CEO Blog

82% ของแอปพลิเคชันภาครัฐ มีข้อบกพร่อง ‘ความปลอดภัย’

By นักรบ เนียมนามธรรม11 เม.ย. 2022 เวลา 9:51 น.
82% ของแอปพลิเคชันภาครัฐ มีข้อบกพร่อง ‘ความปลอดภัย’

จำเป็นอย่างยิ่งที่ต้องมีการตรวจสอบช่องโหว่อย่างเป็นประจำสม่ำเสมอเพื่อหลีกเลี่ยงความเสียหายที่จะเกิดขึ้น 

จากการศึกษาค้นคว้าครั้งใหม่ของบริษัทซอฟต์แวร์ Veracode พบว่า แอปพลิเคชันภาครัฐมากกว่า 4 ใน 5 หรือ 82% มีข้อบกพร่องด้านความปลอดภัย ซึ่งเป็นสัดส่วนที่สูงสุดในบรรดาอุตสาหกรรมทั้งหลาย

นักวิจัยยังพบอีกว่า ภาครัฐใช้เวลาประมาณ 2 เท่า เมื่อเปรียบเทียบกับอุตสาหกรรมอื่นๆ ในการจัดการแก้ไขข้อบกพร่องภายหลังจากการตรวจพบ 

นอกจากนี้ 60% ของข้อบกพร่องที่บุคคลภายนอกสามารถตรวจพบได้ แต่ภาครัฐยังคงไม่สามารถแก้ไขได้หลังจาก 2 ปีผ่านไป ซึ่งเป็นกรอบเวลาถึง 2 เท่าของอุตสาหกรรมอื่นๆ และ 15 เดือนตามค่าเฉลี่ยนอกอุตสาหกรรม

โดยรายงานนี้อิงจากการวิเคราะห์ข้อมูลที่รวบรวมจากการสแกน 20 ล้านครั้งผ่าน 5 แสนแอปพลิเคชันของภาครัฐ การผลิต การบริการทางการเงิน ห้างสรรพสินค้า โรงแรม การดูแลสุขภาพและเทคโนโลยี

ภาครัฐยังมีอัตราการแก้ไขข้อบกพร่องได้ต่ำที่สุดคืออยู่ที่ 22% เมื่อเทียบกับทุกอุตสาหกรรม นักวิจัยกล่าวว่าผลการวิจัยชี้ให้เห็นว่า หน่วยงานภาครัฐมีความเสี่ยงต่อการถูกโจมตีทางซอฟต์แวร์ซับพลายเซน เหมือนกับ SolarWinds และ Kaseya ซึ่งจะนำไปสู่การหยุดชะงักครั้งใหญ่และการเจรจาเกี่ยวกับข้อมูลที่สำคัญ

จากรายงานยังพบเพิ่มเติมว่า ภาครัฐมีการปรับปรุงในส่วนของการจัดการข้อบกพร่องที่มีความรุนแรงสูง อย่างมีนัยสำคัญ และจากการวิเคราะห์พบว่ามีข้อบกพร่องในระดับสูงอยู่เพียง 16% ของแอปพลิเคชันภาครัฐ และจำนวนแอปพลิเคชันภาครัฐที่มีข้อบกพร่องทั้งหมดลดลง 30% ในปีที่ผ่านมา 

นักวิจัยเชื่อว่าสิ่งนี้ชี้ให้เห็นถึงความคิดริเริ่มด้านการรักษาความปลอดภัยทางไซเบอร์ของรัฐบาล เช่น คำสั่งของประธานาธิบดีโจ ไบเดนของสหรัฐ เมื่อปีที่แล้วซึ่งกำหนดแนวทางปฏิบัติด้านการรักษาความปลอดภัยทางไซเบอร์ และ การจัดการซีเคียวริตี้แบบใหม่ (zero trust)

รวมถึงกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ล่าสุดของรัฐบาลสหราชอาณาจักร ซึ่งมุ่งเน้นที่การเสริมสร้างความมั่นคงของบริการสาธารณะของประเทศ มีผลกระทบในเชิงบวก

ผู้เชียวชาญให้ความเห็นว่า ผู้กำหนดนโยบายและผู้นำของภาครัฐตระหนักดีว่าเทคโนโลยีที่ล้าสมัยและข้อมูลที่ละเอียดอ่อนจำนวนมากทำให้แอปพลิเคชันของภาครัฐเป็นเป้าหมายหลักสำหรับผู้กระทำผิด

และนั่นเป็นเหตุผลที่ทำให้เนียบขาวและรัฐสภาทำงานร่วมกันเพื่ออัปเดทกฎระเบียบที่ควบคุมการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์ ภายหลังจากการมีคำสั่งของผู้บริหารในเดือนพ.ค.ปีที่ผ่านมา ให้ปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศและปกป้องเครือข่ายของรัฐบาลกลาง

สำนักการบริหารของประธานาธิบดีสหรัฐ กระทรวงกลาโหม และทำเนียบขาว ได้ออกบันทึกทั้งหมด 4 ฉบับเกี่ยวกับความจำเป็นในการนำหลักการการรักษาความปลอดภัยทางไซเบอร์แบบ zero trust มาใช้และเสริมสร้างความเข้มแข็งให้กับ ความปลอดภัยของซอฟต์แวร์ซับพลายเซน

ในเดือนมกราคม ประธานาธิบดี โจไบเดน ได้ลงนามในบันทึกข้อตกลงความมั่นคงแห่งชาติ (National Security Memorandum - NSM) ที่กำหนดให้ระบบความมั่นคงของชาติใช้มาตรการรักษาความปลอดภัยทางไซเบอร์สำหรับเครือข่ายซึ่งอย่างน้อยก็ควรจะมีมาตรฐานที่ดีพอๆ กับที่เครือข่ายของพลเรือนที่รัฐบาลกลางได้กำหนดไว้

เมื่อต้นเดือนม.ค.นี้เอง สหรัฐ ได้ผ่านกฎหมายฉบับใหม่ที่จะกำหนดให้หน่วยงานองค์กรโครงสร้างพื้นฐานที่สำคัญของประเทศต้องรายงานเหตุการณ์การละเมิดทางไซเบอร์ภายใน 72 ชั่วโมง

สำหรับองค์กรของไทยที่มีการพัฒนาซอฟต์แวร์และแอปพลิเคชันของตนเองหรือจ้างบุคคลภายนอกองค์กรมาช่วยพัฒนา จำเป็นอย่างยิ่งที่ต้องมีการตรวจสอบช่องโหว่อย่างเป็นประจำสม่ำเสมอเพื่อหลีกเลี่ยงความเสียหายที่จะเกิดขึ้น 

เนื่องจากการพัฒนาซอฟต์แวร์และแอปพลิเคชันทุกๆ ครั้ง มักจะพบปัญหาตั้งแต่การเขียนชุดคำสั่งหรือโค้ดดิ้ง (Coding) แล้ว ดังนั้นองค์กรจึงควรมีระบบตรวจสอบเกี่ยวกับ Coding ต่างๆ ให้มีความถูกต้อง