เตรียมความพร้อมองค์กร สร้างมาตรฐานความน่าเชื่อถือระดับโลก รับ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ

“คำแนะนำจากผู้เชี่ยวชาญเรื่องมาตรการเฝ้าระวังทางไซเบอร์เตรียมความพร้อมองค์กรและหลักการพิจารณาโซลูชั่นระบบการรักษาความปลอดภัยช่วยองค์กรตอบข้อกำหนดของพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้”
ประเทศไทยอยู่ในขั้นตอนเร่งยกระดับระบบดิจิทัลเพื่อก้าวไปสู่การปฏิวัติอุตสาหกรรมครั้งที่ 4 พร้อมนานาชาติและดำเนินธุรกรรมภายใต้กฎระเบียบคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation: GDPR) ของสหภาพยุโรปซึ่งให้ความสำคัญในเรื่องภัยไซเบอร์และข้อมูลส่วนบุคคล ในประเทศไทยมีการประกาศใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Act: CSA) พ.ศ. 2562 ในราชกิจจานุเบกษาและมีผลบังคับใช้ในทันทีเมื่อเดือนพฤษภาคมที่ผ่านมา
และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) ซึ่งจะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม พ.ศ.2563 ส่งให้ผู้ประกอบการควรเร่งทำความเข้าใจและจัดหากระบวนการที่สอดคล้องกับข้อกำหนดใน พ.ร.บ.ทั้งสองฉบับอย่างเร่งด่วน
พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ กำหนดให้โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure : CI) อันหมายถึงบรรดาหน่วยงานหรือองค์กรที่ธุรกรรมทางอิเล็กทรอนิกส์ของตนมีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศทั้ง 8 กลุ่ม
ได้แก่ กลุ่มความมั่นคงและบริการภาครัฐที่สำคัญ, กลุ่มการเงินการธนาคาร, กลุ่มเทคโนโลยีสารสนเทศและโทรคมนาคม, กลุ่มการขนส่งและโลจิสติกส์, กลุ่มพลังงานและสาธารณูปโภค, กลุ่มสาธารณสุข จำเป็นต้องยกระดับการรักษาความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ให้มีประสิทธิภาพมากยิ่งขึ้น
ทั้งนี้ คณะกรรมการกำกับ (กกม.) ได้ประยุกต์มาตรฐานที่พึงนำมาใช้เป็นกรอบในการทำงานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standard and Technology: NIST) มาเป็นมาตรการขั้นต่ำของ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ (Cyber Security Act: CSA) ใน 5 มาตรการด้วยกัน ได้แก่
1) มาตรการในการระบุความเสี่ยง (Identify)
2) มาตรการในการป้องกันภัยคุกคาม (Protect)
3) มาตรการในการตรวจสอบและเฝ้าระวัง (Detect)
4) มาตรการในการเผชิญเหตุ ตอบโต้ภัย (Respond) และ
5) มาตรการรักษาและฟื้นฟู (Recover)
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ แห่งฟอร์ติเน็ต ได้ให้ความเห็นว่า “พ.ร.บ. ที่บังคับไปแล้วนี้ส่งผลให้หน่วยงานของรัฐหรือหน่วยงานเอกชนมีหน้าที่ในการสร้างกลไกในการป้องกันภัยไซเบอร์ที่รัดกุมมากขึ้น มิฉะนั้นจะได้รับบทลงโทษ องค์กรจึงต้องพึ่งพาเทคโนโลยีหรือหาทูลส์ใหม่ๆ ที่สามารถปฏิบัติตามข้อกำหนดของ พ.ร.บ.ได้ในทุกกรณี”
“โดยเฉพาะอย่างยิ่งในการ เฝ้าระวัง ซึ่งเป็นเม็ดเงินที่มีการลงทุนสูงเทคโนโลยีที่เหมาะสมจำเป็นต้องสามารถป้องกันภัยได้กว้าง (Broad) ครอบคลุมทุกแพลตฟอร์มและอุปกรณ์ อุปกรณ์ทั้งหมดจะต้องทำงานร่วมกันอย่างราบรื่น (Integrated) และทำงานได้อย่างอัตโนมัติ (Automation) สามารถปฏิบัติงานตามมาตรการ 5 ประการข้างต้นจากส่วนกลางได้”
ดังนั้น ผู้ดำเนินธุรกิจ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องทบทวนนโยบายและหามาตรการเพื่อเร่งปรับใช้ในองค์กร รวมถึงพิจารณาแพลตฟอร์มด้านความปลอดภัยไซเบอร์ที่มีประสิทธิภาพและสามารถตอบโจทย์มาตรการทั้ง 5 ด้านได้เป็นอย่างดีซึ่งจะต้องเป็นแพลตฟอร์มที่รวมอุปกรณ์ด้านความปลอดภัยครบครันจึงสามารถช่วยให้องค์กรเห็นภัยไซเบอร์ที่คุกคามเข้ามาได้ลึกทั่วทั้งเครือข่าย
นอกจากนี้ อุปกรณ์ทุกชิ้นต้องสามารทำงานภายใต้ความร่วมมืออีโคซิสเต็มส์ หรือความหลากหลายของระบบจากหลายๆ เทคโนโลยี อุปกรณ์ต้องสามารถทำงานเข้ากันได้อย่างราบรื่น และองค์กรต้องสามารถใช้งานอุปกรณ์ได้เต็มที่ และยิ่งไปกว่านั้น หากเทคโนโลยีที่เลือกใช้ผสานเอาความสามารถด้านการประมวลผลอัจฉริยะ หรือการเรียนรู้จากเครื่อง (แมชชีนเลิ่ร์นนิ่ง) ในโซลูชั่น ก็ยิ่งเพิ่มประสิทธิภาพได้มากขึ้น สามารถโต้ตอบและจัดการกับภัยคุกคามได้อย่างชาญฉลาดและอัตโนมัติ
ดร. รัฐิติ์พงษ์ ได้อธิบายถึงรายละเอียด หลักในการพิจารณาคุณสมบัติของโซลูชั่นด้านระบบการรักษาความปลอดภัย ตามกรอบในการทำงานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standard and Technology: NIST) ซึ่งข้อกำหนดไว้ 5 มาตรการ นั่นคือ
มาตรการที่ 1 Identify
Identify and assess users: เมื่อมีผู้ใช้งานเชื่อมต่อเข้ามาในเครือข่าย องค์กรจำเป็นต้องสามารถระบุภัยที่เข้ามาได้ ซึ่งในปัจจุบันนั้น การยืนยันตัวตนเพื่อเข้าใช้งานเพียงด้วยการรหัสผู้ใช้งาน (User name) และรหัสผ่าน (Password) ไม่เพียงพอแล้ว ดร. รัฐิติ์พงษ์แนะนำให้พิจารณาวิธีการยืนยันตัวตนของผู้ใช้และของอุปกรณ์ได้โดยการใช้อุปกรณ์ (Token) เพื่อการยืนยันผู้ใช้งานโดย 2 Factor One Time Password ซึ่งให้ความปลอดภัยกว่า
และใช้โซลูชั่นจากเวนเดอร์ที่มีความเชี่ยวชาญด้าน Network Access Control เข้ามารองรับการใช้งานไอโอที (IoT) ซึ่งจะมีอุปกรณ์มากมายทั้งขององค์กรและของส่วนตัวพนักงาน เข้ามาใช้งานในเครือข่าย โดยจะต้องสามารถตรวจสอบและบริหารอุปกรณ์ที่เชื่อมโยงเข้ามาใช้งานไม่ว่าจะเป็นแบรนด์ใดก็ตาม รวมถึงบริหารอุปกรณ์การเชื่อมโยงเครือข่ายได้
หากพบภัยแอบแฝงเข้ามา จะสามารถโต้ตอบจัดการกับภัยได้อย่างอัตโนมัติ จึงช่วยให้การปฏิบัติงานในเครือข่ายมีประสิทธิภาพสามารถควบคุมและติดตามการเข้าถึงเครือข่ายของอุปกรณ์และผู้ใช้งาน รวมถึงอุปกรณ์ไอโอทีสมัยใหม่ที่เชื่อมต่อเข้ามา
Asset and risk management: ในการระบุภัยและความเสี่ยงของเครื่องที่ใช้ในองค์กร ผู้บริหารควรเร่งพิจารณา เทคโนโลยี User and Entity Behavior Analytics (UEBA)เพื่อใช้ตรวจสอบพฤติกรรมของผู้ใช้งานในองค์กร อาทิ ผู้ใช้งานดาวน์โหลดไฟล์ไปที่ใด ท่องเว็บใด และส่งข้อมูลการใช้งานเหล่านั้นไปยังอุปกรณ์หรือระบบที่ทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย (Security Information and Event Management: SIEM) อุปกรณ์ต่างๆ หากพฤติกรรมใดมีค่าสูงกว่าค่าที่ตั้งไว้ จะส่งสัญญาณแจ้งเตือนภัยของทุกเหตุการณ์ได้ทันท่วงที
Vulnerability assessment: ในการตรวจสอบหาช่องโหว่ในอุปกรณ์คอมพิวเตอร์ เดสก์ท็อป แล็ปท็อป โมบายและเซิร์ฟเวอร์ในระบบนั้น องค์กรจำเป็นจะต้องมีผลิตภัณฑ์ที่ช่วยรักษาความปลอดภัยให้กับอุปกรณ์ปลายทางอย่างครบถ้วน ให้ทำหน้าที่สแกนตรวจสอบการติดตั้งซอฟท์แวร์ด้านความปลอดภัยที่องค์กรได้กำหนดเป็นนโยบายไว้ อาทิ ซอฟต์แวร์แอนตี้ไวรัสและไฟร์วอลล์
Risk assessment and governance: ในการปฏิบัติตามข้อกำหนดของพ.ร.บ.นั้น องค์กรจำเป็นจะต้องเก็บข้อมูลการใช้งาน (Log) ทางคอมพิวเตอร์ของผู้ใช้งาน อาทิ เว็บที่ท่องไป ซึ่งคำแนะนำคือ องค์กรต้องไม่เพียงแค่พิจารณาเลือกระบบโซลูชั่นที่สามารถปฏิบัติตามข้อกำหนดในการเก็บ Log เท่านั้น
หากมีอุปกรณ์ประเภทไหนที่สามารถทำหน้าที่เป็นซีเคียวริตี้เกตเวย์ช่วยป้องกันภัยคุกคามได้ด้วยก็ยิ่งดีรวมถึงกับอุปกรณ์ที่ทำหน้าที่วิเคราะห์ จัดเก็บข้อมูล ทำรายงาน และอุปกรณ์ที่จะช่วยบริหารจัดการองค์ประกอบของระบบรักษาความปลอดภัยทั้งหมดได้จากศูนย์กลาง จะส่งผลดีต่อการบริหารงานของฝ่ายไอทีให้ง่ายและมีประสิทธิภาพมากขึ้น
มาตรการที่ 2 Protect
ในการป้องกันภัยภายในเครือข่ายขององค์กรนั้น เริ่มต้นที่จุดเชื่อมต่อกับเครือข่ายภายนอก ดร.รัฐิติ์พงษ์เสนอให้ใช้อุปกรณ์ไฟร์วอลล์รุ่นที่ทันสมัย มีประสิทธิภาพสูง ทำหน้าที่เป็นซีเคียวริตี้เกตเวย์ หากเป็นไปได้ต้องไม่ลืมอุปกรณ์ที่สามารถป้องกันภัยที่มุ่งทำให้เครือข่ายและบริการขององค์กรหยุดชะงักลง (Distribute Denial of Service หรือ DDoS)
ถัดจากการป้องกันภัยที่ขอบเครือข่ายแล้วแนะนำให้ติดตั้งอุปกรณ์รักษาความปลอดภัยบนระบบอีเมล์ ในการสกัดภัยคุกคามและปัญหาอีเมล์ อีกทั้งระบบในการป้องกันการรักษาความปลอดภัยให้กับเว็บแอพพลิเคชั่น
นอกจากนี้ ในหลายองค์กรที่มีความอ่อนไหวของข้อมูลสูง อาจต้องมองหา ระบบรักษาความปลอดภัยชั้นสูง ที่ช่วยตรวจดักจับภัยคุกคามในรูปแบบใหม่ๆ ที่เรียกกันว่า Zero-day ก่อนที่จะแพร่กระจายคุกคามในเครือข่าย รวมถึงพฤติกรรมที่ผิดปกติในระบบ
ในการป้องกันเครือข่ายบนคลาวด์นั้น องค์กรจำเป็นต้องเร่งศึกษาฟังก์ชั่นและคุณสมบัติของผู้ให้บริการระบบความปลอดภัยสำหรับการใช้งานบนคลาวด์ที่ต้องมีความสามารถรอบด้าน ครบถ้วน อาทิ ได้แก่ การตรวจจับภัยคุกคามขั้นสูงบนคลาวด์, การเฝ้าระวังและติดตามการใช้แอพพลิเคชั่นบนคลาวด์ด้วยเทคโนโลยี Cloud Access Security Broker (CASB) รวมถึงการพิจารณา บริการความปลอดภัยเมื่อต้องการใช้งานผู้ให้บริการคลาวด์ประเภท Infrastructure as a Service (IaaS) รวมถึง AWS, Microsoft Azure, Oracle Cloud Infrastructure และ Alibaba Cloud อีกด้วย
มาตรการที่ 3 Detect
ระบบการรักษาความปลอดภัยจะต้องมีศักยภาพในการตรวจสอบความผิดปกติและอีเวนท์ต่างๆมีกลไกในการสังเกตเฝ้าระวังอย่างอัตโนมัติและต่อเนื่อง และใช้ซิคเนเจอร์ในการตรวจภัยที่เกิดขึ้นมาแล้วอย่างแข็งแกร่ง
ทั้งนี้ เพื่อตรวจพบภัยที่ไม่เคยเกิดขึ้นมาก่อนนั้นองค์กรอาจจะต้องมีโซลูชั่นที่สามารถจำลองสานการณ์การโจมตีมีประสิทธิภาพ ซึ่งเป็นการสร้างเป้าหมายปลอมเพื่อล่อให้แฮ็กเกอร์เข้ามาโจมตีแทนระบบสำคัญขององค์กร
รวมไปถึงช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสามารถเก็บรวบรวมข้อมูลและศึกษาวิธีการโจมตีจากเป้าหมายจำลองนั้นๆ ได้แบบเรียลไทม์ เพื่อให้สามารถหาวิธีรับมือและวางมาตรการควบคุมได้อย่างมีประสิทธิภาพมากยิ่งขึ้น ซึ่งทำงานพร้อมกับอุปกรณ์ Sandbox ที่ทำหน้าที่ทดสอบข้อมูลหรือไฟล์ต้องสงสัย เพื่อตรวจดูพฤติกรรมที่ผิดปกติได้
มาตรการที่ 4 Respond
หากเกิดภัยคุกคามขึ้นแล้วนั้น การตอบโต้กับสถานการณ์โดนภัยคุกคามจะรวมถึง การสื่อสารรายงานกับหน่วยงานที่เกี่ยวข้อง การวิเคราะห์สถานการณ์ การระงับภัย การพัฒนาสถานการณ์ที่เกิด
ในการตอบโต้กับภัยที่เกิดขึ้นที่ผู้ใช้งาน (Endpoint Detection Response) องค์กรจำเป็นต้องมีอุปกรณ์ตรวจจับปลายทางเพื่อระงับการใช้งาน เช่น ระงับมิให้ผู้ใช้งานเปิดไฟล์อันตราย และใช้อุปกรณ์ประเภท Network Access Control ในการแยกผู้ใช้งานและกักกันเครื่องที่มีภัยคุกคามออกไปได้
และในการตอบโต้กับภัยนั้น ดร.รัฐิติ์พงษ์เสนอให้ใช้ระบบที่ทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย (Security Information and Event Management: SIEM) และอุปกรณ์วิเคราะห์อื่นๆ ในการตรวจสอบ Log และจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย ช่วยให้เกิดการตอบสนองแบบอัตโนมัติ แจ้งเตือนทุกเหตุการณ์ได้ทันท่วงที
ปัจจุบัน มีเทคโนโลยีใหม่ที่ผู้ให้บริการระบบการรักษาความปลอดภัยได้พัฒนาขึ้น คือเทคโนโลยี Security-Defined Network ที่ช่วยให้อุปกรณ์ด้านความปลอดภัยสามารถทำงานร่วมกับอุปกรณ์ด้านเครือข่ายอื่นๆ ขององค์กรได้ อาทิ ไฟร์วอลล์ สามารถส่งข้อมูลภัยที่พบนั้นไปยังอุปกรณ์สวิตช์และอุปกรณ์แอคเซสพอยต์ไร้สายได้ จึงทำให้เครือข่ายมีความปลอดภัยที่สมบูรณ์ทั่วทั้งเครือข่าย
หัวใจสำคัญในการสร้างกลไกด้านความปลอดภัยไซเบอร์นั้น องค์กรอาจพิจารณาจากวิธีการทำงานของผู้ให้บริการรายนั้นๆ ที่มีการทำงานร่วมกับศูนย์วิจัยภัยคุกคามระดับโลก เพราะหมายถึงการได้รับข้อมูลด้านภัยคุกคามเชิงลึกจากศูนย์วิเคราะห์ภัยแบบเป็นเรียลไทม์อยู่ตลอดเวลา สามารถดูแล วิเคราะห์พฤติกรรมภัยคุกคามใหม่ๆ รวบรวมสถิติภัยที่เกิดขึ้น และรายงานส่งต่อข้อมูลภัยคุกคามอัพเดตไปยังอุปกรณ์ป้องกันภัย มีข้อมูลภัยคุกคามที่ทันสมัยอยู่ตลอดเวลา ทำให้สามารถตอบโต้และระงับภัยในเวลาอันสั้นลง
มาตรการท้ายสุด 5 Recover
ในมาตรการรักษาและฟื้นฟูนั้น ผู้ให้บริการระบบการรักษาความปอดภัยจะต้องสามารถให้คำปรึกษาที่เหมาะสมกับลูกค้าเฉพาะกรณีได้
ต้องปกป้องข้อมูลส่วนบุคคลเช่นกัน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่จะมีผลบังคับในปีพศ. 2563 นั้นเป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ดิจิทัลของประเทศ ซึ่งส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น จึงทำให้ภาครัฐออกนโยบายคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ
ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Security) ตั้งแต่ชื่อ ที่อยู่ อีเมล์ หมายเลขบัตรประจำตัวประชาชนและอื่นๆ รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) อาทิ ข้อมูลชีวภาพอีกด้วย
พ.ร.บ.ดังกล่าวได้ระบุถึงบทบาทและความรับผิดชอบของผู้ควบคุม (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) ไว้อย่างชัดเจนผู้ควบคุมข้อมูล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยมีหน้าที่ในการขอความยินยอม บันทึกและป้องกันไม่ให้มีการละเมิดข้อมูลส่วนบุคคลโดยมิชอบ และต้องมีมาตรการในการเก็บรักษาข้อมูลที่เหมาะสม
อาทิ การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นต้นส่วนผู้ประมวลผลข้อมูล คือ บุคคลหรือนิติบุคคล ที่ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งจัดทำบันทึก ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุุคล
ยิ่งไปกว่านั้น พ.ร.บ. ยังกล่าวถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer: DPO) ที่องค์กรจะต้องแต่งตั้งขึ้นมาอีกด้วย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้ มีหลักการเชิง ‘อนาคต’ เช่นเดียวกับ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ฯ ซึ่งให้อำนาจ ‘สอดส่อง’ ตั้งแต่ตอนที่ยังไม่เกิดภัยคุกคาม
กล่าวคือ ผู้ควบคุมข้อมูลก็ต้องมีหน้าที่ป้องกันไว้ก่อน ซึ่งเป็นปัจจัยสำคัญในการลดปัญหาภัยคุกคามไซเบอร์ในประเทศไทยฟอร์ติเน็ตมีโซลูชั่นที่มีคุณสมบัติพร้อมเบ็ดเสร็จในอุปกรณ์ในการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลให้ปลอดภัยอันได้แก่ การป้องกันข้อมูลสูญหาย (Data Loss Protection) การควบคุมการเข้าใช้งานในเครือข่าย (Access Control) การควบคุมให้ข้อมูลถูกต้องอยู่เสมอ (Data Integrity) การปิดข้อมูลให้ปลอดภัย (Data Exposure) เป็นต้น