Breaking News

[PCI Community Meeting 2017] สรุป Keynote Session วันที่ 2 โดย ดร. ชาลี วรกุลพิพัฒน์ จาก NECTEC

บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” โดย ดร. ชาลี วรกุลพิพัฒน์ จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ซึ่งจะมาถกประเด็นเรื่องความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ว่าจะเป็นนโยบาย แนวทางปฏิบัติ และความท้าทายของธรุกิจไทยในปัจจุบัน

“ตามความเห็นของผม กรณี WannaCry มีสาเหตุมาจากความผิดพลาดของมนุษย์ (Human Error) เราสามารถป้องกัน WannaCry ได้ด้วยการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย คือ พนักงาน IT ควรต้องอัปเดตแพทช์เพื่ออุดช่องโหว่ของซอฟต์แวร์อย่างสม่ำเสมอ” — ดร. ชาลี กล่าวถึงเหตุการณ์ WannaCry Ransowmare ที่เพิ่งแพร่ระบาดไปเมื่อสุดสัปดาห์ที่ผ่านมา

เข้าใจเกี่ยวกับคำว่า “ความมั่นคงปลอดภัยสารสนเทศ” ก่อนเล็กน้อย

วัตถุประสงค์ของความมั่นคงปลอดภัยสารสนเทศ (Information Security) คือการปกป้อง “ทรัพย์สินสารสนเทศ (Information Asset)” ไม่ใช่ซอฟต์แวร์ ฮาร์ดแวร์ หรืออุปกรณ์คอมพิวเตอร์ สิ่งเหล่านั้นจะเป็นผลพลอยได้จากการปกป้องทรัพย์สินสารสนเทศ ก่อนที่จะทำ Security ได้ ต้องทำ Asset Management ก่อนว่าข้อมูลสารสนเทศของเราคืออะไร ถูกจัดเก็บอยู่ที่ไหน เช่น ข้อมูลบัตรเครดิต หรือข้อมูลส่วนบุคคล เป็นต้น เนื่องจากข้อมูลสารสนเทศแต่ละประเภทมีมาตรการควบคุมที่แตกต่างกัน เช่น ข้อมูลส่วนบุคคล อาจไม่จำเป็นต้องสนประเด็นด้าน Availability มากนัก แต่ต้องเน้นที่ Confidentiality ตรงข้ามกับข้อมูลสารสนเทศบนเว็บไซต์ที่จะเน้น Availability เป็นหลัก

กระบวนการด้านความมั่นคงปลอดภัยต้องเป็นแบบ “Top Down”

หลายคนมักเข้าใจว่าในยุคปัจจุบัน กระบวนการด้านความมั่นคงปลอดภัยเป็นแบบ Bottom Up คือ ฝ่าย IT เป็นคนบอกฝ่ายบริหารว่าให้ทำอะไร ดำเนินการอย่างไร เนื่องจากฝ่าย IT มักเป็นคนยุคใหม่ที่เข้าใจเทคโนโลยีและมีความรู้ด้านความมั่นคงปลอดภัย อย่างไรก็ตาม อาจเรียกได้ว่าเป็นความเข้าใจที่ผิด เนื่องจากฝ่าย IT สามารถให้คำแนะนำและแนะแนวทางแก่ฝ่ายบริหารได้ แต่ฝ่ายบริหารเป็นผู้มีอำนาจตัดสินใจ (หรือพูดง่ายๆ คือมีเงิน) และมีอำนาจสั่งการ ถ้าฝ่ายบริการไม่เห็นด้วยก็ไม่สามารถดำเนินการใดๆ ได้ รวมไปถึงถ้าต้องการให้ทุกคนในองค์กรมีส่วนร่วมด้านความมั่นคงปลอดภัย ฝ่ายบริหารต้องเป็นผู้กำหนดนโยบาย มิเช่นนั้นจะไม่มีใครยอมทำตาม ดังนั้นแล้ว การทำให้กระบวนการด้านความมั่นคงปลอดภัยสัมฤทธิ์ผลจำเป็นต้องดำเนินการแบบ Top Down โดยมีฝ่าย IT คอยให้คำปรึกษาและให้ความรู้แก่บุคลากรในองค์กร ที่สำคัญคือต้องผลักดันให้ผู้บริหารระดับสูงต้องตระหนักถึงการมีระบบรักษาความมั่นคงปลอดภัย

“ยกตัวอย่างเช่น การกำหนดนโยบายว่าทุกคนต้องลงโปรแกรม Antivirus และอัปเดตแพทช์ล่าสุดเสมอ ถ้าฝ่าย IT เป็นคนไปบอกพนักงานก็คงไม่มีใครยอมทำตาม แต่ถ้าให้ฝ่ายบริหารหรือ HR ไปบอก ต่อให้พนักงานไม่มีความรู้ด้านเทคนิค เขาก็ต้องยอมทำตามเพราะเป็นคำสั่งจากเบื้องบน” — ดร. ชาลี กล่าว

มาตรการควบคุมด้านความมั่นคงปลอดภัย

จุดประสงค์หลักของมาตรการควบคุมคือ การบล็อก Unauthorized Access ในขณะที่ยังต้องให้คนทั่วไปสามารถเข้าถึงข้อมูลเมื่อต้องการได้ตามปกติ ซึ่งสามารถแบ่งมาตรการควบคุมได้ออกเป็น 3 ประเภท คือ

  • เชิงบริหาร เช่น การอบรม การสร้างความตระหนัก และการบริหารจัดการนโยบาย
  • เชิงเทคนิค สำหรับฝ่าย IT เช่น การติดตั้งระบบรักษาความมั่นคงปลอดภัย
  • เชิงกายภาพ สำหรับปกป้องสถานที่และอุปกรณ์เชิงกายภาพ เช่น การจ้างยาม การติดอุปกรณ์ดับไฟ

สิ่งสำคัญของมาตรการควบคุมคือ “ต้องดำเนินการสอดคล้องกับธุรกิจ” ไม่ใช่ออกแบบมาเพื่อให้ธุรกิจดำเนินการยากได้ขึ้น หรือเป็นอุปสรรคต่อการทำงาน

การสร้างความตระหนักด้านความมั่นคงปลอดภัย

ดร. ชาลี ระบุว่า Security Awareness เป็นหนึ่งในมาตรการควบคุมเชิงบริหาร (Administrative Control) ซึ่งมีจุดประสงค์เพื่อลดความเสี่ยงที่เกิดจากความผิดพลาดจากมนุษย์ ความตระหนักนั้นสร้างได้จาก “การอบรม” ซึ่งมีได้หลายแบบให้เลือก เช่น e-Learning หรืออบรมจากการปฏิบัติงานจริง อย่างไรก็ตาม ต้องดำเนินการอบรมให้เหมาะสมกับบุคลากรแต่ละประเภทด้วย เช่น ผู้บริหารให้เน้นเรื่อง Business Email Compromise, พนักงานทั่วไปเน้นที่เรื่อง Social Engineering เป็นต้น ที่สำคัญคือ ฝ่ายบริหารต้องเป็นผู้ผลักดันให้มีการอบรม รวมไปถึงมีการประเมินวัดผลหลังการอบรมด้วย

“จุดสำคัญคือการทำให้ C-Level มีความรู้และความตระหนักด้านความมั่นคงปลอดภัยในระดับหนึ่ง จึงจะสามารถวางแผนยุทธศาสตร์และจัดทำนโยบายด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — ดร. ชาลี เสริม

นโยบายด้านความมั่นคงปลอดภัยที่ดีต้องมาจาก CEO

นโยบายเป็นสิ่งที่แสดงถึงยุทธศาสตร์ของฝ่ายบริหาร ซึ่งต้องริเริ่มโดย CEO และอนุมัติโดย CEO ถึงจะบังคับใช้ในองค์กรได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม การเซ็นอนุมัตินี้ย่อมหมายถึงความรับผิดชอบด้านความเสี่ยง ส่งผลให้ CEO บางคน โดยเฉพาะหน่วยงานรัฐในไทยไม่ยอมเซ็นชื่อกำกับ เนื่องจาก CEO กลัวที่จะต้องรับผิดชอบผลลัพธ์ที่ตามมา แล้วผลักภาระให้ทาง CIO เซ็นอนุมัติแทน และรับผิดชอบแทนตนเอง ซึ่งเป็นค่านิยมที่ผิด หน่วยงานรัฐควรเร่งแก้ไข

“สุดท้าย คงต้องบอกว่าในการวางนโยบายด้านความมั่นคงปลอดภัยนั้น ต้องคำนึงถึงธุรกิจก่อนเป็นอันดับแรก ไม่ใช่นึกจะทำให้ระบบความมั่นคงปลอดภัยแข็งแกร่งมากที่สุดจนเป็นอุปสรรคต่อธุรกิจ ทั้งมาตรการควบคุมและนโยบายจำเป็นต้องสอดคล้องกับเป้าประสงค์ขององค์กร” — ดร. ชาลี กล่าวปิดท้าย

เกี่ยวกับ PCI Security Standards Council

PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover , JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibanks, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน

PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย

ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

ETDA จัดแข่งขัน Thailand CTF Competition 2019 เฟ้นหาตัวแทนไปแข่งขันระดับโลก

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ประกาศจัดการแข่งขัน Thailand CTF Competition 2019 เพื่อเฟ้นหาสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ไปแข่งขันในงาน Security Contest 2019 (SECCON 2019) ระดับโลก นิสิตและนักศึกษาระดับอุดมศึกษา …