Cybersecurity/Privacy Trends

10 แนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 1)

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 9 มกราคม 2562

ในทุกๆ ปลายปี ผู้เขียนจะออกคาดการณ์ 10 แนวโน้มด้านภัยไซเบอร์ของปีถัดไป ซึ่งจะประกาศในงานสัมมนาประจำปี CDIC โดยทั้ง 10 แนวโน้มนำมาจากการศึกษาวิจัย เก็บข้อมูลเพื่อนำมาทำการวิเคราะห์ต่อสถานการณ์ในประเทศไทย โดยแนวโน้มปี 2019 นี้ตีพิมพ์ในกรุงเทพธุรกิจ 4 ตอน

เมื่อเราพิจารณาคำว่า “Data Economy” เราพบว่าไม่ใช่คำใหม่ แต่มีการกล่าวถึงคำนี้มากกว่าสิบปีที่ผ่านมา แต่เพิ่งมีการตื่นตัวเรื่องนี้กันในช่วงสองสามปีที่ผ่านมานี้เอง

เนื่องจากใครบริหารจัดการข้อมูลได้มีประสิทธิภาพ ผู้นั้นย่อมมี “Competitive Advantage” ในการทำธุรกิจมากกว่าองค์กรที่ไม่สามารถนำ “Data” มาใช้ประโยชน์ได้อย่างถูกต้องและถูกวิธี

ในโอกาสนี้จึงได้คาดการณ์แนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์แห่งปี 2019 มาไว้ในที่นี้

1. ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูลในระบบคลาวด์

องค์กรภาครัฐ และเอกชนทั่วโลก นิยมปรับเปลี่ยนระบบสารสนเทศภายในองค์กรจากการจัดเก็บข้อมูลในศูนย์คอมพิวเตอร์ เข้าสู่การจัดเก็บข้อมูลบนระบบคลาวด์ เนื่องจากลดต้นทุน กระจายความเสี่ยงต่อการโจมตีทางไซเบอร์ให้กับบริษัทผู้ให้บริการคลาวด์

แต่อีกมุมหนึ่งที่ผู้บริหารองค์กรจำเป็นต้องนำมาพิจารณาก็คือ อาจมีการรั่วไหลของข้อมูลองค์กรผ่านระบบคลาวด์

คำถามก็คือ ใครจะเป็นผู้รับผิดชอบในความเสียหาย และเมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ ไม่ว่าจะเป็นผู้บริหารองค์กรหรือผู้ให้บริการคลาวด์ หรือบริษัทที่ให้บริการประกันภัยทางไซเบอร์

ปัจจุบันมีเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นทั่วโลก ข้อมูลสถิติจากเว็บไซต์  https://informationisbeautiful.net/ พบว่าทั้งรัฐและเอกชนล้วนประสบปัญหาข้อมูลรั่วไหลกันทั้งสิ้น

วิธีการแก้ไขปัญหาข้อมูลรั่วไหลผ่านทางการใช้ระบบคลาวด์ที่ดี คือ องค์กรควรทำ Data Classification เสียก่อน

เริ่มจากการเปลี่ยน Mindset ผู้บริหารจาก Cybersecurity เป็น Cyber Resilience โดยคิดเสียว่าข้อมูลในระบบคลาวด์ของเรามีโอกาสถูกแฮ็กเมื่อใดก็ได้ เราจึงควรบริหารจัดการการจัดเก็บข้อมูลให้ปลอดภัย

ควรมีการนำเทคนิคต่างๆ มาใช้ในการจัดเก็บข้อมูลไม่ว่าจะเป็น Tokenization หรือ Pseudonymization เป็นการเตรียมการไว้ล่วงหน้า ซึ่งแม้แฮ็กเกอร์สามารถดึงข้อมูลของเราไปได้ แต่ไม่สามารถแปลความหมายของข้อมูลที่เราจัดเก็บได้ เนื่องจากเราได้มีการดัดแปลงข้อมูลให้จัดเก็บในรูปแบบที่เจ้าของข้อมูลเท่านั้นที่สามารถจะแปลความหมายของข้อมูลนั้นได้

การบริหารจัดการรหัสผ่านก็เป็นเรื่องที่สำคัญเพราะหมดยุคแห่งการใช้ “ชื่อผู้ใช้” และ “รหัสผ่าน” ในการเข้าใช้งานบริการบนคลาวด์ จึงจำเป็นต้องมีการใช้เทคนิค การพิสูจน์ตัวตนแบบสองชั้น หรือ แบบสองขั้นตอน” (Two-Factor Authentication/Two-Step Verification)

การพิสูจน์ตัวตนแบบสองชั้น หรือแบบสอง โดยใช้ One Time Password (OTP) เมื่อผู้ใช้บริการโซเชียลมีเดีย หรือบริการคลาด์ต้องการ Login/Sign in เข้าใช้งานบริการคลาวด์ต่างๆ สามารถทำได้ด้วยตนเองผ่านทาง Mobile Application ที่นิยมใช้กันทั่วโลก ได้แก่ Google Authenticator สำหรับโซเชียลมีเดีย และบริการคลาวด์ต่างๆ ที่ Google Authenticator สามารถทำงานร่วมกันได้ หรือใช้ Microsoft Authenticator สำหรับการใช้ Office 365 เป็นต้น

สรุปได้ว่า สืบเนื่องจากการใช้บริการคลาวด์จะได้รับความนิยมมากขึ้น และองค์กรมักจะนำข้อมูลสำคัญขึ้นสู่คลาวด์ ส่งผลกระทบต่อข้อมูลลูกค้ารั่วไหลและส่งผลกระทบต่อองค์กรอย่างหลีกเลี่ยงไม่ได้

จึงเกิดปัญหาข้อมูลที่มีความสำคัญขององค์กรรั่วไหลจะเกิดมากขึ้นเรื่อยๆ เนื่องจากองค์กรมีความมั่นใจมากขึ้นในการใช้บริการคลาวด์อย่างเต็มรูปแบบ

“Security”และ “Privacy” กำลังจะกลายเป็นปัญหาใหญ่ของผู้บริหารระดับสูงขององค์กรในอนาคต หากไม่มีการวางแผนและการเตรียมการที่ดีพอ

2. กฎระเบียบและกฎหมายทางด้านไซเบอร์จะมีความเข้มงวดมากขึ้น

เป็นที่ทราบกันดีว่า อีกไม่กี่เดือนข้างหน้าประเทศไทยจะมีกฎหมายใหม่ที่ถูกนำมาบังคับใช้ถึง 2 ฉบับ ได้แก่ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ซึ่งจะมีผลกระทบทั้งในส่วนหน่วยงานโครงสร้างพื้นฐาน ทั้งภาครัฐและเอกชน ตลอดจนประชาชนทั่วไป โดยรวมประชาชนจะได้ประโยชน์มากขึ้น แต่ผู้บริหารระบบสารสนเทศ ตลอดจนผู้ตรวจสอบระบบสารสนเทศกลับมีเรื่องต้องทำมากขึ้น

เนื่องจากเป็นข้อกำหนดในตัวบทกฎหมายทั้ง 2 ฉบับดังกล่าว ทำให้หลายองค์กรคงต้องจัดเตรียมงบประมาณและมีการลงทุนด้านระบบสารสนเทศเพิ่มเติมเพื่อให้สอดคล้องกับข้อกำหนด ซึ่งจะมีเวลาเตรียมการไม่น้อยกว่า 180 วัน

สำหรับประชาชนทั่วไป ในฐานะผู้ใช้บริการต้องตรวจสอบ “Privacy Notice” และ “Privacy Policy” ให้รอบคอบก่อนการใช้งานบริการออนไลน์ และโมบายแอปต่างๆ ว่าไม่มีการละเมิดข้อมูลส่วนบุคคลของเรา

รวมทั้งบริษัท Tech Giant ต้องมีการปรับตัวให้สอดคล้องกับกฎหมาย GDPR ของ EU โดยสังเกตได้จากทั้ง Facebook, Apple และ Google ล้วนเพิ่มเมนูพิเศษให้ผู้บริการสามารถบริหารจัดการข้อมูลของตนได้

โดยเราสามารถดาวน์โหลดข้อมูลทั้งหมดของเรามาดูและมาเก็บไว้ในฮาร์ดดิสก์ได้ ด้วยการเข้าไปที่ดาวน์โหลดข้อมูลส่วนตัวของคุณด้วยตนเองจาก Apple (https://privacy.apple.com/), Google https://takeout.google.com/ และ Facebook (setting/your facebook information) แล้วคุณจะพบกับประสบการณ์ที่คุณไม่เคยสัมผัสมาก่อน

ตอนต่อไปจะกล่าวถึงแนวโน้มที่ 3-4-5 โปรดติดตามอ่าน