เตรียมความพร้อมองค์กร สร้างมาตรฐานความน่าเชื่อถือระดับโลก รับ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ
“คำแนะนำจากผู้เชี่ยวชาญเรื่องมาตรการเฝ้าระวังทางไซเบอร์เตรียมความพร้อมองค์กรและหลักการพิจารณาโซลูชั่นระบบการรักษาความปลอดภัยช่วยองค์กรตอบข้อกำหนดของพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้”
ประเทศไทยอยู่ในขั้นตอนเร่งยกระดับระบบดิจิทัลเพื่อก้าวไปสู่การปฏิวัติอุตสาหกรรมครั้งที่ 4 พร้อมนานาชาติและดำเนินธุรกรรมภายใต้กฎระเบียบคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation: GDPR) ของสหภาพยุโรปซึ่งให้ความสำคัญในเรื่องภัยไซเบอร์และข้อมูลส่วนบุคคล ในประเทศไทยมีการประกาศใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Act: CSA) พ.ศ. 2562 ในราชกิจจานุเบกษาและมีผลบังคับใช้ในทันทีเมื่อเดือนพฤษภาคมที่ผ่านมา
และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) ซึ่งจะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม พ.ศ.2563 ส่งให้ผู้ประกอบการควรเร่งทำความเข้าใจและจัดหากระบวนการที่สอดคล้องกับข้อกำหนดใน พ.ร.บ.ทั้งสองฉบับอย่างเร่งด่วน
พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ กำหนดให้โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure : CI) อันหมายถึงบรรดาหน่วยงานหรือองค์กรที่ธุรกรรมทางอิเล็กทรอนิกส์ของตนมีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศทั้ง 8 กลุ่ม
ได้แก่ กลุ่มความมั่นคงและบริการภาครัฐที่สำคัญ, กลุ่มการเงินการธนาคาร, กลุ่มเทคโนโลยีสารสนเทศและโทรคมนาคม, กลุ่มการขนส่งและโลจิสติกส์, กลุ่มพลังงานและสาธารณูปโภค, กลุ่มสาธารณสุข จำเป็นต้องยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ให้มีประสิทธิภาพมากยิ่งขึ้น
ทั้งนี้ คณะกรรมการกำกับ (กกม.) ได้ประยุกต์มาตรฐานที่พึงนำมาใช้เป็นกรอบในการทำงานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standard and Technology: NIST) มาเป็นมาตรการขั้นต่ำของ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ (Cyber Security Act: CSA) ใน 5 มาตรการด้วยกัน ได้แก่
1) มาตรการในการระบุความเสี่ยง (Identify)
2) มาตรการในการป้องกันภัยคุกคาม (Protect)
3) มาตรการในการตรวจสอบและเฝ้าระวัง (Detect)
4) มาตรการในการเผชิญเหตุ ตอบโต้ภัย (Respond) และ
5) มาตรการรักษาและฟื้นฟู (Recover)
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ แห่งฟอร์ติเน็ต ได้ให้ความเห็นว่า “พ.ร.บ. ที่บังคับไปแล้วนี้ส่งผลให้หน่วยงานของรัฐหรือหน่วยงานเอกชนมีหน้าที่ในการสร้างกลไกในการป้องกันภัยไซเบอร์ที่รัดกุมมากขึ้น มิฉะนั้นจะได้รับบทลงโทษ องค์กรจึงต้องพึ่งพาเทคโนโลยีหรือหาทูลส์ใหม่ๆ ที่สามารถปฏิบัติตามข้อกำหนดของ พ.ร.บ.ได้ในทุกกรณี”
“โดยเฉพาะอย่างยิ่งในการ เฝ้าระวัง ซึ่งเป็นเม็ดเงินที่มีการลงทุนสูงเทคโนโลยีที่เหมาะสมจำเป็นต้องสามารถป้องกันภัยได้กว้าง (Broad) ครอบคลุมทุกแพลตฟอร์มและอุปกรณ์ อุปกรณ์ทั้งหมดจะต้องทำงานร่วมกันอย่างราบรื่น (Integrated) และทำงานได้อย่างอัตโนมัติ (Automation) สามารถปฏิบัติงานตามมาตรการ 5 ประการข้างต้นจากส่วนกลางได้”
ดังนั้น ผู้ดำเนินธุรกิจ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องทบทวนนโยบายและหามาตรการเพื่อเร่งปรับใช้ในองค์กร รวมถึงพิจารณาแพลตฟอร์มด้านความปลอดภัยไซเบอร์ที่มีประสิทธิภาพและสามารถตอบโจทย์มาตรการทั้ง 5 ด้านได้เป็นอย่างดีซึ่งจะต้องเป็นแพลตฟอร์มที่รวมอุปกรณ์ด้านความปลอดภัยครบครันจึงสามารถช่วยให้องค์กรเห็นภัยไซเบอร์ที่คุกคามเข้ามาได้ลึกทั่วทั้งเครือข่าย
นอกจากนี้ อุปกรณ์ทุกชิ้นต้องสามารทำงานภายใต้ความร่วมมืออีโคซิสเต็มส์ หรือความหลากหลายของระบบจากหลายๆ เทคโนโลยี อุปกรณ์ต้องสามารถทำงานเข้ากันได้อย่างราบรื่น และองค์กรต้องสามารถใช้งานอุปกรณ์ได้เต็มที่ และยิ่งไปกว่านั้น หากเทคโนโลยีที่เลือกใช้ผสานเอาความสามารถด้านการประมวลผลอัจฉริยะ หรือการเรียนรู้จากเครื่อง (แมชชีนเลิ่ร์นนิ่ง) ในโซลูชั่น ก็ยิ่งเพิ่มประสิทธิภาพได้มากขึ้น สามารถโต้ตอบและจัดการกับภัยคุกคามได้อย่างชาญฉลาดและอัตโนมัติ
ดร. รัฐิติ์พงษ์ ได้อธิบายถึงรายละเอียด หลักในการพิจารณาคุณสมบัติของโซลูชั่นด้านระบบการรักษาความปลอดภัย ตามกรอบในการทำงานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standard and Technology: NIST) ซึ่งข้อกำหนดไว้ 5 มาตรการ นั่นคือ
มาตรการที่ 1 Identify
Identify and assess users: เมื่อมีผู้ใช้งานเชื่อมต่อเข้ามาในเครือข่าย องค์กรจำเป็นต้องสามารถระบุภัยที่เข้ามาได้ ซึ่งในปัจจุบันนั้น การยืนยันตัวตนเพื่อเข้าใช้งานเพียงด้วยการรหัสผู้ใช้งาน (User name) และรหัสผ่าน (Password) ไม่เพียงพอแล้ว ดร. รัฐิติ์พงษ์แนะนำให้พิจารณาวิธีการยืนยันตัวตนของผู้ใช้และของอุปกรณ์ได้โดยการใช้อุปกรณ์ (Token) เพื่อการยืนยันผู้ใช้งานโดย 2 Factor One Time Password ซึ่งให้ความปลอดภัยกว่า
และใช้โซลูชั่นจากเวนเดอร์ที่มีความเชี่ยวชาญด้าน Network Access Control เข้ามารองรับการใช้งานไอโอที (IoT) ซึ่งจะมีอุปกรณ์มากมายทั้งขององค์กรและของส่วนตัวพนักงาน เข้ามาใช้งานในเครือข่าย โดยจะต้องสามารถตรวจสอบและบริหารอุปกรณ์ที่เชื่อมโยงเข้ามาใช้งานไม่ว่าจะเป็นแบรนด์ใดก็ตาม รวมถึงบริหารอุปกรณ์การเชื่อมโยงเครือข่ายได้
หากพบภัยแอบแฝงเข้ามา จะสามารถโต้ตอบจัดการกับภัยได้อย่างอัตโนมัติ จึงช่วยให้การปฏิบัติงานในเครือข่ายมีประสิทธิภาพสามารถควบคุมและติดตามการเข้าถึงเครือข่ายของอุปกรณ์และผู้ใช้งาน รวมถึงอุปกรณ์ไอโอทีสมัยใหม่ที่เชื่อมต่อเข้ามา
Asset and risk management: ในการระบุภัยและความเสี่ยงของเครื่องที่ใช้ในองค์กร ผู้บริหารควรเร่งพิจารณา เทคโนโลยี User and Entity Behavior Analytics (UEBA)เพื่อใช้ตรวจสอบพฤติกรรมของผู้ใช้งานในองค์กร อาทิ ผู้ใช้งานดาวน์โหลดไฟล์ไปที่ใด ท่องเว็บใด และส่งข้อมูลการใช้งานเหล่านั้นไปยังอุปกรณ์หรือระบบที่ทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย (Security Information and Event Management: SIEM) อุปกรณ์ต่างๆ หากพฤติกรรมใดมีค่าสูงกว่าค่าที่ตั้งไว้ จะส่งสัญญาณแจ้งเตือนภัยของทุกเหตุการณ์ได้ทันท่วงที
Vulnerability assessment: ในการตรวจสอบหาช่องโหว่ในอุปกรณ์คอมพิวเตอร์ เดสก์ท็อป แล็ปท็อป โมบายและเซิร์ฟเวอร์ในระบบนั้น องค์กรจำเป็นจะต้องมีผลิตภัณฑ์ที่ช่วยรักษาความปลอดภัยให้กับอุปกรณ์ปลายทางอย่างครบถ้วน ให้ทำหน้าที่สแกนตรวจสอบการติดตั้งซอฟท์แวร์ด้านความปลอดภัยที่องค์กรได้กำหนดเป็นนโยบายไว้ อาทิ ซอฟต์แวร์แอนตี้ไวรัสและไฟร์วอลล์
Risk assessment and governance: ในการปฏิบัติตามข้อกำหนดของพ.ร.บ.นั้น องค์กรจำเป็นจะต้องเก็บข้อมูลการใช้งาน (Log) ทางคอมพิวเตอร์ของผู้ใช้งาน อาทิ เว็บที่ท่องไป ซึ่งคำแนะนำคือ องค์กรต้องไม่เพียงแค่พิจารณาเลือกระบบโซลูชั่นที่สามารถปฏิบัติตามข้อกำหนดในการเก็บ Log เท่านั้น
หากมีอุปกรณ์ประเภทไหนที่สามารถทำหน้าที่เป็นซีเคียวริตี้เกตเวย์ช่วยป้องกันภัยคุกคามได้ด้วยก็ยิ่งดีรวมถึงกับอุปกรณ์ที่ทำหน้าที่วิเคราะห์ จัดเก็บข้อมูล ทำรายงาน และอุปกรณ์ที่จะช่วยบริหารจัดการองค์ประกอบของระบบรักษาความปลอดภัยทั้งหมดได้จากศูนย์กลาง จะส่งผลดีต่อการบริหารงานของฝ่ายไอทีให้ง่ายและมีประสิทธิภาพมากขึ้น
มาตรการที่ 2 Protect
ในการป้องกันภัยภายในเครือข่ายขององค์กรนั้น เริ่มต้นที่จุดเชื่อมต่อกับเครือข่ายภายนอก ดร.รัฐิติ์พงษ์เสนอให้ใช้อุปกรณ์ไฟร์วอลล์รุ่นที่ทันสมัย มีประสิทธิภาพสูง ทำหน้าที่เป็นซีเคียวริตี้เกตเวย์ หากเป็นไปได้ต้องไม่ลืมอุปกรณ์ที่สามารถป้องกันภัยที่มุ่งทำให้เครือข่ายและบริการขององค์กรหยุดชะงักลง (Distribute Denial of Service หรือ DDoS)
ถัดจากการป้องกันภัยที่ขอบเครือข่ายแล้วแนะนำให้ติดตั้งอุปกรณ์รักษาความปลอดภัยบนระบบอีเมล์ ในการสกัดภัยคุกคามและปัญหาอีเมล์ อีกทั้งระบบในการป้องกันการรักษาความปลอดภัยให้กับเว็บแอพพลิเคชั่น
นอกจากนี้ ในหลายองค์กรที่มีความอ่อนไหวของข้อมูลสูง อาจต้องมองหา ระบบรักษาความปลอดภัยชั้นสูง ที่ช่วยตรวจดักจับภัยคุกคามในรูปแบบใหม่ๆ ที่เรียกกันว่า Zero-day ก่อนที่จะแพร่กระจายคุกคามในเครือข่าย รวมถึงพฤติกรรมที่ผิดปกติในระบบ
ในการป้องกันเครือข่ายบนคลาวด์นั้น องค์กรจำเป็นต้องเร่งศึกษาฟังก์ชั่นและคุณสมบัติของผู้ให้บริการระบบความปลอดภัยสำหรับการใช้งานบนคลาวด์ที่ต้องมีความสามารถรอบด้าน ครบถ้วน อาทิ ได้แก่ การตรวจจับภัยคุกคามขั้นสูงบนคลาวด์, การเฝ้าระวังและติดตามการใช้แอพพลิเคชั่นบนคลาวด์ด้วยเทคโนโลยี Cloud Access Security Broker (CASB) รวมถึงการพิจารณา บริการความปลอดภัยเมื่อต้องการใช้งานผู้ให้บริการคลาวด์ประเภท Infrastructure as a Service (IaaS) รวมถึง AWS, Microsoft Azure, Oracle Cloud Infrastructure และ Alibaba Cloud อีกด้วย
มาตรการที่ 3 Detect
ระบบการรักษาความปลอดภัยจะต้องมีศักยภาพในการตรวจสอบความผิดปกติและอีเวนท์ต่างๆมีกลไกในการสังเกตเฝ้าระวังอย่างอัตโนมัติและต่อเนื่อง และใช้ซิคเนเจอร์ในการตรวจภัยที่เกิดขึ้นมาแล้วอย่างแข็งแกร่ง
ทั้งนี้ เพื่อตรวจพบภัยที่ไม่เคยเกิดขึ้นมาก่อนนั้นองค์กรอาจจะต้องมีโซลูชั่นที่สามารถจำลองสานการณ์การโจมตีมีประสิทธิภาพ ซึ่งเป็นการสร้างเป้าหมายปลอมเพื่อล่อให้แฮ็กเกอร์เข้ามาโจมตีแทนระบบสำคัญขององค์กร
รวมไปถึงช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสามารถเก็บรวบรวมข้อมูลและศึกษาวิธีการโจมตีจากเป้าหมายจำลองนั้นๆ ได้แบบเรียลไทม์ เพื่อให้สามารถหาวิธีรับมือและวางมาตรการควบคุมได้อย่างมีประสิทธิภาพมากยิ่งขึ้น ซึ่งทำงานพร้อมกับอุปกรณ์ Sandbox ที่ทำหน้าที่ทดสอบข้อมูลหรือไฟล์ต้องสงสัย เพื่อตรวจดูพฤติกรรมที่ผิดปกติได้
มาตรการที่ 4 Respond
หากเกิดภัยคุกคามขึ้นแล้วนั้น การตอบโต้กับสถานการณ์โดนภัยคุกคามจะรวมถึง การสื่อสารรายงานกับหน่วยงานที่เกี่ยวข้อง การวิเคราะห์สถานการณ์ การระงับภัย การพัฒนาสถานการณ์ที่เกิด
ในการตอบโต้กับภัยที่เกิดขึ้นที่ผู้ใช้งาน (Endpoint Detection Response) องค์กรจำเป็นต้องมีอุปกรณ์ตรวจจับปลายทางเพื่อระงับการใช้งาน เช่น ระงับมิให้ผู้ใช้งานเปิดไฟล์อันตราย และใช้อุปกรณ์ประเภท Network Access Control ในการแยกผู้ใช้งานและกักกันเครื่องที่มีภัยคุกคามออกไปได้
และในการตอบโต้กับภัยนั้น ดร.รัฐิติ์พงษ์เสนอให้ใช้ระบบที่ทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย (Security Information and Event Management: SIEM) และอุปกรณ์วิเคราะห์อื่นๆ ในการตรวจสอบ Log และจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย ช่วยให้เกิดการตอบสนองแบบอัตโนมัติ แจ้งเตือนทุกเหตุการณ์ได้ทันท่วงที
ปัจจุบัน มีเทคโนโลยีใหม่ที่ผู้ให้บริการระบบการรักษาความปลอดภัยได้พัฒนาขึ้น คือเทคโนโลยี Security-Defined Network ที่ช่วยให้อุปกรณ์ด้านความปลอดภัยสามารถทำงานร่วมกับอุปกรณ์ด้านเครือข่ายอื่นๆ ขององค์กรได้ อาทิ ไฟร์วอลล์ สามารถส่งข้อมูลภัยที่พบนั้นไปยังอุปกรณ์สวิตช์และอุปกรณ์แอคเซสพอยต์ไร้สายได้ จึงทำให้เครือข่ายมีความปลอดภัยที่สมบูรณ์ทั่วทั้งเครือข่าย
หัวใจสำคัญในการสร้างกลไกด้านความปลอดภัยไซเบอร์นั้น องค์กรอาจพิจารณาจากวิธีการทำงานของผู้ให้บริการรายนั้นๆ ที่มีการทำงานร่วมกับศูนย์วิจัยภัยคุกคามระดับโลก เพราะหมายถึงการได้รับข้อมูลด้านภัยคุกคามเชิงลึกจากศูนย์วิเคราะห์ภัยแบบเป็นเรียลไทม์อยู่ตลอดเวลา สามารถดูแล วิเคราะห์พฤติกรรมภัยคุกคามใหม่ๆ รวบรวมสถิติภัยที่เกิดขึ้น และรายงานส่งต่อข้อมูลภัยคุกคามอัพเดตไปยังอุปกรณ์ป้องกันภัย มีข้อมูลภัยคุกคามที่ทันสมัยอยู่ตลอดเวลา ทำให้สามารถตอบโต้และระงับภัยในเวลาอันสั้นลง
มาตรการท้ายสุด 5 Recover
ในมาตรการรักษาและฟื้นฟูนั้น ผู้ให้บริการระบบการรักษาความปอดภัยจะต้องสามารถให้คำปรึกษาที่เหมาะสมกับลูกค้าเฉพาะกรณีได้
ต้องปกป้องข้อมูลส่วนบุคคลเช่นกัน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่จะมีผลบังคับในปีพศ. 2563 นั้นเป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ดิจิทัลของประเทศ ซึ่งส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น จึงทำให้ภาครัฐออกนโยบายคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ
ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Security) ตั้งแต่ชื่อ ที่อยู่ อีเมล์ หมายเลขบัตรประจำตัวประชาชนและอื่นๆ รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) อาทิ ข้อมูลชีวภาพอีกด้วย
พ.ร.บ.ดังกล่าวได้ระบุถึงบทบาทและความรับผิดชอบของผู้ควบคุม (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) ไว้อย่างชัดเจนผู้ควบคุมข้อมูล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยมีหน้าที่ในการขอความยินยอม บันทึกและป้องกันไม่ให้มีการละเมิดข้อมูลส่วนบุคคลโดยมิชอบ และต้องมีมาตรการในการเก็บรักษาข้อมูลที่เหมาะสม
อาทิ การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นต้นส่วนผู้ประมวลผลข้อมูล คือ บุคคลหรือนิติบุคคล ที่ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งจัดทำบันทึก ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุุคล
ยิ่งไปกว่านั้น พ.ร.บ. ยังกล่าวถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer: DPO) ที่องค์กรจะต้องแต่งตั้งขึ้นมาอีกด้วย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้ มีหลักการเชิง ‘อนาคต’ เช่นเดียวกับ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ ซึ่งให้อำนาจ ‘สอดส่อง’ ตั้งแต่ตอนที่ยังไม่เกิดภัยคุกคาม
กล่าวคือ ผู้ควบคุมข้อมูลก็ต้องมีหน้าที่ป้องกันไว้ก่อน ซึ่งเป็นปัจจัยสำคัญในการลดปัญหาภัยคุกคามไซเบอร์ในประเทศไทยฟอร์ติเน็ตมีโซลูชั่นที่มีคุณสมบัติพร้อมเบ็ดเสร็จในอุปกรณ์ในการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลให้ปลอดภัยอันได้แก่ การป้องกันข้อมูลสูญหาย (Data Loss Protection) การควบคุมการเข้าใช้งานในเครือข่าย (Access Control) การควบคุมให้ข้อมูลถูกต้องอยู่เสมอ (Data Integrity) การปิดข้อมูลให้ปลอดภัย (Data Exposure) เป็นต้น
