[NCSA THNCW 2023] The Future of Cybersecurity – Risk & Resilience โดย CyberGenics

เมื่อเทคโนโลยีก้าวหน้าและเข้ามามีบทบาทมากขึ้นต่อการดำเนินการของธุรกิจและภาครัฐ ความซับซ้อนและหลากหลายของการโจมตีทางไซเบอร์ก็เพิ่มมากขึ้นเป็นเงาตามตัว องค์กรจึงต้องมีการทบกวนและพัฒนาการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่องเพื่อควบคุมความเสี่ยง

เซสชัน “The Future of Cybersecurity – Risk & Resilience” โดยคุณธนพล ประเสริฐไพฑูรย์ ผู้ชำนาญการด้าน Cybersecurity จาก CyberGenics ในงาน Thailand National Cyber Week 2023 เมื่อวันที่ 17 – 18 กุมภาพันธ์ 2023 ที่ผ่านมาพาเราไปรู้จักกับภัยคุกคามและความเสี่ยงที่อาจเกิดขึ้นในอนาคต พร้อมแนะนำแนวทางว่าองค์กรต้องเตรียมความพร้อมอย่างไรเพื่อรับมือกับภัยคุกคามเหล่านี้ได้อย่างมีประสิทธิภาพและกลับมาดำเนินการต่อได้อย่างรวดเร็ว

จากอดีตสู่อนาคต การดำเนินงานและสภาพแวดล้อมที่เปลี่ยนไปกระตุ้นให้องค์กรต้องเปลี่ยนตาม

ในช่วงปีที่ผ่านมามีความเปลี่ยนแปลงในโลกเกิดขึ้นมากมาย ทั้งในแง่ของลักษณะการดำเนินการและสภาพแวดล้อมขององค์กร หลังผ่านวิกฤตโรคระบาด เราได้เห็นการเติบโตของการใช้งานคลาวด์ในองค์กร การใช้เทคโนโลยีเพิ่มมากขึ้นในหลายอุตสาหกรรม เช่น อุตสาหกรรมการผลิตในรูปแบบของ Smart Manufacturing การเปลี่ยนเข้าสู่ยุคการทำงานแบบ Hybrid Work เพิ่มขึ้นกว่า 60% และสงครามไซเบอร์ที่ส่งผลกระทบต่อผู้คนมากมาย ในกรณีของสงครามรัสเซีย-ยูเครน และการโจมตีที่มีเป้าหมายเป็นระบบสาธารณูปโภค

สิ่งเหล่านี้ล้วนชี้ให้เราเห็นถึงความเสี่ยงที่องค์กรมีเพิ่มมากขึ้นต่อการโจมตีทางไซเบอร์ ซึ่งสามารถสร้างความเสียหายให้กับองค์กรและประชาชนผู้ใช้บริการได้อย่างมหาศาล คุณธนพลได้ยกตัวอย่างสถิติภัยคุกคามทางไซเบอร์ล่าสุดที่น่าจับตามอง เช่น

• มีการโจมตีทางไซเบอร์ถึงร้อยละ 43 ที่มีกลุ่มเป้าหมายเป็น SMEs แปลว่า Cybersecurity นั้นไม่ใช่เพียงเรื่องของบริษัทใหญ่อีกต่อไป
• กลุ่มอุตสาหกรรม Healthcare ถูกโจมตีมากขึ้น ซึ่งระบบทางการแพทย์นั้นเต็มไปด้วยข้อมูลละเอียดอ่อน และหากตกอยู่ในมือผู้ไม่ประสงค์ดีก็ไม่สามารถเปลี่ยนแปลงข้อมูลได้
• มีการ Phishing ทางอีเมลสูงถึง 94%
• กรณีการโจมตีบริการหรือแอป 3rd Party Application มีมากขึ้น เมื่อระบบขององค์กรขึ้นอยู่กับระบบเหล่านี้ก็พลอยได้รับความเสียหายไปด้วย

จะเห็นได้ชัดว่าภัยคุกคามทางไซเบอร์นั้นมีความรุนแรงและความถี่มากขึ้นทุกวัน และไม่ว่าองค์กรใดก็สามารถเป็นเหยื่อได้ นอกจากจะต้องป้องกันให้การโจมตีไม่เกิดขึ้นแล้ว ในกรณีที่ถูกโจมตีจริงก็ต้องวางแผนให้องค์กรสามารถกลับมาดำเนินการได้อย่างรวดเร็ว หรือมี Reselience นั่นเอง 

“เหมือนตุ๊กตาล้มลุก ที่ถ้าโดนทำให้ล้มก็ต้องลุกขึ้นมาได้เร็ว” 

ทำอย่างไรให้องค์กรเข้มแข็งและยืดหยุ่นพอที่จะรับมือกับการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ

คำถามถัดมาคือองค์กรจะเตรียมรับมือกับภัยคุกคามได้อย่างไร คุณธนพลอธิบายว่าองค์กรควรมีเป้าหมายในการสร้างความปลอดภัยทางไซเบอร์ทั้งหมด 3 ข้อด้วยกัน คือ

1. ป้องกันอย่างเต็มที่ไม่ให้เกิดเหตุไม่พึงประสงค์ขึ้น
2. หากเกิดเหตุโจมตีต้องสามารถกลับมาดำเนินการได้อย่างรวดเร็ว
3. มีการพัฒนาระบบป้องกันภัยคุกคามอย่างต่อเนื่อง รู้เท่าทันการโจมตีรูปแบบใหม่ๆ

ซึ่งทั้ง 3 ข้อนี้องค์กรสามารถเลือกใช้ผลิตภัณฑ์ โซลูชัน หรือ Framework ด้านความปลอดภัยที่มีอยู่มากมายได้ตามความเหมาะสม โดยในเซสชัน คุณธนพลได้แนะนำกรอบความคิด 3 ขั้นตอนเบื้องต้นให้องค์กรลองไปปรับใช้กัน ได้แก่

1. Identify

ขั้นแรกของการสร้างความปลอดภัยให้กับองค์กรคือการทำความรู้จักกับระบบและความเสี่ยงขององค์กรให้ดีเสียก่อน ซึ่งรวมไปถึงระบบของ 3rd Party ภายนอกที่องค์กรใช้งานอยู่ด้วย

• ประเมินระบบว่ามีความเสี่ยงที่จุดใด และองค์กรมีความสามารถในการรักษาความปลอดภัยเพียงใด
• จัดทำระบบกลางหรือ Dashboard ที่คอยตรวจตาการทำงานของทุกระบบขององค์กรมารวมไว้ด้วยกัน เพื่อให้ง่ายต่อการค้นหา ตรวจจับ และตระหนักถึงช่องว่างที่ผู้ไม่ประสงค์ดีอาจใช้เข้ามาสร้างความเสียหาย
• รู้จักแอปหรือบริการจากภายนอกที่ใช้งานอยู่ให้ถ่องแท้ และอาจตั้งมาตรฐานด้านความปลอดภัยขึ้นเป็นเกณฑ์ในการพิจารณาเลือกใช้ 3rd Party Service เพื่อคัดกรองด้านความปลอดภัยให้ดียิ่งขึ้น 
• สำหรับองค์กรที่มีการใช้อุปกรณ์จำนวนมากในเครือข่าย IoT องค์กรก็ต้องทำความเข้าใจกับการรักษาความปลอดภัยของอุปกรณ์และเครือข่ายที่ใช้งานอยู่
• ต้องไม่ลืมประเมินความเสี่ยงโดยคิดถึงปัจจัยบุคลากรในองค์กร โดยเฉพาะอย่างยิ่งในองค์กรที่เคยทำงานในระบบปิด(ที่ไม่ได้เชื่อมต่อกับภายนอก)และไม่ได้สัมผัสกับเทคโนโลยีดิจิทัลมากมาก่อน 

2. Protect

ขั้นตอนถัดมา คือการสร้างระบบรักษาความปลอดภัยที่ทุกคนในองค์กรสามารถใช้งานได้โดยสอดคล้องกับลักษณะการดำเนินงานของแต่ละฝ่ายในองค์กร สร้างบุคลากรที่มีความรู้ความเข้าใจด้านความปลอดภัยไซเบอร์ และต้องไม่ลืมคำนึงว่าขั้นตอนด้านความปลอดภัยที่เพิ่มเข้ามา ไม่ควรจะยาก หรือเป็นภาระต่อผู้ใช้งานมากเกินไป

• สร้างระบบรักษาความปลอดภัยกลาง เนื่องจากในอนาคตองค์กรจะมีการใช้งานระบบเพิ่มขึ้นเรื่อยๆ ระบบที่แยกออกไปมากมายหมายถึงความเสี่ยงที่เพิ่มขึ้น การตรวจสอบและควบคุมที่ยากขึ้นตาม
• สร้าง User Experience ที่ดีสำหรับกลไกการรักษาความปลอดภัย และกรณีการใช้งานโดยละเอียด เช่น เมื่อมีคนลาออกจากองค์กร ทีม HR สามารถปิดการเข้าถึงข้อมูลได้ทันที ไม่ต้องรอประสานงานกับทางทีม IT ซึ่งเวลาที่รอนี้ก็หมายถึงความเสี่ยงที่เพิ่มขึ้นเช่นกัน
• ดูแลความปลอดภัยและกำหนดเกณฑ์สำหรับอุปกรณ์ที่เชื่อมต่อเข้ากับระบบงานเพื่อรองรับ Hybrid Work อย่างราบรื่นและปลอดภัย
• วางแผนในการจัดการ Priviledge Account ที่มีสิทธิ์มากในการเข้าถึงระบบและข้อมูลทั้งในระบบขององค์กรและ 3rd Party ภายนอก มีการแจ้งเตือนเข้าใช้งาน หรือสร้างบัญชีแบบใช้แล้วทิ้ง (Just-in-time Account) ในการใช้งานชั่วคราว
• เสริมความแข็งแกร่งในการรักษาความปลอดภัยของข้อมูล ทั้งข้อมูลที่มีการจัดเก็บ ส่งข้ามระบบ หรือข้อมูลที่มีการใช้งานอยู่
• วางแผนรักษาความปลอดภัยในการใช้ระบบทุกระดับ และรีวิวระบบการรักษาความปลอดภัยทั้งหมดอย่างต่อเนื่อง เพื่อความมั่นใจว่าทุกอย่างสามารถทำงานร่วมกันได้อย่างราบรื่น ไม่ขัดกัน และไม่ซ้ำซ้อน
• เร่งสร้างความรู้ให้กับสมาชิกภายในองค์กรอย่างทั่วถึง จัดเทรนนิ่งด้านความปลอดภัย มีมาตรฐานและแนวทางปฏิบัติที่ชัดเจน และตรงตามเนื้อหางานจริง เพื่อสร้าง Mindset ด้านความปลอดภัยไซเบอร์

องค์กรต้องเร่งสร้างวัฒนธรรมและการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยส่งเสริมควบคู่ไปกับกลไกการรักษาความปลอดภัยที่ครอบคลุม 

3. Detect & Respond & Recover 

ขั้นตอนที่ 3 คือการเตรียมกลไกสำหรับการตรวจจับและรับมือในกรณีที่เกิดการโจมตีขึ้น ซึ่งองค์กรจะต้องพัฒนาแนวทางอย่างสม่ำเสมอ นำความผิดพลาดมาวิเคราะห์เพื่อสร้างแนวทางความปลอดภัยใหม่ที่เข้มแข็งกว่าเดิม พร้อมรับมือกับการโจมตีรูปแบบใหม่ๆในอนาคต

• สร้าง Visibility ภายในองค์กรเพื่อการตรวจสอบปัญหาได้อย่างรวดเร็ว และมีการเชื่อมต่อกับระบบความปลอดภัยกลางเพื่อเฝ้าระวังภัยคุกคามต่อไป
• ติดตามข่าวสารถด้านภัยคุกคามและอัพเดทระบบให้เท่าทันอยู่เสมอ 
• ใช้เทคโนโลยี Automation เข้ามาช่วยในการจัดการกับภัยคุกคามที่รู้จักดีแบบอัตโนมัติ
• มีแผนสำหรับ Worst Case ที่อาจเกิดขึ้นอยู่เสมอ โดยต้องตรวจสอบตลอดเวลาว่าแผนที่จัดไว้สามารถใช้งานได้จริง มีการสำรองข้อมูลอย่างต่อเนื่องเพื่อป้องกันข้อมูลสูญหาย
• โฟกัสที่คุณภาพของการตรวจจับภัยคุกคามว่าต้อง Detect ได้อย่างรวดเร็วและแม่นยำ
• จัดลำดับความสำคัญของภัยคุกคามประเภทต่างๆ เพื่อในการรับมือจริงจะได้ควบคุมความเสี่ยงอย่างมีประสิทธิภาพ
• เตรียมความพร้อมให้กับสมาชิกภายในองค์กรในกรณีเกิดเหตุโจมตี อาจมีการซ้อมรับมือภัยคุกคาม และนำผลลัพธ์จากการซ้อมไปปรับปรุงขั้นตอนรักษาความปลอดภัย โดยต้องมีการซ้อมแบบ End-to-end เพื่อให้มั่นใจว่าระบบรักษาความปลอดภัยสามารถทำงานได้จริงด้วย 
• * ปรับแผนการรักษาความปลอดภัยอยู่เสมอ และรีวิวทุกครั้งที่มีระบบเข้ามาเพิ่มเติม

ระบบรักษาความปลอดภัยต้องโตทันความซับซ้อนของภัยคุกคามและสถานการณ์ที่เปลี่ยนไป

จนถึงตอนนี้ ท่านผู้อ่านคงพอจะเห็นภาพของการรักษาความปลอดภัยในปัจจุบันที่ต้องมีการเตรียมความพร้อม อัพเดท และเปลี่ยนแปลงได้อย่างยืดหยุ่นตามสถานการณ์และการโจมตีที่นับวันมีแต่จะซับซ้อนมากขึ้น ก่อนจบเซสชัน คุณธนพลได้ฝากสรุปส่งท้าย 6 ข้อที่องค์กรควรทำเพื่อให้ระบบงานแข็งแกร่ง รับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ เป็นได้อย่างตุ๊กตาล้มลุก

1. ประเมิน Asset ภายในองค์กรและความสามารถในการรักษาความปลอดภัยให้รอบคอบ หากมีส่วนใดที่ขาดให้เร่งแก้ไข
2. พัฒนาระบบ Identity และ Access ให้จัดการง่าย ควบคุมได้จากส่วนกลาง และต้องไม่ลืมถึง User Experience ในการใช้งานของสมาชิกทุกคนในองค์กร
3. พัฒนาระบบรักษาความปลอดภัยให้มีหลายชั้น เพื่อลดความเสียหายต่อเนื่องในกรณีถูกโจมตี
4. อัพเดทแผนการรักษาความปลอดภัยอย่างสม่ำเสมอ จัดการทดสอบ ประเมิน และนำความรู้ที่ได้มาพัฒนาต่อเพื่อการรับมือที่เข้มแข็งขึ้น
5. พิจารณาลงทุนในเทคโนโลยีต่างๆ เช่น Automation หรือเทคโนโลยีสำหรับตรวจสอบเพิ่มเติม เพื่อลดข้อผิดพลาด เพิ่มความเร็วและประสิทธิภาพในการรับมือกับภัยคุกคาม
6. ประเมินความเสี่ยง และพัฒนาการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง ทั้งในแง่ของบุคลากร ขั้นตอน และเทคโนโลยีที่เลือกใช้งาน

รับชมเซสชัน “The Future of Cybersecurity – Risk & Resilience” ย้อนหลังได้ที่นี่