โดย นายเอกภาวิน สุขอนันต์ ผู้จัดการประจำวีเอ็มแวร์ ประเทศไทย

เป็นที่รู้กันว่าช่องโหว่ที่เพิ่มขึ้นนำมาซึ่งค่าใช้จ่ายขององค์กรที่เพิ่มขึ้นขณะที่เศรษฐกิจในส่วนดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังคงเติบโตอย่างต่อเนื่อง จำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน จากผลการศึกษาของ Ponemon Institute เผยว่า ผลกระทบทางการเงินในภูมิภาคนี้สูงถึง 2.62 ล้านเหรียญสหรัฐฯในปี 2562 ซึ่งเพิ่มขึ้นจาก 2.53 ล้านเหรียญสหรัฐฯในปี 2561[1].

ภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นกำลังเป็นอุปสรรคสำคัญต่อการก้าวสู่ 'ดิจิทัลทรานส์ฟอร์เมชัน' ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เนื่องจากเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์ จากรายงานของ Deloitte Cyber Smart: รายงานศักยภาพธุรกิจในเอเชียแปซิฟิก[2]ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลทำให้สูญเสีย GDP ในภูมิภาคเอเชียแปซิฟิกถึง145 พันล้านเหรียญสหรัฐฯในทศวรรษหน้า

แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดีนั้นมีทั้งทรัพยากรและเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้น แนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษาความปลอดภัยทางไซเบอร์ในวันนี้ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคาม ดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอปพลิเคชัน ผู้ใช้งานและการดำเนินงาน(operation)

องค์กรจำเป็นต้องแก้ความเข้าใจผิดด้านความปลอดภัยที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์หลักทางธุรกิจ และนี่คือ7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้

ความเข้าใจผิด ข้อที่ 1 –คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ

แนวทางการรักษาความปลอดภัยแบบเดิมส่วนใหญ่เป็นการแก้ปัญหาหลังเกิดเหตุ ที่เน้นกระบวนการและเทคนิคเพื่อทำความเข้าใจผู้โจมตีโดยเป็นการป้องกันการโจมตีแบบทั่วไป และลดความเสียหายหลังเกิดเหตุแต่การที่รอให้มีปัญหาแล้วแก้ไขนั้นเป็นวิธีการที่ล้าสมัยแล้ว

แทนที่จะพยายามเข้าใจเจตนาของผู้โจมตี องค์กรควรตรวจสอบสภาพแวดล้อมทั้งหมดในเชิงรุกโดยระบุแอปและข้อมูลที่ต้องการการปกป้องมากที่สุด รวมถึงทำความเข้าใจกับเวิร์คโหลดเหล่านั้นและมุ่งเน้นไปที่การทำงานของแอปพลิเคชัน จากนั้นให้ค่าพารามิเตอร์ที่เฉพาะเจาะจงแก่เวิร์คโหลดเหล่านั้นโดยการมอนิเตอร์และให้ความสำคัญกับพฤติกรรมของ Good Application มากกว่า Bad Application

ความเข้าใจผิด ข้อที่ 2 –ความปลอดภัยเป็นหน้าที่หลักของฝ่ายไอทีที่ดูแลระบบซีเคียวริตี้เท่านั้น

เมื่อข้อมูล ระบบ และแอปพลิเคชันมีความเกี่ยวข้องกับทุกส่วนของธุรกิจ การรักษาความปลอดภัยควรเป็นเรื่องหลักขององค์กรที่ทุกฝ่ายต้องให้ความสำคัญ นำโดยฟังก์ชันที่ครอบคลุมโครงสร้างพื้นฐาน สถาปัตยกรรม เครือข่าย แอปพลิเคชัน ความปลอดภัยและสายงานธุรกิจต่างๆ

องค์กรชั้นนำกำลังใช้ประโยชน์จากโมเดล DevSecOps เพื่อส่งเสริมการทำงานร่วมกันระหว่างการพัฒนา การดำเนินงาน และฝ่ายรักษาความปลอดภัยในการเปิดตัวแอปพลิเคชันต่างๆ ผลสำรวจล่าสุดจาก Forbes Insights ชี้ให้เห็นถึงความสำคัญของการทำงานร่วมกันในทุกๆไอทีฟังก์ชันและไม่น่าแปลกใจที่ผู้ให้ความสำคัญด้านความปลอดภัยทางไซเบอร์จะมีความได้เปรียบเมื่อพูดถึงระดับการทำงานร่วมกันในองค์กร (ดูภาพประกอบที่ 1)

ภาพที่ 1: ความร่วมมือขององค์กรในการจัดการปัญหาด้านความปลอดภัย[3]

เมื่อความปลอดภัยทางไซเบอร์กลายเป็นเรื่องสำคัญขององค์กร ฝ่ายรักษาความปลอดภัยสามารถให้ความสำคัญกับงานที่จำเป็น เช่นการทดสอบนวัตกรรมด้านความปลอดภัยใหม่ๆ หรือการทำงานร่วมกับฝ่ายกฎหมายเพื่อปฏิบัติตามกฎหมาย และข้อบังคับที่เปลี่ยนแปลงตลอดเวลา

ความเข้าใจผิด ข้อที่ 3 –การตัดสินใจและปกป้องสินทรัพย์ดิจิทัล (Digital Assets) เป็นหน้าที่ฝ่ายไอทีที่ดูแลระบบความปลอดภัยเท่านั้น

ฝ่ายไอทีที่ดูแลระบบรักษาความปลอดภัยนั้นแม้จะมีความเชี่ยวชาญด้านเทคนิค แต่ยังต้องการความช่วยเหลือในการทำความเข้าใจว่าสินทรัพย์ดิจิทัลชนิดใดมีความสำคัญต่อธุรกิจ มิเช่นนั้นพวกเขาจะพยายามปกป้องสินทรัพย์ทุกอย่างเท่าๆกัน ส่งผลให้ค่าใช้จ่ายเพิ่มสูงขึ้น และใช้เวลาในการทำงานเกินความจำเป็น

ด้วยการใช้นโยบาย Zero Trust  ฝ่ายรักษาความปลอดภัยควรดำเนินงานบนหลักการของการไม่ไว้วางใจ และตรวจสอบทุกสิ่งที่พยายามเข้าถึงระบบทั้งภายในและภายนอก ในสภาพแวดล้อมการกระจายของแอป(Distributed apps) ผู้ใช้งานอุปกรณ์และเครือข่ายทำให้นโยบาย Zero Trust ทั่วทั้งองค์กรที่เกี่ยวกับการทำงานของแอปพลิเคชัน อุปกรณ์และการเข้าถึง เป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง

ความเข้าใจผิด ข้อที่ 4–การป้องกันโครงสร้างพื้นฐานเป็นหนทางช่วยให้องค์กรสามารถรักษาความปลอดภัยได้ดีที่สุด 

แนวทางปัจจุบันมักจะปกป้องข้อมูลและแอปโดยมุ่งเน้นไปที่การปกป้องโครงสร้างพื้นฐานด้านไอที อย่างไรก็ตามเทคโนโลยีต่างๆ ไม่ว่าจะเป็นคลาวด์ แอปพลิเคชันที่ทันสมัยและสถาปัตยกรรมไมโครเซอร์วิส – ส่วนประกอบแอปสามารถกระจัดกระจายไปได้ในหลาย ๆ ระบบปฎิบัติการ ด้วยการมุ่งเน้นการปกป้องโครงสร้างพื้นฐานมากกว่าแอปหรือข้อมูล ซีไอโอจึงทำงานด้วยโมเดลที่ไม่เชื่อมต่อและอาจเกิดข้อผิดพลาดได้ง่าย ดังนั้นถึงเวลาแล้วที่ซีไอโอต้องใช้โมเดลความปลอดภัยที่ให้ความสำคัญกับแอปพลิเคชัน

ความเข้าใจผิด ข้อที่ 5 - งบประมาณในการรักษาความปลอดภัยมักไม่ได้รับการอนุมัติจากคณะกรรมการบริษัท

คณะกรรมการบริษัทจะเห็นด้วยต่อการลงทุนด้านความปลอดภัย เมื่อซีไอโอทำแผนและวางกรอบให้ชัดเจน เช่น การบริหารจัดการความเสี่ยงที่ส่งผลกระทบโดยตรงต่อธุรกิจ มากกว่าการลงทุนเทคโนโลยีที่ไม่จำเป็น คณะกรรมการบริษัทจะเคยชินกับการจัดการความเสี่ยงมากมาย ไม่ว่าจะเป็นความเสี่ยงที่เกี่ยวกับพนักงาน ด้านการเงิน หรือการตลาด การเพิ่มความปลอดภัยทางไซเบอร์จึงเป็นสิ่งที่สมเหตุสมผลที่คณะกรรมการจะพิจารณา

เพราะความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญขององค์กร จึงมีความจำเป็นที่ต้องอธิบายให้คณะกรรมการเข้าใจถึงความจำเป็นขององค์กรที่ต้องลงทุนเกี่ยวกับระบบรักษาความปลอดภัย รายงานล่าสุดของวีเอ็มแวร์เปิดเผยว่าหากองค์กรต่างๆปรับใช้เทคโนโลยีใหม่ๆสำหรับการรักษาความปลอดภัย จะมีโอกาสที่ GDP เติบโตถึง 145 พันล้านเหรียญสหรัฐฯ ในภูมิภาคเอเชียแปซิฟิกอีก 10 ปีข้างหน้า

ความเข้าใจผิด ข้อที่ 6 –“User” คือ จุดอ่อนของระบบรักษาความปลอดภัย

แม้ว่าพนักงานในองค์กรหรือ user จะมีการอบรมเกี่ยวกับการรักษาความปลอดภัยบ่อยครั้ง แต่ผู้โจมตีในปัจจุบันยังมีความสามารถที่องค์กรคาดไม่ถึง มีการพบว่าuserสามารถโดนโจมตีจากการวางเมาส์ไว้บน Elements ต่างๆ(แม้ไม่ได้คลิ๊กลิงค์) ผู้โจมตีสามารถเข้าถึงเมล์เซิร์ฟเวอร์และส่ง attachment จากบุคคลที่user รู้จักและเป็นบุคคลที่น่าเชื่อถือมาตอบอีเมล์ใน Inbox ของuser

ถึงแม้ว่าภัยคุกคามจะมีการพัฒนาอย่างต่อเนื่อง องค์กรจำนวนมากยังคงให้สิทธิ์การเข้าถึงแอปและข้อมูลมากเกินไปและไม่มีมาตรการป้องกันในการตรวจสอบการเข้าถึงของผู้ดูแลระบบ ในสถานการณ์เช่นนี้การรับรองความถูกต้องและการจัดการข้อมูลประจำตัว(identity)เป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญและข้อมูลประจำตัวควรได้รับการตรวจสอบหลายขั้นตอนรวมถึงการให้น้ำหนักของการรับรองความถูกต้องที่เท่าๆกันกับความเสี่ยงของการเข้าถึงหรือฟังก์ชันของแต่ละแอปพลิเคชัน 

ความเข้าใจผิด ข้อที่ 7 - การรักษาความปลอดภัยเป็นอุปสรรคต่อความคล่องตัวทางธุรกิจ

ในขณะที่ธุรกิจส่วนใหญ่หันไปให้ความสำคัญกับวิธีการพัฒนาซอฟต์แวร์ แต่การตรวจสอบความปลอดภัยของแอปนั้นไม่ได้เร็วขึ้น

องค์กรมีโอกาสในการสร้างนวัตกรรมเสมอ ด้วยการเข้าถึงเครื่องมือ automation ฝ่าย DevOps สามารถส่งการอัพเดตแอปไปยังฝ่ายรักษาความปลอดภัยแบบเรียลไทม์ ฝ่ายรักษาความปลอดภัยสามารถทำการตรวจสอบแอปได้ทันทีทำให้องค์กรมีความคล่องตัวมากขึ้นพร้อมความปลอดภัยที่แข็งแกร่ง เนื่องจากการรักษาความปลอดภัยทำได้ง่ายขึ้นเร็วขึ้นและมีประสิทธิภาพมากขึ้นเมื่อทำงานจากแอปพลิเคชันและข้อมูล ซึ่งตรงข้ามกับการทำงานผ่านอินฟราสตรัคเจอร์ อย่างไรก็ตามยังคงต้องอาศัยการเปลี่ยนแปลงทางความคิดขององค์กรเพื่อให้เกิดการเปลี่ยนแปลงนี้

แม้ว่าการหักล้างความเชื่อเหล่านี้จะเป็นก้าวแรกที่ดีสำหรับองค์กร แต่ก็ยังเป็นเพียงก้าวแรกเท่านั้น การเดินทางของการรักษาความปลอดภัยยังคงเป็นการเดินทางที่ไม่มีวันสิ้นสุดและต้องการการดูแลและความรับผิดชอบในระยะยาว

การรักษาความปลอดภัยผ่านการใช้งานแอปพลิเคชันเป็นแนวทางใหม่ที่ครอบคลุมและเป็นที่น่าจับตามองการรักษาความปลอดภัยที่แท้จริงไม่ได้หมายความว่าองค์กรต้องหยุดการลงทุนในโซลูชันซีเคียวริตี้เอ็นพอยท์ หรือโซลูชันอื่นๆ แต่เป็นขั้นตอนที่ขาดไม้ได้ที่ช่วยทำให้องค์กรมีความแข็งแกร่งด้านความปลอดภัยมากยิ่งขึ้น