พาโล อัลโต้ เน็ตเวิร์กส์ ควง สกมช. เผยผลประเมินคลาวด์หน่วยงานรัฐ "ไม่แย่"

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) จับมือบริษัท พาโล อัลโต้ เน็ตเวิร์กส์ (Palo Alto Networks) เผยผลการดำเนินโครงการประเมินความมั่นคงปลอดภัยระบบคลาวด์ (Cloud Security Posture Assessment หรือ Cloud SPA) ใน 13 หน่วยงานรัฐ ชี้คะแนน"ไม่แย่"แต่ต้องเดินแผนโร้ดแม็ป 3 ระยะยกระดับนโยบาย Cloud First ขีดเส้นเตรียมบังคับใช้มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ในกันยายน 2569

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่าการร่วมมือกับพาโล อัลโต้ เน็ตเวิร์กส์ ประเมินสถานะความปลอดภัยบนคลาวด์ของหน่วยงานภาครัฐ 13 แห่งนี้มีเป้าหมายเพื่อยกระดับความปลอดภัยให้กับระบบคลาวด์ของหน่วยงานภาครัฐในประเทศไทย ก่อนที่มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ จะเริ่มมีผลบังคับใช้ในช่วง 7 เดือนข้างหน้า ซึ่งหน่วยงานภาครัฐและโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ต้องเตรียมตัวภายในปลายปี 69

"การประเมินนี้สอดรับกับนโยบาย Cloud First Policy ของภาครัฐที่ต้องการก้าวสู่ Data Economy และรองรับ Net Zero และเพื่อล้างความเข้าใจผิด ที่เชื่อว่าเมื่อนำข้อมูลขึ้นคลาวด์แล้วผู้ให้บริการจะดูแลให้ปลอดภัยโดยอัตโนมัติ"


การประเมินนี้ยังช่วยแก้ไขปัญหา 70% องค์กรในไทยที่มีการตั้งค่าระบบคลาวด์ผิดพลาด ซึ่งเสี่ยงต่อการถูกเจาะข้อมูล และช่วยรับมือกับภัยคุกคามทางไซเบอร์รูปแบบใหม่ ที่แฮกเกอร์เริ่มนำ AI มาใช้สร้างเครื่องมือโจมตี เช่น SQL Map Skynet และความเสี่ยงจาก Agentic AI ที่อาจสร้างความเสียหายได้รวดเร็วขึ้น

***ประเมินเจาะลึก

ผลการประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง พบว่า หน่วยงานภาครัฐมีระดับความพร้อมที่แตกต่างกัน โดยในด้านการวางแผนเชิงกลยุทธ์หน่วยงานภาครัฐทั้ง 13 แห่งสามารถทำได้ดี มีคะแนนเฉลี่ยที่ประมาณ 84% ในหัวข้อกลยุทธ์คลาวด์ (Cloud Strategy) และ 82% ในศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operations) ขณะที่ Cloud Security Posture บนไพรเวทคลาวด์เป็นอีกหนึ่งหัวข้อที่ทำคะแนนอยู่ในระดับสูง คือ 77%

ดร.ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่าผลการประเมินคลาวด์หน่วยงานภาครัฐของไทยได้คะแนน Benchmark สูงกว่าหลายประเทศในภูมิภาคนี้ โดยผู้บริหารระดับสูงทั้งอธิบดี, CIO และ CISO ต่างให้ความสำคัญอย่างมาก ลงมาติดตามผลและแก้ไขช่องโหว่ด้วยตัวเองอย่างจริงจัง และแม้การสำรวจจะรวมหน่วยงานที่เคยข้อมูลรั่วไหลแล้ว แต่ก็ได้นำมาเป็นบทเรียนและมุ่งมั่นปรับปรุงให้มีความปลอดภัยเทียบเท่าระดับธนาคาร

"ด้านกลยุทธ์ (Strategy) นั้นทำได้ดีมาก ทุกหน่วยงานมีแผนงานและกลยุทธ์ที่ชัดเจน แต่ด้าน Cloud Application Security ยังต้องปรับปรุง เนื่องจากหลายแห่งใช้วิธียกเซิร์ฟเวอร์เดิมขึ้นคลาวด์ทั้งชุด แทนที่จะออกแบบเป็น Cloud Native หรือ Microservices ซึ่งจะทำให้ใช้ประโยชน์และดูแลความปลอดภัยได้ดีกว่า"


ธัชพลพบว่าคลาวด์หน่วยงานรัฐกลุ่ม Private Cloud ทำได้ดีในการมองเห็นทรัพย์สินข้อมูลตนเอง แต่กลุ่มที่ใช้ Public Cloud ยังมีปัญหา ขณะที่ด้าน Cloud Runtime Security ยังมีคะแนนค่อนข้างต่ำ ขาดการป้องกันและตรวจจับภัยคุกคามแบบเรียลไทม์

ในด้านศูนย์ปฏิบัติการ Security Operation Center (SOC) มีคะแนนตามมาตรฐานดี แต่ขาดการบูรณาการเชื่อมต่อข้อมูลระหว่างผู้เฝ้าระวัง (SOC ที่จ้าง Outsource) กับระบบคลาวด์ ทำให้เวลาเกิดปัญหาไม่สามารถรับรู้และแก้ปัญหาได้ทันท่วงที

"ปัญหาอื่นๆ ที่พบ คือการละเลยการตั้งค่าความปลอดภัย เช่น การเปิด Port 22 ทิ้งไว้ให้คนนอกเข้าถึงง่าย และการไม่ซื้อ Support Package จากผู้ให้บริการคลาวด์ ทำให้เวลาเกิดเหตุต้องรอคิวนาน"

*** โร้ดแม็ปนำร่อง 100 หน่วยงานรัฐ

เมื่อเข้าไปตรวจประเมินหาช่องโหว่ของ 13 หน่วยงานนำร่องนี้แล้ว พาโล อัลโต้ เน็ตเวิร์กส์ และ สกมช. ได้ให้คำแนะนำแบบเฉพาะเจาะจงเพื่อนำไปแก้ไขทั้งแบบทันที และผ่านแผน Roadmap 3 ระยะ ซึ่งอาจขยายผลสู่การนำไปใช้ในหน่วยงานรัฐที่มีแอปพลิเคชันบนคลาวด์ประมาณ 100 แห่ง และหน่วยงาน CII ที่เป็นกลุ่มเป้าหมายแรกของการบังคับใช้มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์


โร้ดแม็ประยะแรกคือการสร้างพื้นฐาน รู้ว่าทรัพย์สินข้อมูลอยู่จุดไหนและทำประเมินตนเอง ระยะที่ 2 คือการสร้างระบบหรือคู่มือที่จะมีการเน้นการใช้ AI ตรวจจับเชิงรุกอย่างรวดเร็ว และระยะที่ 3 คือการกำกับดูแลแบบยืดหยุ่น ที่ปรับตัวตามเทคโนโลยีที่เปลี่ยนไป

หนึ่งในการสร้างเครื่องมือรับมือภัยบนคลาวด์ที่โดดเด่นของ 3 ระยะนี้ คือการจัดทำคู่มือ Incident Response Playbook เพื่อกำหนดบทบาทและขั้นตอนที่ชัดเจนให้บุคลากรเมื่อเกิดเหตุโจมตี ซึ่งจะมีการนำ AI มาสร้างคู่มืออัติโนมัติแน่นอน

"เราสามารถทำ Playbook อัตโนมัติด้วย AI ถ้าเกิดเราเอาคนมานั่งทำ Playbook ซ้อมกันเองด้วยคน ไม่มีทางทัน จำเป็นที่จะต้องใช้ AI ประยุกต์ในเรื่องของ Cyber Security"

ทั้งหมดนี้ถือเป็นสัญญาณเชิงบวกที่ตอกย้ำว่า ประเทศไทยไม่นิ่งนอนใจ และพร้อมที่จะลุกขึ้นมาสร้างเกราะกำบังทางดิจิทัลที่แข็งแกร่ง เพื่อปกป้องข้อมูลของประชาชนในยุคที่สงครามไซเบอร์ไม่ได้สู้กันด้วยมนุษย์ แต่สู้กันด้วยความฉลาดของ AI โดยปัจจุบัน ประเทศไทยยังมีการปลดล็อกข้อจำกัดทางกฎหมาย และ สกมช. มีการแนะนำให้หน่วยงานรัฐใช้วิธีจัดซื้อจัดจ้างแบบเฉพาะเจาะจง เพื่อแก้ปัญหาช่องโหว่เร่งด่วนได้ทันท่วงที ไม่ต้องเสียเวลารอรอบงบประมาณประจำปีอีกต่อไป.