ปัญหา “Cyber Attack” ทำไมยังแก้ไม่ตกกันเสียที? ***

ปัญหา “Cyber Attack” ทำไมยังแก้ไม่ตกกันเสียที? ***

ปัญหาเรื่อง Virus Computer มีมากว่า 30 ปี และปัญหา Cyber Attack นั้นก็มีมากว่า 20 ปีแล้ว ทำไมมนุษย์ยังแก้กันไม่ตกกันเสียที?

และยังมีแนวโน้มว่าจะรุนแรงมากยิ่งขึ้นอีกด้วย ตลอดหลายสิบปีที่ผ่านมา เราได้พบกับคำว่า “Computer Security” หรือ “IT Security” จากนั้นโลกก็ได้รู้จักคำว่า “Information Security” และ ISMS หรือ ISO/IEC 27001 (ISO/IEC 27001 : 2005 version แรกได้ถูกประกาศใช้ตั้งแต่ปี 2548) ในปัจจุบันคำว่า “Cybersecurity” ได้เข้ามามีบทบาทมากขึ้น

หัวใจของการแก้ปัญหา “Cyber Attack” ที่แท้จริงนั้น ไม่ใช่ปัญหาทางด้านเทคนิคเพียงอย่างเดียว เนื่องจากเมื่อเราแก้ปัญหาทางด้านเทคนิคได้แล้ว ปัญหาก็ยังไม่จบอยู่ดี ยกตัวอย่างปัญหาช่องโหว่และมัลแวร์ที่เกิดขึ้นมาโดยตลอดกว่า 20 ปีที่ผ่านมา จึงสรุปสาเหตุของปัญหาได้ 3 ประการ ดังนี้ 

1.ปัญหาด้าน Cybersecurity ไม่ใช่ปัญหาด้านเทคนิคเพียงอย่างเดียว

2.การบริหารจัดการกับ “Cyberspace” ไม่เหมือนกับการบริหารใน “Physical World” ที่เราควบคุมขอบเขตของปัญหา ได้ แต่ “Cyberspace” เป็นอะไรที่ไม่มีขอบเขตชัดเจนและควบคุมได้ยาก

3.กฎหมายและนโยบายเกี่ยวกับเรื่อง Cybersecurity ยังพัฒนาได้ไม่ทันกับปัญหาที่กำลังเกิดขึ้นอยู่ในเวลานี้ในหลายประเทศ

ดังนั้นปัญหา “Cyber Attack” จึงไม่ใช่ปัญหาของคนใดคนหนึ่ง แต่ทั้งรัฐบาลและเอกชนจะต้องร่วมมือกันในการแก้ปัญหา เปรียบเสมือนการแก้ปัญหาภัยธรรมชาติในระดับชาติเช่นแผ่นดินไหวหรือน้ำท่วม รัฐบาลและภาคเอกชนจำเป็นต้องมีกรอบนโยบายในการทำงานร่วมกัน เพื่อรับมือภัยไซเบอร์ที่ทวีความรุนแรงมากขึ้น และยังไม่รวมปัญหาเรื่อง “Digital Privacy” ซึ่งปัจจุบันเราแทบจะไม่มีความเป็นส่วนตัวในโลกไซเบอร์อีกต่อไป จึงจำเป็นต้องเข้าใจ “สภาวะไซเบอร์” ในหลายๆ บริบท ซึ่งทาง ITU ได้สนับสนุนเงินทุนในงานวิจัยของ Oxford Martin School, University of Oxford โดยการพัฒนา “National Cybersecurity Capacity Maturity Model” ขึ้นในปี 2557 ซึ่งเป็นเวลาเดียวกันกับทาง NIST ได้ประกาศใช้ NIST Cybersecurity Framework version 1.0 และได้ถูกนำมาใช้ใน 11 ประเทศทั่วโลก ในการประเมินศักยภาพของแต่ละประเทศในความสามารถในการรับมือภัยไซเบอร์ พบว่าทาง Global Cyber Security Capacity Centre ได้มอง “Cybersecurity Capacity” ออกเป็น 5 มิติ (Dimensions) ดังนี้ 1.Cybersecurity Policy and Strategy 2.Cyber Culture and Society 3.Cybersecurity Education, Training and Skills 4.Legal and Regulatory Frameworks 5.Standards, Organizations, and Technologies

เราจะเห็นว่าการแก้ปัญหา “Cyber Attack” ไม่ใช่การแก้ปัญหาทางด้านเทคนิคเพียงอย่างเดียว หากแต่การแก้ปัญหาทางด้านเทคนิคก็เป็นเรื่องสำคัญที่เราจะมองข้ามไม่ได้ ยังมีมุมมองอีกหลายด้านดังที่กล่าวมาแล้ว ไม่ว่าจะเป็นเรื่องนโยบาย กลยุทธ์ กฎหมาย เศรษฐกิจและสังคม การศึกษาเพื่อการฝึกอบรมบุคลากรในระดับองค์กร และการฝึกอบรมประชาชนคนไทยในระดับชาติ และที่สำคัญจำเป็นต้องมี Cybersecurity Framework หรือกรอบนโยบายในการบริหารจัดการในด้านความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ นับเป็นเวลา 4 ปีจากการพัฒนา NIST Cybersecurity Framework Version 1.0 จนถึงวันนี้ทาง NIST ได้สำรวจความคิดเห็นและปรับปรุง Cybersecurity Framework ให้เป็น Version 1.1 

กล่าวโดยสรุปจะเห็นว่า NIST Cybersecurity Framework มีความเหมาะสมต่อการประเมินองค์กรในรูปแบบ Gap Analysis “As Is” vs. “To Be” ทำให้องค์กรได้ทราบถึงจุดอ่อนและช่องโหว่ในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ทำให้ผู้บริหารระดับสูงมี “Risk Visibility” มากขึ้น และสามารถกำหนดแนวทางในการปรับปรุง (Improve Cybersecurity Capacity ขององค์กรในระยะยาวต่อไป องค์กรในประเทศไทยควรนำ NIST Cybersecurity Framework มาศึกษาและประยุกต์ใช้เพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่จะเกิดขึ้นในอนาคต เพราะปัญหา Cyber Attack ไม่ใช่คำถาม “IF” แต่เป็นคำถาม “ When” ซึ่งหมายถึง “Critical Infrastructure Cyber Attack” ต้องเกิดขึ้นอย่างแน่นอน ดังนั้นเราจึงควรเตรียมพร้อมอยู่เสมอ ทั้งในระดับประชาชน ระดับองค์กร และในระดับชาติ

*** ชื่อเต็ม: 

ปัญหา “Cyber Attack” ทำไมยังแก้ไม่ตกกันเสียที?

Why is Cyber Attack problem so difficult to solve?