ปัญหา “Cyber Attack” ทำไมยังแก้ไม่ตก?

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 27 มิถุนายน 2561

ปัญหา “Cyber Attack” ทำไมยังแก้ไม่ตก? แม้เวลาจะผ่านมากว่า 20 ปี แล้วก็ตาม นั่นเป็นเพราะแท้จริงนั้น ไม่ใช่ปัญหาทางด้านเทคนิคเพียงอย่างเดียว แต่ยังมีมุมอื่นๆ อีกหลายด้านที่เป็นองค์ประกอบสำคัญ เช่น นโยบาย กลยุทธ์ กฎหมาย เศรษฐกิจและสังคม การศึกษาเพื่อการฝึกอบรมบุคลากรในระดับองค์กร และการฝึกอบรมประชาชนคนในระดับชาติ

ปัญหาเรื่องไวรัสคอมพิวเตอร์มีมากว่า 30 ปี และปัญหา Cyber Attack นั้นก็มีมากว่า 20 ปีแล้ว ทำไมมนุษย์ยังแก้ไม่ตกกันเสียที? และยังมีแนวโน้มว่าจะรุนแรงมากยิ่งขึ้นอีกด้วย

ตลอดหลายสิบปีที่ผ่านมา เราได้พบกับคำว่า “Computer Security” หรือ “IT Security” จากนั้นโลกก็ได้รู้จักคำว่า “Information Security” และ ISMS หรือ ISO/IEC 27001 (ISO/IEC 27001 : 2005 version แรกได้ถูกประกาศใช้ตั้งแต่ปี 2548) ในปัจจุบันคำว่า “Cybersecurity” ได้เข้ามามีบทบาทมากขึ้น

หัวใจของการแก้ปัญหา “Cyber Attack” ที่แท้จริงนั้น ไม่ใช่ปัญหาทางด้านเทคนิคเพียงอย่างเดียว เนื่องจากเมื่อเราแก้ปัญหาทางด้านเทคนิคได้แล้ว ปัญหาก็ยังไม่จบอยู่ดี

ยกตัวอย่างปัญหาช่องโหว่และมัลแวร์ที่เกิดขึ้นมาโดยตลอดกว่า 20 ปีที่ผ่านมา จึงสรุปสาเหตุของปัญหาได้ 3 ประการ ดังนี้

1. Cybersecurity ไม่ใช่ปัญหาด้านเทคนิคเพียงอย่างเดียว

2. การบริหารจัดการกับ Cyberspace ไม่เหมือนกับการบริหารใน Physical World ที่เราควบคุมขอบเขตของปัญหาได้ แต่ “Cyberspace” เป็นอะไรที่ไม่มีขอบเขตชัดเจนและควบคุมได้ยาก

3. กฎหมายและนโยบายเกี่ยวกับเรื่อง Cybersecurity ยังพัฒนาได้ไม่ทันกับปัญหาที่กำลังเกิดขึ้นอยู่ในเวลานี้ในหลายประเทศ

ดังนั้น “Cyber Attack” จึงไม่ใช่ปัญหาของคนใดคนหนึ่ง แต่ทั้งรัฐบาลและเอกชนจะต้องร่วมมือกันในการแก้ปัญหา

เปรียบเสมือนการแก้ปัญหาภัยธรรมชาติในระดับชาติ ดังเช่น แผ่นดินไหว หรือน้ำท่วม รัฐบาลและภาคเอกชนจำเป็นต้องมีกรอบนโยบายในการทำงานร่วมกัน เพื่อรับมือภัยไซเบอร์ที่ทวีความรุนแรงมากขึ้น

และยังไม่รวมปัญหาเรื่อง “Digital Privacy” ซึ่งปัจจุบันเราแทบจะไม่มีความเป็นส่วนตัวในโลกไซเบอร์อีกต่อไป จึงจำเป็นต้องเข้าใจ “สภาวะไซเบอร์” ในหลายๆ บริบท

ซึ่งทาง ITU ได้สนับสนุนเงินทุนในงานวิจัยของ Oxford Martin School, University of Oxford โดยการพัฒนา “National Cybersecurity Capacity Maturity Model” ขึ้นในปี 2557 เป็นเวลาเดียวกันกับทาง NIST ได้ประกาศใช้ NIST Cybersecurity Framework version 1.0 และได้ถูกนำมาใช้ใน 11 ประเทศทั่วโลก

การประเมินศักยภาพของแต่ละประเทศด้านความสามารถในการรับมือภัยไซเบอร์ พบว่า ทาง Global Cyber Security Capacity Centre ได้มอง “Cybersecurity Capacity” ออกเป็น 5 มิติ (Dimensions) ดังนี้

1. Cybersecurity Policy and Strategy

2. Cyber Culture and Society

3. Cybersecurity Education, Training and Skills

4. Legal and Regulatory Frameworks

5. Standards, Organizations and Technologies

เราจะเห็นว่าการแก้ปัญหา “Cyber Attack” ไม่ใช่การแก้ปัญหาทางด้านเทคนิคเพียงอย่างเดียว หากแต่การแก้ปัญหาทางด้านเทคนิคก็เป็นเรื่องสำคัญที่เราจะมองข้ามไม่ได้

ยังมีมุมมองอีกหลายด้านดังที่กล่าวมาแล้ว ไม่ว่าจะเป็นเรื่องนโยบาย กลยุทธ์ กฎหมาย เศรษฐกิจและสังคม การศึกษาเพื่อการฝึกอบรมบุคลากรในระดับองค์กร และการฝึกอบรมประชาชนคนไทยในระดับชาติ

และที่สำคัญจำเป็นต้องมี Cybersecurity Framework หรือกรอบนโยบายในการบริหารจัดการในด้านความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ

นับเป็นเวลา 4 ปีจากการพัฒนา NIST Cybersecurity Framework Version 1.0 จนต่อมาทาง NIST ได้สำรวจความคิดเห็นและปรับปรุง Cybersecurity Framework ให้เป็น Version 1.1

กล่าวโดยสรุปจะเห็นว่า NIST Cybersecurity Framework มีความเหมาะสมต่อการประเมินองค์กรในรูปแบบ Gap Analysis “As Is” vs. “To Be” ทำให้องค์กรได้ทราบถึงจุดอ่อนและช่องโหว่ในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์

ทำให้ผู้บริหารระดับสูงมี “Risk Visibility” มากขึ้น และสามารถกำหนดแนวทางในการปรับปรุง (Improve Cybersecurity Capacity ขององค์กรในระยะยาวต่อไป

องค์กรในประเทศไทยควรนำ NIST Cybersecurity Framework มาศึกษาและประยุกต์ใช้เพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ที่จะเกิดขึ้นในอนาคต

เพราะปัญหา Cyber Attack ไม่ใช่คำถาม “IF” แต่เป็นคำถาม “ When” ซึ่งหมายถึง “Critical Infrastructure Cyber Attack” ต้องเกิดขึ้นอย่างแน่นอน ดังนั้นเราจึงควรเตรียมพร้อมอยู่เสมอ ทั้งในระดับประชาชน ระดับองค์กร และในระดับชาติ