www.cioworldmagazine.com

 Breaking News

ICT Trend Watch (ตอนที่ 56) ความเสี่ยงด้านความปลอดภัยไซเบอร์ ที่มากับการทำดิจิทัลทรานสฟอร์เมชั่นขององค์กร

ICT Trend Watch (ตอนที่ 56) ความเสี่ยงด้านความปลอดภัยไซเบอร์ ที่มากับการทำดิจิทัลทรานสฟอร์เมชั่นขององค์กร
June 13
13:06 2018

“แม้ว่าทุกองค์กรที่กำลังปฏิรูปไปสู่ดิจิทัล จะมีความตื่นตัวเรื่องการรักษาความปลอดภัยไซเบอร์ ตั้งทีมหรือคนรับผิดชอบเรื่องลักษณะนี้โดยตรง เรียกว่า CSIRT แต่ในทางปฏิบัติก็ยังพบข้อบกพร่องหลายประการจากข้อจำกัดของคน องค์ความรู้และเทคโนโลยี ทำให้องค์กรยังมีความเสี่ยงอยู่”

ในยุคปัจจุบัน สาเหตุที่องค์กรหรือบริษัทถูกโจมตีทางไซเบอร์นั้นมีได้หลายประการ ยิ่งในยุคของการทำดิจิทัลทรานสฟอร์เมชั่นที่ทุกประเทศรวมถึงบ้านเราได้มีการนำเทคโนโลยีดิจิทัลมาใช้อย่างจริงจังทั้งในด้านการปฏิรูปรูปแบบการทำงาน เช่น องค์กรหรือบริษัทที่มีนโยบายสนับสนุนให้พนักงานสามารถทำงานจากนอกสถานที่ในที่ต่างๆ ได้ สามารถใช้สมาร์ทโฟนหรืออุปกรณ์ที่พนักงานหรือผู้ปฏิบัติการมีอยู่มาใช้ในงานของบริษัทหรือองค์กรได้อย่างเช่น BYOD ถ้าหากไม่ได้มีการเตรียมป้องกันทางด้านความปลอดภัยอย่างเพียงพอ ก็อาจทำให้เกิดช่องโหว่และนำมาสู่การถูกโจมตีหรือเกิดการรั่วไหลของข้อมูลที่มีความสำคัญหรือเป็นความลับออกนอกองค์กรได้

ซึ่งเรื่องการเกิดเหตุการณ์ทางด้านความปลอดภัยไซเบอร์ที่มีสาเหตุจากการปฏิรูปการทำงานโดยไม่มีการพิจารณาทางด้านความปลอดภัยไซเบอร์อย่างเพียงพอ ถูกจัดเป็น1ใน10 เทรนด์ความปลอดภัยทางข้อมูลในปี 2018ที่ประกาศโดยองค์กรของญี่ปุ่นที่มีชื่อว่า JASA หรือ Japan Information Security Audit Association

1ในอีกด้านหนึ่ง จากข่าวความเสียหายที่เกิดจากการโจมตีทางไซเบอร์ที่เกิดขึ้นทั่วโลก ทำให้เกิดการตื่นตัวในการเตรียมตัวรับภัยคุกคามทางไซเบอร์มากขึ้นในระดับหนึ่ง การมีมาตรการรับมือเกี่ยวกับความปลอดภัยทางข้อมูลก็ทวีความสำคัญขึ้น ซึ่งจะมานั่งคิดแบบสมัยก่อนว่าเรื่องนี้ปล่อยให้เป็นความพยายามของแผนกที่ดูแลระบบที่ใช้เทคโนโลยีดิจิทัลไม่ได้อีกต่อไป

ตัวอย่างง่ายๆ เช่น ถ้าข้อมูลส่วนตัวของลูกค้าของบริษัทหรือองค์กรเราเกิดรั่วไหลสู่ภายนอกเนื่องจากระบบของเราติดมัลแวร์ถ้าเกิดเซิร์ฟเวอร์หรือคอมพิวเตอร์ในองค์กรของเราถูกใช้เป็นฐานหรือส่วนหนึ่งในการโจมตีองค์กรอื่นๆ และก่อให้เกิดความเสียหายอย่างร้ายแรงหรือเป็นวงกว้าง ปัญหาเหล่านี้คงไม่ได้เป็นปัญหาของผู้ดูแลระบบขององค์กรเราอย่างเดียว แต่ระดับผู้บริหารขององค์กรก็ต้องรับผิดชอบแบบเต็มๆ กับความเสียหายที่เกิดขึ้น เป็นต้น

เพื่อเป็นมาตรการสำหรับปัญหาดังกล่าว ในองค์กรหรือบริษัทที่มีขนาดและศักยภาพในระดับหนึ่ง ก็ได้มีการผลักดันให้เกิดการสร้างทีมขึ้นในองค์กรเพื่อรับมือกับปัญหาดังกล่าวที่เรียกว่า CSIRT (ซีเซิร์ต) ซึ่งย่อมาจาก Computer Security Incident Response Teamภายใต้การดูแลของผู้บริหารที่เกี่ยวข้องอย่าง CIO

โดยภารกิจของทีมนี้จะไม่ได้จำกัดขอบเขตแค่วางแผนและดำเนินการเพื่อป้องกันเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลไว้ล่วงหน้าดังเช่นที่ผ่านมาเท่านั้น (ตัวอย่างการป้องกันล่วงหน้าก็เช่น การลงซอฟต์แวร์จำพวกแอนตี้ไวรัสเพื่อตรวจจับไวรัส หรือการติดตั้งอุปกรณ์ไฟร์วอลไว้ในระบบ เพื่อป้องกันไม่ให้เกิดการเข้าระบบอย่างไม่ถูกต้อง)

แต่ภารกิจของซีเซิร์ตจะรวมไปถึงการ รับมือขณะเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูล(เพื่อจำกัดขอบเขตความเสียหายขณะเกิดเหตุให้น้อยที่สุดเป็นต้น) ตลอดจนการรับมือหลังเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลเช่น การทำให้ระบบกลับมาทำงานตามปกติ การสืบหาต้นเหตุ รวมถึงการหามาตรการเพื่อป้องกันไม่ให้เกิดซ้ำ ต่างๆ เป็นต้น

อย่างไรก็ตาม จากข้อมูลของ10 เทรนด์ความปลอดภัยทางข้อมูลในปี 2018 พบว่าหนึ่งในความเสี่ยงที่สามารถเกิดขึ้นได้ในเรื่องนี้คือ ทีมซีเซิร์ตไม่สามารถทำหน้าที่ที่ซีเซิร์ตควรทำได้ในระดับปกติ ด้วยสาเหตุจากความขาดแคลนทรัพยากรทางความปลอดภัยข้อมูลดังที่เราทราบกันอยู่ จึงอาจพบเห็นกรณีที่องค์กรมีการตั้งบุคคลากรที่เพิ่งเรียนหรือทำงานทางด้านความปลอดภัยข้อมูลมาเป็นผู้เชี่ยวชาญทางด้านนี้

3ผลที่ได้ก็คืออาจเกิดกรณีที่ทีมซีเซิร์ตมองข้ามสัญญาณที่อาจนำไปสู่การเกิดเหตุการณ์ทางความปลอดภัยข้อมูลที่เรียกว่า incident หรือเกิดความผิดพลาดในขณะทำการจัดการรับมือ incident เป็นต้น โดยอาจนำไปสู่การทำให้ความเสียหายร้ายแรงมากยิ่งขึ้น (ซึ่งในกรณีของความปลอดภัยทางข้อมูลนั้น คำว่า incidentนี้จะไม่ได้มีความหมายเพียงแค่เหตุการณ์ซึ่งสร้างความเสียหายจริงโดยทำให้การทำงานหรือการใช้งานระบบที่ใช้เทคโนโลยีดิจิทัลหยุดชะงักไป ไม่ว่าจะเป็นจากมัลแวร์หรือจากการโจมตีเพื่อขัดขวางการให้บริการ แต่จะรวมถึงสิ่งที่สามารถนำไปสู่เหตุการณ์ที่จะสร้างความเสียหายดังกล่าวได้เช่นการค้นหาจุดอ่อนของระบบต่างๆ (scan)

ซึ่งตัวอย่างที่รู้จักกันดีก็เช่น การติดไวรัสคอมพิวเตอร์ การโจมตีแบบ DDoS การบุกรุกเข้าในระบบ การส่งอีเมล์โดยปลอมแปลงข้อมูลผู้ส่ง (forged) การส่งสแปมเมล์ การโจมตีแบบ APT หรือ Advanced Persistent Threat ที่มุ่งเป้าหมายไปยังหน่วยงานหรือบุคคลใดโดยเฉพาะเจาะจงโดยมีการใช้เทคนิคขั้นสูง

 

เพื่อให้ทีมซีเซิร์ตสามารถทำงานตามหน้าที่พื้นฐานดังที่แนะนำไว้ด้านบนตามที่ควรจะเป็นนั้น จำเป็นที่แต่ละองค์กรต้องมีการคัดสรรเลือกตัวทรัพยากรบุคคลผู้มีทักษะที่เหมาะสม ตลอดจนบุคคลที่ได้รับคัดเลือกเหล่านั้นต้องมีความเป็นผู้นำและได้รับอำนาจหน้าที่อย่างเป็นทางการในการรายงานแนะนำรวมถึงสั่งการส่วนงานต่างๆ ในองค์กร (รวมถึงในระดับผู้บริหารที่อยู่ตนขึ้นไปด้วย) ที่จำเป็นต้องรับทราบและเกี่ยวข้องเมื่อเกิดเหตุการณ์ทางด้านความปลอดภัยข้อมูลขึ้น

4นอกจากนี้สิ่งจำเป็นอีกประการคือการเพิ่มขีดความสามารถขององค์กรในการรับมือเหตุการณ์ทางด้านความปลอดภัยข้อมูลให้สูงขึ้น โดยการจัดทำกระบวนการและคู่มือในการรับมือกับภัยคุกคามทางด้านนี้ให้ชัดเจนเพื่อเป็นหลักในการปฏิบัติ และมีการฝึกซ้อมการรับมือภัยคุกคามตามกระบวนการดังกล่าวอยู่เป็นประจำ

อย่างไรก็ดี เราสามารถพบเห็นตัวอย่างจำนวนไม่น้อยขององค์กรที่มีการตั้งบุคคลในทีมซีเซิร์ตที่ไม่มีความรู้ความชำนาญทางเทคนิคที่เกี่ยวข้องอย่างเพียงพอ ตลอดจนไม่ได้มีการให้อำนาจหน้าที่อย่างเป็นทางการในการประสานงานและสั่งการส่วนต่างๆ ที่เกี่ยวข้องไว้ หรือไม่ก็มีเพียงการจัดทำคู่มือในการรับมือกับภัยคุกคามแต่ไม่เคยมีการจัดฝึกซ้อมเป็นระยะๆ อย่างต่อเนื่องอยู่เป็นประจำ เพื่อสร้างความตระหนักรับรู้ ตลอดจนความชำนาญในการรับมือเมื่อเกิดเหตุการณ์ขึ้นจริงๆ เป็นต้น

โดยองค์กรที่มีทีมซีเซิร์ตในลักษณะนี้อาจไม่สามารถปฏิบัติหน้าที่ในระดับที่ถูกคาดหวังเมื่อเกิดเหตุการณ์ภัยคุกคามขึ้นจริงๆ ได้ เพื่อไม่ให้เกิดปัญหาดังกล่าว จุดที่แต่ละองค์กรควรต้องถูกตรวจสอบในเรื่องนี้ ก็เช่น ในองค์กรเรามีการกำหนดทักษะที่จำเป็นของทีมซีเซิร์ตไว้อย่างชัดเจนและเหมาะสมเพียงใด มีการวางแผนในการหาทีมทรัพยากรบุคคลที่มีทักษะดังกล่าวหรือไม่เพียงใด ได้มีการทดสอบยืนยันระดับความรู้ความเข้าใจทางด้านความปลอดภัยไซเบอร์ของบุคคลากรหรือไม่เพียงใด ตลอดจนมีการทดสอบยืนยันระดับคุณภาพของบริการที่ทำได้หรือไม่เพียงใดโดยอาจจะทำการประเมินจากรายงานที่เกี่ยวข้อง เป็นต้นนั่นเอง

 

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget