ความมั่นคงปลอดภัยทางไซเบอร์สำหรับรัฐบาลอิเล็กทรอนิกส์

จากข่าวกรองการเตือนภัยทางไซเบอร์เมื่อเร็วๆ นี้ พูดถึงกลุ่มนักเจาะระบบชาวจีนที่ทำความปั่นป่วนให้กับระบบเทคโนโลยีสารสนเทศของรัฐบาลในหลายประเทศ

ตลอดช่วง 3 ปีที่ผ่านมา (กลุ่มนี้มีชื่อว่า Calypso APT Group) โดยมีเป้าหมายเป็นหน่วยงานของรัฐบาลใน 6 ประเทศได้แก่ อินเดีย บราซิล คาซัคสถาน รัสเซีย ตุรกี และประเทศไทย วัตถุประสงค์ของกลุ่มคือการขโมยข้อมูลที่เป็นความลับทางราชการของประเทศนั้น ๆ ด้วยอาวุธทางไซเบอร์ที่เรียกว่า Remote Access Trojan, RAT (รายละเอียดหาอ่านได้จากเอกสารอ้างอิง) ก็อดเป็นห่วงไม่ได้ว่า เราได้มีความระแวดระวังและเตรียมการป้องกันตามสมควรหรือไม่ ทั้งนี้จากเอกสารของสหประชาชาติ UNITED NATIONS E-GOVERNMENT SURVEY 2018 ได้ให้คำแนะนำในการออกแบบระบบรัฐบาลอิเล็กทรอนิกส์ที่มีความปลอดภัยไว้ ซึ่งหลายส่วนสามารถนำมาประยุกต์ใช้กับภาคส่วนอื่นได้เช่นกัน

ในการสร้างระบบรัฐบาลอิเล็กทรอนิกส์ที่ปลอดภัยจะวางอยู่บนหลักการ 5 ด้าน ตาม ITU Global Cybersecurity Agenda คือ 1)ด้านกฎหมาย 2)ด้านวิชาการ 3)ด้านการจัดการ 4)ด้านการสร้างขีดความสามารถ และ 5)ด้านความร่วมมือ (ทั้งระดับประเทศและระดับนานาชาติ) ทั้งนี้ต้องอาศัยความมุ่งมั่นของรัฐบาลที่จะผลักดันให้เกิดมาตรการต่างๆ ให้ครบถ้วนและมีความคืบหน้า มีพัฒนาการไปตามลำดับ ลองมาดูรายละเอียดกันทีละข้อ

157655466786

1.มาตรการด้านกฎหมาย เพื่อให้รัฐบาลและผู้มีส่วนได้เสียกำหนดกลไกขั้นพ้นฐานในการตอบสนองต่อภัยคุกคามทางไซเบอร์ ตั้งแต่การตรวจสอบ การสืบสวน การฟ้องร้องดำเนินคดี ทั้งด้านอาชญากรรมและการละเมิดต่าง ๆ นำไปสู่การลงโทษสำหรับผู้ไม่ปฏิบัติตามหรือละเมิดได้อย่างรวดเร็ว ซึ่งบ้านเราโชคดีที่มีกฎหมายด้านไซเบอร์ที่ดีๆ หลายฉบับ แต่อาจจะโชคร้ายที่การบังคับใช้หรือการดำเนินตามกฎหมายอาจจะอ่อนด้อยไปหน่อย ตัวอย่างกฎหมายสำคัญ 2 ฉบับที่ออกมาเมื่อปลายเดือนพฤษภาคม 2562 ซึ่งจะต้องมีผลบังครับใช้อย่างสมบูรณ์ภายใน 1 ปี ขณะนี้ผ่านมาเกือบ 6 เดือนแล้ว แต่สาธารณชนยังไม่ค่อยเห็นอะไรที่ชัดเจนเป็นรูปธรรมสักเทาไหร่

2.มาตรการด้านวิชาการหรือเทคนิค ระบบรัฐบาลอิเล็กทรอนิกส์จะต้องมีคุณสมบัติด้านความปลอดภัยไซเบอร์ที่เข้มแข็งในทุกส่วน และเป็นแบบที่เรียกว่า secure by design ตั้งแต่เริ่มต้น เช่น ด้านการออกแบบโครงข่ายสื่อสารและระบบที่มีความปลอดภัยสูง การพัฒนาโปรแกรมประยุกต์แบบครบวงจร (DevSecOps) ความปลอดภัยของอุปกรณ์ปลายทาง (endpoint security) การเข้ารหัสข้อมูล การระบุตัวตนและกำหนดสิทธิการใช้งานระบบ ฯลฯ นอกจากนี้จะต้องมีคณะทำงานที่เรียกว่า Computer Emergency Response Team (CERT) หรือ Computer Security Incident Response Team (CSIRT) เพื่อแก้ไขสถานการฉุกเฉินหากระบบโดนโจมตี โดนยึดครอง โดนจารกรรม หรือระบบหยุดชะงักทำงานไม่ได้ เป็นต้น

3.มาตรการด้านการจัดการ หน่วยงานรัฐบาลอิเล็กทรอนิกส์จะต้องมียุทธศาสตร์ด้านความปลอดภัยไซเบอร์ และจะต้องเชื่อมโยงประสานงานกันอย่างครบวงจร โดยจะต้องมีข้อมูลข่าวสารที่แบ่งปันกันเพื่อติดตามและบ่งชี้อาชญากรรมและภัยคุกคามทางไซเบอร์ (Indicators of Compromise, Indicators of Attack หรือ IOCs, IOAs) หรือมีระบบ Threat Intelligence เป็นต้น นอกจากนี้ยังต้องมีมาตรการติดตามการพัฒนาแนวทางการป้องกันโครงสร้างพื้นฐานทางข้อมูลที่สำคัญ และแผนการสร้างภูมิต้านทางต่อภัยไซเบอร์ระดับประเทศ (Critical Information Infrastructure, CII และ National Resiliency Plan) ตัวอย่างเช่น ระบบ EINSTEIN Program ซึ่งก็คือระบบตรวจจับการบุกรุก (Intrusion Detection System) ของรัฐบาลสหรัฐ เป็นต้น

4.มาตรการด้านการสร้างขีดความสามารถ และ 5. มาตรการด้านความร่วมมือ เพื่อให้รัฐบาลอิเล็กทรอนิกส์มีความเข้มแข็ง สามารถต่อต้านและรับมือกับภัยไซเบอร์ได้ ซึ้งจะต้องอาศัยความร่วมจากหลาย ๆ ด้าน ทั้งหน่วยงานภาครัฐด้วยกันเอง จากภาคเอกชน และสถาบันการศึกษา ทั้งระดับประเทศและระดับนานาชาติ การแบ่งปันแนวทางปฏิบัติที่ดี การสร้างการตระหนักรู้ และความรู้ ความเข้าใจ การระแวดระวังภัยไซเบอร์ และการพัฒนาบุคลากรผู้ชำนาญการด้านความมั่นคงไซเบอร์ที่กำลังขาดแคลนอย่างหนักในปัจจุบัน

ทั้งนี้และทั้งนั้น เป้าประสงค์ของรัฐบาลอิเล็กทรอนิกส์ก็เพื่อพัฒนาการให้บริการประชาชนของหน่วยงานภาครัฐ เพื่อให้เกิดความคล่องตัว รวดเร็ว และสะดวกต่อประชาชนในการรับบริการ ภายใต้กรอบเป้าหมายการพัฒนาที่ยังยืน (Sustainable Development Goals) 17 ข้อของสหประชาชาติ และภายใต้แนวคิดที่ว่า “gearing e-government to support transformation towards sustainable and resilient societies” ซึ่งพวกเราน่าจะสามารถคาดหวังผลได้ และหลาย ๆ ท่านอาจจะมีโอกาสได้เข้าไปมีส่วนร่วมในการพัฒนานี้ เพื่อลูกหลานของเราต่อไป

โดย... ดร.ทนุสิทธิ์ สกุณวัฒน์