CDIC 2018: สรุปแนวโน้มด้านภัยคุกคามและประเด็นด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุดในไทย

ทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงาน “Cyber Defense Initiative Conference (CDIC) 2018” ซึ่งเป็นงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทย จึงได้สรุปเนื้อหาในเซสชัน Keynote ไม่ว่าจะเป็นเรื่องแผนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ, อัปเดตร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ล่าสุด และแนวโน้มด้านภัยคุกคามไซเบอร์ในปี 2019 มาให้ได้อ่านกันครับ

ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติต้องครอบคลุมทุกมิติ

พลโทเจิดวุธ คราประยูร รองผู้บัญชาการสถาบันวิชาการป้องกันประเทศ กองบัญชาการกองทัพไทย ได้ออกมาสรุปถึงการทำแผนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติล่าสุด ซึ่งเป็นแผน 20 ปีที่กำลังจัดทำโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมอยู่ในขณะนี้ โดยระบุว่าแผนดังกล่าวจะใช้หลัก Comprehensive Security คือ ความมั่นคงปลอดภัยต้องครอบคลุมทุกมิติ ไม่ว่าจะเป็นด้านสังคม เทคโนโลยี สภาพแวดล้อม เศรษฐกิจ การเมือง และการทหาร รวมไปถึงอาศัยการประเมินช่องโหว่และภัยคุกคามเป็นหัวใจสำคัญ

แผนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติแบ่งออกเป็น 5 แผนแม่บทซึ่งมีเป้าหมายและตัวชี้วัดดังต่อไปนี้

“แผนยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติถือเป็น 1 ใน 5 ประเด็นสำคัญและเร่งด่วนที่สุดของประเทศไทยในปัจจุบัน เพื่อให้บรรลุวิสัยทัศน์ ประเทศที่มีความมั่นคง มั่งคั่ง และยั่งยืน” — พลโทเจิดวุธกล่าว

ร่าง พ.ร.บ. ไซเบอร์ถูกปรับแก้ประเด็นที่ขัดแย้งแล้ว

พ.ต.อ. ญาณพล ยั่งยืน กรรมการผู้ทรงคุณวุฒิด้านการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศและการสื่อสาร ได้ออกมาอัปเดตร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ล่าสุด หลังจากที่มีการหลากหลายประเด็นที่มีความขัดแย้ง โดยเฉพาะอย่างยิ่งเรื่องการให้อำนาจแก่เจ้าหน้าที่ที่มากจนเกินไป ซึ่งสามารถสรุปโดยสังเขปได้ ดังนี้

• พ.ร.บ. ไซเบอร์ มีหลักการเพื่อความมั่นคงปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ (CII) และจะต้องไม่ละเมิดสิทธิของประชาชน
• คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) มีโครงสร้างดังแสดงในรูปด้านล่าง ซึ่งสำนักงาน กปช. จะเป็นหน่วยงานของรัฐ มีฐานะเป็นนิติบุคคล ไม่เป็นส่วนราชการหรือรัฐวิสาหกิจ และให้ทำงานด้านความมั่นคงปลอดภัยไซเบอร์อย่างเดียว ห้ามทำธุรกิจเพื่อหารายได้ ห้ามเข้าถือหุ้นหรือเป็นหุ้นส่วน ห้ามเข้าร่วมทุนกับนิติบุคคล ห้ามกู้ยืมเงิน และหากมีรายได้ต้องนำส่งคลังเป็นรายได้แผ่นดิน

• เพิ่มเติมข้อความที่มาตรา 9 เพื่อเน้นให้ กปช. มีหน้าที่และอำนาจเพื่อคุ้มครอง CII เท่านั้น
• มาตรา 32 เปลี่ยนจากเลขาธิการมีอำนาจเบ็ดเสร็จเด็ดขาด ไปเป็นให้เลขาธิการภายใต้การควบคุมดูแลของ กปช. แทน
• ยกเลิกมาตรา 47 ที่ระบุว่า หากพบว่าหน่วยงานใดยังไม่ได้มาตรฐานขั้นต่ำ เลขาธิการอาจขอดูข้อมูลการออกแบบและตั้งค่า ข้อมูลการทำงาน และข้อมูลอื่นใดที่เห็นว่าจำเป็นได้ ไปเป็นให้ กปช. เสนอต่อนายกรัฐมนตรี หรือคณะรัฐมนตรี เพื่อใช้อำนาจในทางบริหารสั่งการไปยังหน่วยงานนั้นๆ เพื่อให้ดำเนินการแก้ไขจนได้มาตรฐาน (กรณีที่เป็นหน่วยงานของรัฐ) หรือให้แจ้งไปยังหน่วยงานควบคุมหรือกำกับดูแล เพื่อใช้มาตรการต่างๆ ตามหน้าที่และอำนาจ เพื่อให้หน่วยงานนั้นๆ ดำเนินการแก้ไขจนได้มาตรฐาน (กรณีที่เป็นหน่วยงานเอกชน)
• ยกเลิกมาตรา 49 ที่ระบุว่า หากพบว่าหน่วยงานใดประเมินความเสี่ยงไม่เป็นที่น่าพอใจ เลขาธิการอาจขอให้ดำเนินการประเมินความเสี่ยงใหม่อีกครั้ง หรือหากยังไม่ดีขึ้น อาจเข้าไปขอปรับปรุงแผน ไปเป็นแนวทางเดียวกับมาตรา 47 ดังที่กล่าวไปด้านบน
• มาตรา 58 การดำเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์ ได้แก่ การกำจัดมัลแวร์ การปรับปรุงซอฟต์แวร์เพื่อจัดการกับข้อบกพร่อง ยกเลิกการเชื่อมต่อชั่วคราว หรือหยุดการดำเนินกิจกรรมใดๆ รวมไปถึงการเข้าถึงข้อมูลคอมพิวเตอร์หรือข้อมูลทรัพย์สินสารสนเทศที่เกี่ยวข้องเพื่อป้องกันภัยคุกคามไซเบอร์จำเป็นต้องขอหมายศาลก่อน
• มาตรา 59 ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ในระดับร้ายแรง กปช. หรือ คปมช. ต้องขอหมายศาลก่อนจึงจะสามารถเข้าถึงทรัพย์สินสารสนเทศ ทดสอบการทำงานของคอมพิวเตอร์ หรือยึดหรืออายัดคอมพิวเตอร์ได้ ทั้งนี้ต้องไม่เกิน 30 วัน
• มีการกำหนดบทลงโทษแก่พนักงานเจ้าหน้าที่เพิ่มเติม
• บทเฉพาะกาล ส่วนใหญ่ยกเลิกของเดิมเกือบทั้งหมด

“ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ล่าสุดถูกปรับให้ดีขึ้นกว่าเดิมแล้ว” — พ.ต.อ. ญาณพล กล่าว

10 อันดับภัยคุกคามไซเบอร์ที่ควรจับตามองในปี 2019

อาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้ง ACIS ระบุว่า การทำ Digital Transformation นั้น แท้ที่จริงแล้วไม่ใช่เรื่องทางฝั่งเทคโนโลยีเพียงอย่างเดียว แต่เป็นฝั่งธุรกิจโดยตรง ต้องพูดคุย วางแผน กำหนดแนวทางในเชิงธุรกิจเพื่อสร้างมูลค่าหรือโอกาส โดยที่ฝั่งเทคโนโลยีมีหน้าที่ในการสนับสนุน ดังนั้นแล้ว การที่องค์กรจะทำ Digital Transformation ให้ประสบความสำเร็จจะต้องเริ่มที่บอร์ดบริหารและ C-level แล้วไล่ระดับลงมาถึงพนักงานในองค์กรทุกๆ คน

“Digital Transformation คือการผสานรวมเทคโนโลยีดิจิทัลเข้ากับทุกแอเรียของธุรกิจ ซึ่งจะก่อให้เกิดการเปลี่ยนแปลงพื้นฐานทั้งในด้านการดำเนินธุรกิจและการส่งมอบมูลค่าและบริการให้แก่ลูกค้า” — อาจารย์ปริญญายกคำจำกัดความของ Fortinet มาสรุป

นอกจากนี้ อาจารย์ปริญญายังได้สรุปแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่ควรจับตามองในปี 2019 ซึ่งวิจัยโดยห้องปฏิบัติการของ ACIS ดังต่อไปนี้

1. การโจมตีแบบ State-sponsored Attack ที่มีหน่วยงานรัฐหนุนหลังจะมีแนวโน้มเพิ่มขึ้น ซึ่งอาจจะไม่ได้พุ่งเป้าที่การแฮ็กเพื่อสร้างความเสียหายโดยตรง แต่ใช้เป็นฐานในการโจมตีประเทศอื่นๆ ต่อ
2. GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะทวีความเข้มข้นขึ้น ปีหน้าจะได้เห็นหลายๆ ประเทศเอาจริงเอาจังกับกฎหมายดังกล่าว
3. การทำ Incident Management จะเป็นวัฏจักรที่สมบูรณ์เพื่อรองรับแนวคิด Cyber Resilience
4. เหตุ Data Breach จากการใช้ Public Cloud จะเกิดบ่อยมากขึ้น เนื่องจากการไม่มีมาตรการควบคุมที่รัดกุมเพียงพอ
5. การโจมตีที่พบส่วนใหญ่ยังคงเป็นการโจมตีที่รู้จักกันอยู่แล้ว (ไม่ใช่ Zero-day) โดยเฉพาะอย่างยิ่งการโจมตีที่มาจากอีเมล
6. การพิสูจน์ตัวตนแบบ Single-Factor Authentication จะลดน้อยลง เปลี่ยนไปเป็น 2-Factor หรือ Multi-factor มากขึ้น
7. IoT และ OT จะตกเป็นเป้าหมายของแฮ็กเกอร์มากขึ้น
8. AI เป็นดาบ 2 คม ซึ่งช่วยสนับสนุน SOC ให้สามารถรับมือต่อภัยคุกคามได้มีประสิทธิภาพยิ่งขึ้น แต่ในขณะเดียวกัน แฮ็กเกอร์ก็สามารถนำ AI ไปใช้เพื่อให้การโจมตีประสบผลสำเร็จมากยิ่งขึ้น
9. เรื่องอื้อฉาว ดราม่า หรือการกลั่นแกลงออนไลน์บนโซเชียลมีเดียจะทวีความรุนแรงยิ่งขึ้น
10. Digital Transformation จะก้าวไปสู่การเป็น Cybersecurity Transformation

“แน่นอนว่าหัวใจสำคัญของการทำ Digital Transformation ที่มีเทคโนโลยีดิจิทัลมาเกี่ยวข้องคือ Cyber Resilience ตอนนี้แค่ป้องกันภัยคุกคามอย่างเดียวไม่เพียงพออีกแล้ว ระบบของเราต้องทนทานต่อการถูกโจมตีและสามารถให้บริการเพื่อให้ธุรกิจดำเนินต่อไปได้โดยไม่หยุดชะงัก” — อาจารย์ปริญญากล่าวปิดท้าย

สำหรับประเด็นด้านความมั่นคงปลอดภัยไซเบอร์ที่น่าสนใจอื่นๆ สามารถเข้ามาเยี่ยมชมงาน CDIC 2018 เพื่อแลกพูดคุยและแลกเปลี่ยนความรู้ได้จนถึงวันที่ 28 พฤศจิกายน 2018 ณ ไบเทค บางนา