[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 จำนวนโครงการรักษาความปลอดภัยข้อมูลก็เพิ่มขึ้นอย่างรวดเร็วเช่นกัน แต่ละอุตสาหกรรมมีข้อกำหนดด้านกฎระเบียบสำหรับความปลอดภัยของข้อมูลที่แตกต่างกันและกลยุทธ์สำหรับความปลอดภัยของข้อมูลค่อนข้างแตกต่างกัน ในหัวข้อ keynote นี้ Xiaosheng Tan, CEO ของ Genius Cyber tech จะมาเล่าเกี่ยวกับความปลอดภัยของข้อมูลซึ่งเป็นโดเมนใหม่ที่กำลังเป็นกระแสในจีน

ในปี 2020 รัฐบาลจีนประกาศว่าข้อมูลคือปัจจัยที่ 5 ของการผลิต และรัฐบาลได้ส่งเสริมการดำเนินการ 3 ประการเพื่อส่งเสริมตลาดและอุตสาหกรรมที่เกี่ยวกับข้อมูล ดังนี้

  • ส่งเสริมการแบ่งปันข้อมูลภาครัฐอย่างเปิดเผย
  • ยกระดับคุณค่าของทรัพยากรข้อมูลทางสังคม
  • เสริมสร้างการบูรณาการและความปลอดภัยของข้อมูล ทรัพยากร

จากนั้นอุตสาหกรรมข้อมูลของจีนก็ได้เติบโตขึ้นเรื่อย ๆ จนกระทั่งจีนได้ออกกฎหมายเบื้องต้นซึ่งจะเป็นรากฐานสำคัญของกฎหมาย data security ซึ่งประกอบไปด้วย

  1. Data Property Right
  2. Circulation Transaction
  3. Income Distribution
  4. Security Governance

แต่ว่ากฎหมายเหล่านี้ยังมีข้อบกพร่องทำให้ยากต่อการนำไปใช้จริง หลังจากนั้นจีนจึงได้ออกระเบียบข้อบังคับเกี่ยวกับความปลอดภัยของข้อมูลมา 4 ข้อ ได้แก่

  1. Regulations on the Classified Protection of Cybersecurity
  2. Regulation on Protecting the Security of Critical Information Infrastructure
  3. Regulation on the Administration of Commercial Cipher Codes
  4. Draft Regulations on the Administration of Network Data Security

ซึ่งจีนยังสร้างการรับรองความปลอดภัยของข้อมูลให้กับองค์กรที่มีการประยุกต์ใช้ระเบียบข้อบังคับข้างต้นด้วยผ่าน 3 ใบรับรองดังนี้

  1. Data Security Management Certification
  2. Personal Information Protection Certification
  3. Mobile Internet application program (APP) security certification

ตลาดอุตสาหกรรมความปลอดภัยของข้อมูลกำลังเติบโตขึ้นเรื่อยๆ

ในปี 2022, ตลาดอุตสาหกรรมความปลอดภัยของข้อมูลมีมูลค่าประมาณ 1 พันล้านดอลลาร์สหรัฐฯต่อปี เพิ่มขึ้นประมาณ 35.5% และมีการจัดซื้อผลิตภัณฑ์ข้อมูลถึง 31,000 ผลิตภัณฑ์ต่อปี ซึ่งเพิ่มขึ้นประมาณ 90.5% สูงกว่าอัตราการเติบโตเฉลี่ยของอุตสาหกรรม โดยผู้บุกเบิกโครงการด้านความปลอดภัยของข้อมูลนั้นหลัก ๆ จะเป็นอุตสาหกรรมเกี่ยวกับ รัฐบาล ผู้ให้บริการ และสถาบันด้านการเงิน ที่อัตตราการขยายตัวนี้จึงนำไปสู่การสร้างระบบและแพลตฟอร์ม โดยแต่ละอุตสาหกรรมมักมีข้อกำหนดด้านกฎระเบียบสำหรับความปลอดภัยของข้อมูลและกลยุทธ์แตกต่างกันออกไป

เทคโนโลยี และการบริการทางด้านความปลอดภัยของข้อมูล

เทคโนโลยีและการบริการด้านความปลอดภัยของข้อมูลนั้นครอบคลุมไปตั้งแต่การเก็บข้อมูล ขนส่งข้อมูล จนถึงการทำลายข้อมูล ดังนี้

  • Data Classification/Categorization – การคัดแยกและจัดหมวดหมู่ข้อมูลเพื่อทราบถึงความสำคัญเช่น ข้อมูลสาธารณะ ข้อมูลความลับ และความเป็นเจ้าของอย่าง ข้อมูลส่วนบุคคล หรือข้อมูลของบริษัท เป็นต้น ที่กระบวนการนี้ยังไม่สามารถทำได้โดยอัตโนมัติ ต้องอาศัยคนช่วยจัดหมวดหมู่ และยังมีปัญหาเรื่องมาตรฐานการคัดแยกที่ยังไม่ชัดเจนอีกด้วย
  • Access Control –การควบคุมการเข้าถึงข้อมูลเป็นสิ่งสำคัญสำหรับการทำ Zero Trust Architecture โดยการจัดการมีหลายรูปแบบ ซึ่งการเลือกใช้ให้เข้ากับธุรกิจก็เป็นความท้าทายอย่างหนึ่ง
  • Data Transmission – เป็นการบริการเกี่ยวกับการส่งข้อมูล ที่ยังรักษาความถูกต้อง และไม่ให้มีเหตุข้อมูลรั่วไหล
  • Data Storage – บริการเกี่ยวกับการเก็บข้อมูล การเข้ารหัส และการสำรองข้อมูล
  • Data Exchange – บริการเกี่ยวกับการแลกเปลี่ยนข้อมูลให้มีความปลอดภัย เช่น การตรวจดูข้อมูลที่ส่งผ่าน API หรือการทำ data masking เป็นต้น

การมาของ data security ยังทำให้เกิดนวัตกรรมใหม่มากมาย เช่น Attack Framework ของการโจมตีในด้านข้อมูล ระบบการการจัดการเส้นทางของข้อมูล ระบบการจัดการโครงสร้างพื้นฐานแบบใหม่และอื่นๆ

Data security จะเป็นเรื่องใหญ่ในอนาคต

Data security ยังคงเป็นเรื่องใหม่ คาดว่าน่าจะเป็นอีกแขนงนึงที่มีขนาดใหญ่ไม่แพ้ Cyber security แต่ปัจจุบัน Data security ยังมีท้าทายอยู่มาก ซึ่งอาจต้องใช้เวลาในการพัฒนาอีก 5 ถึง 10 ปี และการมาของ AI อาจช่วยให้ Data Security ทำได้ง่ายขึ้น

เมื่อมองไปในอนาคต ความปลอดภัยของข้อมูลจะเป็นอุตสาหกรรมขนาดใหญ่ที่สามารถเทียบได้กับความปลอดภัยทางไซเบอร์ได้อย่างแน่นอน”  – Xiaosheng กล่าว

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ Zero-day 4 รายการและช่องโหว่อื่นอีก 55 รายการ

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ทั้งหมด 55 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่ถูกนำไปใช้โจมตีแล้ว