posttoday

ทำไมวันนี้ปัญหาด้าน Cybersecurity จึงยังแก้ไม่ตกกันเสียที

14 มิถุนายน 2560

โดย...ปริญญา หอมเอนก

โดย...ปริญญา หอมเอนก ACIS/Cybertron Cybersecurity Research LAB ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.

นับจากไวรัสคอมพิวเตอร์ตัวแรกของโลก "Brain" บน Platform MS-DOS ที่อุบัติขึ้นในเดือนมกราคม พ.ศ. 2528 เป็นปีแรกที่ผมเข้าศึกษาต่อในระดับอุดมศึกษา คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งในขณะนั้นยังไม่มีระบบปฏิบัติการ Microsoft Windows เหมือนทุกวันนี้ จากปี พ.ศ.2529 ถึงปี พ.ศ.2560 กว่า 30 ปี เรายังได้พบกับมัลแวร์และไวรัสคอมพิวเตอร์มาอย่างต่อเนื่อง ล่าสุดทุกท่านคงทราบดีถึงอุบัติการณ์  Wannacry Ransomware Worm ที่ระบาดไปทั่วโลก ทำให้หลายท่านตั้งคำถามว่า ปัญหาเรื่อง Virus Computer มีมากว่า 30 ปี และ ปัญหา Cybersecurity นั้นก็มีมากว่า 20 ปีแล้ว ทำไมมนุษย์ยังแก้กันไม่ตกกันเสียที? และยังมีแนวโน้มว่าจะรุนแรงมากยิ่งขึ้นอีกด้วย (ดูรูปที่1 : The first virus computer in the world: Brain infected with MS-DOS on Personal Compute: source: wikipedia)

ทำไมวันนี้ปัญหาด้าน Cybersecurity จึงยังแก้ไม่ตกกันเสียที

รูปที่ 1 : The first virus computer in the world: Brain infected with MS-DOS on Personal Computer : source: wikipedia

ตลอดหลายสิบปีที่ผ่านมา เราได้พบกับคำว่า "Computer Security" หรือ "IT Security" จากนั้นโลกก็ได้รู้จักคำว่า "Information Security" และ ISMS หรือ ISO/IEC 27001 ( ISO/IEC 27001:2005 version แรกได้ถูกประกาศใช้ตั้งแต่ปี พ.ศ. 2548) ในปัจจุบันคำว่า “Cybersecurity” ได้เข้ามามีบทบาทมากขึ้น เริ่มจาก Executive Order ของอดีตประธานาธิบดีสหรัฐ บารัค โอบามา ได้เริ่มพัฒนา NIST Cybersecurity Framework ใน version 1.0 เมื่อปี พ.ศ. 2556  (4 ปีที่แล้ว) โดยผมได้มีโอกาสเข้าร่วมโปรแกรม Eisenhower Fellowships และได้พบปะหารือกับ Mr. Michael Danial ซึ่งเป็นหัวหน้าโปรแกรมดังกล่าวในทำเนียบขาว (White House Official Visiting) Mr. Michael Danial ดำรงตำแหน่ง Special Assistant to the President and the Nation’s Cybersecurity Coordinator ในขณะนั้น โดยทำงานด้าน Cybersecurity ขึ้นตรงกับ ประธานาธิบดีสหรัฐ บารัค โอบามา Mr. Michael Danial เป็นผู้ที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับแผนกลยุทธด้าน Cybersecurity แห่งชาติ (National Cybersecurity Strategy) และผู้ขับเคลื่อนผลักดันนโยบายดังกล่าวให้เกิดการปฏิบัติจริงในหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructure) รวมถึงการผลักดัน Public Private Partnership Programme (PPP) ในประเทศสหรัฐอเมริกาที่มีเป้าหมายในการป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของชาติ

ทำไมวันนี้ปัญหาด้าน Cybersecurity จึงยังแก้ไม่ตกกันเสียที

รูปที่ 2 : at Eisenhower Executive Office Building (EEOB), The White House, Washington D.C., 2013

ณ เวลานั้น Mr. Michael ได้แชร์กับผมในหลากหลายประเด็นปัญหาด้าน Cybersecurity เขาเล่าให้ฟังเกี่ยวกับที่มาที่ไปของการพัฒนา NIST Cybersecurity Framework version 1.0 ว่า สหรัฐอเมริกาได้ริเริ่มโครงการเกี่ยวกับ Cybersecurity ในปี ค.ศ.2008 จากการจัดตั้งโครงการ “Comprehensive National Cybersecurity Initiative (CNCI)” : http://www.whitehouse.gov/issues/foreign-policy/cybersecurity/national-initiative  โดยประธานาธิบดี จอร์ช ดับเบิ้ลยู บุช ซึ่งมีที่ปรึกษาเป็นมือขวารับผิดชอบงานทั้งหมดโดย Mrs .Melissa Hathaway

เริ่มจากการที่ประธานาธิบดี บุช ได้ทำการออกประกาศ “Cyberspace Policy Review” http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf เป็นเอกสารเผยแพร่ในปี พ.ศ. 2552 กำหนดให้เรื่อง Cybersecurity เป็น KPI ของประธานาธิบดีเลยทีเดียว ด้านนโยบายได้เน้นเรื่องที่สำคัญๆหลายเรื่อง ได้แก่ การสร้างความตระหนักรู้ให้กับประชาชนเรื่องภุยคุมคามทางอินเทอร์เน็ต , การเตรียมพร้อมในกรณีฉุกเฉิน , ความร่วมมือระหว่างภาครัฐและเอกชนให้การป้องกันโครงสร้างพื้นฐานในรูปแบบ PPP Model , ประธานาธิบดีโอบามาได้กำหนดให้ทุกเดือนตุลาคมเป็น “National Cybersecurity Awareness Month” โดยประธานาธิบดีโอบามาเป็นผู้มาโปรโมตสร้างกระแสเรื่องภัยไซเบอร์ด้วยตัวท่านเองในทุกๆปี Mr. Michael ยังได้แชร์ประสบการณ์กับผม ในส่วนของการบังคับใช้กฎหมายว่า รัฐบาลไม่สามารถที่จะออกกฎหมายบังคับด้าน Cybersecurity โดยตรงได้ เพราะโครงสร้างพื้นฐานที่สำคัญในสหรัฐนั้นเอกชนเป็นผู้รับผิดชอบกว่า 80 เปอร์เซ็นต์ ดังนั้น ประธานาธิบดี โอบามา จึงได้มีการออกเอกสารฉบับหนึ่งที่เรียกว่า

“Cybersecurity Executive Order 13686 -- Improving Critical Infrastructure Cybersecurity” (http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf)  เมื่อวันที่ 15 กุมภาพันธ์ พ.ศ. 2556 ซึ่งเป็นการกำหนดนโยบายเกี่ยวกับความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ  (Critical Infrastructure) มีการกำหนดนโยบายในการแชร์ข้อมูล (Information Sharing) ระหว่างหน่วยงานของรัฐและเอกชน

“Cybersecurity Executive Order 13686 -- Improving Critical Infrastructure Cybersecurity”  มีผล 120 วัน หลังจากการประกาศ Executive Order โดยให้ Department of Homeland Security (DHS) และ NIST ภายใต้ Department of Commerce เป็นผู้รับผิดชอบในการพัฒนา Baseline Framework ในการลดความเสี่ยงให้กับประเทศในภาพรวม ช่วงที่ผมอยู่ในสหรัฐเดือนตุลาคม ทาง NIST ได้ประกาศ “Preliminary Cybersecurity Framework” (http://www.nist.gov/itl/upload/preliminary-cybersecurity-framework.pdf)  เมื่อวันที่ 29 ตุลาคม พ.ศ. 2556 โดยให้เวลารับฟัง Public Comment 45 วัน ในส่วนหลักของ NIST Cybersecurity Framework ประกอบด้วย 5 ขั้นตอน ได้แก่ Identity, Protect,  Detect, Response และ Recover. มีการทำ Gap Analysis รวมทั้ง มีการนำ ISA99.02.01, COBIT, ISO/IEC 27001, NIST SP800-53, SP800-39 มาใช้ในการอ้างอิง

เมื่อผมกลับมาประเทศไทยก็ได้เขียนบทความเกี่ยวกับ NIST Cybersecurity Framework : “บทวิเคราะห์กรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก NIST’s Framework for Improving Critical Infrastructure Cybersecurity ... โอกาส ภัยคุกคาม และความเสี่ยงที่ผู้บริหารองค์กรต้องตระหนัก”เมื่อเดือนมีนาคม พ.ศ.2557 (see this link : https://www.acisonline.net/?p=4036)

Mr.Michael Danial ปัจจุบันดำรงตำแหน่งประธาน The Cyber Threat Alliance (CTA) ได้ให้แนวคิดในการแก้ปัญหาด้าน Cybersecurity ไว้ในบทความของเขาไว้อย่างน่าสนใจ กล่าวคือ เขาเชื่อว่า “ปัญหาด้าน Cybersecurity นั้น ไม่ใช่ปัญหาทางด้านเทคนิคเพียงอย่างเดียว” เนื่องจากเมื่อเราแก้ปัญหาทางด้านเทคนิคได้แล้ว ปัญหาก็ยังไม่จบอยู่ดี ยกตัวอย่าง ปัญหาช่องโหว่และมัลแวร์ที่เกิดขึ้นมาโดยตลอดกว่ายี่สิบปีที่ผ่านมา จึงสรุปสาเหตุของปัญหาได้สามประการ ดังนี้

1. ปัญหาด้าน Cybersecurity ไม่ใช่ปัญหาด้านเทคนิคเพียงอย่างเดียว

2. การบริหารจัดการกับ “Cyberspace” ไม่เหมือนกับการบริหารใน "Physical World" ที่เราควบคุมขอบเขตของปัญหา ได้ แต่ "Cyberspace" เป็นอะไรที่ไม่มีขอบเขตชัดเจนและควบคุมได้ยาก

3. กฎหมายและนโยบายเกี่ยวกับเรื่อง Cybersecurity ยังพัฒนาได้ไม่ทันกับปัญหาที่กำลังเกิดขึ้นอยู่ในเวลานี้ในหลายประเทศ

ดังนั้นปัญหา "Cyber Attack" จึงไม่ใช่ปัญหาของคนใดคนหนึ่ง แต่ทั้งรัฐบาลและเอกชนจะต้องร่วมมือกันในการแก้ปัญหา เปรียบเสมือนการแก้ปัญหาภัยธรรมชาติในระดับชาติ เช่น แผ่นดินไหว หรือน้ำท่วม รัฐบาล ละภาคเอกชนจำเป็นต้องมีกรอบนโยบายในการทำงานร่วมกัน เพื่อรับมือภัยไซเบอร์ที่ทวีความรุนแรงมากขึ้น และยังไม่รวมปัญหาเรื่อง "Digital Privacy" ซึ่งปัจจุบันเราแทบจะไม่มีความเป็นส่วนตัวในโลกไซเบอร์ อีกต่อไป จึงจำเป็นต้องเข้าใจ "สภาวะไซเบอร์" ในหลายๆบริบท ซึ่งทาง ITU ได้สนับสนุนเงินทุนในงานวิจัยของ Oxford Martin School, University of Oxford โดยการพัฒนา "National Cybersecurity Capacity Maturity Model " ขึ้นในปี พ.ศ.2557 ซึ่งเป็นเวลาเดียวกันกับทาง NIST ได้ประกาศใช้ NIST Cybersecurity Framework version 1.0 และได้ถูกนำมาใช้ใน 11 ประเทศทั่วโลก ในการประเมินศักยภาพของแต่ละประเทศในความสามารถในการรับมือภัยไซเบอร์ (ดูรูปที่ 3)  พบว่าทาง Global Cyber Security Capacity Centre ได้มอง "Cybersecurity Capacity" ออกเป็น 5 มิติ (Dimensions) ดังนี้

1. Cybersecurity Policy and Strategy

2. Cyber Culture and Society

3. Cybersecurity Education, Training and Skills

4. Legal and Regulatory Frameworks

~5. Standards, Organizations, and Technologies

 

ทำไมวันนี้ปัญหาด้าน Cybersecurity จึงยังแก้ไม่ตกกันเสียที

รูปที่ 3 : Oxford Martin School, University of Oxford, "National Cybersecurity Capacity Maturity Model"

เราจะเห็นว่า การแก้ปัญหา"Cyber Attack" ไม่ใช่การแก้ปัญหาทางด้านเทคนิคเพียงอย่างเดียว หากแต่การแก้ปัญหาทางด้านเทคนิคก็เป็นเรื่องสำคัญที่เราจะมองข้ามไม่ได้ ยังมีมุมมองอีกหลายด้านดังที่กล่าวมาแล้ว ไม่ว่าจะเป็นเรื่อง นโยบาย, กลยุทธ์, กฎหมาย,เศรษฐกิจและสังคม, การศึกษาเพื่อการฝึกอบรมบุคลากรในระดับองค์กรและการฝึกอบรมประชาชนคนไทยในระดับชาติ และที่สำคัญจำเป็นต้องมี Cybersecurity Framework หรือกรอบนโยบายในการบริหารจัดการในด้านความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ

องค์กรในประเทศไทยควรนำ NIST Cybersecurity Framework มาศึกษาและประยุกต์ใช้เพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่จะเกิดขึ้นในอนาคต เพราะปัญหา Cyber Attack ไม่ใช่คำถาม "IF" แต่เป็นคำถาม " When" ซึ่งหมายถึง  “Critical Infrastructure Cyber Attack” ต้องเกิดขึ้นอย่างแน่นอน ดังนั้นเราจึงควรเตรียมพร้อมอยู่เสมอ ทั้งในระดับประชาชน ระดับองค์กร และ ในระดับชาติ