ทบทวนแนวทางความปลอดภัยยุคดิจิทัล ก้าวสู่ความยืดหยุ่นทางไซเบอร์ที่มีข้อมูลเป็นศูนย์กลาง
“แนวทางความปลอดภัยทางไซเบอร์ใหม่ เป็นสิ่งที่องค์กรมุ่งเน้นเรื่องความสามารถในการฟื้นตัวทางไซเบอร์ และปรับปรุงความพร้อมในการตอบสนองและกู้คืนจากการโจมตีของแรนซัมแวร์ พร้อมรับสถานการณ์ทางไซเบอร์ที่มีข้อมูลเป็นศูนย์กลาง Data Centric Cyber Resiliency
สัมภาษณ์พิเศษ สยาม กมลทิพย์สุคนธ์, ผู้จัดการฝ่ายวิศวกรรมโซลูชัน ประเทศไทย เวียดนาม และ กัมพูชา สปป.ลาว และเมียนมา จาก เน็ตแอพ ถึงผลกระทบจากการก้าวสู่ธุรกิจดิจิทัล ความเปลี่ยนแปลงของแลนสเคปของภัยคุกคามไซเบอร์ ที่ต้องอาศัยแนวคิดและวิธีการรักษาความปลอดภัยข้อมูลแบบใหม่ ไปสู่การสร้างความยืดหยุ่นทางไซเบอร์ มองข้อมูลเป็นศูนย์กลาง ที่แตกต่างจากการรักษาความปลอดภัยทางไซเบอร์ทั่วไป
ข้อมูลธุรกิจดิจิทัลที่มีค่าและมาพร้อมกับความเสี่ยง
ประเทศไทยมีความก้าวหน้าในการเติบโตของเศรษฐกิจดิจิทัลเป็นอย่างมากและกำลังพัฒนาประเทศให้เป็นศูนย์กลางดิจิทัลของอาเซียน ข้อมูลจาก สำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ รายงานว่าในปี 2565 เศรษฐกิจดิจิทัลของประเทศไทย มีส่วนสนับสนุน GDP ถึง 2.1 พันล้านบาท (ราว 12%) ซึ่งรัฐบาลไทยตั้งเป้าหมายไว้ที่ 30% ภายในปี 2570
“เมื่อเศรษฐกิจดิจิทัลเติบโตขึ้น ข้อมูลจึงมีคุณค่าและความเสี่ยงเพิ่มขึ้นอย่างไม่เคยปรากฎมาก่อน โดยข้อมูลช่วยขับเคลื่อนการดำเนินงาน ขับเคลื่อนนวัตกรรม และสร้างประสบการณ์ลูกค้าที่ยอดเยี่ยม ในขณะที่องค์กรต้องพึ่งพาข้อมูลมากขึ้น ผลกระทบของการโจมตีแรนซัมแวร์ก็รุนแรงตามไปด้วย”
“ดังนั้นองค์กรต่างๆ จึงต้องการความเรียบง่ายและความสะดวกสบายที่มากขึ้นในการจัดการข้อมูล และความยืดหยุ่นทางไซเบอร์ที่ได้รับการปรับปรุง เพื่อจัดการและรักษาความปลอดภัยพื้นที่ข้อมูลของตน และหลีกเลี่ยงการสูญเสียจากการถูกโจมตี” สยาม กล่าว
ภัยแรนซัมแวร์ที่ซับซ้อนและรุนแรงขึ้น
ทุกวันนี้ การโจมตีด้วยแรนซัมแวร์เกิดขึ้นอย่างหลากหลายและซับซ้อนจนถึงจุดที่การขู่กรรโชกยังคงดำเนินต่อไปแม้จะต้องจ่ายเงินไปแล้วก็ตาม เช่น ในการโจมตีด้วยการขู่กรรโชกซ้ำซ้อน อาชญากรไซเบอร์จะไม่เพียงแค่เข้ารหัสไฟล์ขององค์กรเท่านั้น แต่พวกมันยังนำข้อมูล หรือถ่ายโอนไฟล์โดยไม่ได้รับอนุญาตไปสู่ภายนอกอีกด้วย โดยอาชญากรไซเบอร์อาศัยการขู่ ว่าจะเปิดเผยข้อมูลไปยังเว็บไซต์รวบรวมข้อมูลรั่วไหล หรือฟอรัมใต้ดินเพื่อผลประโยชน์ทางการเงินมากขึ้น
สิ่งที่น่ากังวลพอๆ กันคือ ต้นทุนและผลกระทบที่เพิ่มขึ้นจากแรนซัมแวร์ องค์กรจำเป็นต้องเข้าใจว่าแรนซัมแวร์มีราคาค่าไถ่ที่สูงเป็นอย่างมาก ซึ่งในโลกดิจิทัลที่กำลังเติบโตอย่างต่อเนื่องนี้ การสูญเสียข้อมูลที่เกิดขึ้นอาจส่งผลให้ธุรกิจทั้งหมดต้องปิดตัวลง เกิดการหยุดชะงักทางธุรกิจ ซึ่งแน่นอนว่าต้นทุนที่เพิ่มขึ้นส่งผลกระทบโดยตรงต่อ ผู้ถือหุ้น รวมถึงความไว้วางใจในภาพรวมขององค์กร
สยาม กล่าวว่า “ในความเห็นของผมนั้น เนื่องจากการโจมตีด้วยแรนซัมแวร์มีความซับซ้อนมากขึ้น องค์กรต่างๆ จึงต้องคิดทบทวนแนวทางความปลอดภัยทางไซเบอร์ใหม่ โดยเน้นไปที่การพร้อมรับมือกับความปลอดภัยทางไซเบอร์ที่มากขึ้น เพื่อป้องกันหรือตีกลับจากการโจมตีทางไซเบอร์อย่างรวดเร็ว”
เหตุผลที่ต้องมีวิธีการรักษาความปลอดภัยแบบใหม่
“อย่างที่เราทราบกันว่า ปัจจุบันโครงสร้างพื้นฐานข้อมูลมักจะทำงานบนโครงสร้างพื้นฐานทั้งแบบภายในองค์กรและบนคลาวด์ ซึ่งก่อให้เกิดความซับซ้อนได้หากไม่ได้รับการจัดการอย่างเหมาะสม สิ่งนี้เป็นปัญหาด้านการปกป้องข้อมูล การรักษาความปลอดภัย และการปฏิบัติตามกฎระเบียบข้อบังคับทางธุรกิจมีความซับซ้อน และสร้างจุดบอดด้านความปลอดภัยที่อาชญากรไซเบอร์สามารถใช้ประโยชน์ได้”
“รวมถึงองค์กรจำเป็นต้องตระหนักด้วยว่า การจ่ายค่าไถ่ไม่ใช่วิธีแก้ปัญหา เพราะจะทำให้อาชญากรมีแต้มต่อในการต่อรองมากขึ้น และทำให้สถานการณ์แย่ลง รายงานจาก โซโฟส เมื่อปี 2021 ระบุว่า องค์กรที่จ่ายค่าไถ่สามารถกู้คืนข้อมูลได้เพียง 65% เท่านั้น นอกจากนี้ การโจมตีด้วยการขู่กรรโชกที่เคยเกิดขึ้นหลายครั้ง ไม่สามารถรับประกันได้เลยว่า อาชญากรจะทำตามเงื่อนไขแม้ว่าจะชำระเงินแล้วก็ตาม”
“ดังนั้นแทนที่จะจ่ายค่าไถ่ องค์กรควรมุ่งเน้นไปที่การเสริมความสามารถในการฟื้นตัวทางไซเบอร์ และปรับปรุงความพร้อมในการตอบสนองและกู้คืนจากการโจมตีของแรนซัมแวร์”
“ซึ่งการป้องกันการโจมตีจากแรนซัมแวร์ต้องอาศัยความเอาใจใส่อย่างระมัดระวังต่อข้อมูลในทุกด้าน และเนื่องจากอาชญากรกำลังมุ่งเป้าไปที่ข้อมูลของเรา เราจึงควรเริ่มการป้องกันที่ชั้นพื้นที่จัดเก็บข้อมูลเป็นอย่างแรก”
“ทั้งนี้การออกแบบที่เน้นการพร้อมรับสถานการณ์ทางไซเบอร์ที่มีข้อมูลเป็นศูนย์กลาง จะทำให้ข้อมูลขององค์กรมีความปลอดภัยอย่างเต็มที่ มีความยืดหยุ่น และพร้อมใช้งานไม่ว่าจะอยู่ที่ใดก็ตาม”
“สิ่งนี้จะมอบรากฐานการรักษาความปลอดภัยที่แข็งแกร่ง ซึ่งช่วยรักษาความไว้วางใจทางดิจิทัลได้มากขึ้น และเพิ่มขีดความสามารถในการแข่งขันในเศรษฐกิจดิจิทัลที่กำลังเติบโตของประเทศไทย” สยาม กล่าว
องค์กรจะสร้างการพร้อมรับสถานการณ์ทางไซเบอร์ได้อย่างไร
“ผมขอให้แนวทางที่เป็นกลยุทธ์การพร้อมรับสถานการณ์ทางไซเบอร์ที่ดี นั่นคือการสร้างการปกป้องข้อมูลและการรักษาความปลอดภัยที่เน้นข้อมูลเป็นศูนย์กลาง แทนที่จะคิดในภายหลัง เป็น 5 ขั้นตอนสำคัญเพื่อช่วยให้องค์กรต่างๆ สร้างแผนการรับมือทางไซเบอร์ที่ครอบคลุม นั่นคือ”
“หนึ่ง ระบุสิ่งที่จำเป็นต้องได้รับการปกป้องและจัดอันดับแต่ละรายการตามความสำคัญ องค์กรจำเป็นต้องประเมินการปกป้องข้อมูลและความปลอดภัยในปัจจุบัน แม้ว่าขั้นตอนนี้อาจใช้เวลานาน แต่สิ่งสำคัญคือต้องจัดประเภทข้อมูลต่างๆ กำหนดตำแหน่งของประเภทต่างๆ และประเมินสิทธิ์การเข้าถึงข้อมูล”
“สอง ปกป้องและเตรียมการป้องกันให้พร้อม การเข้ารหัสข้อมูลและทำการสำรองข้อมูลเป็นประจำ ตรวจสอบให้แน่ใจว่ามีการควบคุมการเข้าถึง ใช้การป้องกันขอบเขตเช่นไฟร์วอลล์ อัปเดตระบบปฏิบัติการและแอปพลิเคชันที่มีช่องโหว่ อย่าลืมฝึกอบรมผู้ใช้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ด้วย”
“สาม ตรวจจับและนำอยู่หน้าสถานการณ์เสมอ การป้องกันคือการรักษาที่ดีที่สุด องค์กรควรระบุกิจกรรมที่น่าสงสัย เช่น พฤติกรรมของผู้ใช้และความผิดปกติในพฤติกรรมของข้อมูล ก่อนที่จะกลายเป็นภัยคุกคาม”
“สี่ ตอบสนองและรู้ว่าต้องทำอย่างไรในช่วงวิกฤต ภัยคุกคามพัฒนาไปพร้อมกับมาตรการรักษาความปลอดภัย ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องทดสอบแผนของคุณอย่างต่อเนื่องใน 3 ขั้นตอน คือ หนึ่งสมาชิกในทีมทุกคนต้องรู้ถึงความรับผิดชอบของตน สอง อัปเดตแผนเมื่อภัยคุกคามเปลี่ยนแปลงไปและเมื่อได้รับบทเรียนภายหลังการโจมตี และสาม แชร์การอัปเดตแผนทั้งหมดกับผู้มีส่วนได้ส่วนเสียอื่นๆ เพื่อให้มีการตอบสนองที่สอดคล้องกันหากเกิดการโจมตี”
และขั้นตอนที่ห้า ฟื้นระบบและกลับสู่ภาวะปกติได้ในเวลาอันรวดเร็ว ในขั้นตอนนี้ องค์กรต่างๆ จะต้องการลดเวลาดาวน์ไทม์ ด้วยการกู้คืนข้อมูลอย่างรวดเร็ว นำแอปพลิเคชันที่ไม่มีช่องโหว่กลับมาออนไลน์ และใช้นิติวิทยาศาสตร์อัจฉริยะเพื่อระบุแหล่งที่มาของภัยคุกคาม”
“ด้วยการรวมการปกป้องข้อมูลเข้ากับความปลอดภัยของข้อมูล ความยืดหยุ่นทางไซเบอร์ ไม่เพียงช่วยให้องค์กรตรวจพบภัยคุกคามก่อนที่จะโจมตีข้อมูลเท่านั้น แต่ยังช่วยให้สามารถตอบสนองและกู้คืนได้อย่างรวดเร็วระหว่างการโจมตีอีกด้วย”
แนวคิดสร้างความยืดหยุ่นทางไซเบอร์ (Cyber Resiliency) ที่แตกต่างจากการรักษาความปลอดภัยทางไซเบอร์ทั่วไป
ที่ผ่านมาเราเห็นการทำงานของแนวทางการรักษาความมั่นคงปลอดภัยทางไซเบอร์แบบดั้งเดิม จะมุ่งเน้นเฉพาะการรักษาความปลอดภัยเท่านั้น
ขณะที่แนวคิดสร้างความยืดหยุ่นทางไซเบอร์นั้นมุ่งเน้นไปที่การตอบสนองอย่างรวดเร็วและการฟื้นตัวหลังการโจมตี ที่ไม่ใช่เพียงการป้องกันอย่างเดียว และเนื่องจากอาชญากรในปัจจุบันมุ่งเป้าไปที่ข้อมูลอันมีค่าของลูกค้าเป็นหลัก เราจึงควรเริ่มต้นการป้องกันในส่วนของการจัดเก็บข้อมูลเป็นอย่างแรก
“ขอยกตัวอย่าง ความยืดหยุ่นทางไซเบอร์ของเน็ตแอพ ที่ให้การรักษาความปลอดภัยที่เน้นข้อมูลในระดับแพลตฟอร์ม โดยมอบการรักษาความปลอดภัยอีกระดับจากภายใน และเสริมระบบรักษาความปลอดภัยแบบเดิมที่ทำเฉพาะบางส่วน นอกจากนี้ยังจัดเตรียมโซลูชันที่ช่วยให้องค์กรสามารถตรวจสอบพฤติกรรมผู้ใช้ในสภาพแวดล้อมมัลติคลาวด์แบบไฮบริดเพื่อหากิจกรรมที่น่าสงสัยและตรวจจับความผิดปกติในพฤติกรรมการจัดเก็บข้อมูลอีกด้วย”
“ช่วยให้องค์กรใช้กลยุทธ์การปกป้องข้อมูลร่วมกันทั่วทั้งสภาพแวดล้อมภายในองค์กรและคลาวด์จากจุดควบคุมเพียงจุดเดียว ซึ่งทำให้สามารถตรวจจับความผิดปกติของบัญชีผู้ใช้ที่อาจบ่งบอกถึงการโจมตีของแรนซัมแวร์ และบล็อกบัญชีที่ถูกบุกรุกโดยอัตโนมัติเพื่อลดความเสียหาย”
นอกจากนี้ ยังช่วยให้องค์กรสามารถนำโมเดล Zero Trust ที่เน้นข้อมูลเป็นศูนย์กลางมาใช้ได้ สิ่งนี้ช่วยให้เราสามารถจำกัดความเสียหายของผู้คุกคามได้อย่างมีประสิทธิภาพ เนื่องจากแหล่งรวมข้อมูลที่ผู้คุกคามสามารถเข้าถึงได้นั้นมีขนาดเล็กกว่ามาก โมเดลนี้ช่วยให้ลูกค้าทราบได้อย่างชัดเจนว่าข้อมูลใดบ้างที่ถูกบุกรุก ทำให้ง่ายต่อการกู้คืนหากการโจมตีด้วยแรนซัมแวร์สำเร็จ” สยาม กล่าว
องค์กร ต้องเร่งกู้คืนสถานการณ์เมื่อถูกเรียกค่าไถ่ข้อมูล
เมื่อพิจารณาถึงความเร็วของแรนซัมแวร์และภัยคุกคามทางไซเบอร์อื่นๆ ที่พัฒนาขึ้น ไม่มีองค์กรใดสามารถป้องกันเหตุการณ์ทางไซเบอร์ได้อย่างสมบูรณ์ แต่นอกจากการป้องกันแล้ว องค์กรต่างๆ จำเป็นต้องสร้างความสามารถในการตอบสนองอย่างรวดเร็วและกู้คืนจากการโจมตีของแรนซัมแวร์ได้อย่างมีประสิทธิภาพ
สยาม ออกความเห็นว่า “สิ่งที่ผู้บริหารองค์กรต้องพิจารณาคือ การมองหาผลิตภัณฑ์ที่ช่วยในการการฟื้นตัวทางไซเบอร์ที่แข็งแกร่งและใช้งานได้หลากหลายรูปแบบ เป็นเครื่องมือเข้ามาช่วยให้ทราบได้อย่างรวดเร็วเมื่อไฟล์ของตนถูกโจมตี
สามารถดำเนินการปกป้องข้อมูลแบบเรียลไทม์โดยอัตโนมัติ และกู้คืนสภาพแวดล้อมทั้งหมดได้ภายในไม่กี่นาที แทนที่จะต้องใช้เวลานานหลายสัปดาห์ของการหยุดทำงานที่อาจทำลายธุรกิจได้ ในทุกสภาพแวดล้อมไม่ว่าจะเป็นมัลติหรือไฮบริดคลาวด์”
“ในอนาคตสิ่งที่องค์กรต้องเผชิญมีหลายประการ ตั้งแต่ความซับซ้อนด้านไอทีที่ไม่สามารถป้องกันได้ การขาดแคลนทักษะ ไปจนถึงภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างมาก บนความจำเป็นของการดำเนินธุรกิจบนข้อมูล คว้าทุกโอกาสในการสร้างสรรค์สิ่งใหม่ๆ โดยใช้ประโยชน์จากข้อมูล”
“นั่นหมายถึง องค์กรต้องเสริมความแข็งแกร่งให้กับระบบจัดเก็บข้อมูลระดับองค์กรทำให้ข้อมูลขององค์กรมีความปลอดภัยอย่างเต็มที่ มีความยืดหยุ่น และพร้อมใช้งาน เป็นรากฐานการรักษาความปลอดภัยที่แข็งแกร่ง รักษาความไว้วางใจทางดิจิทัลได้มากขึ้น และเพิ่มขีดความสามารถในการแข่งขันในเศรษฐกิจดิจิทัล” สยาม กล่าวสรุป
