพียงอย่างเดียวจึงไม่เพียงพออีกต่อไป
นักวิจัยไม่ได้แนะนำให้ยกเลิกการอบรมไปเลย แต่เสนอว่ามันควรเป็นเพียงส่วนหนึ่งของกลยุทธ์การป้องกันที่ใหญ่กว่า โดยทางออกที่ดีและน่าเชื่อถือกว่าคือการลงทุนใน ระบบป้องกันอัตโนมัติเช่น ซอฟต์แวร์ที่สามารถตรวจจับและบล็อกอีเมลน่าสงสัยก่อนที่จะส่งมาถึงกล่องข้อความของพนักงาน
ดังนั้น วิธีป้องกัน Phishing ในองค์กร ที่ได้ผลที่สุดไม่ใช่การบังคับอบรม แต่คือการสร้างเกราะป้องกันหลายชั้น โดยมีเทคโนโลยีเป็นด่านหน้า และการอบรมเป็นเพียงส่วนเสริมเพื่อสร้างความตระหนักรู้
ที่มา
