ตลอดปี พ.ศ. 2558 ที่ผ่านมา เราได้เห็นเหตุการณ์ที่เกี่ยวข้องกับการโจมตีทางไซเบอร์เกิดขึ้นทั่วโลก และ การมาถึงของ “เทคโนโลยีพลิกโลก” (Disruptive Technology) ยุคแห่ง Social, Mobile, Cloud และ Big Data เรียกว่าเป็นปีแห่งการเปลี่ยนแปลงครั้งใหญ่ต่อวิถีชีวิตของผู้คนในศตวรรษที่ 21 และได้ส่งผลกระทบต่อองค์กรทุกองค์กรในโลก ซึ่งองค์กรต่างๆทั้งภาครัฐและเอกชนจำเป็นต้องมีการปรับตัวกับ “Disruptive Technology”, “Digital Transformation” และ “Digital Business” (ดูรูปที่ 1 และ รูปที่ 2) ที่นับวันจะแยกไม่ออกระหว่าง “Digital World” และ “Physical World” ที่ Gartner ได้ทำนายไว้ใน “Top Security Trends 2016-2017” webinar เมื่อตอนปลายปี พ.ศ. 2558
เราจะเห็นว่า Mega Trends ทั้งสี่ดังกล่าว (Social, Mobile, Cloud และ Big Data) ซึ่ง Gartner เรียกว่า Nexus of Forces และ ยุคแห่ง IoT (Internet of Things) ทำให้ปัญหาด้าน Cybersecurity ทวีความรุนแรงมากยิ่งขึ้น ซึ่งคำว่า “Cybersecurity” กลายเป็นคำยอดนิยมที่เห็นบ่อยๆ โดยคำว่า “Cybersecurity” นั้นให้ความหมายที่กว้างกว่า “Information Security” หรือ “IT Security” รวมถึง “IoT Security” ดังนั้น วิธีการจัดการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยแบบเดิมๆ จึงไม่สามารถนำมาใช้ได้ในยุคนี้ องค์กรจำเป็นต้องปรับตัว และปรับกลยุทธ์ในการบริหารจัดการ “Cyber Risk” ให้เหมาะสมและทันสมัยมากขึ้น

ในปัจจุบัน การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management) นั้นไม่เพียงพอ เพราะยังมีเรื่องของ “IT Security”, “OT Security” เช่น ระบบ SCADA /ICS ของหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญยิ่งยวด (Critical Infrastructure) ตลอดจน “IoT Security” ซึ่งเกิดจากการเพิ่มขึ้นของจำนวนอุปกรณ์ที่ต่อเชื่อมกับเครือข่ายอินเทอร์เน็ตจำนวนมหาศาล ทำให้เราสามารถพิจารณาทิศทางและแนวโน้มของ “Cybersecurity” ได้ทั้งหมด แบ่งออกเป็น 10 หัวข้อ ดังนี้

1. Emerging Hacking Industry
การเจาะระบบในปัจจุบันกลายเป็นอุตสาหกรรมของเหล่ามิจฉาชีพไปเสียแล้ว จากความสำเร็จของ Ransomware หรือ โปรแกรมเรียกค่าไถ่ ที่สามารถทำเงินให้แฮกเกอร์ได้หลายล้านเหรียญในหนึ่งปี ทำให้เหล่าอาชญากรไฮเทคหันไปเอาดีทางการสร้าง Malware ในรูปแบบของ Ransomware กันอย่างจริงจัง อีกทั้งรัฐบาลบางประเทศได้มีทีมงานแฮกเกอร์ซึ่งเป็นของรัฐบาลเองที่เรียกว่า “ State-sponsored Attack” โดยมีงบประมาณไม่จำกัดจากรัฐบาล ทำให้การเจาะระบบตามเป้าหมายของรัฐบาลกลายเป็นเรื่องที่น่าสนใจของกลุ่มแฮกเกอร์ Organized Crime ซึ่งเราได้เห็นการจับมือกันของกลุ่มแฮกเกอร์และรัฐบาลในบางประเทศ ร่วมกันโจมตี เป้าหมายในสหรัฐและยุโรป ตลอดจนโจมตีเว็บไซต์ของรัฐบาลในประเทศต่างๆ ไม่เว้นแม้แต่ประเทศไทยที่ถูกโจมตีเป็นประจำและอย่างต่อเนื่องมาตลอดหลายปี จึงมีความจำเป็นที่รัฐบาลในทุกประเทศ ต้องออกกฎหมาย ให้มีการรองรับและจัดให้มีองค์กรที่มีหน้าที่บริหารจัดการ กำหนดนโยบายด้าน Cybersecurity อย่างจริงจัง ยกตัวอย่าง เช่น รัฐบาลควรจัดให้มี Thailand National Cybersecurity Framework, Thailand National Cybersecurity Council และ Thailand National Cybersecurity Agency

2. Undefined Unknown Threat at Risk
ทุกวันนี้หลายองค์กรคงต้องยอมรับความจริงที่ว่า “ไม่มีความมั่นคงปลอดภัยแบบ 100%” เนื่องจากเรากำลังต่อสู้กับภัยที่มองไม่เห็น ยกตัวอย่าง เช่น ยังมีข้อมูลอีกกว่า 96% ในโลกนี้ที่เราค้นหาด้วย Search Engine ไม่พบ เรียกว่า “Deep Web / Dark Web” (ดูรูปที่ 3,4,5) ข้อมูลของเหล่าอาชญากร การทำผิดกฎหมาย การค้ายาเสพติด การให้เช่าบริการ DDoS และ การให้เช่าบริการ Malware (MaaS =Malware as a Service) ล้วนเกิดขึ้นใน Dark Web เป็นส่วนใหญ่
การเข้าสู่ Dark Web เราต้องใช้ Tor Browser หรือ I2P (THE INVISIBLE INTERNET PROJECT) เพื่อค้นหาข้อมูลที่อยู่ในด้านมืดของโลกอินเทอร์เน็ต ตลอดจนเรายังไม่ทราบว่าศัตรูที่แท้จริงของเราเป็นใคร ซึ่งหลายครั้งที่เราถูกโจมตี แฮกเกอร์เหล่านั้นก็ไม่ได้มีเจตนาที่จะต้องการข้อมูลจากเรา แต่กลับต้องการยึดทรัพยากรเครื่องแม่ข่ายและเครื่องลูกข่ายของเราเอาไว้เป็นทรัพย์สินที่แฮกเกอร์จะนำไปใช้ในการโจมตีเป้าหมายที่แท้จริงของแฮกเกอร์ต่อไป จากการที่แฮกเกอร์นำ Tor Browser หรือ I2P มาใช้ทำให้การติดตามผู้กระทำผิดจึงกระทำได้ยากยิ่งขึ้น ในบางครั้ง “IP Address” ก็ไม่ได้บอกถึงแฮกเกอร์ตัวจริง ทำเกิดปัญหาที่เรียกว่า “ Attack Attribution” คือ การหาตัวจริงของแฮกเกอร์ไม่พบ พบแต่เพียง IP Address ของเป้าหมายที่ถูกแฮกเกอร์โจมตียึดเครื่องมาอีกทีหนึ่ง ดังนั้นการบริหารจัดการกับ Undefined Unknown Threat จำเป็นต้องเปลี่ยนแนวคิดจาก “Preventive” ไปเป็น “Responsive” โดยมีการเตรียมพร้อมกับการถูกโจมตีอยู่ตลอดเวลา ด้วยการเฝ้าระวังตลอด 24 ชั่วโมงในแบบ Real Time และ ทำให้ระบบมี “Resilience” กลายเป็นแนวคิดใหม่ในการบริหารจัดการ Cybersecurityที่เรียกว่า “Cyber Risk and Resilience Management”

3. Security of Things, Internet of Trust
เราพบความสัมพันธ์ของ “Thing”, “Threat” และ “Information” (ดูรูปที่ 6) จำเป็นต้องมีการรักษาความมั่นคงปลอดภัย (Security) และการคุ้มครองข้อมูลส่วนบุคคล (Privacy) เพื่อให้เกิด “ความไว้เนื้อเชื่อใจ” (Trust) ปัญหาขององค์กรในศตวรรษที่ 21 ก็คือ ปัญหาความเสี่ยงที่กำลังขึ้นมาเป็นอันดับต้นๆ ในการประเมินความเสี่ยงของทุกสำนัก ได้แก่ “Reputational Risk” หรือ ความเสี่ยงจากการเสื่อมเสียชื่อเสียง ภาพลักษณ์ขององค์กรอย่างหลีกเลี่ยงไม่ได้ จึงจำเป็นต้องมีการบริหารจัดการให้ “Trust” ขององค์กรไม่เกิดปัญหา ซึ่งจะนำไปสู่สภาวะ “Resilience” และ “Sustainability” ต่อไป (ดูรูปที่ 7)

4. Security–driven Architecture
หลายท่านคงเคยได้ยินคำว่า “EA” หรือ “Enterprise Architecture” เหมาะสำหรับนำมาใช้ในการบริหารจัดการองค์กร ปัญหา Cybersecurity ก็มีความเกี่ยวข้องกับเรื่องสถาปัตยกรรมเช่นกัน เนื่องจากรากเหง้าของปัญหาที่แท้จริงเกิดจาก การขาดแนวคิดและการปฏิบัติที่ควรคำนึงถึงปัญหาด้านความมั่นคงปลอดภัยตั้งแต่ขั้นตอนการออกแบบ หรือ “Secure by Design” หมายถึง ควรมีการออกแบบระบบการรักษาความมั่นคงปลอดภัยตั้งแต่ขั้นตอนการออกแบบผลิตภัณฑ์และบริการต่างๆขององค์กร ตลอดจนการออกแบบฮาร์ดแวร์และซอฟท์แวร์ ก็ควรคำนึงถึงเรื่องความมั่นคงปลอดภัยตั้งแต่ช่วง Requirement Phase และ Design Phase ยกตัวอย่าง iOS ของ Apple ออกแบบให้โปรแกรมที่ไม่ปลอดภัยไม่สามารถทำงานได้บน iPhone,iPad ทุกรุ่นถ้าไม่นำเครื่องไป Jailbreak
ปัญหาด้าน Cybersecurity ที่กำลังเพิ่มจำนวนอย่างต่อเนื่องตามกระแส “Disruptive Technology” จึงจำเป็นที่องค์กรจะต้องนำแนวคิด “Security-driven Architecture” มาประยุกต์ใช้เพื่อเป็นการแก้ปัญหาจากต้นเหตุ ไม่ใช่มาแก้ปัญหากันที่ปลายเหตุ ดังเหตุการณ์ Hacking Incident ที่เราพบเห็นกันมาโดยตลอด

5. Vulnerable Third Party
โลกในยุคปัจจุบันและอนาคต องค์กรทุกองค์กรคงหนีไม่พ้นเรื่องการ “Outsource” ทางด้าน IT และ Cybersecurity การ Outsource ให้ผู้เชี่ยวชาญเฉพาะทางมาดูแลเรื่อง IT และ Cybersecurity กำลังได้รับความนิยมทั่วโลก สำหรับการ Outsource ด้าน Cybersecurity องค์กรนิยมว่าจ้าง MSSP ( Managed Security Service Provider) เข้ามาเฝ้าระวังการโจมตีตลอด 24 ชั่วโมง ในรูปแบบของ SOC ( Security Operation Center) ซึ่งหากองค์กรทำ SOC และ Operate เองส่วนใหญ่จะไม่คุ้มค่าในการลงทุน และ มีปัญหาเรื่องบุคลากรผู้เชี่ยวชาญด้าน Cybersecurity ที่จะต้องมานั่งดูแลระบบ ตลอด 24 ชั่วโมง อีกทั้งยังต้องเป็นผู้ที่มีความเชี่ยวชาญในด้าน Security Analyst / Digital Forensic /Malware Analyst ปัญหาที่อาจเกิดขึ้นก็คือ โอกาสที่ Outsourcer หรือ MSSP จะไม่ปฏิบัติงานตามที่ตกลงกันไว้ในสัญญาตาม SLA ทำให้อาจมีช่องโหว่ถ้า MSSP ไม่มีความเป็นมืออาชีพมากพอ ดังนั้นองค์กรควรเลือกใช้บริการ MSSP อย่างรัดกุม และบริหารความเสี่ยงด้าน Cybersecurity ร่วมกันกับ MSSP น่าจะเป็นสูตรที่ลงตัวที่สุด

6. Information of Things and Data Science Revolution
จากความนิยมในการนำเทคโนโลยี “Big Data” เข้ามาใช้ในการวิเคราะห์ข้อมูลจำนวนมหาศาลขององค์กร ทั้งข้อมูลด้าน IT , OT (Operational Technology) และ Cybersecurity มีความจำเป็นต่อองค์กรในยุคนี้เป็นอย่างมาก คำว่า “ข้อมูลภิวัฒน์” หรือ “Data Science Revolution” ให้ความหมายที่ว่า องค์กรควรมีเครื่องมือ (Tool/Technology),กระบวนการ(Process) และบุคลากรผู้เชี่ยวชาญ (People) ที่มีหน้าที่เข้ามาบริหารจัดการกับข้อมูลขนาดใหญ่ที่อยู่ในองค์กร ซึ่งนับวันจะมีขนาดเพิ่มขึ้นอย่างมหาศาลจนเทคโนโลยี RDBMS แบบเดิมไม่สามารถรองรับได้

7. The Rise of Generation C: Digital Lifestyle in Digital Economy
การบริหารจัดการ IT และ Cybersecurity แบบเดิมๆ ไม่สามารถนำมาใช้กับ “Gen-C” ได้ เพราะพฤติกรรมของ Generation C นั้น มีความผูกพันเชื่อมโยงกับอินเทอร์เน็ต เรียกได้ว่าเป็น “Cyber– addicted” กันแบบแทบจะ Always Online กันตลอดเวลา สังเกตจากพฤติกรรมการใช้โทรศัพท์สมารท์โฟนและโซเชียลเน็ตเวิร์คก็คงพอเป็นคำตอบได้อย่างชัดเจน ดังนั้นกลุ่มแฮกเกอร์จึงหันมาโจมตี Platform Android และ iOS มากขึ้นจากความนิยมในการใช้งานสมารท์โฟนของประชากรโลก อีกทั้งยังเปลี่ยนแนวทางในการโจมตีไปยังเครือข่าย “Social Network” ไม่ว่าจะเป็น Facebook, Twitter, LINE ก็ล้วนเป็นเป้าหมายของแฮกเกอร์ที่จะเจาะเข้าสู่ข้อมูลส่วนบุคคลของเรา และโจมตีเชื่อมโยงถึงเครือข่ายภายในขององค์กรในขั้นตอนต่อไป ดังนั้นการทำความเข้าใจกับ “Gen-C” ให้มองเห็นถึงภัยไซเบอร์ใกล้ตัวจึงมีความจำเป็นที่ต้องทำอย่างต่อเนื่อง การจัดฝึกอบรม “Information Security Awareness Training” อย่างเดียวคงไม่เพียงพอ ควรมีการจัดทดสอบความพร้อมในการโจมตีที่เรียกว่า “Cyber Drill” เพิ่มเติม เพื่อให้พนักงานและผู้บริหารในองค์กรมีความคุ้นเคยกับภัยไซเบอร์ใกล้ตัว เมื่อเวลาภัยเข้ามาโจมตีจริงๆก็จะได้ไม่ตกเป็นเหยื่อโดยรู้เท่าไม่ถึงการณ์

8. Cybersecurity Centric and Cyber Resilience in Action
การบริหารความมั่นคงปลอดภัยในโลกอนาคต กำลังนำไปสู่ “Cyber Resilience” หมายถึงระบบต้องมีความสามารถในการรองรับการโจมตี โดยระบบจะต้องสามารถทำงานต่อไปได้ ระบบต้องไม่ล่ม ไม่ทำให้เกิดความเสียหายต่อธุรกิจและภาพลักษณ์ขององค์กร ตลอดจนภาพลักษณ์ของผู้บริหาร ดังนั้นแนวคิดแบบเดิม Information Security Management จึงไม่ครอบคลุมเพียงพอในยุคนี้ จำเป็นที่ต้องนำแนวคิด Cybersecurity Resilience Framework (ดังรูปที่ 8) เข้ามาใช้ในองค์กร

9. Increasing in Cybersecurity Capabilities and Competence Gap
ปัญหาการขาดแคลนผู้เชี่ยวชาญด้าน Cybersecurity นั้นกำลังเกิดขึ้นทั่วโลก โดยเฉพาะสหรัฐอเมริกาและประเทศในยุโรป ตลอดจนประเทศในแถบเอเชีย เช่น สิงคโปร์ก็ขาดแคลนบุคลากรด้านนี้เช่นกัน การขาดองค์ความรู้ในการปฏิบัติงานและขาดประสบการณ์ในการทำงานจริง ทำให้องค์กรไม่สามารถที่จะป้องกันภัยไซเบอร์และรอดพ้นจากการตกเป็นเหยื่อของแฮกเกอร์ ดังที่เห็นเป็นข่าว Headline ในทุกๆเดือน
ทางออกในการแก้ปัญหา ในระยะยาวขององค์กร คงหนีไม่พ้น การ Outsource การบริหารจัดการโดยเฉพาะการเฝ้าระวังตลอด 24 ชั่วโมง (24×7 Real-time Monitor) และการตอบสนองต่อเหตุการณ์อันไม่พึงประสงค์ (Incident Respond) ซึ่งจำเป็นต้องมีผู้เชี่ยวชาญที่มีหน้าที่ในการตอบสนองกับเหตุการณ์การโจมตีโดยแฮกเกอร์ และทำการปิดช่องโหว่ กู้ข้อมูลเพื่อป้องกันไม่ให้เหตุการณ์ดังกล่าว ไม่ให้เกิดขึ้นอีกในอนาคต โดยพนักงานขององค์กรทำหน้าที่เป็นผู้ควบคุมและประสานงาน คอยตรวจสอบการทำงานของผู้เชี่ยวชาญจาก MSSP ที่มาให้บริการและมีหน้าที่ในการตอบสนองต่อภัยไซเบอร์ที่อาจเกิดขึ้นเมื่อใดก็ได้

10. Integrated Risk-Based Approach Standards & Best Practices
วิธีการแก้ปัญหาด้าน Cybersecurity อย่างยั่งยืนขององค์กรนั้นจำเป็นต้องนำ มาตรฐานและแนวทางในการปฏิบัติทีดี (Standard and Best Practice) มาประยุกต์ใช้ในองค์กร ปัจจุบันองค์กรทั่วโลกนิยมนำ NIST Cybersecurity Framework (ดูรูปที่ 9) ประกอบไปด้วยห้าฟังก์ชั่นหลัก (Identify, Protect, Detect, Respond and Recover) มาประยุกต์ใช้ในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร โดยนำมา “Adopt and Adapt” ให้เหมาะสมกับวัฒนธรรมขององค์กร

กล่าวโดยสรุป แนวโน้มและทิศทาง “Cybersecurity” ปี 2559 นั้นมุ่งสู่เป้าหมาย “Cyber Resilience” และ มีการเปลี่ยนแปลงแนวคิดในการบริหารจัดการจาก “Preventive” ไปเป็น “Responsive” โดยมีการเตรียมพร้อมกับการถูกโจมตีที่อาจเกิดขึ้นเมื่อไหร่ก็ได้อยู่ตลอดเวลา ดังนั้นผู้บริหารองค์กรจึงมีความจำเป็นต้องปรับแนวคิดที่ว่าปัญหา “Cybersecurity” ไม่ใช่เรื่องของแผนก “IT” หรือ แผนก “Security” อีกต่อไป แต่เป็นปัญหาที่ผู้บริหารระดับสูง (C-Suite) และ กรรมการบริหาร (Board of Directors) จำเป็นต้อง “ให้ความสำคัญ และ ใส่ใจ เพราะในที่สุดปัญหาด้าน Cybersecurity ก็จะส่งผมกระทบต่อชื่อเสียงและภาพลักษณ์ขององค์กรอย่างหลีกเลี่ยงไม่ได้.

“Be Ready to be Secured” From the book “Responsive Security” by Dr. Meng-Chow Kang