การประเมินความเสี่ยงของผู้ให้บริการคลาวด์ (Cloud Service Provider: CSP) เป็นวาระเร่งด่วนของทุกองค์กรที่จะหามาตรฐาน โมเดลหรือเฟรมเวิร์กที่มีประสิทธิผลในการลดความเสี่ยงที่มาจากการ outsource บริการก่อนที่จะเริ่มการซื้อขาย ซึ่งเป็นที่น่าเสียดายว่า มาตรฐานความปลอดภัยส่วนใหญ่ทั้งที่เกี่ยวข้องและไม่เกี่ยวข้องกับคลาวด์ เช่น ISO, CSA, PCI จะว่าด้วยเรื่องการควบคุมความเสี่ยงด้วยวิธีการต่างๆให้สอดคล้องกับธุรกิจของ CSP และออกใบรับรองมาให้ผู้ให้บริการเหล่านั้นแปะไว้ในเว็บไซต์ และแปะหน้า data center ต่างๆ รวมถึงเพื่อเอามาช่วยในการทำการตลาดโดยไม่ได้ลงรายละเอียดอะไรมากไปกว่าขอบเขตของระบบงานที่เกี่ยวข้อง ทำให้ผู้บริโภคที่คิดจะเลือกซื้อคลาวด์ที่มีระดับความปลอดภัยที่เหมาะสมกับองค์กรแบบจริงๆจังๆกลับไม่สามารถทราบถึงรายละเอียดอื่นๆของ CSP ที่อยู่ใต้ใบรับรองดังกล่าวได้มากนัก นอกจากการเสิร์ชผ่านเว็บ เรียกมาพรีเซนต์ หรือ ให้ทำแบบประเมินความเสี่ยง ซึ่งผลลัพธ์ส่วนใหญ่จะมาจากสกิลของผู้ถามและผู้ตอบมากกว่าการได้คำตอบที่เป็นมาตรฐานหรือได้ความจริงทั้ง 100%
จริงจังแค่ไหน แค่ไหนเรียกจริงจัง
SOC Report เป็นทางเลือกที่น่าสนใจสำหรับองค์กรที่สนใจเรื่องการบริการจัดการความปลอดภัยของ CSP แบบจริงๆจัง เช่น สถาบันการเงิน หน่วยงานความมั่นคงปลอดภัย หรือ ธุรกิจที่มีข้อมูลความสำคัญสูงที่จะต้องได้รับการปกป้องอย่างยิ่งยวด
SOC มาจากคำว่า Service Organization Control ซึ่งใช้แนวคิดแบบ Trusted Service Principle ซึ่งเขียนให้เข้าใจง่ายๆก็คือ “ประเด็นอะไรบ้างที่ผู้บริโภคได้อ่านแล้วรู้สึกว่าบริการนี้มันน่าเชื่อถือ” โดย SOC จะถูกจัดทำออกมาในรูปแบบของรายงาน (report) ที่ได้จากบุคคลที่สามเข้าไปตรวจสอบพร้อมกับข้อคิดเห็นในประเด็นต่างๆเกี่ยวกับการควบคุมที่ใช้ในธุรกิจที่มีรูปแบบเป็นการให้บริการ เช่น Managed Service, Cloud computing, Payroll services, ISP เป็นต้น และจัดได้ว่า SOC เป็น compliance ชนิดหนึ่ง
ใครบ้างที่ออก SOC ได้
บุคคลที่สามที่สามารถออก SOC report นี้ส่วนมากจะเป็นบริษัทที่ปรึกษาหรือบริษัทผู้ตรวจสอบบัญชีที่มีบริการในลักษณะนี้อยู่ และบริษัทจะต้องอยู่ใน AICPA (American Institute of CPAs, สถาบันผู้สอบบัญชีที่ได้รับอนุญาตแห่งอเมริกา) การออก SOC report จะต้องทำภายใต้ Compliance ชื่อ SSAE16[1] ของสหรัฐอเมริกา เพื่อแสดงถึงข้อผูกพันการรับรองว่าถูกต้องเป็นจริง จึงทำให้มั่นใจว่า SOC report ที่ได้รับนั้นมีความน่าเชื่อถือสูงสุดมากกว่าการให้ CSP ตอบคำถามก่อนซื้อของเราด้วยตนเอง
ประเภทของ SOC
- SOC1 report แสดงการควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย อันนี้ไม่ค่อยตรงใจคอไอทีเท่าไหร่ จึงขอละไว้
- SOC2 ตัวนี้เป็นพระเอกของจริงที่องค์กรจะต้องถามหาทุกครั้ง นั่นคือ SOC2 Report ซึ่งว่า ด้วยหลักการสร้างความน่าเชื่อถือโดยประเมินระบบสารสนเทศในด้าน Security, Availability, Processing Integrity, Confidentiality or Privacy โดยส่วนใหญ่แล้วจะต้องรับทราบถึงเงื่อนไขการใช้งาน (Term of use) ก่อนหรืออาจต้องทำสัญญารักษาความลับ (Non-disclosure Agreement) เนื่องจากข้อมูลมีรายละเอียดด้านเทคนิกเชิงลึกที่เกี่ยวข้องกับ CSP ค่อนข้างมาก
- SOC3 เหมือน SOC2 แต่ไม่ลงรายละเอียดมากนัก สามารถเผยแพร่แบบสาธราณะได้ เพื่อใช้ในการทำการตลาดเป็นหลัก
มีอะไรบ้างใน SOC2
- ขอบเขตของการตรวจประเมินว่า มีบริการอะไรบ้าง ตั้งอยู่ที่ใด เป็นบริการที่เกิดขึ้นระหว่างช่วงเวลาใดของปีใด และความคิดเห็นของผู้ตรวจประเมิน
- หลักความน่าเชื่อถือที่ถูกมาประยุกต์ใช้งานกับบริการ ลักษณะเหมือนกับ SOA (Statement of Applicable) ของ ISO27001 นอกจากนั้นยังมีผลการทดสอบและการตอบสนอง CSP ว่าจะแก้ไขปัญหาดังกล่าวให้อีกด้วย ซึ่งส่วนนี้ SOC3 ไม่มี เฉพาะส่วนนี้อาจจะมีรายละเอียดหลายร้อยข้อทีเดียว
- การอธิบายถึงภาพรวมของสถาปัตยกรรมของบริการที่อยู่ในขอบเขต การจัดเก็บข้อมูล ขั้นตอนการทำงาน บุคคลที่เกี่ยวข้อง รวมถึงการจัดการด้านความปลอดภัย
จากประสบการณ์ที่ผู้เขียนได้คัดเลือก CSP ในหลายสิบโครงการตลอดปีที่ผ่านมา ผู้เขียนขอแชร์สิ่งที่น่าสนใจเกี่ยวกับ SOC2 ดังนี้
- เนื่องจาก SOC2 ออกโดยบริษัทที่ปรึกษาที่อยู่ในอเมริกาเป็นส่วนใหญ่ หาก CSP ตั้งอยู่นอกอเมริกาในประเทศที่ไม่มีสาขาของบริษัทหรือไม่มีการให้บริการตรวจ SOC (เช่น สาขาในประเทศไทยเป็นต้น) คลาวด์นั้นๆก็จะไม่มี SOC2 report ให้ขอ
- SOC2 report เป็นรายงานระดับหนึ่งร้อยหน้าขึ้นไป หากคุณเรียกมาแข่งราคาหลายเจ้า คุณอาจต้องใช้เวลาทั้งสัปดาห์ในการอ่านมัน ดังนั้นหากสนใจเรื่องใด ให้ทางผู้เสนอราคาอ้างอิงกลับมาจะง่ายกว่า
- ไม่ต้องขอ SOC2 report จากทุก CSP หากระบบนั้นไม่ได้จัดเก็บข้อมูลสำคัญขององค์กร แต่อาจจะอนุมานได้ว่า ใครที่ทำ SOC2 report นั้นมีความใส่ใจเรื่องความปลอดภัยของข้อมูลและความพร้อมใช้งานมากกว่าคนที่ไม่ทำ (ความเห็นส่วนตัว)
- ตรวจสอบให้แน่ใจว่า บริการที่เราสนใจอยู่ในขอบเขตของ SOC2 report อย่าให้คนขายหลอกเราได้ และให้แน่ใจว่า สิ่งที่เราได้มีความทันสมัยไม่ได้เป็นรายงานเมื่อหลายปีที่แล้ว
- CSP เจ้าใหญ่ๆเช่น Azure, AWS, Google cloud ล้วนมี SOC2 report ทั้งสิ้น
นอกจาก SOC2 report แล้ว อย่าลืมพิจารณามาตรฐานหรือกรอบการทำงานอื่นๆที่ CSP นำมาใช้ด้วยนะครับ เช่น ISO, COBIT, PCI, CSA เพื่อช่วยให้ผู้บริหารมั่นใจพร้อมที่ใช้บริการของคลาวด์ได้อย่างเต็มที่
บทความโดย: Thanapon B., CISSP, ทำงานอยู่ในสถาบันการเงินขนาดใหญ่แห่งหนึ่ง
อ้างอิง
[1] http://www.ssae16.org