13 ก.พ. 2567 591 8

ถึงเวลาต้องจริงจังกับการขับเคลื่อนวาระแห่งชาติ
เพื่อปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศแล้วหรือยัง

ถึงเวลาต้องจริงจังกับการขับเคลื่อนวาระแห่งชาติ
เพื่อปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศแล้วหรือยัง

โดย ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำเทศกลุ่มอินโดจีน พาโล อัลโต้ เน็ตเวิร์กส์


การรักษาความปลอดภัยทางสารสนเทศยังคงเป็นข้อกังวลหลักในการก้าวเข้าสู่ศักราชใหม่ ข้อมูลจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่า องค์กรต่างๆ ในประเทศไทยถูกโจมตีเกือบ 1,800 ครั้ง ในช่วง 10 เดือนแรกของปีที่แล้ว โดยมีเป้าหมายหลักอยู่ที่ภาคการศึกษาและภาครัฐ  และเมื่อกลางเดือนธันวาคมที่ผ่านมา เหยื่อรายล่าสุด คือ โรงพยาบาลแห่งหนึ่งปัจจุบันองค์กรจำนวนมากกำลังเผชิญกับความเสี่ยงในการรับมือกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็ว ซึ่งตอนนี้ก็ได้เบนเข็มไปที่โครงสร้างระบบสารสนเทศที่มีความสำคัญ บริการในกลุ่มนี้ ประกอบด้วย สถานพยาบาลและสถาบันการเงิน ที่เผชิญกับการโจมตีด้วยฟิชชิงและมัลแวร์เรียกค่าไถ่มากมายหลากหลายรูปแบบ

กลุ่มองค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศของไทยมีอะไรบ้าง

องค์กรจำนวนมากที่มีความสำคัญในฐานะผู้ให้บริการพื้นฐานด้านต่างๆ แก่ประชาชน โดยประเทศไทยได้แบ่งหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ออกเป็น 7 กลุ่ม ได้แก่ ความมั่นคงภาครัฐและบริการหลักของรัฐ การเงินและการธนาคาร เทคโนโลยีสารสนเทศ โทรคมนาคม ขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค และสาธารณสุข นอกจากนี้แล้ว ตามข้อมูลในรายงานสถานการณ์ความมั่นคงปลอดภัยไซเบอร์ในอาเซียนปี 2566 จากพาโล อัลโต้ เน็ตเวิร์กส์  ระบุว่าภาคการเงินและธนาคาร ตกเป็นเป้าหมายการโจมตีที่มุ่งสร้างความเสียหายมากที่สุด

ทั้งนี้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ก้าวเข้ามามีบทบาท ในการจัดทำข้อกำหนดสำหรับองค์กรที่มีโครงสร้างระบบสารสนเทศที่สำคัญของประเทศ นับตั้งแต่ปี 2565 โดยแนะนำให้ดำเนินการขั้นต่ำตามมาตรฐาน ISO 27000 และ 27001 ที่กำหนดให้ต้องตรวจสอบภัยคุกคามและช่องโหว่ต่างๆ เป็นประจำ โดยสถาบันต่างๆ ต้องปฏิบัติตามมาตรฐานเหล่านี้ในทุกด้าน และจัดทำแผนการรับมืออุบัติการณ์เพื่อเตรียมความพร้อม

ปฏิบัติการเสริมภูมิคุ้มกัน

การทำดิจิทัลทรานส์ฟอร์เมชันได้ก้าวเข้ามาเปลี่ยนแปลงมาตรการป้องกันตนเองขององค์กรจำนวนมาก องค์กรหลายแห่งต้องเผชิญกับความท้าทายในหลายด้าน ทั้งสถานการณ์ภัยคุกคามทางไซเบอร์รูปแบบใหม่ไปจนถึง พฤติกรรมการทำงานที่เปลี่ยนไป การทำงานแบบไฮบริดและการเร่งเดินหน้าย้ายระบบขึ้นคลาวด์ทำให้เกิดสถานการณ์ที่แอปพลิเคชันและผู้ใช้จะอยู่ที่ใดก็ได้บนโลกใบนี้ ขณะเดียวกันผู้ใช้ก็ต้องการเข้าถึงแอปพลิเคชันได้จากทุกที่ไม่ว่าจะใช้อุปกรณ์ใดก็ตาม

นั่นทำให้องค์กรทุกวันนี้ต้องพึ่งพาระบบรักษาความปลอดภัยที่เข้มข้นขึ้น และต้องครอบคลุมระบบต่างๆ ทุกจุดและทุกการเชื่อมต่อ ซึ่งในสถานการณ์ลักษณะนี้ แนวทางซีโรทรัสต์ (Zero Trust) เป็นทางออกที่เหมาะสม เพราะช่วยบรรเทาจำนวนปัญหาด้านความปลอดภัยที่บรรดาโครงสร้างพื้นฐานสำคัญต้องเผชิญ อีกทั้งยังช่วยเสริมภูมิคุ้มกันทางไซเบอร์ที่จำเป็น

หัวใจสำคัญของแนวทางดังกล่าวก็คือ การเลิกไว้วางใจเป็นปราการด่านแรก กล่าวคือ ผู้ใช้ทุกคนต้องยืนยันตนเอง การเข้าถึงระบบทุกครั้งต้องมีการตรวจสอบ กิจกรรมทั้งหมดบนระบบต้องถูกติดตามอย่างต่อเนื่อง ที่จริงนอกจากประโยชน์ในด้านความปลอดภัยแล้ว แนวทางดังกล่าว ยังสร้างประสบการณ์ฝั่งผู้ใช้ที่เหมือนกันทุกที่ ไม่ว่าจะทำงานจากที่บ้านหรือที่สำนักงาน ทุกคนก็ต้องผ่านการประเมินความปลอดภัยและความเสี่ยงในแบบเดียวกัน ไม่มีใครที่ได้รับสิทธิ์เข้าระบบโดยอัตโนมัติแม้จะอยู่ที่สำนักงานก็ตาม

นอกจากนี้แนวคิดซีโรทรัสต์ยังครอบคลุมองค์ประกอบโครงสร้างระบบในส่วนอื่นๆ ด้วย เช่น อุปกรณ์ OT หรือโหนดต่างๆ ในเครือข่าย ดังนั้น เมื่อใดก็ตามที่อุปกรณ์ต้องการเข้าสู่เครือข่าย ก็ต้องมีการยืนยันตัวตนแม้ว่าจะเคยได้รับอนุญาตไปแล้วก่อนหน้านี้ก็ตาม

ปกป้องสินทรัพย์สำคัญขององค์กร

นอกจากการบังคับใช้แนวคิดซีโรทรัสต์อย่างเข้มงวดแล้ว องค์กรต่างๆ ยังควรปฏิบัติตามมาตรการหลักด้านอื่นๆ ด้วย เช่น ต้องมีการประเมินสินทรัพย์และความเสี่ยงที่กระทบโดยละเอียดเป็นประจำ ต้องมีการแยกกลุ่มเครือข่าย OT และ IT ให้ชัดเจน

ศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัย (SOC) ทำหน้าที่ติดตามโครงสร้างระบบ IT ขององค์กรอย่างใกล้ชิด เนื่องจากเป็นหัวใจหลักของยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ จากข้อมูลในรายงานการประเมินสถานการณ์ความปลอดภัยที่ทาง สกมช. ได้ร่วมมือกับไทม์ คอนซัลติ้ง และพาโล อัลโต้ เน็ตเวิร์กส์ ในการประเมินโครงสร้างระบบ IT ของโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่สำคัญ 17 แห่ง พบว่า ปัจจุบันองค์กรราว 85% ว่าจ้างงาน SOC แก่บริษัทภายนอก ดังนั้น ธุรกิจต่างๆ จึงควรทบทวนสัญญาบริการ SOC เป็นประจำเพื่อยกระดับข้อตกลงระดับการให้บริการ (SLA) ให้ดียิ่งขึ้น โดย KPI ที่มีประโยชน์ในด้านนี้ก็คือMTTD (เวลาเฉลี่ยในการตรวจจับ) และ MTTR (เวลาเฉลี่ยในการแก้ไขปัญหา)

วันนี้เทคโนโลยี AI และ ML ทำให้สามารถตรวจจับภัยคุกคามได้เร็วขึ้นอย่างที่ไม่เคยคาดคิดมาก่อน และยังช่วยในการจัดทำและเริ่มใช้โมเดลการปฏิบัติงานด้าน SOC ที่ทันสมัย ซึ่งพยายามนำระบบอัตโนมัติที่มีประสิทธิภาพเข้ามาแทนที่กระบวนการดั้งเดิม

แต่ไม่ว่าอย่างไรก็ตาม การให้สิทธิ์น้อยที่สุดเท่าที่จำเป็นและการตรวจสอบความไว้วางใจอย่างต่อเนื่องคือหัวใจสำคัญในการลดผลกระทบจากอุบัติการณ์ด้านความปลอดภัย การตรวจสอบความปลอดภัยตลอดเวลาทำให้มั่นใจว่าธุรกรรมทุกรายการจะปลอดภัย และยังช่วยลดจำนวนภัยคุกคามทั้งที่รู้จักและไม่รู้จักโดยไม่กระทบต่อการทำงานของผู้ใช้ เช่น บรรดาภัยคุกคามที่เพิ่งค้นพบใหม่ล่าสุด (zero-day)

การรักษาความปลอดภัยแก่โครงสร้างพื้นฐานสำคัญทางสารสนเทศ ถือเป็นเรื่องพื้นฐานที่จำเป็นของสังคมในภาพรวม ดังนั้น จึงควรยกระดับให้เป็นวาระแห่งชาติและแสวงหาความร่วมมือจากทุกฝ่ายที่เกี่ยวข้อง สิ่งสำคัญคือการทำงานร่วมกันระหว่างฝ่ายต่างๆ เพราะจะช่วยป้องกันภัยคุกคามทางไซเบอร์และบรรเทาความเสียหายระยะยาวที่จะเกิดขึ้นกับซัพพลายเชนทั้งหมด