ในปัจจุบัน หากต้องการหาเครื่องมือสำหรับทำ Application แบบง่าย ๆ ไม่ยุ่งยาก เครื่องมือ Low-Code คือคำตอบสำหรับคนที่ไม่ได้มีทักษะการเขียนโปรแกรม ซึ่งข้อดีของเครื่องมือนี้คือความง่าย ไม่ต้องมีทักษะการเขียนโปรแกรม และไม่จำเป็นต้องซื้อโปรแกรมแพง ๆ ก็สามารถสร้าง Application ขึ้นมาใช้งานได้ง่าย ๆ
แต่เมื่อมีการใช้งานระดับที่ใหญ่ขึ้น เช่น สร้าง Application ให้ลูกค้าใช้งานกับข้อมูลจริงที่อาจเป็นความลับ หรือ นำไปใช้งานกับพนักงานหลัก 10 ถึง 100 คน แล้วเราจะมั่นใจได้อย่างไรว่าการใช้เครื่องมือ Low-code นั้นจะปลอดภัย ข้อมูลไม่ให้รั่วไหล หรือไม่เกิดปัญหาในภายหลัง ?
จากบทความ กรณีศึกษาการใช้งาน Spreadsheet หรือ Excel แบบผิด ๆ ในออฟฟิศ ทำให้เห็นว่าโปรแกรมที่ใช้งานง่ายอย่าง Excel ถ้าใช้งานผิด ๆ หรือขาดความเข้าใจก็สามารถสร้างความเสียหายได้เช่นกัน แน่นอนว่าถึงแม้ว่าธุรกิจขนาดเล็กมีความเสี่ยงน้อยมากที่จะถูกแฮกข้อมูลเอาไปขายเหมือนกับบริษัทขนาด ใหญ่ อย่างไรก็ตามปัญหาเหล่านี้ก็อาจเกิดได้ เช่น
- พนักงานเห็นข้อมูลของพนักงานด้วยกันเอง เช่น ข้อมูลเงินเดือนพนักงาน ซึ่งเป็นสิ่งที่ไม่ควรเห็น
- พนักงาน หรือคู่ค้าที่หมดสัญญายังคงเข้าถึงข้อมูลจาก Low-code ได้อยู่
- เวลาเกิดปัญหา จะติดตามดูแลยาก ว่ามีใครใช้งาน Application อยู่บ้าง
- ลูกค้าเห็นข้อมูลที่อาจจะเป็นความลับของบริษัท
ในบทความนี้จะมาแนะนำ 6 ความเสี่ยง เมื่อต้องใช้เครื่องมือ Low-Code สำหรับธุรกิจโดยจะยกตัวอย่างกรณีศึกษาโปรแกรม Low-Code อย่าง AppSheet ที่เราสามารถสร้าง Mobile Application เพียงใช้ Google Sheet เป็นฐานข้อมูล และทำระบบอัตโนมัติ เช่นการส่งอีเมล หรือทำ Dashboard
หากต้องการทราบว่า Low-Code คืออะไร สามารถตามไปอ่านได้ที่ รู้จัก Low-Code เครื่องมือช่วยสร้าง Application ต้นทุนต่ำสำหรับองค์กรรุ่นใหม่ และ รู้จัก AppSheet : Low-code platform ที่ทำให้การสร้าง Application ใช้ในองค์กรเป็นเรื่องง่าย
1. ไม่มีการติดตามการใช้งาน Low-Code ที่ดีพอ
ลองนึกภาพว่าในองค์กรของคุณตอนนี้ใช้เครื่องมือ Low-Code อะไรบ้าง ? มี Low-Code ตัวใดที่เมื่อ Low-Code ตัวนั้นมีปัญหาจะสร้างผลกระทบให้กับองค์กรของคุณบ้าง ?
ความเสี่ยงข้อแรกคือการไม่มีระบบในการติดตามการใช้งาน Low-Code ในบริษัทที่ดีพอซึ่งอาจจะทำให้เกิดข้อผิดพลาดบางอย่างเช่น พนักงานใช้ Low-Code แบบไม่ถูกต้อง สร้าง Application ที่ไม่ปลอดภัย ตั้งค่าความปลอดภัยไม่เป็น หรือกลายเป็นว่าแผนกอื่น ๆหลายแผนกทำ Application ที่มีหน้าตาเหมือน ๆ กันและใช้ข้อมูลเหมือนกัน แต่กลับไม่ได้ถูกใช้งานร่วมกันทั้งบริษัท
ความเสี่ยงจากการไม่มีการติดตามการใช้งาน Low-Code
- หัวหน้าได้มอบหมายให้แต่ละแผนกไปสร้าง Application ด้วย Low-Code แต่เนื่องจากไม่มีระบบในการติดตามและดูแลการใช้งาน Low-Code ทำให้เกิดปัญหาแต่ละแผนกทำ Application คล้าย ๆ กันแต่ใช้เฉพาะในแผนกตัวเองโดยที่ข้อมูลไม่แชร์กัน
- นาย A สร้าง Application ด้วย Low-Code เพื่อใช้เก็บข้อมูลสำคัญของบริษัทไว้ เช่นรหัสผ่าน หรือเงินเดือนของแผนก (ในมุมของ IT จะมองว่าข้อมูลสำคัญ ไม่ควรเก็บบน Low-Code เพราะอาจเกิดการรั่วไหลได้ง่าย หรืออาจเกิดจากการตั้งค่าบางอย่างผิดไป โดยการเขียนโปรแกรมจะมีวิธีการในการทำ Encrypt ข้อมูลเหล่านี้อีกที ซึ่งจะปลอดภัยกว่าการเก็บข้อมูลในโปรแกรม Low-Code)
แนวทางการแก้ไข
เพื่อป้องกันการใช้งาน Low-Code แบบผิด เราควรจะจัดทำระบบลงทะเบียนและติดตาม Application Low-Code ทั้งหมดในองค์กร โดยอาจจะทำระบบลงทะเบียนเอง หรือใช้เครื่องมือง่าย ๆ อย่าง Google Sheet เพื่อบันทึกข้อมูล Low-Code ที่มีทั้งหมดในองค์กร (กรณีใช้โปรแกรมหลายตัว) ซึ่งบางโปรแกรมจะสามารถสร้าง Team Account ขึ้นมาได้ ทำให้ง่ายในการจัดการ Application ทั้งหมด
ตัวอย่าง Template Google Sheet ที่เราใช้เพื่อติดตามการพัฒนา Low-Code App ทั้งหมด
(ดูตัวอย่าง Template และดาวน์โหลดได้ฟรี ที่นี่)
2. ใช้ Account ส่วนตัวในสร้าง Low-Code
คนส่วนใหญ่ที่พัฒนา Low-code มักจะใช้ Account ส่วนตัวในการพัฒนา ส่วนหนึ่งคือความสะดวก เป็นส่วนตัว แต่หากต้องการให้คนอื่นดูแล หรือพัฒนาต่อก็อาจเป็นไปได้ยากเพราะเมื่อใช้ Account ส่วนตัวแล้วก็ย่อมมีข้อมูลส่วนบุคคลของแต่ละบุคคลติดไปด้วย
เมื่อมีการใช้ Account ส่วนตัวของแต่ละคนในการทำงานย่อมมีความเป็นไปได้ว่าต่างคนต่างทำ Application เพื่อใช้กันเอง ส่งผลให้มี App ที่มีการใช้งานในลักษณะคล้าย ๆ กันเต็มไปหมด จนไม่เกิดการแชร์ข้อมูลอย่างเหมาะสม
ความเสี่ยงเกี่ยวกับการใช้ Account ส่วนตัวกับ Low-Code
- บริษัทมอบหมายให้นาย A พัฒนา AppSheet สำหรับจดบันทึกข้อมูลรายชื่อลูกค้าด้วย Account ส่วนตัว เมื่อนาย A ลาหยุด หรือลาออกไปแล้ว Application ที่ทำด้วย AppSheet จะไม่สามารถแก้ไขได้ หรือเพิ่มผู้ใช้งานใหม่ได้ ต้องรอนาย A กลับมาแก้ไขให้
- บริษัทมอบหมายให้นาย B ทำ Dashboard ด้วย LookerStudio แต่นาย B ใช้ Account ส่วนตัวทำ เมื่อนาย B หยุดงานแล้วหัวหน้าต้องการเพิ่มข้อมูลใน Dashboard ก็จะไม่สามารถทำได้ ต้องรอนาย B กลับมาถึงจะสามารถเพิ่มข้อมูลได้เหมือนกับกรณีของนาย A
แนวทางการแก้ไข
เพื่อป้องกันไม่ให้มีการใช้ Account ส่วนตัวในการจัดการทรัพย์สินของบริษัท (Low-Code) เราจะต้องใช้ Account กลาง หรือ Service Account (บางโปรแกรม Low-Code สามารถสร้าง Team หรือ Organization account เพื่อที่จะดูแล Account อื่น ๆ ได้) สำหรับเป็น Account ที่จะดูแล Low-Code Application เป็นหลักเพื่อให้ง่ายต่อการพัฒนา และดูแลต่อ
โดยในช่วงแรกสามารถพัฒนา Low-Code ใน Account ส่วนตัวได้ จากนั้นค่อยถ่ายโอนสิทธิ์การดูแลไปที่ Account กลาง ตัวอย่าง Service Account ของ Datayolk คือ 3rd@datayolk.net (ซึ่งจะมีสิทธิ์สูงสุด) โดยใน AppSheet สามารถทำการโอนย้ายสิทธิ์การใช้งานได้
จุดเด่นของเครื่องมือ Low-Code คือ “เข้าถึงได้ง่าย” หากเป็นการพัฒนาโปรแกรมรูปแบบเดิมนั้น แทบเป็นไปไม่ได้เลยที่ผู้ใช้งานทั่วไปจะสามารถเข้าถึงฐานข้อมูล (Database) โดยตรง ต้องเข้าผ่าน Application บางอย่างที่ทีม IT ทำไว้เท่านั้น
เนื่องจาก Low-Code บางตัว จะมีการใช้ฐานข้อมูลเป็น Google Sheet ทำให้ผู้ใช้งานสามารถเข้าถึง Google Sheet ที่เก็บข้อมูล หรือ Google Drive ที่เก็บรูปภาพได้อย่างอิสระ และยังสามารถลบแก้ไขข้อมูลได้โดยตรง นี่จึงอาจทำให้เครื่องมือ Low-Code ที่เชื่อมต่อการทำงานอยู่ทำงานผิดพลาดได้เช่นกัน ถ้าไม่มีการจำกัดสิทธิ์การเข้าถึงที่ดีพอ หรือการให้สิทธิ์การเข้าถึงที่มากเกินความจำเป็นจะนำไปสู่การรั่วไหลของข้อมูลรวมไปถึงการใช้งานในทางที่ผิด
ความเสี่ยงเกี่ยวกับการให้สิทธิการเข้าถึงที่มากเกิน
- พนักงาน B เป็นพนักงานที่ได้รับมอบหมายให้ใช้ AppSheet บันทึกข้อมูลลูกค้า แต่ได้สิทธิ์ให้เข้าถึง Google Sheet ซึ่งเป็นฐานข้อมูลของ AppSheet ด้วย ทำให้บางครั้งพนักงาน B แอบแก้ไขข้อมูลผ่าน Google Sheet
- การเปิดการแชร์ไฟล์ Google Sheet ซึ่งเป็นฐานข้อมูลใน AppSheet แบบ Public access เพื่อให้ง่ายต่อการส่งให้คนอื่นดูหรือแก้ไข ทำให้คนอื่น ๆ ที่มีลิ้งก์เข้ามาเห็นข้อมูลภายในได้
- การเปิดสิทธิการเข้าถึง รูปภาพ และไฟล์ PDF ใน AppSheet ทำให้ใครก็ได้สามารถเข้าถึงไฟล์เหล่านี้โดยไม่ต้องล็อคอินเข้าไปใน AppSheet
แนวทางการแก้ไข
เพื่อป้องกันการแชร์ข้อมูลที่มากเกินจำเป็น เราควรใช้หลักการ Principle of Least Privilege หรือ ให้สิทธิ์ที่น้อยที่สุด กับทุก ๆ คน เพื่อลดความเสี่ยงในการเข้าถึงข้อมูลบางอย่าง ลองนึกตามภาพว่าผู้ใช้งานแบบทั่วไปควรมีสิทธิแค่ อ่าน หรือเพิ่มข้อมูลเท่านั้น ส่วนสิทธิที่นานๆ ใช้ที หรือแทบไม่มีความจำเป็นต้องใช้จะมีเพียงแค่ ผู้ใช้งานรูปแบบ Admin เท่านั้นที่ทำได้
สนใจเรียน AppSheet กับเรา ?
ไม่ต้องเสียเวลาเรียนรู้ AppSheet ด้วยตัวเอง เพียงแค่เรียนคอร์ส AppSheet Intensive Course ผ่าน Facebook Group กับเรา พร้อมให้คำปรึกษาหลังเรียน
4. ใช้เครื่องมือส่วนเสริมที่ไม่ปลอดภัยใน Low-Code
ข้อดีของโปรแกรมกลุ่ม Low-Code คือ มีเครื่องมือเสริมที่หลากหลายอีกทั้งยังพร้อมใช้งานได้ทันที เช่นส่วนเสริมในการทำงานร่วมกับโปรแกรมอื่น ๆ เช่นการส่งแจ้งเตือนไปยัง Application Line , การส่งอีเมลตามเงื่อนไข หรือแม้แต่การเชื่อมต่อการทำงานกับ ChatGPT เพื่อรองรับการใช้งานเฉพาะทาง
ส่วนเสริมเหล่านั้นบางส่วนก็ถูกพัฒนาโดยทีมงานอิสระคืออาสาสมัครที่แชร์ส่วนเสริมที่ตัวเองใช้อยู่แล้วให้ คนอื่นแบบฟรี ๆ ซึ่งอาจจะไม่มีคุณภาพเท่าทีมงานภายในของ Platform Low-Code ทำให้หลาย ๆ ครั้งคนนำส่วนเสริมไปใช้ต่อ ก็มีโอกาสเจอปัญหาการใช้งาน หรือมีความเสี่ยงเรื่องการถูกแฮกได้เช่นกัน
ความเสี่ยงเกี่ยวกับการใช้เครื่องมือส่วนเสริมที่ไม่ปลอดภัย
- นาย A ดาวน์โหลด Chrome Extension ที่ช่วยในการทำ AppSheet แต่เป็นโปรแกรมที่เราอาจไม่ทราบว่าใครทำ แต่เห็นว่าใช้ฟรีเลยโหลดเอามาใช้ก่อน
- นาย B ดาวน์โหลดส่วนเสริมจาก Webflow plugin เพื่อมาใช้ทำเว็บไซต์ใน Webflow ซึ่งอาจมาจากแหล่งที่ดูไม่ค่อยน่าเชื่อถือ
แนวทางการแก้ไข
เพื่อป้องกันส่วนเสริมที่อาจจะมีนโยบายการทำโฆษณา, การแชร์ข้อมูล หรือ ส่วนเสริมที่มีช่องโหว่เรื่องความปลอดภัย เราแนะนำให้ตรวจสอบความปลอดภัยของส่วนเสริมและเครื่องมือก่อนการใช้งาน หนึ่งในวิธีการตรวจสอบที่ง่ายที่สุดคือ ดูจำนวนดาวน์โหลดหรือ อ่านรีวิว ไม่ควรใช้ส่วนเสริมที่เราไม่รู้จัก
อ่านเงื่อนไขของส่วนเสริมของ Low-Code ว่าใน Free plan ที่ให้ใช้ได้ฟรี มีเงื่อนไขอะไรบ้าง ข้อมูลของเราจะถูกเปิดเผย หรือนำไปใช้ต่ออย่างไร
5. ตั้งค่าความปลอดภัยที่มากับ Low-Code ไม่ถูกต้อง
ปกติแล้วโปรแกรม Low-Code ที่เราใช้กันอยู่นั้นจะมีฟีเจอร์ความปลอดภัยติดตั้งมาด้วย แต่หากตั้งค่าผิด หรือเข้าใจผิดก็อาจส่งผลเสียได้เช่นกัน
ความเสี่ยงเกี่ยวกับการตั้งค่าความปลอดภัยไม่ถูกต้อง
- พนักงาน A สร้าง Dashboard ด้วย LookerStudio แล้วแชร์ให้ผู้ที่เกี่ยวข้องโดยมีการกรองข้อมูลที่ไม่จำเป็นออก แต่ลืมปิดฟีเจอร์การดาวน์โหลดข้อมูล จึงทำให้สามารถดาวน์โหลดไฟล์ข้อมูลและเห็นข้อมูลที่ถูกกรองออกแล้วได้ทั้งหมด
- พนักงาน B สร้าง AppSheet ขึ้นมาโดยการกรองสิทธิการใช้งานตามข้อมูลสังกัด (สังกัด A จะเห็นเฉพาะข้อมูลสังกัด A เท่านั้น) แต่ลืมเช็คเงื่อนไขเฉพาะเช่น กรณีเป็นผู้ใช้ที่ไม่มีสังกัด (ถ้าตั้งค่าไม่ดี) จะเห็นข้อมูลของทุกสังกัดเป็นต้น
แนวทางการแก้ไข
เพื่อป้องกันการตั้งค่าความปลอดภัยใน Low-Code ผิดพลาด การใช้ Low-Code ทำฟีเจอร์ที่ซับซ้อน ควรมีการทดสอบทุกครั้งก่อนนำไปใช้จริง เพื่อป้องกันข้อผิดพลาด โดยในทางการพัฒนาซอฟแวร์จะมีสิ่งที่เรียกว่า Test Case หรือคู่มือการทดสอบ ซึ่งจะระบุ Scenario ของการใช้งานโปรแกรมของเรา เพื่อตรวจสอบผลลัพธ์ที่เกิดขึ้น (Expect Result) เช่น
- Scenario: กรณีที่เป็นผู้ใช้ไม่มีสังกัด
Expect Result: ระบบจะไม่แสดงข้อมูลใด ๆ
- Scenario: กรณีเป็นผู้ใช้งานแบบ Viewer ใน Looker Studio
Expect Result: ผู้ใช้งานแบบ Viewer สามารถดูข้อมูล Dashboard ได้ แต่ไม่สามารถดาวน์โหลดข้อมูลออกมาได้
ตัวอย่าง Template Test Case สำหรับใช้วางแผนการทดสอบ Low-Code ก่อนนำไปใช้จริง
(ดูตัวอย่าง Template และดาวน์โหลดได้ฟรี ที่นี่)
6. พนักงานขาดความรู้เรื่อง Cyber Security
แม้ว่า Low-code จะถูกออกแบบมาให้มีมาตรการความปลอดภัยสูงแต่ความเสี่ยงที่ใกล้ตัวที่สุด คือ การที่พนักงานหรือผู้ใช้งานขาดความรู้และความเข้าใจในเรื่อง Cyber Security ก็อาจถูกมิจฉาชีพหลอกขโมยข้อมูลได้ หากมิจฉาชีพเข้าถึง Account ของพนักงานก็เท่ากับว่า พวกเขาสามารถเข้าถึง Application และบริการต่าง ๆ ที่พนักงานใช้อยู่ รวมถึงเครื่องมือ Low-Code ด้วย
ความเสี่ยงเกี่ยวกับการขาดความรู้เรื่อง Cyber Security
- ตัวอย่างเช่น บริษัทมอบหมายให้นาย C พัฒนา Application สำหรับบันทึกข้อมูลการขาย แต่นาย C ดันไปคลิกลิงก์แปลก ๆ ใน Facebook ทำให้บัญชี Gmail ของเขาถูกแฮก มิจฉาชีพจึงสามารถเข้าถึงข้อมูลใน Gmail และ AppSheet ได้อย่างง่ายดาย
แนวทางการแก้ไข
เพื่อเพิ่มความปลอดภัยให้กับ Account ที่ใช้งาน Low-Code นอกจากต้องเรียนรู้เรื่องภัยบนโลกออนไลน์แล้ว สามารถทำตามขั้นตอนง่าย ๆ ดังนี้
- เปิดการใช้งาน Multi Factor Authentication (MFA) หรือการยืนยันตัวตนแบบหลายวิธี กล่าวคือการจะเข้าใช้งานได้ ต้องรู้รหัสผ่าน และมีอุปกรณ์ผู้ใช้งาน (หรืออื่น ๆ ) เพื่อยืนยันตัวตนมากกว่า 1 ขั้นตอนถึงจะเข้าใช้งานได้ ซึ่งฟีเจอร์ MFA ใน Gmail สามารถเปิดใช้งานได้ฟรี โดยทำตามขั้นตอนดังนี้ Turn on 2-Step Verification
- ตรวจสอบประวัติการใช้งานของตัวเองสม่ำเสมอ เพื่อตรวจสอบว่ามีกิจกรรมที่ผิดปกติ เกิดขึ้นใน Account ของเราหรือไม่ โดยตรวจสอบการใช้งานที่ My Device ซึ่งทำให้เห็นว่ามีอุปกรณ์ใดที่เชื่อมต่อและใช้งาน Account ของเราอยู่บ้าง (หากเจออุปกรณ์ที่ไม่ใช่ของเราให้ทำการ Disconnect ในทันที)
- ปฏิบัติตามมาตรฐานความปลอดภัยของแพลตฟอร์ม หากคุณไม่มีเวลาเรียนรู้เรื่อง Cyber Security อย่างละเอียด แนะนำให้ปฏิบัติตามมาตรฐานความปลอดภัยของแพลตฟอร์ม เช่น ในกรณีของ Gmail สามารถศึกษาและทำตามคำแนะนำในหน้า My Security ของ Google เพื่อเพิ่มความปลอดภัยให้กับบัญชีของคุณ
หรือหากมีเวลามากพอ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Online Security จากแหล่งข้อมูลของ Google เพื่อป้องกันตนเองจากการถูกมิจฉาชีพโจมตีในอนาคต
แหล่งอ้างอิง
Top 10 Low-Code/No-Code Risks and How To Secure Rapid Development
บทความที่เกี่ยวข้อง
บทความนี้ จะรวบรวมเทคนิค และปัญหาการใช้งาน AppSheet ที่มีคนสอบถามจาก Facebook Group เพื่อให้ง่ายต่อการค้นหาวิธีการแก้ไขในภายหลัง
AppSheet ช้าแก้ไขยังไงดี ? ในบทความนี้จะแนะนำวิธีการตั้งค่าใน AppSheet ให้ทำงานได้เร็วขึ้นเรียงตั้งแต่จากง่ายไปยากเพื่อให้ผู้ใช้งานกลับมาใช้ AppSheet ได้ดังเดิม
เพราะการใช้ AppSheet ในการทำงานที่ซับซ้อนมากขึ้นต้องอาศัยการเขียนสูตร ในบทความนี้เลยจะมาแนะนำสูตรที่ใช้บ่อย ๆ สำหรับมือใหม่มาให้อ่านกัน
เปิดตัวคอร์สเรียน AppSheet ออนไลน์ที่จะสอนคุณตั้งแต่การวิเคราะห์โจทย์ธุรกิจ, การออกแบบโครงสร้างข้อมูล และอื่น ๆ เพื่อให้คุณสามารถสร้าง Application อย่างมีคุณภาพ พร้อมของแถมอีกมากมายในคอร์ส
