“สกมช. จับมือ พาโล อัลโต้ เน็ตเวิร์กส์ ร่วมทำ Cloud SPA หน่วยงานรัฐ พบความปลอดภัยบนคลาวด์ภาครัฐยังมีช่องว่างให้พัฒนา แต่ได้ผลลัพธ์โรดแมปเชิงกลยุทธ์ 3 ระยะสำหรับองค์กรเพื่อยกระดับความปลอดภัยบนคลาวด์ภายในกันยายนนี้
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ร่วมกับ พาโล อัลโต้ เน็ตเวิร์กส์ ประกาศเปิดตัว แผนงานเชิงกลยุทธ์เพื่อรักษาความปลอดภัยบนคลาวด์ในประเทศไทย ซึ่งจะเป็นรากฐานสำคัญ
ในการปฎิบัติตามกรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Thailand’s National Cloud Security Framework) ที่ สกมช. ได้ประกาศเผยแพร่มาตั้งแต่ปี 2568 และเร่งยกระดับความสามารถในการป้องกันเชิงรุกของภาครัฐอย่างยั่งยืน
ซึ่งกรอบการทำงานดังกล่าว เป็นไปตามข้อกำหนดมาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 โดย สกมช. (NCSA) เป็นเกณฑ์บังคับสำหรับหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญ (CII) เพื่อยกระดับความปลอดภัยการใช้งานคลาวด์ตามมาตรฐานสากล โดยเน้นการควบคุมการเข้าถึง, ความแข็งแกร่งของระบบ, และแนวทางปลอดภัย เริ่มบังคับใช้จริง 10 กันยายน 2569 เพื่อสนับสนุน Cloud First Policy
โดย แผนงานเชิงกลยุทธ์เพื่อรักษาความปลอดภัยบนคลาวด์ในประเทศไทยนี้ เกิดขึ้นจากความร่วมมือของ NCSA และ พาโล อัลโต้ เน็ตเวิร์กส์ ในการ ประเมินสถานะความปลอดภัยบนคลาวด์ (Cloud Security Posture Assessment: Cloud SPA) ซึ่งการประเมินได้พิจารณาจากมาตรการและความพร้อมด้านความปลอดภัยบนคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง และสนับสนุนการจัดทำโรดแมปให้กับประเทศไทย
ความปลอดภัยบนคลาวด์ภาครัฐยังมีช่องว่างให้พัฒนา
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า “ภายใต้นโยบาย Cloud First ของประเทศไทย ความมั่นคงปลอดภัยไม่ได้เป็นแค่ทางเลือก แต่เป็นรากฐานที่สำคัญต่อการพัฒนาเศรษฐกิจและสังคมดิจิทัล”
“ผลการประเมินในครั้งนี้ สามารถสะท้อนได้ถึงสถานะความปลอดภัยบนคลาวด์หน่วยงานภาครัฐในภาพรวมของประเทศ และทำให้เราเห็นจุดแข็งและจุดอ่อนได้อย่างชัดเจน เพื่อเป็นแนวทางให้เราเร่งแก้ไขปรับปรุงต่อไป”
“ภายใต้ความร่วมมือกับ พาโล อัลโต้ เน็ตเวิร์กส์ ได้ช่วยให้เราสามารถปรับเปลี่ยนการทำงานจากการตั้งรับไปสู่การป้องกันในเชิงรุก เพื่อให้มั่นใจว่าบริการดิจิทัลของภาครัฐจะมีความเสถียร ปลอดภัย และพร้อมสำหรับอนาคต”
สำหรับผลการประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง พบว่า หน่วยงานภาครัฐมีระดับความพร้อมที่แตกต่างกันดังนี้
- ด้าน ความสามารถด้านการวางแผนเชิงกลยุทธ์ (Cloud Strategy) หน่วยงานภาครัฐทั้ง 13 แห่งสามารถทำได้ดี โดยมีคะแนนเฉลี่ยที่ประมาณ 84% ในหัวข้อการเปิดรับคลาวด์ (Cloud Adopted) หรือหัวข้อรูปแบบบริการคลาวด์ (Hybrid Cloud และ Private Cloud) รวมถึง และทำคะแนนได้ดีใน ความสามารถด้านศูนย์ปฏิบัติการความปลอดภัย (Security Operations)
- สถานะความปลอดภัยของระบบคลาวด์ (Cloud Security Posture) บนไพรเวทคลาวด์เป็นอีกหนึ่งหัวข้อที่ทำคะแนนอยู่ในระดับสูง คือ 77%
- ผลการประเมินชี้ให้เห็นว่ายังมีโอกาสอีกมากสำหรับการพัฒนาในด้าน ความปลอดภัยระหว่างการทำงานของระบบคลาวด์ (Cloud Runtime) และ ความปลอดภัยของแอปพลิเคชันบนคลาวด์ (Cloud Application Security) นอกจากนี้ยังพบว่า 70% ของหน่วยงานยังได้รับผลกระทบจากการตั้งค่าระบบผิดพลาด และข้อจำกัดในการบริหารจัดการแบบรวมศูนย์
- ผลการประเมินยังระบุว่า 60% ของหน่วยงานภาครัฐยังขาดการเชื่อมโยงข้อมูลภัยคุกคามกับศูนย์ปฏิบัติการความปลอดภัย (SOC) ทำให้การตอบสนองต่อภัยคุกคามทำได้ล่าช้า โดยเฉพาะภัยคุกคามที่ขับเคลื่อนด้วย AI ขณะที่การป้องกันส่วนใหญ่ยังเป็นการตั้งรับ (Reactive) มากกว่าเป็นการป้องกันในเชิงรุก (Proactive)
สรุปการประเมินความมั่นคงปลอดภัยบนระบบคลาวด์ของหน่วยงานภาครัฐในภาพรวมนั้น มี 6 จาก 15 ประเด็น ที่มีทิศทางในการดำเนินการในปัจจุบันค่อนข้องดี อยู่ในหัวข้อ การวางแผนเชิงกลยุทธ์ และ ศูนย์ปฏิบัติการด้านความปลอดภัย
ขณะที่เหลืออีก 9 ประเด็น ที่ยังมีโอกาสหรือช่องว่างที่ยังต้องปรับปรุง แต่หน่วยงานภาครัฐให้ความสำคัญและเริ่มดำเนินการแล้ว อาทิ ความปลอดภัยของแอปพลิเคชันบนคลาวด์ (Cloud Application Security), สถานะความปลอดภัยของระบบคลาวด์ (Cloud Security Posture) และ ความปลอดภัยระหว่างการทำงานของระบบคลาวด์ (Cloud Runtime)
โรดแมปสู่ความยั่งยืนของระบบคลาวด์
ผลการประเมินในครั้งนี้แสดงให้เห็นว่า การประเมินที่ครอบคลุมในทุกด้านของ Cloud SPA มีความสำคัญอย่างยิ่งในการระบุถึง จุดแข็งและจุดอ่อนที่สำคัญในด้านความปลอดภัยของระบบคลาวด์ของหน่วยงานภาครัฐ ซึ่งเป็นข้อมูลสำคัญที่นำไปสู่การสนับสนุนการวางโรดแมปของระบบคลาวด์ให้กับประเทศ ก่อนที่ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 จะเริ่มมีผลบังคับใช้ในเดือนกันยายน 2569 นี้
เพื่อแก้ไขปัญหาดังกล่าวพาโล อัลโต้ เน็ตเวิร์กส์ ได้สนับสนุนการจัดทำโรดแมปของระบบคลาวด์ให้กับประเทศไทยที่อยู่ในระหว่างการจัดทำโดย สกมช. เพื่อผลักดันภาครัฐสู่การรักษาความมั่นคงปลอดภัยเชิงรุกที่ขับเคลื่อนด้วย AI
ระยะที่ 1 การเตรียมความพร้อมและวางรากฐาน (Foundations & Readiness) มุ่งเน้นการกำหนดมาตรฐานกลางและการใช้แพลตฟอร์มปกป้องแอปพลิเคชันบนคลาวด์ (CNAPP) และกำหนดการดำเนินงานขั้นต่ำเพื่อลดการตั้งค่าระบบคลาวด์ที่ผิดพลาดง
ระยะที่ 2 การเฝ้าระวังและตอบสนองเชิงรุก (Proactive Surveillance & Response) เชื่อมต่อระบบคลาวด์เข้ากับศูนย์ปฏิบัติการความปลอดภัย รวมถึงการพัฒนาคู่มือแนวทางปฏิบัติเพื่อรับมือกับเหตุฉุกเฉิน (Playbooks) และจัดตั้งคณะทำงาน เพื่อขับเคลื่อนความร่วมมือและการแลกเปลี่ยนองค์ความรู้
ระยะที่ 3 ความยั่งยืนและกรอบการกำกับ (Sustainability & Regulation) จัดตั้งศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัย AI และคลาวด์ (CoE) จัดตั้งทีมตอบสนองเหตุฉุกเฉินด้านคลาวด์ Cloud CERT รวมถึงการปรับปรุงมาตรฐานการจัดซื้อจัดจ้างให้บูรณาการข้อกำหนดด้านความปลอดภัยเป็นส่วนหนึ่งในการพิจารณา
ดร.ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า “เรื่องความปลอดภัยไซเบอร์เป็นเรื่องที่ต้องทำงานร่วมกันอย่างใกล้ชิดระหว่างภาครัฐและเอกชน เพื่อเปลี่ยนการป้องกันแบบตั้งรับไปสู่การบริหารจัดการความปลอดภัยไซเบอร์เชิงรุกด้วย AI”
“ผลประเมินความพร้อมในครั้งนี้ชี้ให้เห็นว่า แม้เราจะมีนโยบายที่ชัดเจน แต่ในสภาพแวดล้อมของการปฏิบัติงานจริง ยังจำเป็นที่จะต้องได้รับการส่งเสริมสนับสนุนให้มีความเข้มแข็งเพิ่มขึ้น การสนับสนุนการจัดทำโรดแมปนี้ทำให้เราสามารถรวบรวมเครื่องมือป้องกันที่กระจัดกระจายไว้ภายใต้แพลตฟอร์มเดียวกัน”
“โดยแผนงานใหม่นี้มุ่งเน้นการใช้ AI และระบบอัตโนมัติ (Automation) มาช่วยให้หน่วยงานเห็นภาพรวมของระบบคลาวด์ทั้งหมดและสามารถหยุดยั้งภัยคุกคามได้แบบเรียลไทม์ เพื่อปิดช่องว่างระหว่างนโยบายและการปฏิบัติจริงได้อย่างมีประสิทธิภาพ”
“เพื่อให้สอดคล้องกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์และนโยบายคลาวด์เฟิร์สของประเทศพาโล อัลโต้ เน็ตเวิร์กส์ จึงร่วมมือกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อเร่งนำเทคโนโลยีคลาวด์และ AI มาเสริมความมั่นคงปลอดภัยในภาครัฐ ความร่วมมือนี้เป็นวางรากฐานเชิงกลยุทธ์เพื่อยกระดับการคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานใหม่”
“ช่วยให้หน่วยงานภาครัฐสามารถเปลี่ยนผ่านไปสู่โครงสร้างพื้นฐานดิจิทัลที่มีความยืดหยุ่นได้อย่างปลอดภัย ผ่านความร่วมมือใน 4 ด้านหลัก ได้แก่”
“การนำมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์มาปฏิบัติและกำกับให้เป็นไปตามข้อกำหนด การคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานการกำกับดูแล การฝึกอบรมและพัฒนาศักยภาพบุคลากร และการขับเคลื่อนความร่วมมือด้านความปลอดภัยไซเบอร์ระหว่างภาครัฐและเอกชน” ดร.ธัชพล ปิดท้าย
Featured Image: freepik
