บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” โดย ดร. ชาลี วรกุลพิพัฒน์ จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ซึ่งจะมาถกประเด็นเรื่องความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ว่าจะเป็นนโยบาย แนวทางปฏิบัติ และความท้าทายของธรุกิจไทยในปัจจุบัน
“ตามความเห็นของผม กรณี WannaCry มีสาเหตุมาจากความผิดพลาดของมนุษย์ (Human Error) เราสามารถป้องกัน WannaCry ได้ด้วยการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย คือ พนักงาน IT ควรต้องอัปเดตแพทช์เพื่ออุดช่องโหว่ของซอฟต์แวร์อย่างสม่ำเสมอ” — ดร. ชาลี กล่าวถึงเหตุการณ์ WannaCry Ransowmare ที่เพิ่งแพร่ระบาดไปเมื่อสุดสัปดาห์ที่ผ่านมา
เข้าใจเกี่ยวกับคำว่า “ความมั่นคงปลอดภัยสารสนเทศ” ก่อนเล็กน้อย
วัตถุประสงค์ของความมั่นคงปลอดภัยสารสนเทศ (Information Security) คือการปกป้อง “ทรัพย์สินสารสนเทศ (Information Asset)” ไม่ใช่ซอฟต์แวร์ ฮาร์ดแวร์ หรืออุปกรณ์คอมพิวเตอร์ สิ่งเหล่านั้นจะเป็นผลพลอยได้จากการปกป้องทรัพย์สินสารสนเทศ ก่อนที่จะทำ Security ได้ ต้องทำ Asset Management ก่อนว่าข้อมูลสารสนเทศของเราคืออะไร ถูกจัดเก็บอยู่ที่ไหน เช่น ข้อมูลบัตรเครดิต หรือข้อมูลส่วนบุคคล เป็นต้น เนื่องจากข้อมูลสารสนเทศแต่ละประเภทมีมาตรการควบคุมที่แตกต่างกัน เช่น ข้อมูลส่วนบุคคล อาจไม่จำเป็นต้องสนประเด็นด้าน Availability มากนัก แต่ต้องเน้นที่ Confidentiality ตรงข้ามกับข้อมูลสารสนเทศบนเว็บไซต์ที่จะเน้น Availability เป็นหลัก
กระบวนการด้านความมั่นคงปลอดภัยต้องเป็นแบบ “Top Down”
หลายคนมักเข้าใจว่าในยุคปัจจุบัน กระบวนการด้านความมั่นคงปลอดภัยเป็นแบบ Bottom Up คือ ฝ่าย IT เป็นคนบอกฝ่ายบริหารว่าให้ทำอะไร ดำเนินการอย่างไร เนื่องจากฝ่าย IT มักเป็นคนยุคใหม่ที่เข้าใจเทคโนโลยีและมีความรู้ด้านความมั่นคงปลอดภัย อย่างไรก็ตาม อาจเรียกได้ว่าเป็นความเข้าใจที่ผิด เนื่องจากฝ่าย IT สามารถให้คำแนะนำและแนะแนวทางแก่ฝ่ายบริหารได้ แต่ฝ่ายบริหารเป็นผู้มีอำนาจตัดสินใจ (หรือพูดง่ายๆ คือมีเงิน) และมีอำนาจสั่งการ ถ้าฝ่ายบริการไม่เห็นด้วยก็ไม่สามารถดำเนินการใดๆ ได้ รวมไปถึงถ้าต้องการให้ทุกคนในองค์กรมีส่วนร่วมด้านความมั่นคงปลอดภัย ฝ่ายบริหารต้องเป็นผู้กำหนดนโยบาย มิเช่นนั้นจะไม่มีใครยอมทำตาม ดังนั้นแล้ว การทำให้กระบวนการด้านความมั่นคงปลอดภัยสัมฤทธิ์ผลจำเป็นต้องดำเนินการแบบ Top Down โดยมีฝ่าย IT คอยให้คำปรึกษาและให้ความรู้แก่บุคลากรในองค์กร ที่สำคัญคือต้องผลักดันให้ผู้บริหารระดับสูงต้องตระหนักถึงการมีระบบรักษาความมั่นคงปลอดภัย
“ยกตัวอย่างเช่น การกำหนดนโยบายว่าทุกคนต้องลงโปรแกรม Antivirus และอัปเดตแพทช์ล่าสุดเสมอ ถ้าฝ่าย IT เป็นคนไปบอกพนักงานก็คงไม่มีใครยอมทำตาม แต่ถ้าให้ฝ่ายบริหารหรือ HR ไปบอก ต่อให้พนักงานไม่มีความรู้ด้านเทคนิค เขาก็ต้องยอมทำตามเพราะเป็นคำสั่งจากเบื้องบน” — ดร. ชาลี กล่าว
มาตรการควบคุมด้านความมั่นคงปลอดภัย
จุดประสงค์หลักของมาตรการควบคุมคือ การบล็อก Unauthorized Access ในขณะที่ยังต้องให้คนทั่วไปสามารถเข้าถึงข้อมูลเมื่อต้องการได้ตามปกติ ซึ่งสามารถแบ่งมาตรการควบคุมได้ออกเป็น 3 ประเภท คือ
- เชิงบริหาร เช่น การอบรม การสร้างความตระหนัก และการบริหารจัดการนโยบาย
- เชิงเทคนิค สำหรับฝ่าย IT เช่น การติดตั้งระบบรักษาความมั่นคงปลอดภัย
- เชิงกายภาพ สำหรับปกป้องสถานที่และอุปกรณ์เชิงกายภาพ เช่น การจ้างยาม การติดอุปกรณ์ดับไฟ
สิ่งสำคัญของมาตรการควบคุมคือ “ต้องดำเนินการสอดคล้องกับธุรกิจ” ไม่ใช่ออกแบบมาเพื่อให้ธุรกิจดำเนินการยากได้ขึ้น หรือเป็นอุปสรรคต่อการทำงาน
การสร้างความตระหนักด้านความมั่นคงปลอดภัย
ดร. ชาลี ระบุว่า Security Awareness เป็นหนึ่งในมาตรการควบคุมเชิงบริหาร (Administrative Control) ซึ่งมีจุดประสงค์เพื่อลดความเสี่ยงที่เกิดจากความผิดพลาดจากมนุษย์ ความตระหนักนั้นสร้างได้จาก “การอบรม” ซึ่งมีได้หลายแบบให้เลือก เช่น e-Learning หรืออบรมจากการปฏิบัติงานจริง อย่างไรก็ตาม ต้องดำเนินการอบรมให้เหมาะสมกับบุคลากรแต่ละประเภทด้วย เช่น ผู้บริหารให้เน้นเรื่อง Business Email Compromise, พนักงานทั่วไปเน้นที่เรื่อง Social Engineering เป็นต้น ที่สำคัญคือ ฝ่ายบริหารต้องเป็นผู้ผลักดันให้มีการอบรม รวมไปถึงมีการประเมินวัดผลหลังการอบรมด้วย
“จุดสำคัญคือการทำให้ C-Level มีความรู้และความตระหนักด้านความมั่นคงปลอดภัยในระดับหนึ่ง จึงจะสามารถวางแผนยุทธศาสตร์และจัดทำนโยบายด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — ดร. ชาลี เสริม
นโยบายด้านความมั่นคงปลอดภัยที่ดีต้องมาจาก CEO
นโยบายเป็นสิ่งที่แสดงถึงยุทธศาสตร์ของฝ่ายบริหาร ซึ่งต้องริเริ่มโดย CEO และอนุมัติโดย CEO ถึงจะบังคับใช้ในองค์กรได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม การเซ็นอนุมัตินี้ย่อมหมายถึงความรับผิดชอบด้านความเสี่ยง ส่งผลให้ CEO บางคน โดยเฉพาะหน่วยงานรัฐในไทยไม่ยอมเซ็นชื่อกำกับ เนื่องจาก CEO กลัวที่จะต้องรับผิดชอบผลลัพธ์ที่ตามมา แล้วผลักภาระให้ทาง CIO เซ็นอนุมัติแทน และรับผิดชอบแทนตนเอง ซึ่งเป็นค่านิยมที่ผิด หน่วยงานรัฐควรเร่งแก้ไข
“สุดท้าย คงต้องบอกว่าในการวางนโยบายด้านความมั่นคงปลอดภัยนั้น ต้องคำนึงถึงธุรกิจก่อนเป็นอันดับแรก ไม่ใช่นึกจะทำให้ระบบความมั่นคงปลอดภัยแข็งแกร่งมากที่สุดจนเป็นอุปสรรคต่อธุรกิจ ทั้งมาตรการควบคุมและนโยบายจำเป็นต้องสอดคล้องกับเป้าประสงค์ขององค์กร” — ดร. ชาลี กล่าวปิดท้าย
เกี่ยวกับ PCI Security Standards Council
PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover , JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibanks, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน
PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย
ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร