Guest Posts

โดยกนกศักดิ์ รัชปัตย์ ผู้เชี่ยวชาญทางเทคนิคอาวุโสด้าน Security บริษัท ไอบีเอ็ม ประเทศไทย จำกัด

Product ของ IBM Spectrum Scale คือการนำเทคโนโลยีของ General Parallel File System(GPFS) ซึ่งเป็นผลิตภัณฑ์ที่ได้รับรางวัลต่างๆ มากมายของ IBM และมีการใช้งานมาแล้วค่อนข้างยาวนานพอสมควร ซึ่งความสามารถของ GPFS นี้ก็คือการทำงานในรูปแบบที่เป็น File System โดยสามารถรองรับการเก็บข้อมูลขนาดใหญ่กว่าพันล้าน Petabytes ได้ด้วยประสิทธิภาพในระดับหลายร้อย Gigabyte ต่อวินาที พร้อมกับ Application ต่างๆ ที่มีความสามารถในการข้าถึงข้อมูลเหล่านี้ได้หลากหลายรูปแบบ เช่น NFS, SMB, Object Storage, OpenStack Cinder, OpenStack Swift, OpenStack S3 รวมถึงการนำไปเชื่อมต่อกับ Apache Hadoop เพื่อนำไปใช้ในงานที่เกี่ยวกับการประมวลผลของ Big Data Analytics อีกด้วย

ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) หรือสถาบันการเงินนั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อย ๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณมากแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่าง ๆ เริ่มที่จะมีการปรับตัวในส่วนการทำธุรกรรมในรูปแบบใหม่ ๆ ที่ให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว และปลอดภัยมากยิ่งขึ้น ซึ่งทำให้ในปัจจุบันนั้น เราจะได้ยินคำว่าบล็อกเชน (Blockchain) กันมากขึ้นเรื่อย ๆ

บทความโดย กิตติพงษ์ อัศวพิชยนต์ รองกรรมการผู้จัดการ ธุรกิจซอฟต์แวร์ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด

HPE ร่วมกับ NASA ในการออกแบบและผลิต Supercomputer ในชื่อ Spaceborne เพื่อนำไปทำงานบนสถานีอวกาศ ISS (International Space Station) โดยมีกำหนดการส่งในวันที่ 14 สิงหาคม เวลา 11.31 p.m. โดยประมาณตามเวลาประเทศไทย โดยมีวัตถุประสงค์เพื่อการทดลองนำ Server ที่ใช้บนโลกขึ้นไปทดสอบใช้งานจริงบนสถานีอวกาศเป็นเวลา 1 ปี เพื่อหาข้อบกพร่อง หรือข้อผิดพลาดที่อาจมีขึ้นได้ โดย Server ดังกล่าวต้องผ่านการทดสอบกว่า 146 ขั้นตอนบนพื้นโลกจากองค์การนาซาเสียก่อน

จากกระแส “Digital Disruption” และ “Digital Transformation” ทั่วโลก ทำให้เราคงปฏิเสธไม่ได้ว่า การเปลี่ยนแปลงทางดิจิทัลของโลกมีผลต่อการดำเนินชีวิตประจำวันของมนุษย์ทุกคนบนโลกใบนี้อย่างหลีกเลี่ยงไม่ได้ คำว่า “Digital Disruption” และ “Digital Transformation” เป็นสิ่งที่เราได้ยินได้ฟังกันบ่อยๆ ปัจจัยทั้ง 4 ที่มีผลต่อการเปลี่ยนแปลงทางดิจิทัลดังกล่าวได้แก่ The Four IT Mega Trends in S-M-C-I Era

หลังจากที่ทาง คปภ. ออกประกาศฉบับใหม่เรื่อง “หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560” โดยบริษัทประกันจะต้องผ่านการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security/ Cyber Security) โดยผู้ตรวจสอบอิสระที่มี Certificate CISSP, CISA, CISM, ISO 27001 หรือ โดย CB (Certification Body) เชื่อว่าหลายคนที่อยู่ในวงการคงสนใจ Certificate เหล่านี้มากขึ้น บทความนี้ขอนำ Certificate ที่เป็นที่นิยมอย่าง CISSP, CISA, CISM มาวิเคราะห์กันครับ เผื่อใครกำลังคิดว่าจะสอบอะไรดี

ในยุคที่อินเตอร์เน็ตเป็นเสมือนปัจจัยที่ 5 เราปฏิเสธไม่ได้เลยว่าเราจะอยู่ได้อย่างลำบากมากขึ้นแค่ไหนถ้าไม่มีโลกออนไลน์ ตอนนี้เหมือนว่าทุกอย่างโดนย่อลงไปสู่ในหน้าจอไม่ว่าจะเป็นจอคอมพ์ ไอแพดหรือว่ามือถือ ทุกอย่างดูง่ายไปหมดเพียงแค่ปลายนิ้วคลิก

เราทำประกันก็เพื่อป้องกันความเสี่ยง เรายอมจ่ายเงินจำนวนหนึ่งเรื่อยๆ ทุกๆ ปี เพื่อซื้อความมั่นใจว่าถ้าเกิดเหตุไม่คาดคิดจะมีคนคอยช่วยเราเรื่องค่าใช้จ่าย เรื่องการจัดการ เพราะเราต่างรู้กันว่าเมื่อเจออุบัติเหตุแต่ละครั้งน้ันเสียหายแค่ไหน ทั้งเสียเวลาที่ต้องมาเคลมรถ เสียเวลาที่ต้องป่วย เสียเวลารักษาตัว เสียเงินค่าอะไหล่ เสียเงินค่ารักษาตัว เสียเงินค่ายาค่าบริการ เราซื้อประกันก็เพื่อไม่ต้องปวดหัวกับเรื่องเหล่านี้

จากการแข่งขันที่สูงขึ้นในโลกธุรกิจ หลายองค์กรเริ่มเห็นประโยชน์จากการใช้ Cloud Technology มากขึ้น เพื่อประหยัดต้นทุนในเรื่องของ Infrastructure และการบำรุงรักษา ทำให้มีความคล่องตัวและหันมาใส่ใจในเรื่องของการแข่งขันทางธุรกิจมากขึ้น การสร้างคลาวด์มีหลายรูปแบบ ทางคอมพิวเตอร์ยูเนี่ยน (CU) ขอเสนอการสร้างคลาวด์ด้วย IBM PureApplication และ Docker ที่เป็น Tool ในการสร้าง Environment ช่วยในการติดตั้ง Application รวมถึงการทำ Hybrid Cloud Integration

บทความพิเศษจากผู้อ่าน โดยคุณชานนท์ รวงผึ้งหลวง วิศกรผู้เชี่ยวชาญด้านเทคโนโลยี Enterprise IT หลายแขนง กับการติดตั้ง Nutanix Community Edition (CE) ซึ่งเป็น Nutanix รุ่นฟรีสำหรับทดสอบใช้งานครับ ใครที่สนใจลองทำตามได้เลยครับ จะได้มี Nutanix ส่วนตัวเอาไว้ลองเล่นกันได้

โลกเราเปลี่ยนแปลงอยู่ทุกวัน บริษัทประกันเองก็ถึงเวลาที่ต้องปรับตัว ไม่นานมานี้เราจะเห็นได้ว่า บริษัทประกันยักษ์ใหญ่ของประเทศไทยหลายเจ้าได้จับมือกับ บริษัท startup หรือลงทุนให้กับบริษัท startup เช่น กรุงเทพประกันภัย ที่จับมือกับ frank.co.th บริษัท startup เพื่อให้บริการขายประกัน

ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) นั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อย ๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณมากแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่าง ๆ เริ่มที่จะมีการปรับตัวในส่วนการทำธุรกรรมในรูปแบบใหม่ ๆ ที่ให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว และปลอดภัยมากยิ่งขึ้น ซึ่งทำให้ในปัจจุบันนั้น เราจะได้ยินคำว่าบล็อกเชน (Blockchain) กันมากขึ้นเรื่อย ๆ ตัวอย่างเช่น ธนาคารชั้นนำของประเทศสวิสเซอร์แลนด์อย่าง UBS หรือแม้กระทั่งบริษัทเทคโนโลยีชั้นนำอย่าง IBM เอง ก็เริ่มออกผลิตภัณฑ์ด้านการให้บริการบล็อกเชนออกมาสำหรับในหลาย ๆ ภาคอุตสาหกรรม

Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในมุมของ Security หมายถึง วิธีการส่งข้อมูลระหว่างเครื่องโดยวิธีการที่ทำให้ผู้ที่ดูแล Network นั้นอยู่ไม่รู้ตัว (หรือว่าตรวจสอบได้ยากมาก)

หลายๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security Standard หรือ PCI DSS กันเป็นอย่างดี เพราะ PCI DSS นั้น ถือว่าเป็นมาตรฐานหลัก ที่ได้ถูกออกแบบโดย Payment Card Industry Security Standards Council หรือ PCI SSC มาเพื่อควบคุมการใช้งานข้อมูล ของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต และบัตรเงินสด เพื่อเข้ามาช่วยในการป้องกันการใช้งานข้อมูลบัตรอย่างเหมาะสม และเพื่อลดการเกิดการฉ้อโกงการใช้จ่ายผ่านบัตรอิเล็กทรอนิกส์เหล่านั้น ซึ่งจะรวมถึงบัตรประเภท Visa, MasterCard, American Express, Discovery และ JCB นั่นเอง

การประเมินความเสี่ยงของผู้ให้บริการคลาวด์ (Cloud Service Provider: CSP) เป็นวาระเร่งด่วนของทุกองค์กรที่จะหามาตรฐาน โมเดลหรือเฟรมเวิร์กที่มีประสิทธิผลในการลดความเสี่ยงที่มาจากการ outsource บริการก่อนที่จะเริ่มการซื้อขาย ซึ่งเป็นที่น่าเสียดายว่า มาตรฐานความปลอดภัยส่วนใหญ่ทั้งที่เกี่ยวข้องและไม่เกี่ยวข้องกับคลาวด์ เช่น ISO, CSA, PCI จะว่าด้วยเรื่องการควบคุมความเสี่ยงด้วยวิธีการต่างๆให้สอดคล้องกับธุรกิจของ CSP และออกใบรับรองมาให้ผู้ให้บริการเหล่านั้นแปะไว้ในเว็บไซต์ และแปะหน้า data center ต่างๆ รวมถึงเพื่อเอามาช่วยในการทำการตลาดโดยไม่ได้ลงรายละเอียดอะไรมากไปกว่าขอบเขตของระบบงานที่เกี่ยวข้อง ทำให้ผู้บริโภคที่คิดจะเลือกซื้อคลาวด์ที่มีระดับความปลอดภัยที่เหมาะสมกับองค์กรแบบจริงๆจังๆกลับไม่สามารถทราบถึงรายละเอียดอื่นๆของ CSP ที่อยู่ใต้ใบรับรองดังกล่าวได้มากนัก นอกจากการเสิร์ชผ่านเว็บ เรียกมาพรีเซนต์ หรือ ให้ทำแบบประเมินความเสี่ยง ซึ่งผลลัพธ์ส่วนใหญ่จะมาจากสกิลของผู้ถามและผู้ตอบมากกว่าการได้คำตอบที่เป็นมาตรฐานหรือได้ความจริงทั้ง 100%

ตอนนี้ทั่วโลก รวมไปถึงประเทศไทยมีแนวโน้มกำลังเข้าสู่ยุคแห่งการทำสงครามไซเบอร์ (Cyber Warfare) โดยที่คนในวงการจะพบเจอบ่อยๆ ไม่ว่าจะเป็นการทำ DDoS Attack, Web Defacement เป็นต้น ซึ่งในการทำ Cyber War นั้นจะมีทั้งรูปแบบที่เป็น Attack และ Defense แต่จริงๆแล้วการทำ Cyber War ไม่ใช่เรื่องเทคนิคตามที่เห็นกันเพียงอย่างเดียว โดยยังมีในมุมที่เกี่ยวกับเรื่อง Information Content ด้วย ไม่ว่าจะเป็น การประชาสัมพันธ์ การโฆษณา การให้ข่าว ในปัจจุบันที่ทุกๆ องค์กรทำนื้นก็ใช้ผ่าน Cyber และ/หรือ Social network มากขึ้นเรื่อยๆ ดังนั้นการค้นหาข้อมูล การเสพข่าว การบริโภคสื่อ จึงต้องมีความระมัดระวังเป็นพิเศษ เพราะการรังแก โจมตี โดยสุดท้ายตกเป็นผู้เสียหายกันผ่านทาง Cyber นั้นยิ่งทวีความรุนแรงขึ้นเรื่อยๆ

Spear Phishing Email เป็นภัยคุกคามที่รับมือได้ยากในปัจจุบัน เนื่องจาก Spear Phishing Email เป็นอีเมล์ที่มีเนื้อหาเฉพาะทางเกี่ยวข้องกับชีวิตการทำงาน หรือ ชีวิตประจำวันของเหยื่อที่ตกเป็นเป้าหมาย เช่น จดหมายให้ยืนยันตัวตนผู้ใช้งาน ข้อร้องเรียนจากลูกค้า ใบเสนอราคาจากบริษัทคู่ค้า โปรโมชั่นของสินค้าที่เหยื่อสนใจ เป็นต้น ทั้งหมดมีเป้าหมายเพื่อล่อลวงให้กดลิ๊งค์ ตอบกลับข้อมูลส่วนตัว หรือ เปิดไฟล์ที่แนบมากับอีเมล์ทำให้เครื่องของเหยื่อติดไวรัสหรือโดนขโมยข้อมูลออกไป เนื่องจาก Spear Phishing Email มีความคล้ายคลึงกับอีเมล์ที่ใช้งานในชีวิตประจำวันมาก การตรวจจับโดยเครื่องมือบนระบบเครือข่ายทำได้ยาก การสร้าง Awareness ให้พนักงานแทบจะเป็นทางเดียวที่องค์กรสามารถทำได้เพื่อป้องกันภัยคุกคามนี้ SANS สถาบันที่มีชื่อเสียงด้านการวิจัยการรักษาความปลอดภัยของข้อมูล ได้แนะนำไว้ในงาน RSA Conference ให้องค์กรสร้าง awareness ให้กับพนักงาน โดยการจัดทำ Spear Phishing จริงๆส่งให้กับพนักงาน ประโยชน์ที่จะได้รับคือ องค์กรจะสามารถวิเคราะห์ได้ว่า พนักงานกลุ่มใดมีความเสี่ยงที่จะถูกล่อลวงสูงสุด และ พนักงานมีการตอบสนองเมื่อเจออีเมล์ประเภทนี้อย่างไร เช่น บางคนอาจจะลบอีเมล์ดังกล่าว แต่บางคนอาจจะส่งต่อไปให้เพื่อนเป็นต้น