7“ความเข้าใจผิด”ความปลอดภัยไซเบอร์ซีไอโอควรรู้

11 พ.ค. 2563 | 07:33 น.
อัปเดตล่าสุด :14 พ.ค. 2563 | 07:21 น.

เป็นที่รู้กันว่าช่องโหว่ที่เพิ่มขึ้นนำมาซึ่งค่าใช้จ่ายขององค์กรที่เพิ่มขึ้น ขณะที่เศรษฐกิจในส่วนดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังคงเติบโตอย่างต่อเนื่อง จำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน จากผลการศึกษาของ Ponemon Institute เผยว่า ผลกระทบทางการเงินในภูมิภาคนี้สูงถึง 2.62 ล้านดอลลาร์สหรัฐฯ ในปี 2562 ซึ่งเพิ่มขึ้นจาก 2.53 ล้านดอลลาร์สหรัฐฯในปี 2561

 

นายเอกภาวิน สุขอนันต์ ผู้จัดการประจำวีเอ็มแวร์ ประเทศไทย  กล่าวว่าภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นกำลังเป็นอุปสรรคสำคัญต่อการก้าวสู่ 'ดิจิทัลทรานส์ฟอร์เมชัน' ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เนื่องจากเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์ จากรายงานของ Deloitte Cyber Smart: รายงานศักยภาพธุรกิจในเอเชีย-แปซิฟิก   ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลทำให้สูญเสีย GDP ในภูมิภาคเอเชีย-แปซิฟิกถึง 145 พันล้านดอลลาร์สหรัฐฯในทศวรรษหน้า

 

แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดีนั้นมีทั้งทรัพยากร และเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้น แนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษาความปลอดภัยทางไซเบอร์ในวันนี้ ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคาม ดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอพพลิเคชัน ผู้ใช้งาน และการดำเนินงาน (operation)

 

7“ความเข้าใจผิด”ความปลอดภัยไซเบอร์ซีไอโอควรรู้

องค์กรจำเป็นต้องแก้ความเข้าใจผิดด้านความปลอดภัยที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์หลักทางธุรกิจ และนี่คือ 7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้

 

7“ความเข้าใจผิด”ความปลอดภัยไซเบอร์ซีไอโอควรรู้

 

ความเข้าใจผิด ข้อที่ 1 – คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ

แนวทางการรักษาความปลอดภัยแบบเดิมส่วนใหญ่เป็นการแก้ปัญหาหลังเกิดเหตุ ที่เน้นกระบวนการและเทคนิคเพื่อทำความเข้าใจผู้โจมตีโดยเป็นการป้องกันการโจมตีแบบทั่วไป และลดความเสียหายหลังเกิดเหตุแต่การที่รอให้มีปัญหาแล้วแก้ไขนั้นเป็นวิธีการที่ล้าสมัยแล้ว แทนที่จะพยายามเข้าใจเจตนาของผู้โจมตี องค์กรควรตรวจสอบสภาพแวดล้อมทั้งหมดในเชิงรุกโดยระบุแอพและข้อมูลที่ต้องการการปกป้องมากที่สุด รวมถึงทำความเข้าใจกับเวิร์คโหลดเหล่านั้น และมุ่งเน้นไปที่การทำงานของแอพพลิเคชัน จากนั้นให้ค่าพารามิเตอร์ที่เฉพาะเจาะจงแก่เวิร์คโหลดเหล่านั้นโดยการมอนิเตอร์และให้ความสำคัญกับพฤติกรรมของ Good Application มากกว่า Bad Application

 

ความเข้าใจผิด ข้อที่ 2 – ความปลอดภัยเป็นหน้าที่หลักของฝ่ายไอทีที่ดูแลระบบซีเคียวริตี้เท่านั้น

เมื่อข้อมูล ระบบ และแอพพลิเคชันมีความเกี่ยวข้องกับทุกส่วนของธุรกิจ การรักษาความปลอดภัยควรเป็นเรื่องหลักขององค์กรที่ทุกฝ่ายต้องให้ความสำคัญ นำโดยฟังก์ชันที่ครอบคลุมโครงสร้างพื้นฐาน สถาปัตยกรรม เครือข่าย แอพพลิเคชัน ความปลอดภัย และสายงานธุรกิจต่างๆ

 

องค์กรชั้นนำกำลังใช้ประโยชน์จากโมเดล DevSecOps เพื่อส่งเสริมการทำงานร่วมกันระหว่างการพัฒนา การดำเนินงาน และฝ่ายรักษาความปลอดภัยในการเปิดตัวแอพพลิเคชันต่างๆ ผลสำรวจล่าสุดจาก Forbes Insights ชี้ให้เห็นถึงความสำคัญของการทำงานร่วมกันในทุกๆไอทีฟังก์ชัน และไม่น่าแปลกใจที่ผู้ให้ความสำคัญด้านความปลอดภัยทางไซเบอร์จะมีความได้เปรียบเมื่อพูดถึงระดับการทำงานร่วมกันในองค์กร 

 

เมื่อความปลอดภัยทางไซเบอร์กลายเป็นเรื่องสำคัญขององค์กร ฝ่ายรักษาความปลอดภัยสามารถให้ความสำคัญกับงานที่จำเป็น เช่น การทดสอบนวัตกรรมด้านความปลอดภัยใหม่ๆ หรือการทำงานร่วมกับฝ่ายกฎหมายเพื่อปฏิบัติตามกฎหมาย และข้อบังคับที่เปลี่ยนแปลงตลอดเวลา

 

ความเข้าใจผิด ข้อที่ 3 – การตัดสินใจและปกป้องสินทรัพย์ดิจิทัล เป็นหน้าที่ฝ่ายไอทีที่ดูแลระบบความปลอดภัยเท่านั้น 

ฝ่ายไอทีที่ดูแลระบบรักษาความปลอดภัยนั้นแม้จะมีความเชี่ยวชาญด้านเทคนิค แต่ยังต้องการความช่วยเหลือในการทำความเข้าใจว่าสินทรัพย์ดิจิทัลชนิดใดมีความสำคัญต่อธุรกิจ มิเช่นนั้นพวกเขาจะพยายามปกป้องสินทรัพย์ทุกอย่างเท่า ๆ กัน ส่งผลให้ค่าใช้จ่ายเพิ่มสูงขึ้น และใช้เวลาในการทำงานเกินความจำเป็น

 

ด้วยการใช้นโยบาย Zero Trust  ฝ่ายรักษาความปลอดภัยควรดำเนินงานบนหลักการของการไม่ไว้วางใจ และตรวจสอบทุกสิ่งที่พยายามเข้าถึงระบบทั้งภายในและภายนอก ในสภาพแวดล้อมการกระจายของแอพ (Distributed apps) ผู้ใช้งาน อุปกรณ์ และเครือข่าย ทำให้นโยบาย Zero Trust ทั่วทั้งองค์กรที่เกี่ยวกับการทำงานของแอพพลิเคชัน อุปกรณ์ และการเข้าถึง เป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง

 

ความเข้าใจผิด ข้อที่ 4 –การป้องกันโครงสร้างพื้นฐานเป็นหนทางให้องค์กรสามารถรักษาความปลอดภัยดีที่สุด 

แนวทางปัจจุบันมักจะปกป้องข้อมูลและแอพโดยมุ่งเน้นไปที่การปกป้องโครงสร้างพื้นฐานด้านไอที อย่างไรก็ตามเทคโนโลยีต่างๆ ไม่ว่าจะเป็นคลาวด์ แอพพลิเคชันที่ทันสมัย และสถาปัตยกรรมไมโครเซอร์วิส – ส่วนประกอบแอพ สามารถกระจัดกระจายไปได้ในหลาย ๆ ระบบปฎิบัติการ ด้วยการมุ่งเน้นการปกป้องโครงสร้างพื้นฐานมากกว่าแอพหรือข้อมูล ซีไอโอจึงทำงานด้วยโมเดลที่ไม่เชื่อมต่อและอาจเกิดข้อผิดพลาดได้ง่าย ดังนั้นถึงเวลาแล้วที่ซีไอโอต้องใช้โมเดลความปลอดภัยที่ให้ความสำคัญกับแอพพลิเคชัน

 

ความเข้าใจผิด ข้อที่ 5 - งบประมาณในการรักษาความปลอดภัยมักไม่ได้รับการอนุมัติจากคณะกรรมการบริษัท

คณะกรรมการบริษัทจะเห็นด้วยต่อการลงทุนด้านความปลอดภัย เมื่อซีไอโอทำแผนและวางกรอบให้ชัดเจน เช่น การบริหารจัดการความเสี่ยงที่ส่งผลกระทบโดยตรงต่อธุรกิจ มากกว่าการลงทุนเทคโนโลยีที่ไม่จำเป็น คณะกรรมการบริษัทจะเคยชินกับการจัดการความเสี่ยงมากมาย ไม่ว่าจะเป็นความเสี่ยงที่เกี่ยวกับพนักงาน ด้านการเงิน หรือการตลาด การเพิ่มความปลอดภัยทางไซเบอร์จึงเป็นสิ่งที่สมเหตุสมผลที่คณะกรรมการจะพิจารณา

 

เพราะความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญขององค์กร จึงมีความจำเป็นที่ต้องอธิบายให้คณะกรรมการเข้าใจถึงความจำเป็นขององค์กรที่ต้องลงทุนเกี่ยวกับระบบรักษาความปลอดภัย รายงานล่าสุดของวีเอ็มแวร์เปิดเผยว่าหากองค์กรต่าง ๆ ปรับใช้เทคโนโลยีใหม่ๆสำหรับการรักษาความปลอดภัย จะมีโอกาสที่ GDP เติบโตถึง 145 พันล้านเหรียญสหรัฐฯ ในภูมิภาคเอเชียแปซิฟิกอีก 10 ปีข้างหน้า

ความเข้าใจผิด ข้อที่ 6 – “User” คือ จุดอ่อนของระบบรักษาความปลอดภัย

แม้ว่าพนักงานในองค์กรหรือ user จะมีการอบรมเกี่ยวกับการรักษาความปลอดภัยบ่อยครั้ง แต่ผู้โจมตีในปัจจุบันยังมีความสามารถที่องค์กรคาดไม่ถึง มีการพบว่า user สามารถโดนโจมตีจากการวางเมาส์ไว้บน Elements ต่าง ๆ (แม้ไม่ได้คลิ๊กลิงค์) ผู้โจมตีสามารถเข้าถึงเมล์เซิร์ฟเวอร์ และส่ง attachment จากบุคคลที่ user รู้จักและเป็นบุคคลที่น่าเชื่อถือมาตอบอีเมล์ใน Inbox ของ user

 

ถึงแม้ว่าภัยคุกคามจะมีการพัฒนาอย่างต่อเนื่อง องค์กรจำนวนมากยังคงให้สิทธิ์การเข้าถึงแอพและข้อมูลมากเกินไป และไม่มีมาตรการป้องกันในการตรวจสอบการเข้าถึงของผู้ดูแลระบบ ในสถานการณ์เช่นนี้การรับรองความถูกต้อง และการจัดการข้อมูลประจำตัว (identity) เป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญ และข้อมูลประจำตัวควรได้รับการตรวจสอบหลายขั้นตอน รวมถึงการให้น้ำหนักของการรับรองความถูกต้องที่เท่าๆกันกับความเสี่ยงของการเข้าถึง หรือฟังก์ชันของแต่ละแอพพลิเคชัน 

 

 ความเข้าใจผิด ข้อที่ 7 - การรักษาความปลอดภัยเป็นอุปสรรคต่อความคล่องตัวทางธุรกิจ

ในขณะที่ธุรกิจส่วนใหญ่หันไปให้ความสำคัญกับวิธีการพัฒนาซอฟต์แวร์ แต่การตรวจสอบความปลอดภัยของแอพนั้นไม่ได้เร็วขึ้น   องค์กรมีโอกาสในการสร้างนวัตกรรมเสมอ ด้วยการเข้าถึงเครื่องมือ automation ฝ่าย DevOps สามารถส่งการอัพเดตแอพไปยังฝ่ายรักษาความปลอดภัยแบบเรียลไทม์ ฝ่ายรักษาความปลอดภัยสามารถทำการตรวจสอบแอพได้ทันที ทำให้องค์กรมีความคล่องตัวมากขึ้นพร้อมความปลอดภัยที่แข็งแกร่ง เนื่องจากการรักษาความปลอดภัยทำได้ง่ายขึ้น เร็วขึ้น และมีประสิทธิภาพมากขึ้นเมื่อทำงานจากแอพพลิเคชันและข้อมูล ซึ่งตรงข้ามกับการทำงานผ่านอินฟราสตรัคเจอร์ อย่างไรก็ตามยังคงต้องอาศัยการเปลี่ยนแปลงทางความคิดขององค์กรเพื่อให้เกิดการเปลี่ยนแปลงนี้

 

แม้ว่าการหักล้างความเชื่อเหล่านี้จะเป็นก้าวแรกที่ดีสำหรับองค์กร แต่ก็ยังเป็นเพียงก้าวแรกเท่านั้น การเดินทางของการรักษาความปลอดภัยยังคงเป็นการเดินทางที่ไม่มีวันสิ้นสุด และต้องการการดูแลและความรับผิดชอบในระยะยาว

 

การรักษาความปลอดภัยผ่านการใช้งานแอพพลิเคชันเป็นแนวทางใหม่ที่ครอบคลุมและเป็นที่น่าจับตามองการรักษาความปลอดภัยที่แท้จริงไม่ได้หมายความว่าองค์กรต้องหยุดการลงทุนในโซลูชันซีเคียวริตี้เอ็นพอยท์ หรือโซลูชันอื่นๆ แต่เป็นขั้นตอนที่ขาดไม้ได้ที่ช่วยทำให้องค์กรมีความแข็งแกร่งด้านความปลอดภัยมากยิ่งขึ้น