by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center

เนื่องจากผมและคณะผู้บริหารระดับสูงของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารของประเทศไทยได้มีโอกาสเข้าเยี่ยมชมศูนย์ปฏิบัติการเฝ้าระวังภัยความปลอดภัยข้อมูลคอมพิวเตอร์ และ ศูนย์พิสูจน์หลักฐานทางคอมพิวเตอร์ของกระทรวงกลาโหม ประเทศสิงค์โปร์ (MINDEF) ตลอดจนเข้าฟังการบรรยายแผนยุทธศาสตร์ด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เรียกว่า แผน IN2015 และแผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลจากผู้เชี่ยวชาญของ IDA (Infocomm Development Authority of Singapore) ซึ่งเป็นหน่วยงานภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารของสิงค์โปร์ โดยการเยี่ยมชมหน่วยงานรัฐบาลทั้งสองหน่วยงานของสิงค์โปร์อย่างเป็นทางการอยู่ภายใต้โครงการจัดทำระบบข้อมูลสารสนเทศเพื่อป้องกันปรามปรามภัยบนเครือข่ายสารสนเทศและการสื่อสาร โดยศูนย์บริการวิชาการแห่งจุฬาลงกรณ์มหาวิทยาลัยร่วมมือกับกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร วัตถุประสงค์ของโครงการนี้เพื่อร่างแผนยุทธศาสตร์ในการป้องกันภัยทางอินเทอร์เน็ตและการสร้างศูนย์เฝ้าระวังความปลอดภัยข้อมูลแห่งชาติในอนาคตอันใกล้

ประเทศเกาหลีใต้ได้มีการประกาศแผนยุทธศาสตร์นโยบายเทคโนโลยีสารสนเทศและการสื่อสารภายใต้ชื่อ IT839 และ ได้สร้างศูนย์เฝ้าระวังความปลอดภัยข้อมูลแห่งชาติมาหลายปีแล้วแต่ในประเทศสิงค์โปร์การสร้างศูนย์เฝ้าระวังความปลอดภัยข้อมูลในระดับชาติอยู่ภายใต้ชื่อ National Cyber-threat Monitoring Centre (NCMC) ซึ่งเป็นส่วนหนึ่งของโครงการ “Cyber-Watch Center” โดย IDA คาดว่า NCMC จะแล้วเสร็จภายในสิ้นปี 2006 นี้ โครงการ “Cyber-Watch-Center” นั้นเป็นส่วนหนึ่งของแผนยุทธศาสตร์การป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ที่เรียกว่าแผน “Infocomm Security Masterplan” เป็นแผนระยะยาว 3 ปี จากปี 2005 ถึง ปี 2007 และ เป็นส่วนสำคัญของแผนใหญ่ iN2015 ย่อมาจาก “Intelligence Nation” 2015 หมายถึง เป็นแผนระยะยาว 10 ปี จากปี 2005 ถึง ปี 2015 (สามารถดูรายระเอียดได้ใน web site http//www.in2015.sg)
ประเทศสิงค์โปร์ได้ประกาศนโยบายไอทีระดับชาติที่ต้องการเปลี่ยนแปลงจาก e-Government เป็น i-Government อักษร i หมายถึง “integration” หมายถึงการทำงานร่วมกันและการแชร์ข้อมูลระหว่างหน่ายงานภาครัฐโดยใช้เทคโนโลยี Web service ภายใต้สถาปัตยกรรม Service Oriented Architecture (SOA) โดยทางรัฐบาลสิงค์โปร์ได้จัดประมูลโครงการใหญ่ 3 โครงการ ได้แก่ โครงการ “Standard ICT Operating Environment (SOE)” ซึ่งเป็นโครงการที่กำหนดมาตรฐานของเครื่อง Desktop, Network Operating System และ Messaging System ของหน่วยงานรัฐบาลทั้งหมดของสิงค์โปร์เพื่อมีความปลอดภัยและให้ง่ายในการบริหารจัดการ ตลอดจนสามารถรองรับการกู้ภัยทางอินเทอร์เน็ตในกรณีฉุกเฉิน โครงการที่สอง คือ โครงการ “Cyber-Watch Center” ดังที่กล่าวมาแล้วในตอนต้นว่าเป็นโครงการที่เกี่ยวข้องกับการสร้างศูนย์เฝ้าระวังภัยทางอินเทอร์เน็ตในระดับชาติ โดยครอบคลุมระบบสำคัญ ๆ ของทางรัฐบาล และมีการจัดจ้าง Outsource IT Security Monitoring ที่เราเรียกว่า MSS (Managed Security Service) อีกด้วย และ โครงการที่สาม ได้แก่ โครงการ “Centrally Administered Desktop Firewall (CAFE)” เพื่อเป็นการป้องกันโปรแกรมมุ่งร้าย (Malicious Software) ไม่ให้สามารถโจมตีเครื่องลูกข่ายทั้งหมดของทางภาครัฐ ประกอบด้วยการจัดซื้อ Desktop Personal Firewall, Desktop IDS และ Anti-Spyware โดยระบบ CAF? ต้องสามารถควบคุมได้จากส่วนกลางทั้งหมด ทั้งสามโครงการดังกล่าวมีมูลค่าทั้งสิ้นไม่ต่ำกว่า 1,500 ล้านเหรียญสิงค์โปร์ หรือ กว่า 36,000 ล้านบาท เรียกได้ว่าเป็นการยกเครื่องครั้งใหญ่ของภาครัฐเลยก็ว่าได้ โดยให้ความสำคัญเรื่องความปลอดภัยข้อมูลเป็นหลัก

นอกจากนี้ยังมีโครงการวิจัยและตรวจสอบช่องโหว่ของโปรแกรมประยุกต์ของทางภาครัฐที่เรียกว่า โครงการ “Security Assurance Through Software Vulnerability Examination & Research” มูลค่าประมาณ 24 ล้านบาท เพื่อเป็นการประเมินความเสี่ยงทางด้านระบบความปลอดภัยข้อมูลของภาครัฐ

รายละเอียดของแผน Infocomm Security Masterplan ซึ่งเป็นแผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลระดับชาติของสิงค์โปร์ที่ควบคุมโดย National Information Security Committee (NISC) มีโครงสร้างหลัก 6 เรื่อง ดังรูป

อธิบายรายละเอียดในแต่ละเรื่องดังนี้

1. “Securing the People Sector” – การป้องกันประชาชน
ปัญหาใหญ่ของการป้องกันความปลอดภัยข้อมูลก็คือ ปัญหาการขาดความรู้ของบุคลากรผู้เชี่ยวชาญเฉพาะทางและการขาดความระมัดระวังของผู้ใช้คอมพิวเตอร์โดยทั่วไป ดังนั้นทางรัฐบาลสิงค์โปร์จึงจัดให้มีโปรแกรมการฝึกอบรมด้าน “Information Security Awareness” ในระดับชาติขึ้นเรียกว่า National Information Security Awareness Program” เพื่อให้ผู้ใช้คอมพิวเตอร์โดยทั่วไปสามารถเข้าถึงและเข้าใจเรื่องการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์จากภัยอินเทอร์เน็ตได้อย่างเข้าใจมากขึ้นและเพื่อเป็นการป้องกันผู้ใช้คอมพิวเตอร์จากการถูกโจมตีโดยการขโมยความเป็นตัวตนผู้ใช้คอมพิวเตอร์ที่เราเรียกว่า “Identity Theft” ทางภาครัฐจึงจัดให้มีโครงการพัฒนาโครงสร้างพื้นฐานด้านการตรวจสอบตนเองก่อนเข้าใช้ระบบสารสารเทศทุกระบบระดับชาติ (The National Authentication Infrastructure)
2. “Securing the Private Sector” – การป้องกันหน่วยงานภาคเอกชน
ในอดีตทางรัฐบาลเน้นป้องกันเฉพาะความปลอดภัยทางกายภาพ หรือ Physical Security แต่ในปัจจุบันแฮกเกอร์และไวรัสต่าง ๆ ล้วนเข้าโจมตีทาง Logical Security ทั้งสิ้น ดังนั้นทางรัฐบาลจึงเห็นความสำคัญของการประเมินความเสี่ยงโดยกรตรวจสอบช่องโหว่ระบบสารสนเทศของหน่วยงานภาคเอกชนว่าเป็นไปตามมาตรฐานและมีความปลอดภัยเพียงพอ หรือไม่ โดยทางภาครัฐจัดให้มีโครงการศึกษาช่องโหว่ของโครงสร้างพื้นฐานที่สำคัญเรียกว่า “Information Vulnerability Study for National Critical Infrastructure” เพื่อให้แน่ใจว่าระดับการรักษาความปลอดภัยอยู่ในระดับที่ได้มาตรฐานต่าง ๆ ตาม “Best Practice” ที่นิยมใช้กันทั่วโลก
3. “Securiing the Public Sector” — การป้องกันหน่วยงานภาครัฐ”
ทางภาครัฐบาลสิงค์โปร์ได้ให้ความสำคัญเรื่องการป้องกันความปลอดภัยข้อมูลของภาครัฐเป็นอย่างมาก เพราะรัฐบาลสิงค์โปร์นั้นเป็นรัฐบาลอิเล็กโทรนิคส์ซึ่งพึ่งพาอาศัยเทคโนโลยีสารสนเทศในการขับเคลื่อน ดังนั้น เพื่อให้แน่ใจถึงระดับความปลอดภัย ในแผนยุทธศาสตร์จึงเน้นเรื่องการวัดระดับความปลอดภัยว่าได้มาตรฐานตามที่ได้ตั้งไว้ และ มีความพร้อมในการรับมือกับภัยอินเทอร์เน็ตต่าง ๆ ได้อย่างทันท่วงที และไม่ส่งผลกระทบกับระบบคอมพิวเตอร์ของภาครัฐจนถึงขั้นใช้งานไม่ได้
โดยมีรายละเอียดอยู่ในแผนย่อยสองเรื่อง คือ แผนวัดความพร้อมในการเตรียมตัวป้องกันภัย ได้แก่ แผน “Business Continuity Readiness Assessment Framework” และ แผนตัวชี้วัดสุขภาพระดับความปลอดภัยของระบบสารสนเทศและการสื่อสาร “Information Security Health Scorecard”
4. “Developing National Capability” — การพัฒนาศักยภาพด้านความปลอดภัยของชาติ
ยกตัวอย่าง เช่น ทางสิงค์โปร์กำลังพัฒนา Singapore Common Criteria Certification ซึ่งหมายความว่า ประเทศสิงค์โปร์สามารถที่จะ “Certify” ผลิตภัณฑ์เทคโนโลยีความปลอดภัยข้อมูลสารสนเทศต่าง ๆ เหมือนกับมาตรฐาน “Common Criteria” (CC) ซึ่งเป็นมาตรฐานสากลทั่วโลก
5. “Cultivating Technology and R&D” — การพัฒนาให้ความรู้ด้านเทคโนโลยีและการวิจัย
หมายถึงทางภาครัฐได้จัดเตรียมงบประมาณด้านการพัฒนาองค์ความรู้ และการวิจัยค้นคว้าด้านความปลอดภัยข้อมูลให้กับหน่วยงานทั้งภาครัฐและเอกชน ตลอดจนประชาชนที่ใช้คอมพิวเตอร์เพื่อความปลอดภัยโดยรวมของประเทศ
6. “Security National Infrastructure” — การรักษาความปลอดภัยของโครงสร้างพื้นฐานด้านสารสนเทศของชาติ
เป็นที่ทราบกันดีว่า ภัยทางอินเทอร์เน็ต สามารถโจมตีได้ทุกที่ ทุกเวลา และ มักจะรวดเร็วกว่าที่เราคาดคิดไว้ ยกตัวอย่างเช่น ไวรัสสแลมเมอร์ ได้เข้าถล่มประเทศเกาหลีใต้ เมื่อปี 2003 ทำให้สายการบินต้องยกเลิกตารางการบิน และ ตู้ ATM ของธนาคารหลายแห่งไม่สามารถให้บริการได้ เป็นต้น ดังนั้นการสร้างศูนย์เฝ้าระวังความปลอดภัยโครงการพื้นฐานระบบสารสนเทศแห่งชาติจึงเป็นเรื่องสำคัญที่ต้องนำมาสร้างเป็นรูปธรรม ซึ่งได้แก่ ศูนย์ “National Cyber-Threat Monitoring Center หรือ “NCMC” ซึ่งจะมีหน้าที่เฝ้าระวังภัยอินเทอร์เน็ตในระดับชาติตลอด 24 ชั่วโมง ตลอดจนวิเคราะห์กระแสข้อมูลถึงรูปแบบของการโจมตีเพื่อให้ทราบล่วงหน้าก่อนภัยจะมาถึงและส่งผลกระทบกับประเทศชาติ
เราจะเห็นได้ว่าทางรัฐบาลสิงค์โปร์นั้นมีความพร้อมในการป้องกันภัยที่อาจจะเกิดขึ้นกับระบบสารสนเทศที่เป็นโครงสร้างพื้นฐานของทั้งภาครัฐและเอกชนได้อย่างดีเยี่ยม ทางรัฐบาลไทยควรนำข้อมูลแผนยุทธศาสตร์ iN2015 และแผนยุทธศาสตร์ Infocomm Security Masterplan ของสิงค์โปร์มาวิเคราะห์และปรับแต่งให้เป็นแผนที่เหมาะสม สำหรับประเทศไทยของเราโดยเน้นไปที่สามเป้าหมายหลักคือ ป้องกันประชาชน ป้องกันองค์กรทั้งภาครัฐและเอกชน และ ป้องกันประเทศชาติให้รอดพ้นจากภัยมืดต่าง ๆ ในยุคสังคมข้อมูลสารสนเทศที่เรามีความจำเป็นต้องใช้ในชีวิตประจำวันของเราอย่างหลีกเลี่ยงไม่ได้ ทั้งนี้เพื่อให้ประเทศไทยมีความปลอดภัยข้อมูลมากกว่าที่เป็นอยู่ในทุกวันนี้

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนกันยายน 2549
Update Information : 19 กันยายน 2549