ทุกประเทศทั่วโลกกำลังให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยสารสนเทศ (Information Security) ที่มีความเกี่ยวข้องกับเรื่องความมั่นคงของชาติ (National Security) โดยทางรัฐบาลในแต่ละประเทศได้พัฒนาแผนยุทธศาสตร์ด้านความปลอดภัยสารสนเทศที่เป็นแผนระยะยาวเพื่อใช้เป็นแนวทางอ้างอิงในการบริหารจัดการกับปัญหาด้านความมั่นคงปลอดภัยสารสนเทศอย่างเป็นระบบและมีกรอบการพัฒนาที่ชัดเจนในระดับประเทศ เนื่องจากในปัจจุบันมีการนำเทคโนโลยีสารสนเทศ (IT) มาใช้กันอย่างแพร่หลายทั้งภาครัฐและเอกชน โดยเฉพาะการใช้งานอินเทอร์เน็ตกันอย่างแพร่หลายในทุกองค์กร รวมทั้งความนิยมในการใช้งาน Social Network และการนำ Smartphone มาใช้งานในองค์กรในลักษณะ “Bring Your Own Device” (BYOD) ที่นิยมเรียกกันว่าเป็นปรากฏการณ์ “iPad” หรือ “Consumerization”
เมื่อวันที่ 7-15 เดือน พฤกษภาคม ที่ผ่านมา ผมได้มีโอกาสเข้าร่วมประชุมใหญ่ ISO/IEC JTC1/SC27 เรื่องการพัฒนาร่างมาตรฐาน ISO/IEC27001 และ ISO/IEC 27002 ในฐานะตัวแทนประเทศไทยในนามสถาบันมาตรฐานอุตสาหกรรมหรือ สมอ. ร่วมกับตัวแทนจากประเทศต่างๆกว่าหนึ่งร้อยประเทศ ณ กรุงสต๊อกโฮม ประเทศสวีเดน ทางรัฐบาลสวีเดนได้มอบเอกสารเกี่ยวกับ “แผนยุทธศาสตร์ระยะยาวด้านความมั่นคงปลอดภัยสารสนเทศของประเทศสวีเดน (Strategy For Information Security in Sweden 2010-2015)” มาให้เป็นดัวอย่างในการศึกษา (ดังรูปที่ 1) ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ 5 หน่วยงานร่วมกันพัฒนาได้แก่ The MSB, The Swedish Civil Contingencies Agency ร่วมกับ the Swedish Armed Forces, the Swedish Defence Materiel Administration, the Swedish National Defence Radio Establishment and the Swedish Post and Telecom Agency
ซึ่งจะสังเกตได้ว่า การพัฒนาแผนยุทธศาสตร์ดังกล่าวไม่ได้ถูกพัฒนาจากหน่วยงานใดหน่วยงานหนึ่งโดยเฉพาะ แต่เป็นความร่วมมือระหว่างหน่วยงานต่างๆที่เกี่ยวข้องกับเรื่องความมั่นคงของชาติ และ เกี่ยวข้องกับเรื่องโครงสร้างพื้นฐานที่มีความสำคัญของประเทศ (Critical Infrastructure) มาช่วยกันร่วมพัฒนาแผนยุทธศาสตร์ระดับประเทศในระยะยาวถึง 6 ปี จากปี คศ.2010-2015 โดยโครงสร้างหลักของแผนยุทธศาสตร์จะแบ่งออกเป็น 3 ส่วนได้แก่
ส่วนที่ 1: 6 วัตถุประสงค์เชิงยุทธศาสตร์ (Strategic Objectives)
ส่วนที่ 2: 5 ยุทธศาสตร์หลัก (5 Strategic Areas)
ส่วนที่ 3: 6 หลักการพื้นฐานสำหรับงานด้านความมั่นคงปลอดภัยสารสนเทศ (6 Principles of Information Security Work)
โดยวัตถุประสงค์หลักในการพัฒนายุทธศาสตร์ก็คือต้องสามารถรักษา Confidentiality, Integrity และ Availability (CIA TRIAD) ของสารสนเทศ (Information) ได้ทั้งระดับองค์กร (Organization) และ ในระดับบุคคล(Individual) โดยใช้แนวคิดที่ว่า “Information Security is Everyone’s Business” หมายถึง เรื่องความมั่นคงปลอดภัยสารสนเทศเป็นหน้าที่ของทุกคนที่ต้องมีจิตสำนึกในการร่วมกันปัองกันความมั่นคงปลอดภัยสารสนเทศให้กับตนเองและองค์กร โดยแผนยุทธศาสตร์ดังกล่าวมีความครอบคลุมในทุกภาคส่วนทั้งภาครัฐและภาคเอกชน รวมถึงเรื่องความมั่นคงปลอดภัยสารสนเทศในระดับประชาชนอีกด้วย โดยแผนยุทธศาสตร์ที่ดีไม่ควรที่จะเปลี่ยนบ่อย ทางประเทศสวีเดนจึงกำหนดให้แผนดังกล่าวมีอายุของแผนถึง 6 ปี
ส่วนที่ 1: 6 วัตถุประสงค์เชิงยุทธศาสตร์
(Strategic Objectives)
ทางรัฐบาลสวีเดนมองเรื่องความมั่นคงปลอดภัยสารสนเทศ (Information Security) ว่าเป็น”กิจกรรมสนับสนุน” หรือ “Supporting Activities” ในการช่วยส่งเสริมความเจริญเติบโตทางเศรษฐกิจในระดับชาติ รวมถึงความมั่นคงทางการเมือง ตลอดจนความเป็นอยู่ของประชาชนทุกคน และควรเป็นเรื่องที่ต้องถือว่าเป็น “ไฟต์บังคับ” ที่ทุกองค์กรจำเป็นต้องทำ และ ให้ความสำคัญกับเรื่องนี้อย่างจริงจัง ควรทำทั้งในระดับบุคคล ระดับองค์กร จนถึง ระดับประเทศชาติ โดยมีรายละเอียดทั้ง 6 วัตถุประสงค์ดังนี้

1. สนับสนุนเรื่องเสรีภาพและสิทธิของประชาชน
2. สนับสนุนคุณภาพสังคม
3. สนับสนุนการต่อต้านอาชญากรรมทุกรูปแบบ
4. สนับสนุนขีดความสามารถในการป้องกันและการเตรียมรับมือกับวิกฤตการณ์ต่างๆที่อาจเกิดขึ้นในประเทศ
5. สนับสนุนการเจริญเติบโตทางเศรษฐกิจ
6. สนับสนุนการให้ความรู้แก้ประชาชนและองค์กร เพื่อเพิ่มความมั่นใจในการใช้งานและการจัดการระบบเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ

ส่วนที่ 2: 5 ยุทธศาสตร์หลัก
(5 Strategic Areas)

1. Information security in enterprises
   หมายถึง องค์กรทั้งภาครัฐและเอกชนจำเป็นต้องรักษาความมั่นคงปลอดภัยสารสนเทศภายในองค์กร เพื่อรักษาคุณภาพในการปฏิบัติภารกิจขององค์กรนั้นๆ ควรมีการปรับปรุงเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยองค์กรควรปรับปรุงระบบให้สามารถป้องกันความเสี่ยงที่อาจเกิดขึ้น และเตรียมพร้อมในการรองรับวิกฤติต่างๆที่อาจเกิดขึ้นกับองค์กร ตลอดจนมีการควบคุมภายในที่ดี (Internal control) รวมถึงการให้บริการโดยการใช้ระบบสารสนเทศเป็นเครื่องมือจึงมีความจำเป็นต้องรักษาความมั่นคงปลอดภัยให้กับทั้งตัวสารสนเทศ(Information) และ ตัวระบบสารสนเทศเอง (Information Systems) โดยองค์กรควรนำมาตรฐาน ISO/IEC 27001 มาประยุกต์ใช้เพื่อเป็นกรอบความคิด หรือ Framework ในการปฏิบัติ ตลอดจนสามารถพัฒนากระบวนการรักษาความมั่นคงปลอดภัยจนไปถึงขั้นที่ทำให้องค์กรได้รับใบรับรอง (Certificate) จากผู้ตรวจสอบอิสระเพื่อเพิ่มระดับความมั่นใจ (Level of Confidence) ให้กับผู้บริหารระดับสูง ตลอดจนพนักงานทุกคนในองค์กรรวมถึงลูกค้าและคู่ค้าขององค์กรอีกด้วย
2. Provision of Skills
   องค์กรควรบริหารความเสี่ยงที่อาจเกิดจากการใช้งานอินเทอร์เน็ตภายในองค์กร ซึ่งภัยจากการใช้งานอินเทอร์เน็ตเป็นเรื่องที่ทุกคนจำเป็นต้องทราบ และ ทำความเข้าใจถึงภัยต่างๆ ที่อาจโจมตีมาจากทางอินเทอร์เน็ต ในทุกวันนี้ระดับประชาชนทั่วไปยังขาดเรื่องความตระหนักเรื่องการป้องกันความมั่นคงปลอดภัยในการใช้งานคอมพิวเตอร์ตลอดจนสมาร์ทโฟนที่ใช้ในการต่อเชื่อมกับอินเทอร์เน็ต โดยภัยอินเทอร์เน็ตนับวันจะเพิ่มจำนวนมากขึ้นเรื่อยๆ ดังนั้นผู้บริหารระดับสูงขององค์กรจำเป็นต้องมีภาวะผู้นำ (Top Management’s Leadership) โดยให้การสนับสนุนและผลักดันโครงการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างเต็มที่ การบริหารจัดการที่ดีควรเน้นไปที่การให้ความรู้แก่บุคคลที่เกี่ยวข้องตั้งแต่ระดับพื้นฐานจนถึงระดับผู้เชี่ยวชาญให้เกิดมีทักษะความเชี่ยวชาญในเรื่องดังกล่าวอย่างแท้จริงและสามารถนำองค์ความรู้จากการอบรมมาใช้ในการป้องกันตนเองและองค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ตที่นับวันจะเปลี่ยนรูปแบบไปในหลากหลายรูปแบบการวิจัยและพัฒนา (R&D) ก็เป็นเรื่องสำคัญที่ควรกำหนดอยู่ในแผนยุทธศาสตร์ความมั่นคงปลอดภัยสารสนเทศ เนื่องจากภัยต่างๆ มีการเปลี่ยนรูปแบบในการโจมตีอยู่ตลอดเวลา ดังนั้นองค์ความรู้ที่จำเป็นต้องใช้ในการป้องกันภัยดังกล่าวจึงมีความจำเป็นอย่างยิ่งยวดที่ทางรัฐบาลต้องให้การสนับสนุน และ “กระตุ้น” ให้ประชาชนเกิดความ “ตระหนัก” ในเรื่องดังกล่าว เพื่อป้องกันการเกิดปัญหาด้านความมั่นคงปลอดภัยสารสนเทศระดับประเทศในอนาคต
3. Information sharing, cooperation and responses
   การเผยแพร่หรือแชร์สารสนเทศมีความสำคัญในการพัฒนาความรู้ของบุคลากรทั้งในภาครัฐและเอกชน ดังนั้นระบบเครือข่ายจำเป็นต้องมั่นคงและเชื่อถือได้ เพื่อที่จะเป็นเครือข่ายในการเชื่อมโยงสารสนเทศต่างๆได้อย่างมีประสิทธิภาพและประสิทธิผล โดยมุ่งเน้นไปที่โครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) ในขณะเดียวกันการแชร์สารสนเทศสามารถช่วยให้เกิดประสิทธิภาพในความร่วมมือระหว่างประเทศในการปราบปรามอาชญากรรมทางคอมพิวเตอร์ตลอดจนการสืบสวนคดีต่างๆที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ การโจมตีโครงสร้างพื้นฐานของระบบสารสนเทศสามารถทำให้เกิดผลกระทบในวงกว้างอย่างรวดเร็ว องค์กรจึงจำเป็นต้องป้องกันการโจมตีต่างๆ เพื่อให้องค์กรมี “Resilience” หรือความยืดหยุ่นต่อการโจมตีดังกล่าว ตลอดจนองค์กรต้องมีแผนในการรองรับเหตุการณ์ฉุกเฉินต่างๆ ที่อาจเกิดขึ้นได้ โดยนำหลักการ BCM (Business Continuity Management) มาใช้ในการพัฒนาระบบบริหารความต่อเนื่องทางธุรกิจ เพื่อทำให้องค์กรสามารถให้บริการลูกค้าในภาวะที่ไม่ปกติสำหรับอาชญากรรมคอมพิวเตอร์และการทุจริตในรูปแบบใหม่ๆในอินเทอร์เน็ตนับวันจะมีความสลับซับซ้อนมากขึ้นตามลำดับ องค์กรจึงมีความจำเป็นต้องเตรียมในการป้องกันอาชญากรรมอินเทอร์เน็ตดังกล่าว ด้วยการฝึกอบรม “Information Security Awareness Training” อย่างสม่ำเสมออย่างน้อยปีละหนึ่งครั้ง
4. Communication Security
   ทางรัฐบาลสวีเดนมองว่าหัวใจสำคัญในการเชื่อมโยงข้อมูลและสารสนเทศเข้าด้วยกันก็คือ ระบบเครือข่ายข้อมูลหลักในระดับประเทศที่จำเป็นต้องมีความแข็งแกร่งต่อการถูกโจมตีและต้องสามารถให้บริการได้อย่างต่อเนื่องในภาวะวิกฤติ ตลอดจนมีระบบและกระบวนการในการเข้ารหัสข้อมูลที่มีความมั่นคงปลอดภัยสูง ยากต่อการถอดรหัสผ่านทางการใช้งานระบบเครือข่ายดังกล่าว ระบบที่ทางรัฐบาลให้ความสำคัญได้แก่ ระบบเครือข่ายที่เชื่อมโยงสถาบันการเงินเข้าด้วยกัน เช่น ระบบ ATM POOL
5. Security of Products and Systems
   ต่อเนื่องมาจากยุทธศาสตร์ในข้อ 4 ที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) ทางรัฐบาลสวีเดนได้ให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยของระบบโครงสร้างพื้นฐานที่มีความสำคัญได้แก่ ระบบจ่ายไฟฟ้า ระบบประปา ระบบสัญญาณไฟจราจร ตลอดจนระบบที่เกี่ยวข้องกับกิจการพลังงาน เช่น ระบบท่อส่งก๊าซธรรมชาติ จำเป็นต้องมีความมั่นคงปลอดภัยสูง เพราะในปัจจุบันระบบเหล่านี้ล้วนควบคุมด้วยคอมพิวเตอร์และบางระบบมีความจำเป็นในการเชื่อมต่อกับอินเทอร์เน็ตเพื่อเชื่อมโยงข้อมูลต่างๆ ทำให้ระบบเกิดความเสี่ยงต่อการถูกโจมตีจากทางอินเทอร์เน็ตจึงมีความจำเป็นที่ต้องให้ความสำคัญต่อระบบ Industrial Control System (ICS) เช่น ระบบ Supervisory Control And Data Acquisition (SCADA)

ส่วนที่ 3: 6 หลักการพื้นฐานสำหรับงานด้านความมั่นคงปลอดภัยสารสนเทศ
(6 Principles of Information Security Work)

1. A Holistic View
   การบริหารจัดการที่ดีในเรื่องความมั่นคงปลอดภัยสารสนเทศจำเป็นต้องใช้แนวคิดแบบ “องค์รวม” หรือ “ภาพรวม” (Big Picture) โดยเฉพาะการบริหารจัดการในระดับชาติ การมองภาพรวมมีความจำเป็นอย่างยิ่งเพราะต้องมองให้ครบทุกด้าน ไม่ว่าจะเป็นด้านการเมือง(Political) ด้านเศรษฐกิจ(Economic) ด้านกฎหมาย (Legal) ด้านสังคม-วัฒนธรรม (Socio-Cultural) และด้านเทคนิค (Technical)
2. Responsibility
   การกำหนดผู้รับผิดชอบงานทางด้านความมั่นคงปลอดภัยสารสนเทศให้รู้หน้าที่ว่า “ใคร” ต้องทำ “อะไร” เป็นเรื่องสำคัญที่จะทำให้เกิดความสำเร็จในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยเฉพาะในช่วงที่เกิดวิกฤติการณ์มีความจำเป็นอย่างยิ่งที่ต้องกำหนดผู้รับผิดชอบ และกำหนดหน้าที่ของทุกคนที่เกี่ยวข้องให้ละเอียดเพื่อป้องกันความผิดพลาดที่อาจเกิดขึ้นจากความไม่ชัดเจนในการกำหนดผู้รับผิดชอบและกำหนดหน้าที่ดังกล่าว
3. Cooperation
   ความร่วมมือระหว่างหน่วยงานต่างๆทั้งภาครัฐและเอกชนเป็นปัจจัยสำคัญแห่งความสำเร็จในการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศในระดับประเทศ แนวคิด Public-Private Partnership (PPP) ถูกนำมาใช้ในการกำหนดความร่วมมือระหว่างหน่วยงานต่างๆ รวมถึงความร่วมมือกับองค์กรระหว่างประเทศในระดับภูมิภาคและระดับนานาชาติอีกด้วย
4. Standardisation
   การปฏิบัติงานตามมาตรฐานสากลเป็นเรื่องสำคัญที่นำมาใช้ได้กับทุกเรื่องเพื่อลดความผิดพลาดที่อาจเกิดขึ้นได้จากการปฏิบัติงาน สำหรับมาตรฐานสากลในการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมกันทั่วโลกและมีองค์กรกว่า 7,800 องค์กรที่ได้รับรองมาตรฐานแล้วในตอนนี้ (ดูจาก iso27001certificates) ได้แก่ มาตรฐาน ISO/IEC 27001 (ISMS)
5. Risk Awareness
   การตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจากการขาดตัวควบคุม(control) ที่เหมาะสมเป็นเรื่องสำคัญที่ผู้บริหารองค์กรต่างๆ ต้องทำความเข้าใจ เพราะหลายครั้งการลงทุนทางด้านการรักษาความมั่นคงปลอดภัยไม่ได้รับการสนับสนุนจากผู้บริหารระดับสูง เนื่องจากถูกมองเป็นต้นทุนทางธุรกิจที่เพิ่มขึ้น แต่ถ้ามองอีกมุมหนึ่งจะพบว่า หากผู้บริหารไม่ตระหนักในความเสี่ยงก็ไม่อยากที่จะลงทุน ทำให้เกิดผลกระทบจากการไม่ลงทุนในสิ่งที่ควรจะลงทุนเพื่อป้องกันสารสนเทศและระบบสารสนเทศ ดังนั้นการสร้างความตระหนักให้กับผู้ที่มีอำนาจในการตัดสินใจในเรื่องงบประมาณในการบริหารจัดการด้านความมั่นคงปลอดภัยจึงมีความสำคัญที่องค์กรจะมองข้ามไม่ได้
6. Rules and Regulations
   ในปัจจุบันมีกฎระเบียบข้อบังคับ กฎกระทรวง และ และกฎหมายต่างๆ ที่เกี่ยวข้องกับระบบสารสนเทศและคอมพิวเตอร์ ออกมาบังคับใช้อย่างต่อเนื่องมีผลบังคับใช้กับบุคคลและองค์กรที่เป็นนิติบุคคล จึงจำเป็นที่จะต้องจัดให้มีการอบรมบุคลากรให้มีความรู้ในการปฏิบัติตามกฎหมายให้ถูกต้องด้วยความเข้าใจในวัตถุประสงค์ของกฎหมาย เพื่อไม่ให้ก่อเกิดเป็นอุปสรรคในการดำเนินธุรกิจธุรกรรมขององค์กร ตลอดจนการพัฒนาประเทศในด้านต่างๆ โดยเฉพาะด้านเศรษฐกิจและสังคม

กล่าวโดยสรุปจะเห็นว่ารัฐบาลสวีเดนได้ให้ความสำคัญกับเรื่องการวางแผนยุทธศาสตร์ด้านความมั่นคงปลอดภัยสารสนเทศแห่งชาติในระยะยาว 6 ปี แสดงให้เห็นถึงความตระหนักและภาวะผู้นำของผู้บริหารประเทศที่เตรียมพร้อมเข้าสู่ยุคอินเทอร์เน็ตและ Smartphone อย่างเต็มที่ โดยในส่วนของประเทศไทย เราควรนำแผนดังกล่าวมาศึกษาเพื่อนำมาเป็นแนวทางในการจัดทำแผนยุทธศาสตร์ด้านความมั่นคงปลอดภัยสารสนเทศ (Thailand’s National Cybersecurity Strategic Plan) ซึ่งในปัจจุบันประเทศไทยได้มีการจัดตั้งคณะกรรมการ “National Cybersecurity Committee” ขึ้นโดยนายกรัฐมนตรีเป็นประธาน (ดูรูปที่ 3) ซึ่งถือว่าเป็นแนวโน้มที่ดีสำหรับประเทศไทยในการเริ่มต้นจริงจังในเรื่องความมั่นคงปลอดภัยสารสนเทศ (Information Security)
ผมขอกล่าวถึงรายละเอียดของแนวทางการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยสารสนเทศแห่งชาติระยะยาว 5 ปี ของประเทศไทย (พ.ศ. 2555-2559) ในฉบับหน้านะครับ