ข้อมูลรั่วซ้ำซาก "อุปนายก TISA" ชี้ มีแต่นโยบาย ไร้งบฯ ไร้บุคลากร
ข้อมูลคนไทยรั่วซ้ำซาก "อุปนายก TISA" ชี้เป็นเรื่องดีที่มีนโยบาย cyber security แต่ทำได้จริงหรือไม่ เมื่อไร้งบประมาณ ไม่มีตำแหน่งงาน cyber security ในองค์กร
จากกรณีแฮกเกอร์ ได้ประกาศขายข้อมูลคนไทย 2.2 ล้านรายชื่อ ผ่านเว็บไซต์ Breachforums.cx ต่อมานพ.ชลน่าน ศรีแก้ว รัฐมนตรีว่าการกระทรวงสาธารณสุข ได้ยืนยันว่า ไม่ใช่ข้อมูลจากสธ. เพราะมีระบบป้องกัน และมีเจ้าหน้าที่ไว้ตรวจสอบตลอด เพราะระบบของสธ.ที่วางไว้ เรื่อง cyber security เป็นอันดับหนึ่ง
ฐานเศรษฐกิจ สัมภาษณ์พิเศษ อ.ฝน นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ให้ความเห็นต่อกรณีข้อมูลคนไทยรั่วซ้ำซาก ว่า การที่ รมต.สาธารณสุข กล่าวถึงการให้ความสำคัญต่อ cyber security เป็นอันดับหนึ่งนั้นถือเป็นการดี แต่ต้องดูว่า เป็นเช่นนั้นจริงหรือไม่ ยังมีช่องโหว่อะไรที่ทำให้ แฮกเกอร์ สามารถเจาะข้อมูลเข้ามาได้อยู่หรือเปล่า
แม้ปัจจุบันประเทศไทยจะประกาศว่าให้ความสำคัญกับความปลอดภัยไซเบอร์ (cyber security) แต่หากพิจารณาดูจะเห็นว่าหน่วยงานของรัฐยังไม่มีตำแหน่งงาน cyber security ในองค์กรต่างๆเลย ในขณะที่ทุกหน่วยงานมีตำแหน่งนิติกร เจ้าหน้าที่บัญชี วิศวกร เป็นต้น เพื่อดูแลงานเฉพาะด้าน แต่กลับไม่มีอัตราตำแหน่งงาน และคุณสมบัติ ของบุคลากรด้านความปลอดภัยไซเบอร์ในแต่ละองค์กร
ตำแหน่งความปลอดภัยด้านไซเบอร์นี้ ควรต้องมีตั้งแต่ ระดับบริหาร หรือ Chief Information Security Officer (CISO) ไปจนถึงระดับผู้จัดการ ระดับปฏิบัติการ ที่สามารถตรวจสอบระบบ ตรวจพบช่องโหว่ต่างๆได้ และหากไม่สามารถหาบุคลากรมาบรรจุตามอัตราที่เปิดรับได้ ก็ต้องใช้ outsource
ในทางเทคนิคต้องเข้าใจว่าเรื่องความปลอดภัยไม่มี 100% และ คำว่าปลอดภัย 100% ของเมื่อวานก็ไม่ได้หมายความถึงจะเป็นความปลอดภัย 100% ของ วันนี้เพราะแม้จะมีการออกแบบระบบมาเป็นอย่างดียอดเยี่ยมแล้ว แต่การพัฒนาจากฝั่งแฮกเกอร์ก็มีอยู่ตลอดเวลาเช่นกัน เพราะฉะนั้นการพัฒนาระบบรักษาความปลอดภัยไซเบอร์เป็นสิ่งที่ต้องทำอย่างต่อเนื่องตลอดเวลา ไม่มีคำว่าสมบูรณ์ 100% แล้ว
อีกปัญหาหนึ่งของการสร้างความปลอดภัยไซเบอร์ คือ กฎหมายและงบประมาณ เพราะแม้จะมีกฎหมาย หรือมีคำสั่งกำหนดให้หน่วยงานองค์กรยกระดับด้านความมั่นคงปลอดภัยไซเบอร์ แต่การจะดำเนินการให้ประสบผลสำเร็จจำเป็นต้องใช้งบประมาณ เช่นการวางระบบ เพื่อตรวจสอบ วิเคราะห์ เฝ้าระวัง เป็นต้น ดังนั้นหากมีเพียงคำสั่ง แต่ขาดงบประมาณก็ทำให้ไม่สามารถปฏิบัติได้จริง แม้ฝ่ายปฏิบัติจะอยากทำตามคำสั่งก็ตาม
สิ่งที่น่าเป็นห่วงในการสร้างความมั่นคงปลอดภัยไซเบอร์ คือการดำเนินการที่คิดมาไม่ครบถ้วนรอบด้าน เพราะมีกฎหมาย ที่สั่งการให้ฝ่ายปฏิบัติต้องทำ แต่ไม่มีงบประมาณตามลงไปด้วย ซึ่งหากฝ่ายปฏิบัติทำไม่ได้ก็อาจผิดกฎหมายที่ไม่ทำตามคำสั่ง มีทั้งโทษปรับ โทษอาญา โทษทางปกครอง ในขณะที่ผู้รับคำสั่งก็ขาดทั้งบุคลากร งบประมาณ และศักยภาพ ฉะนั้นถึงฝ่ายปฏิบัติอยากจะทำก็ทำไม่ได้ ทำไม่เป็น
การขับเคลื่อนประเทศให้มีความมั่นคงปลอดภัยทางไซเบอร์ จึงจำเป็นต้องยกระดับ อย่างมียุทธศาสตร์ มีกลยุทธ์ เพราะต้องยกระดับไปพร้อมๆกันทุกหน่วยงานองค์กร และบุคลากรในทุกระดับด้วย เนื่องจากระบบงานไอทีจะสมบูรณ์ได้ ต้องขับเคลื่อนด้วยบุคลากร(people) ,กระบวนการ (process) และ เทคโนโลยี (technology) ซึ่งขาดอย่างใดอย่างหนึ่งไปไม่ได้
นอกจากนี้ การทำให้ประชาชนทั้งประเทศ มีความปลอดภัยจากภัยไซเบอร์ ไม่สามารถเป็นหน้าที่ขององค์กร หน่วยงานใดหน่วยงานหนึ่งได้ หรือเป็นหน้าที่ของฝ่ายใดฝ่ายหนึ่ง แผนกใดแผนกหนึ่งก็ไม่ได้
ทีม security มีหน้าที่แนะนำ ดูแลในด้านความปลอดภัย แต่บุคลากรทุกคนขององค์กรจะต้องช่วยกัน และมีองค์ความรู้ด้านนี้ ไม่ใช่ว่าจะคลิกอะไรก็ได้ เข้าเว็บไซต์อะไรก็ได้ ถ้าเป็นเช่นนั้นจะ กลายเป็นจุดอ่อนทันที ซึ่งแฮกเกอร์หรือผู้ไม่หวังดีก็จะโจมตีไปที่จุดอ่อนขององค์กรนั้นๆ นอกจากนี้ระดับวางนโยบายต้องมีวิสัยทัศน์ และมีวิธีปฏิบัติที่สอดคล้องกับวิสัยทัศน์เหล่านั้นด้วยทางด้านงบประมาณ อัตราบุคลากร เป็นต้น
ปัจจุบัน มีการพูดถึงCyber Resilience (หรือ Cyber Resiliency) คือ ความสามารถในการเตรียมตัว และตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาดำเนินการได้ตามปกติ เพราะการป้องกันไม่ให้เกิดการจู่โจมทางไซเบอร์ทำได้ค่อนข้างยาก และการป้องกันแทบจะเป็นไปไม่ได้ ดังนั้นคำถามสำคัญคือคุณพร้อมไหมหากเกิดเหตุการณ์เหล่านี้ขึ้นกับคุณ จึงมีความจำเป็นต้องยกระดับการรับมือ (Cyber Resilience) ให้มีความพร้อมด้วย ต้องตรวจจับได้เร็ว ตัดสินใจได้เร็ว ตอบสนองได้เร็ว สื่อสารได้เร็ว อย่างมีประสิทธิภาพ