คอลัมนิสต์

สิบแนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 1)

By ดร.ปริญญา หอมเอนก09 ม.ค. 2019 เวลา 3:50 น.
สิบแนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 1)

โลกของเรากำลังเข้าสู่ยุค “5G” ซึ่งเป็นการเปลี่ยนแปลงจาก “Digital Economy” สู่ “Data Economy” เมื่อเราพิจารณาคำว่า “Data Economy”

เราพบว่าไม่ใช่คำใหม่ แต่ มีการกล่าวถึงคำนี้มากกว่าสิบปีที่ผ่านมา แต่เพิ่งมีการตื่นตัวเรื่องนี้กันในช่วงสองสามปีที่ผ่านมานี้เอง เนื่องจาก ใครบริหารจัดการข้อมูลได้มีประสิทธิภาพ ผู้นั้นย่อมมี “Competitive Advantage” ในการทำธุรกิจขององค์กรมากกว่าองค์กรที่ไม่สามารถนำ “Data” มาใช้ประโยชน์ได้อย่างถูกต้องและถูกวิธี

1.ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูลในระบบคลาวด์

องค์กรภาครัฐ - เอกชนทั่วโลก นิยมปรับเปลี่ยนระบบสารสนเทศภายในองค์กรจากการจัดเก็บข้อมูลในศูนย์คอมพิวเตอร์เข้าสู่การจัดเก็บข้อมูลบนระบบคลาวด์ เนื่องจากลดต้นทุน กระจายความเสี่ยงการโจมตีทางไซเบอร์ ให้กับบริษัทผู้ให้บริการคลาวด์ แต่อีกมุมหนึ่งที่ผู้บริหารองค์กรจำเป็นต้องนำมาพิจารณาก็คือ อาจมีการรั่วไหลของข้อมูลองค์กรผ่านระบบคลาวด์ คำถามก็คือ ใครจะเป็นผู้รับผิดชอบในความเสียหาย และเมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ ใครจะเป็นผู้รับผิดชอบ ไม่ว่าจะเป็นผู้บริหารองค์กรหรือผู้ให้บริการคลาวด์ หรือ บริษัทที่ให้บริการประกันภัยทางไซเบอร์

ปัจจุบันมีเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นทั่วโลก ดูข้อมูลสถิติจาก Website : Website : https://informationisbeautiful.net/ พบว่าทั้งรัฐและเอกชนล้วนประสบปัญหาข้อมูลรั่วไหลกันทั้งสิ้น

วิธีการแก้ไขปัญหาข้อมูลรั่วไหลผ่านทางการใช้ระบบคลาวด์ที่ดี ก็คือองค์กรควรทำ Data Classification เสียก่อน เริ่มจากการเปลี่ยน Mindset ผู้บริหารจาก Cybersecurity เป็น Cyber Resilience โดยคิดเสียว่าข้อมูลในระบบคลาวด์ของเรามีโอกาสถูกแฮ็กเมื่อใดก็ได้ เราจึงควรบริหารจัดการการจัดเก็บข้อมูลให้ปลอดภัย ควรมีการนำเทคนิคต่างๆ มาใช้ในการจัดเก็บข้อมูลไม่ว่าจะเป็น Tokenization หรือ Pseudonymization เป็นการเตรียมการเผื่อในกรณีที่แฮ็กเกอร์สามารถดึงข้อมูลของเราไปได้แต่ไม่สามารถแปลความหมายของข้อมูลที่เราจัดเก็บได้ เนื่องจากเราได้มีการดัดแปลงข้อมูลให้จัดเก็บในรูปแบบที่เจ้าของข้อมูลเท่านั้นที่สามารถจะแปลความหมายของข้อมูลนั้นได้

การบริหารจัดการรหัสผ่านก็เป็นเรื่องที่สำคัญเพราะหมดยุคแห่งการใช้ ชื่อผู้ใช้ และ รหัสผ่าน ในการเข้าใช้งานบริการบนคลาวด์ จึงจำเป็นต้องมีการนำเทคนิค “การพิสูจน์ตัวตนแบบสองชั้น หรือ แบบสองขั้นตอน (Two Factor Authentication/Two Step Verification) การพิสูจน์ตัวตนแบบสองชั้น หรือ แบบสองขั้นตอน การเปิดใช้ “Two-Factor Authentication” หรือ “Two-step Verification” โดยใช้ One-Time-Password (OTP) เวลาที่ผู้ใช้บริการ Social Media หรือ Cloud Service ต้องการ Log-in/Sign-in เข้าใช้งานบริการคลาวด์ต่างๆ สามารถทำได้ด้วยตนเองผ่านทาง Mobile Application ที่นิยมใช้กันทั่วโลก ได้แก Google Authenticator สำหรับ Social Media และ บริการคลาวด์ต่างๆที่ Google Authenticator สามารถทำงานร่วมกันได้ หรือ ใช้ Microsoft Authenticator สำหรับการใช้ Office 365 เป็นต้น สรุปได้ว่า สืบเนื่องจากการใช้บริการคลาวด์จะได้รับความนิยมมากขึ้น และองค์กรมักจะนำข้อมูลสำคัญขึ้นสู่คลาวด์ ส่งผลกระทบเรื่องข้อมูลลูกค้ารั่วไหลและส่งผลกระทบต่อองค์กรอย่างหลีกเลี่ยงไม่ได้

จึงเกิดปัญหาข้อมูลที่มีความสำคัญขององค์กรรั่วไหลจะเกิดมากขึ้นเรื่อยๆ เนื่องจากองค์กรมีความมั่นใจมากขึ้นในการใช้บริการคลาวด์อย่างเต็มรูปแบบ ปัญหาเรื่อง ”Security”และ”Privacy “ กำลังจะกลายเป็นปัญหาใหญ่ของผู้บริหารระดับสูงขององค์กรในอนาคตหากไม่มีการวางแผนและการเตรียมการที่ดีพอที่รองรับปัญหาที่จะเกิดขึ้นดังกล่าว

2.กฎระเบียบและกฎหมายทางด้านไซเบอร์จะมีความเข้มงวดมากขึ้น

เป็นที่ทราบกันดีว่า อีกไม่กี่เดือนข้างหน้าประเทศไทยจะมีกฎหมายใหม่ที่ถูกนำมาบังคับใช้ถึง 2 ฉบับ ได้แก่ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลกระทบทั้งในส่วนหน่วยงานโครงสร้างพื้นฐาน ทั้งภาครัฐและเอกชน ตลอดจนต่อประชาชนทั่วไป ซึ่งโดยรวมประชาชนจะได้ประโยชน์มากขึ้น แต่ผู้บริหารระบบสารสนเทศ ตลอดจนผู้ตรวจสอบระบบสารสนเทศกลับมีเรื่องต้องทำมากขึ้น เนื่องจากเป็นข้อกำหนดในตัวบทกฎหมายทั้ง 2 ฉบับดังกล่าว ทำให้ในปีนี้หลายองค์กรคงต้องจัดเตรียมงบประมาณและมีการลงทุนด้านระบบสารสนเทศเพิ่มเติมเพื่อให้สอดคล้องกับข้อกำหนด ซึ่งจะมีเวลาเตรียมการไม่น้อยกว่า 180 วัน สำหรับประชาชนทั่วไป ในฐานะผู้ใช้บริการคงต้องตรวจสอบ “Privacy Notice” และ “Privacy Policy” ให้รอบคอบก่อนการใช้งานบริการออนไลน์ และโมบายแอปต่างๆ ว่าไม่มีการละเมิดข้อมูลส่วนบุคคลของเรา รวมทั้งบริษัท Tech Giant ต้องมีการปรับตัวให้สอดคล้องกับ EU’s GDPR โดยสังเกตได้จากทั้ง Facebook, Apple และ Google ล้วนเพิ่มเมนูพิเศษให้ผู้บริการสามารถบริหารจัดการข้อมูลของตนได้ โดยเราสามารถ Download ข้อมูลทั้งหมดของเรามาดูและมาเก็บไว้ในฮาร์ดดิสก์ของเราได้ ด้วยการลองเข้าไป download ข้อมูลส่วนตัวของคุณด้วยตนเองจาก Apple (https://privacy.apple.com/), Google https://takeout.google.com/ และ Facebook (setting/your facebook information) แล้วคุณจะพบกับประสบการณ์ที่คุณไม่เคยสัมผัสมาก่อน