Tenable เผยรายงานเตือนช่องโหว่ Cloud Security อาจส่งผลกระทบร้ายแรงต่อธุรกิจในสิงคโปร์และอาเซียน

สำนักข่าวบริคอินโฟ – Tenable (เทนเอเบิล) บริษัทผู้เชี่ยวชาญด้านการจัดการความเสี่ยง (Exposure Management) ได้เปิดเผยรายงาน “2025 Cloud Security Risk Report” ที่ชี้ให้เห็นถึงช่องโหว่ด้านความปลอดภัยในสภาพแวดล้อมคลาวด์ที่น่าเป็นห่วง โดยเฉพาะในธุรกิจที่ดำเนินงานในประเทศสิงคโปร์และภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งอาจนำไปสู่การละเมิดข้อมูล การสูญเสียทางการเงิน และผลกระทบทางกฎระเบียบที่ร้ายแรง

รายงานดังกล่าวระบุว่า 9% ของทรัพยากรจัดเก็บข้อมูลบนคลาวด์ที่ถูกวิเคราะห์มี ข้อมูลที่ละเอียดอ่อน หรือ ข้อมูลที่เป็นความลับ บรรจุอยู่ และที่น่าตกใจคือเกือบ 1 ใน 10 ของที่เก็บข้อมูลที่เข้าถึงได้จากสาธารณะมีข้อมูลสำคัญเหล่านี้ เนื่องจากการตั้งค่าผิดพลาด การควบคุมการเข้าถึงที่อ่อนแอ และการมองเห็นที่จำกัด ยิ่งไปกว่านั้น รายงานยังพบว่า 54% ขององค์กรที่มีการกำหนดค่า AWS ECS (Amazon Web Services Elastic Container Service) มี ข้อมูลลับ (secrets) ฝังอยู่ในนั้น ซึ่งอาจเปิดช่องให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมสภาพแวดล้อมคลาวด์ทั้งหมด หรือใช้เพื่อกิจกรรมที่ไม่ได้รับอนุญาต เช่น การขุดคริปโตเคอร์เรนซี นอกจากนี้ 3.5% ของอินสแตนซ์ AWS EC2 (Amazon Web Services Elastic Compute Cloud) ยังมีข้อมูลรับรอง (credentials) ฝังอยู่ในส่วนข้อมูลผู้ใช้ ซึ่งเป็นเส้นทางที่ชัดเจนสำหรับผู้โจมตีในการยกระดับสิทธิ์และเข้าควบคุมระบบ

ประเด็นเหล่านี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่ดำเนินธุรกิจในภาคส่วนที่มีการควบคุมเข้มงวด หรือมีการถ่ายโอนข้อมูลข้ามพรมแดน เนื่องจากหลายประเทศในภูมิภาคนี้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลและไซเบอร์ซิเคียวริตี้ที่เข้มงวด เช่น Cybersecurity Act และ Personal Data Protection Act (PDPA) ของสิงคโปร์ รวมถึงแนวปฏิบัติ Monetary Authority of Singapore (MAS) Technology Risk Management Guidelines เช่นเดียวกับอินโดนีเซียที่มี Personal Data Protection Law (PDP Law), ไทยมี พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA), มาเลเซียมี Personal Data Protection Act (PDPA) และฟิลิปปินส์มี Data Privacy Act ซึ่งทั้งหมดนี้เน้นย้ำถึงความจำเป็นเร่งด่วนสำหรับองค์กรทั่วภูมิภาคเอเชียตะวันออกเฉียงใต้ในการให้ความสำคัญกับการกำกับดูแลและ ความปลอดภัยของคลาวด์ เพื่อให้สอดคล้องกับข้อกำหนดด้านการปฏิบัติตามกฎระเบียบและความมั่นคงทางไซเบอร์ที่เปลี่ยนแปลงไป

นาย Ari Eitan (อารี อิตัน) ผู้อำนวยการฝ่ายวิจัยความปลอดภัยคลาวด์ของ Tenable กล่าวว่า “ข้อมูลลับคือกุญแจสำคัญสู่ระบบทั้งหมด แต่หลายองค์กรกลับปล่อยทิ้งไว้โดยไม่มีการป้องกันทั่วทั้งโครงสร้างพื้นฐานคลาวด์ของตนเอง ในสภาพแวดล้อมภัยคุกคามในปัจจุบัน การปล่อยปละละเลยมีราคาแพง องค์กรต้องจัดการกับข้อมูลลับด้วยระดับสุขอนามัยความปลอดภัยสูงสุด เพื่อป้องกันไม่ให้ผู้โจมตีได้รับช่องโหว่ที่อาจขยายไปสู่การละเมิดข้อมูลเต็มรูปแบบ”

ด้วยการที่สิงคโปร์ยังคงขยายการใช้งานคลาวด์อย่างต่อเนื่อง โดยได้รับการสนับสนุนจากโครงการริเริ่มระดับชาติ เช่น กรอบการตอบสนองต่อเหตุการณ์คลาวด์ขัดข้อง (Cloud Outage Incident Response – COIR) ของ IMDA (Infocomm Media Development Authority) และความพยายามระดับภูมิภาคเพื่อขับเคลื่อนเศรษฐกิจดิจิทัลที่ปลอดภัย รายงานนี้จึงเน้นย้ำถึงความจำเป็นเร่งด่วนสำหรับ กลยุทธ์ความปลอดภัยเชิงรุก ที่ขับเคลื่อนด้วยความเสี่ยง “คลาวด์มอบความคล่องตัวที่ยอดเยี่ยม แต่หากไม่มีการควบคุมที่เข้มแข็งและการตรวจสอบอย่างต่อเนื่อง ก็จะเปิดประตูสู่ความเสี่ยงที่สำคัญ” นาย Eitan เสริม “การทำความเข้าใจว่าข้อมูลที่ละเอียดอ่อนและข้อมูลรับรองของคุณอยู่ที่ใด และใครสามารถเข้าถึงได้นั้น จะต้องเป็นสิ่งสำคัญระดับคณะกรรมการบริหารในปัจจุบัน”

รายงานดังกล่าวได้รวบรวมข้อมูลจากการตรวจสอบระบบคลาวด์ที่หลากหลายในสภาพแวดล้อมคลาวด์สาธารณะและองค์กรต่างๆ ระหว่างเดือนตุลาคม 2567 ถึงมีนาคม 2568 โดยทีมวิจัย Tenable Cloud