Breaking News

สรุป Panel Discussion: “การคุ้มครองข้อมูลในยุคดิจิทัล” ในงาน Cybersecurity Summit 2016 โดย Palo Alto Networks

palo_alto_logo_2

Palo Alto Networks และกลุ่มพันธมิตร ร่วมจัดงาน Cybersecurity Summit ประจำปี 2016 ภายใต้หัวข้อ “Security in the Digital Age” เพื่ออัปเดตแนวโน้มด้านภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ พร้อมร่วมเสวนาแลกเปลี่ยนความคิดเห็นกับผู้เชี่ยวชาญชื่อดังจากเมืองไทย ซึ่งบทความก่อนหน้านี้ทีมงาน TechTalkThai ได้เขียนสรุปภาพรวมงานสัมมนาไปแล้ว บทความนี้จะมาสรุปประเด็นที่เหล่าผู้เชี่ยวชาญถกกันใน Panel Discussion ครับ

palo_alto_cybersec_summit_2016_4

Panel Discussion นี้จัดขึ้นในหัวข้อ “Safeguarding Information in a Digital Age” ซึ่งทาง Palo Alto Networks ได้เชิญผู้เชี่ยวชาญจากสาขาต่างๆ ในประเทศไทย ได้แก่ หน่วยงานรัฐบาล การเงิน และการศึกษา มาร่วมเสวนาเพื่อแลกเปลี่ยนความรู้และข้อคิดเห็น ประกอบด้วย

  • คุณ Nut Payongsri ผู้เชี่ยวชาญด้านเทคนิค ส่วนป้องกันและปราบปรามอาชญากรรมไซเบอร์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
  • Dr. Kitti Kosavisutte รองประธานและหัวหน้าทีมบริหารจัดการความมั่นคงปลอดภัย ธนาคารกรุงเทพ
  • Prof. Songkrant Muneenam หัวหน้ากลุ่มบริการเครือข่ายสื่อสาร ศูนย์คอมพิวเตอร์ มหาวิทยาลัยสงขลานครินทร์ วิทยาเขตหาดใหญ่

palo_alto_cyber_summit_2016_6

เรียงจากซ้ายไปขวา: คุณ Thitirat (Palo Alto Networks), Dr. Kitti (ธนาคารกรุงเทพ), คุณ Nut (กระทรวงดิจิทัลฯ), Prof. Songkrant (มหาวิทยาลัยสงขลาฯ) และคุณ Woranon (Palo Alto Networks)

คุณ Thitirat: ก่อนอื่นเลยต้องขอกราบสวัสดีแขกผู้มีเกียรติทุกท่าน และวิทยากรทั้ง 3 ท่านที่ให้เกียรติมาร่วมแชร์ประสบการณ์ทางด้านความมั่นคงปลอดภัยไซเบอร์ในวันนี้นะคะ เพื่อไม่ให้เป็นการเสียเวลา ดิฉันขอเริ่มต้นที่คำถามแรกเลย … 5 สิ่งที่ควรพิจารณาเพื่อรับมือกับความเสี่ยงในยุค Digital Economy มีอะไรบ้าง

Dr. Kitti: อย่างแรกเลยก็คือ เทคโนโลยีที่องค์กรเราใช้อยู่มีอะไรบ้าง ตามมาด้วย Governance Process คือ กระบวนการต่างๆ ในองค์กรของเรามีการกำกับดูแลดีเพียงพอไหม ไม่ใช่มีดีแค่เทคโนโลยีเพียงอย่างเดียว อย่างที่สามคือ External Party เช่น สื่อ และ Law Enforcement เรามีการบริหารจัดการกลุ่มคนเหล่านี้ได้อย่างไร อย่างที่สี่คือ Awareness เราจำเป็นต้องมีกระบวนการในการให้ความเข้าใจแก่ลูกค้าและหน่วยงานภายนอก และอย่างที่ห้าคือกฏหมาย ขณะนี้เรากำลังมีการปรับปรุงกฏหมายและออกกฏหมายใหม่ๆ มากมาย ทำอย่างไรเราจึงจะปฏิบัติตามกฏหมายเหล่านั้นได้อย่างถูกต้อง

คุณ Nut: ขอเสริมจากที่ Dr. Kitti พูดไปครับ สิ่งที่ต้องพิจารณาอย่างแรกคือ How to response … องค์กรพร้อมที่จะรับมือกับภัยคุกคามได้เร็วแค่ไหน และผู้บริหารมี Direction ที่ถูกต้องหรือไม่ ถัดมาคือ True Understanding เราเข้าใจระบบเครือข่ายและการบให้บริการของเราดีมากน้อยแค่ไหน มีการฝึกซ้อม มีการจำลองสถานการณ์เพื่อรับมือกับภัยคุกคามหรือไม่ อย่างไร และอย่างสุดท้ายคือ การ Pen Test คน องค์กรจะต้องมีการตรวจสอบว่ามีบุคคลภายในนำข้อมูลไปเปิดเผยภายนอกหรือไม่ และจะมีวิธีป้องกันได้อย่างไร

Prof. Songkrant: คนอื่นตอบไปหมดแล้ว ผมก็ขอเน้นย้ำที่เรื่อง Awareness ละกันครับ สำหรับสถานศึกษาเองเรามองว่าการทำให้นักศึกษาเข้าใจและตระหนักถึงภัยคุกคามไซเบอร์เป็นสิ่งสำคัญ เราต้องมีมาตรการเพื่อให้ความรู้แก่นักศึกษาเพื่อให้พวกเขาเดินไปในทิศทางที่ถูกต้อง

คุณ Woranon: คำถามที่สองครับ คิดว่าอะไรเป็นความเสี่ยงที่ Concern มากที่สุดในปัจจุบัน

Dr. Kitti: ตอบในฐานะของธุรกิจธนาคารก็ต้องเป็นชื่อเสียงครับ ความเชื่อมั่นของลูกค้าเป็นสิ่งสำคัญมาก ถ้าถูกแฮ็ค ชื่อเสียงพังทลายไป เป็นเรื่องยากมากที่จะทำให้ลูกค้ากลับมาไว้ใจเรา

Prof. Songkrant: ในมหาวิทยาลัยผมเองคงเป็นเรื่องการใส่ร้ายกันระหว่างกลุ่มนักศึกษา โดยอาจจะใช้ Social Media เช่น Facebook โพสต์ข้อความว่าร้ายกัน สร้างความเดือดร้อนให้แก่กัน ซึ่งสิ่งเหล่านี้ผิด พ.ร.บ. คอมพิวเตอร์ทั้งสิ้น เสี่ยงตัวเด็กอาจถูกฟ้องร้อง

คุณ Nut: ในส่วนของหน่วยงานรัฐเอง ปัจจุบันนี้มีสาขาอยู่เป็นจำนวนมาก เช่น องค์การบริหารส่วนท้องถิ่น ซึ่งสาขาเหล่านี้ใช้แพลตฟอร์มเดียวกันหมด แต่เมื่อเจอช่องโหว่ จะมีเฉพาะส่วนกลางเท่านั้นที่รู้ เนื่องจากไม่มีการซิงค์ข้อมูลกัน ทำให้ส่วนท้องถิ่นกลายเป็นช่องทางให้แฮ็คเกอร์โจมตีเข้ามายังส่วนกลางได้ ที่สำคัญคือ ส่วนกลางมักไม่ทราบว่ากำลังถูกโจมตีอยู่ เนื่องจากเป็นทราฟฟิคที่มาจากส่วนท้องถิ่นนั่นเอง การแชร์ข้อมูลและกระจายการรักษาความมั่นคงปลอดภัยออกไปให้ทุกภาคส่วนปลอดภัยจึงเป็นสิ่งที่ท้าทายมากสำหรับพวกเรา แต่ก็ยังมีอีกปัญหาหนึ่งคือ งบประมาณทางด้านความมั่นคงปลอดภัยมีจำกัด จึงทำให้ไม่สามารถพัฒนาอะไรได้มาก

คุณ Thitirat: ถัดมานะคะ ทั้งสามท่านคิดว่าการแชร์ข้อมูล Threat Intelligence ระหว่างองค์กรมีข้อดีข้อเสียอย่างไร

คุณ Nut: การแชร์ Threat Intelligence สำหรับผมคงเป็นการทำ Centralized Management มาที่ส่วนกลาง ซึ่งช่วยให้สามารถแจ้งเตือนช่องโหว่ไปยังส่วนท้องถิ่นได้ง่าย รวามไปถึงเมื่อส่วนท้องถิ่นมีปัญหาก็สามารถแจ้งกลับมายังส่วนกลางได้เช่นกัน นอกจากนี้ เมื่อมีการแชร์ข้อมูลภัยคุกคามร่วมกันทั้งหมดก็จะช่วยให้ระงับเหตุต่างๆ ได้อย่างรวดเร็ว

Prof. Songkrant: เราควรต้องมีการสร้างความตระหนัก และกระตุ้นให้ผู้ดูแลระบบทราบว่าตนเองกำลังตกเป็นเหยื่อของอาชญากรไซเบอร์ อย่างเช่น ในส่วนของมหาวิทยาลัยเอง เราก็มีการพูดคุยกัน มีการรวบรวมลิสต์ของเว็บไซต์ของมหาวิทยาลัยที่ถูกแฮ็ค เหล่านี้มีข้อดีคือช่วยให้เราสามารถพัฒนาระบบให้มีความมั่นคงปลอดภัยที่ดียิ่งขึ้นได้ แต่ก็มีข้อเสียคือเมื่อเราแชร์ข้อมูลออกไปให้สาธารณะทราบ ก็อาจส่งผลกระทบต่อชื่อเสียงของเราได้ด้วยเช่นกัน

Dr. Kitt: การแชร์ข้อมูลด้านความมั่นคงปลอดภัยระหว่างกันมีประโยชน์อยู่แล้ว เพียงแต่เราต้องพิจารณาว่า จะแชร์อย่างไรให้เกิดประโยชน์ ยกตัวอย่างเช่น แชร์ Lesson Learn เมื่อเราทราบว่าทำแบบนี้ไม่ได้ผล ก็เปลี่ยนไปใช้วิธีอื่นแทน สิ่งสำคัญคือเราควรตั้งต้นจาก Information Classification คือ ข้อมูลที่จะแชร์มีความสำคัญแค่ไหน จะแชร์ให้ใคร และเปิดเผยได้มากน้อยแค่ไหน แต่ละองค์กรควรมากำหนดข้อตกลงร่วมกัน ไม่งั้นถ้าเกิดข้อมูลรั่วไหลออกไปมากจนเกินไปก็จะไม่ดี ต้องพิจารณาความพอดีของการแชร์ให้รอบคอบ แล้วทุกคนก็จะได้ประโยชน์ร่วมกันทั้งหมดโดยไม่มีการสูญเสียอะไร

คุณ Woranon: คำถามที่ 4 ครับ ในต่างประเทศ ถ้าถูก Data Breach หรือข้อมูลของลูกค้ารั่วไหลออกจากองค์กร จะต้องแจ้งให้ลูกค้าทราบ และประกาศเรื่องราวที่เกิดขึ้นให้สาธารณชนรับรู้ แล้วในไทยล่ะครับ คิดว่าสมควรทำหรือไม่

คุณ Nut: จริงๆ แล้วในไทยเองก็มี พ.ร.บ. คุ้มครองผู้บริโภคอยู่แล้วนะครับ ซึ่งระบุว่า ต้องแจ้งถ้ามีเหตุการณ์แบบนี้เกิดขึ้น แต่ถ้าไม่แจ้งเนี่ย ผู้บริโภคก็สามารถร้องเรียนได้ ในส่วนของ พ.ร.บ. คอมพิวเตอร์เองก็กำลังแก้ไขกันอยู่ โดยเนื้อหาจะให้ความสำคัญกับบริษัทเอกชนมากขึ้น แต่ก็ต้องเก็บความลับระหว่างลูกค้าให้มั่นคงปลอดภัย

Dr. Kitti: โดยปกติแล้วลูกค้าจะอยากรู้ว่า “เกิดอะไรขึ้น” และ “กระทบกับพวกเขาอย่างไร” ซึ่งจริงๆ แล้ว “เกิดอะไรขึ้น” เนี่ย ลูกค้าฟังไปอาจจะไม่เข้าใจหรือไม่สนใจก็ได้ แต่ “กระทบกับเขาอย่างไร” ถ้าแจ้งให้ลูกค้าเข้าใจได้ทุกอย่างก็จบ ดังนั้น องค์กรควรจะมีนโยบายและแนวทางในการอธิบายเหตุการณ์ด้านความมั่นคงปลอดภัยให้ลูกค้าเข้าใจและไม่เป็นกังวลต่อเหตุการณ์ที่เกิดขึ้น

คุณ Thitirat: มาถึงคำถามข้อสุดท้าย ในยุค Thailand 4.0 เอง ทุกหน่วยงานมีการนำ IT Digital ใหม่ๆ มาใช้งาน เช่น Fin Tech, Bitcoin, E-learning และอื่นๆ อีกมากมาย คำถามคือ ทำอย่างไรถึงจะผลักดันให้ผู้บริโภคใช้บริการเหล่านี้

Prof. Songkrant: ต้องทำให้ผู้บริโภคเข้าใจล่ะครับว่า การใช้เทคโนโลยีดิจิทัลมีความเสี่ยงก็จริง แต่ก็ได้ Productivity ที่เพิ่มมากขึ้น ได้ประโยชน์มากขึ้น ที่สำคัญคือเราต้องให้ความรู้กับผู้ใช้งาน เมื่อผู้ใช้เข้าใจและใช้งานได้อย่างถูกต้องก็จะสามารถลดความเสี่ยงลงได้

คุณ Nut: ผมมีคำเดียวครับ คือ “อย่าไปกลัวเทคโนโลยี” แต่ต้องเรียนรู้มันให้เข้าใจ และใช้มันให้เป็น ก่อนที่จะใช้งานเทคโนโลยีต่างๆ ควรอ่านเงื่อนไขการใช้งาน จะได้ทราบว่าเทคโนโลยีนั้นๆ ทำอะไรกับเราบ้าง จะได้ตัดสินใจเลือกใช้ได้ถูก นอกจากนี้ควรศึกษาวิธีแก้ไขปัญหาเบื้องต้น เมื่อมีปัญหาเกิดขึ้นจะได้จัดการรับมือกับปัญหาได้ถูกวิธี

Dr. Kitti: Digital Age เป็นการยุคที่มีการนำเทคโนโลยีเข้ามาใช้ในการธนาคาร เราจะ Transform คนเข้าสู่ยุคดิจิทัลได้อย่างไร ต้องเตรียมตัวเปลี่ยนแปลงอย่างไรบ้าง และต้องเรียนรู้อะไร การทำความเข้าใจเทคโนโลยีจึงเป็นสิ่งสำคัญ การเข้าสู่ยุคดิจิทัลเร็วเกินไปอาจก่อให้เกิดความเสี่ยง เพราะบางคนปรับตัวตามไม่ทัน ไม่เข้าใจเทคโนโลยี ทำให้เกิดปัญหาและช่องโหว่ให้ภัยคุกคามไซเบอร์ ผลลัพธ์คือเกิดความไม่เท่าเทียมกันของคนในสังคม ดังนั้นแล้ว เราควรสร้างความเข้าใจให้แก่ผู้บริโภคทุกคน เพื่อลดความไม่เท่าเทียมกัน ให้ทุกคนสามารถใช้เทคโนโลยีได้อย่างถูกต้องและเต็มประสิทธิภาพ ทุกคนจะได้เดินไปด้วยกันได้

หมายเหตุ สรุป Panel Discussion ในบทความนี้ มีการปรับเปลี่ยนคำพูดเล็กน้อยเพื่อให้ผู้อ่านสามารถอ่านบทความได้ลื่นไหล ไม่ติดขัด โดยยังคงไว้ซึ่งเนื้อหาตามที่วิทยากรได้พูดไว้ในงาน และไม่มีการเสริมแต่งคำพูดเพิ่มเติมใดๆ


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

FMS เรียนเชิญผู้สนใจเข้าร่วม Workshop เจาะลึกระบบการผลิต และสินค้าคงคลัง ด้วย SAP Business One ฟรี 4 ต.ค. นี้

FMS ร่วมกับ SAP Thailand – ขอเชิญลูกค้ากลุ่ม โรงงาน และ อุตสาหกรรมการผลิต เข้าร่วมงาน สัมมนา Workshop ฟรี “เจาะลึกระบบการผลิต และ สินค้าคงคลัง ด้วย SAP Business One” ในวันศุกร์ …

[รีวิว] ASUS ExpertBook P1440 โน้ตบุ๊ครุ่น Commercial จาก ASUS ตอบโจทย์การทำงานทั้งด้านธุรกิจและการศึกษา

เนื่องจากทางทีมงาน ASUS ในประเทศไทยนั้นต้องการจะเปิดตลาดสินค้าในฝั่ง Commercial ทั้งในส่วนของ Notebook และ PC ทางทีมงาน TechTalkThai จึงได้รับอุปกรณ์ของ ASUS มาเพื่อทำการทดสอบใช้งานจริงกันจำนวนมาก ซึ่งก็ถือว่าค่อนข้างน่าสนใจทีเดียว โดยในบทความแรกนี้จะขอรีวิวถึงการใช้งาน ASUS ExpertBook P1440 ซึ่งเป็น Notebook รุ่นสำหรับภาคธุรกิจให้ทุกท่านได้รู้จักกันก่อนดังนี้ครับ