www.cioworldmagazine.com

 Breaking News

บันได 5 ขั้น หนุนองค์กรป้องกันการสูญเสียข้อมูลสำคัญ

บันได 5 ขั้น หนุนองค์กรป้องกันการสูญเสียข้อมูลสำคัญ
August 27
10:44 2019

ผู้เขียนอยากเสนอหลักการ บันได 5 ขั้น ที่จะช่วยองค์กรสร้างระบบความปลอดภัยของข้อมูลที่มีประสิทธิภาพ และไม่ตกเป็นเป้าโจมตีนั้นต้องทำอย่างไร

 

ผู้เขียนอยากชวนเปิดประเด็นเรื่อง ปราการความปลอดภัยในองค์กรพร้อมและแข็งแรงเพียงพอในการคุ้มกันหัวใจหลักทางธุรกิจ นั่นคือ ข้อมูล แล้วหรือยัง เหตุเพราะนวัตกรรมเปลี่ยนโลก เช่น เออาร์ เอไอ และไอโอที ได้ยกระดับการใช้ประโยชน์ของข้อมูลจากเดิมเพื่อเพิ่มประสิทธิภาพในการปฏิบัติงาน ให้กลายเป็นเครื่องมือสร้างรายได้ หรือ โมเดลธุรกิจดิจิทัลใหม่ข้อมูล ณ ปัจจุบัน จึงไม่ต่างจากขุมทรัพย์ทางการเงิน ที่อาชญากรไซเบอร์หมายตาและทำให้องค์กรต้องยกวาระความปลอดภัยด้านข้อมูลมาพิจารณาเป็นลำดับต้นๆ ด้วยงบการจัดการที่อาจสูงถึง 20-30% ของงบไอทีเลยทีเดียว

ผู้เขียนอยากเสนอหลักการ บันได 5 ขั้น ที่จะช่วยองค์กรสร้างระบบความปลอดภัยของข้อมูลที่มีประสิทธิภาพ และไม่ตกเป็นเป้าโจมตีนั้นต้องทำอย่างไร

ขั้นแรก คือ การทำแผนที่เชื่อมโยงตามตัวบทกฎหมาย ซึ่งรวมถึงระเบียบข้อบังคับ แนวปฏิบัติที่ออกโดยภาครัฐ สถาบันหรือหน่วยงานสากลทั้งในและต่างประเทศ ซึ่งองค์กรสามารถใช้เป็นบรรทัดฐานในการกำหนดแผนนโยบายปกป้องข้อมูล การออกแบบหลักเกณฑ์การปฏิบัติและการเลือกใช้เทคโนโลยีให้เหมาะสม ทั้งเป็นเครื่องรับประกันความเชื่อมั่นด้านความปลอดภัยเมื่อต้องเจรจาธุรกิจ หรือประกอบธุรกรรมร่วมกัน เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การเก็บรวบรวม เปิดเผย หรือนำข้อมูลไปใช้ต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 กฎการคุ้มครองข้อมูลของสหภาพยุโรป หรือตลาดหลักทรัพย์แห่งประเทศไทย ได้ออกแนวปฏิบัติให้บริษัทในตลาดหลักทรัพย์ฯ ต้องมี ศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operation Center – SOC) เป็นต้น

ขั้นที่สอง หมั่นแกะรอยพฤติกรรมวายร้ายไซเบอร์ ซึ่งกำลังเคลื่อนไหวร้อนแรงด้วยเทคนิคการโจมตีขั้นเทพ อาทิ การขโมยข้อมูลผู้บริหาร หรือหน่วยงานระดับสูงด้วย Advanced Persistent Threat (APT) เช่น ข้อมูลสุขภาพและการใช้ยาของประธานาธิบดีสิงค์โปร์ ลี เซียนลุง ที่ถูกขโมยไปเมื่อไม่นานมานี้หรือกลุ่มโอเชียนโลตัส ที่จ้องขโมยข้อมูลหน่วยงานข่าวกรองของจีน มัลแวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ ที่เจาะเข้าสู่บริการสาธารณะของเมืองเลคซิตี้ฟลอริด้า

ซึ่งศูนย์วิจัยด้านความปลอดภัยไซเบอร์ การ์ดิคอร์ (Guardicore Labs) เปิดเผยถึงความพยายามของมัลแวร์ที่ต่างกันถึง 20 ชนิด ในการเจาะช่องโหว่ของเซิร์ฟเวอร์ถึง 50,000 เครื่อง และขโมยเงินดิจิทัลของเหยื่อได้มากถึง 700 รายต่อวันการโจมตีด้วยมัลแวร์ไร้ไฟล์ (Fileless Malware) โดยลอบส่งคำสั่งผ่าน DNS (Domain Name System) หรือ การส่งมัลแวร์ควบคุมอุปกรณ์ไอโอที (IoT Devices) เช่น แฮกเกอร์จีนได้โชว์การเจาะระบบรถยนต์อัจฉริยะไร้คนขับ เทสล่า เพื่อหลอกให้ขับเข้าเลนรถที่สวนมา ซึ่งล้วนเกิดผลเสียหายต่อภาพลักษณ์สินค้าและธุรกิจทั้งสิ้น

สุภัคขั้นที่สาม ป้องกันรอยรั่วที่มาจากคลาวด์เซอร์วิส ปัญหาความปลอดภัยบนคลาวด์กลับไม่ค่อยเกิดจาก ประเด็นทางเทคโนโลยี แต่มาจาก ความผิดพลาดของผู้ใช้งานหรือผู้ดูแลระบบ ซึ่งเปิดช่องโหว่ให้ระบบตกเป็นเป้าถูกโจมตี

เช่น การตั้งค่าการทำงานของระบบจัดเก็บข้อมูลบนคลาวด์ได้ไม่สมบูรณ์โดยพนักงานค่ายมือถือแห่งหนึ่ง จนกลายเป็นช่องโหว่ให้ข้อมูลลูกค้ารั่วไหลสู่สาธารณะกว่า 46,000 ราย

จึงเกิดแนวคิดด้านความปลอดภัยที่ยึดข้อมูลศูนย์กลาง โดยถือว่า ระบบเครือข่ายข้อมูลไม่ควรไว้ใจซึ่งกันและกัน (Zero Trust) วิธีการ คือ เพิ่มความเข้มข้นในการจำแนกประเภทข้อมูลสำคัญ กำหนดนโยบายข้อบังคับเพื่อเฝ้าระวังและดักจับแฮกเกอร์ที่แทรกซึมเข้ามา โดยเน้นจับตา พฤติกรรมของผู้ใช้งาน กับ ข้อมูลที่เคลื่อนไหวจากการติดตามการใช้งานแอพพลิเคชั่นต่างๆ

ขั้นที่สี่ เน้นทุกจุดต้องปลอดภัย เรื่องนี้อยู่บนหลักคิดที่ว่า “การทำงานปกติ ไม่มีอะไรผิดสังเกตไม่ได้แปลว่าปลอดภัย” งานด้านการปกป้องข้อมูล จึงต้องทำควบคู่กันระหว่าง ระบบรักษาความปลอดภัย (Security)และ ระบบตรวจจับแจ้งเตือนพฤติกรรมผิดปกติ (Visibility) ในทุกการเชื่อมต่อทุกช่องทางในการสื่อสารข้อมูลแบบหลายจุด (Point to Multi-Point) และ จุดต่อจุด (Point to Point) เฉพาะระหว่างอุปกรณ์สองตัว ทั้งงานหน้าบ้าน (Internet Gateway ) และหลังบ้าน (Backdoor)

เช่น การติดตั้งระบบรักษาความปลอดภัยของเครือข่าย (Firewall) ป้องกันการเข้าถึงหรือโจมตีเซิร์ฟเวอร์ สตอเรจ เกตเวย์ อาจยังไม่พอ ต้องเพิ่มเติมการติดตั้งเอเจนต์ (Agents) ที่เครื่องของผู้ใช้งานในระดับเอนด์พอยท์เพื่อตรวจจับและป้องกันการโจมตีได้เร็วขึ้น

การติดตั้งโซลูชั่นไว้ดูแลข้อมูลจราจรในระบบคอมพิวเตอร์ (Log Management) เพื่อบันทึกที่มาที่ไป เวลา หรือเส้นทางสื่อสารในระบบของผู้ใช้งานจากภายในและนอกองค์กร ให้สามารถตรวจสอบย้อนหลังได้ว่า มีใครเข้ามาทำอะไรในระบบของเรา อะไรที่ดูมีความผิดปกติ จะได้วางแผนรับมือแก้ไขต่อไป

ขั้นที่ห้า เดินตามกรอบของ NIST สถาบันแห่งชาติด้านมาตรฐานและเทคโนโลยีของสหรัฐ (National Institute of Standards and Technology: NIST) ได้กำหนด “กรอบการทำงานด้านความปลอดภัยทางไซเบอร์ ซึ่งยังคงทันสมัย และอยากแนะนำให้เอามาประยุกต์ใช้ในเรื่องความปลอดภัยของข้อมูลไว้ 5 ข้อ เช่นกัน ได้แก่

-การแยกแยะ (Identify) องค์ประกอบที่มีผลต่อการบริหารความเสี่ยงในระบบ เช่น สินทรัพย์ข้อมูลที่สำคัญ แอพพลิเคชั่นที่ใช้งาน สภาพแวดล้อมโดยรวมทางธุรกิจ หรือ การจัดกลยุทธ์จัดการความเสี่ยง

-การปกป้อง (Protect) ข้อมูลขององค์กร ด้วยเครื่องมือต่างๆ เพื่อควบคุมพฤติกรรมการเข้าถึงและใช้ข้อมูล กำหนดวิธีการในการป้องกัน รักษา และซ่อมบำรุงระบบข้อมูล

-การขจัดขัดขวาง (Detect) สิ่งผิดปกติที่เล็ดรอดผ่านระบบป้องกันเข้ามาได้ เช่น การวางแนวปฏิบัติในการจัดการเหตุการณ์สุ่มเสี่ยงต่อความปลอดภัย (Security Information and Event Management-SIEM) ที่จะติดตามค้นหามัลแวร์มุ่งร้ายที่หลุดรอดผ่านอุปกรณ์รักษาความปลอดภัยแต่ละชนิด กำจัดทิ้งเสีย และแจ้งข้อมูลให้ผู้ดูแลทราบทันที

-การแจ้งเตือน (Response) สถานการณ์ผิดปกติ ดังตัวอย่างของธนาคารบางแห่ง ซึ่งเมื่อพบการทำธุรกรรมสั่งซื้อสินค้าราคาสูงผ่านเว็บไซต์โดยการตัดบัตรเครดิต โดยที่เจ้าของบัตรรายนี้ไม่เคยมีพฤติกรรมการซื้อขายลักษณะนี้มาก่อน ธนาคารจะไม่อนุญาตให้กด “ตกลง” สั่งซื้อออนไลน์ได้จนกว่าจะส่งข้อความแจ้งเตือนและได้รับการยืนยันจากเจ้าของบัตรเสียก่อน จึงจะอนุญาตให้เข้าถึงบริการตัดบัตรเครติตนั้นได้

-การวางมาตรการฟื้นฟู (Recovery)ให้ระบบกลับมาทำงานต่อไปได้ ซึ่งหมายถึงต้องมีแผนสำรองในการแบ็คอัพระบบ แอพพลิเคชั่น และข้อมูลสำคัญต่างๆ

สรุปได้ว่า การปกป้องข้อมูลสำคัญให้ประสบความสำเร็จในปัจจุบัน โดยไม่ลดทอนการสร้างประสบการณ์ที่ดีให้กับลูกค้า หรือประสิทธิภาพการดำเนินธุรกิจ จำเป็นที่องค์กรต้องจัดการให้เบ็ดเสร็จทั้งเครื่อง และ คน บนมิติของการสร้าง ความเชื่อมั่น ต่อตัวระบบไอที การวาง มาตรการรับมือและแจ้งเตือนผลกระทบ จากในและนอกองค์กรอย่างทันการณ์ และเพิ่ม การตระหนักรู้ ถึงแนวทางการใช้งานที่ปลอดภัย เพื่อให้ได้ผลิตภาพด้านการปกป้องข้อมูลที่จบสวยแบบ วิน-วิน ด้วยกันทุกฝ่าย

Related Articles

2 Comments

  1. canadian tax lawyer
    canadian tax lawyer November 30, 22:04

    Greetings! Veryy helpful advice in this particular article!
    It’s the little changes thast make the most important changes.

    Maany thanks for sharing!

    Reply to this comment
  2. post
    post March 15, 12:06

    Greetings! Very helpful advice within this article!
    It’s the little changes that make the greatest changes.
    Many thanks for sharing!

    Reply to this comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.