ในส่วนของการบังคับใช้เป็นทางการของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ทำให้หลาย ๆ องค์กรต้องมีการปรับกระบวนการเพื่อรับมือภัยคกคามที่มากขึ้เนรื่อย ๆ ใน โดยทาง ดร. จริญญา จันทร์ปาน Chief Innovation Officer และกรรมการบริหารของบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ได้มีความเห็นและข้อแนะนำสำหรับองค์กรต่าง ๆ เกี่ยวกับการปรับตัวตาม Threat Landscape and Trend ดังนี้ 

การเหลื่อมล้ำทางดิจิทัลและ Cyber Vaccination 

ดร. จริญญา กล่าวว่า ปัจจุบันภัยคุกคามมีเป็นจำนวนมาก และไม่ใช่จะโจมตีหรือโจรกรรมข้อมูลขององค์กรอย่างเดียว แต่จะเริ่มขยายวงกว้างไปยังภาคประชาชน ทุกเพศทุกวัย ดังนั้นจึงเป็นเรื่องสำคัญที่จำเป็นต้องให้ความรู้ประชาชนทั่วไป เพื่อไม่ให้ตกเป็นเหยื่อในการหลอก หรือถูกโจรกรรมข้อมูลและความเป็นส่วนตัว และควรมีหน่วยงานที่รับผิดชอบเรื่องนี้โดยตรง ในการสร้างระบบให้ความรู้ความเข้าใจแก่ประชาชนอย่างต่อเนื่อง ตลอดปี 2022 ที่ผ่านมา การโจมตีไซเบอร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง  

ในปัจจุบันเรามีหน่วยงานกำกับ (Regulators) ที่ทำหน้าที่ควบคุม ตรวจสอบและคำแนะนำเพื่อรับมือกับภัยคุกคามไซเบอร์ให้แก่องค์กรภายใต้การกำกับ เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เป็นต้น ในการนำ Framework และ Best Practices ที่มีความน่าเชื่อถือ มาปรับแต่งให้เข้ากับบริบทของประเทศมากยิ่งขึ้น ซึ่งเป็นสิ่งที่เป็นประโยชน์มาก อย่างไรก็ตามสำหรับภาคประชาชนที่เป็น Non-tech อาจจะยังต้องเพิ่มเติมและมีช่องทางในการเข้าถึงความรู้ดังกล่าวมากยิ่งขึ้น  

ปัญหาทางไซเบอร์ ไม่ได้เกิดจากทางเทคนิคอย่างเดียว 

หลาย ๆ องค์กรถ้าถูกโจมตีหรือมีภัยคุกคามทางไซเบอร์ในองค์กร สิ่งแรกที่จะนึกถึงคือเรามีปัญหาทางด้านเทคนิคอะไรที่เป็นช่องโหว่ หรืออุปกรณ์ป้งอกันทางไซเอบร์เราไม่พอเพียงหรือไม่  แต่จริง ๆ แล้วมันอาจจะเป็นคำตอบที่ถูกส่วนหนึ่งแต่อาจะไม่ทั้งหมด เพราะถ้าเราเข้าใจ PPT Concept (People, Process and Technology) จะเห็นได้ว่าเทคนิคเป็นแค่หนึ่งในสาม สำหรับองค์กรธุรกิจในไทยที่เริ่มมีความตระหนักด้าน Cybersecurity กันแล้ว นอกจากที่เราใช้เทคโนโลยีเข้ามาช่วย อาจจะต้องมาพิจารณาทั้งในส่วนกระบวนการ และ Peopleware เพื่อให้องค์กรมีความยั่งยืนทางด้านไซเบอร์มากขึ้น 

อย่างไรก็ตามในโลกนี้ไม่มีอะไรที่มีความเสี่ยงเป็น Zero ดังนั้นการที่เรายกประเด็นความเสี่ยงทางด้าน Cybersecurity มาพิจารณาในระดับผู้บริหารระดับสูง ก็เป็นสิ่งที่ควรพิจารณาดำเนินการเช่นกัน เพราะสิ่งที่องค์กรหลาย ๆ แห่งที่เริ่มเข้าใจด้านนี้ จะมีการพูดถึงคำว่า “Are we ready?” มากกว่า “Are we secure” แล้ว หมายถึงเราต้องมีความพร้อมในการรับมือภัยคกคามมากกว่าจะมาถามตนเองว่าเรา Secure หรือยัง นั้งคือ “Resilience” ที่องค์กรสามารถทนทานภัยคุกคามและสามารถดำเนินธุรกิจได้ต่อไป   

ACIS มุ่งมั่นที่จะเป็น Cybersecurity Innovation ชั้นนำของประเทศ  

ก่อนหน้านี้คนรู้จัก ACIS คือองค์กรที่ให้คำปรึกษาทางด้าน Cybersecurity และ Data Privacy รวมไปถึงการให้บริการด้านฝึกอบรมและตรวจสอบช่องโหว่ (Penetration Testing) มาเกือบ 20 ปี แต่เมื่อ 1-2 ปีที่ผ่านมา ACIS เองเราได้มีการทำ Digital Transformation และพิจารณาเรื่อง Digital Disruption จึงได้ก่อตั้งหน่วยงาน Cybersecurity Innovation ขึ้นมา เพื่อ Transform ธุรกิจให้เข้าสู่ยุคดิจิทัล  

เราได้เริ่มสร้าง Partners ที่เจ้าของเครื่องมือและกระบวนการด้าน Cybersecurity และ Data Privacy ทั้งในประเทศ และต่างประเทศ รวมไปถึงการสร้าง Ecosystem กับภาคธุรกิจ Reseller หรือ Distributor รายใหญ่ในประเทศในการเสริมสร้างความแข็งแกร่งทางธุรกิจ ตั้งแต่ต้นน้ำถึงปลายน้ำ โดยใช้ PPT Concept (People, Process and Technology) ปัจจุบันเรามี Platform ที่สร้างขึ้นมาและได้เริ่มเข้าสู่ตลาดในประเทศ เช่น 

• TrustWork: PDPA Management System เป็นระบบงานที่องค์กรสามารถนำกระบวนการที่เป็น Manual และเกี่ยวข้องกับกิจรรมต่าง ๆ ตามมาตราในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาใช้งานผ่านระบบ Web application ทั้งหมด เพื่อให้มั่นใจว่ากระบวนเรามีการตรวจสอบ มีหลักฐานทางอิเล็กทรอนิกส์ที่น่าเชื่อถือ และสามารถช่วยให้ DPO ทำงานได้ง่ายขึ้น  
• GRC Platform เป็นระบบงานที่ช่วยให้องค์กรสามารถมีการจัดเก็บเอกสารได้อย่างมีประสิทธิภาพ มีกระบวนการประเมินความเสี่ยงตามมาตรฐานระดับสากลและมีระบบงานเพื่อสนับสนุนหน่วยงานหรืองค์กรที่ต้องการจัดทำ ISO ทางด้าน IT เช่น ISO 27001, ISO 27701, ISO 20000 เป็นต้น  
• PMS: Penetration Management System เป็นระบบงานที่ทีม Penetration Tester สามารถสร้างรายงานการเจาะระบบ ตรวจสอบช่องโหว่ ได้อย่างรวดเร็วและมีประสิทธิภาพ ผ่านทาง Web application รวมไปถึงมีข้อมูลการให้คำแนะนำการแก้ไขช่องโหว่ที่พบ 

ซึ่งในอนาคตหน่วยงาน Cybersecurity Innovation ก็จะมี Platform หรือ Service ใหม่ ๆ ที่พร้อมให้บริการองค์กรทั้งในประเทศและต่างประเทศมาอีกเรื่อย ๆ โดย ACIS ตั้งเป้าว่าจะเป็นผู้นำทางด้านนี้ตามนโยบายผู้บริหาร เพื่อส่งมอบบริการที่เป็นประโยชน์และเสริมสร้างการรักษาความมั่นคงปลอดภัยให้ลูกค้าได้อย่างครบวงจร