email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 20.04.2017 (3 ปีที่ผ่านมา) | แก้ไขล่าสุด 30.09.2020 | อ่าน 2373

ประชุมโต๊ะกลม ACIOA ย้ำ การขาดแคลนคนสาย Cybersecurity เป็นความเสี่ยงระดับประเทศ


ทุกภาคส่วนควรร่วมกันผลักดันเป็นวาระแห่งชาติ เพื่อวางแผนระดับประเทศ ในการสร้างผู้เชี่ยวชาญด้าน Cybersecurity รวมทั้งสร้างความเข้าใจความตระหนักด้านความมั่นคงปลอดภัยภาคสาธารณะ

สุรางคณา วายุภาพ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้รับเชิญเป็น Keynote Speaker เปิด งานประชุมโต๊ะกลม ครั้งที่ 3/2017 หัวข้อ SHORTAGE OF QUALIFY THAI CYBER SECURITY FOR THE NEXT 5-10 YEARS จัดโดย ASEAN CIO Association (ACIOA) ร่วมกับ International Academy of CIO (IAC) เมื่อวันอังคารที่ 18 เมษายน 2560

 

การจัดประชุมโต๊ะกลมครั้งนี้ จัดขึ้นเพื่อเป็นการพบปะหารือร่วมกันระหว่างผู้ทรงคุณวุฒิจากมหาวิทยาลัยต่าง ๆ ของไทยที่เปิดหลักสูตร ICT Security องค์กรด้านการพัฒนาการศึกษา Cybersecurity ผู้บริหารด้านสารสนเทศ ผู้แทนจากกลุ่มวิสาหกิจ ทหาร ตำรวจ กลุ่มธุรกิจการเงินการธนาคาร กลุ่มอุตสาหกรรม แพทย์ และกลุ่มอื่น ๆ ที่เกี่ยวข้องโดยตรงได้ทราบถึงทิศทางและเทคโนโลยีด้าน Cybersecurity ที่กำลังเปลี่ยนแปลงภายใต้โมเดล Thailand 4.0 เพื่อสร้างบุคลากรด้าน Cybersecurity ให้สามารถรองรับทิศทางเทคโนโลยีที่เปลี่ยนแปลงไป และทำให้ตัวชี้วัดด้าน Cybersecurity ที่มีผลต่อการจัดอันดับ e-Government ของประเทศไทยในระดับนานาชาติดีขึ้น

สุรางคณา กล่าวว่า “‘คน’ เป็นสิ่งมีค่าที่ต้องสร้าง และต้องมีวิธีดูแล โดยเฉพาะคนสาย Cybersecurity ที่ขาดแคลนอย่างหนัก และเป็นงานที่ไม่ง่าย เพราะมีความ sensitive และต้องแก้ปัญหาเฉพาะหน้าแบบที่บางครั้งไม่เคยเกิดขึ้นมาก่อน ไม่มีรูปแบบหรือ pattern บนความผันผวนของสภาพสังคม การเมือง เทคโนโลยี และไลฟ์สไตล์ที่เปลี่ยนไปจากอดีตมากทีเดียว”

ผลสรุปจากการประชุมครั้งนี้สะท้อนให้เห็นว่า การขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยเป็นความเสี่ยงระดับประเทศ ทั้งภาครัฐ ภาคธุรกิจ และภาคการป้องกันประเทศ หน่วยงานหลายภาคส่วนควรร่วมกันผลักดันเป็นวาระแห่งชาติ ในบริบทของ National Cybersecurity ทั้งในเชิงรุกและเชิงรับ เพื่อวางแผนระดับประเทศ ระยะกลาง ระยะยาว ในการสร้างผู้เชี่ยวชาญด้าน Cybersecurity ซึ่งรวมถึงการสร้างความเข้าใจ ความตระหนักด้านความมั่นคงปลอดภัยภาคสาธารณะ โดยมีประเด็นที่น่าสนใจ เช่น

ด้านการวิจัย

·       จำเป็นต้องลงทุนพัฒนางานวิจัยด้าน Cybersecurity อย่างต่อเนื่องทั้งในเชิง Localized และ Inter-Threat

·       การวิจัยด้านเทคโนโลยีที่จำเป็นพื้นฐานด้าน Cybersecurity สำคัญอย่างยิ่ง นอกจากจะช่วยลดต้นทุนในการนำเข้าเทคโนโลยีแล้ว ยังเป็นกลจักรสำคัญในการพัฒนาประเทศ ทั้งด้านเทคโนโลยี และ บุคลากร

ด้านหลักสูตรการเรียนการสอน

·       หลักสูตร Cybersecurity ที่หลายมหาวิทยาลัยมี ส่วนใหญ่เป็น Cybersecurity Management ในขณะที่หลักสูตรที่จำเป็นคือเรื่อง Cybersecurity Operation ทั้งเรื่อง Defensive และ Offensive Security (Defensive Security คือศาสตร์ในการรับมือกับภัยคุกคามทาง Cyber เช่น Log Analysis, Malware Analysis, Incident Handling, Digital Forensics ฯลฯ ส่วน Offensive Security คือศาสตร์ในการโจมตีทาง Cyber ไม่ว่าจะเป็นเรื่องการเจาะระบบ การหลอกลวงผู้ใช้ เป็นต้น ซึ่งจำเป็นในการเตรียมผู้ใช้ และระบบให้ระวังและรับมือกับภัยคุกคาม)

·       ควรจัดหา sand box ให้มีมากขึ้น เพื่อได้ใช้เป็นสนามซักซ้อมด้าน Cybersecurity

·       มีความต้องการทักษะความสามารถของนักศึกษาที่สามารถ Penetration Testing ได้อย่างแท้จริง

·       เพิ่มเติมด้านจรรยาบรรณ (Ethics) สอดแทรกในเนื้อหาวิชา

·       การฝึกอบรม การให้ทุนศึกษาต่อ และการให้ประกาศนียบัตรตามมาตรฐานโลก นอกจากจะมีค่าใช้จ่ายที่สูงแล้ว ไม่อาจลดช่องว่างความขาดแคลนบุคลากรได้ เนื่องจากผลิตได้จำนวนน้อยและมักถูกชักชวนไปทำงานในต่างแดนได้ง่าย จะต้องมีมาตรการโน้มน้าวและแผนรองรับการทำงานที่น่าสนใจ

·       ระบบการศึกษาต่อเนื่องซึ่งดำเนินงานโดยมหาวิทยาลัย สามารถสอนวิชาระยะสั้น ราคาย่อมเยา ผลิตบุคลากรเพื่อสนับสนุนองค์กรทั้งภาครัฐและเอกชนได้อย่างมีประสิทธิภาพ

·       การศึกษาภาคอาชีวะ ซึ่งสอนในระดับช่างมากกว่าระดับวิศวกรรม จัดให้มีหลักสูตรและวิชาที่เกี่ยวเนื่อง

·       การศึกษาขั้นพื้นฐาน ทั้งในระดับอนุบาล ประถม และมัธยม ให้นักเรียนและเยาวชนมีความตระหนักรู้และซึมซับประเด็นความมั่นคงไปใช้ในการดำเนินชีวิต

·       บุคคลากรด้าน Cybersecurity ในปัจจุบันมีช่องว่างของความรู้ความสามารถที่สูงขึ้น กล่าวคือ Bell Curve มีฐานที่กว้างขึ้น จึงควรใช้ Awareness Program สำหรับกลุ่มที่อยู่ตรงกลาง เพื่อยกระดับความเข้าใจให้สูงขึ้น ขณะเดียวกันให้โอกาสในการพัฒนาต่อยอดความรู้เฉพาะด้านให้กับกลุ่มที่มีศักยภาพสูง

ด้านความร่วมมือ

·       ส่งเสริมและเสริมสร้างความร่วมมือในระดับประเทศโดยตรง โดยอาจจะเริ่มจากรูปแบบของทุนการศึกษา เช่น ทุน กพ. หรือ ทุนจากกระทรวงที่เกี่ยวข้อง

·       ส่งเสริมการสร้างความร่วมมือของภาคเอกชนและสถาบันการศึกษา หรือภาคเอกชนและภาครัฐ ซึ่งรวมถึงภาคบังคับใช้กฎหมาย เพื่อให้การพัฒนาบุคลากร รวมทั้งเนื้อหาวิชาสอดคล้องกับความต้องการ อีกทั้งจะเป็นพื้นฐานของงานวิจัยที่สามารถนำไปใช้ประโยชน์ได้อย่างจริงจังและลดต้นทุนได้อย่างมาก

·       ส่งเสริมการสร้างความร่วมมือของภาคเอกชนและภาครัฐ ซึ่งรวมถึงส่วนการบังคับใช้กฎหมาย ทหาร ตำรวจ เพื่อให้เสริมสร้างความชำนาญด้านการจัดการกับภัยคุกคามระดับประเทศและผลกระทบทางธุรกิจ ซึ่งจะนำไปสู่แนวทางการเตรียมการป้องกันประเทศได้อย่างเหมาะสม

·       บุคลากรด้านนี้จะมีความชำนาญหลายด้าน (Multi Skills) และยังต้องอาศัยประสบการณ์สูงในการวิเคราะห์และจัดการสถานการณ์ด้านความมั่นคงปลอดภัย การส่งเสริมให้มีการแลกเปลี่ยนประสบการณ์ระหว่างภาคเอกชนและภาคการศึกษา จะสามารถสร้างแนวความคิดให้กับนักเรียนนักศึกษาและอาจารย์ในกระบวนการศึกษาแก้ไขปัญหาจากสถานการณ์จริงและจะทำให้สามารถลดช่องว่างของ Demand และ Supply ลงได้อย่างมีประสิทธิภาพ

 

ด้านการสร้างความเข้าใจและความตระหนัก

·       ลักษณะของบุคลากรรุ่นใหม่จะมีวิถีชีวิตที่แตกต่าง โดยมักจะชอบความท้าทาย ชอบการสืบค้นข้อมูล โดยเฉพาะแนวความคิดด้าน Privacy และการแชร์ข้อมูลที่เปลี่ยนไป ทำให้ต้องมีแนวทางการปลูกฝังความเข้าใจเกี่ยวกับการใช้ข้อมูลที่เหมาะสม เพื่อป้องกันความเสี่ยงใหม่ ๆ ที่มีอันตรายเชิง Insider Threat ต่อองค์กร

·       การสร้างความเข้าใจความตระหนักให้กับสาธารณะ (Public Awareness) อย่างต่อเนื่อง เพื่อให้มีความตระหนักรู้ในวงกว้าง เป็นสิ่งที่จำเป็นเพื่อเป็นการยกระดับความแข็งแกร่งภาพรวมด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ (Security Mindset) ผ่านทางสื่อวิทยุ โทรทัศน์ อินเทอร์เน็ต ละคร การสร้างความตระหนักให้กับบุคลากรกลุ่มนี้ไม่ต้องมีความรู้ทางเทคนิคสูงมากนัก แต่ต้องมีจำนวนมากพอที่จะเป็นหูเป็นตาให้กับสังคมไทย

·       ควรมี Awareness Program สำหรับ Parent & Child, Politician & Citizen เพื่อปลูกฝังความเข้าใจพื้นฐานที่จำเป็นสำหรับผู้ที่มีความสำคัญกับกลไกการพัฒนาและขับเคลื่อนของประเทศ

ด้านการพัฒนา Leadership ด้าน Cybersecurity

·       ปัจจุบัน BOARD, CEO, MD ยังไม่มีความเข้าใจ หรือเห็นความสำคัญของ Cybersecurity อย่างแท้จริง ดังนั้น Lateral Education for C Level สำหรับผู้บริหาร จะมีความจำเป็นมากขึ้น ๆ

·       คนทำงาน Cybersecurity มีลักษณะการทำงานเสมือนอยู่ในสนามรบ ดังนั้น วิธีการบริหารคน การเริ่มรับ-การดูแลฝึกฝน-การเอาใจใส่ การให้อำนาจการบังคับบัญชา การสั่งการ การพ้นหน้าที่ หรือออกจากงาน ฯลฯ จะแตกต่างจาก People Management ประเภทอื่น ๆ ซึ่งทักษะนี้ ระดับผู้บริหารสูงสุด หรือ Digital Leadership ต้องมีความเข้าใจ แต่ระบบราชการปัจจุบัน ยังไม่รองรับหลักการนี้ ระบบธุรกิจต้องรีบปรับตัว

·       ส่งเสริมโครงการสร้าง Leadership ให้กับหลายภาคส่วนโดยเฉพาะหน่วยงานที่เป็น Critical infrastructure หน่วยงานภาครัฐและหน่วยงานความมั่นคง

ด้านการป้องกัน

·       ลดพื้นผิวการโจมตี (Attack Surface) ของภาครัฐและเอกชน โดยส่งเสริมการใช้คลาวด์ในระดับต่าง ๆ เพื่อให้เกิดการรวมศูนย์และใช้ประโยชน์บุคลากรด้านนี้ได้อย่างมีประสิทธิภาพ โดยเฉพาะเมื่อหน่วยงานต่าง ๆ ทั้งภาครัฐและเอกชน จำต้องมีเว็บไซต์ที่เปิดสู่สาธารณะเพื่อการบริการ จึงควรผลักดันให้ใช้บริการส่วนกลางหรือจากหน่วยงานที่มีศักยภาพในการจัดสร้างเว็บไซต์ที่มั่นคงปลอดภัยต่อการโจมตีและการคุกคาม

·       ด้านการข่าวที่เกี่ยวข้องกับภัยคุกคามออนไลน์ (Threat Intelligence) ซึ่งจำต้องมีบุคลากรที่ได้รับการฝึกอบรมในงานด้านนี้ระดับผู้เชี่ยวชาญ (Specialist) ทั้งในส่วนการเฝ้าระวังกับข่าวทั้งใน (a) ระดับอินเทอร์เน็ตทั่วไปที่เข้าถึงได้ผ่าน Google และ (b) ระดับที่เป็น Deep Web และ Dark Web ที่เข้าถึงผ่าน TOR (The Onion Router) ต้องมีฝ่ายการข่าวที่ลงลึกกว่าการรับฟังความเคลื่อนไหวจากอินเทอร์เน็ตระดับทั่ว ๆ ไป แต่ต้องลงไปเล่นในระดับที่โจร Terrorist ตำรวจสากล ไปถึงฝ่ายทหารไซเบอร์ (Cyber Division) ของประเทศอื่น ๆ ทั่วโลกลงไปเล่นอยู่ในขณะนี้

ในกลางเดือนสิงหาคม 2560 นี้ จะมีการประชุมโต๊ะกลมอีกครั้ง รวมทั้งเปิดชี้แจงความร่วมมืออย่างเป็นรูปธรรมต่อสาธารณชน ในงาน eGovernment Forum ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม