NCSA แนะ 7 แนวทางยกระดับทักษะ Cybersecurity  พร้อม PDPC ชี้กฎหมายลำดับรองจะบังคับใช้มากขึ้น

โลกยุคดิจิทัลที่ภัยคุกคามทางไซเบอร์นั้นอยู่ใกล้ตัวมากกว่าที่คิด กดผิดเพียงแค่คลิกเดียวก็อาจจะทำให้ถูกขโมยเงิน หรือองค์กรถูกโจมตีโดนละเมิดข้อมูลไปได้ง่าย ๆ เช่นนี้เอง เรื่องความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) จึงเป็นเรื่องของ “ทุกคน” ในทุกองค์กรที่ต้องให้ความสำคัญ นอกจากเรื่องเทคโนโลยีที่ใช้งานแล้ว ในเรื่องทักษะของ “คน” คือสิ่งที่ต้องเรียนรู้อัปเดตให้เท่าทันกับรูปแบบการโจมตีใหม่ ๆ และภัยคุกคามที่อาจแฝงตัวมาอย่างแนบเนียนอยู่เสมอ

จากงานสัมมนาโครงการอบรมการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ครั้งที่ 22 หรือ Cyber Defense Initiative Conference 2023 (CDIC 2023) ทางสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) ได้ให้คำแนะนำในการยกระดับทักษะ Cybersecurity ขององค์กรใน 7 แนวทาง รวมทั้งนโยบายที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) จะช่วยปกป้องข้อมูลส่วนบุคคลอย่างเข้มข้นมากขึ้น มีรายละเอียดอะไรบ้าง ตามได้ในบทความนี้

ภายในงาน พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้ชี้ให้เห็นว่ายุคปัจจุบัน เรื่องภัยคุกคามนั้นเป็นเหมือนเรื่องทั่วไปที่ทุกองค์กรจะต้องให้ความสำคัญ เพราะปัจจุบันในเชิง Cybersecurity นั้น ประเภทองค์กรอาจจะเหลือแค่ประเภทเดียวแล้วคือ “องค์กรที่ถูกแฮกไปแล้ว” ซึ่งองค์กรใดที่บอกว่ายังไม่เคยถูกแฮกมาก่อน นั่นอาจจะเป็นเพราะว่าไม่ได้มีการตรวจสอบอย่างเข้มข้นก็เป็นได้

แม้ว่าจะมีการประกาศพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกมา แต่ก็พบว่าการป้อมปรามด้วยการประกาศบทลงโทษนั้นไม่ได้ทำให้การโจมตีลดน้อยลงไปแต่อย่างใด ด้วยเหตุผลสำคัญคือ “จับตัวได้ยาก” และต่อให้จับได้ “ก็มีรายใหม่เกิดขึ้นมาอาศัยช่องโหว่ที่มีเรื่อย ๆ” ดังนั้น สกมช. จึงเน้นย้ำเสมอมาว่าทุกองค์กรจะต้องยกระดับด้าน Cybersecurity อยู่เสมอ เพื่อลดโอกาสที่จะถูกโจมตีให้น้อยที่สุดเท่าที่จะเป็นไปได้

“ทุกวันนี้เหลือองค์กรอยู่ประเภทเดียวแล้ว คือองค์กรประเภทที่ถูกแฮกแล้ว และก็จะถูกแฮกอีก มันจึงเป็นธรรมชาติที่ทุกองค์กรจะต้องเตรียมตัวให้พร้อม”พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าว

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้แนะนำแนวทางในการยกระดับ Cybersecurity ไว้ 7 แนวทาง ได้แก่

1. การให้การศึกษากับบุคคลากรตั้งแต่ระดับ Board of Director

ความรู้ความเข้าใจเรื่อง Cybersecurity จะต้องเริ่มต้นตั้งแต่ระดับ Board of Director ไปจนถึงบุคคลากรทุกคนในองค์กรที่ต้องเข้าใจความเสี่ยงขององค์กรว่ามีอะไรบ้าง เพราะ Board of Director ต้องเข้าใจว่าเป็นปัญหาของทั้งหน่วยงาน ไม่ใช่ฝ่ายไอทีเพียงส่วนเดียวเท่านั้น ดังนั้น องค์กรจะต้องมีการตรวจสอบแบบ Proactive ว่าระบบ อุปกรณ์ หรือซอฟต์แวร์ทุกอย่างอยู่ในสถานะปกติดีหรือไม่ ไม่ใช่สนใจแค่เฉพาะตอนที่เกิดเหตุขึ้นแล้ว เช่น กล้องวงจรปิดทำงานได้ปกติดีหรือไม่ มีการอัปเดต Patch ซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดแล้วหรือไม่ เป็นต้น

2. บุคคลากรอีกส่วนที่ต้องพัฒนา คือคนที่เกี่ยวข้องกับระบบ

นอกจากพัฒนาพนักงานในองค์กรแล้ว คนที่เกี่ยวข้องกับระบบต่าง ๆ เช่น นักพัฒนาระบบ นักทดสอบระบบ หรือ Outsource ที่ดูแลให้องค์กรก็จะต้องมีการพัฒนาองค์กรความรู้ไปพร้อมกันด้วย เช่น การทำ Secure Coding, Secure Design เป็นต้น เพราะใช้วิธีพัฒนาระบบแล้วมาทดสอบหลังจากระบบเสร็จเพียงแค่จุดเดียวจะไม่เพียงพออีกต่อไป และที่สำคัญถ้าหากว่าพบช่องโหว่อันเนื่องการออกแบบผิดพลาดตั้งแต่แรกก็จะส่งผลให้ต้องรื้อระบบกระทบการใช้งานได้อย่างมีนัยสำคัญ

3. สร้างความรู้สึกมีส่วนร่วมให้เป็นหนึ่งเดียวกัน

งานด้าน Cybersecurity คืองานที่ต้อง “ทำเป็นทีม” ไม่ใช่แค่เฉพาะทีม Cybersecurity หรือว่าทีมไอทีอย่างเดียวเท่านั้นอีกต่อไปแล้ว ดังนั้นการสร้างความรู้สึกให้พนักงานทุกคนในองค์กรเป็นหนึ่งเดียวกัน รับผิดชอบด้วยกันทั้งหมด จึงเป็นสิ่งที่สำคัญ ซึ่งต้องปรับแนวทางการวัดประสิทธิภาพ (Performance) เพื่อช่วยส่งเสริมให้มีการทำงานเป็นทีมที่ดีขึ้น เร็วขึ้น และแนะนำได้ว่าควรจะต้องปรับปรุงอะไร

4. ส่วนการป้องกันต้องรวมศูนย์ เห็นภาพชัดเจน

ในส่วนการป้องกันทางไซเบอร์นั้นควรจะต้องรวมศูนย์ไว้เพื่อทำให้เห็นภาพชัดเจน ว่าส่วนไหนมีสิ่งผิดปกติ และตรวจสอบได้อย่างรวดเร็วว่ามีสิ่งผิดปกติอะไรตรงไหนบ้าง ซึ่งหลาย ๆ ครั้ง การโจมตีมักจะรุกคืบเข้ามาในเครือข่ายมาเป็นระยะเวลานาน ๆ ไม่ใช่เกิดขึ้นเพียงชั่วข้ามคืนอีกด้วย ดังนั้น การมีระบบสนับสนุนจะช่วยทำให้การสืบค้นหาเหตุการณ์ต่าง ๆ ได้อย่างรวดเร็วจะทำให้เห็นภาพรวมและสามารถจัดการได้อย่างทันท่วงที

5. มองการถูกโจมตีกลับมาที่องค์กรตัวเองเสมอ ว่ามีโอกาสถูกโจมตีแบบนั้นไหม

หากพบเห็นข่าวหรือเหตุการณ์ว่าองค์กรใดถูกโจมตีหรือละเมิดข้อมูลเกิดขึ้น อยากให้องค์กรต่าง ๆ ลองพิจารณาเป็นเหมือนกรณีศึกษาที่จะต้องนำมาตรวจสอบภายในองค์กรตัวเองด้วยว่ามีโอกาสที่จะถูกโจมตีในลักษณะแบบนั้นได้หรือไม่ หรือว่าองค์กรมีรูรั่วแบบที่คล้าย ๆ กันอยู่หรือไม่ เพื่อจะได้เร่งหาทางปิดช่องโหว่เหล่านั้นได้ทันก่อนที่จะภัยคุกคามจะเข้ามาที่องค์กร

6. การให้ความรู้ไม่ควรโฟกัสเฉพาะคนทำงานด้านไอที

หลังจากแฮกเกอร์เริ่มมาโจมตีตัวบุคคล เพื่อขโมยข้อมูล Credential สำคัญเพื่อไปใช้โจมตีในขั้นต่อ ๆ ไป จึงทำให้เรื่องความรู้ความเข้าใจในเรื่อง Cybersecurity นั้นไม่ใช่แค่เฉพาะฝ่ายไอทีหรือ Cybersecurity อีกต่อไป ดังเช่นกรณี Facebook ภาครัฐถูกแฮกนั้นพบว่าเพราะผู้ดูแล Facebook องค์กรไม่ใช่คนไอที แต่เป็นงานด้านประชาสัมพันธ์ที่ใช้รหัสผ่านที่คาดเดาได้ง่าย หรือถูกหลอกเอารหัส Credential ไปได้โดยง่าย เป็นต้น ดังนั้นการฝึกอบรมจึงต้องส่งไปที่พนักงานทั่วทั้ง Supply Chain ที่แตะต้องข้อมูลทั้งหมด

7. อย่าวัดผลแค่จำนวนคนและความพึงพอใจ แต่ต้องเน้นที่ผลลัพธ์

วัฒนธรรมองค์กรแบบดั้งเดิมจะต้องเปลี่ยนแปลงไป โดยเฉพาะเรื่องการฝึกอบรมที่ควรจะต้องพิจารณาที่ผลลัพธ์เป็นสำคัญ มากกว่าจำนวนครั้ง จำนวนคนที่เข้าร่วม หรือความพึงพอใจในการเข้าร่วมสัมมนา ซึ่งควรจะต้องพิจารณาว่าเหตุการณ์ภัยคุกคามที่เกิดขึ้นในองค์กรนั้นมีแนวโน้มลดลงไปหรือไม่ หรือว่าทดสอบภายใน เช่น การส่งอีเมลเพื่อหลอกล่อเอาข้อมูลส่วนบุคคล (Phishing) ให้กับพนักงานดูว่าจะรับและกดคลิกหรือไม่ เพื่อทดสอบว่าองค์กรโดยรวมมีภูมิต้านทานที่ดีขึ้น เป็นต้น

นอกจากนี้ ในงาน ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เปิดนโยบายที่ได้สั่งการในการคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มมีความเข้มข้นจริงมากมากขึ้นเรื่อย ๆ โดยแบ่งออกเป็น 3 ระยะได้แก่

  • เร่งด่วน 30 วัน ด้วยการตั้ง ศูนย์เฝ้าระวัง PDPC Eagle Eye ที่จะช่วยตรวจสอบเฝ้าระวังการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบด้วยเทคโนโลยีต่าง ๆ เช่น AI หรือ Social Listening พร้อมป้องปรามการซื้อขายข้อมูลส่วนบุคลด้วยความร่วมมือกับตำรวจไซเบอร์ สกมช. และหน่วยงานพันธมิตรต่าง ๆ ที่จะเริ่มเพิ่มความเคร่งครัดตามกฎระเบียบมากขึ้นเรื่อย ๆ หลังจากนี้
  • ภายใน 6 เดือน เร่งผลักด้นให้ภาครัฐมีการใช้ Cloud กลางมากขึ้น ที่ง่ายขึ้นและดีขึ้นกว่าเดิม
  • ภายใน 1 ปี เร่งปรับปุรงกฎหมายต่าง ๆ รวมถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมทั้ง พ.ร.บ. ไซเบอร์ฯ และ พ.ร.บ. คอมพิวเตอร์ฯ ให้มีประสิทธิภาพมากขึ้นกว่าเดิม

นอกจากนี้ ในช่วงที่ผ่านมา สคส. ยังได้ออกกฎหมายลำดับรองเพิ่มเติมออกมาอีกหลายฉบับด้วยกัน โดยส่วนสำคัญที่ทุกองค์กรจะต้องรู้นั้น เช่น

  • หากองค์กรใดมีเหตุถูกละเมิดข้อมูลเกิดขึ้น ให้แจ้งเหตุการณ์ดังกล่าวกับทาง สคส. ภายใน 72 ชั่วโมง หากแต่ขยายระยะเวลาได้ถึง 15 วันถ้าหากเป็นกรณีจำเป็น
  • องค์กรต้องเริ่มจัดตั้งตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ทั้งหน่วยงานภาครัฐและเอกชนตามเงื่อนไข ซึ่งต้องแจ้งให้ สคส. ด้วยว่ามีหน่วยงานไหนบ้าง พร้อมชื่อ เบอร์ติดต่อที่ชัดเจน
  • สำหรับภาคเอกชน ต้องจัดให้มี DPO ในหน่วยงานที่เก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมาก และติดตามการใช้งานอย่างสม่ำเสมอ ซึ่งเงื่อนไขมีหลากหลาย เช่น ถ้าหน่วยงานมีการจัดเก็บข้อมูลส่วนบุคคลเกิน 100,000 เร็กคอร์ด จะต้องมีการจัดตั้ง DPO ด้วย เป็นต้น

หากองค์กรจัดตั้ง DPO เรียบร้อย ทาง สคส. มีแนวคิดที่จะสร้างเป็นเครือข่ายมาประชุมอัปเดตร่วมกันอย่างต่อเนื่อง โดยในอนาคต สคส. จะเป็นศูนย์กลางให้กับประชาชน เช่น ถ้าติดต่อ DPO ของหน่วยงานไม่ได้ ให้ติดต่อมาที่ สคส. ได้เลยที่เดียว ว่าจะถอนความยินยอมในธุรกิจอะไร เป็นต้น

นอกจากนี้ สคส. ยังเตรียมการประกาศกฎหมายตัวอื่น ๆ เพิ่มเติมที่ยังคงอยู๋ในระหว่างการประกาศ ซึ่งคาดว่าจะประกาศภายในสิ้นปีได้ เนื่องจากอยู่ในขั้นตอนสุดท้าย ซึ่งเชื่อว่าจะยิ่งทำให้เรื่องข้อมูลส่วนบุคคลมีความสำคัญมากขึ้นและจะยิ่งเข้มข้นขึ้นอีกในเร็ววันนี้

“อยากจะเน้นย้ำว่าทาง สคส. ให้ความสำคัญ และอยากให้ทุกคนเชื่อมั่นในเรื่องการบังคับใช้กฎหมาย PDPA นั้นจะเป็นไปอย่างเคร่งครัด”ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าว

จากทั้งหมดข้างต้น เรื่องการพัฒนาบุคคลากรให้รู้เท่าทันภัยคุกคามนั้นคือคือหนึ่งในปัจจัยสำคัญที่จะทำให้เกิดการเปลี่ยนแปลงขององค์กรในโลก Cybersecurity และที่สำคัญหลังจากนี้ เรื่องกฎระเบียบปฏิบัติจะเริ่มมีการบังคับอย่างเข้มข้นมากขึ้นแล้วด้วย ดังนั้น องค์กรจึงควรเร่งปรับเปลี่ยนจากเป้าหมายที่เป็นมนุษย์ (Human Target) ให้กลายกลายเป็นมนุษย์ที่มีภูมิคุ้มกันจนเป็นเสมือนไฟร์วอลล์มนุษย์ (Human Firewall) ที่ช่วยปกป้ององค์กรให้รอดพ้นภัยคุกคามในหลาย ๆ กรณีได้นั่นเอง

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

[NETIZEN Webinar EP.1] How Can SAP AI Copilot Joule Help You Revolutionize Your Business?

NETIZEN ร่วมกับ SAP ขอเชิญเข้าร่วมงานสัมมนาออนไลน์เรื่อง “How Can SAP AI Copilot Joule Help You Revolutionize Your Business?” …