ถ่ายทอดประสบการณ์ Cybersecurity ระดับโลกจากโครงการทุน Eisenhower Fellowships Southeast Asia Regional Program 51 วันในประเทศสหรัฐอเมริกา: Eisenhower Fellowships Southeast Asia Regional Program: The World-class Cybersecurity Experience in USA
ปัญหาเรื่อง “Cybersecurity” กำลังกลายเป็นปัญหาระดับชาติและเป็นวาระแห่งชาติในหลายประเทศทั้งในปัจจุบันและอนาคตโดยมีผลกระทบต่อความมั่นคงปลอดภัยและการพัฒนาเศษฐกิจสังคมของประเทศ หากประเทศใดไม่มีการเตรียมความพร้อมทางไซเบอร์ (Cybersecurity Readiness) อย่างเพียงพอ โอกาสที่จะถูกโจมตีโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) จึงมีความเป็นไปได้สูง ทาง NSA ใช้คำว่า “Digital Pearl Harbor” ทำให้นึกถึงปัญหาด้านการข่าวและการเตรียมตัวที่บกพร่องของสหรัฐอเมริกา ทำให้ Pearl Harbor ถูกญี่ปุ่นโจมตีอย่างไม่ทันตั้งตัว เกิดความเสียหายทั้งชีวิตและทรัพย์สินครั้งใหญ่ในประวัติศาสตร์ของประเทศสหรัฐอเมริกาที่ต้องจารึกไว้เป็นบทเรียนราคาแพงตราบจนถึงทุกวันนี้
ผมได้รับโอกาสเป็นตัวแทนหนึ่งในห้าคนไทยที่ผ่านการคัดเลือกโดยคณะกรรมการทุน Eisenhower Fellowships 2013 Southeast Asia Regional Program ณ กรุงฟิลาเดลเฟีย และสมาคมศิษย์เก่า Thailand Eisenhower Fellowships Alumni ในกรุงเทพฯ นำโดย อ.ดร.สมเกียรติ ตั้งกิจวานิชย์ และ อ.ดร.ชฎามาศ ธุวะเศรษฐกุล ให้เข้าร่วมโครงการ Eisenhower Fellowships 2013 Southeast Asia Regional Program ในประเทศสหรัฐอเมริกาเป็นเวลา 51 วัน ผมต้องขอขอบคุณอาจารย์ผู้ให้โอกาสทั้งสองท่านและทางคณะกรรมการ Eisenhower Fellowships ไว้ ณ ที่นี้ ที่ให้โอกาสผมได้เปิดโลกทัศน์และได้รับประสบการณ์ความรู้อันประเมินค่าไม่ได้จากการเดินทาง 10 รัฐ 15 เมืองในประเทศสหรัฐอเมริกา
จากการที่ผมได้รับอนุญาตเข้าพบบุคคลสำคัญระดับโลก 4 ท่าน ซึ่งเป็นผู้ที่เรียกได้ว่าเป็นตำนานด้าน Cybersecurity ของสหรัฐอเมริกาและของโลก จัดเป็นผู้ที่ทรงอิทธิพลในการกำหนดนโยบายและทิศทางด้าน Cybersecurity ของสหรัฐอเมริกาในปัจจุบันและอนาคต ผมได้รับโอกาสสนทนาแบบเป็นส่วนตัว ได้แลกเปลี่ยนความคิดกับทั้ง 4 ท่าน ณ ทำเนียบขาว( The White House) กรุงวอชิงตัน ดีซี (Washington, D.C.), Arlington และ McLean, Virginia ซึ่งผมขอแชร์ประสบการณ์ดังนี้.

@Eisenhower Executive Office Building (EEOB), The White House, Washington D.C.
http://www.whitehouse.gov/blog/author/Michael Daniel

ผมได้รับเกียรติเข้าพบและสนทนากับ Mr.Michael Daniel, Special Assistant to the President and the Cybersecurity Coordinator ผู้ที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับแผนกลยุทธด้าน Cybersecurity แห่งชาติ (National Cybersecurity Strategy) และผู้ขับเคลื่อนผลักดันนโยบายดังกล่าวให้เกิดการปฏิบัติจริงในหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructure) รวมถึงการผลักดัน Public Private Partnership Programme (PPP) ในประเทศสหรัฐอเมริกาที่มีเป้าหมายในการป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของชาติ
ผมได้รับเกียรติเข้าพบและสนทนากับ Mr.Michael Daniel, Special Assistant to the President and the Cybersecurity Coordinator ผู้ที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับแผนกลยุทธด้าน Cybersecurity แห่งชาติ (National Cybersecurity Strategy) และผู้ขับเคลื่อนผลักดันนโยบายดังกล่าวให้เกิดการปฏิบัติจริงในหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructure) รวมถึงการผลักดัน Public Private Partnership Programme (PPP) ในประเทศสหรัฐอเมริกาที่มีเป้าหมายในการป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของชาติ
Mr.Michael ได้แชร์กับผมในหลากหลายประเด็นปัญหาด้าน Cybersecurity สรุปได้ว่าสหรัฐอเมริกาได้ริเริ่มโครงการเกี่ยวกับ Cybersecurity ในปี ค.ศ.2008 จากการจัดตั้งโครงการ “Comprehensive National Cybersecurity Initiative (CNCI)” โดยประธานาธิบดี จอร์ช ดับเบิ้ลยู บุช ซึ่งมีที่ปรึกษาเป็นมือขวารับผิดชอบงานทั้งหมดโดย Mrs .Melissa Hathaway เริ่มจากการที่ประธานาธิบดี บุช ได้ทำการออกประกาศ “Cyberspace Policy Review” เป็นเอกสารเผยแพร่ในปี ค.ศ.2009 กำหนดให้เรื่อง Cybersecurity เป็น KPI ของประธานาธิบดีเลยทีเดียว ด้านนโยบายได้เน้นเรื่องที่สำคัญๆหลายเรื่อง ได้แก่ การสร้างความตระหนักรู้ให้กับประชาชนเรื่องภุยคุมคามทางอินเทอร์เน็ต , การเตรียมพร้อมในกรณีฉุกเฉิน , ความร่วมมือระหว่างภาครัฐและเอกชนให้การป้องกันโครงสร้างพื้นฐานในรูปแบบ PPP Model , ประธานาธิบดีโอบามาได้กำหนดให้ทุกเดือนตุลาคมเป็น “National Cybersecurity Awareness Month” โดยประธานาธิบดีโอบามาเป็นผู้มาโปรโมตสร้างกระแสเรื่องภัยไซเบอร์ด้วยตัวท่านเองในทุกๆปี
Mr. Michael ยังได้แชร์ประสบการณ์กับผม ในส่วนของการบังคับใช้กฎหมายว่า รัฐบาลไม่สามารถที่จะออกกฎหมายบังคับด้าน Cybersecurity โดยตรงได้ เพราะโครงสร้างพื้นฐานที่สำคัญในสหรัฐนั้นเอกชนเป็นผู้รับผิดชอบกว่า 80 เปอร์เซ็นต์ ดังนั้น ประธานาธิบดี โอบามา จึงได้มีการออกเอกสารฉบับหนึ่งที่เรียกว่า “Cybersecurity Executive Order 13686 — Improving Critical Infrastructure Cybersecurity”  เมื่อวันที่ 15 กุมภาพันธ์ คศ. 2013 ซึ่งเป็นการกำหนดนโยบายเกี่ยวกับความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) มีการกำหนดนโยบายในการแชร์ข้อมูล (Information Sharing) ระหว่างหน่วยงานของรัฐและเอกชน
“Cybersecurity Executive Order 13686 — Improving Critical Infrastructure Cybersecurity” มีผล 120 วัน หลังจากการประกาศ Executive Order โดยให้ Department of Homeland Security (DHS) และ NIST ภายใต้ Department of Commerce เป็นผู้รับผิดชอบในการพัฒนา Baseline Framework ในการลดความเสี่ยงให้กับประเทศในภาพรวม ช่วงที่ผมอยู่ในสหรัฐเดือนตุลาคม ทาง NIST ได้ประกาศ “Preliminary Cybersecurity Framework” เมื่อวันที่ 29 ตุลาคม 2013 โดยให้เวลารับฟัง Public Comment 45 วัน ในส่วนหลักของ NIST Cybersecurity Framework ประกอบด้วย 5 ขั้นตอน ได้แก่ Identity, Protect, Detect, Response และ Recover. มีการทำ Gap Analysis รวมทั้ง มีการนำ ISA99.02.01, COBIT, ISO/IEC 27001, NIST SP800-53, SP800-39 มาใช้ในการอ้างอิง (ผมขอกล่าวถึงรายละเอียดของ NIST Cybersecurity Framework ในงาน CDIC 2014 5-6 มีนาคม 2014 ณ BITEC นะครับ)

จะเห็นได้ว่าแม้ประเทศที่มีการพัฒนาการด้าน Cybersecurity อย่างสหรัฐอเมริกายังต้องการความร่วมมือจากเอกชนในรูปแบบ PPP สังเกตได้จากทางประธานาธิบดีโอบามาได้มอบหมายให้ NIST จัดสัมมนา “Voluntary Cybersecurity Framework” สำหรับ Preliminary Cybersecurity Framework ดังกล่าว ปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จคือการแชร์ข้อมูลและการให้ความร่วมมืออย่างเต็มที่จากภาคเอกชน เป้าประสงค์ของ. Voluntary Cybersecurity Framework คือการนำ “Best Practice” ที่ดีและใช้อยู่ในปัจจุบันมาเป็น “Common Practice” ที่สามารถนำมาใช้ได้ในทุกองค์กร เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ ในเดือนพฤกศจิกายนนี้ NIST ได้เป็นเจ้าภาพในการจัด Cybersecurity Workshop เพื่อระดมความคิดเกี่ยวกับ “Preliminary Cybersecurity Framework” ในการปรับปรุงให้เป็น “National Cybersecurity Framework” ฉบับสมบูรณ์ต่อไป

@The Ritz Carlton Hotel, Mclean, Virginia
http://belfercenter.hks.harvard.edu/experts/2132/melissa_hathaway.html

ผมได้มีโอกาสพูดคุยเป็นการส่วนตัวกับ Mrs. Melissa Hathaway หญิงเหล็กแห่งวงการ Cybersecurity ของสหรัฐอเมริกา ผู้อยู่เบื้องหลังของการพัฒนานโยบายด้าน Cybersecurity ของทั้งสองประธานาธิบดีสหรัฐ ได้แก่ ประธานาธิบดี จอร์ช ดับเบิ้ลยู บุช และ ประธานาธิบดี บารัค โอบามา เธอเคยดำรงตำแหน่งสำคัญ “Senior Director for Cyberspace at the National Security Council” ในปี ค.ศ.2009 Mrs. Melissa ได้แชร์บทความที่เธอเคยเป็นผู้เขียนให้กับผมหลายบทความ(สามารถอ่านได้ที่ Link) และเ ธอยังได้เล่าถึงเบื้องลึกเบื้องหลังการพัฒนานโยบายด้าน Cybersecurityของสหรัฐให้ผมฟัง สรุปได้ว่า ภาครัฐจำเป็นต้องมีภาวะผู้นำ “Leadership” โดยเฉพาะผู้บริหารระดับสูง (Top Management) ต้องเป็นผู้ผลักดันนโยบายด้าน Cybersecurity ด้วยตนเองและเป็นผู้รับผิดชอบในภาพรวมทั้งหมด ถ้าเป็นประเทศไทยก็ต้องเป็น Cybersecurity Initiative โดยตรงมาจากนายกรัฐมนตรีเท่านั้นถึงจะส่งผลในทางปฏิบัติ

@Council on Cybersecurity, Arlington, Virginia
http://en.wikipedia.org/wiki/Jane_Holl_Lute
http://www.counciloncybersecurity.org/about-us/leadership

ผมมีโอกาสได้เข้าพบ Mrs. Jane Lute อดีตรองเลขาธิการ Department of Homeland Security (DHS) ซึ่งปัจจุบันดำรงตำแหน่ง President and CEO ของ Council on CyberSecurity เป็นองค์กรที่ให้กำเนิด “SANS Top 20 Critical Control” ซึ่งเป็น Critical Control ที่นิยมใช้กันทั่วโลก Mrs. Jane ได้แชร์ประสบการณ์ในการพัฒนาศักยภาพของบุคลากรด้าน Cybersecurity ในสหรัฐอเมริกา โดยได้กล่าวถึงโปรแกรมในการเรียนรู้และพัฒนาบุคลากรในรูปแบบใหม่ที่ช่วยให้คนรุ่นใหม่ได้มีอาจเรียนรู้และพัฒนาตนเอง เธอได้กล่าวว่า “Cybersecurity Workforce” เป็นเรื่องสำคัญในอนาคต แม้ในประเทศสหรัฐอเมริกาเองก็ประสบปัญหาขาดแคลนบุคลากรทางด้าน Cybersecurity อย่างมาก เธอมีความเชื่อใน 3 ส่วนของ Cyber Ecosystemได้แก่ People, Technology และ Policy (ไม่ใช่ Process) ซึ่งทั้ง 3 ส่วนนี้ต้องพัฒนาไปด้วยกัน นโยบายที่ดีจะมีส่วนช่วยในการนำเทคโนโลยีมาใช้ให้ได้ผล ขณะเดียวกันการให้ความรู้ความตระหนักให้กับบุคลากรในองค์กรและคนในชาติ (National Cybersecurity Awareness Program) เป็นเรื่องสำคัญที่จะมองข้ามไม่ได้เช่นกัน

@Connecticut Avenue, Washington D.C.
http://en.wikipedia.org/wiki/Tom_Ridge

Gov. Tom Ridge เป็นผู้ทรงอิทธิพลด้าน Cybersecurity ของสหรัฐที่ผมมีโอกาสได้เข้าพบเป็นการส่วนตัว ณ ที่ทำงานของท่านในกรุงวอชิงตัน ดีซี ในบรรยากาศแบบเป็นกันเอง ท่านเคยดำรงตำแหน่งเลขาธิการคนแรกของ Department of Homeland Security (DHS) ภายใต้รัฐบาลของประธานาธิบดี จอร์จ ดับเบิ้ลยู บุช ในช่วงปี ค.ศ. 2001-2003 ภายหลังเหตุการณ์ 911 (ปี 2001) ทางสหรัฐอเมริกาได้มีการจัดตั้ง DHS นำโดย Gov. Tom Ridge ในช่วงปี ค.ศ. 2003-2005 ท่านได้ให้ความเห็นในฐานะผู้มีประสบการณ์ตรงด้าน Cybersecurity ระดับประเทศว่า ปัจจัยแห่งความสำเร็จของโครงการด้าน Cybersecurity ก็คือการสนับสนุนจาก Top Management ในระดับ C-Level เริ่มจาก CEO ต้องตระหนักถึงภัยไซเบอร์ว่ามีผลกระทบต่อการดำเนินธุรกิจขององค์กรและมีผลกระทบต่อการให้บริการลูกค้าและชื่อเสียงขององค์กรในระยะยาว
ท่านได้กล่าวถึงบทบาทการทำงานของ DHS ที่มีส่วนของความร่วมมือกับ NIST ที่เป็นหน่วยงานภายใต้ Department of Commerce ซึ่ง NIST เปรียบเสมือนสมองของ DHS ท่านได้กล่าวถึงโครงการ NICE (National Institute of Cybersecurity Education) csrc.nist.gov/nice ซึ่งกำลังจัดทำเอกสาร “Cyberspace Workforce Management Policy : DoDD 8140” (PDF) ที่กำลังจะมาแทน DoDD 8570 Information Assurance (IA) ซึ่งใช้ในการกำหนดคุณสมบัติเกี่ยวกับ Training, Certification และ Workforce Management คาดว่าจะ DoDD 8140 จะถูก Publish ในปี ค.ศ. 2014 และท่านยังได้กล่าวถึงหน่วยงานใหม่ของ NIST คือ National Cybersecurity Center of Excellence (NCCoE) csrc.nist.gov/nccoe ที่มีหน้าที่ในการนำ “Best Practices” ของ NIST ไปทำการ Implement จริงในหน่วยงานที่มีความพร้อมเพื่อทำเป็นต้นแบบให้กับหน่วยงานอื่นๆต่อไป ซึ่งแนวคิดนี้ ประเทศไทยควรศึกษาและนำมาเป็นแบบอย่างหรือต้นแบบในการป้องกันด้านความมั่นคงปลอดภัยระดับประเทศ

สำหรับรายละเอียดและบทวิเคราะห์เชิงลึก รวมถึงแนวทางปฏิบัติของประเทศไทยในอนาคต ผมขอกล่าวโดยละเอียดในงานสัมมนาด้าน Cybersecurity ที่ใหญ่ที่สุดในเอเชียตะวันออกเฉียงใต้ Cyber Defense Initiative Conference : CDIC 2014 วันที่ 5-6 มีนาคม 2014 ณ. BITEC (more information, please visit www.cdicconference.com or www.acisonline.net )
แล้วพบกันนะครับ