30 กันยายน 2024

เหตุใดการรักษาความปลอดภัยของระบบเดิมจึงเป็นสิ่งสําคัญ

ระบบเดิมมีข้อมูลที่จําเป็นสําหรับผู้ประกันตน แต่ก็อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้เช่นกัน ยิ่งระบบเดิมเก่ามากเท่าไหร่ ก็ยิ่งมีความสามารถน้อยลงในการติดตามการพัฒนาทางเทคโนโลยีใหม่ๆ ทําให้เสี่ยงต่อภัยคุกคามทางดิจิทัล ระบบเดิมที่เก่ากว่ามีโอกาสน้อยที่จะมีนักพัฒนาดั้งเดิมหรือเอกสารประกอบสําหรับการอ้างอิง

ระบบเดิมคือระบบที่ไม่ได้รับการสนับสนุนจากนักพัฒนาอีกต่อไปหรือไม่สามารถเป็นไปตามมาตรฐานการปฏิบัติตามข้อกําหนดในปัจจุบัน Miriam Cihodariu เจ้าหน้าที่ฝ่ายสื่อสารและประชาสัมพันธ์ของ Heimdal Security กล่าว อาจเป็นระบบปฏิบัติการหรือแพลตฟอร์มที่ออกแบบมาสําหรับการใช้งานภายใน เช่นเดียวกับซอฟต์แวร์ที่ต้องเผชิญกับลูกค้า

บริษัทประกันภัยไม่จําเป็นต้องทิ้งระบบเดิมไปทั้งหมด อย่างไรก็ตาม บริษัทประกันภัยจําเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามกฎระเบียบที่บังคับใช้ และเพื่อปกป้องลูกค้าและบริษัทจากการเปิดเผยด้วยการรักษาความปลอดภัยของระบบเดิมโดยเฉพาะ

เหตุใดผู้ประกันตนจึงต้องจัดการกับความปลอดภัยของระบบเดิม

อาชญากรรมไซเบอร์เป็นธุรกิจขนาดใหญ่ การแฮ็กและการกระทําที่คล้ายคลึงกันทําให้เศรษฐกิจโลกเสียค่าใช้จ่าย 3 ล้านล้านดอลลาร์ในปี 2015 และคาดว่าจะมีค่าใช้จ่ายสูงถึง 6 ล้านล้านดอลลาร์ต่อปีภายในปี 2021 Steve Morgan ผู้ก่อตั้ง Cybersecurity Ventures กล่าว การศึกษาโดยรองศาสตราจารย์ Michel Cukier จากมหาวิทยาลัยแมริแลนด์ประมาณการว่าแฮกเกอร์โจมตีระบบคอมพิวเตอร์ที่ไหนสักแห่งในโลกโดยเฉลี่ยทุกๆ 39 วินาที

ระบบเดิมที่มีการตั้งค่าที่ล้าสมัยหรือไม่เป็นไปตามข้อกําหนด ช่วยให้เข้าถึงได้ง่ายขึ้นสําหรับผู้ที่ต้องการขโมยข้อมูลบริษัทประกันภัยหรือก่อให้เกิดความชั่วร้ายทางดิจิทัล

เหตุใดองค์กรจึงรักระบบเดิมของตน

ระบบเดิมใช้กันทั่วไปในธุรกิจและองค์กรอื่นๆ ทั่วโลก บ่อยครั้งที่องค์กรยังคงใช้ซอฟต์แวร์ที่ล้าสมัย เนื่องจากซอฟต์แวร์นั้นทําหน้าที่เป็นเครื่องช่วยชีวิตสําหรับระบบหรือข้อมูลที่สําคัญ

ตัวอย่างเช่น เมื่อ Microsoft ประกาศว่าจะไม่รองรับ Windows XP อีกต่อไปในปี 2014 กระทรวงกลาโหมสหรัฐฯ ได้ติดต่อเพื่อขอความช่วยเหลือในขณะที่เพนตากอนเปลี่ยนไปใช้ Windows 10 ประมาณ 30 เปอร์เซ็นต์ของคอมพิวเตอร์ทั่วโลกยังคงใช้ Windows XP ในปี 2014 รวมถึงระบบทางทหารที่สําคัญของสหรัฐฯ จํานวนหนึ่ง ตามรายงานของ Jeremy Hsu นักข่าวด้านเทคโนโลยี

องค์กรอาจเลือกที่จะใช้ระบบเดิมต่อไปเพื่อเพิ่มมูลค่าของการลงทุนในซอฟต์แวร์และการบํารุงรักษา “เมื่อลงทุนในโครงสร้างพื้นฐาน องค์กรจะทําเช่นนั้นโดยคาดหวังว่าจะได้รับระยะเวลาหนึ่งจากผลิตภัณฑ์ วงจรชีวิตนี้กลายเป็นส่วนหนึ่งของงบประมาณและแผนธุรกิจที่ตัดจําหน่ายหลายปีซึ่งเจ้าหน้าที่การเงินไม่อยากออกเดินทางเว้นแต่จําเป็นจริงๆ” Jaime Mante Venkon.us iga

สุดท้าย ระบบเดิมอาจได้รับการบํารุงรักษาเนื่องจากเป็นซอฟต์แวร์ที่สร้างขึ้นเองซึ่งทําในสิ่งที่ธุรกิจต้องการ Manteiga กล่าวเสริม การเปลี่ยนระบบแบบกําหนดเองเหล่านี้อาจมีราคาแพงและยาก

อย่างไรก็ตาม ความจริงที่ว่าระบบเดิมเป็นเรื่องธรรมดา มีคุณค่า หรือขาดไม่ได้ไม่ได้หมายความว่าระบบนั้นปราศจากความเสี่ยง บ่อยครั้งที่บริษัทประกันภัยพบว่าตัวเองใช้ระบบเดิมที่ก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างมาก เนื่องจากไม่มีทางเลือกที่ดีกว่า ตัวอย่างเช่น แพลตฟอร์มหลักอาจไม่มีการทดแทนการทํางาน หรือซอฟต์แวร์ชิ้นหนึ่งใช้งานได้ แต่ไม่เป็นไปตามกฎหมายหรือข้อบังคับด้านความปลอดภัยล่าสุด ในกรณีเหล่านี้ ความสนใจกับความปลอดภัยของระบบเดิมเป็นสิ่งจําเป็น

ง่ายใน.

เป็นเรื่องง่ายที่จะเห็นว่าการรักษาความปลอดภัยที่ล้าสมัยในระบบเดิมสามารถเป็นอันตรายต่อข้อมูลที่จัดเก็บไว้ในระบบนั้นได้อย่างไร อย่างไรก็ตาม ระบบเหล่านี้ยังก่อให้เกิดความเสี่ยงต่อระบบอื่นๆ ในเครือข่ายของบริษัทประกันภัยอีกด้วย

ตัวอย่างเช่น ลองนึกภาพบริษัทประกันที่มีระบบสารสนเทศมีเซิร์ฟเวอร์ที่มีระบบปฏิบัติการอายุสิบห้าปีที่มีช่องโหว่ที่ทราบ ช่องโหว่นั้นหากปล่อยทิ้งไว้จะไม่ได้รับการแก้ไขจะกลายเป็นประตูที่เปิดกว้างสําหรับการเข้าถึงโดยไม่ได้รับอนุญาต

“หากผู้โจมตีสามารถเข้าถึงเครื่องที่ไม่ได้แพตช์เครื่องเดียว (ซึ่งง่ายกว่าการแฮ็กเซิร์ฟเวอร์ที่ทันสมัยและได้รับการแก้ไขอย่างดีมาก) พวกเขาสามารถย้ายลึกเข้าไปในเครือข่ายได้” Lior Neudorfer รองประธานฝ่ายผลิตภัณฑ์ของ Guardicore บริษัทศูนย์ข้อมูลและความปลอดภัยระบบคลาวด์อธิบาย

ตัวอย่างนี้ไม่ได้เป็นจินตนาการทั้งหมด ในเดือนพฤษภาคม 2019 Microsoft ได้เปิดตัวแพตช์สําหรับ Windows XP และ Windows Server 2003 แม้ว่าระบบปฏิบัติการทั้งสองจะใกล้ถึงวันเกิดครบรอบ 20 ปี แต่ก็ยังคงดําเนินการโดยเป็นส่วนหนึ่งของระบบไอทีของหลายองค์กร Daniel Goldberg และ Ophir Harpaz ที่ Guardicore เขียน

แฮกเกอร์แสวงหาโหนดที่มีความปลอดภัยน้อยที่สุดบนเครือข่ายเพื่อเข้าถึง ในตัวอย่างที่มีชื่อเสียงอย่างหนึ่งแฮกเกอร์ใช้เซ็นเซอร์ตู้ปลาอัจฉริยะเพื่อเข้าถึงเครือข่ายในคาสิโนลาสเวกัสในที่สุดก็ละเมิดฐานข้อมูลเกี่ยวกับข้อมูลเกี่ยวกับผู้อุปถัมภ์ของคาสิโนซึ่งเป็นข้อมูลที่คาสิโนคิดว่าปลอดภัย

“มีคนใช้ตู้ปลาเพื่อเข้าสู่เครือข่าย และเมื่อพวกเขาอยู่ในตู้ปลา พวกเขาก็สแกนและพบช่องโหว่อื่นๆ และย้ายไปด้านข้างไปยังที่อื่นในเครือข่าย” Justin Fier ผู้อํานวยการฝ่ายข่าวกรองและการวิเคราะห์ทางไซเบอร์ของ Darktrace บริษัท AI ไซเบอร์กล่าว

เช่นเดียวกับตู้ปลาระบบเดิมสามารถเป็นส่วนที่อ่อนแอที่สุดของเครือข่ายของ บริษัท ประกันภัยทําให้โครงสร้างพื้นฐานด้านไอทีทั้งหมดมีช่องโหว่

ความท้าทายด้านความปลอดภัยของข้อมูลในระบบเดิม

ระบบเดิมมักเป็นศูนย์กลางของความท้าทายด้านความปลอดภัยของข้อมูล “ระบบไอทีแบบเดิมมักเป็นหัวใจสําคัญของเหตุการณ์การละเมิดทางไซเบอร์ และเนื่องจากการรื้อถอนมักจะไม่ใช่ทางเลือก ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจึงจําเป็นต้องจัดการความเสี่ยง” Bobby Ford รองประธานและประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยข้อมูลระดับโลกของ Unilever กล่าว

ระบบเดิมก่อให้เกิดความท้าทายหลายประการสําหรับทีมไอที ตัวอย่างเช่น การอัปเดตซอฟต์แวร์ใหม่ รวมถึงแพตช์ความปลอดภัย จะนําไปใช้กับระบบรุ่นเก่าได้ยากกว่า ระบบเดิมอาจขาดเอกสารที่เพียงพอเกี่ยวกับการควบคุมความปลอดภัยที่มีอยู่ หากไม่มีเอกสารนี้ ทีมไอทีจะพบว่าการเพิ่มไฟร์วอลล์ หน่วยเข้ารหัส เครื่องตรวจจับมัลแวร์ และเครื่องมือรักษาความปลอดภัยอื่นๆ ได้ยากขึ้น Susan Crozier Cox วิศวกรอาวุโสจากสถาบันวิศวกรรมซอฟต์แวร์มหาวิทยาลัย Carnegie Mellon เขียน

นอกจากนี้ ทีมไอทียังเผชิญกับแรงกดดันที่เพิ่มขึ้นเมื่อพยายามรักษาระบบเดิมให้ปลอดภัย ทีมงานไม่เพียงแต่ต้องติดตามความเสี่ยงและเครื่องมือด้านความปลอดภัยที่เปลี่ยนแปลงตลอดเวลา แต่ยังต้องแน่ใจว่าความเสี่ยงและเครื่องมือเหล่านั้นได้รับการเข้าใจและปรับอย่างถูกต้องในบริบทของระบบเดิม ซึ่งเป็นระบบเดียวกับที่อาจมีเอกสารเพียงพอ

ความท้าทายทั้งหมดนี้อาจทําให้ระบบเดิมน่ากลัวในการบํารุงรักษาและรักษาความปลอดภัย ในขณะเดียวกันค่าใช้จ่ายทางการเงินและความไม่สะดวกในการเปลี่ยนไปใช้ระบบใหม่ทั้งหมดอาจดูน่ากลัวพอๆ กัน

แนวทางปฏิบัติที่ดีที่สุดสําหรับการอัปเดตความปลอดภัยของระบบเดิม

ระบบเดิมมักมีบทบาทสําคัญในธุรกิจประจําวันของผู้ประกันตน P&C การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสําหรับการอัปเดตและรักษาความปลอดภัยของระบบเดิมสามารถช่วยให้บริษัทประกันภัยมั่นใจได้ว่าสามารถใช้ข้อมูลระบบเดิมได้อย่างปลอดภัย

ทํางานเป็นทีม

การรักษาความปลอดภัยของระบบเดิมต้องการความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่มีประสบการณ์ แต่โครงการไม่สามารถปล่อยให้อยู่ในมือของพวกเขาเพียงอย่างเดียว ผู้เชี่ยวชาญด้านความปลอดภัยและผู้เชี่ยวชาญด้านธุรกิจต้องทํางานร่วมกันแทน

“บทบาทของผู้เชี่ยวชาญด้านความปลอดภัยคือการประเมินความเป็นไปได้และผลกระทบที่อาจเกิดขึ้นจากการโจมตีทางไซเบอร์ ในขณะที่บทบาทของธุรกิจ [professionals] คือการระบุว่าระบบและกระบวนการใดมีความสําคัญที่สุด” Ford อธิบาย

ขยายขอบเขตการรักษาความปลอดภัยของคุณ

บริษัทประกันภัยหลายแห่งพยายามสร้างระบบนิเวศทางธุรกิจ โดยร่วมมือกับบริษัทอื่นๆ เพื่อวางบริษัทประกันในตําแหน่งที่พวกเขาต้องการเพื่อช่วยเหลือลูกค้าในทุกขั้นตอนของเส้นทางชีวิต

เทคโนโลยีจํานวนหนึ่งสนับสนุนการสร้างระบบนิเวศ เช่น การใช้อินเทอร์เฟซการประมวลผลแอปพลิเคชัน (API) เพื่อเชื่อมต่อซอฟต์แวร์และระบบเพื่อปรับปรุงการถ่ายโอนและการแบ่งปันข้อมูล อย่างไรก็ตาม เมื่อระบบเดิมรวมอยู่ในระบบนิเวศที่ขับเคลื่อนด้วย API กระบวนการจะซับซ้อนมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อขาดแนวทางในการรักษาความปลอดภัยเทคโนโลยีรุ่นเก่า Shuvo G. Roy หัวหน้าฝ่ายโซลูชันการธนาคารและตลาดทุนของ Mphasis เขียน

ระบบเดิมไม่จําเป็นต้องหยุดบริษัทประกันภัยจากการสร้างระบบนิเวศที่ทํางานได้ อย่างไรก็ตาม ผู้ประกันตนและพันธมิตรระบบนิเวศจะได้รับประโยชน์จากการพิจารณาความท้าทายด้านความปลอดภัยเพิ่มเติมที่เกิดขึ้นเมื่อระบบเดิมเข้าสู่สมการ

ยอมรับประสิทธิภาพ

ค่าใช้จ่ายในการอัปเกรดเป็นแพลตฟอร์มใหม่อาจดูล้นหลาม อย่างไรก็ตาม อาจต่ํากว่าค่าใช้จ่ายในการพยาบาลต่อไปตามระบบเดิมที่ล้าสมัยอย่างมาก

ตัวอย่างเช่น รายงาน ของ GAO ประมาณการว่าประมาณ 80 เปอร์เซ็นต์ของงบประมาณด้านไอที 90 พันล้านดอลลาร์ของรัฐบาลกลางถูกใช้ไปกับการใช้งานและบํารุงรักษาระบบเก่า รวมถึงระบบเดิมที่อาจมีอายุมากกว่าห้าสิบปีในบางกรณี เมื่อเวลาผ่านไป ระบบเดิมจะใช้งบประมาณบางส่วนขององค์กรที่อาจใช้ไปกับการอัปเกรดเทคโนโลยีใหม่ๆ ได้ดีกว่า เมื่อต้องเผชิญกับค่าใช้จ่ายในการอัปเกรดบาง บริษัท จึงหันไปใช้แพตช์เฟิร์มแวร์เพื่อปรับปรุงระบบเดิมให้ทันสมัย แม้ว่าแพตช์จะมีประสิทธิภาพในบางกรณี แต่การปฏิบัติมักจะมีค่าใช้จ่ายมากกว่าการอัปเกรดเมื่อเวลาผ่านไป David Dedinsky และ Ricardo Duque จาก Vertiv กล่าว

“ระบบไม่ได้รับการปรับให้เหมาะสม ซึ่งนําไปสู่อัตราการใช้ประโยชน์ที่ต่ําอย่างน่าตกใจและเซิร์ฟเวอร์ซอมบี้ที่ไม่มีประสิทธิภาพ” แพตช์เฟิร์มแวร์สามารถช่วยให้ระบบเดิมเดินกะปวกได้ แต่ไม่ได้แก้ไขปัญหาพื้นฐานที่ทําให้ระบบเดิมเป็นตัวเลือกที่ไม่ดีสําหรับการลงทุนอย่างต่อเนื่อง

ตัวเลือกต่างๆ เช่น ระบบแบบครบวงจรสามารถช่วยให้บริษัทประกันภัยปรับปรุงประสิทธิภาพและให้บริการลูกค้าต่อไปในขณะที่พวกเขาทํางานเกี่ยวกับมาตรการรักษาความปลอดภัยและการอัปเกรด Kumar Utpal ผู้จัดการฝ่ายขายระดับภูมิภาคด้านการธนาคารและการประกันภัยของ In2IT กล่าว เมื่อความปลอดภัยมีความสําคัญ บริษัทประกันภัยสามารถหาวิธีใช้การลงทุนที่มีอยู่ในขณะเดียวกันก็ใช้เทคโนโลยีที่ทันสมัย

รูปภาพโดย: everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com

ข่าว