TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Palo Alto Networks และกลุ่มพันธมิตร ร่วมจัดงาน Cybersecurity Summit ประจำปี 2016 ภายใต้หัวข้อ “Security in the Digital Age” เพื่ออัปเดตแนวโน้มด้านภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ พร้อมร่วมเสวนาแลกเปลี่ยนความคิดเห็นกับผู้เชี่ยวชาญชื่อดังจากเมืองไทย ซึ่งบทความก่อนหน้านี้ทีมงาน TechTalkThai ได้เขียนสรุปภาพรวมงานสัมมนาไปแล้ว บทความนี้จะมาสรุปประเด็นที่เหล่าผู้เชี่ยวชาญถกกันใน Panel Discussion ครับ
Panel Discussion นี้จัดขึ้นในหัวข้อ “Safeguarding Information in a Digital Age” ซึ่งทาง Palo Alto Networks ได้เชิญผู้เชี่ยวชาญจากสาขาต่างๆ ในประเทศไทย ได้แก่ หน่วยงานรัฐบาล การเงิน และการศึกษา มาร่วมเสวนาเพื่อแลกเปลี่ยนความรู้และข้อคิดเห็น ประกอบด้วย
- คุณ Nut Payongsri ผู้เชี่ยวชาญด้านเทคนิค ส่วนป้องกันและปราบปรามอาชญากรรมไซเบอร์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
- Dr. Kitti Kosavisutte รองประธานและหัวหน้าทีมบริหารจัดการความมั่นคงปลอดภัย ธนาคารกรุงเทพ
- Prof. Songkrant Muneenam หัวหน้ากลุ่มบริการเครือข่ายสื่อสาร ศูนย์คอมพิวเตอร์ มหาวิทยาลัยสงขลานครินทร์ วิทยาเขตหาดใหญ่
เรียงจากซ้ายไปขวา: คุณ Thitirat (Palo Alto Networks), Dr. Kitti (ธนาคารกรุงเทพ), คุณ Nut (กระทรวงดิจิทัลฯ), Prof. Songkrant (มหาวิทยาลัยสงขลาฯ) และคุณ Woranon (Palo Alto Networks)
คุณ Thitirat: ก่อนอื่นเลยต้องขอกราบสวัสดีแขกผู้มีเกียรติทุกท่าน และวิทยากรทั้ง 3 ท่านที่ให้เกียรติมาร่วมแชร์ประสบการณ์ทางด้านความมั่นคงปลอดภัยไซเบอร์ในวันนี้นะคะ เพื่อไม่ให้เป็นการเสียเวลา ดิฉันขอเริ่มต้นที่คำถามแรกเลย … 5 สิ่งที่ควรพิจารณาเพื่อรับมือกับความเสี่ยงในยุค Digital Economy มีอะไรบ้าง
Dr. Kitti: อย่างแรกเลยก็คือ เทคโนโลยีที่องค์กรเราใช้อยู่มีอะไรบ้าง ตามมาด้วย Governance Process คือ กระบวนการต่างๆ ในองค์กรของเรามีการกำกับดูแลดีเพียงพอไหม ไม่ใช่มีดีแค่เทคโนโลยีเพียงอย่างเดียว อย่างที่สามคือ External Party เช่น สื่อ และ Law Enforcement เรามีการบริหารจัดการกลุ่มคนเหล่านี้ได้อย่างไร อย่างที่สี่คือ Awareness เราจำเป็นต้องมีกระบวนการในการให้ความเข้าใจแก่ลูกค้าและหน่วยงานภายนอก และอย่างที่ห้าคือกฏหมาย ขณะนี้เรากำลังมีการปรับปรุงกฏหมายและออกกฏหมายใหม่ๆ มากมาย ทำอย่างไรเราจึงจะปฏิบัติตามกฏหมายเหล่านั้นได้อย่างถูกต้อง
คุณ Nut: ขอเสริมจากที่ Dr. Kitti พูดไปครับ สิ่งที่ต้องพิจารณาอย่างแรกคือ How to response … องค์กรพร้อมที่จะรับมือกับภัยคุกคามได้เร็วแค่ไหน และผู้บริหารมี Direction ที่ถูกต้องหรือไม่ ถัดมาคือ True Understanding เราเข้าใจระบบเครือข่ายและการบให้บริการของเราดีมากน้อยแค่ไหน มีการฝึกซ้อม มีการจำลองสถานการณ์เพื่อรับมือกับภัยคุกคามหรือไม่ อย่างไร และอย่างสุดท้ายคือ การ Pen Test คน องค์กรจะต้องมีการตรวจสอบว่ามีบุคคลภายในนำข้อมูลไปเปิดเผยภายนอกหรือไม่ และจะมีวิธีป้องกันได้อย่างไร
Prof. Songkrant: คนอื่นตอบไปหมดแล้ว ผมก็ขอเน้นย้ำที่เรื่อง Awareness ละกันครับ สำหรับสถานศึกษาเองเรามองว่าการทำให้นักศึกษาเข้าใจและตระหนักถึงภัยคุกคามไซเบอร์เป็นสิ่งสำคัญ เราต้องมีมาตรการเพื่อให้ความรู้แก่นักศึกษาเพื่อให้พวกเขาเดินไปในทิศทางที่ถูกต้อง
คุณ Woranon: คำถามที่สองครับ คิดว่าอะไรเป็นความเสี่ยงที่ Concern มากที่สุดในปัจจุบัน
Dr. Kitti: ตอบในฐานะของธุรกิจธนาคารก็ต้องเป็นชื่อเสียงครับ ความเชื่อมั่นของลูกค้าเป็นสิ่งสำคัญมาก ถ้าถูกแฮ็ค ชื่อเสียงพังทลายไป เป็นเรื่องยากมากที่จะทำให้ลูกค้ากลับมาไว้ใจเรา
Prof. Songkrant: ในมหาวิทยาลัยผมเองคงเป็นเรื่องการใส่ร้ายกันระหว่างกลุ่มนักศึกษา โดยอาจจะใช้ Social Media เช่น Facebook โพสต์ข้อความว่าร้ายกัน สร้างความเดือดร้อนให้แก่กัน ซึ่งสิ่งเหล่านี้ผิด พ.ร.บ. คอมพิวเตอร์ทั้งสิ้น เสี่ยงตัวเด็กอาจถูกฟ้องร้อง
คุณ Nut: ในส่วนของหน่วยงานรัฐเอง ปัจจุบันนี้มีสาขาอยู่เป็นจำนวนมาก เช่น องค์การบริหารส่วนท้องถิ่น ซึ่งสาขาเหล่านี้ใช้แพลตฟอร์มเดียวกันหมด แต่เมื่อเจอช่องโหว่ จะมีเฉพาะส่วนกลางเท่านั้นที่รู้ เนื่องจากไม่มีการซิงค์ข้อมูลกัน ทำให้ส่วนท้องถิ่นกลายเป็นช่องทางให้แฮ็คเกอร์โจมตีเข้ามายังส่วนกลางได้ ที่สำคัญคือ ส่วนกลางมักไม่ทราบว่ากำลังถูกโจมตีอยู่ เนื่องจากเป็นทราฟฟิคที่มาจากส่วนท้องถิ่นนั่นเอง การแชร์ข้อมูลและกระจายการรักษาความมั่นคงปลอดภัยออกไปให้ทุกภาคส่วนปลอดภัยจึงเป็นสิ่งที่ท้าทายมากสำหรับพวกเรา แต่ก็ยังมีอีกปัญหาหนึ่งคือ งบประมาณทางด้านความมั่นคงปลอดภัยมีจำกัด จึงทำให้ไม่สามารถพัฒนาอะไรได้มาก
คุณ Thitirat: ถัดมานะคะ ทั้งสามท่านคิดว่าการแชร์ข้อมูล Threat Intelligence ระหว่างองค์กรมีข้อดีข้อเสียอย่างไร
คุณ Nut: การแชร์ Threat Intelligence สำหรับผมคงเป็นการทำ Centralized Management มาที่ส่วนกลาง ซึ่งช่วยให้สามารถแจ้งเตือนช่องโหว่ไปยังส่วนท้องถิ่นได้ง่าย รวามไปถึงเมื่อส่วนท้องถิ่นมีปัญหาก็สามารถแจ้งกลับมายังส่วนกลางได้เช่นกัน นอกจากนี้ เมื่อมีการแชร์ข้อมูลภัยคุกคามร่วมกันทั้งหมดก็จะช่วยให้ระงับเหตุต่างๆ ได้อย่างรวดเร็ว
Prof. Songkrant: เราควรต้องมีการสร้างความตระหนัก และกระตุ้นให้ผู้ดูแลระบบทราบว่าตนเองกำลังตกเป็นเหยื่อของอาชญากรไซเบอร์ อย่างเช่น ในส่วนของมหาวิทยาลัยเอง เราก็มีการพูดคุยกัน มีการรวบรวมลิสต์ของเว็บไซต์ของมหาวิทยาลัยที่ถูกแฮ็ค เหล่านี้มีข้อดีคือช่วยให้เราสามารถพัฒนาระบบให้มีความมั่นคงปลอดภัยที่ดียิ่งขึ้นได้ แต่ก็มีข้อเสียคือเมื่อเราแชร์ข้อมูลออกไปให้สาธารณะทราบ ก็อาจส่งผลกระทบต่อชื่อเสียงของเราได้ด้วยเช่นกัน
Dr. Kitt: การแชร์ข้อมูลด้านความมั่นคงปลอดภัยระหว่างกันมีประโยชน์อยู่แล้ว เพียงแต่เราต้องพิจารณาว่า จะแชร์อย่างไรให้เกิดประโยชน์ ยกตัวอย่างเช่น แชร์ Lesson Learn เมื่อเราทราบว่าทำแบบนี้ไม่ได้ผล ก็เปลี่ยนไปใช้วิธีอื่นแทน สิ่งสำคัญคือเราควรตั้งต้นจาก Information Classification คือ ข้อมูลที่จะแชร์มีความสำคัญแค่ไหน จะแชร์ให้ใคร และเปิดเผยได้มากน้อยแค่ไหน แต่ละองค์กรควรมากำหนดข้อตกลงร่วมกัน ไม่งั้นถ้าเกิดข้อมูลรั่วไหลออกไปมากจนเกินไปก็จะไม่ดี ต้องพิจารณาความพอดีของการแชร์ให้รอบคอบ แล้วทุกคนก็จะได้ประโยชน์ร่วมกันทั้งหมดโดยไม่มีการสูญเสียอะไร
คุณ Woranon: คำถามที่ 4 ครับ ในต่างประเทศ ถ้าถูก Data Breach หรือข้อมูลของลูกค้ารั่วไหลออกจากองค์กร จะต้องแจ้งให้ลูกค้าทราบ และประกาศเรื่องราวที่เกิดขึ้นให้สาธารณชนรับรู้ แล้วในไทยล่ะครับ คิดว่าสมควรทำหรือไม่
คุณ Nut: จริงๆ แล้วในไทยเองก็มี พ.ร.บ. คุ้มครองผู้บริโภคอยู่แล้วนะครับ ซึ่งระบุว่า ต้องแจ้งถ้ามีเหตุการณ์แบบนี้เกิดขึ้น แต่ถ้าไม่แจ้งเนี่ย ผู้บริโภคก็สามารถร้องเรียนได้ ในส่วนของ พ.ร.บ. คอมพิวเตอร์เองก็กำลังแก้ไขกันอยู่ โดยเนื้อหาจะให้ความสำคัญกับบริษัทเอกชนมากขึ้น แต่ก็ต้องเก็บความลับระหว่างลูกค้าให้มั่นคงปลอดภัย
Dr. Kitti: โดยปกติแล้วลูกค้าจะอยากรู้ว่า “เกิดอะไรขึ้น” และ “กระทบกับพวกเขาอย่างไร” ซึ่งจริงๆ แล้ว “เกิดอะไรขึ้น” เนี่ย ลูกค้าฟังไปอาจจะไม่เข้าใจหรือไม่สนใจก็ได้ แต่ “กระทบกับเขาอย่างไร” ถ้าแจ้งให้ลูกค้าเข้าใจได้ทุกอย่างก็จบ ดังนั้น องค์กรควรจะมีนโยบายและแนวทางในการอธิบายเหตุการณ์ด้านความมั่นคงปลอดภัยให้ลูกค้าเข้าใจและไม่เป็นกังวลต่อเหตุการณ์ที่เกิดขึ้น
คุณ Thitirat: มาถึงคำถามข้อสุดท้าย ในยุค Thailand 4.0 เอง ทุกหน่วยงานมีการนำ IT Digital ใหม่ๆ มาใช้งาน เช่น Fin Tech, Bitcoin, E-learning และอื่นๆ อีกมากมาย คำถามคือ ทำอย่างไรถึงจะผลักดันให้ผู้บริโภคใช้บริการเหล่านี้
Prof. Songkrant: ต้องทำให้ผู้บริโภคเข้าใจล่ะครับว่า การใช้เทคโนโลยีดิจิทัลมีความเสี่ยงก็จริง แต่ก็ได้ Productivity ที่เพิ่มมากขึ้น ได้ประโยชน์มากขึ้น ที่สำคัญคือเราต้องให้ความรู้กับผู้ใช้งาน เมื่อผู้ใช้เข้าใจและใช้งานได้อย่างถูกต้องก็จะสามารถลดความเสี่ยงลงได้
คุณ Nut: ผมมีคำเดียวครับ คือ “อย่าไปกลัวเทคโนโลยี” แต่ต้องเรียนรู้มันให้เข้าใจ และใช้มันให้เป็น ก่อนที่จะใช้งานเทคโนโลยีต่างๆ ควรอ่านเงื่อนไขการใช้งาน จะได้ทราบว่าเทคโนโลยีนั้นๆ ทำอะไรกับเราบ้าง จะได้ตัดสินใจเลือกใช้ได้ถูก นอกจากนี้ควรศึกษาวิธีแก้ไขปัญหาเบื้องต้น เมื่อมีปัญหาเกิดขึ้นจะได้จัดการรับมือกับปัญหาได้ถูกวิธี
Dr. Kitti: Digital Age เป็นการยุคที่มีการนำเทคโนโลยีเข้ามาใช้ในการธนาคาร เราจะ Transform คนเข้าสู่ยุคดิจิทัลได้อย่างไร ต้องเตรียมตัวเปลี่ยนแปลงอย่างไรบ้าง และต้องเรียนรู้อะไร การทำความเข้าใจเทคโนโลยีจึงเป็นสิ่งสำคัญ การเข้าสู่ยุคดิจิทัลเร็วเกินไปอาจก่อให้เกิดความเสี่ยง เพราะบางคนปรับตัวตามไม่ทัน ไม่เข้าใจเทคโนโลยี ทำให้เกิดปัญหาและช่องโหว่ให้ภัยคุกคามไซเบอร์ ผลลัพธ์คือเกิดความไม่เท่าเทียมกันของคนในสังคม ดังนั้นแล้ว เราควรสร้างความเข้าใจให้แก่ผู้บริโภคทุกคน เพื่อลดความไม่เท่าเทียมกัน ให้ทุกคนสามารถใช้เทคโนโลยีได้อย่างถูกต้องและเต็มประสิทธิภาพ ทุกคนจะได้เดินไปด้วยกันได้
หมายเหตุ สรุป Panel Discussion ในบทความนี้ มีการปรับเปลี่ยนคำพูดเล็กน้อยเพื่อให้ผู้อ่านสามารถอ่านบทความได้ลื่นไหล ไม่ติดขัด โดยยังคงไว้ซึ่งเนื้อหาตามที่วิทยากรได้พูดไว้ในงาน และไม่มีการเสริมแต่งคำพูดเพิ่มเติมใดๆ
