10 แนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 1)

February 21, 2022February 21, 2022

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 9 มกราคม 2562

ในทุกๆ ปลายปี ผู้เขียนจะออกคาดการณ์ 10 แนวโน้มด้านภัยไซเบอร์ของปีถัดไป ซึ่งจะประกาศในงานสัมมนาประจำปี CDIC โดยทั้ง 10 แนวโน้มนำมาจากการศึกษาวิจัย เก็บข้อมูลเพื่อนำมาทำการวิเคราะห์ต่อสถานการณ์ในประเทศไทย โดยแนวโน้มปี 2019 นี้ตีพิมพ์ในกรุงเทพธุรกิจ 4 ตอน

เมื่อเราพิจารณาคำว่า “Data Economy” เราพบว่าไม่ใช่คำใหม่ แต่มีการกล่าวถึงคำนี้มากกว่าสิบปีที่ผ่านมา แต่เพิ่งมีการตื่นตัวเรื่องนี้กันในช่วงสองสามปีที่ผ่านมานี้เอง

เนื่องจากใครบริหารจัดการข้อมูลได้มีประสิทธิภาพ ผู้นั้นย่อมมี “Competitive Advantage” ในการทำธุรกิจมากกว่าองค์กรที่ไม่สามารถนำ “Data” มาใช้ประโยชน์ได้อย่างถูกต้องและถูกวิธี

ในโอกาสนี้จึงได้คาดการณ์แนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์แห่งปี 2019 มาไว้ในที่นี้

1. ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูลในระบบคลาวด์

องค์กรภาครัฐ และเอกชนทั่วโลก นิยมปรับเปลี่ยนระบบสารสนเทศภายในองค์กรจากการจัดเก็บข้อมูลในศูนย์คอมพิวเตอร์ เข้าสู่การจัดเก็บข้อมูลบนระบบคลาวด์ เนื่องจากลดต้นทุน กระจายความเสี่ยงต่อการโจมตีทางไซเบอร์ให้กับบริษัทผู้ให้บริการคลาวด์

แต่อีกมุมหนึ่งที่ผู้บริหารองค์กรจำเป็นต้องนำมาพิจารณาก็คือ อาจมีการรั่วไหลของข้อมูลองค์กรผ่านระบบคลาวด์

คำถามก็คือ ใครจะเป็นผู้รับผิดชอบในความเสียหาย และเมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ ไม่ว่าจะเป็นผู้บริหารองค์กรหรือผู้ให้บริการคลาวด์ หรือบริษัทที่ให้บริการประกันภัยทางไซเบอร์

ปัจจุบันมีเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้นทั่วโลก ข้อมูลสถิติจากเว็บไซต์ https://informationisbeautiful.net/ พบว่าทั้งรัฐและเอกชนล้วนประสบปัญหาข้อมูลรั่วไหลกันทั้งสิ้น

วิธีการแก้ไขปัญหาข้อมูลรั่วไหลผ่านทางการใช้ระบบคลาวด์ที่ดี คือ องค์กรควรทำ Data Classification เสียก่อน

เริ่มจากการเปลี่ยน Mindset ผู้บริหารจาก Cybersecurity เป็น Cyber Resilience โดยคิดเสียว่าข้อมูลในระบบคลาวด์ของเรามีโอกาสถูกแฮ็กเมื่อใดก็ได้ เราจึงควรบริหารจัดการการจัดเก็บข้อมูลให้ปลอดภัย

ควรมีการนำเทคนิคต่างๆ มาใช้ในการจัดเก็บข้อมูลไม่ว่าจะเป็น Tokenization หรือ Pseudonymization เป็นการเตรียมการไว้ล่วงหน้า ซึ่งแม้แฮ็กเกอร์สามารถดึงข้อมูลของเราไปได้ แต่ไม่สามารถแปลความหมายของข้อมูลที่เราจัดเก็บได้ เนื่องจากเราได้มีการดัดแปลงข้อมูลให้จัดเก็บในรูปแบบที่เจ้าของข้อมูลเท่านั้นที่สามารถจะแปลความหมายของข้อมูลนั้นได้

การบริหารจัดการรหัสผ่านก็เป็นเรื่องที่สำคัญเพราะหมดยุคแห่งการใช้ “ชื่อผู้ใช้” และ “รหัสผ่าน” ในการเข้าใช้งานบริการบนคลาวด์ จึงจำเป็นต้องมีการใช้เทคนิค “การพิสูจน์ตัวตนแบบสองชั้น หรือ แบบสองขั้นตอน” (Two-Factor Authentication/Two-Step Verification)

การพิสูจน์ตัวตนแบบสองชั้น หรือแบบสอง โดยใช้ One Time Password (OTP) เมื่อผู้ใช้บริการโซเชียลมีเดีย หรือบริการคลาด์ต้องการ Login/Sign in เข้าใช้งานบริการคลาวด์ต่างๆ สามารถทำได้ด้วยตนเองผ่านทาง Mobile Application ที่นิยมใช้กันทั่วโลก ได้แก่ Google Authenticator สำหรับโซเชียลมีเดีย และบริการคลาวด์ต่างๆ ที่ Google Authenticator สามารถทำงานร่วมกันได้ หรือใช้ Microsoft Authenticator สำหรับการใช้ Office 365 เป็นต้น

สรุปได้ว่า สืบเนื่องจากการใช้บริการคลาวด์จะได้รับความนิยมมากขึ้น และองค์กรมักจะนำข้อมูลสำคัญขึ้นสู่คลาวด์ ส่งผลกระทบต่อข้อมูลลูกค้ารั่วไหลและส่งผลกระทบต่อองค์กรอย่างหลีกเลี่ยงไม่ได้

จึงเกิดปัญหาข้อมูลที่มีความสำคัญขององค์กรรั่วไหลจะเกิดมากขึ้นเรื่อยๆ เนื่องจากองค์กรมีความมั่นใจมากขึ้นในการใช้บริการคลาวด์อย่างเต็มรูปแบบ

“Security”และ “Privacy” กำลังจะกลายเป็นปัญหาใหญ่ของผู้บริหารระดับสูงขององค์กรในอนาคต หากไม่มีการวางแผนและการเตรียมการที่ดีพอ

2. กฎระเบียบและกฎหมายทางด้านไซเบอร์จะมีความเข้มงวดมากขึ้น

เป็นที่ทราบกันดีว่า อีกไม่กี่เดือนข้างหน้าประเทศไทยจะมีกฎหมายใหม่ที่ถูกนำมาบังคับใช้ถึง 2 ฉบับ ได้แก่ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ซึ่งจะมีผลกระทบทั้งในส่วนหน่วยงานโครงสร้างพื้นฐาน ทั้งภาครัฐและเอกชน ตลอดจนประชาชนทั่วไป โดยรวมประชาชนจะได้ประโยชน์มากขึ้น แต่ผู้บริหารระบบสารสนเทศ ตลอดจนผู้ตรวจสอบระบบสารสนเทศกลับมีเรื่องต้องทำมากขึ้น

เนื่องจากเป็นข้อกำหนดในตัวบทกฎหมายทั้ง 2 ฉบับดังกล่าว ทำให้หลายองค์กรคงต้องจัดเตรียมงบประมาณและมีการลงทุนด้านระบบสารสนเทศเพิ่มเติมเพื่อให้สอดคล้องกับข้อกำหนด ซึ่งจะมีเวลาเตรียมการไม่น้อยกว่า 180 วัน

สำหรับประชาชนทั่วไป ในฐานะผู้ใช้บริการต้องตรวจสอบ “Privacy Notice” และ “Privacy Policy” ให้รอบคอบก่อนการใช้งานบริการออนไลน์ และโมบายแอปต่างๆ ว่าไม่มีการละเมิดข้อมูลส่วนบุคคลของเรา

รวมทั้งบริษัท Tech Giant ต้องมีการปรับตัวให้สอดคล้องกับกฎหมาย GDPR ของ EU โดยสังเกตได้จากทั้ง Facebook, Apple และ Google ล้วนเพิ่มเมนูพิเศษให้ผู้บริการสามารถบริหารจัดการข้อมูลของตนได้

โดยเราสามารถดาวน์โหลดข้อมูลทั้งหมดของเรามาดูและมาเก็บไว้ในฮาร์ดดิสก์ได้ ด้วยการเข้าไปที่ดาวน์โหลดข้อมูลส่วนตัวของคุณด้วยตนเองจาก Apple (https://privacy.apple.com/), Google https://takeout.google.com/ และ Facebook (setting/your facebook information) แล้วคุณจะพบกับประสบการณ์ที่คุณไม่เคยสัมผัสมาก่อน

ตอนต่อไปจะกล่าวถึงแนวโน้มที่ 3-4-5 โปรดติดตามอ่าน

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cybersecurity Management, Cyber Sovereignty,
Transparency VS. Privacy, Data Governance

Articles by Prinya

10 แนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 1)