งานระบบประมวลผลแบบคลาวด์ ภาครัฐ-เอกชน
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 13 ธันวาคม 2561
โดย อาจารย์ ปริญญา หอมเอนก
การแก้ปัญหาความมั่นคงปลอดภัยและความเป็นส่วนตัวของการจัดเก็บข้อมูลในระบบคลาวด์ สามารถบริหารจัดการลดความเสี่ยงได้โดยจัดแบ่งระดับความสำคัญของข้อมูล ซึ่งการเตรียมความพร้อมและการกำหนดแนวทางการบริหารจัดการข้อมูลเป็นเรื่องสำคัญที่ต้องพิจารณา
นโยบายเศรษฐกิจดิจิทัลของรัฐบาลในตลอดสองปีที่ผ่านมา คงปฏิเสธไม่ได้ว่า ระบบประมวลผลแบบคลาวด์ (Cloud Computing) ไซเบอร์ซิเคียวริตี้ (Cybersecurity และการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) เป็นหัวข้อสำคัญที่ต้องนำมาพิจารณาในการกำหนดนโยบาย Digital Economy ในระดับชาติ ตลอดจนพัฒนากฎหมายให้ทันยุคทันสมัย สามารถตอบโจทย์กระแสโลกที่กำลังเคลื่อนเข้าสู่การประมวลผลแบบคลาวด์อย่างเต็มรูปแบบ
สังเกตได้จากการที่บริษัทยักษ์ใหญ่ระดับโลกล้วนลงทุนใน Cloud Computing ด้วยเม็ดเงินจำนวนมหาศาล ไม่ว่าจะเป็นบริษัทไมโครซอฟท์ ซึ่งขณะนี้ Office 365 เป็นอันดับหนึ่งของการใช้งานคลาวด์
รวมไปถึงบริษัทอเมซอนที่เข้ามาเปิดสำนักงานในประเทศไทยเพื่อให้บริการ Amazon Web Services (AWS) อีกทั้งGoogle ที่เปิดให้บริการคลาวด์ในระดับ Enterprise เช่นกัน
ตลอดจนบริษัทยักษ์ใหญ่ในการให้บริการ Data Center NTT Communications บริษัทโทรคมนาคมรายใหญ่ของญี่ปุ่น (อยู่ในเครือ NTT เช่นเดียวกับ NTT docomo) เปิดศูนย์ข้อมูลแห่งใหม่ในประเทศไทย
รวมถึงการมาของ “SUPERNAP” สร้างศูนย์ข้อมูล SUPERNAP Thailand ที่นิคมอุตสาหกรรมเหมราชในจังหวัดชลบุรี คิดเป็นมูลค่ากว่า 1.1 หมื่นล้านบาท
จากหลายงานวิจัยพบว่าปัญหาอันดับต้นๆในการเคลื่อนย้ายข้อมูลขึ้นสู่ระบบประมวลผลข้อมูลแบบกลุ่มเมฆ หรือ “Cloud Computing” นั้น ก็คือ ปัญหาด้านความมั่นคงปลอดภัย (Security) และปัญหาเรื่องความเป็นส่วนตัว (Privacy) ซึ่งจำเป็นต้องมีการกำหนดนโยบายในการบริหารจัดการข้อมูลในองค์กร โดยการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อนที่จะใช้บริการ Cloud Computing
“Government Cloud First Policy”
นโยบายการเคลื่อนย้ายข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ของรัฐบาลจากหลายประเทศทั่วโลก
ในปัจจุบันรัฐบาลในประเทศใหญ่ๆ หลายประเทศทั่วโลก ไม่ว่าจะเป็นประเทศสหรัฐอเมริกา สหราชอาณาจักร ประเทศนิวซีแลนด์ และประเทศออสเตรเลีย กำลังดำเนินนโยบายที่คล้ายคลึงกัน ได้แก่ นโยบาย Government Cloud First Policy
หมายถึงก่อนการนำข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ ต้องมีการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อน
จากนั้นนำข้อมูลที่มีความเสี่ยงหรือความสำคัญต่ำสุด (ดูรูปที่ 1) จะอนุญาตให้จัดเก็บในระบบคลาวด์ได้
จากรูปที่ 1 จะเห็นว่า ข้อมูลกว่า 90% ในระดับ Official ของสหราชอาณาจักร ได้รับการอนุญาตให้จัดเก็บในระบบคลาวด์ได้ ตามด้วยข้อมูล 80% ของประเทศสหรัฐอเมริกา ในระดับ FISMA Low และ FISMA Moderate
ตามด้วย 70% ของประเทศออสเตรเลียในระดับ Unclassified ได้รับอนุญาตให้นำข้อมูลไปจัดเก็บในระบบคลาวด์ได้เช่นกัน
ในปัจจุบันรัฐบาลของสหราชอาณาจักร ได้มีการปรับระดับความสำคัญของข้อมูลหน่วยงานรัฐให้กระชับ ลดความซ้ำซ้อน เหลือเพียง 3 ระดับ ได้แก่ ระดับ Official ระดับ Secret และระดับ Top Secret (ดูรูปที่ 2)
โดยที่ประเทศสหรัฐอเมริกาได้แบ่งแยกระดับความสำคัญของข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับ ตามระดับความเสียหาย (IMPACT) กำหนดไว้ใน FIPS Publication 199 (ดูรูปที่ 3) ได้แก่ Low Impact , Moderate Impact และ High Impact
จากรูปที่ 4 เราจะเห็นได้ว่ารัฐบาลในหลายประเทศมีการแบ่งข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับได้แก่
ระดับที่หนึ่ง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Public Cloud ได้ ซึ่งเป็นข้อมูลส่วนใหญ่ 70 – 90 %
ระดับที่สอง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Private and/or Hybrid Cloud หรือ On-Prem Solution
ระดับที่สาม : ข้อมูลที่เป็นความลับ มีผลกระทบสูงต้องเก็บในระบบที่มีการ Harden แยกต่างหาก
สังเกตดีๆ จะพบว่า ต้นทุนในการจัดเก็บข้อมูลในระดับที่ 3 จะสูงขึ้นกว่า 10 เท่า จากการจัดเก็บข้อมูลในระดับที่หนึ่ง คือ จัดเก็บไว้ใน Public Cloud
“Data Sensitivity Levels & Volumes”
ระดับและปริมาณของข้อมูลในการจัดเก็บอย่างมั่นคงปลอดภัย
การแก้ปัญหาความมั่นคงปลอดภัยและความเป็นส่วนตัวของการจัดเก็บข้อมูลในระบบคลาวด์ สามารถบริหารจัดการลดความเสี่ยงได้โดยการจัดแบ่งระดับความสำคัญของข้อมูล ซึ่งพิจารณาจากผลกระทบขององค์กรหากข้อมูลรั่วไหล และอาจแบ่งตามลักษณะปริมาณของข้อมูล
จากรูปที่ 5 ข้อมูลในระดับห้า หมายถึงข้อมูลที่เปิดเผยสาธารณะทั่วไปไม่มีผลกระทบกับองค์กร เหมาะที่จะจัดเก็บใน Public Cloud เพราะต้นทุนต่ำที่สุด และมีปริมาณข้อมูลที่จะถูกจัดเก็บจำนวนมากที่สุด
จากนั้นพิจารณา ระดับสี่ ซึ่งข้อมูลมีความสำคัญเพิ่มขึ้น เช่น ข้อมูลทางสถิติต่างๆ ที่ควรมีการเพิ่ม “Security Control” เข้าไป เช่น มีการ Authentication แต่ยังจัดเก็บใน Public Cloud ได้เหมือนระดับห้า
ส่วนในระดับสาม ควรเป็นข้อมูลที่แชร์กันภายในองค์กรเอง หรือระหว่างองค์กรที่จำเป็นต้องทำงานร่วมกัน สามารถจัดเก็บใน Public Cloud ได้ แต่ต้องมีการตั้งค่าอนุญาตสิทธิต่างๆ ให้ละเอียดรอบคอบยิ่งขึ้น
สำหรับระดับสอง ถือว่าเป็นข้อมูลที่เป็นความลับเฉพาะบุคลากรในองค์กร ตามหลักการ “Need To Know” สามารถจัดเก็บใน Public Cloud ได้เช่นกัน แต่ “Security Control” ต้องเข้ม และมีการตรวจสอบที่ดี ควรนำเทคโนโลยี CASB (Cloud Access Security Broker) มาใช้
และในระดับสุดท้าย ระดับที่หนึ่ง เป็นระดับที่ข้อมูลมีความสำคัญอย่างยิ่งยวดต้องการรักษาความลับในระดับสูงสุด หากข้อมูลรั่วไหลจะมีผลกระทบสูงต่อองค์กร
ไม่ควรจัดเก็บใน Public Cloud แต่ควรถูกจัดเก็บใน “On-Premise Storage” ขององค์กร เราจะเห็นว่าการจัดเก็บข้อมูลในระดับหนึ่งมีต้นทุนเป็น 10 เท่าของการจัดเก็บข้อมูลในระดับห้า
5 Steps in Cloud Data Governance Framework
ห้าขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์
เรื่องของ “Cloud Data Governance” กำลังเป็นเทรนใหม่ที่มาแรงในระดับองค์กรทั่วโลก จากปัญหาความมั่นคงปลอดภัยและปัญหาความเป็นส่วนตัวของข้อมูลลูกค้าที่เกิดการรั่วไหลออกสู่สาธารณะ กลายเป็นข่าวใหญ่ทางหนังสือพิมพ์และทางโซเชียลเน็ตเวิร์ก ทำให้องค์กรเสียภาพลักษณ์ และมีความเสี่ยงด้านชื่อเสียงขององค์กร (Reputational Risk)
5 ขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์
- กำหนดเป้าหมายของธุรกิจขององค์กรให้แน่ชัดก่อน
- พัฒนากลยุทธ์ในการบริหารจัดการข้อมูล และนโยบายในการบริหารจัดการข้อมูล
- กำหนดหน้าที่ในการรับผิดชอบและมีการแบ่งความรับผิดชอบให้ชัดเจน มีการบริหารจัดการในรูปแบบการบริหารโครงการที่ดี
- ทำบัญชีทรัพย์สินข้อมูล และแบ่งแยกระดับความสำคัญของข้อมูล
- นำกลยุทธ์การบริหารไปสู่การปฏิบัติจริง และมีการบริหารจัดการความเปลี่ยนแปลง
หัวใจของความสำเร็จในการนำ Cloud Data Governance Framework มาใช้ก็คือ การที่ทีมงานได้รับการสนับสนุนจากผู้บริหารระดับสูง (Executive Sponsors) มีการกำหนดผู้รับผิดชอบ (Owner) ให้ชัดเจน มีการบริหารจัดการในลักษณะการบริหารงานโครงการ (Project Management) ควรนำเสนอผู้บริหารระดับสูงตั้งแต่เนิ่นๆ เพื่อให้เกิดความเข้าใจและเข้ามาให้การสนับสนุน
หัวใจที่สำคัญที่สุด คือ การกำหนดนโยบายในการแบ่งระดับความสำคัญของข้อมูล (Data Classification Policy) การพิจารณามาตรฐาน และข้อกำหนดต่างๆ (Standards and Compliances) ดูรูปที่8 ยกตัวอย่าง เช่น ISO/IEC 27018:2014, ISO/IEC 27001:2013
กล่าวโดยสรุปจะเห็นว่า การเตรียมความพร้อมและแนวทางการบริหารจัดการข้อมูลในการใช้งานระบบประมวลผลแบบคลาวด์ เป็นเรื่องสำคัญที่องค์กรต้องพิจารณาในการเคลื่อนย้ายข้อมูลขององค์กรเข้าสู่ระบบการประมวลผลแบบคลาวด์ เพื่อให้เกิดประสิทธิภาพและประสิทธิผลต่อองค์กรมากที่สุด