จากพาดหัวบทความคราวนี้ อยากชวนผู้อ่านมาช่วยกันมองอย่างรอบด้านว่า ปราการความปลอดภัยในองค์กรพร้อมและแข็งแรงเพียงพอในการคุ้มกันหัวใจหลักทางธุรกิจ นั่นคือ ข้อมูล แล้วหรือยัง เหตุเพราะนวัตกรรมเปลี่ยนโลก เช่น AR, AI และ IoT ได้ยกระดับการใช้ประโยชน์ของข้อมูลจากเดิมเพื่อเพิ่มประสิทธิภาพในการปฏิบัติงาน ให้กลายเป็น เครื่องมือสร้างรายได้ หรือ โมเดลธุรกิจดิจิทัลใหม่  ข้อมูล ณ ปัจจุบัน จึงไม่ต่างจาก ขุมทรัพย์ทางการเงิน ที่อาชญากรไซเบอร์หมายตา  และทำให้องค์กรต้องยกวาระความปลอดภัยด้านข้อมูลมาพิจารณาเป็นลำดับต้น ๆ ด้วยงบการจัดการที่อาจสูงถึง 20-30% ของงบ  ไอทีเลยทีเดียว

นับตั้งแต่ปี 2561 การสูญเสียและรั่วไหลของข้อมูลเกิดขึ้นต่อเนื่องจากการโจมตีของวายร้ายไซเบอร์ที่เปลี่ยนไป โดยไม่ได้มุ่งก่อกวนระบบให้เสียหายแบบฉับพลันทันที แต่เป็นการส่งมัลแวร์แฝงตัวเข้ามาเงียบ ๆ  เพื่อเฝ้าดูพฤติกรรมผู้ใช้งานกลุ่มเป้าหมาย เช่น ผู้มีสิทธิเข้าถึงข้อมูลสำคัญทางธุรกิจ ข้อมูลลูกค้า หรือเป็นผู้บริหารระดับสูง ผู้ถือครองสกุลเงินดิจิทัล หรือบัญชีธุรกรรมการเงินออนไลน์ แล้วรอจังหวะเหมาะสม ขโมยข้อมูลออกจากระบบทันทีที่เกิดช่องโหว่ เพื่อเอามาใช้ “ตบทรัพย์จากเหยื่อ” ในภายหลัง ซึ่งอาจง่ายดายแค่เพียงมีเจ้าหน้าที่ไอทีสักคนตั้งค่าการทำงานในระบบผิดพลาดจนข้อมูลลูกค้ารั่วไหล ดังที่เคยเกิดขึ้นกับ อเมซอน เว็บ เซอร์วิส หรือ ผู้ใช้เผลอกดปุ่ม “ตกลง” โดยไม่อ่านรายละเอียดจนเปิดช่องให้เงินในบัญชี หรือสกุลเงินดิจิทัลของตัวเอง ถูกโอนเข้ากระเป๋าเงินอิเล็กทรอนิกส์ของคนร้าย เป็นต้น การโจมตีลักษณะนี้แทบไม่พบความผิดปกติในการใช้งาน หรือระบบอย่างชัดเจนจนกว่าจะมีการสแกนหรือตรวจจับถึงพบ ซึ่งอาจสายเกินแก้

แล้วบันได 5 ขั้น ที่จะช่วยองค์กรสร้างระบบความปลอดภัยของข้อมูลที่มีประสิทธิภาพ และไม่ตกเป็นเป้าโจมตีนั้นต้องทำอย่างไร

ขั้นแรก คือ การทำแผนที่เชื่อมโยงตามตัวบทกฎหมาย

ซึ่งรวมถึงระเบียบข้อบังคับ แนวปฏิบัติที่ออกโดยภาครัฐ สถาบันหรือหน่วยงานสากลทั้งในและต่างประเทศ ซึ่งองค์กรสามารถใช้เป็นบรรทัดฐานในการกำหนดแผนนโยบายปกป้องข้อมูล การออกแบบหลักเกณฑ์การปฏิบัติและการเลือกใช้เทคโนโลยีให้เหมาะสม ทั้งเป็นเครื่องรับประกันความเชื่อมั่นด้านความปลอดภัยเมื่อต้องเจรจาธุรกิจ หรือประกอบธุรกรรมร่วมกัน เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การเก็บรวบรวม เปิดเผย หรือนำข้อมูลไปใช้ต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 ที่อนุญาตให้รัฐสามารถขอความร่วมมือในการให้ข้อมูลเอกสาร ข้อมูลในระบบคอมพิวเตอร์ หรือยึดอายัดอุปกรณ์ต่าง ๆ กรณีเกิดหรือคาดว่าจะเกิดภัยคุกคามร้ายแรง กฎการคุ้มครองข้อมูลของสหภาพยุโรป (General Data Protection Regulation-GDPR) ที่ไม่ประสงค์เจรจาธุรกิจกับประเทศหรือองค์กรใดที่มีการคุ้มครองข้อมูลส่วนบุคคลต่ำกว่ามาตรฐาน หรือไม่ได้มาตรฐานตามข้อกำหนดของสหภาพยุโรป (European Union – EU) ขณะที่ ตลาดหลักทรัพย์แห่งประเทศไทย ได้ออกแนวปฏิบัติให้บริษัทในตลาดหลักทรัพย์ฯ ต้องมี ศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operation Center – SOC) เป็นต้น

ขั้นที่สอง หมั่นแกะรอยพฤติกรรมวายร้ายไซเบอร์

ซึ่งกำลังเคลื่อนไหวร้อนแรงด้วยเทคนิคการโจมตีขั้นเทพ อาทิ การขโมยข้อมูลผู้บริหาร หรือหน่วยงานระดับสูงด้วย เอพีที (Advanced Persistent Threat- APT) เช่น ข้อมูลสุขภาพและการใช้ยาของประธานาธิบดีสิงค์โปร์ ลี เซียนลุง ที่ถูกขโมยไปเมื่อไม่นานมานี้  หรือกลุ่มโอเชียนโลตัส ที่จ้องขโมยข้อมูลหน่วยงานข่าวกรองของจีน มัลแวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ ที่เจาะเข้าสู่บริการสาธารณะของเมืองเลคซิตี้ ฟลอริด้า ทำให้ต้องจ่ายค่าไถ่รวมกว่า 15 ล้านบาท ซื้อกุญแจถอดรหัสเพื่อให้อีเมล์ โทรศัพท์บ้าน และบัตรเครดิต กลับมาใช้งานได้ดังเดิม การส่ง มัลแวร์ขุดสกุลเงินดิจิทัล (Crypto Mining Malware) จากบัญชีผู้ลงทุนในสกุลเงินดิจิทัล ซึ่งศูนย์วิจัยด้านความปลอดภัยไซเบอร์ “การ์ดิคอร์ (Guardicore Labs)” เปิดเผยถึงความพยายามของมัลแวร์ที่ต่างกันถึง 20 ชนิด ในการเจาะช่องโหว่ของเซิร์ฟเวอร์ถึง 50,000 เครื่อง และขโมยเงินดิจิทัลของเหยื่อได้มากถึง 700 รายต่อวัน  การโจมตีด้วยมัลแวร์ไร้ไฟล์ (Fileless Malware) โดยลอบส่งคำสั่งผ่านดีเอ็นเอส (Domain Name System: DNS) เป็นระบบที่ใช้เก็บข้อมูลของชื่อโดเมน และทำงานซ่อนตัวบนหน่วยความจำจึงยากต่อการแกะรอย กรณีนี้พบที่คาซัคสถานและรัสเซีย โดยแฮคเกอร์ส่งมัลแวร์ “เอทีเอ็มอิทช์ (ATMitch)” เข้าควบคุมตู้เอทีเอ็มจากระยะไกลและขโมยเงินไปได้กว่า 27 ล้านบาท ร่องรอยที่ทิ้งไว้มีแค่ไฟล์ข้อมูล 2 ไฟล์ ซึ่งมี Log ของมัลแวร์เขียนอยู่เท่านั้น หรือ การส่งมัลแวร์ควบคุมอุปกรณไอโอที  (IoT Devices) เช่น แฮกเกอร์จีนได้โชว์การเจาะระบบรถยนต์อัจฉริยะไร้คนขับ “เทสล่า (Tesla)” เพื่อหลอกให้ขับเข้าเลนรถที่สวนมา ซึ่งล้วนเกิดผลเสียหายต่อภาพลักษณ์สินค้าและธุรกิจทั้งสิ้น

ขั้นที่สาม ป้องกันรอยรั่วที่มาจากคลาวด์เซอร์วิส

ไม่มีองค์กรไหนที่ปฏิเสธการทำงานผ่านมัลติคลาวด์ได้แล้ว เพราะง่ายต่อการบริหารจัดการและรวดเร็วต่อการนำเสนอบริการทางธุรกิจใหม่ ๆ แต่ปัญหาความปลอดภัยบนคลาวด์กลับไม่ค่อยเกิดจาก ประเด็นทางเทคโนโลยีสักเท่าไหร่  แต่มาจากความผิดพลาดของผู้ใช้งานหรือผู้ดูแลระบบ ซึ่งเปิดช่องโหว่ให้ระบบตกเป็นเป้าถูกโจมตี เช่น  การตั้งค่าการทำงานของระบบจัดเก็บข้อมูลบนคลาวด์ได้ไม่สมบูรณ์โดยพนักงานค่ายมือถือแห่งหนึ่ง จนกลายเป็นช่องโหว่ให้ข้อมูลลูกค้ารั่วไหลสู่สาธารณะกว่า 46,000 ราย  จึงเกิดแนวคิดด้านความปลอดภัยที่ยึดข้อมูลศูนย์กลาง โดยถือว่า ระบบเครือข่ายข้อมูลไม่ควรไว้ใจซึ่งกันและกัน (Zero Trust) วิธีการ คือ เพิ่มความเข้มข้นในการจำแนกประเภทข้อมูลสำคัญ กำหนดนโยบายข้อบังคับเพื่อเฝ้าระวังและดักจับแฮกเกอร์ที่แทรกซึมเข้ามา โดยเน้นจับตาพฤติกรรมของผู้ใช้งาน กับ ข้อมูลที่เคลื่อนไหวจากการติดตามการใช้งานแอปพลิเคชันต่าง ๆ

ขั้นที่สี่ เน้นทุกจุดต้องปลอดภัย

เรื่องนี้อยู่บนหลักคิดที่ว่า “การทำงานปกติ ไม่มีอะไรผิดสังเกตไม่ได้แปลว่าปลอดภัย” งานด้านการปกป้องข้อมูล จึงต้องทำควบคู่กันระหว่าง ระบบรักษาความปลอดภัย (Security)  และ ระบบตรวจจับแจ้งเตือนพฤติกรรมผิดปกติ (Visibility) ในทุกการเชื่อมต่อทุกช่องทางในการสื่อสารข้อมูลแบบหลายจุด (Point to Multi-Point) และ จุดต่อจุด (Point to Point) เฉพาะระหว่างอุปกรณ์สองตัว ทั้งงานหน้าบ้าน ( Internet Gateway )และหลังบ้าน ( Backdoor ) เช่น การติดตั้งระบบรักษาความปลอดภัยของเครือข่าย ( Firewall ) ป้องกันการเข้าถึงหรือโจมตีเซิร์ฟเวอร์ สตอเรจ เกตเวย์ อาจยังไม่พอ ต้องเพิ่มเติมการติดตั้งเอเจนต์ (Agents) ที่เครื่องของผู้ใช้งานในระดับเอนด์พอยท์เพื่อตรวจจับและป้องกันการโจมตีได้เร็วขึ้น การติดตั้งโซลูชันไว้ดูแลข้อมูลจราจรในระบบคอมพิวเตอร์ (Log Management) เพื่อบันทึกที่มาที่ไป เวลา หรือเส้นทางสื่อสารในระบบของผู้ใช้งานจากภายในและนอกองค์กร ให้สามารถตรวจสอบย้อนหลังได้ว่า มีใครเข้ามาทำอะไรในระบบของเรา อะไรที่ดูมีความผิดปกติ จะได้วางแผนรับมือแก้ไขต่อไป

ขั้นที่ห้า เดินตามกรอบของ NIST

สถาบันแห่งชาติด้านมาตรฐานและเทคโนโลยีของสหรัฐ (National Institute of Standards and Technology – NIST)  ได้กำหนด “กรอบการทำงานด้านความปลอดภัยทางไซเบอร์ ซึ่งยังคงทันสมัย และอยากแนะนำให้เอามาประยุกต์ใช้ในเรื่องความปลอดภัยของข้อมูลไว้ 5 ข้อ เช่นกัน ได้แก่

การแยกแยะ (Identify) องค์ประกอบที่มีผลต่อการบริหารความเสี่ยงในระบบ เช่น สินทรัพย์ข้อมูลที่สำคัญ แอปพลิเคชันที่ใช้งาน สภาพแวดล้อมโดยรวมทางธุรกิจ หรือ การจัดกลยุทธ์จัดการความเสี่ยง

การปกป้อง (Protect) ข้อมูลขององค์กร ด้วยเครื่องมือต่าง ๆ เพื่อควบคุมพฤติกรรมการเข้าถึงและใช้ข้อมูล กำหนดวิธีการในการป้องกัน รักษา และซ่อมบำรุงระบบข้อมูล

การขจัดขัดขวาง (Detect) สิ่งผิดปกติที่เล็ดรอดผ่านระบบป้องกันเข้ามาได้ เช่น การวางแนวปฏิบัติในการจัดการเหตุการณ์สุ่มเสี่ยงต่อความปลอดภัย (Security Information and Event Management-SIEM) ที่จะติดตามค้นหามัลแวร์มุ่งร้ายที่หลุดรอดผ่านอุปกรณ์รักษาความปลอดภัยแต่ละชนิด กำจัดทิ้งเสีย และแจ้งข้อมูลให้ผู้ดูแลทราบทันที

การแจ้งเตือน (Response) สถานการณ์ผิดปกติ ดังตัวอย่างของธนาคารบางแห่ง ซึ่งเมื่อพบการทำธุรกรรมสั่งซื้อสินค้าราคาสูงผ่านเว็บไซต์โดยการตัดบัตรเครดิต โดยที่เจ้าของบัตรรายนี้ไม่เคยมีพฤติกรรมการซื้อขายลักษณะนี้มาก่อน ธนาคารจะไม่อนุญาตให้กด “ตกลง” สั่งซื้อออนไลน์ได้จนกว่าจะส่งข้อความแจ้งเตือนและได้รับการยืนยันจากเจ้าของบัตรเสียก่อน จึงจะอนุญาตให้เข้าถึงบริการตัดบัตรเครติตนั้นได้

การวางมาตรการฟื้นฟู (Recovery) ให้ระบบกลับมาทำงานต่อไปได้ ซึ่งหมายถึงต้องมีแผนสำรองในการแบ็คอัพระบบ แอปพลิเคชัน และข้อมูลสำคัญต่าง ๆ

สรุปได้ว่า การปกป้องข้อมูลสำคัญให้ประสบความสำเร็จในปัจจุบัน โดยไม่ลดทอนการสร้างประสบการณ์ที่ดีให้กับลูกค้า หรือประสิทธิภาพการดำเนินธุรกิจ จำเป็นที่องค์กรต้องจัดการให้เบ็ดเสร็จทั้ง  เครื่อง และ คน บนมิติของการสร้าง ความเชื่อมั่น ต่อตัวระบบไอที การวาง มาตรการรับมือและแจ้งเตือนผลกระทบจากในและนอกองค์กรอย่างทันการณ์ และเพิ่มการตระหนักรู้ถึงแนวทางการใช้งานที่ปลอดภัย เพื่อให้ได้ผลิตภาพด้านการปกป้องข้อมูลที่จบสวยแบบ วิน-วิน ด้วยกันทุกฝ่าย

บทความโดย สุภัค ลายเลิศ กรรมการอำนวยการ และประธานเจ้าหน้าที่ปฏิบัติการ บริษัท ยิบอินซอย จำกัด