โลกยุคดิจิทัลที่ภัยคุกคามทางไซเบอร์นั้นอยู่ใกล้ตัวมากกว่าที่คิด กดผิดเพียงแค่คลิกเดียวก็อาจจะทำให้ถูกขโมยเงิน หรือองค์กรถูกโจมตีโดนละเมิดข้อมูลไปได้ง่าย ๆ เช่นนี้เอง เรื่องความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) จึงเป็นเรื่องของ “ทุกคน” ในทุกองค์กรที่ต้องให้ความสำคัญ นอกจากเรื่องเทคโนโลยีที่ใช้งานแล้ว ในเรื่องทักษะของ “คน” คือสิ่งที่ต้องเรียนรู้อัปเดตให้เท่าทันกับรูปแบบการโจมตีใหม่ ๆ และภัยคุกคามที่อาจแฝงตัวมาอย่างแนบเนียนอยู่เสมอ
จากงานสัมมนาโครงการอบรมการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ครั้งที่ 22 หรือ Cyber Defense Initiative Conference 2023 (CDIC 2023) ทางสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) ได้ให้คำแนะนำในการยกระดับทักษะ Cybersecurity ขององค์กรใน 7 แนวทาง รวมทั้งนโยบายที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) จะช่วยปกป้องข้อมูลส่วนบุคคลอย่างเข้มข้นมากขึ้น มีรายละเอียดอะไรบ้าง ตามได้ในบทความนี้
พ.ร.บ. ไซเบอร์ฯ ไม่ได้ทำให้การโจมตีลดลง
ภายในงาน พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้ชี้ให้เห็นว่ายุคปัจจุบัน เรื่องภัยคุกคามนั้นเป็นเหมือนเรื่องทั่วไปที่ทุกองค์กรจะต้องให้ความสำคัญ เพราะปัจจุบันในเชิง Cybersecurity นั้น ประเภทองค์กรอาจจะเหลือแค่ประเภทเดียวแล้วคือ “องค์กรที่ถูกแฮกไปแล้ว” ซึ่งองค์กรใดที่บอกว่ายังไม่เคยถูกแฮกมาก่อน นั่นอาจจะเป็นเพราะว่าไม่ได้มีการตรวจสอบอย่างเข้มข้นก็เป็นได้
แม้ว่าจะมีการประกาศพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกมา แต่ก็พบว่าการป้อมปรามด้วยการประกาศบทลงโทษนั้นไม่ได้ทำให้การโจมตีลดน้อยลงไปแต่อย่างใด ด้วยเหตุผลสำคัญคือ “จับตัวได้ยาก” และต่อให้จับได้ “ก็มีรายใหม่เกิดขึ้นมาอาศัยช่องโหว่ที่มีเรื่อย ๆ” ดังนั้น สกมช. จึงเน้นย้ำเสมอมาว่าทุกองค์กรจะต้องยกระดับด้าน Cybersecurity อยู่เสมอ เพื่อลดโอกาสที่จะถูกโจมตีให้น้อยที่สุดเท่าที่จะเป็นไปได้
“ทุกวันนี้เหลือองค์กรอยู่ประเภทเดียวแล้ว คือองค์กรประเภทที่ถูกแฮกแล้ว และก็จะถูกแฮกอีก มันจึงเป็นธรรมชาติที่ทุกองค์กรจะต้องเตรียมตัวให้พร้อม” — พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าว
7 แนวทางการยกระดับ Cybersecurity โดย สกมช.
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้แนะนำแนวทางในการยกระดับ Cybersecurity ไว้ 7 แนวทาง ได้แก่
1. การให้การศึกษากับบุคคลากรตั้งแต่ระดับ Board of Director
ความรู้ความเข้าใจเรื่อง Cybersecurity จะต้องเริ่มต้นตั้งแต่ระดับ Board of Director ไปจนถึงบุคคลากรทุกคนในองค์กรที่ต้องเข้าใจความเสี่ยงขององค์กรว่ามีอะไรบ้าง เพราะ Board of Director ต้องเข้าใจว่าเป็นปัญหาของทั้งหน่วยงาน ไม่ใช่ฝ่ายไอทีเพียงส่วนเดียวเท่านั้น ดังนั้น องค์กรจะต้องมีการตรวจสอบแบบ Proactive ว่าระบบ อุปกรณ์ หรือซอฟต์แวร์ทุกอย่างอยู่ในสถานะปกติดีหรือไม่ ไม่ใช่สนใจแค่เฉพาะตอนที่เกิดเหตุขึ้นแล้ว เช่น กล้องวงจรปิดทำงานได้ปกติดีหรือไม่ มีการอัปเดต Patch ซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดแล้วหรือไม่ เป็นต้น
2. บุคคลากรอีกส่วนที่ต้องพัฒนา คือคนที่เกี่ยวข้องกับระบบ
นอกจากพัฒนาพนักงานในองค์กรแล้ว คนที่เกี่ยวข้องกับระบบต่าง ๆ เช่น นักพัฒนาระบบ นักทดสอบระบบ หรือ Outsource ที่ดูแลให้องค์กรก็จะต้องมีการพัฒนาองค์กรความรู้ไปพร้อมกันด้วย เช่น การทำ Secure Coding, Secure Design เป็นต้น เพราะใช้วิธีพัฒนาระบบแล้วมาทดสอบหลังจากระบบเสร็จเพียงแค่จุดเดียวจะไม่เพียงพออีกต่อไป และที่สำคัญถ้าหากว่าพบช่องโหว่อันเนื่องการออกแบบผิดพลาดตั้งแต่แรกก็จะส่งผลให้ต้องรื้อระบบกระทบการใช้งานได้อย่างมีนัยสำคัญ
3. สร้างความรู้สึกมีส่วนร่วมให้เป็นหนึ่งเดียวกัน
งานด้าน Cybersecurity คืองานที่ต้อง “ทำเป็นทีม” ไม่ใช่แค่เฉพาะทีม Cybersecurity หรือว่าทีมไอทีอย่างเดียวเท่านั้นอีกต่อไปแล้ว ดังนั้นการสร้างความรู้สึกให้พนักงานทุกคนในองค์กรเป็นหนึ่งเดียวกัน รับผิดชอบด้วยกันทั้งหมด จึงเป็นสิ่งที่สำคัญ ซึ่งต้องปรับแนวทางการวัดประสิทธิภาพ (Performance) เพื่อช่วยส่งเสริมให้มีการทำงานเป็นทีมที่ดีขึ้น เร็วขึ้น และแนะนำได้ว่าควรจะต้องปรับปรุงอะไร
4. ส่วนการป้องกันต้องรวมศูนย์ เห็นภาพชัดเจน
ในส่วนการป้องกันทางไซเบอร์นั้นควรจะต้องรวมศูนย์ไว้เพื่อทำให้เห็นภาพชัดเจน ว่าส่วนไหนมีสิ่งผิดปกติ และตรวจสอบได้อย่างรวดเร็วว่ามีสิ่งผิดปกติอะไรตรงไหนบ้าง ซึ่งหลาย ๆ ครั้ง การโจมตีมักจะรุกคืบเข้ามาในเครือข่ายมาเป็นระยะเวลานาน ๆ ไม่ใช่เกิดขึ้นเพียงชั่วข้ามคืนอีกด้วย ดังนั้น การมีระบบสนับสนุนจะช่วยทำให้การสืบค้นหาเหตุการณ์ต่าง ๆ ได้อย่างรวดเร็วจะทำให้เห็นภาพรวมและสามารถจัดการได้อย่างทันท่วงที
5. มองการถูกโจมตีกลับมาที่องค์กรตัวเองเสมอ ว่ามีโอกาสถูกโจมตีแบบนั้นไหม
หากพบเห็นข่าวหรือเหตุการณ์ว่าองค์กรใดถูกโจมตีหรือละเมิดข้อมูลเกิดขึ้น อยากให้องค์กรต่าง ๆ ลองพิจารณาเป็นเหมือนกรณีศึกษาที่จะต้องนำมาตรวจสอบภายในองค์กรตัวเองด้วยว่ามีโอกาสที่จะถูกโจมตีในลักษณะแบบนั้นได้หรือไม่ หรือว่าองค์กรมีรูรั่วแบบที่คล้าย ๆ กันอยู่หรือไม่ เพื่อจะได้เร่งหาทางปิดช่องโหว่เหล่านั้นได้ทันก่อนที่จะภัยคุกคามจะเข้ามาที่องค์กร
6. การให้ความรู้ไม่ควรโฟกัสเฉพาะคนทำงานด้านไอที
หลังจากแฮกเกอร์เริ่มมาโจมตีตัวบุคคล เพื่อขโมยข้อมูล Credential สำคัญเพื่อไปใช้โจมตีในขั้นต่อ ๆ ไป จึงทำให้เรื่องความรู้ความเข้าใจในเรื่อง Cybersecurity นั้นไม่ใช่แค่เฉพาะฝ่ายไอทีหรือ Cybersecurity อีกต่อไป ดังเช่นกรณี Facebook ภาครัฐถูกแฮกนั้นพบว่าเพราะผู้ดูแล Facebook องค์กรไม่ใช่คนไอที แต่เป็นงานด้านประชาสัมพันธ์ที่ใช้รหัสผ่านที่คาดเดาได้ง่าย หรือถูกหลอกเอารหัส Credential ไปได้โดยง่าย เป็นต้น ดังนั้นการฝึกอบรมจึงต้องส่งไปที่พนักงานทั่วทั้ง Supply Chain ที่แตะต้องข้อมูลทั้งหมด
7. อย่าวัดผลแค่จำนวนคนและความพึงพอใจ แต่ต้องเน้นที่ผลลัพธ์
วัฒนธรรมองค์กรแบบดั้งเดิมจะต้องเปลี่ยนแปลงไป โดยเฉพาะเรื่องการฝึกอบรมที่ควรจะต้องพิจารณาที่ผลลัพธ์เป็นสำคัญ มากกว่าจำนวนครั้ง จำนวนคนที่เข้าร่วม หรือความพึงพอใจในการเข้าร่วมสัมมนา ซึ่งควรจะต้องพิจารณาว่าเหตุการณ์ภัยคุกคามที่เกิดขึ้นในองค์กรนั้นมีแนวโน้มลดลงไปหรือไม่ หรือว่าทดสอบภายใน เช่น การส่งอีเมลเพื่อหลอกล่อเอาข้อมูลส่วนบุคคล (Phishing) ให้กับพนักงานดูว่าจะรับและกดคลิกหรือไม่ เพื่อทดสอบว่าองค์กรโดยรวมมีภูมิต้านทานที่ดีขึ้น เป็นต้น
สคส. เตรียมเอาจริงบังคับใช้กฎหมายเข้มข้นมากขึ้น
นอกจากนี้ ในงาน ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เปิดนโยบายที่ได้สั่งการในการคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มมีความเข้มข้นจริงมากมากขึ้นเรื่อย ๆ โดยแบ่งออกเป็น 3 ระยะได้แก่
- เร่งด่วน 30 วัน ด้วยการตั้ง “ศูนย์เฝ้าระวัง PDPC Eagle Eye” ที่จะช่วยตรวจสอบเฝ้าระวังการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบด้วยเทคโนโลยีต่าง ๆ เช่น AI หรือ Social Listening พร้อมป้องปรามการซื้อขายข้อมูลส่วนบุคลด้วยความร่วมมือกับตำรวจไซเบอร์ สกมช. และหน่วยงานพันธมิตรต่าง ๆ ที่จะเริ่มเพิ่มความเคร่งครัดตามกฎระเบียบมากขึ้นเรื่อย ๆ หลังจากนี้
- ภายใน 6 เดือน เร่งผลักด้นให้ภาครัฐมีการใช้ Cloud กลางมากขึ้น ที่ง่ายขึ้นและดีขึ้นกว่าเดิม
- ภายใน 1 ปี เร่งปรับปุรงกฎหมายต่าง ๆ รวมถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมทั้ง พ.ร.บ. ไซเบอร์ฯ และ พ.ร.บ. คอมพิวเตอร์ฯ ให้มีประสิทธิภาพมากขึ้นกว่าเดิม
นอกจากนี้ ในช่วงที่ผ่านมา สคส. ยังได้ออกกฎหมายลำดับรองเพิ่มเติมออกมาอีกหลายฉบับด้วยกัน โดยส่วนสำคัญที่ทุกองค์กรจะต้องรู้นั้น เช่น
- หากองค์กรใดมีเหตุถูกละเมิดข้อมูลเกิดขึ้น ให้แจ้งเหตุการณ์ดังกล่าวกับทาง สคส. ภายใน 72 ชั่วโมง หากแต่ขยายระยะเวลาได้ถึง 15 วันถ้าหากเป็นกรณีจำเป็น
- องค์กรต้องเริ่มจัดตั้งตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ทั้งหน่วยงานภาครัฐและเอกชนตามเงื่อนไข ซึ่งต้องแจ้งให้ สคส. ด้วยว่ามีหน่วยงานไหนบ้าง พร้อมชื่อ เบอร์ติดต่อที่ชัดเจน
- สำหรับภาคเอกชน ต้องจัดให้มี DPO ในหน่วยงานที่เก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมาก และติดตามการใช้งานอย่างสม่ำเสมอ ซึ่งเงื่อนไขมีหลากหลาย เช่น ถ้าหน่วยงานมีการจัดเก็บข้อมูลส่วนบุคคลเกิน 100,000 เร็กคอร์ด จะต้องมีการจัดตั้ง DPO ด้วย เป็นต้น
หากองค์กรจัดตั้ง DPO เรียบร้อย ทาง สคส. มีแนวคิดที่จะสร้างเป็นเครือข่ายมาประชุมอัปเดตร่วมกันอย่างต่อเนื่อง โดยในอนาคต สคส. จะเป็นศูนย์กลางให้กับประชาชน เช่น ถ้าติดต่อ DPO ของหน่วยงานไม่ได้ ให้ติดต่อมาที่ สคส. ได้เลยที่เดียว ว่าจะถอนความยินยอมในธุรกิจอะไร เป็นต้น
นอกจากนี้ สคส. ยังเตรียมการประกาศกฎหมายตัวอื่น ๆ เพิ่มเติมที่ยังคงอยู๋ในระหว่างการประกาศ ซึ่งคาดว่าจะประกาศภายในสิ้นปีได้ เนื่องจากอยู่ในขั้นตอนสุดท้าย ซึ่งเชื่อว่าจะยิ่งทำให้เรื่องข้อมูลส่วนบุคคลมีความสำคัญมากขึ้นและจะยิ่งเข้มข้นขึ้นอีกในเร็ววันนี้
“อยากจะเน้นย้ำว่าทาง สคส. ให้ความสำคัญ และอยากให้ทุกคนเชื่อมั่นในเรื่องการบังคับใช้กฎหมาย PDPA นั้นจะเป็นไปอย่างเคร่งครัด” — ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าว
บทส่งท้าย
จากทั้งหมดข้างต้น เรื่องการพัฒนาบุคคลากรให้รู้เท่าทันภัยคุกคามนั้นคือคือหนึ่งในปัจจัยสำคัญที่จะทำให้เกิดการเปลี่ยนแปลงขององค์กรในโลก Cybersecurity และที่สำคัญหลังจากนี้ เรื่องกฎระเบียบปฏิบัติจะเริ่มมีการบังคับอย่างเข้มข้นมากขึ้นแล้วด้วย ดังนั้น องค์กรจึงควรเร่งปรับเปลี่ยนจากเป้าหมายที่เป็นมนุษย์ (Human Target) ให้กลายกลายเป็นมนุษย์ที่มีภูมิคุ้มกันจนเป็นเสมือนไฟร์วอลล์มนุษย์ (Human Firewall) ที่ช่วยปกป้ององค์กรให้รอดพ้นภัยคุกคามในหลาย ๆ กรณีได้นั่นเอง