การโจมตีทางไซเบอร์ที่ป้องกันได้ยากยิ่ง คือการโจมตีที่จุดอ่อนของมนุษย์
หากเปรียบการต่อสู้กับภัยไซเบอร์เหมือนกับสงคราม ก็นับว่าเป็นสงครามที่ไม่สมมาตร (Asymmetric Warfare) กล่าวคือทางฝั่งเราขาดแคลนบุคลากร ขาดแคลน งบประมาณ และไม่มีเวลาเพียงพอในการรับมือกับภัยไซเบอร์ เพราะเราต้องใช้ทรัพยากรส่วนใหญ่ไปในการดำเนินกิจกรรมต่าง ๆ เพื่อให้บรรลุเป้าหมายขององค์กรเป็นหลักก่อน ในขณะที่ฝั่งแฮ็กเกอร์มีอุปกรณ์ เครื่องมือ และมีบุคลากรที่มีเวลาอย่างเหลือเฟือเพื่อดำเนินการพุ่งเป้าโจมตีและเจาะระบบของเราเป็นหลัก ดังนั้น ฝั่งเราจะต้องสมบูรณ์แบบ พลาดไม่ได้แม้แต่ก้าวเดียว ส่วนฝั่งแฮ็กเกอร์ก็ทดลองหาช่องโจมตีเจาะระบบเราไปได้เรื่อย ๆ ขอเพียงสักหนึ่งครั้งที่ทำสำเร็จ สามารถหลุดเข้ามาในระบบเราได้ก็พอ แฮ็กเกอร์ก็จะสามารถสร้างความเสียหายให้กับเราได้ นอกจากนี้ สงครามไซเบอร์ก็เหมือนสงครามทั่วไปที่มีการใช้กลลวง (Deception) รวมถึงยุทธวิธีต่าง ๆ ที่ทำให้อีกฝ่ายหนึ่งตกหลุมพลางที่ดักล่อไว้ น่าหนักใจที่กลลวงส่วนใหญ่จะเป็นทางฝั่งแฮ็กเกอร์เป็นผู้ใช้ และจุดอ่อนทีสุดก็คือพนักงานของเรานั่นเองที่จะเป็นฝ่ายตกหลุมพลางไปซะก่อน เทคนิคสำคัญที่แฮ็กเกอร์ใช้โจมตีจุดอ่อนของมนุษย์คือ social engineering (ขอทับศัพท์ไปก่อน ไม่อยากใช้คำแปลว่า “วิศวกรรรมสังคม”) จากสถิติบอกไว้ว่าประมาณ 82% ของปัญหาการรั่วไหลของข้อมูล* เกิดจากจุดเริ่มที่พนักงานขององค์กร และในแต่ละวันจะมี phishing email ถูกส่งออกมาไม่ต่ำกว่า 3.4 พันล้านครั้ง …