งานระบบประมวลผลแบบคลาวด์ ภาครัฐ-เอกชน

February 26, 2022March 10, 2022

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 13 ธันวาคม 2561

การแก้ปัญหาความมั่นคงปลอดภัยและความเป็นส่วนตัวของการจัดเก็บข้อมูลในระบบคลาวด์ สามารถบริหารจัดการลดความเสี่ยงได้โดยจัดแบ่งระดับความสำคัญของข้อมูล ซึ่งการเตรียมความพร้อมและการกำหนดแนวทางการบริหารจัดการข้อมูลเป็นเรื่องสำคัญที่ต้องพิจารณา

นโยบายเศรษฐกิจดิจิทัลของรัฐบาลในตลอดสองปีที่ผ่านมา คงปฏิเสธไม่ได้ว่า ระบบประมวลผลแบบคลาวด์ (Cloud Computing) ไซเบอร์ซิเคียวริตี้ (Cybersecurity และการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) เป็นหัวข้อสำคัญที่ต้องนำมาพิจารณาในการกำหนดนโยบาย Digital Economy ในระดับชาติ ตลอดจนพัฒนากฎหมายให้ทันยุคทันสมัย สามารถตอบโจทย์กระแสโลกที่กำลังเคลื่อนเข้าสู่การประมวลผลแบบคลาวด์อย่างเต็มรูปแบบ

สังเกตได้จากการที่บริษัทยักษ์ใหญ่ระดับโลกล้วนลงทุนใน Cloud Computing ด้วยเม็ดเงินจำนวนมหาศาล ไม่ว่าจะเป็นบริษัทไมโครซอฟท์ ซึ่งขณะนี้ Office 365 เป็นอันดับหนึ่งของการใช้งานคลาวด์

รวมไปถึงบริษัทอเมซอนที่เข้ามาเปิดสำนักงานในประเทศไทยเพื่อให้บริการ Amazon Web Services (AWS) อีกทั้งGoogle ที่เปิดให้บริการคลาวด์ในระดับ Enterprise เช่นกัน

ตลอดจนบริษัทยักษ์ใหญ่ในการให้บริการ Data Center NTT Communications บริษัทโทรคมนาคมรายใหญ่ของญี่ปุ่น (อยู่ในเครือ NTT เช่นเดียวกับ NTT docomo) เปิดศูนย์ข้อมูลแห่งใหม่ในประเทศไทย

รวมถึงการมาของ “SUPERNAP” สร้างศูนย์ข้อมูล SUPERNAP Thailand ที่นิคมอุตสาหกรรมเหมราชในจังหวัดชลบุรี คิดเป็นมูลค่ากว่า 1.1 หมื่นล้านบาท

จากหลายงานวิจัยพบว่าปัญหาอันดับต้นๆในการเคลื่อนย้ายข้อมูลขึ้นสู่ระบบประมวลผลข้อมูลแบบกลุ่มเมฆ หรือ “Cloud Computing” นั้น ก็คือ ปัญหาด้านความมั่นคงปลอดภัย (Security) และปัญหาเรื่องความเป็นส่วนตัว (Privacy) ซึ่งจำเป็นต้องมีการกำหนดนโยบายในการบริหารจัดการข้อมูลในองค์กร โดยการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อนที่จะใช้บริการ Cloud Computing

“Government Cloud First Policy”

นโยบายการเคลื่อนย้ายข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ของรัฐบาลจากหลายประเทศทั่วโลก

ในปัจจุบันรัฐบาลในประเทศใหญ่ๆ หลายประเทศทั่วโลก ไม่ว่าจะเป็นประเทศสหรัฐอเมริกา สหราชอาณาจักร ประเทศนิวซีแลนด์ และประเทศออสเตรเลีย กำลังดำเนินนโยบายที่คล้ายคลึงกัน ได้แก่ นโยบาย Government Cloud First Policy

หมายถึงก่อนการนำข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ ต้องมีการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อน

จากนั้นนำข้อมูลที่มีความเสี่ยงหรือความสำคัญต่ำสุด (ดูรูปที่ 1) จะอนุญาตให้จัดเก็บในระบบคลาวด์ได้

จากรูปที่ 1 จะเห็นว่า ข้อมูลกว่า 90% ในระดับ Official ของสหราชอาณาจักร ได้รับการอนุญาตให้จัดเก็บในระบบคลาวด์ได้ ตามด้วยข้อมูล 80% ของประเทศสหรัฐอเมริกา ในระดับ FISMA Low และ FISMA Moderate

ตามด้วย 70% ของประเทศออสเตรเลียในระดับ Unclassified ได้รับอนุญาตให้นำข้อมูลไปจัดเก็บในระบบคลาวด์ได้เช่นกัน

ในปัจจุบันรัฐบาลของสหราชอาณาจักร ได้มีการปรับระดับความสำคัญของข้อมูลหน่วยงานรัฐให้กระชับ ลดความซ้ำซ้อน เหลือเพียง 3 ระดับ ได้แก่ ระดับ Official ระดับ Secret และระดับ Top Secret (ดูรูปที่ 2)

โดยที่ประเทศสหรัฐอเมริกาได้แบ่งแยกระดับความสำคัญของข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับ ตามระดับความเสียหาย (IMPACT) กำหนดไว้ใน FIPS Publication 199 (ดูรูปที่ 3) ได้แก่ Low Impact , Moderate Impact และ High Impact

จากรูปที่ 4 เราจะเห็นได้ว่ารัฐบาลในหลายประเทศมีการแบ่งข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับได้แก่

ระดับที่หนึ่ง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Public Cloud ได้ ซึ่งเป็นข้อมูลส่วนใหญ่ 70 – 90 %

ระดับที่สอง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Private and/or Hybrid Cloud หรือ On-Prem Solution

ระดับที่สาม : ข้อมูลที่เป็นความลับ มีผลกระทบสูงต้องเก็บในระบบที่มีการ Harden แยกต่างหาก

สังเกตดีๆ จะพบว่า ต้นทุนในการจัดเก็บข้อมูลในระดับที่ 3 จะสูงขึ้นกว่า 10 เท่า จากการจัดเก็บข้อมูลในระดับที่หนึ่ง คือ จัดเก็บไว้ใน Public Cloud

“Data Sensitivity Levels & Volumes”

ระดับและปริมาณของข้อมูลในการจัดเก็บอย่างมั่นคงปลอดภัย

การแก้ปัญหาความมั่นคงปลอดภัยและความเป็นส่วนตัวของการจัดเก็บข้อมูลในระบบคลาวด์ สามารถบริหารจัดการลดความเสี่ยงได้โดยการจัดแบ่งระดับความสำคัญของข้อมูล ซึ่งพิจารณาจากผลกระทบขององค์กรหากข้อมูลรั่วไหล และอาจแบ่งตามลักษณะปริมาณของข้อมูล

จากรูปที่ 5 ข้อมูลในระดับห้า หมายถึงข้อมูลที่เปิดเผยสาธารณะทั่วไปไม่มีผลกระทบกับองค์กร เหมาะที่จะจัดเก็บใน Public Cloud เพราะต้นทุนต่ำที่สุด และมีปริมาณข้อมูลที่จะถูกจัดเก็บจำนวนมากที่สุด

จากนั้นพิจารณา ระดับสี่ ซึ่งข้อมูลมีความสำคัญเพิ่มขึ้น เช่น ข้อมูลทางสถิติต่างๆ ที่ควรมีการเพิ่ม “Security Control” เข้าไป เช่น มีการ Authentication แต่ยังจัดเก็บใน Public Cloud ได้เหมือนระดับห้า

ส่วนในระดับสาม ควรเป็นข้อมูลที่แชร์กันภายในองค์กรเอง หรือระหว่างองค์กรที่จำเป็นต้องทำงานร่วมกัน สามารถจัดเก็บใน Public Cloud ได้ แต่ต้องมีการตั้งค่าอนุญาตสิทธิต่างๆ ให้ละเอียดรอบคอบยิ่งขึ้น

สำหรับระดับสอง ถือว่าเป็นข้อมูลที่เป็นความลับเฉพาะบุคลากรในองค์กร ตามหลักการ “Need To Know” สามารถจัดเก็บใน Public Cloud ได้เช่นกัน แต่ “Security Control” ต้องเข้ม และมีการตรวจสอบที่ดี ควรนำเทคโนโลยี CASB (Cloud Access Security Broker) มาใช้

และในระดับสุดท้าย ระดับที่หนึ่ง เป็นระดับที่ข้อมูลมีความสำคัญอย่างยิ่งยวด ต้องการรักษาความลับในระดับสูงสุด หากข้อมูลรั่วไหลจะมีผลกระทบสูงต่อองค์กร

ไม่ควรจัดเก็บใน Public Cloud แต่ควรถูกจัดเก็บใน “On-Premise Storage” ขององค์กร เราจะเห็นว่าการจัดเก็บข้อมูลในระดับหนึ่งมีต้นทุนเป็น 10 เท่าของการจัดเก็บข้อมูลในระดับห้า

5 Steps in Cloud Data Governance Framework

ห้าขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์

เรื่องของ “Cloud Data Governance” กำลังเป็นเทรนใหม่ที่มาแรงในระดับองค์กรทั่วโลก จากปัญหาความมั่นคงปลอดภัยและปัญหาความเป็นส่วนตัวของข้อมูลลูกค้าที่เกิดการรั่วไหลออกสู่สาธารณะ กลายเป็นข่าวใหญ่ทางหนังสือพิมพ์และทางโซเชียลเน็ตเวิร์ก ทำให้องค์กรเสียภาพลักษณ์ และมีความเสี่ยงด้านชื่อเสียงขององค์กร (Reputational Risk)

5 ขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์

กำหนดเป้าหมายของธุรกิจขององค์กรให้แน่ชัดก่อน
พัฒนากลยุทธ์ในการบริหารจัดการข้อมูล และนโยบายในการบริหารจัดการข้อมูล
กำหนดหน้าที่ในการรับผิดชอบและมีการแบ่งความรับผิดชอบให้ชัดเจน มีการบริหารจัดการในรูปแบบการบริหารโครงการที่ดี
ทำบัญชีทรัพย์สินข้อมูล และแบ่งแยกระดับความสำคัญของข้อมูล
นำกลยุทธ์การบริหารไปสู่การปฏิบัติจริง และมีการบริหารจัดการความเปลี่ยนแปลง

หัวใจของความสำเร็จในการนำ Cloud Data Governance Framework มาใช้ก็คือ การที่ทีมงานได้รับการสนับสนุนจากผู้บริหารระดับสูง (Executive Sponsors) มีการกำหนดผู้รับผิดชอบ (Owner) ให้ชัดเจน มีการบริหารจัดการในลักษณะการบริหารงานโครงการ (Project Management) ควรนำเสนอผู้บริหารระดับสูงตั้งแต่เนิ่นๆ เพื่อให้เกิดความเข้าใจและเข้ามาให้การสนับสนุน

หัวใจที่สำคัญที่สุด คือ การกำหนดนโยบายในการแบ่งระดับความสำคัญของข้อมูล (Data Classification Policy) การพิจารณามาตรฐาน และข้อกำหนดต่างๆ (Standards and Compliances) ดูรูปที่8 ยกตัวอย่าง เช่น ISO/IEC 27018:2014, ISO/IEC 27001:2013

กล่าวโดยสรุปจะเห็นว่า การเตรียมความพร้อมและแนวทางการบริหารจัดการข้อมูลในการใช้งานระบบประมวลผลแบบคลาวด์ เป็นเรื่องสำคัญที่องค์กรต้องพิจารณาในการเคลื่อนย้ายข้อมูลขององค์กรเข้าสู่ระบบการประมวลผลแบบคลาวด์ เพื่อให้เกิดประสิทธิภาพและประสิทธิผลต่อองค์กรมากที่สุด

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cybersecurity Management, Cyber Sovereignty,
Transparency VS. Privacy, Data Governance

Articles by Prinya

งานระบบประมวลผลแบบคลาวด์ ภาครัฐ-เอกชน