สกมช.ประเดิม 10 องค์กรปั้น MISP แหล่งข่าวกรองไซเบอร์ของไทย

สกมช. ประเดิมเฟสแรกนำร่อง 10 หน่วยงานไทยร่วมปั้นแพลตฟอร์มแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์ MISP การันตีเป็นแหล่งข่าวกรองที่น่าเชื่อถือระดับประเทศ ระบุเฟสถัดไปอยากให้ทุกองค์กรเข้าร่วมเพื่อขยายต่อให้ครอบคลุมทั้งชาติ ยืนยันเข้าร่วมไม่ต้องมีงบ แต่ต้องเตรียมคนที่เข้าใจ เพื่อให้เกิดการป้องกันเชิงรุกอย่างแท้จริง

พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความปลอดภัยไซเบอร์แห่งชาติ กล่าวถึง "โครงการพัฒนาแพลตฟอร์มการแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์" หรือ MISP ซึ่งมี 10 หน่วยงาน
เข้าร่วมโครงการแล้วว่าเป็นการร่วมมือที่ประสบความสำเร็จในฐานะจุดเริ่มต้น โดยจำเป็นต้องขยายต่อเนื่องจากปัญหาภัยไซเบอร์ในประเทศไทยมักเป็นการป้องกันหลังเกิดเหตุการณ์ แต่โครงการนี้จะเปลี่ยนให้องค์กรไทยสามารถป้องกันเชิงรุก และได้รับรู้ก่อนว่าเกิดภัยอะไร เพื่อจะได้เฝ้าระวังล่วงหน้าก่อนที่ภัยจะเกิด เบื้องต้นยังไม่เปิดเผยแผนการขยายจำนวนองค์กรที่เข้าร่วมในเฟสถัดไป จากที่มีอยู่ 10 องค์กรในเฟสแรก

"เฟสถัดไปเราอยากให้ทุกคนเข้าร่วม การเข้าร่วมนั้นองค์กรต้องมีสิ่งที่เตรียมไว้ก่อนด้วย ทุกองค์กรสามารถแจ้งเพื่อให้เจ้าหน้าที่โครงการติดต่อไป เราจะพยายามดำเนินการจากสิ่งที่มีอยู่ให้เกิดประโยชน์มากที่สุด ฝั่งคนมาร่วมไม่ต้องมีงบประมาณ แต่จะต้องเตรียมบุคลากร องค์กรนั้นต้องมีคนที่เข้าใจ เพราะถ้าจะให้เกิดการป้องกันแบบเชิงรุกในภาพรวม เราต้องมีคนที่เข้าใจในภาพรวมจริงๆ"


สำหรับเฟสแรก 10 หน่วยงานที่เข้าร่วมโครงการพัฒนาแพลตฟอร์มการแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์ ได้แก่ กระทรวงสาธารณสุข (HealthCIRT) กระทรวงคมนาคม (MOT-CERT) กระทรวงพลังงาน (EnergyCERT) ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์
ด้านโทรคมนาคม (TTC-CERT) สำนักข่าวกรองแห่งชาติ ศูนย์ประสานงานความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) และสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (GovCERT) กองบัญชาการกองทัพไทย การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย และการไฟฟ้าส่วนภูมิภาค ทั้งหมดเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 7 ภาค ซึ่งทั้ง 10 หน่วยงานมีการเชื่อมต่อระบบกันแบบอัตโนมัติ
เพื่อแลกเปลี่ยนข้อมูล ให้สามารถเชื่อมโยงข้อมูลภัยคุกคามทางไซเบอร์เชิงเทคนิคต่างๆ

การเชื่อมต่อระบบนี้ถือเป็นการขยายผลจากการที่ สกมช. ได้พัฒนาแพลตฟอร์มการรับและแบ่งปันข้อมูลภัยคุกคามทางไซเบอร์ของ ThaiCERT โดยมีศูนย์ประสานงานความมั่นคงปลอดภัยไซเบอร์ภาคการธนาคาร หรือ TB-CERT เป็นที่ปรึกษาดำเนินโครงการ โดยข้อมูลภัยคุกคามทางไซเบอร์เชิงเทคนิคที่ถูกเชื่อมโยงและบอกต่อในแพลตฟอร์มนี้มักประกอบด้วยตัวบ่งชี้ที่ระบุถึงกลุ่ม Hacker ต่างๆ ที่คาดว่า หรือน่าจะมีการโจมตีในประเทศไทย เป็นต้น เพื่อเป็นการแชร์ข้อมูลระหว่างกันแบบเชิงรุก ที่เรียกว่า Proactive Protection ซึ่งมีแผนจะขยายต่อให้ครอบคลุมทั้งประเทศ


พล.อ.ต.อมร ย้ำว่า 10 หน่วยงานที่มาร่วมในวันนี้ยังไม่ครอบคลุมทั้งประเทศ เป้าหมายของ สกมช. จึงเป็นการชักชวนให้หน่วยงานที่ยังไม่เข้าร่วม ให้มาร่วมโครงการด้วย โดยแนวคิดการออกแบบแพลตฟอร์มนี้ได้มุ่งเน้นให้รองรับการขยายการเชื่อมต่อในอนาคต (Scalable) และการควบคุมและคัดกรอง (Filtering) ข้อมูลภัยคุกคามทางไซเบอร์ รวมถึงกลไกการแลกเปลี่ยนข้อมูลที่จะสร้างให้เกิดความเชื่อมั่น (Trust) ในการแลกเปลี่ยนข้อมูลระหว่าง สกมช. และหน่วยงานอื่นๆ ซึ่งจะนำหลักสากลที่เรียกว่า Traffic Light Protocol มาควบคุมการแลกเปลี่ยนข้อมูลระหว่างกัน

"MISP เป็นฟรีแวร์ แต่จะมีบริการสมัครสมาชิก ให้สามารถเลือกบริการอัจฉริยะที่คัดมาแล้ว เพื่อให้สมาชิกสามารถนำไปตั้งค่าในระบบของตัวเองได้ต่อไป" เลขาธิการ สกมช. กล่าว "ตอนนี้เราพร้อมแล้วในการเชิญหน่วยงานอื่นของประเทศให้มาเข้าร่วมและใช้ประโยชน์ของโครงการนี้ร่วมกัน"

4 ประโยชน์ที่หน่วยงานจะได้รับจาก MISP ประกอบด้วย ความสามารถนำข้อมูลภัยคุกคามไปป้องกันเชิงรุก (Proactive protection) ได้ทั้งในรูปแบบอัตโนมัติ (Automation) หรือจัดทำเป็นรายการไฟล์เสี่ยงหรือ Watch List เพื่อเฝ้าระวังเป็นพิเศษ

นอกจากนี้ คือการแจ้งเตือนล่วงหน้า (Proactive alert) ให้องค์กรได้ทราบภัยคุกคามที่มีแนวโน้มจะเกิดขึ้นในประเทศไทย เพื่อจะได้มีแนวทางในการรับมือต่อภัยคุกคามเหล่านั้นได้ ในอีกด้านผู้เข้าร่วมแพลตฟอร์มจะสามารถแลกเปลี่ยนข้อมูลภัยคุกคามกับหน่วยงาน รวบรวม วิเคราะห์ความสัมพันธ์เหตุการณ์ (Threat correlation) และสืบค้นข้อมูลภัยคุกคามจากระบบได้ ซึ่งจะผลักดันให้ระบบนี้เป็นแหล่งข่าวกรองไซเบอร์ที่มีความน่าเชื่อถือ (High confident level) ของประเทศ

แพลตฟอร์ม MISP เชื่อว่าจะเป็นทางออกของหลายกรณีที่แอนติไวรัสไม่แจ้งเตือนอะไร ขณะที่ผู้ดูแลระบบไม่สามารถดำเนินการใดๆ ได้เพราะไม่ทราบว่าจะไปหาข้อมูลการโจมตีจากที่ไหน แต่จากนี้จะสามารถป้อนเข้าระบบ MISP แล้วรอดูว่าสมาชิกจะเห็นหรือรู้จักหรือไม่ ทั้งหมดนี้ องค์กรที่เคยเป็นเหยื่อถูกโจมตีและเข้าร่วมโครงการจะไม่จำเป็นต้องเปิดเผยชื่อหน่วยงานหรือชื่อเซิร์ฟเวอร์ ซึ่งสามารถการันตีได้ว่าข้อมูลความลับจะไม่รั่วไหล และเป้าหมายของแพลตฟอร์มคืออยากให้สมาชิกรู้ว่าการโจมตีทำได้อย่างไร เป็นการแชร์ให้เป็นประโยชน์ เพื่อไม่ให้เกิดซ้ำอีก


ปัจจุบัน สกมช. พบเห็นการโจมตีเว็บไซต์ภาครัฐจำนวนมาก และสิ่งที่น่ากังวลหรืออาจเกิดผลกระทบรุนแรงคือแรนซัมแวร์ที่อาจมีการข่มขู่ซ้ำซ้อน ในอีกด้าน องค์กรอาจไม่ถูกเรียกค่าไถ่อย่างเดียวอีกต่อไป แต่อาจลักลอบนำข้อมูลไปวางแผนเพื่อเจรจาต่อรอง ซึ่งมีโอกาสเสี่ยงทำให้ไทยเสียเปรียบในเวทีต่อรองระหว่างประเทศด้วย

ในส่วนหน่วยงานไทย ยังมีประเด็นบุคลากรเป็นความท้าทายโดยตรง เนื่องจากหลังจากเข้าใจภัยคุกคามแล้ว บุคลากรจะต้องใช้รูปแบบและวิธีการหลายอย่างในการดำเนินการ เช่น ต้องไปตั้งค่าและปรับใช้อุปกรณ์อย่างถูกต้อง หรือการกำหนดค่าในอุปกรณ์ไฟล์วอลล์ให้จับไฟล์เสี่ยงภัยได้ ซึ่ง สกมช. ย้ำว่าจะช่วยสนับสนุนและบอกสอนให้มีการใช้งานอย่างเกิดประโยชน์สูงสุด

ที่สุดแล้ว การจัดตั้งโครงการนี้เป็นการสร้างกลไกการป้องกันเชิงรุกทางไซเบอร์ โดยการแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์ที่น่าเชื่อถือ เหมาะสมกับประเทศไทย และยกระดับความมั่นคงปลอดภัยไซเบอร์ของประเทศ สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 มาตรา 22 (4) (6) (10) และมาตรา 50