สรุปสถานการณ์ความเคลื่อนไหวด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การวิเคราะห์ผลกระทบจากปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์ของภูมิภาคเอเชีย (ผลสรุปจากการประชุมคณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลแห่งเอเชียที่ฮ่องกง)
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
สืบเนื่องจากทาง (ISC)2 ซึ่งเป็นองค์กรที่จัดสอบ Certified Information System Security Professional หรือ CISSP ซึ่งเป็น Professional Certificate ที่ได้รับการยอบรับเป็นมาตรฐานโลกสำหรับผู้เชี่ยวชาญด้านระบบความปลอดภัยกับข้อมูลหรือ Information Security Professional ได้ให้เกียรติเชิญผมเข้าร่วมเป็นคณะกรรมการที่ปรึกษาประจำภูมิภาคเอเชียซึ่งทาง (ISC)2 ได้จัดการได้จัดการประชุมขึ้นเป็นครั้งแรกที่ฮ่องกง โดยที่ทาง (ISC)2 เป็นเจ้าภาพในการจัดประชุม และได้เชิญผู้เชี่ยวชาญอาวุโสด้าน Information Security ซึ่งเป็นตัวแทนของประเทศต่างๆ ในภูมิภาคเอเชียประกอบไปด้วย ประเทศไทย, ออสเตรเลีย, จีน, ฮ่องกง, ญี่ปุ่น, สิงคโปร์ และ เกาหลีใต้ ซึ่งมีกำหนดการประชุมอย่างน้อย 2 ครั้งต่อปี จุดประสงค์ของการประชุมคณะกรรมการที่ปรึกษาแห่งเอเชีย เนื่องจาก เอเชียเป็นหนึ่งในภูมิภาคที่เติบโตเร็วที่สุดสำหรับอาชีพผู้เชี่ยวชาญระบบรักษาความปลอดภัยข้อมูล และบุคลากรที่มีความรู้ความสามารถและผ่านการรับรองก็เป็นที่ต้องการมากขึ้น เพื่อตอบสนองความต้องการเรื่องระบบความปลอดภัยกับข้อมูลที่กำลังขยายตัวในเอเชีย และ เพื่อนำเสนอแนะความคิดและแนวทางปฏิบัติเกี่ยวกับระบบความปลอดภัยข้อมูลให้ถูกต้อง และ สามารถรองรับการโจมตีในหลากหลายรูปแบบด้านความปลอดภัยข้อมูล เช่น ปัญหาไวรัสคอมพิวเตอร์, ปัญหาการบุกรุกของแฮกเกอร์ และปัญหา SPAM MAIL ตลอดจนเทคนิคใหม่ๆ ที่แฮกเกอร์ได้นำมาประยุกต์ใช้เพื่อเจาะระบบของเป้าหมาย ซึ่งเทคโนโลยีการป้องกันความปลอดภัยในปัจจุบันไม่สามารถที่จะป้องกันได้ 100% หรือแทบจะไม่มีประโยชน์เลยในบางกรณี เช่น Web Application Hacking
จากตัวเลขผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลที่ได้รับประกาศนียบัตร CISSP ทั้งโลกประมาณ 27,644 คน จาก 106 ประเทศ (ณ วันที่ 30 เดือนมิถุนายน 2004) พบว่าทวีปเอเชียมีจำนวนผู้สอบผ่าน CISSP มากเป็นอันดับสองรองจาก ทวีปอเมริกาเหนือ ซึ่งประกอบด้วย สหรัฐอเมริกาและแคนาดา โดยที่ทวีปอเมริกาเหนือมีจำนวน CISSP 19,726 คน คิดเป็น 74% ของจำนวน CISSP ทั้งหมด และทวีปเอเชียมีจำนวน CISSP 3,160 คน ใน 17 ประเทศ คิดเป็น 12% ซึ่งมีการขยายตัวมากกว่าทวีปยุโรปซึ่งมี CISSP 2,422 คน คิดเป็น 9% ของจำนวน CISSP ทั้งโลก (ที่เหลือ 5 % ตามทวีปต่างๆ ทั่วโลก)
ประเทศในเอเชียที่มีจำนวน CISSP มากที่สุด คือ ฮ่องกง (1,131 คน) รองลงมาคือ สิงคโปร์ (632 คน) และ เกาหลีใต้ (481 คน) ตามลำดับ ส่วนประเทศไทยจำนวน CISSP (ณ วันที่ 3 เดือนมิถุนายน 2004) จำนวน 21 คน ซึ่งเมื่อเปรียบเทียบกับประเทศเพื่อนบ้านจะเห็นว่ามีจำนวนน้อยมาก ตัวเลขจำนวน CISSP แสดงให้เห็นถึงศักยภาพ และความพร้อมด้านการรักษาความปลอดภัยข้อมูลของประเทศต่างๆ ในภูมิภาคเอเชีย เพราะ CISSP เป็นใบรับรองผู้เชี่ยวชาญด้านระบบความปลอดภัยข้อมูลที่ได้รับรองมาตรฐาน ANSI และ ISO17024 (Personnel Certification Systems) ซึ่งเป็นใบรับรองความสามารถของบุคคลในประเทศนั้นๆ ในการปฎิบัติงานด้านความปลอดภัยข้อมูลคอมพิวเตอร์
ล่าสุดมีการสอบครั้งแรกในประเทศไทย มีผู้เข้าสอบ 49 คน สอบผ่าน 18 คน โดยความร่วมมือระหว่าง NECTEC และ (ISC)2 ในระหว่างการประชุมคณะกรรมการที่ปรึกษาประจำภูมิภาคเอเชีย ผู้เชี่ยวชาญในแต่ละประเทศได้บรรยายถึงสถานการณ์ที่เกิดขึ้นในแวดวงความปลอดภัยข้อมูลให้แก่คณะกรรมการผู้เข้าร่วมประชุม ซึ่งสรุปสถานการณ์ของแต่ละประเทศได้ดังนี้
เริ่มจากประเทศฮ่องกงซึ่งเป็นเจ้าภาพการประชุม ได้เชิญทาง Government CIO ซึ่งเป็นตัวแทนจากภาครัฐ และตำรวจปราบปรามอาชญากรรมคอมพิวเตอร์ ได้เข้าร่วมให้ความเห็น สรุปได้ว่า ปัญหาใหญ่ที่ฮ่องกงกำลังเผชิญอยู่ในเวลานี้ คือ ปัญหา SPAM MAIL เป็นปัญหาอันดับหนึ่ง ซึ่งทำให้การติดต่อสื่อสารด้านคอมพิวเตอร์ผ่านทางอินเทอร์เน็ตประสบกับปัญหาติดขัดเนื่องจากจำนวนข้อมูลของ SPAM MAIL นั้นมีจำนวนมหาศาลในแต่ละวัน ตลอดจนผู้ใช้งานคอมพิวเตอร์ต้องเสียเวลาในการกำจัด SPAM MAIL และยังอาจติดกับดักของโปรแกรมไวรัส และโปรแกรมจำพวก SPYWARE ที่มากับ E-Mail ในรูปแบบต่างๆ ซึ่งขณะนี้การหลอกลวงผ่าน E-Mail ด้วยวิธี “PHISHING” กำลังได้รับความนิยมในกลุ่มแฮกเกอร์ (รายละเอียดเพิ่มเติมดูได้ที่www.antiphishing.org)
ดังนั้น การแก้ปัญหาที่ถูกต้องนอกจากการ กำจัด หรือ ป้องกัน SPAM MAIL แล้วยังต้องมีการฝึกอบรม Security Awareness Training ให้กับผู้ใช้งานคอมพิวเตอร์ในองค์กรด้วย ตลอดจนการประเมินความเสี่ยง (Risk Assessment) เป็นระยะๆ อย่างน้อยปีละหนึ่งครั้ง สำหรับโครงการด้านความปลอดภัยของข้อมูลของภาครัฐมีข้อกำหนดว่าผู้จัดการโครงการ ต้องสอบผ่าน CISSP ถึงจะสามารถเสนอโครงการให้กับทางภาครัฐได้ และ ทางตำรวจที่มีหน้าที่ปราบปรามอาชญากรคอมพิวเตอร์ก็มีความต้องการผู้สอบผ่าน CISSP เช่นเดียวกับทางภาครัฐของฮ่องกงเช่นกัน ทางประเทศเกาหลีใต้ก็มีปัญหาในทำนองเดียวกัน เพราะทั้งฮ่องกงและเกาหลีใต้มีการใช้งาน Internet Broadband กันอย่างแพร่หลายทำให้ไวรัสและ MalWare ต่างๆ กระจายเข้าสู่คอมพิวเตอร์ได้ง่าย รวดเร็ว และมีผลกระทบมากขึ้นเนื่องจากความเร็วของอินเทอร์เน็ตที่เร็วขึ้น จากรายงานพบว่าหากเปิดเครื่อง Online โดยเฉลี่ยเพียง 15 วินาทีจะพบการโจมตีจากอินเทอร์เน็ตเข้ามายังเครื่องของเราทันที ซึ่งเราจำเป็นต้องมีโปรแกรม Personal Firewall และ โปรแกรม ANTI- SpyWare เพิ่มเติมจากโปรแกรม ANTI-Virus ที่เราใช้งานอยู่เป็นประจำ
สำหรับกรรมการที่ปรึกษาจากประเทศออสเตรเลียได้กล่าวถึงประโยชน์จากการสอบผ่าน CISSP ว่า มีการให้คะแนนเป็นพิเศษกับผู้ที่ต้องการสมัครเป็นประชากรของออสเตรเลียและได้รับใบรับรอง CISSP ซึ่งแสดงถึงความสามารถในการเป็นผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล ตลอดจนโครงการต่างๆ ของภาครัฐก็มีความต้องการผู้ที่ได้รับใบรับรอง CISSP เข้ามาทำงานในตำแหน่งต่างๆ เช่นเดียวกับฮ่องกงส่วนประเทศจีนนั้นผู้สอบผ่าน CISSP ส่วนใหญ่จะเป็นอาจารย์ในมหาวิทยาลัยที่จบการศึกษาในระดับปริญญาเอกและปริญญาโท ที่อยู่ในแวดวงผู้มีความเชี่ยวชาญแตกฉานในภาษาอังกฤษ และ ความรู้ทางด้าน Information Security หลังจากที่ทางประเทศจีนได้มีการแปลข้อสอบ CISSP เป็นภาษาจีน ทำให้จำนวนผู้สอบผ่าน CISSP เพิ่มจำนวนขึ้นอย่างมากแสดงให้เห็นว่าปัญหาด้านภาษาอังกฤษเป็นข้อจำกัดของการศึกษาและการสอบผ่านประกาศนียบัตร CISSP อย่างเห็นได้ชัด โดยประเทศที่มีไม่ค่อยมีปัญหาด้านภาษาอังกฤษ เช่น อินเดีย, สิงคโปร์ และฮ่องกง ล้วนมีอัตราการสอบผ่านอยู่ในเกณฑ์สูงกว่าประเทศอื่นๆ ในภูมิภาคเอเชีย สำหรับประเทศญี่ปุ่นนั้นภาคเอกชนกลับเป็นผู้นำด้านการสอบ CISSP โดยบริษัท NTT DOCOMO ซึ่งเป็นยักษ์ใหญ่โทรคมนาคมของญี่ปุ่น ได้มีนโยบายให้บุคลากรด้านไอทีของบริษัทสอบผ่านประกาศนียบัตร CISSP หลังจากที่ NTT ได้สนับสนุนจนมีบุคลากรสอบผ่าน CISSP เป็นจำนวนมาก พบว่าการทำงานด้านการปลอดภัยข้อมูลของบริษัทดีขึ้นอย่างเห็นได้ชัดเนื่องจากทุกคนเข้าใจคำศัพท์และมาตรฐานต่างๆ ด้าน Information Security ในระดับเดียวกัน ซึ่งทำให้ประสิทธิภาพในการทำงานโดยรวมเพิ่มขึ้นอย่างน่าพอใจ แต่ สำหรับภาครัฐยังไม่ค่อยให้ความสำคัญกับ CISSP มากนัก และปัญหาอีกอย่างของญี่ปุ่นก็คือ ปัญหาด้านภาษาอังกฤษ ซึ่งทำให้การสอบ CISSP ในช่วงแรกๆ มีผู้สอบผ่านน้อยมาก แต่หลังจากที่มีการแปลข้อสอบก็พบว่าผู้สอบผ่านมากขึ้นเท่าตัวคล้ายๆ กับสถานการณ์ในประเทศจีนเช่นกัน
ในส่วนของประเทศสิงคโปร์นั้น กรรมการที่ปรึกษาเป็นผู้เชี่ยวชาญที่เคยทำงานทางด้านความปลอดภัยให้กับกระทรวงกลาโหมของสิงคโปร์มาหลายปี ซึ่งกระทรวงกลาโหมต้องการบุคลากรที่สอบผ่าน CISSP จึงทำให้ผู้ที่อยากทำงานกับกระทรวงกลาโหมต้องไปสอบ CISSP โดยปริยาย ตลอดจนรัฐบาลของสิงคโปร์ โดยหน่วยงาน IDA (www.ida.gov.sg) และ NICC (www.nicc.org.sg) ได้มีโปรแกรม CITREP เพื่อสนับสนุนเงินค่าสอบให้กับผู้สอบผ่านให้ถึง 70% ของค่าสอบทั้งหมด ทำให้คนสิงคโปร์ได้รับโอกาสที่ดีกว่าประเทศอื่นๆ พอสมควร
ในส่วนของประเทศไทยซึ่งผมเป็นผู้บรรยายสถานการณ์ของประเทศเรา ก็สรุปได้ว่า เรามีปัญหาใหญ่ๆ อยู่ 3 เรื่อง คือ เรื่อง SPAM MAIL เรื่องไวรัสคอมพิวเตอร์ และ เรื่องปัญหาการโจมตีของแฮกเกอร์ในรูปแบบต่างๆ ตลอดจนปัญหาการขโมยโดเมนเนม (Domain Name Hijacking) ซึ่งกำลังเป็นปัญหาใหญ่ที่เกิดขึ้นอย่างต่อเนื่อง และเรายังไม่มีกฎหมายปราบปรามอาชญากรรมคอมพิวเตอร์ เพื่อเอาผิดกับแฮกเกอร์และผู้ขโมยโดนเมนเนมอย่างที่เห็นกันอยู่ในปัจจุบัน ดังนั้น ช่วงเวลานี้เราต้องป้องกันระบบของเราเองให้มากที่สุดเท่าที่เราจะทำได้ จนกว่าจะมีบทลงโทษแฮกเกอร์ จากกฎหมายอาชญากรรมคอมพิวเตอร์ที่คาดว่าจะประกาศใช้ในปี 2005 แนวโน้มทิศทางด้านความปลอดภัยข้อมูลของประเทศไทยจะเน้นไปทางด้านการควบคุมภายใน (Internal Control) และ การตรวจสอบภายใน (Internal Audit) กับระบบมากขึ้น โดยมีการบริหารและประเมินความเสี่ยงของระบบ ตลอดจนกำหนดให้มีนโยบายด้านการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ในระดับองค์กร และ การจัดให้มีการฝึกอบรมความรู้ความเข้าใจให้กับผู้ใช้งานคอมพิวเตอร์ให้มีความรู้เท่าทันเล่ห์เหลี่ยมใหม่ๆ ของไวรัสและแฮกเกอร์ โดยหน่วยงานของภาครัฐ เช่น ธนาคารแห่งประเทศไทย, คณะกรรมการกำกับตลาดหลักทรัพย์ หรือ กลต. ตลอดจนกรมสอบสวนคดีพิเศษ (DSI) ก็ล้วนแต่ให้ความสำคัญกับปัญหาด้านความปลอดภัยข้อมูล และ ให้การสนับสนุนบุคลากรในการศึกษาความรู้ด้าน Information Security เพื่อสอบวัดความรู้ความสามารถ ในมาตรฐานระดับโลก ได้แก่ ประกาศนียบัตร CISSP และ ประกาศนียบัตร CISA ซึ่งเน้นทางด้าน IT Audit เป็นหลัก กล่าวโดยสรุป ปัญหาต่างๆ ที่เกิดขึ้นด้านระบบความปลอดภัยข้อมูลในภูมิภาคเอเชียนั้น มีลักษณะคล้ายคลึงกัน เช่น ปัญหาไวรัสคอมพิวเตอร์, ปัญหา SPAM MAIL ตลอดจนปัญหาแฮกเกอร์ องค์กรต่างๆ ควรมีการปรับตัวเพื่อรองรับปัญหาต่างๆ ที่มีแนวโน้มเพิ่มสูงขึ้นในอนาคต ซึ่งการสนับสนุนให้บุคลากรในองค์กรให้สอบผ่านประกาศนียบัตรรับรองความสามารถด้านความปลอดภัยข้อมูล เช่น CISSP (Certified Information System Security Professional ) หรือ CISA (Certified Information System Auditor) จึงเป็นแนวทางในการแก้ปัญหาในระยะยาว เพราะปัญหาที่แท้จริงด้าน Information Security นั้นไม่ใช่เรื่องทางด้านเทคนิค แต่กลับเป็นเรื่องของ “คน” ที่นับเป็นปัจจัยที่สำคัญที่สุดที่จะกำหนดความสำเร็จขององค์กรหนึ่งๆ และการรับรองความรู้และความชำนาญของบุคลากร ถือเป็นเรื่องสำคัญที่องค์กรควรให้การสนับสนุน ให้บุคลากรมีความเข้าใจอย่างแท้จริงในการทำงานด้านนี้ เพื่อนำพาองค์กรเข้าสู่มาตรฐานที่หลายๆ คนกำลังพูดถึง ก็คือ “IT Governance” นั่นเอง
จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนกันยายน 2547
Update Information : 10 กันยายน 2547