www.cioworldmagazine.com

 Breaking News

ICT Trend Watch (ตอนที่26):ความสำคัญและการเตรียมรับมือ เหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร

ICT Trend Watch (ตอนที่26):ความสำคัญและการเตรียมรับมือ เหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร
December 29
13:28 2015
ดร.ไพโรจน์ ธรรมศีลสุวรร
ดร.ไพโรจน์ ธรรมศีลสุวรร

NEC Corporation (Thailand) &Technology Coordinator of TTC, JAPAN ผู้เชี่ยวชาญด้านไอทีและการสื่อสาร ผ่านประสบการณ์มากกว่า 10 ปี ดำรงตำแหน่งคณะอนุกรรมการวิจัยวิจัยโทรคมนาคม TRIDI และอาจารย์มหาวิทยาลัยชั้นนำของประเทศ

“เรียนรู้เรื่องความสำคัญและการเตรียมรับมือต่อเหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร ที่หลายองค์กรได้ตั้งทีมเฉพาะกิจขึ้น ซึ่ง ณ ปัจจุบัน เป้าหมายของมาตรการเกี่ยวกับความปลอดภัยทางข้อมูลไม่ควรจะเป็นเพียงป้องกันเหตุการณ์ไม่ให้เกิดขึ้นอย่างเดียวแต่ควรเป็นทำให้ความเสียหายเกิดขึ้นน้อยที่สุดเมื่อมีเหตุการณ์เกิดขึ้นด้วย”

Banner_CIO_big one_version2

1คงเป็นที่ชัดเจนว่า ทุกองค์กรมีโอกาสที่จะประสบภัยเกี่ยวกับความปลอดภัยทางข้อมูล (information security)ประเภทต่างๆ ไม่ว่าจะเป็นการโจมตีทางไซเบอร์หรืออื่นๆ โดยเฉพาะในยุคปัจจุบันที่ธุรกรรมขององค์กรรวมถึงข้อมูลที่เกี่ยวข้องถูกนำมาดำเนินการและเก็บรักษาอยู่บนระบบไอซีทีเป็นหลัก การมีมาตรการรับมือเกี่ยวกับความปลอดภัยทางข้อมูลก็ทวีความสำคัญขึ้น ซึ่งไม่ใช่ภาระของผู้ดูแลระบบไอซีทีเพียงฝ่ายเดียวอีกต่อไป แต่ระดับผู้บริหารขององค์กรก็ต้องรับผิดชอบแบบเต็มๆ กับความเสียหายที่เกิดขึ้น

เพื่อเป็นมาตรการสำหรับปัญหาดังกล่าวขององค์กร ปัจจุบันเริ่มมีการผลักดันให้เกิดการปฏิบัติขึ้นในองค์กรคือ การสร้างทีมขึ้นเพื่อรับมือกับปัญหาดังกล่าวที่เรียกว่า CSIRTซึ่งย่อมาจาก Computer Security Incident Response Team ภายใต้การดูแลของผู้บริหารที่เกี่ยวข้องอย่าง CIO (ในองค์กรขนาดใหญ่อาจเป็นทีมเฉพาะที่มีภารกิจดูแลทางด้านนี้อย่างเดียว แต่สำหรับองค์กรขนาดกลางหรือเล็ก อาจใช้คนในองค์กรที่ปฏิบัติภารกิจอื่นอยู่แล้วแต่เพิ่มภารกิจทางนี้เข้าไปด้วย)

ภารกิจของทีมนี้ไม่ได้จำกัดแค่วางแผนและดำเนินการเพื่อ“ป้องกันเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลไว้ล่วงหน้า”เท่านั้น เช่น การลงซอฟต์แวร์แอนตี้ไวรัสเพื่อตรวจจับไวรัส หรือการติดตั้งอุปกรณ์ไฟร์วอลล์ไว้ในระบบ เพื่อป้องกันไม่ให้เกิดการเข้าระบบอย่างไม่ถูกต้องแต่ภารกิจของ CSIRT จะรวมไปถึง“การรับมือขณะเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูล”เพื่อจำกัดขอบเขตความเสียหายขณะเกิดเหตุให้น้อยที่สุดเป็นต้นตลอดจน“การรับมือหลังเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูล”เช่น การทำให้ระบบกลับมาทำงานตามปกติ การสืบหาต้นเหตุ รวมถึงการหามาตรการเพื่อป้องกันไม่ให้เกิดซ้ำ ต่างๆ เป็นต้น

โดยทั่วไปคำว่า incident ในกรณีของความปลอดภัยทางข้อมูลจะไม่ได้มีความหมายเพียงแค่เหตุการณ์ซึ่งสร้างความเสียหายจริงโดยทำให้การทำงานหรือการใช้งานระบบไอทีตามปกติหยุดชะงักไป ไม่ว่าจะเป็นจากมัลแวร์หรือจากการโจมตีเพื่อขัดขวางการให้บริการ แต่จะรวมถึงสิ่งที่สามารถนำไปสู่เหตุการณ์ที่จะสร้างความเสียหายดังกล่าวได้เช่นการค้นหาจุดอ่อนของระบบต่างๆ (scan)

ซึ่งตัวอย่างของ incident ที่เรารู้จักกันก็เช่น การติดไวรัสคอมพิวเตอร์ DDoSการบุกรุกเข้าในระบบ การส่งอีเมล์โดยปลอมแปลงข้อมูลผู้ส่ง(forged) การส่งสแปมเมล์ หรือแม้แต่หมายถึง การโจมตีแบบ APT หรือ Advanced Persistent Threat ที่มุ่งเป้าหมายไปยังหน่วยงานหรือบุคคลใดโดยเฉพาะเจาะจงโดยมีการใช้เทคนิคขั้นสูงอย่างต่อเนื่องและสม่ำเสมอ และการโจมตีก็จะใช้วิธีหลายชนิดรวมกัน

หน่วยงาน CSIRT ในองค์กรมีหน้าที่ในการดำเนินการที่เกี่ยวข้องกับ incident อย่างครอบคลุมทั้งป้องกันไว้ล่วงหน้า รับมือขณะเกิดเหตุการณ์ตลอดจนหลังเกิดเหตุการณ์ โดยอาจจะเรียกชุดของการดำเนินการโดยรวมทั้งหมดนี้ว่า การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยทางข้อมูลหรือIncident Management ดังแสดงตัวอย่างในรูป

โดยถ้าจะดูลงไปในรายละเอียด เราอาจจะแยกแบบง่ายๆ ต่อไปอีกว่า ขั้นตอนของการการรับมือขณะเกิดเหตุการณ์ และหลังเกิดเหตุการณ์อาจจะรวมเรียกว่า incident handling ซึ่งจะแบ่งเป็นขั้นตอนย่อยๆ ลงไปอีกสามหรือสี่ขั้นตอนเริ่มตั้งแต่สามารถตรวจจับหรือได้รับแจ้งจากแหล่งต่างๆ โดยจะมีขั้นตอนหนึ่งในการที่เราจะดำเนินการจัดการกับเหตุการณ์นั้นจริงๆ ซึ่งจะเรียกว่า incident response (อย่างไรก็ดี ในการแบ่งขั้นตอนต่างๆ เหล่านี้ของแต่ละ CSIRT ก็อาจแตกต่างกันไปได้)

โดยเฉพาะอย่างยิ่งในขั้นของ “การป้องกันเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลไว้ล่วงหน้า” ซึ่งเป็นหนึ่งในจุดสำคัญที่เราสามารถเตรียมตัวได้ตั้งแต่ยังไม่เกิดเหตุการณ์ ปกติเราก็จะนึกถึงการดำเนินการจำพวกที่ถูกเรียกกันว่า “มาตรการทางความปลอดภัย” เป็นส่วนใหญ่ เช่นการลงโปรแกรมตรวจจับไวรัส หรือไฟร์วอลล์เป็นต้น

แต่จริงๆ แล้วสิ่งสำคัญที่สุดที่ทางทีม CSIRT ขององค์กรเราต้องคำนึงถึงคือ การรวบรวมข้อมูลที่เกี่ยวกับ incident ประเภทต่างๆ จากหลากหลายแหล่งข้อมูล ไม่ใช่เฉพาะในองค์กร แต่รวมถึงหน่วยงานภายนอกที่เกี่ยวข้องอย่างเช่น หน่วยงาน CERT หรืออื่นๆ ซึ่งหมายความว่าทีมขององค์กรต้องมีการทำงานหรือสายสัมพันธ์กับองค์กรหรือหน่วยงานหลากหลายเพื่อให้เข้าถึงข้อมูลเหล่านี้ได้อย่างทันต่อสถานการณ์ปัจจุบันและอย่างต่อเนื่อง

หลังจากได้ข้อมูลที่เกี่ยวข้องจำนวนมากมาก็ทำการเลือกเอาสิ่งที่เกี่ยวข้องกับระบบขององค์กรเราเอง และทำการวิเคราะห์ความเสี่ยงในการที่ incident เหล่านั้นจะเกิดขึ้นกับระบบขององค์กรเราได้ไหม เช่นการใช้ซอฟต์แวร์เวอร์ชั่นเก่าที่ไม่ได้รับการอุดช่องโหว่ในการถูกโจมตี หรือยังมีการตั้งค่า firewall policy ที่อนุญาตให้เกิดช่องการโจมตีขึ้นเป็นต้น เมื่อทราบแล้ว ก็ออกมาตรการที่เกี่ยวข้องเพื่อป้องกันไม่ให้incident เกิดขึ้น เช่น ลง patch หรือเปลี่ยนค่าต่างๆ เป็นต้น

อย่างไรก็ตาม ควรเข้าใจความจริงที่ว่า เราไม่สามารถรับประกันที่จะป้องกันไม่ให้incident เกิดขึ้นเลย100%เต็มถึงแม้ว่าเราจะได้เตรียมมาตรการป้องกันล่วงหน้าต่างๆ ดังกล่าวแล้วก็ตาม ดังนั้นเป้าหมายของมาตรการเกี่ยวกับความปลอดภัยทางข้อมูลไม่ควรจะเป็นเพียง“ป้องกันเหตุการณ์ไม่ให้เกิดขึ้น”อย่างเดียวแต่ควรเป็น“ทำให้ความเสียหายเกิดขึ้นน้อยที่สุดเมื่อมีเหตุการณ์เกิดขึ้น” ด้วยเหตุนี้อีกสิ่งหนึ่งที่ทีม CSIRT ควรต้องดำเนินการในขั้นป้องกันก่อนเกิดเหตุการณ์ก็คือข้อมูลที่เกี่ยวข้องกับการจำกัดความเสียหายให้น้อยที่สุดดังกล่าว รวมถึงวิธีที่จะนำระบบกลับมาให้อยู่ในสภาพที่ใช้งานได้ เพื่อให้สามารถจัดการกับincidentได้อย่างราบรื่นและรวดเร็วที่สุดเท่าที่จะเป็นไปได้

เกี่ยวกับเรื่องนี้อีกสิ่งหนึ่งที่เราควรจะได้ดำเนินการคือ การเตรียมอุปกรณ์และทีมงานไว้สำหรับตรวจจับความผิดปกติเมื่อเกิด incident ขึ้น รวมถึงมีการเตรียมคู่มือในการปฏิบัติการรับมือหลังจากที่เราได้ตรวจพบ incident ขึ้น โดยถ้ามีการเรียกผู้ที่เกี่ยวข้องมาทำการซักซ้อมจริง(เหมือนซ้อมดับเพลิงตามอาคารซึ่งต้องปฏิบัติกันทุกปี)ตามคู่มือเพื่อดูว่าสิ่งที่เขียนไว้สามารถปฏิบัติได้จริงหรือมีจุดติดขัดไหนต้องแก้ไขก็จะได้ปรับปรุงคู่มือในการปฏิบัติงานรับมือต่อไป

นอกจากนี้ถ้ามีข้อมูลใดที่พนักงานในองค์กรที่ไม่ได้เป็นผู้ที่เกี่ยวข้องกับการดูแลระบบหรือรับมือกับincidentต้องทราบ ก็ควรมีการกระจายข้อมูลให้ทุกคนรับทราบไว้ด้วย ส่วนขั้นต่อไปในการรับมือตั้งแต่เมื่อเกิดเหตุการณ์ขึ้นหรือ incident handling นั้นก็มีความสำคัญอย่างยิ่งซึ่งทางผู้เขียนจะได้หาโอกาสมาเล่าสู่กันฟังต่อไปครับ

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
SDWAN NSS Lab
CEBIT 300x250

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com