จากประเด็นข่าว Cybersecurity ที่เกิดขึ้นทั้งในประเทศและต่างประเทศ ทำให้ทุกคนเริ่มตระหนักถึง Cybersecurity ที่เกิดกันมากขึ้น ถือเป็นประเด็นหนึ่งที่องค์กรต่าง ๆ ที่กำลังทำ Digital Transformation ต้องตระหนักและให้ความสำคัญเป็นอย่างยิ่ง และองค์กรต่าง ๆ เริ่มคิดว่า ควรจะรับมือกันอย่างไรกับเรื่องนี้กันมากขึ้น

ปาฐกถาพิเศษจาก Mr. Richard A. Clarke (ริชาร์ด คลาร์ค) กล่าวในหัวข้อ “Cybersecurity: Challenges and Opportunities in the Digital Economy” ในงานวันสื่อสารแห่งชาติ ประจำปี 2560 จัดโดยสำนักงาน กสทช. เมื่อวันที่ 4 สิงหาคม 2560 ซึ่งผู้เขียนพบว่ามีหลายประเด็นที่น่าสนใจมาก โดยวิทยากรได้ชี้ให้เห็นถึง

• 12 ปัญหาด้าน Cybersecurity ที่องค์กรต่าง ๆ มักพบ
• 6 วิธีรับมือสำหรับองค์กรและหน่วยงานภาครัฐ

ซึ่งประเด็นดังกล่าว ถึงจะพูดเมื่อปีที่แล้ว แต่ก็ยังเป็นประโยชน์ต่อเหตุการณ์ในช่วงนี้ไม่น้อย

‘ริชาร์ด คลาร์ค’ คือใคร?

Photo: กสทช.

ริชาร์ด คลาร์ค ปัจจุบันดำรงตำแหน่งเป็น CEO บริษัท Good Harbor LLC บริษัทที่ปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ การจัดการความเสี่ยง การจัดการวิกฤต และการต่างประเทศ

มีชื่อเสียงในฐานะผู้ให้คำปรึกษาด้านการจัดการความปลอดภัยในโลกไซเบอร์ ความเสี่ยง และวิกฤติ ให้กับ CEO, คณะกรรมการบริษัท และผู้บริหารของบริษัทระดับ Fortune 500 ในสหรัฐอเมริกา รวมทั้งผู้นำประเทศอีกหลายราย รวมทั้งผู้ว่าการรัฐนิวยอร์คและเวอร์จิเนีย ประเทศสหรัฐอเมริกาอีกด้วย

ริชาร์ดเคยทำงานในทำเนียบขาวเป็นเวลายาวนานเป็นประวัติการณ์ถึง 10 ปี โดยทำหน้าที่เป็นที่ปรึกษาพิเศษด้านความปลอดภัยในโลกไซเบอร์ให้กับประธานาธิบดี จอร์จ เอช. ดับเบิ้ลยู. บุช, ประธานาธิบดี บิล คลินตัน และประธานาธิบดี จอร์จ ดับเบิ้ลยู. บุช  นอกจากนี้ ริชาร์ดยังให้คำปรึกษาด้านการต่อต้านการก่อการร้ายและความปลอดภัยในชาติอีกหลายด้าน จนได้รับสมญานามว่า “Cyber-Czar” ซึ่งได้พัฒนายุทธศาสตร์การป้องกันความปลอดภัยในโลกไซเบอร์ระดับชาติกลยุทธ์แรกให้กับสหรัฐอเมริกา

ริชาร์ดทำงานในสภาความมั่นคงแห่งชาติเป็นเวลาสิบปี โดยหลังจากเกิดเหตุการณ์สโนว์เดน ประธานาธิบดีโอบาม่า ได้ขอให้ริชาร์ดร่วมเป็นส่วนหนึ่งในคณะทำงานตรวจสอบข่าวกรองและเทคโนโลยีซึ่งมีคณะกรรมการทั้งสิ้นห้าคน

ในช่วงที่เกิดเหตุการณ์ 9/11 ในปี 2001 ขึ้น ริชาร์ดทำหน้าที่เป็นผู้จัดการวิกฤติการณ์แห่งชาติในเวลานั้น

ก่อนหน้านี้ ริชาร์ดเคยดำรงตำแหน่งหัวหน้าฝ่ายกิจการทางการเมืองและการทหารของกระทรวงการต่างประเทศ ในสมัยรัฐบาลประธานาธิบดี จอร์จ เอช. ดับเบิลยู. บุช และรองหัวหน้าฝ่ายข่าวกรองของกระทรวงการต่างประเทศ ในสมัยรัฐบาลประธานาธิบดี โรนัลด์ เรแกน

เคยทำงานในทำเนียบขาว, เพนตากอน, หน่วยงานด้านข่าวกรอง และกระทรวงการต่างประเทศของสหรัฐฯ  โดยเมื่อครั้งที่ดำรงตำแหน่งหัวหน้าฝ่ายในกระทรวงการต่างประเทศ โดยได้รับการรับรองจากวุฒิสภาสหรัฐฯ

เคยสอนวิชาการจัดการวิกฤติและความเสี่ยงที่ Harvard’s Kennedy School of Government ปัจจุบันเขาทำหน้าที่เป็นผู้ให้ความคิดเห็นในรายการข่าวทางสถานีโทรทัศน์ ABC โดยให้มุมมองในฐานะผู้เชี่ยวชาญด้านการจัดการวิกฤติ การก่อการร้าย และความปลอดภัยในโลกไซเบอร์

ริชาร์ดแต่งหนังสือรวมทั้งสิ้นแปดเล่ม เล่มแรกมีชื่อว่า Against All Enemies: Inside America’s War on Terror (ปี 2547) ซึ่งติดอันดับหนังสือขายดีอันดับหนึ่ง จัดอันดับโดยนิตยสาร New York Times

ในฤดูใบไม้ผลิปี 2560 เขาจะตีพิมพ์หนังสือชื่อ Warnings ซึ่งจะพูดถึงกรณีศึกษา 14 กรณี ที่ผู้เชี่ยวชาญได้ทำนายวินาศกรรมไว้ล่วงหน้าแล้ว แต่คำทำนายไม่ได้รับความสนใจ

รวมไปถึงหนังสือของเขาเรื่อง Cyber War ที่ได้รับการโหวตจากกลุ่มผู้เชี่ยวชาญด้านไซเบอร์ว่า เป็นผลงานชิ้นสำคัญมากงานหนึ่งที่สร้างปรากฏการณ์ใหม่ให้กับวงการ

นอกจากนี้ในปัจจุบัน ริชาร์ดดำรงตำแหน่งเป็นประธานคณะกรรมการผู้ว่าการสถาบันตะวันออกกลาง เขาได้รับเกียรติบรรจุเข้าเป็นสมาชิกในหอเกียรติยศแห่งชาติด้าน Cyber Security อีกทั้งยังได้รับรางวัลเกียรติยศ Lifetime Achievement Award for Cybersecurity โดยการประชุมประจำปีของ RSA Conference

นอกจากนั้น ริชาร์ดยังเป็นที่ปรึกษาให้กับบริษัทเอกชนอย่าง Madison Dearborn และ Paladin Capital และนั่งอยู่ในคณะกรรมการบริหารบริษัทเทคโนโลยี ได้แก่ Veracode, Carbon Black และ Multiplan

ริชาร์ดได้รับปริญญาตรีศิลปศาสตร์บัณฑิต (B.A.: Bachelor of Arts) จากมหาวิทยาลัยแห่งรัฐเพนซิลเวเนีย เมื่อปี 2515 และได้รับปริญญาโทวิทยาศาสตรมหาบัณฑิต (S.M.: Master of Science) จากสถาบัน MIT เมื่อปี 2521

ปัจจุบัน เขาอาศัยอยู่ในรัฐเวอร์จิเนีย ประเทศสหรัฐอเมริกา

12 ปัญหาด้าน Cybersecurity ที่องค์กรต่าง ๆ มักพบ

1. ผู้บริหารไม่เข้าใจเรื่อง Cybersecurity เนื่องจากตัวผู้บริหารก็มีความกลัวลึก ๆ เพราะฟังแล้วไม่เข้าใจ หรือกลัวคนรู้ว่าพวกเขาไม่สนใจ ทางฝั่งฝ่ายเทคนิคมักใช้คำเชิงเทคนิคที่ทำให้ผู้บริหารรู้สึกไม่เข้าใจ เพราะพูดกันคนละภาษา คนดูแลด้านนี้ต้องให้ความรู้กับผู้บริหารและบอร์ดบริหาร ต้องบอกว่าเรื่องนี้ไม่น่ากลัว มันคือการจัดการบริหารความเสี่ยงเท่านั้น ถ้าผู้บริหารตัดสินใจได้ นโยบายด้านนี้ก็จะออกมาได้
2. โครงสร้างองค์กรที่จัดการเรื่อง Cybersecurity ปกติการรายงานทาง CIO (Chief Information Officer) เป็นความผิดพลาดอย่างหนึ่งเลยก็ว่าได้ เพราะ CIO เขาไม่ค่อยใส่ใจเรื่องนี้ เขาใส่ใจแค่ว่าระบบทำงานได้หรือเปล่า อีกอย่างหนึ่งจะพบว่าเจ้าหน้าที่ด้านความปลอดภัย หรือ Security officer จะปะทะกับ CIO ประจำ ซึ่งหน้าที่รายงานต้องเป็นของ CISO (Chief Information Security Officer) ที่รายงานตรงต่อ CEO เท่านั้น เพื่อให้ CEO ตัดสินใจ และ CISO ไม่ควรเป็นคนตัดสินใจเอง CEO ต้องรับรู้และเป็นคนตัดสินใจ
3. องค์กรมักจะคิดว่าตัวเองไม่มีเงินมากพอที่จะสร้าง Cybersecurity ที่ดีพอได้ ปัจจุบันองค์กรส่วนใหญ่จะใช้งบ 3-5 เปอร์เซ็นต์ของฝ่ายไอที เพื่อทำให้ Cybersecurity ในองค์กรมีความมั่นคง เป็นไปไม่ได้ ริชาร์ดย้ำว่าการรักษาความปลอดภัย (Security) เป็นสิ่งที่ต้องควักเงินลงทุนและจ่าย เขาเข้าใจว่าทุกบริษัทไม่เหมือนกัน มันไม่มีตัวเลขตายตัว แต่จากข้อมูลที่เขามีพบว่าบริษัทใหญ่ ๆ ที่มีความมั่นคง จะใช้งบประมาณ 10 เปอร์เซนต์ของฝ่ายไอที เพื่อทำให้ Cybersecurity ในองค์กรมีความมั่นคง
4. เราไม่มีบุคลากรที่เทรนหรือให้ความรู้ด้านนี้ได้มากพอ เขาระบุว่าในสหรัฐฯ ตำแหน่งด้าน Cybersecurity ว่างนับแสนแสนตำแหน่ง เราไม่มีคนอบรมด้านนี้มากพอ เป็นในทุกประเทศ ทั้งภาครัฐและเอกชน รวมถึงเราไม่มีปริญญาด้านนี้ด้วย เขาระบุว่าเราไม่หยิบคนด้านไอที หรือทำเรื่องเครื่องเอกสารได้ คนทำงานด้านนี้ก็เช่นกัน ต้องใช้เวลาอบรมอยู่หลายปี
5. องค์กรยังใช้ Hardware และ Software ที่โบราณและล้าสมัย ริชาร์ดยกตัวอย่างเคส Wannacry ในเดือนมีนาคม 2560 ริชาร์ดบอกเลยว่าเขาเห็นการถูกโจมตีจากการใช้ Software ที่ล้าสมัย และป้องกันการโจมตีต่าง ๆ ไม่ได้ รวมไปถึงการไม่อัพเดท Emergency Security Patch  ที่ระบบปฏิบัติการ (Operating System) หลาย ๆ ตัวออกมา หลายบริษัทไม่ซื้อ ทำให้ Hacker ชนะและเจาะเข้าระบบได้ทุกทีไป
6. เครือข่ายคอมพิวเตอร์ในองค์กรยังเป็นแบบแบนราบ เป็นเครือข่ายแบบเข้าถึงได้ทุกจุด ไม่สามารถควบคุมหรือแบ่ง Segment ได้ แถมบางที่ยังไม่มี Firewall อีกด้วย ผลจากการสำรวจพบว่าไม่รู้ว่า Network ตัวเองมีอุปกรณ์ (Devices) อะไรในระบบถึง 22 เปอร์เซ็นต์ และคนในองค์กรมักเพิ่มอุปกรณ์เข้าไปในระบบเครือข่ายโดยที่เจ้าหน้าที่ที่ดูแลไม่รู้
7. องค์กรต่าง ๆ ไม่ได้เข้ารหัสข้อมูลของตัวเอง การไม่เข้ารหัสข้อมูลที่มีคนเข้ามาในเครือข่ายมาก ๆ ย่อมเป็นช่องทางให้ Hacker เข้ามาได้โดยง่าย บางบริษัทเลือกเข้ารหัสเฉพาะข้อมูลที่มีความเคลื่อนไหว หรืออีเมล องค์กรหลายแห่งชอบคิดว่าการเข้ารหัสข้อมูล ทำให้ระบบช้าและมีวิธีการทำที่ยุ่งยากยาก ซึ่งเมื่อก่อนถือเป็นเรื่องจริง แต่ปัจจุบันการเข้ารหัสข้อมูลถือเป็นเรื่องง่าย ไร้รอยต่อ และไม่ทำ Network เกิดความล่าช้าแล้ว
8. "Defend Strategy" อย่างเดียวไม่ได้ผล การใช้ Parameter "Defend Strategy" หรือกลยุทธ์ป้องกันแบบขุดคูน้ำ สร้างกำแพง เพื่อป้องกันระบบอย่างเดียว ปัจจุบันมันไม่ได้ผลแล้ว บางคนบอกองค์กรเราไม่ได้ใช้วิธีนี้ แต่ริชาร์ดพนันเลยว่าองค์กรมากกว่า 80 เปอร์เซ็นต์ยังใช้วิธีนี้อยู่ ซึ่งต้องยกเลิกได้แล้ว
9. องค์กรไม่ได้วางแผนเมื่อถูกโจมตี แผนนดังกล่าวเรียกว่า "Bleach Plan" ถ้าคุณรู้ว่าระบบถูกเจาะ ตั้งแต่ CEO ไปจนถึงพนักงานในแผนกต่าง ๆ รู้หรือไม่ว่าตนเองต้องทำอย่างไรบ้าง ถ้ามีแผนทุกคนต้องรู้ว่าจะทำอะไร ต้องตอบสนองอย่างไร ทางกฏหมายทำไรได้บ้าง บอกอะไรได้บ้างกับสื่อ ผู้ถือหุ้น หรือนิติวิทยไอที รวมไปถึงเราจะปิด Device หรือตัดสัญญาณตรงไหนได้บ้าง เป็นต้น
10. ไม่ยอมฝึกตามแผนที่วางไว้ แผนจะใช้ไม่ได้ผล ถ้าเราไม่ได้ซ้อมกับภายในบริษัทด้วย องค์กรต้องนำแผนไปฝึก CEO ผู้บริหารต้องเข้าไปมีส่วนด้วย ตอนเหตุการณ์ 9/11 (วันที่ 11 กันยายน 2001) ริชาร์ดระบุว่าเขาเข้าไปจัดการ และรู้ว่าต้องทำไรในเหตุการณ์ 9/11 เพราะเขาฝึกซ้ำแล้วซ้ำอีกเพื่อให้รู้ว่าต้องทำอย่างไรบ้างในช่วงวิกฤต ซึ่งบริษัทที่มีความสุ่มเสี่ยงมากสุด คือบริษัทที่ CEO ตัดสินใจไม่ได้ว่าต้องทำอย่างไร เรื่องแบบนี้ CEO ต้องเอาให้แน่ใจ
11. ข้อมูลที่ทำการสำรองไว้ดันติดไวรัสไปด้วย ทำให้สูญเสียข้อมูลทั้งหมดไปอย่างน่าเสียดาย ป้องกันมาดีทุกขั้นตอน แต่กลับลืมป้องกันในส่วนข้อมูลสำรอง ถือเป็นเรื่องที่น่าเสียใจอย่างยิ่ง
12. แผนกต่าง ๆ ในองค์กรไม่ทำงานร่วมกันทั้งในองค์กร นอกองค์กร อีกทั้งยังไม่ให้ความร่วมมือกับภาครัฐ ริชาร์ดมองว่าคุณต้องต้องแลกเปลี่ยนข้อมูล ความรู้ บางข้อมูลมีความลับ ภาครัฐต้องหาวิธีการแชร์ข้อมูลที่ปลอดภัยพอ และเป็นวิธีที่ดีสุดที่ทำให้โลกไซเบอร์ปลอดภัย ภาครัฐและเอกชน ต้องแชร์ข้อมูล แลกเปลี่ยนข้อมูล ประสานงาน หาวิธีการทำงานร่วมกันที่ดีที่สุด กับองค์กรแต่ละประเภท พัฒนาการตรวจสอบโดยให้บริษัทที่สามารถเข้ามาตรวจสอบความปลอดภัย ต้องทำให้เกิดความเชื่อมั่นว่าเมื่อถูกตรวจสอบแล้ว ข้อมูลจะไม่หลุดออกไป

Photo: กสทช.

6 วิธีรับมือสำหรับองค์กรต่าง ๆ และภาครัฐ

1. มี Software ที่ตรวจสอบความปลอดภัย และให้คะแนนกับระบบความปลอดภัยในองค์กร รวมถึงมีระบบเปรียบเทียบความปลอดภัยกับบริษัทอื่น ๆ โดยทันที เพราะถ้าภาคเอกชนไม่เริ่มทำ จะทำให้ภาครัฐมีเหตุผลในการเข้ามากำกับดูแล ถ้ารัฐกำกับมันจะซับซ้อน แนะนำให้รวมกลุ่มกันแล้วแจ้งว่ากับภาครัฐว่าเอกชนดูแลกำกับดูแลกันเองได้
2. ไม่มีประเทศใดในโลกไม่เจอปัญหาด้าน Cybersecurity อย่าคิดว่าองค์กรของเราไม่เหมือนองค์กรอื่น ๆ ที่ยังต้องทำไรอีกหลายอย่าง ซึ่งเหตุผลสำคัญที่องค์กรต่าง ๆ จะต้องทำให้ Cybersecurity ในองค์กรมีความมั่นคง เพราะการเกิดและขยายตัวของ IoT (Internet of Things) ที่ทำให้มีอุปกรณ์ที่เชื่อมเข้ากับโลกไซเบอร์มากขึ้นเป็นเท่าตัว
3. ถ้าองค์กรเจอการโจมตีที่ใหญ่ขึ้นในอนาคต เราเป็นอัมพาตแน่นอน ซึ่งหากเราพบการโจมตีเราต้องดำเนินการอย่างรวดเร็วตามที่ได้วางแผนไว้ ตามนโยบายที่สร้างระบบรับมืออย่างชัดเจน
4. ภาครัฐ-เอกชนต้องหาวิธีเพิ่มนักศึกษาด้าน Cybersecurity เข้าสู่โลกของการทำงานให้ได้ ซึ่งไม่ใช่แค่การผลิตนักศึกษาด้าน Computer Science เท่านั้น แต่ต้องเป็นมีการเรียนปริญญาเฉพาะทางด้านนี้ได้แล้ว
5. ต้องมี Partnership ระหว่างภาครัฐ-เอกชน และเอกชน-เอกชน เพื่อแบ่งปันข้อมูลระหว่างกัน สร้างระบบตรวจสอบ Audit ระบบ ซึ่งก่อนอื่นต้องจัดระบบเป็นอันดับแรก ต้องใช้บุคคลภายนอกเข้ามาเป็นคนตรวจสอบให้คะแนนความปลอดภัยขององค์กร
6. ภาครัฐควรเพิ่มงบประมาณด้าน Cybersecurity สำหรับริชาร์ดเขาระบุว่า เขาอธิบายว่า เขาไม่ได้หมายถึงเฉพาะประเทศไทย แต่เขาหมายถึงทุกประเทศบนโลกนี้ ควรเพิ่มงบด้านนี้เพื่อให้ความสำคัญในการป้องกันเรื่องนี้