Author By: Prinya Hom-anek, ACIS/Cybertron Cybersecurity Research LAB
ACIS Professional Center Co., Ltd. & Cybertron Co., Ltd.

นับจากไวรัสคอมพิวเตอร์ตัวแรกของโลก “Brain” บน Platform MS-DOS ที่อุบัติขึ้นในเดือนมกราคม พ.ศ. 2528 เป็นปีแรกที่ผมเข้าศึกษาต่อในระดับอุดมศึกษา คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งในขณะนั้นยังไม่มีระบบปฏิบัติการ Microsoft Windows เหมือนทุกวันนี้ จากปี พ.ศ.2529 ถึงปี พ.ศ.2560 กว่า 30 ปี เรายังได้พบกับมัลแวร์และไวรัสคอมพิวเตอร์มาอย่างต่อเนื่อง ล่าสุดทุกท่านคงทราบดีถึงอุบัติการณ์ Wannacry Ransomware Worm ที่ระบาดไปทั่วโลก ทำให้หลายท่านตั้งคำถามว่า ปัญหาเรื่อง Virus Computer มีมากว่า 30 ปี และ ปัญหา Cybersecurity นั้นก็มีมากว่า 20 ปีแล้ว ทำไมมนุษย์ยังแก้กันไม่ตกกันเสียที? และยังมีแนวโน้มว่าจะรุนแรงมากยิ่งขึ้นอีกด้วย (ดูรูปที่1 : The first virus computer in the world: Brain infected with MS-DOS on Personal Compute: source: wikipedia)

รูปที่ 1: The first virus computer in the world: Brain infected with MS-DOS on Personal Computer : source: wikipedia

ตลอดหลายสิบปีที่ผ่านมา เราได้พบกับคำว่า “Computer Security” หรือ “IT Security” จากนั้นโลกก็ได้รู้จักคำว่า “Information Security” และ ISMS หรือ ISO/IEC 27001 ( ISO/IEC 27001:2005 version แรกได้ถูกประกาศใช้ตั้งแต่ปี พ.ศ. 2548) ในปัจจุบันคำว่า “Cybersecurity” ได้เข้ามามีบทบาทมากขึ้น เริ่มจาก Executive Order ของอดีตประธานาธิบดีสหรัฐ บารัค โอบามา ได้เริ่มพัฒนา NIST Cybersecurity Framework ใน version 1.0 เมื่อปี พ.ศ. 2556 (4 ปีที่แล้ว) โดยผมได้มีโอกาสเข้าร่วมโปรแกรม Eisenhower Fellowships และได้พบปะหารือกับ Mr. Michael Danial ซึ่งเป็นหัวหน้าโปรแกรมดังกล่าวในทำเนียบขาว (White House Official Visiting) Mr. Michael Danial ดำรงตำแหน่ง Special Assistant to the President and the Nation’s Cybersecurity Coordinator ในขณะนั้น โดยทำงานด้าน Cybersecurity ขึ้นตรงกับ ประธานาธิบดีสหรัฐ บารัค โอบามา Mr. Michael Danial เป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับแผนกลยุทธด้าน Cybersecurity แห่งชาติ (National Cybersecurity Strategy) และผู้ขับเคลื่อนผลักดันนโยบายดังกล่าวให้เกิดการปฏิบัติจริงในหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructure) รวมถึงการผลักดัน Public Private Partnership Programme (PPP) ในประเทศสหรัฐอเมริกาที่มีเป้าหมายในการป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของชาติ

รูปที่ 2: at Eisenhower Executive Office Building (EEOB), The White House, Washington D.C., 2013

ณ เวลานั้น Mr. Michael ได้แชร์กับผมในหลากหลายประเด็นปัญหาด้าน Cybersecurity เขาเล่าให้ฟังเกี่ยวกับที่มาที่ไปของการพัฒนา NIST Cybersecurity Framework version 1.0 ว่า สหรัฐอเมริกาได้ริเริ่มโครงการเกี่ยวกับ Cybersecurity ในปี ค.ศ.2008 จากการจัดตั้งโครงการ “Comprehensive National Cybersecurity Initiative (CNCI)” โดยประธานาธิบดี จอร์ช ดับเบิ้ลยู บุช ซึ่งมีที่ปรึกษาเป็นมือขวารับผิดชอบงานทั้งหมดโดย Mrs. Melissa Hathaway เริ่มจากการที่ประธานาธิบดี บุช ได้ทำการออกประกาศ “Cyberspace Policy Review” เป็นเอกสารเผยแพร่ในปี พ.ศ. 2552 กำหนดให้เรื่อง Cybersecurity เป็น KPI ของประธานาธิบดีเลยทีเดียว ด้านนโยบายได้เน้นเรื่องที่สำคัญๆหลายเรื่อง ได้แก่ การสร้างความตระหนักรู้ให้กับประชาชนเรื่องภุยคุมคามทางอินเทอร์เน็ต, การเตรียมพร้อมในกรณีฉุกเฉิน, ความร่วมมือระหว่างภาครัฐและเอกชนให้การป้องกันโครงสร้างพื้นฐานในรูปแบบ PPP Model, ประธานาธิบดีโอบามาได้กำหนดให้ทุกเดือนตุลาคมเป็น “National Cybersecurity Awareness Month” โดยประธานาธิบดีโอบามาเป็นผู้มาโปรโมตสร้างกระแสเรื่องภัยไซเบอร์ด้วยตัวท่านเองในทุกๆปี Mr. Michael ยังได้แชร์ประสบการณ์กับผม ในส่วนของการบังคับใช้กฎหมายว่า รัฐบาลไม่สามารถที่จะออกกฎหมายบังคับด้าน Cybersecurity โดยตรงได้ เพราะโครงสร้างพื้นฐานที่สำคัญในสหรัฐนั้นเอกชนเป็นผู้รับผิดชอบกว่า 80 เปอร์เซ็นต์ ดังนั้น ประธานาธิบดี โอบามา จึงได้มีการออกเอกสารฉบับหนึ่งที่เรียกว่า “Cybersecurity Executive Order 13686 – Improving Critical Infrastructure Cybersecurity” เมื่อวันที่ 15 กุมภาพันธ์ พ.ศ. 2556 ซึ่งเป็นการกำหนดนโยบายเกี่ยวกับความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) มีการกำหนดนโยบายในการแชร์ข้อมูล (Information Sharing) ระหว่างหน่วยงานของรัฐและเอกชน
“Cybersecurity Executive Order 13686 — Improving Critical Infrastructure Cybersecurity” มีผล 120 วัน หลังจากการประกาศ Executive Order โดยให้ Department of Homeland Security (DHS) และ NIST ภายใต้ Department of Commerce เป็นผู้รับผิดชอบในการพัฒนา Baseline Framework ในการลดความเสี่ยงให้กับประเทศในภาพรวม ช่วงที่ผมอยู่ในสหรัฐเดือนตุลาคม ทาง NIST ได้ประกาศ “Preliminary Cybersecurity Framework” เมื่อวันที่ 29 ตุลาคม พ.ศ. 2556 โดยให้เวลารับฟัง Public Comment 45 วัน ในส่วนหลักของ NIST Cybersecurity Framework ประกอบด้วย 5 ขั้นตอน ได้แก่ Identity, Protect, Detect, Response และ Recover. มีการทำ Gap Analysis รวมทั้ง มีการนำ ISA99.02.01, COBIT, ISO/IEC 27001, NIST SP800-53, SP800-39 มาใช้ในการอ้างอิง
เมื่อผมกลับมาประเทศไทยก็ได้เขียนบทความเกี่ยวกับ NIST Cybersecurity Framework : “บทวิเคราะห์กรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก NIST’s Framework for Improving Critical Infrastructure Cybersecurity … โอกาส ภัยคุกคาม และความเสี่ยงที่ผู้บริหารองค์กรต้องตระหนัก”เมื่อเดือนมีนาคม พ.ศ.2557”
Mr.Michael Danial ปัจจุบันดำรงตำแหน่งประธาน The Cyber Threat Alliance (CTA) ได้ให้แนวคิดในการแก้ปัญหาด้าน Cybersecurity ไว้ในบทความของเขาไว้อย่างน่าสนใจ กล่าวคือ เขาเชื่อว่า “ปัญหาด้าน Cybersecurity นั้น ไม่ใช่ปัญหาทางด้านเทคนิคเพียงอย่างเดียว” เนื่องจากเมื่อเราแก้ปัญหาทางด้านเทคนิคได้แล้ว ปัญหาก็ยังไม่จบอยู่ดี ยกตัวอย่าง ปัญหาช่องโหว่และมัลแวร์ที่เกิดขึ้นมาโดยตลอดกว่ายี่สิบปีที่ผ่านมา จึงสรุปสาเหตุของปัญหาได้สามประการ ดังนี้

1. ปัญหาด้าน Cybersecurity ไม่ใช่ปัญหาด้านเทคนิคเพียงอย่างเดียว
2. การบริหารจัดการกับ “Cyberspace” ไม่เหมือนกับการบริหารใน “Physical World” ที่เราควบคุมขอบเขตของปัญหา ได้ แต่ “Cyberspace” เป็นอะไรที่ไม่มีขอบเขตชัดเจนและควบคุมได้ยาก
3. กฎหมายและนโยบายเกี่ยวกับเรื่อง Cybersecurity ยังพัฒนาได้ไม่ทันกับปัญหาที่กำลังเกิดขึ้นอยู่ในเวลานี้ในหลายประเทศ

ดังนั้นปัญหา “Cyber Attack” จึงไม่ใช่ปัญหาของคนใดคนหนึ่ง แต่ทั้งรัฐบาลและเอกชนจะต้องร่วมมือกันในการแก้ปัญหา เปรียบเสมือนการแก้ปัญหาภัยธรรมชาติในระดับชาติ เช่น แผ่นดินไหว หรือน้ำท่วม รัฐบาล ละภาคเอกชนจำเป็นต้องมีกรอบนโยบายในการทำงานร่วมกัน เพื่อรับมือภัยไซเบอร์ที่ทวีความรุนแรงมากขึ้น และยังไม่รวมปัญหาเรื่อง “Digital Privacy” ซึ่งปัจจุบันเราแทบจะไม่มีความเป็นส่วนตัวในโลกไซเบอร์ อีกต่อไป จึงจำเป็นต้องเข้าใจ “สภาวะไซเบอร์” ในหลายๆบริบท ซึ่งทาง ITU ได้สนับสนุนเงินทุนในงานวิจัยของ Oxford Martin School, University of Oxford โดยการพัฒนา “National Cybersecurity Capacity Maturity Model ” ขึ้นในปี พ.ศ.2557 ซึ่งเป็นเวลาเดียวกันกับทาง NIST ได้ประกาศใช้ NIST Cybersecurity Framework version 1.0 และได้ถูกนำมาใช้ใน 11 ประเทศทั่วโลก ในการประเมินศักยภาพของแต่ละประเทศในความสามารถในการรับมือภัยไซเบอร์ (ดูรูปที่ 3) พบว่าทาง Global Cyber Security Capacity Centre ได้มอง “Cybersecurity Capacity” ออกเป็น 5 มิติ (Dimensions) ดังนี้
1. Cybersecurity Policy and Strategy
2. Cyber Culture and Society
3. Cybersecurity Education, Training and Skills
4. Legal and Regulatory Frameworks
5. Standards, Organizations, and Technologies

รูปที่ 3: Oxford Martin School, University of Oxford, “National Cybersecurity Capacity Maturity Model”

เราจะเห็นว่า การแก้ปัญหา”Cyber Attack” ไม่ใช่การแก้ปัญหาทางด้านเทคนิคเพียงอย่างเดียว หากแต่การแก้ปัญหาทางด้านเทคนิคก็เป็นเรื่องสำคัญที่เราจะมองข้ามไม่ได้ ยังมีมุมมองอีกหลายด้านดังที่กล่าวมาแล้ว ไม่ว่าจะเป็นเรื่อง นโยบาย, กลยุทธ์, กฎหมาย,เศรษฐกิจและสังคม, การศึกษาเพื่อการฝึกอบรมบุคลากรในระดับองค์กรและการฝึกอบรมประชาชนคนไทยในระดับชาติ และที่สำคัญจำเป็นต้องมี Cybersecurity Framework หรือกรอบนโยบายในการบริหารจัดการในด้านความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ นับเป็นเวลาสี่ปีจาการพัฒนา NIST Cybersecurity Framework Version 1.0 จนถึงวันนี้ ทาง NIST ได้มีการสำรวจความคิดเห็นและปรับปรุง Cybersecurity Framework ให้เป็น Draft Version 1.1

รูปที่ 4: NIST Cybersecurity Framework Draft Ver.1.1 Proposed Core Update

มีอะไรใหม่ใน NIST Cybersecurity Framework Draft Version 1.1

การเปลี่ยนแปลงจาก version1.0 มาเป็น Draft version 1.1 มีผลมาจาก Feedback และ Workshop ที่ทาง NIST จัดขึ้นเพื่อองค์กรในกลุ่ม Critical Infrastructure ที่นำ NIST Cybersecurity Framework version 1.0 มาใช้ในตลอดสามปีที่ผ่านมา จากรูปที่ 4 จะเห็นได้ว่า ตัว “Framework core” ไม่มีการเปลี่ยนแปลงทั้ง 5 core functions และ 5 Informative References แต่มีการเพิ่ม Category จาก 22 เป็น 23 และเพิ่ม Sub-category จาก 98 เป็น 106
สรุปการเปลี่ยนแปลงที่สำคัญจาก version 1.0 มาเป็น Draft version 1.1 ดังนี้
– ปรับปรุง เรื่อง Authentication และ Identify Management ให้รัดกุมยิ่งขึ้น
– เพิ่มเติมเรื่อง “Supply Chain Risk Management” (SCRM) ซึ่งเป็นเรื่องสำคัญที่ไม่ได้กล่าวไว้ใน version 1.0
– เพิ่มเรื่อง Measurement และ Metric เพื่อเป็น”ตัวชี้วัด” สำหรับการประเมินศักยภาพขององค์กรในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ ที่ทำให้ผู้บริหารระดับสูงได้เห็นภาพในการปรับปรุงได้ชัดเจนยิ่งขึ้น
– ปรับปรุงความชัดเจนเรื่อง “Implementation Tiers” สำหรับการนำ Framework ไปใช้ในองค์กรให้ได้ผลอย่างแท้จริง
– เพิ่มเติมเรื่อง OT (Operational Technology) ให้ครอบคลุมมากขึ้นโดยไม่ได้จำกัดเฉพาะIT (Information Technology)

รูปที่ 5: Cyber SCRM Taxonomy

“Cyber SCRM” (ดูรูปที่ 5) ถูกออกแบบและพัฒนามาให้ใช้ร่วมกับ NIST SP800-161 “Supply Chain Risk Management Practices for Federal Information Systems and Organizations” โดยใช้หลักการ “The Four Pillars of ICT SCRM” (ดูรูปที่ 6)

รูปที่ 6: “Four Pillars of ICT SCRM”

รูปที่ 7: “Coordination of Framework Implementation”

จุดเด่นของ NIST Cybersecurity Framework ก็คือเรื่อง “Implementation” (ดูรูปที่ 7) ซึ่งสามารถนำไปใช้ได้ในทุกองค์กร โดยเหมาะสำหรับผู้บริหารระดับสูง ตลอดจนในระดับ Business Process และ ระดับ Implementation/Operation โดยมีกระบวนการในการนำไปใช้ใน 7 ขั้นตอน ต่อไปนี้
1. กำหนดความสำคัญและขอบเขต (Prioritize and Scope)
2. การแนะนำให้เข้าใจในเบื้องต้น (Orient) คล้ายกับการปฐมนิเทศ
3. สร้าง Current Profile ที่เป็นปัจจุบัน (As Is) ขององค์กร
4. การประเมินความเสี่ยง (Risk Assessment)
5. สร้าง Target Profile ที่องค์กรต้องการไปให้ถึง (To Be)
6. คิดวิเคราะห์ผลลัพธ์จากการประเมินความเสี่ยง และจัดลำดับความสำคัญของ Gap ที่เกิดขึ้น (To Be – As Is)
7. พัฒนาแผนในการปฏิบัติจริง (Implementation Action Plan)
อีกเรื่องที่มีการเปลี่ยนแปลงอย่างมีนัยยะ นั่นคือ เรื่อง “Cybersecurity Measurement” ซึ่งปกติการดำเนินการทางไซเบอร์ จะประเมินและกำหนดตัวชีวัดตลอดจนวัดค่าความสำเร็จของงานได้ค่อนข้างยาก ใน version1.1 จะเน้นไปที่ผลลัพธ์ทางธุรกิจ (Business Results) ที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยงทางไซเบอร์ (Cybersecurity Risk Management) โดยมีมุมมองทั้ง Lead Indicators และ Lag Indicators (ดูรูปที่ 8)

รูปที่ 8: “Cybersecurity Measurement”

กล่าวโดยสรุปจะเห็นว่า NIST Cybersecurity Framework มีความเหมาะสมต่อการประเมินองค์กรในรูปแบบ Gap Analysis “As Is” vs. “To Be” ทำให้องค์กรได้ทราบถึงจุดอ่อนและช่องโหว่ในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ทำให้ผู้บริหารระดับสูงมี “Risk Visibility” มากขึ้น และสามารถกำหนดแนวทางในการปรับปรุง (Improve Cybersecurity Capacity ขององค์กรในระยะยาวต่อไป องค์กรในประเทศไทยควรนำ NIST Cybersecurity Framework มาศึกษาและประยุกต์ใช้เพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่จะเกิดขึ้นในอนาคต เพราะปัญหา Cyber Attack ไม่ใช่คำถาม “IF” แต่เป็นคำถาม ” When” ซึ่งหมายถึง
“Critical Infrastructure Cyber Attack” ต้องเกิดขึ้นอย่างแน่นอน ดังนั้นเราจึงควรเตรียมพร้อมอยู่เสมอ ทั้งในระดับประชาชน ระดับองค์กร และ ในระดับชาติ
Reference:
NIST Cybersecurity Framework Draft Version 1.1