
Digital Transformation (DX) เป็นสิ่งเกิดขึ้นแทบจะทุกองค์กรในขณะนี้ ไม่ว่าทางใดทางหนึ่ง ซึ่งอาจจะถูกขับเคลื่อนด้วยการทำงานรูปแบบใหม่ หลังการแพร่ระบาดของไวรัส หรือเป็นแผนที่วางไว้ก่อนหน้าก็ตาม แต่สิ่งที่เห็นได้ชัดเจนคือ Attack Surface ที่ตามมา ดังนั้นการเปลี่ยนผ่านนี้เององค์กรต้องมีกลยุทธ์ที่สอดคล้องกันด้วย
Fortinet ผู้ให้บริการโซลูชันด้าน Security ชั้นนำจึงได้เผยผลการศึกษาของ IDC เพื่อสะท้อนความเป็นจริงในมุมมองด้านกลยุทธ์ขององค์กร ในภูมิภาคอาเซียนรวมถึงประเทศไทย นอกจากนี้ยังได้แนะนำการพัฒนากลยุทธ์ที่ผู้บริหารหรือองค์กรในไทยสามารถนำไปสำรวจตัวเอง และปรับปรุงแนวทางการป้องกันทางไซเบอร์ของท่าน ให้มีความแข็งแกร่งยิ่งขึ้น ในบทความนี้ TechTalkThai ได้รวบรวมสาระสำคัญของเนื้อหามาให้ผู้สนใจได้ติดตามกันครับ
วิทยากรทั้ง 2 ท่าน ในการบรรยายครั้งนี้คือ ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอวุโส ฝ่ายวิศวกรระบบ และคุณวิทยา จูงหัตถการสาธิต ผู้อำนวยการฝ่ายช่องทางการจัดจำหน่ายจาก Fortinet


พื้นผิวการโจมีขยายตัวกว้างกว่าที่เคยเป็น
Digital Transformation (DX) ได้ทำให้โฉมหน้าของธุรกิจเปลี่ยนผันไป สาเหตุเพราะหลายปีที่ผ่านมาองค์กรต่างรับรู้ความสำคัญว่า หากสามารถทำได้จริง DX จะช่วยลดทุนของธุรกิจและเพิ่มประสิทธิภาพได้อย่างมีนัยสำคัญ อีกทั้งยังสามารถปรับเปลี่ยนตัวเองให้รับมือกับความท้าทายได้อย่างมีสเถียรภาพ และพัฒนาผลิตภัณฑ์ออกสู่ตลาดได้เร็วขึ้น สอดคล้องกับภาวะการเติบโตของโลก รวมถึงยังเพิ่มโอกาสใหม่ๆให้ธุรกิจในการแข่งขัน
ดังนั้น DX ดูเหมือนจะเป็นหนทางรอดของธุรกิจในปัจจุบันที่ต้องไป แต่เหรียญย่อมมีสองด้านเพราะ DX ยังหมายถึงการขยายพื้นผิวการโจมตีให้มากกว่าที่เคยเช่นกัน เพราะสินทรัพย์นั้นแปรเปลี่ยนให้เข้าถึงได้ผ่านโลกดิจิทัล ซึ่งความท้ายประการแรกที่เกิดขึ้นคือ องค์กรจะปกป้องข้อมูลสำคัญไม่ว่าจะขององค์กรหรือของลูกค้า ให้รอดพ้นจากภัยคุกคามทั้งจากภายในและภายนอกได้อย่างไร เพราะหากทำได้ไม่ดีย่อมส่งผลต่อภาพลักษณ์ของธุรกิจเป็นอย่างมากในปัจจุบัน ประกอบกับบทลงโทษจากกฏหมายคุ้มครองข้อมูลในแต่ละประเทศ
ประการที่สองคือมีการนำระบบดิจิทัลมาใช้เพิ่มขึ้น แน่นอนว่าในทุกๆส่วนก็ต้องมีโซลูชันป้องกันตามมา ดังนั้นอีกความท้าทายที่สำคัญคือเครื่องมือทาง Security มากมาย จะสอดประสานการทำงานได้อย่างไร เพราะหากไม่สามารถทำงานร่วมกันได้แล้ว ความไม่สอดคล้องกันนี้อาจนำมาซึ่งภาระให้แก่ทีมงานและกลายเป็นช่องโหว่แทน
ประการสุดท้ายคือองค์กรจะปรับเปลี่ยนรูปแบบของผลิตภัณฑ์หรือบริการเดิม ให้ทันสมัยขึ้นได้อย่างไร ไม่ว่าจะเป็นการเปลี่ยนแอปพลิเคชัน ให้รองรับการใช้งานในช่องทางต่างๆ หรือความต้องการระบบที่มีประสิทธิภาพสูงและทนทานต่อความเสียหาย ใช้งานได้ตลอดเวลา เพราะเป็นความคาดหวังของผู้ใช้ทุกวันนี้
ระบบขององค์กรอาจปลอดภัยน้อยกว่าที่คิด
จากผลสำรวจของ IDC พบว่าในภูมิภาคอาเซียน มีองค์กรกว่า 67% ที่ยอมรับเชื่อว่าตนยังมีระบบความมั่นคงปลอดภัยอยู่ในขั้นพื้นฐานเท่านั้น ซึ่งแสดงให้เห็นว่าองค์กรส่วนใหญ่ยังมีช่องว่างระหว่างพื้นผิวการโจมตีมากพอที่จะเป็นความเสี่ยงในอนาคต เช่นกันในประเทศไทยเองผลสำรวจพบว่า กว่า 90% ขององค์กรในประเทศของเรา ยังมีแค่เครื่องมือพื้นฐานในการต่อต้านการโจมตีทางไซเบอร์เท่านั้น ด้วยเหตุนี้เองจึงพอจะสะท้อนได้ว่า เราควรตื่นตัวที่จะลุกขึ้นมาพินิจพิจารณาอย่างรอบคอบว่า องค์กรของเราอยู่ที่จุดไหนกันแน่และสามารถเพิ่มเติมอะไรได้อีกบ้าง

ดร.รัฐิติ์พงษ์กล่าวว่า “ลูกค้าของฟอร์ติเน็ตให้ความเชื่อมั่นต่อฟอร์ติเน็ต ทั้งนี้การสร้างความเชื่อมั่นต่อองค์กรหรือผู้ให้บริการต่างๆ ต้องใช้เวลาสะสมยาวนาน” โดยจาก Framework ของ IDC (ภาพประกอบด้านบน) ที่ชี้ให้เห็นว่า ความเชื่อมั่นนั้นเกิดจากความสามารถในการจัดการความเสี่ยง ความสามารถในการจัดการด้านความปลอดภัยที่เกิดขึ้นให้ได้ ไม่ว่าจะใช้เครื่องมือใดก็ตาม ต้องตอบสนองข้อกำหนดให้ความรับผิดชอบต่อสังคม และรักษาด้านความปลอดภัยของข้อมูลส่วนบุคคลได้ดีจึงจะสามารถได้มาซึ่ง Loyalty ของผู้บริโภค
สถานการณ์ความมั่นคงปลอดภัยทางไซเบอร์ในประเทศไทย
ในมุมของผู้ตอบแบบสอบถามในประเทศไทยเอง ยังกังวลต่อความเสี่ยงเรื่องความมั่นคงปลอดภัยทางไซเบอร์ที่ใดบ้าง โดยผลลัพธ์คือ
- 38% ยังห่วงกับ Network ขององค์กรอยู่
- 34% เริ่มห่วงกับระบบควบคุมทางอุตสาหกรรมเช่น ICS (Industrial Control System) หรือระบบในฝั่ง OT และโครงสร้างพื้นฐานสำคัญๆ
- 34% กังวลกับเทคโนโลยีหุ่นยนต์ในภาคการผลิตและ Supply Chain ที่ใช้งานกันอยู่
- 30% มองไปที่เรื่องของดาต้าเซ็นเตอร์ที่องค์กรมีเป็นของตัวเอง
- 28% มองไปที่ระบบ AI
อีกเรื่องหนึ่งคือการทำ DX ในกรณีศึกษาต่างๆ ในประเทศไทยมีแนวโน้มดังนี้
1.) ภาครัฐ
- ริเริ่มการใช้งานแพลตฟอร์มการพิสูจน์ตัวตนทางดิจิทัลหรือ NDID โดยพื้นฐานจากเทคโนโลยีบล็อกเชน ซึ่งเป็นการปฏิวัติกระบวนการให้บริการต่างๆที่จะเกิดขึ้นในอนาคต
- กระทรวงดิจิทัลมีความมุ่งมั่นที่จะรวมศูนย์ข้อมูลของภาครัฐ ดังนั้นหากเมื่อระบบเหล่านี้เกิดขึ้นแล้ว ข้อมูลจะเชื่อมต่อกันและทำอะไรได้อีกมากมาย ที่สำคัญประชาชนจะได้รับความสะดวกสบายมากขึ้น
- นโยบาย Smart City ได้เริ่มขึ้นแล้วกับทั้งการนำ IoT และ Big Data ในการแก้ปัญหาต่างๆ
2.) ธนาคารและการเงิน
- ด้วยความปรารถนาอันแรงกล้าในความสามารถให้บริการและทนทางต่อความเสียหาย (Resilience) การพึ่งพาเทคโนโลยีคลาวด์เป็นสิ่งสำคัญ ซึ่งจะเห็นได้ว่าแต่ละธนาคารมีเรื่องราวของการพัฒนาแอปพลิเคชันแบบ Cloud Native มีการเชื่อมโยงบริการด้วย API
- การทำธุรกรรมผ่านระบบดิจิทัลกว้างขวางมากขึ้น จะเห็นได้ว่าเราสามารถเข้าถึงบริการของธนาคารได้มากขึ้น ผ่านทางมือถือหรือระบบดิจิทัล ได้อย่างไม่ยุ่งยากเหมือนที่เคย
- ระยะห่างทางสังคมเป็นเรื่องสำคัญ ซึ่งเทคโนโลยีด้าน KYC หรือ Electronic Know Your Customer จึงมีบทบาทสำคัญอย่างมากที่จะตอบสนองธุรกรรมแบบ Cashless
3.) ภาคการผลิต
- ตอบโจทย์ Industrial 4.0 ด้วยการนำเทคโนโลยีที่ทำให้การผลิตเป็นไปได้อย่างอัตโนมัติ ไม่ว่าจะด้วยเซนเซอร์และโซลูชันด้านการวิเคราะห์ข้อมูลต่างๆ ที่จะช่วยแก้ไขสถานการณ์หรือวางแผนได้ล่วงหน้า
- มีการประสานระบบของทั้งฝั่ง IT และ OT เข้าด้วยกัน เพื่อทำให้กระบวนการทำงานเป็นไปได้อย่างทันสมัยและรวดเร็ว
- เริ่มมีการใช้ Cloud มากขึ้นเพราะริเริ่มได้ง่าย ไม่ต้องลงทุนจำนวนมาก ณ ครั้งแรก
5 แนวทางสำคัญ หากต้องการอยู่รอดในยุค Digital Transformation

IDC ได้เผยให้เห็นว่าองค์กรยังมีความเห็นที่ไม่สอดคล้องของฝั่งธุรกิจและเทคโนโลยี แน่นอนว่าหากไม่สามารถฉายภาพตรงนี้ไปในทิศทางเดียวกัน แผนการ DX คงจะประสบความสำเร็จได้ยาก โดยความไม่สอดคล้องกันประการแรกคือเราทราบกันดีอยู่แล้วว่าตลาดแรงงานของไอทีนั้นขาดแคลนมากแค่ไหน ซึ่งทีมงานฝั่งปฏิบัติงานนั้นต้องพยายามปรับตัวให้บุคคลากรสามารถก้าวทันเทคโนโลยีใหม่ๆ และมีทีมงานที่เพียงพอต่อโซลูชันที่เพิ่มขึ้นทุกวัน อย่างไรก็ดีฝั่งธุรกิจอาจจะยังตั้งเป้าได้ไม่สอดคล้องกับความต้องการเหล่านี้มากนักเพราะจัดวางเรื่องพนักงานไว้เป็นอันดับ 7
ประการที่สอง ทีมเทคโนโลยีเชื่อว่า การสรรหาและพัฒนาบุคลากรด้านไอที รวมถึงประสบการด้านดิจิทัลของลูกค้าเป็นสิ่งสำคัญมาก แต่ฝั่งธุรกิจกลับมองเรื่องทรัพยการมนุษย์ไว้เป็นอันดับ 6 อีกด้านหนึ่งในฝั่งเทคโนโลยีเองก็วางกลยุทธ์ได้ไม่ตรงกับความต้องการของธุรกิจเช่นเดียวกัน เพราะผู้บริหารอยากลดต้นทุนทางธุรกิจและลดความเสี่ยง ในผลสำรวจกลับบ่งชี้ว่าเรื่องเหล่านี้ตกไปอยู่ในอันดับสุดท้ายของแผนของไอที
ทั้งนี้จากข้อมูลที่ปรากฏจะเห็นได้ว่าองค์กรยังต้องปรับมุมมองของผู้เกี่ยวข้องทุกฝ่าย ให้เป็นไปในแนวทางเดียวกัน เพราะ DX คือเรื่องของความร่วมมือ ดังนั้น CISO ก็จะต้องรับหน้าที่โน้วน้าวผู้บริหารให้เข้าใจถึงสถานการณ์ ในขณะที่ผู้ปฏิบัติงานเองก็ต้องรับเอาความกังวลใจมาหาแนวทางแก้ไข โดยเริ่มต้นที่การประเมินความเสี่ยงภายในองค์กรก่อน
สุดท้ายนี้ IDC ได้แนะนำกลยุทธ์ที่องค์กรต่างๆ สามารถนำไปปรับใช้ได้จริงในภาคธุรกิจดังนี้
- เลือกแพลตฟอร์มจาก Vendor ที่มีความพร้อมเป็นตัวหลัก นั่นหมายถึงมีโซลูชันที่ครอบคลุมกับพื้นผิวการโจมตีได้มากที่สุด และเปิดให้โซลูชันอื่นเข้ามาเสริมได้ ทำงานร่วมกันและควบคุมได้จากศูนย์กลาง
- เลือก Partnership หรือสร้างความร่วมมือกับพันธมิตร เพราะเห็นได้ชัดว่านับวันช่องว่างระหว่างแรงงานความมั่นคงปลอดภัยทางไซเบอร์คงไม่อาจถูกเติมเต็มได้ง่ายๆ ดังนั้น การหาผู้เชี่ยวชาญมาช่วยจึงตอบโจทย์มากกว่า
- หาแนวทางที่ตอบโจทย์กับการเจริญเติบโตของ Edge และองค์ประกอบอื่นๆ ด้วย Zero Trust หรือการไม่ไว้วางใจในสิ่งใดๆ ทุกๆ การเข้าใช้งานจากบุคคลหรืออุปกรณ์จะต้องถูกตรวจสอบและให้การเข้าถึงน้อยที่สุด
- ยกระดับความมั่นคงปลอดภัยของ OT ให้เป็นไปตามแนวทางมาตรฐาน และต้องครอบคลุมตั้งแต่ระดับ End-to-End ทำงานได้อย่างไร้รอยต่อ
- สถาปัตยกรรมเครือข่ายต้องสามารถปรับปรุงเปลี่ยนแปลงได้อย่างทันท่วงที และเข้ากับโปรไฟล์ของการใช้งานต่างๆ

Fortinet พร้อมที่จะเป็นพันมิตรและผู้ช่วยเหลือสำคัญขององค์กร ด้วยโซลูชัน Security Fabric ที่สามารถครอบคลุมและตอบโจทย์องค์กรทั้งได้ด้านของ Network Security, SD-WAN, Endpoint Security, Cloud Security และอื่นๆ ไม่ว่า Workload ของท่านจะอยู่บน On-premise, Public Cloud หรือต้องการเชื่อมต่อจากสาขา หรือพนักงานที่ทำงานจากที่บ้าน เรียกได้ว่าครบจบในที่เดียว นอกจากนี้ ท่านจะสามารถเริ่มต้นการทำ Zero Trust ได้อย่างมั่นใจ ที่สำคัญยังเปิดให้โซลูชันอื่นเข้ามาเชื่อมต่อเพื่อทำงานร่วมกัน
ไม่เพียงเท่านั้น Fortinet ยังครอบคลุมตอบโจทย์ความมั่นคงปลอดภัยของภาคอุปกรณ์ OT ต่างๆ รวมถึงยังมีพันธมิตรอันแข็งแกร่งในประเทศไทย ที่พร้อมให้บริการระบบของท่านได้ตลอดเวลา เพราะวันนี้การป้องกันแบบนั่งรอไม่เพียงพออีกต่อไป แต่องค์กรควรทราบสัญญาณการโจมตีให้ได้ล่วงหน้า สนใจโซลูชันอื่นๆจาก Fortinet สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://www.fortinet.com/