Digital Law
- 15 พ.ค. 58
-
1259
-
ETDA เกาะติดเทรนด์ภัยไซเบอร์โลก แชร์ประสบการณ์ที่ไปร่วมงาน RSA Conference 2015
เมื่อวันที่ 9 พฤษภาคม 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center เปิดเวทีพูดคุยยามบ่ายกับหัวข้อ “ในโลก Internet of Things ชีวิตต้องปรับเปลี่ยนไปทางไหน จึงจะอยู่รอด : แนวคิดและมุมมองจากงาน RSA Conference 2015” เผย Internet of Things เป็นเรื่องที่คนเริ่มกังวล เนื่องจากอุปกรณ์มีหลากหลายรูปแบบเกินกว่ากำหนดขอบเขต ทำให้การจัดการช่องโหว่ยากขึ้น ย้ำภัยคุกคามต้องเตรียมมาตรการรับมือที่ดี มีกลไกในการป้องกัน รวมถึงกลไกในการตรวจสอบเพื่อระบุภัยได้เร็วขึ้น
RSA Conference เป็นงานสัมมนาด้าน Cybersecurity ระดับโลกงานหนึ่งในประเทศสหรัฐอเมริกา ซึ่งมีผู้ร่วมงานจากทั่วโลกกว่า 30,000 คน และมี Speaker ร่วม 600 คน การเข้าร่วมงานนี้ของ ETDA ก็เพื่อนำข้อมูลข่าวสารรวมถึงแนวทางการดำเนินงาน หรือ solution ที่น่าสนใจ มาปรับใช้กับหน่วยงานในประเทศไทย รวมถึงการติดตามทิศทางของ Cybersecurity โลกด้วย ซึ่งเวที Open Forum ครั้งนี้ ทีม ETDA นำโดย ดร.ชัยชนะ มิตรพันธ์ รองผู้อำนวยการ ETDA ดร.รัฐศาสตร์ กรสูต ผู้อำนวยการอาวุโส สำนักส่งเสริมธุรกรรมทางอิเล็กทรอนิกส์ ดร.สรณันท์ จิวะสุรัตน์ ผู้อำนวยการสำนักวิจัยและพัฒนา พ.ต.ท.หญิง จีรบูรณ์ บำเพ็ญนรกิจ ผู้อำนวยการสำนักกฎหมาย และ นายสันทศน์ สุริยันต์ ผู้อำนวยการสำนักความมั่นคงปลอดภัย ได้เลือกหัวข้อที่น่าสนใจมานำเสนอเพื่อให้ผู้ร่วมงานได้ร่วมกันอัปเดตเทรนด์ไปด้วยกัน พร้อมกับร่วมแลกเปลี่ยนมุมมองและความคิดเห็นเพื่อประโยชน์ในการทำงานต่อไป
RSA Conference ประกอบด้วย 2 ส่วน คือ ส่วนงานนิทรรศการ ซึ่งจะมีบริษัทผู้ค้ามาเปิดบูธนำเสนองานที่ช่วยทำให้ผู้เข้าร่วมงานสามารถมองเห็นถึงแนวโน้มภัยคุกคามมากขึ้น เช่น การรวบรวมข้อมูลภัยคุกคาม การแก้ปัญหา Internet of Things และ Big Data ซึ่งการจัดแสดงครั้งนี้มีความแตกต่างจากปีที่แล้วในการผันตัวเองจากขายผลิตภัณฑ์มาเป็นการให้บริการด้าน Security Management Service มากขึ้น และ ส่วนงานสัมมนา โดยมี Session ใหม่ คือ “C-suite View” เป็นการแบ่งปันประสบการณ์ระดับผู้บริหาร “Securing the Ecosystem” พูดถึง Supply Chain Management และ Identity โดย Session ที่ได้รับความสนใจส่วนใหญ่จะเป็นหัวข้อด้านภัยคุกคาม เช่น Internet of Things, Big Data, Cloud Security รวมถึง Privacy ก็ได้รับความสนใจมากขึ้นด้วย ส่วนหัวข้อที่ได้รับความสนใจมากทุกปีคือ หัวข้อทางเทคนิคในการ Hack
สำหรับเรื่อง Internet of Things เป็นเรื่องที่คนเริ่มมีความกังวล เนื่องจากอุปกรณ์มีหลากหลายรูปแบบเกินกว่าจะกำหนดขอบเขตได้ ซึ่งอุปกรณ์เหล่านี้จะมีการนำมาใช้มากขึ้นโดยไร้การควบคุม การจัดการช่องโหว่ของอุปกรณ์ที่ใช้ในองค์กรจะทำได้ยากขึ้น เนื่องจากอุปกรณ์มีหลากหลาย Platform โดยเฉพาะอุปกรณ์ที่ผลิตจากประเทศจีน ฉะนั้นต้องเตรียมมาตรการรับมือที่ดี และมีซักซ้อมการรับมือภัยคุกคาม มีกลไกในการป้องกันภัย รวมถึงกลไกในการตรวจสอบภัยก็มีความสำคัญเช่นกันเพื่อช่วยให้ระบุว่าได้ว่าเครื่องถูกเจาะหรือไม่ ได้เร็วขึ้น
อัตราการจ้างงานบุคลากรสาย Cybersecurity เป็นอีก Session ที่น่าสนใจ จากผลการสำรวจของ ISC2 ปี 2014 พบว่าบุคลากรด้าน Cybersecurity นี้ ยังไม่เพียงพอ และนับวันจะมีความต้องการบุคลากรสายนี้มากขึ้นเรื่อย ๆ ทุกปี เนื่องจากการบ่มเพาะเพื่อพัฒนาบุคลากรด้านนี้ต้องใช้เวลานาน ส่งผลให้คนที่ทำงานอยู่แล้วมีภาระมากขึ้น ด้วยอัตรากำลังเท่าเดิม เนื่องจากภัยคุกคามใหม่ ๆ เกิดขึ้นอยู่ตลอดเวลา จึงไม่มีกำลังพอเพียงพอที่จะจัดการรับมือกับภัยคุกคามได้ ซึ่งท้ายสุดแล้วก็ส่งผลกระทบทั้งแก่องค์กรเองและผู้รับบริการด้วย ทำให้ปัจจุบันองค์กรต่าง ๆ แก้ปัญหาด้วยการ Outsource ไปให้บริษัทอื่นทำ, การส่งไปให้พนักงานสาย IT ทำ ซึ่งบุคลากรเหล่านั้นอาจจะไม่ได้มีความรู้ความเชี่ยวชาญด้าน Cybersecurity โดยตรง หรือการละเลยไม่ดำเนินการบริหารจัดการด้าน Cybersecurity ปล่อยเป็นช่องโหว่ขององค์กรต่อไป ดังนั้น หน่วยงานต่าง ๆ จึงร่วมมือกันแก้ไขปัญหาโดยการพัฒนาหลักสูตรทางด้าน Cybersecurity ขึ้นโดยเป็นความร่วมมือระหว่างภาครัฐ ภาคเอกชน และสถาบันการศึกษา รวมถึงการพยายามรักษาบุคลากรในด้านนี้ที่มีอยู่แล้วให้อยู่กับองค์กรนานมากขึ้น โดยจัดให้มี Talent Management Program การจูงใจบุคลากรด้วยวิธีการต่าง ๆ รวมทั้งมีการให้ทุนอบรมอย่างต่อเนื่อง โดยจากข้อมูลเชิงสถิติพบข้อมูลที่น่าสนใจว่า คนที่มี Certificate ในระดับสากล จะได้รับผลตอบแทนสูงมากกว่าคนที่ไม่มี Certificate และเป็นที่น่าสนใจว่า ในการทำงานสาย Cybersecurity ความรู้ทางเทคนิคเป็นแค่จุดเริ่มต้นในการทำงานเท่านั้น หากผู้ที่ต้องการทำงานสายนี้จะต้องมีความรู้ด้านบริหารจัดการและความรู้เฉพาะทางในอุตสาหกรรมนั้น ๆ ด้วย เช่น การทำงานด้าน Cybersecurity ในองค์กรทางการแพทย์ ก็ต้องรู้เกี่ยวกับเครื่องมือแพทย์ด้วย รวมถึงความสามารถในการสื่อสารทั้งกับทีมเทคนิคและลูกค้า ตลอดจนการสื่อสารในที่สาธารณะก็เป็นสิ่งที่จำเป็น แต่บุคลากรบางส่วนก็ยังสนใจแต่เฉพาะด้านเทคนิคไม่มีความสนใจในเรื่องการบริหารจัดการ และส่วนอื่น ๆ แต่อย่างใด
อีกหนึ่ง Session ที่น่าสนใจและสอดคล้องกับนโยบายของรัฐบาลและภารกิจด้าน Security ของ ETDA คือ การบริหารจัดการ Critical Infrastructure หรือโครงสร้างพื้นฐานที่สำคัญ เช่น ประปา ไฟฟ้า พลังงาน การขนส่ง โดยของสหรัฐฯ กับไทย แตกต่างกันคือ สหรัฐฯ ส่วนใหญ่ดำเนินการโดยภาคเอกชน ขณะที่ไทยเป็นรัฐวิสาหกิจ ดังนั้น การปฏิสัมพันธ์ระหว่างรัฐและเอกชนของสหรัฐฯ กับของไทยจึงมีความแตกต่างกัน โดยสหรัฐฯมีความสัมพันธ์กันแบบ Public Private Partnership (PPP) จึงต้องมีการแชร์ข้อมูลระหว่างรัฐและเอกชน รัฐบาลสหรัฐฯ มีการสั่งการให้มีการจัดการเรื่อง Cybersecurity ของโครงสร้างพื้นฐานสำคัญของประเทศ โดยหน่วยงาน NIST (National Institute of Standards and Technology) ซึ่งดูแลมาตรฐานทาง Cybersecurity ของสหรัฐฯ จึงได้จัดทำ Framework for Improving Critical Infrastructure Cybersecurity เผยแพร่เมื่อเดือนกุมภาพันธ์ปี 2014 ที่ผ่านมา ซึ่ง Framework นี้ทางบริษัท Intel ได้ทดลองนำปฏิบัติในบริษัทแล้ว โดย Intel ได้เพิ่มเติมเรื่อง Threat Intelligence คือ ทำอย่างไรถึงจะรู้ว่ามีภัยคุกคามได้ก่อนที่จะตกเป็นเหยื่อ และ Intel ได้แบ่งปันสิ่งที่เรียนรู้จาก Framework นี้ คือ การดำเนินงานตาม Framework นี้ไม่ได้ทำให้ความเสี่ยงหายไป แต่สำคัญยิ่งไปกว่านั้นคือ การเป็นเครื่องมือกระตุ้นให้เกิดการสื่อสารภายในองค์กรที่เกี่ยวข้องกับการจัดการความเสี่ยงให้เป็นไปในทิศทางเดียวกัน ช่วยให้แต่ละส่วนงานสื่อสารได้อย่างเข้าใจตรงกัน เป็นการสร้างความตระหนักรู้ด้าน Cybersecurity ให้แก่คนทุกระดับในองค์กร เนื่องจากความมั่นคงปลอดภัยของบุคลากรในองค์กรเป็นจุดที่อ่อนแอที่สุดในองค์กรนั่นเอง
ในด้านการบริหารจัดการความเสี่ยง ด้วยโลกที่เป็น Internet of Things ทำให้ต้องปรับตัวโดยการเพิ่ม Unknown Factors หรือสิ่งที่ไม่รู้ซึ่งจะเป็นความเสี่ยงในอนาคตเข้าไปด้วย ตัวอย่างแรกและสำคัญที่สุด คือ คน เช่น พนักงานรู้เท่าไม่ถึงการณ์โดยนำ Thumb Drive ที่มีไวรัสเข้าระบบ เครื่องมือที่ใช้อยู่อาจล้าหลังเกินไป การเชื่อมต่อจากระบบถึงระบบหรือที่เรียกว่า IT Supply Chain ที่ซับซ้อนจนอาจเกิดช่องโหว่ เหล่านี้ล้วนเป็นตัวอย่างของ Unknown Factors ที่เกิดขึ้น ประเด็นที่น่าสนใจคือ การแก้ปัญหาสิ่งที่เกิดขึ้นใหม่ ๆ จะมีค่าใช้จ่ายที่สูง เมื่อเทคโนโลยีมีการพัฒนาอย่างตลอดเวลา เรียกว่าเป็น Unknown Unknowns เช่น หากอนาคตมีรถยนต์ไร้คนขับโดยมีการควบคุมผ่านเครือข่าย ก็อาจเกิดการโจรกรรมรถยนต์ผ่านทางเครือข่ายก็เป็นได้ ดังนั้นการลดความเสี่ยงอันเกิดจากสิ่งที่เราไม่รู้นั้นสามารถทำได้โดยเก็บข้อมูลจากสิ่งที่เรามี เช่น วิเคราะห์ Logs หรือแม้แต่กระทั่งการเตรียมรับมือหากมีภัยคุกคามเกิดขึ้น นอกจากนี้ ปัจจุบันรายงานทางด้านภัยคุกคามส่วนใหญ่อยู่ในรูปแบบของ Quantitative Report เช่น Incident Report มีการรายงานว่ามีการพยายามเจาะเข้าระบบกี่ครั้ง มีการป้องกันได้กี่ครั้ง ระบบล่มกี่ครั้ง แต่ในยุคใหม่จำเป็นต้องพัฒนาการรายงานโดยการทำเป็น Qualitative Report ให้มากขึ้น เพื่อจะได้เห็นทิศทางของภัยคุกคามใหม่ ๆ ซึ่งจะเป็นการป้องกันและลดความเสี่ยงได้มากที่สุด อย่างไรก็ตาม แม้ความเสี่ยงไม่สามารถที่จะทำให้กลายเป็นศูนย์ได้ แต่องค์กรก็ต้องพยายามลดความเสี่ยงให้เหลือน้อยที่สุด
ในส่วนของกฎหมายมีประเด็นสำคัญซึ่งสอดคล้องกับ Theme ของงาน คือ Changes หรือความเปลี่ยนแปลงทางด้านเทคโนโลยี เมื่อกฎหมายที่มีอยู่ยังไม่รองรับกับเทคโนโลยีที่เกิดขึ้นมาใหม่ รวมทั้งความท้าทายทางกฎหมายอีกประการ กล่าวคือ เมื่อทำการติดต่อสื่อสารข้ามประเทศ ดังนั้น เมื่อเกิดข้อพิพาทกันจึงกลายเป็นประเด็นระหว่างประเทศ ซึ่งแต่ละประเทศมีอำนาจอธิปไตยเป็นของตัวเอง เช่น กรณีข้อมูลของบริษัทไปเก็บไว้บน Cloud ที่ Server ไปตั้งอยู่ในกลุ่มประเทศ EU ซึ่งมีความเข้มข้นของกฎหมาย Privacy สูงมาก การขอข้อมูลจึงต้องอยู่ภายใต้อำนาจของกฎหมายของ EU เป็นต้น หรือตัวอย่างนวัตกรรมใหม่ เช่น Drone หรืออากาศยานไร้คนขับเพื่อถ่ายภาพในที่สูงสำหรับบำรุงรักษาอุปกรณ์ที่เข้าถึงยาก แต่ก็มีการนำไปใช้ในทางที่ผิด เช่น เอาไปสอดแนมซึ่งเป็นการละเมิดสิทธิส่วนบุคคล เช่นนี้ ในปัจจุบันสหรัฐฯ เองก็ยังไม่มีกฎหมายมาบังคับกับ Drone โดยตรง นอกจากนี้ ยังมีประเด็นการลดความเสี่ยงภัยคุกคามด้าน Cybersecurity ที่องค์กรต้องมีการทำ Cyber Insurance ด้วย เพื่อลดความสูญเสียที่อาจเกิดขึ้น ซึ่งทางกฎหมายอาจนำมาใช้ในการพิจารณาประกอบในเรื่องของการทำ Risk Management ด้วยโดยพิจารณาว่าองค์กรนั้น ๆ ได้มีการบริหารจัดการความเสี่ยงในระดับที่เพียงพอแล้วหรือไม่ อย่างไร นอกจากนี้ สำหรับผู้ที่สนใจติดตามประเด็นเพิ่มเติมที่ได้มีการนำเสนอใน RSA Conference 2015 สามารถติดตามได้ที่ http://www.rsaconference.com/events/us15/agenda
สุดท้าย ETDA ยังได้แบ่งปันประสบการณ์การเยี่ยมชมบริษัทชั้นนำอย่าง Microsoft และ Google ซึ่งเป็นหน่วยงานที่ ETDA ได้มีการทำความร่วมมือในการแชร์ข้อมูลทางด้าน Cybersecurity ซึ่งกันและกันอีกด้วย
ติดตามความคืบหน้าของชุดร่างกฎหมายเศรษฐกิจดิจิทัล และการพูดคุยในประเด็นอื่น ๆ ที่น่าสนใจของเวที ICT Law Center Open Forum ซึ่งในวันเสาร์ที่ 16 พฤษภาคม 2558 จะจัดในหัวข้อ “การใช้ซอฟต์แวร์อย่างถูกต้อง วิธีง่าย ๆ สำหรับคุ้มครองข้อมูลส่วนบุคคล” ได้ทาง https://www.etda.or.th และ http://ictlawcenter.etda.or.th