กรุงเทพฯ--11 พ.ค.--พีซี แอนด์ แอสโซซิเอทส์ คอนซัลติ้ง
เป็นที่รู้กันว่าช่องโหว่ที่เพิ่มขึ้นนำมาซึ่งค่าใช้จ่ายขององค์กรที่เพิ่มขึ้น ขณะที่เศรษฐกิจในส่วนดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังคงเติบโตอย่างต่อเนื่อง จำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน จากผลการศึกษาของ Ponemon Institute เผยว่า ผลกระทบทางการเงินในภูมิภาคนี้สูงถึง 2.62 ล้านเหรียญสหรัฐฯ ในปี 2562 ซึ่งเพิ่มขึ้นจาก 2.53 ล้านเหรียญสหรัฐฯในปี 2561[1].
ภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นกำลังเป็นอุปสรรคสำคัญต่อการก้าวสู่ 'ดิจิทัลทรานส์ฟอร์เมชัน' ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เนื่องจากเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์ จากรายงานของ Deloitte Cyber Smart: รายงานศักยภาพธุรกิจในเอเชียแปซิฟิก[2] ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลทำให้สูญเสีย GDP ในภูมิภาคเอเชียแปซิฟิกถึง 145 พันล้านเหรียญสหรัฐฯในทศวรรษหน้า
แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดีนั้นมีทั้งทรัพยากร และเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้น แนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษาความปลอดภัยทางไซเบอร์ในวันนี้ ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคาม ดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอปพลิเคชัน ผู้ใช้งาน และการดำเนินงาน (operation) องค์กรจำเป็นต้องแก้ความเข้าใจผิดด้านความปลอดภัยที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์หลักทางธุรกิจ และนี่คือ 7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้
ความเข้าใจผิด ข้อที่ 1 – คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ
แนวทางการรักษาความปลอดภัยแบบเดิมส่วนใหญ่เป็นการแก้ปัญหาหลังเกิดเหตุ ที่เน้นกระบวนการและเทคนิคเพื่อทำความเข้าใจผู้โจมตีโดยเป็นการป้องกันการโจมตีแบบทั่วไป และลดความเสียหายหลังเกิดเหตุแต่การที่รอให้มีปัญหาแล้วแก้ไขนั้นเป็นวิธีการที่ล้าสมัยแล้ว
แทนที่จะพยายามเข้าใจเจตนาของผู้โจมตี องค์กรควรตรวจสอบสภาพแวดล้อมทั้งหมดในเชิงรุกโดยระบุแอปและข้อมูลที่ต้องการการปกป้องมากที่สุด รวมถึงทำความเข้าใจกับเวิร์คโหลดเหล่านั้น และมุ่งเน้นไปที่การทำงานของแอปพลิเคชัน จากนั้นให้ค่าพารามิเตอร์ที่เฉพาะเจาะจงแก่เวิร์คโหลดเหล่านั้นโดยการมอนิเตอร์และให้ความสำคัญกับพฤติกรรมของ Good Application มากกว่า Bad Application
ความเข้าใจผิด ข้อที่ 2 – ความปลอดภัยเป็นหน้าที่หลักของฝ่ายไอทีที่ดูแลระบบซีเคียวริตี้เท่านั้น
เมื่อข้อมูล ระบบ และแอปพลิเคชันมีความเกี่ยวข้องกับทุกส่วนของธุรกิจ การรักษาความปลอดภัยควรเป็นเรื่องหลักขององค์กรที่ทุกฝ่ายต้องให้ความสำคัญ นำโดยฟังก์ชันที่ครอบคลุมโครงสร้างพื้นฐาน สถาปัตยกรรม เครือข่าย แอปพลิเคชัน ความปลอดภัย และสายงานธุรกิจต่างๆ
องค์กรชั้นนำกำลังใช้ประโยชน์จากโมเดล DevSecOps เพื่อส่งเสริมการทำงานร่วมกันระหว่างการพัฒนา การดำเนินงาน และฝ่ายรักษาความปลอดภัยในการเปิดตัวแอปพลิเคชันต่างๆ ผลสำรวจล่าสุดจาก Forbes Insights ชี้ให้เห็นถึงความสำคัญของการทำงานร่วมกันในทุกๆไอทีฟังก์ชัน และไม่น่าแปลกใจที่ผู้ให้ความสำคัญด้านความปลอดภัยทางไซเบอร์จะมีความได้เปรียบเมื่อพูดถึงระดับการทำงานร่วมกันในองค์กร
เมื่อความปลอดภัยทางไซเบอร์กลายเป็นเรื่องสำคัญขององค์กร ฝ่ายรักษาความปลอดภัยสามารถให้ความสำคัญกับงานที่จำเป็น เช่น การทดสอบนวัตกรรมด้านความปลอดภัยใหม่ๆ หรือการทำงานร่วมกับฝ่ายกฎหมายเพื่อปฏิบัติตามกฎหมาย และข้อบังคับที่เปลี่ยนแปลงตลอดเวลา
ความเข้าใจผิด ข้อที่ 3 – การตัดสินใจและปกป้องสินทรัพย์ดิจิทัล (Digital Assets) เป็นหน้าที่ฝ่ายไอทีที่ดูแลระบบความปลอดภัยเท่านั้น
ฝ่ายไอทีที่ดูแลระบบรักษาความปลอดภัยนั้นแม้จะมีความเชี่ยวชาญด้านเทคนิค แต่ยังต้องการความช่วยเหลือในการทำความเข้าใจว่าสินทรัพย์ดิจิทัลชนิดใดมีความสำคัญต่อธุรกิจ มิเช่นนั้นพวกเขาจะพยายามปกป้องสินทรัพย์ทุกอย่างเท่า ๆ กัน ส่งผลให้ค่าใช้จ่ายเพิ่มสูงขึ้น และใช้เวลาในการทำงานเกินความจำเป็น
ด้วยการใช้นโยบาย Zero Trust ฝ่ายรักษาความปลอดภัยควรดำเนินงานบนหลักการของการไม่ไว้วางใจ และตรวจสอบทุกสิ่งที่พยายามเข้าถึงระบบทั้งภายในและภายนอก ในสภาพแวดล้อมการกระจายของแอป (Distributed apps) ผู้ใช้งาน อุปกรณ์ และเครือข่าย ทำให้นโยบาย Zero Trust ทั่วทั้งองค์กรที่เกี่ยวกับการทำงานของแอปพลิเคชัน อุปกรณ์ และการเข้าถึง เป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง
ความเข้าใจผิด ข้อที่ 4 – การป้องกันโครงสร้างพื้นฐานเป็นหนทางช่วยให้องค์กรสามารถรักษาความปลอดภัยได้ดีที่สุด
แนวทางปัจจุบันมักจะปกป้องข้อมูลและแอปโดยมุ่งเน้นไปที่การปกป้องโครงสร้างพื้นฐานด้านไอที อย่างไรก็ตามเทคโนโลยีต่างๆ ไม่ว่าจะเป็นคลาวด์ แอปพลิเคชันที่ทันสมัย และสถาปัตยกรรมไมโครเซอร์วิส – ส่วนประกอบแอป สามารถกระจัดกระจายไปได้ในหลาย ๆ ระบบปฎิบัติการ ด้วยการมุ่งเน้นการปกป้องโครงสร้างพื้นฐานมากกว่าแอปหรือข้อมูล ซีไอโอจึงทำงานด้วยโมเดลที่ไม่เชื่อมต่อและอาจเกิดข้อผิดพลาดได้ง่าย ดังนั้นถึงเวลาแล้วที่ซีไอโอต้องใช้โมเดลความปลอดภัยที่ให้ความสำคัญกับแอปพลิเคชัน
ความเข้าใจผิด ข้อที่ 5 - งบประมาณในการรักษาความปลอดภัยมักไม่ได้รับการอนุมัติจากคณะกรรมการบริษัท
คณะกรรมการบริษัทจะเห็นด้วยต่อการลงทุนด้านความปลอดภัย เมื่อซีไอโอทำแผนและวางกรอบให้ชัดเจน เช่น การบริหารจัดการความเสี่ยงที่ส่งผลกระทบโดยตรงต่อธุรกิจ มากกว่าการลงทุนเทคโนโลยีที่ไม่จำเป็น คณะกรรมการบริษัทจะเคยชินกับการจัดการความเสี่ยงมากมาย ไม่ว่าจะเป็นความเสี่ยงที่เกี่ยวกับพนักงาน ด้านการเงิน หรือการตลาด การเพิ่มความปลอดภัยทางไซเบอร์จึงเป็นสิ่งที่สมเหตุสมผลที่คณะกรรมการจะพิจารณา
เพราะความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญขององค์กร จึงมีความจำเป็นที่ต้องอธิบายให้คณะกรรมการเข้าใจถึงความจำเป็นขององค์กรที่ต้องลงทุนเกี่ยวกับระบบรักษาความปลอดภัย รายงานล่าสุดของวีเอ็มแวร์เปิดเผยว่าหากองค์กรต่าง ๆ ปรับใช้เทคโนโลยีใหม่ๆสำหรับการรักษาความปลอดภัย จะมีโอกาสที่ GDP เติบโตถึง 145 พันล้านเหรียญสหรัฐฯ ในภูมิภาคเอเชียแปซิฟิกอีก 10 ปีข้างหน้า
ความเข้าใจผิด ข้อที่ 6 – “User” คือ จุดอ่อนของระบบรักษาความปลอดภัย
แม้ว่าพนักงานในองค์กรหรือ user จะมีการอบรมเกี่ยวกับการรักษาความปลอดภัยบ่อยครั้ง แต่ผู้โจมตีในปัจจุบันยังมีความสามารถที่องค์กรคาดไม่ถึง มีการพบว่า user สามารถโดนโจมตีจากการวางเมาส์ไว้บน Elements ต่าง ๆ (แม้ไม่ได้คลิ๊กลิงค์) ผู้โจมตีสามารถเข้าถึงเมล์เซิร์ฟเวอร์ และส่ง attachment จากบุคคลที่ user รู้จักและเป็นบุคคลที่น่าเชื่อถือมาตอบอีเมล์ใน Inbox ของ user
ถึงแม้ว่าภัยคุกคามจะมีการพัฒนาอย่างต่อเนื่อง องค์กรจำนวนมากยังคงให้สิทธิ์การเข้าถึงแอปและข้อมูลมากเกินไป และไม่มีมาตรการป้องกันในการตรวจสอบการเข้าถึงของผู้ดูแลระบบ ในสถานการณ์เช่นนี้การรับรองความถูกต้อง และการจัดการข้อมูลประจำตัว (identity) เป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญ และข้อมูลประจำตัวควรได้รับการตรวจสอบหลายขั้นตอน รวมถึงการให้น้ำหนักของการรับรองความถูกต้องที่เท่าๆกันกับความเสี่ยงของการเข้าถึง หรือฟังก์ชันของแต่ละแอปพลิเคชัน
ความเข้าใจผิด ข้อที่ 7 - การรักษาความปลอดภัยเป็นอุปสรรคต่อความคล่องตัวทางธุรกิจ
ในขณะที่ธุรกิจส่วนใหญ่หันไปให้ความสำคัญกับวิธีการพัฒนาซอฟต์แวร์ แต่การตรวจสอบความปลอดภัยของแอปนั้นไม่ได้เร็วขึ้น
องค์กรมีโอกาสในการสร้างนวัตกรรมเสมอ ด้วยการเข้าถึงเครื่องมือ automation ฝ่าย DevOps สามารถส่งการอัพเดตแอปไปยังฝ่ายรักษาความปลอดภัยแบบเรียลไทม์ ฝ่ายรักษาความปลอดภัยสามารถทำการตรวจสอบแอปได้ทันที ทำให้องค์กรมีความคล่องตัวมากขึ้นพร้อมความปลอดภัยที่แข็งแกร่ง เนื่องจากการรักษาความปลอดภัยทำได้ง่ายขึ้น เร็วขึ้น และมีประสิทธิภาพมากขึ้นเมื่อทำงานจากแอปพลิเคชันและข้อมูล ซึ่งตรงข้ามกับการทำงานผ่านอินฟราสตรัคเจอร์ อย่างไรก็ตามยังคงต้องอาศัยการเปลี่ยนแปลงทางความคิดขององค์กรเพื่อให้เกิดการเปลี่ยนแปลงนี้
แม้ว่าการหักล้างความเชื่อเหล่านี้จะเป็นก้าวแรกที่ดีสำหรับองค์กร แต่ก็ยังเป็นเพียงก้าวแรกเท่านั้น การเดินทางของการรักษาความปลอดภัยยังคงเป็นการเดินทางที่ไม่มีวันสิ้นสุด และต้องการการดูแลและความรับผิดชอบในระยะยาว
การรักษาความปลอดภัยผ่านการใช้งานแอปพลิเคชันเป็นแนวทางใหม่ที่ครอบคลุมและเป็นที่น่าจับตามองการรักษาความปลอดภัยที่แท้จริงไม่ได้หมายความว่าองค์กรต้องหยุดการลงทุนในโซลูชันซีเคียวริตี้เอ็นพอยท์ หรือโซลูชันอื่นๆ แต่เป็นขั้นตอนที่ขาดไม้ได้ที่ช่วยทำให้องค์กรมีความแข็งแกร่งด้านความปลอดภัยมากยิ่งขึ้น
[1] 2019 Cost of Data Breach Study, Benchmark research sponsored by IBM Security and Independently conducted by Ponemon Institute LLC, July 2019
[2] Deloitte Cyber Smart: Enabling APAC businesses report commissioned by VMware, March 2020
[3] Cybersecurity Trailblazers Make Security Intrinsic To Their Business, Forbes Insights, July 2019