ตอบโจทย์ “การควบคุมการเข้ารหัส” จากประกาศของ ก.ล.ต. ด้วยโซลูชันจาก Thales

เมื่อไม่นานมานี้ทางสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้ออกประกาศเกี่ยวกับ “แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ” ซึ่งพูดถึงแนวทางของธุรกิจภายใต้การดูแลของ ก.ล.ต. ว่าต้องมีวิธีการกำกับดูแลระบบไอทีและจัดหาการรักษาความมั่นคงปลอดภัย พร้อมกันนี้ยังต้องตรวจสอบอย่างสม่ำเสมอ แต่ที่น่าสนใจคือหมวดหนึ่งภายใต้ประกาศคือหัวข้อ “การควบคุมการเข้ารหัส”

มาถึงตรงนี้คำถามสำคัญคือ แล้วธุรกิจใดที่ถูกควบคุมภายใต้ประกาศของกลต. และท่านจะต้องปฏิบัติตัวอย่างไรต่อไป โดยเฉพาะการควบคุมการเข้ารหัส ต้องมีอุปกรณ์หรือโซลูชันใดที่ถูกนำเข้ามา มาติดตามกันได้ในบทความนี้ครับ

วัตถุประสงค์ของประกาศ และผู้เกี่ยวข้อง

ธุรกิจที่เกี่ยวข้องกับการลงทุนและซื้อขายหลักทรัพย์ถือเป็นกิจการที่มีความเสี่ยงอยู่เสมอ โดยเฉพาะความสูญเสียที่อาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ หรือความไม่พร้อมในการให้บริการ เพื่อสร้างความเข้มแข็งและความน่าเชื่อถือในการให้บริการ

ด้วยเหตุนี้เอง ก.ล.ต. จึงมีการปรับปรุงหลักเกณฑ์ของระบบไอทีของบริษัทที่อยู่ในภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัล เช่น ผู้ประกอบธุรกิจหลักทรัพย์ ผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ศูนย์รับฝากหลักทรัพย์ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ผู้ให้บริการระบบเสนอขายโทเคนดิจิทัล และผู้ให้บริการระบบคราวด์ฟันดิง

ทำให้ผู้ใดที่ประกอบธุรกิจองค์กรที่จัดอยู่ในตัวอย่างข้างต้น จะต้องไม่เพิกเฉยเนื่องจากประกาศมีผลบังคับเป็นที่เรียบร้อยแล้วเมื่อเดือนกรกฎาคม 2566 ที่ผ่านมา โดยภาพรวมของเนื้อหาสามารถแบ่งออกเป็น 3 ส่วนหลักคือ

• การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Risk Management)
• การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)
• การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit)

เนื้อหาเหล่านี้ถือเป็นข้อมูลกลางที่ผู้ประกอบธุรกิจนำไปปรับใช้กับระบบของตนเอง หากพิจารณาเนื้อหาภายในจะพบว่า ประกาศได้อ้างอิงกับเนื้อหาด้านความมั่นคงปลอดภัยไซเบอร์ที่หลายท่านคงจะคุ้นเคยกับเรื่องเหล่านี้อยู่แล้ว ยกตัวอย่าง เช่น ท่านจะต้องเตรียมการกำหนดผู้ที่รับผิดชอบในหน้าที่ต่าง ๆ ตั้งแต่การรับรู้ของคณะกรรมการของผู้ประกอบธุรกิจ ผู้บริหาร และทีมที่เกี่ยวข้อง ว่าต้องมีการวางแนวทาง เตรียมงบประมาณสำหรับส่วนงานนี้ รวมถึงต้องมีการแบ่งหน้าที่ความรับผิดชอบเป็นหลายระดับ เช่น ทีมปฏิบัติงาน ทีมบริหารความเสี่ยง และหน่วยงานตรวจสอบซึ่งควรเป็นคนละทีมกัน

นอกจากนี้ ธุรกิจที่มีความเสี่ยงสูงต้องมีที่ปรึกษาที่มีคุณสมบัติตรงกับงาน ต้องมีประสบการณ์ รวมถึงครอบคลุมแนวทางที่เป็นบริษัทใหญ่ ซึ่งมีกิจการลูกข่ายอีกด้วย ไม่เพียงเท่านั้น ธุรกิจยังต้องมีกิจกรรมและกระบวนการประเมินความเสี่ยงต่าง ๆ ซึ่งต้องคำนึงถึงระบบที่เกี่ยวข้องกับ Third-party เป็นส่วนหนึ่งด้วย

เจาะลึกหัวข้อ “การควบคุมการเข้ารหัส”

จากข้อมูลข้างต้นทุกท่านคงจะเห็นประเด็นภาพรวมกันไปแล้วว่าประกาศของ ก.ล.ต. ได้สอดคล้องกับเนื้อหาของการประเมินด้านความมั่นคงปลอดภัย เช่น ISO 27001 เป็นต้น อย่างไรก็ดี ในหัวข้อนี้เราจะเจาะลึกถึงหมวดสำคัญตัวหนึ่ง ซึ่งว่าด้วยเรื่องของการเข้ารหัสโดยเฉพาะ

ไอเดียของการเข้ารหัสคือการรักษาความลับ (Confidentiality) การันตีความครบถ้วน (Integrity) และถูกต้องอย่างแท้จริง (Authencity) โดยในเนื้อหาส่วนแรกทาง ก.ล.ต. แนะนำให้เลือกใช้วิธีการเข้ารหัสข้อมูลอย่างเป็นมาตรฐานสากลเหมาะกับระดับความสำคัญ และยังคงมีความแข็งแกร่งเป็นที่ยอมรับกันได้ เพราะอัลกอริทึมบางตัวอาจมีวิธีการเอาชนะการป้องกันได้แล้วด้วยเทคโนโลยีหรือแนวทางใหม่ ๆ

เนื้อหาส่วนที่สองเจาะจงไปที่การบริการจัดการกุญแจเข้ารหัส โดยถูกแบ่งเป็น 4 ขั้นตอนคือ

1. การสร้างกุญแจเข้ารหัส

• สภาพแวดล้อมในการสร้างกุญแจเข้ารหัสต้องรัดกุมปลอดภัย เช่น ผู้ที่มีใบรับรองน่าเชื่อถือ มีวิธีการทำลายข้อมูลหลังจากสร้างกุญแจแล้วเสร็จเพื่อป้องกันการถูกนำไปใช้โดยมิชอบ
• การเข้าถึงกุญแจต้องมาจากผู้ที่ได้รับอนุญาตเท่านั้น
• ความยาวของกุญแจต้องเพียงพอ ปลอดภัยต่อการถูกโจมตี เช่น วิธีการ Brute force
• ทำการแลกเปลี่ยนกุญแจด้วยช่องทางที่ปลอดภัย

2. การจัดเก็บและสำรองกุญแจเข้ารหัส

ในกระบวนการจัดเก็บนั้น สิ่งที่น่าสนใจคือเอกสารได้ยกตัวอย่างของวิธีการจัดเก็บที่ปลอดภัยต่อกุญแจเข้ารหัส โดยกล่าวถึงโซลูชัน HSM (Hardware Security Module) ซึ่งจะขยายความในส่วนต่อไป นอกจากนี้ ยังต้องมีการสำรองข้อมูลกุญแจเข้ารหัสที่การเก็บรักษาต้องเทียบเท่ากับกุญแจหลักด้วย

3. การเพิกถอนหรือทำลายกุญแจเข้ารหัส

ในกรณีที่กุญแจไม่มีความจำเป็นหรือมีเหตุให้ต้องเปลี่ยนกุญแจ เช่น หมดอายุการใช้งาน หรือมีการโจมตีที่อาจส่งผลกระทบ ระบบจัดการกุญแจก็ควรมีวิธีการเพิกถอนหรือทำลายกุญแจที่น่าเชื่อถือว่าข้อมูลนั้นจะไม่สามารถนำกลับมาใช้ได้อีก

4. บันทึกเหตุการณ์

กิจกรรมที่เกี่ยวกับกุญแจเข้ารหัสควรต้องมีการบันทึกเอาไว้ ตั้งแต่การสร้าง สำรอง การเข้าถึง และเพิกถอน 

ในกรณีที่ไม่สามารถออกกุญแจเข้ารหัสด้วยตัวเอง และจำเป็นต้องใช้กุญแจจากบุคคลอื่น ควรจะแน่ใจว่ากุญแจเข้ารหัสเหล่านั้นไม่ได้ถูกนำไปใช้ร่วมกับผู้ใช้บริการรายอื่น โดยสามารถพิจารณาได้จากประเภทของกุญแจและรายละเอียดของระบบ ทั้งนี้ หากเกิดเหตุรั่วไหลผู้ประกอบธุรกิจจะต้องแจ้งหน่วยงานที่เกี่ยวข้องกับชุดรหัส หาผลกระทบที่มีความเสี่ยงจากเหตุรั่วไหล พร้อมเปลี่ยนและเพิกถอนกุญแจเข้ารหัสได้

ตอบโจทย์การเข้ารหัสด้วยโซลูชัน Thales HSM

เมื่อพิจารณาถึงความต้องการที่ประกาศได้กล่าวถึง ขั้นตอนของการควบคุมการเข้ารหัส สามารถแบ่งออกเป็น 2 ส่วนได้อย่างเจาะจงคือ การบริหารจัดการกุญแจที่ได้มาอย่างครบวงจร และการเลือกใช้อัลกอริทึมการเข้ารหัสที่แข็งแรงเพียงพอ โดยกิจกรรมเหล่านี้สามารถตอบโจทย์ได้ด้วย Hardware Security Module (HSM) และ CipherTrust Manager ควบคู่กัน

HSM คืออุปกรณ์ฮาร์ดแวร์ตัวหนึ่งที่มีหน้าที่หลักในการเก็บกุญแจการเข้ารหัส โดยจุดเด่นก็คือมาตรฐานความมั่นคงปลอดภัยอันสูงส่งที่การันตีว่าไม่ว่าจะอย่างไรก็ตาม เมื่อนำกุญแจเข้ารหัสจัดเก็บอยู่ในฮาร์ดแวร์นี้แล้ว แม้จะเข้าถึงตัวเครื่องก็แทบเป็นไปไม่ได้ที่ผู้ไม่หวังดีจะนำกุญแจออกมา ตลอดจนการแก้ไขเปลี่ยนแปลงใด ๆ โดยมีหน่วยงานกลางที่กำหนดเกณฑ์วัดผลความมั่นคงปลอดภัยที่ชื่อ Federal Information Processing Standard (FIPS) หรือ FIPS 140-2 ซึ่งผลิตภัณฑ์ Thales HSM หรือที่เรียกว่า Luna HSM ได้ผ่านเกณฑ์ความปลอดภัยนี้ที่ FIPS 140-2 ระดับ 3 กล่าวคือ ผู้ใช้สามารถมั่นใจได้เลยว่า Thales HSM มีความมั่นคงปลอดภัยที่เป็นมาตรฐานสากล

อย่างไรก็ดี Luna HSM ไม่ได้มีหน้าที่เพียงแค่เก็บกุญแจที่แสนสำคัญเท่านั้น แต่ยังทำหน้าที่ให้บริการการเข้ารหัสต่าง ๆ ด้วยอัลกอริทึมมาตรฐานในรูปแบบของ Symmetric หรือ Asymmetric เช่น RSA, ECDSA, KCDSA, 3DES, ARIA, RC4, RC5, SHA-2, SM3 และอื่น ๆ อีกมากมาย โดยบริการเหล่านี้สามารถเรียกใช้ได้ผ่าน API หลากหลายรูปแบบ ไม่เพียงเท่านั้น Thales ยังได้คำนึงถึงอนาคตที่เพิ่มระดับของการป้องกันการมาถึงของควอนตัมด้วย

การใช้ฮาร์ดแวร์ที่ถูกออกแบบมาเพื่อการเข้ารหัสอย่างแท้จริงจะให้ประสิทธิภาพที่ดีกว่าฮาร์ดแวร์ตามท้องตลาดทั่วไป โดยสถิติของ LUNA HSM 7 อยู่ที่ 20,000 EEC และ 10,000 RSA ต่อวินาที ซึ่งจัดว่าเร็วที่สุดในตลาด ณ ขณะนี้

เมื่อมีโครงสร้างพื้นฐานในการจัดเก็บกุญแจเข้ารหัส และอัลกอริทึมการเข้ารหัสที่แข็งแกร่งแล้ว สิ่งที่สำคัญไม่ยิ่งหย่อนกว่ากันก็คือ การบริหารจัดการกุญแจที่ได้มา ตั้งแต่การสร้าง เรียกคืน ทำลายกุญแจ สำรองกุญแจ และทำ Policy เกี่ยวกับการเข้าถึงให้จำกัดเฉพาะผู้มีสิทธิ์ กำหนดอายุของการใช้งานเพื่อป้องกันความเสี่ยงของการโจมตี ดังนั้น จึงนำมาสู่โซลูชัน CipherTrust Data Security Platform

CipherTrust Data Security Platform เป็นแพลตฟอร์มที่รวมการทำงานไว้อย่างครบวงจร ซึ่งหัวใจสำคัญก็คือ CipherTrust Manager ที่ว่าด้วยเรื่องของการบริหารจัดการกุญแจต่าง ๆ ให้มีระบบระเบียบแบบรวมศูนย์ ทำให้ผู้ใช้งานสามารถกำหนดมาตรการเข้าถึงที่ต้องการได้ตามความต้องการขององค์กร โดยรองรับการใช้งานแบบ On-premise ร่วมกับ Thales Luna หรือทำงานร่วมกับ 3rd Party HSM  นอกจากนี้ Thales ยังนำเสนอ CipherTrust Cloud Manager เพื่อตอบโจทย์ความคล่องตัวอย่างสูงสุด

ไม่เพียงแค่เข้ารหัส แต่ต้องเลือกใช้วิธีการได้อย่างเหมาะสม

มาถึงตรงนี้ท่านคงจะทราบแล้วว่า Thales ได้นำเสนอโซลูชันที่ช่วยในการจัดการกุญแจ และจัดเก็บได้อย่างมั่นใจ แต่ในมุมของการปกป้องข้อมูลไม่ได้มีเพียงแค่การเข้ารหัสเท่านั้น เพราะข้อมูลบางอย่างจำเป็นต้องถูกเปิดบางส่วนเพื่อการมองเห็น หรือนำไปประมวลผลต่อ 

ดังนั้น จึงมีกระบวนการปิดบังข้อมูลที่เรียกว่า Data Masking หรือ Tokenization ซึ่งเราจะไม่ขอกล่าวถึงรายละเอียดปลีกย่อย เช่น Static/Dynamic Data Masking หรือ Vault/Vaultless Tokenization รู้ไว้เพียงว่าเป็นวิธีการที่ช่วยทดแทนข้อมูลสำคัญไม่ให้ผู้อื่นทราบได้ เช่น 123xx556 เป็นต้น โดยวิธีการเหล่านี้ดีต่อการรักษา format เดิมของข้อมูลและเหมาะสำหรับข้อมูลที่ต้องนำไปใช้ต่อ โดยทำงานได้รวดเร็วกว่าการเข้ารหัสและถอดรหัส เหมาะกับแอปพลิเคชันหลายประเภท

ด้วยเหตุนี้เอง องค์กรจึงต้องเลือกวิธีการปกป้องข้อมูลที่เหมาะสมกับตัวข้อมูลด้วย โดยท่านสามารถใช้แพลตฟอร์ม CipherTrust Data Security เข้ามาช่วยค้นหาข้อมูลเพื่อพิจารณาว่ามีข้อมูลสำคัญใดที่ต้องถูกปกป้อง และควรใช้วิธีการใด ทั้งนี้ การบริหารจัดการจะถูกทำได้แบบรวมศูนย์

บทส่งท้าย

ก.ล.ต. เป็นผู้ควบคุมหน่วยงานด้านการเงินการลงทุนที่สำคัญของประเทศไทย ด้วยเหตุนี้เอง จึงต้องมีการกำหนดกฎเกณฑ์และระเบียบปฏิบัติให้ธุรกิจได้นำไปสำรวจตนเองและปรับใช้ให้สอดคล้องกับประกาศที่ออกมา โดยในบทความนี้เราได้ชี้ให้ผู้อ่านทราบถึงผลกระทบที่อาจเกี่ยวข้องกับองค์กรของท่าน และภาพรวมของประกาศ ตลอดจนพาทุกท่านเข้าไปเจาะลึกเกี่ยวกับหัวข้อการควบคุมการเข้ารหัส

โดยในการจัดการความท้าทายเหล่านี้ Thales ได้นำเสนอโซลูชัน Luna HSM ร่วมกับ CipherTrust Manager ที่ตอบโจทย์ได้อย่างครบวงจรผ่าน CipherTrust Security Platform อย่างไรก็ดี ในหมวดอื่น ๆ ของประกาศยังคงกล่าวถึงการควบคุมด้านการเข้าถึงเช่นกัน ซึ่ง Thales ก็มีผลิตภัณฑ์ในด้าน Customer Identity and Access Management (CIAM) หรือ SafeNet Trusted Access ที่ช่วยจัดการเรื่อง Identity อีกด้วย

ในทางปฏิบัติจริงนั้นยังคงมีความท้าทายรออยู่อีกมาก ตั้งแต่การออกแบบและการอิมพลีเมนต์ระบบ เช่น แนวทางการบริหารจัดการกุญแจแบบ Bring Your Own Key (BYOK), Bring Your Own Application (BYOA) และ Bring Your Own Encryption(BYOE) ซึ่งสิ่งเหล่านี้ขึ้นอยู่กับความต้องการระบบเดิมของท่านว่ามีการใช้งานอย่างไร แอปพลิเคชันเดิมรองรับการทำงานแบบไหนหรือมีระเบียบข้อบังคับใดที่ควบคุมอยู่หรือไม่ ดังนั้น จะดีกว่าไหมหากท่านมีผู้เชี่ยวชาญที่สามารถให้คำปรึกษากับท่านได้อย่างมั่นใจ

สนใจสินค้าและผลิตภัณฑ์ติดต่อทีมงานของ Thales ได้ที่ cpl.apacsales@thalesgroup.com