“ปริญญา หอมเอนก” เผย 3 ใน 10 แนวโน้มความมั่นคงปลอดภัยทางไซเบอร์ที่จะมีอิมแพคแรงต่อเนื่อง 3 ปี 2022-2024 ระบุภารกิจท้าทายที่ประเทศไทยต้องทำเพื่อลดความเลื่อมล้ำทางดิจิทัลคือการหาเจ้าภาพตัวจริงที่มีงบประมาณ ซึ่งจะรับมือความจำเป็นเร่งด่วนในการฉีดวัคซีนไซเบอร์ให้กับประชาชนในระยะยาว เตือนบริษัทไทยหลายแห่งอาจอ่วมผลกระทบจากกฎ CMMC ของรัฐบาลสหรัฐที่กำหนดให้ทุกบริษัทที่จะให้บริการกับกระทรวงกลาโหม ต้องผ่านมาตรฐานก่อนเข้าประมูลงาน เชื่อคนไทยในภาพรวมจะต้องเผชิญความท้าทายในการหาสถาปัตยกรรมที่มั่นคงปลอดภัยในยุค WFH
นายปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เปิดเผย 3 แนวโน้มความมั่นคงปลอดภัยทางไซเบอร์ ปี 2022-2024 ก่อนจะนำไปขยายความเพิ่มในงานสัมมนา CDIC 2021 ระหว่างวันที่ 23-25 พย. ในรูปแบบออนไลน์ว่าประกอบด้วย 1. ความเหลื่อมล้ำทางดิจิทัลและความจำเป็นเร่งด่วนในการฉีดวัคซีนไซเบอร์ให้กับประชาชน (Digital Inequality and Cyber Vaccination) 2. การโจมตีทางไซเบอร์ในระบบห่วงโซ่อุปทานและการรับรองมาตรฐานระดับวุฒิภาวะทางไซเบอร์ (Supply Chain Cyber Attacks and CMMC) 3. ความท้าทายจากพฤติกรรมการทำงานที่เปลี่ยนไปและสถาปัตยกรรมความมั่นคงปลอดภัยที่เหมาะสมกับโลกยุค Post-COVID (Remote Working Challenge and Zero Trust) ทั้ง 3 ประเด็นแนวโน้มได้เริ่มปรากฏขึ้นบ้างแล้ว และเชื่อว่าจะมีผลกระทบมากขึ้นต่อเนื่อง
“ความท้าทายที่สุดเรื่องการฉีควัคซีนไซเบอร์ให้คนไทย คือการไม่มีเจ้าภาพ ไม่มีคนรับผิดชอบโดยตรง และไม่มีงบประมาณ ส่วนตัวผมคิดว่าเป็นเรื่องเร่งด่วนที่ไทยควรมีหน่วยงานให้ความรู้ดิจิทัลกับประชาชนอย่างจริงจังภายในไตรมาส 1 ปี 2022 ซึ่งจะลดโอกาสที่ประชาชนจะได้รับความเสียหายจากการโจมตีไซเบอร์”
ปริญญาเชื่อว่า 1 ใน 3 เทรนด์แรงที่จะมีผลต่อวงการไซเบอร์ซีเคียวริตี้ไทย คือความเหลื่อมล้ำทางดิจิทัลและความจำเป็นเร่งด่วนในการฉีดวัคซีนไซเบอร์ให้กับประชาชน โดยอธิบายว่าการแพร่ระบาดของโรคโควิด-19 กลายเป็นปัจจัยสำคัญในการเร่งปฏิกิริยา digital transformation ขององค์กรและเนื่องจากมนุษย์จำเป็นต้องพึ่งพาระบบสารสนเทศ ในการทำงานแบบ work from home ทำให้เปิดช่องโหว่ในการโจมตีของแฮ็คเกอร์มากขึ้น และที่สำคัญเทคโนโลยีเพียงอย่างเดียวไม่สามารถแก้ไขปัญหาได้เพราะปัญหาทางไซเบอร์ไม่อาจแก้ได้โดยทางเทคนิคอย่างเดียว แต่ต้องอาศัยกระบวนการที่ดีและการให้ความรู้ประชาชนด้วย (process and people, not only technology) เรื่อง digital literacy หรือ cyber literacy จึงเป็นเรื่องสำคัญเร่งด่วนในระดับโลกที่ทุกประเทศจำเป็นต้องวางแผนกลยุทธ์เพื่อให้คนในชาติเกิดความรู้ความเข้าใจและความตระหนักในเรื่องความมั่นคงปลอดภัยไซเบอร์ในระดับประชาชน และในระดับองค์กร ฝ่ายรักษาความมั่นคงปลอดภัยในขณะที่ต้องป้องกันการโจมตีของแฮกเกอร์ก็ต้องช่วยให้ธุรกิจธุรกรรมขององค์กรสามารถดำเนินต่อได้อย่างต่อเนื่องไม่ติดขัดอีกด้วย
ดังนั้น การแก้ปัญหาความเหลื่อมล้ำทางดิจิทัลเป็นเรื่องสำคัญที่จำเป็นเร่งด่วนในการให้ความรู้ประชาชนไม่ให้ตกเป็นเหยื่อการหลอกลวงต่างๆ ที่แฝงเข้ามาทางไซเบอร์ไม่ว่าจะมาทางเอสเอ็มเอสหรือโซเชียลมีเดียในรูปแบบต่างๆ ที่ประชาชนหลงเชื่อทำให้สูญเสียข้อมูลส่วนบุคคลนำไปสู่การเสียทรัพย์สินและเสียชื่อเสียงในที่สุด ดังนั้นการฉีดวัคซีนทางไซเบอร์ให้กับประชาชนจึงเป็นความจำเป็นของรัฐบาลทุกประเทศต้องมีหน่วยงานรับผิดชอบและมีระบบการให้ความรู้ความเข้าใจเรื่องภัยไซเบอร์กับประชาชนอย่างต่อเนื่องตลอดจนการฝึกเตรียมความพร้อมรับภัยไซเบอร์ (cyber drill/cyber attack simulation) เพื่อให้ประชาชนเกิดความคุ้นชินกับภัยไซเบอร์และสามารถเผชิญเหตุเมื่อมีเหตุการณ์ไม่พึงประสงค์ได้ด้วยตนเองและมีความรู้เท่าทันในการใช้สมาร์ทโฟนและอุปกรณ์คอมพิวเตอร์ต่างๆได้อย่างมั่นคงปลอดภัย
เทรนด์ที่ 2 คือการโจมตีทางไซเบอร์ในระบบห่วงโซ่อุปทานและการรับรองมาตรฐานระดับวุฒิภาวะทางไซเบอร์ ปริญญาชี้ว่าในปัจจุบันจากงานวิจัยทั่วโลกพบว่าการโจมตีทางไซเบอร์มีสาเหตุมาจาก การที่องค์กรทั้งภาครัฐและเอกชนมีการต่อเชื่อมกับหน่วยงานที่อยู่ในห่วงโซ่อุปทาน (supply chain) โดยที่หน่วยงานเหล่านั้นมีช่องโหว่ด้านความมั่นคงปลอดภัยทางไซเบอร์ทำให้องค์กรที่ต่อเชื่อมเกิดปัญหาด้านความมั่นคงปลอดภัยอย่างคาดไม่ถึง ดังนั้นจึงมีความจำเป็นที่จะต้องมีมาตรฐานหรือการรับรองความมั่นคงปลอดภัย ในระบบห่วงโซ่อุปทาน
“ปัจจุบันประเทศสหรัฐอเมริกาได้ออกกฎระเบียบสำหรับบริษัทที่จะให้บริการกับกระทรวงกลาโหม ต้องผ่านมาตรฐานที่เรียกว่า CMMC ย่อมาจาก Cybersecurity Maturity Model Certification ทำให้บริษัทต่างๆ ที่ต้องเข้าประมูลงานกับกระทรวงกลาโหมจำเป็นต้องพัฒนาเรื่องศักยภาพในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของตนและบริษัทที่อยู่ในห่วงโซ่อุปทานทั้งหมดซึ่งอาจมีผลกระทบมาถึงบริษัทในประเทศไทยอีกด้วย“
มาตรฐานดังกล่าวได้กำหนดไว้ในเอกสาร NIST SP800-171. โดยเน้นไปที่ระดับวุฒิภาวะห้าระดับของกระบวนการ (processes) และการปฏิบัติ (practices) โดยบริษัทที่จะเข้ามาเป็นคู่สัญญา หรือ contractor ของกระทรวงกลาโหมจำเป็นต้องปฏิบัติตามมาตรฐานดังกล่าวซึ่งขณะนี้มีผลกระทบกับบริษัทกว่า 600,000 บริษัททั่วโลก เนื่องจากในระบบห่วงโซ่อุปทานไม่ได้มีเฉพาะบริษัทในสหรัฐอเมริกาเท่านั้นที่มีผลกระทบเรื่องนี้แต่เกิดผลกระทบกับบริษัททั้งโลกรวมทั้งบริษัทในประเทศไทยด้วย ดังนั้นเรื่อง CMMC จึงเป็นเรื่องที่ผู้ประกอบการในประเทศไทยควรรับรู้และเตรียมความพร้อมเพื่อพัฒนาศักยภาพในการป้องกันความมั่นคงปลอดภัยให้ได้มาตรฐานโลกเช่นกัน
เทรนด์ที่ 3 คือความท้าทายจากพฤติกรรมการทำงานที่เปลี่ยนไปและสถาปัตยกรรมความมั่นคงปลอดภัยที่เหมาะสมกับโลกยุค Post-COVID เนื่องจากการทำงานแบบ Work From Home จะอยู่ไปอีกนาน เพราะการแพร่ระบาดของโควิด-19 ยังคงไม่จบลงง่ายๆ และผู้คนเริ่มมีความคุ้นชินกับการประชุมออนไลน์ การทำงานแบบรีโมทจากบ้าน หรือจากร้านกาแฟ ทำให้ระบบความมั่นคงปลอดภัยขององค์กรจำเป็นต้องมีการปรับเปลี่ยนให้ทันยุคทันสมัยและรองรับการโจมตีทางไซเบอร์เนื่องจากลักษณะการทำงานดังกล่าว
สถาปัตยกรรมของระบบการป้องกันภัยทางไซเบอร์จำเป็นต้องมีการเปลี่ยนแปลงเช่นกัน ในปัจจุบันโลกกำลังพูดถึง “Zero Trust Architecture “ เป็นสถาปัตยกรรมที่ใช้แนวคิดในการกำจัดความเชื่อใจออกไปจากสถาปัตยกรรมเครือข่ายขององค์กรแบบเดิม โดยเราจะเชื่อใจอุปกรณ์ต่างๆ ในรูปแบบเดิมไม่ได้ อีกต่อไป จำเป็นต้องมีการตรวจสอบอุปกรณ์เป็นระยะๆ อย่างต่อเนื่อง เพราะภัยไซเบอร์ในปัจจุบันและอนาคตมีการพัฒนาของแฮ็คเกอร์ในรูปแบบใหม่ๆ อยู่ตลอดเวลา เนื่องจากมีการใช้งานคลาวด์คอมพิวติ้งในแทบทุกองค์กร พนักงานสามารถทำงานจากที่ใดก็ได้ ด้วยอุปกรณ์ใดก็ได้ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง
ดังนั้นฝ่ายรักษาความมั่นคงปลอดภัยมีความจำเป็นต้อง “balance” ระหว่างเรื่องการป้องกันความมั่นคงปลอดภัยขององค์กร และเรื่องการดำเนินธุรกิจอย่างต่อเนื่องให้มีจุดสมดุลย์ไม่ติดขัดและสร้างคุณค่าให้กับธุรกิจ โดยระบบมีความจำเป็นในการตรวจจับพฤติกรรมที่มีความเสี่ยงและผิดปกติอย่างต่อเนื่อง และพร้อมที่จะยกระดับความเชื่อใจหากถูกคุกคามทางไซเบอร์ได้อย่างทันท่วงที โดยอ้างอิงเรื่อง Zero Trust Architecture ได้จากเอกสารมาตรฐาน NIST SP800-207
ทั้ง 3 แนวโน้มความมั่นคงปลอดภัยทางไซเบอร์ ปี 2022-2024 นี้เป็นส่วนหนึ่งที่บริษัทเอซิสจะเปิดเผยในงาน CDIC 2021 งานสัมมนาด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศจัดโดยเอซิสฯ ระหว่างวันที่ 23-25 พฤศจิกายนนี้ในรูปแบบ Virtual Event ภายใต้แนวคิด “Entrusting Digital Provenance, Digital Identity and Privacy Tech” ยุคของความเชื่อมั่นบนโลกดิจิทัลกับเทคโนโลยีพิสูจน์ความถูกต้อง ความน่าเชื่อถือของข้อมูล อัตลักษณ์และความเป็นส่วนตัว งานครั้งนี้ถุกจัดขึ้นครบรอบ 20 ปี ภายในงานมีสาระเรื่องข้อมูลส่วนบุคคลที่สอดคล้องร้อยเรียงกันทำให้เกิดความเข้าใจ รู้แนวปฏิบัติ และสามารถนำไปปรับใช้ หรือปรับให้เป็นแนวทางต่อการวางแผนให้แก่องค์กรหรือหน่วยงาน ในแต่ละหัวข้อจะถ่ายทอดความรู้และประสบการณ์ตรงจากผู้เชี่ยวชาญระดับชั้นนำของประเทศและภูมิภาค พร้อมการ Live Show ซึ่งเป็นเสน่ห์ของงานทุกๆ ปี โดยปีนี้จัด 4 หัวข้อ ได้แก่ 1. เมื่อช่องโหว่ของ Printer อาจทำให้คุณนอนไม่หลับ 2. ZERO Logon ภัยเงียบที่สามารถยึดระบบได้ทั้งองค์กร 3. สาธิตเทคนิคการโจมตีบนโครงสร้างพื้นฐานที่ใช้คอนเทนเนอร์ และ 4. ก้าวข้ามกลไกของการตรวจจับใบหน้าผ่าน USB camera โดยไม่ต้องใช้ใบหน้า.
