Digital Law
- 02 ต.ค. 58
-
1349
-
หลายภาคส่วนหนุนเวที CTF ประลองแข่งขัน-ดันสู่มือโปรด้าน Cybersecurity
จากการที่ Japan Network Security Association ประเทศญี่ปุ่น จัดกิจกรรม SECCON (Cybersecurity Competition) ต่อเนื่องทุกปี โดยปีที่แล้วมีทีมเข้าร่วมประมาณ 50-60 ประเทศ แต่ไม่มีทีมจากชาติอาเซียนเข้าร่วม ต่อมาการประชุมระหว่างประเทศอาเซียนกับญี่ปุ่น จึงมีมติให้ประเทศอาเซียนเข้าแข่งงาน SECCON ปีนี้ ซึ่งต้องมีการคัดเลือกทีมในแต่ละประเทศ โดยใช้ชื่อสามัญว่า Capture the Flag (CTF) และ ETDA ได้รับมอบหมายให้ทำการแข่งขันภายในประเทศ ภายใต้ชื่อ Thailand CTF Competition 2015
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center และ สำนักความมั่นคงปลอดภัย ได้เปิดเวทีพูดคุยในหัวข้อ “1st Cyber SEA Games: Thailand CTF 2015 ก้าวแรกสู่ Cyber SEA Games” โดยได้รับเกียรติจาก ผศ.ดร. สุดสงวน งามสุริยะโรจน์ จาก ม.มหิดล ผศ.ดร.ศุภกร กังพิศดาร จาก บจ. เอซีอินโฟเทค วัชรพล วงศ์อภัย จาก บจ. ACIS Professional Center นฤดม รุ่งศิริวงศ์ กรรมการ TISA และ นพ ภูมิไธสง จาก MaYaSeven (Cybersecurity Analyst) ร่วมกับ ดร.สรณันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา ETDA มาแลกเปลี่ยนประสบการณ์เกี่ยวกับการแข่งขัน CTF โดยมี ดร. ภูมิ ภูมิรัตน เป็นผู้ดำเนินรายการ ณ ห้อง Open Forum ของ ETDA เมื่อวันที่ 19 กันยายน 2558 ที่ผ่านมา
ดร.สรณันท์ กล่าวว่า Thailand CTF Competition 2015 จัดไปแล้ว 1 รอบ โดยเป็นการแข่งขันแบบออนไลน์ จาก 121 ทีมทั่วประเทศ จนได้ผู้มีคะแนนสูงสุด 8 ทีม เข้าสู่รอบตัดเชือกในวันที่ 6 ตุลาคมนี้ที่ ETDA เพื่อคัดผู้ชนะ 2 ทีมไปเข้าร่วมแข่ง CTF ในงาน Cyber Sea Game ที่อินโดนีเซีย ซึ่งจะได้ตัวแทนระดับอาเซียนไปแข่งในงาน SECCON ที่ญี่ปุ่นต่อไป โดยรูปแบบการแข่งขันเป็นแบบคำถาม-คำตอบ (Jeopardy) เช่นเดียวกับการแข่งขันที่จะจัดขึ้นในอินโดนีเซียและญี่ปุ่น โดยรอบที่ผ่านมาโจทย์ประกอบด้วยหมวด Cryptography, Reverse Engineering, Forensics, Web Security และ Miscellaneous ซึ่งหมวดที่มีคนตอบถูกมากที่สุดคือ Web Security
ปัจจุบัน งาน Security Conference ต่าง ๆ จะมีการแข่งขัน CTF เช่น งาน ICDW (International Cyber Defense Workshop) งาน CDIC (Cyber Defense Initiative Conference) ส่วนในระดับมหาวิทยาลัยก็มีกิจกรรมในลักษณะเดียวกันต่อเนื่องทุกปี ซึ่ง ผศ.ดร. สุดสงวน กล่าวว่า ทางมหาวิทยาลัยได้สนับสนุนกิจกรรมเหล่านี้อยู่แล้ว แม้การเรียนการสอนอาจไม่ได้เน้นสอนเพื่อไปแข่งโดยตรง ส่วน ผศ.ดร.ศุภกร กล่าวว่า มีนักศึกษาที่มองว่าการแข่งขัน CTF เป็นการท้าทายตัวเองว่ามีความรู้ระดับไหน ทาง นพ ได้เสริมว่า ในต่างประเทศ ผลการแข่ง CTF สามารถใช้สมัครงานได้ด้วย โดยเป็นการประเมินว่ามีความรู้ทางเทคนิคที่สามารถนำมาใช้งานได้จริง ส่วนในมุมมองของผู้ประกอบการในประเทศไทยอย่าง นฤดม เห็นว่าการแข่ง CTF อาจยังไม่มีผลต่อการพิจารณามากนัก แต่หากผู้สมัครสามารถเล่าให้ฟังได้ว่าสามารถป้องกันระบบอย่างไร ก็น่าสนใจ
นอกจากนั้นยังหยิบยกประเด็นเรื่องจำกัดอายุผู้เข้าแข่งขันในการแข่งขันครั้งนี้ คือต้องอยู่ระหว่าง 15 - 29 ปี โดยมีการเสนอว่า อาจจัดแข่งแบบฟุตบอลคือมี Division เพราะหากแข่ง CTF แบบไม่จำกัดอายุ บริษัทด้าน Security น่าจะสนใจ เพราะหมายถึงชื่อเสียงและช่วยประเมินศักยภาพของหน่วยงานได้ แต่รูปแบบการแข่งขันอาจแบ่งเป็นประเภทที่ชัดเจน เช่น Web Security, Secure Programming, Source Code Review หรือ Encryption Algorithm
สำหรับการเตรียมพร้อมพัฒนาความรู้และกำลังคนด้าน Security ให้เพิ่มขึ้น ผศ.ดร. สุดสงวน มองว่าอาจารย์ระดับมหาวิทยาลัยที่สนใจด้าน Security ยังมีน้อย และวิชาบังคับพื้นฐานมีมากกว่าจะสามารถสอนหลักสูตรด้าน Security ได้ เร็วที่สุดยังเป็น ปี 3 เทอม 2 โดยปัจจุบันมหาวิทยาลัยในไทยที่เปิดสอนด้าน Cybersecurity มักเป็นระดับปริญญาโท ขณะที่ในสิงคโปร์รัฐบาลตระหนักว่าขาดคนด้าน Security จึงมีนโยบายให้คนที่เรียนโปลีเทคนิค และปริญญาตรี มาเรียนต่อโดยได้รับการสนับสนุนจากภาครัฐ วัชรพล อยากให้ทางอาจารย์มีความตระหนัก (Awareness) เรื่อง Security ในการสอนด้วย และควรจัดให้มีการแข่งขันอยู่เรื่อย ๆ ผศ.ดร.ศุภกร เห็นว่าอาจต้องปรับ Mindset ของผู้บริหาร เช่น เกณฑ์ในการรับคนเข้าทำงาน การให้ทุนการศึกษา หรือการจัดแข่งขัน ส่วน นฤดม อยากให้มีทุนการศึกษาเรื่อง Security และมองว่ามีข้อจำกัดที่เงื่อนไขของมหาวิทยาลัยในไทย เช่น หากไม่จบปริญญาโท ก็ไม่สิทธิสอนปริญญาตรี
ทิ้งท้ายด้วยข้อเสนอแนะในการผลักดันผู้เข้าแข่งขันงาน Thailand CTF ให้สามารถไปแข่งขันได้ในระดับโลก นฤดม และ ผศ.ดร.ศุภกร มีความเห็นว่า สามารถหาคนที่มีความสามารถในด้านนี้มาเป็นโค้ชได้ หรือให้คนที่เคยแข่งขันไปแล้วมาร่วมแชร์ประสบการณ์ นพ เห็นว่าหากจะไประดับโลกควรมีการสร้างผู้เล่นให้เยอะขึ้น และอาจเชิญโค้ชมาจากต่างประเทศ
ติดตามความคืบหน้าของชุดร่างกฎหมายเศรษฐกิจดิจิทัล และการพูดคุยในประเด็นอื่น ๆ ที่น่าสนใจของเวที ICT Law Center Open Forum ซึ่งจะเริ่มจัดอีกครั้งตั้งแต่ช่วงกลางเดือนตุลาคม 2558 ส่วนจะเป็นหัวข้ออะไรและวันเวลาใด