51 วัน คุณค่าที่ยิ่งใหญ่กับทุน Eisenhower Fellowships Southeast Asia Regional Program ในอเมริกา
เรื่อง Cybersecurity กำลังเป็นปัญหาระดับชาติ และเป็นวาระแห่งชาติในหลายประเทศ ทั้งในปัจจุบันและอนาคต โดยมีผลกระทบต่อความมั่นคงปลอดภัยและการพัฒนาเศษฐกิจสังคมของประเทศ หากประเทศใดไม่มีการเตรียมความพร้อมทางไซเบอร์ (Cybersecurity Readiness) อย่างเพียงพอ โอกาสที่จะถูกโจมตีโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) ก็มีความเป็นไปได้สูง
ทาง NSA หรือสำนักงานความมั่นคงสหรัฐฯ ใช้คำว่า “Digital Pearl Harbor” ทำให้นึกถึงปัญหาด้านการข่าวและการเตรียมตัวที่บกพร่องของสหรัฐอเมริกา ทำให้ Pearl Harbor ถูกญี่ปุ่นโจมตีอย่างไม่ทันตั้งตัว เกิดความเสียหายทั้งชีวิตและทรัพย์สินครั้งใหญ่ในประวัติศาสตร์ของประเทศ ที่ต้องจารึกไว้เป็นบทเรียนราคาแพงตราบจนถึงทุกวันนี้
ผมได้รับโอกาสเป็นตัวแทน 1 ใน 5 คนไทยที่ผ่านการคัดเลือก โดยคณะกรรมการทุน Eisenhower Fellowships 2013 Southeast Asia Regional Program ณ กรุงฟิลาเดลเฟีย และสมาคมศิษย์เก่า Thailand Eisenhower Fellowships Alumni ในกรุงเทพ นำโดย อ.ดร. สมเกียรติ ตั้งกิจวานิชย์ และ อ.ดร. ชฎามาศ ธุวะเศรษฐกุล ให้เข้าร่วมโครงการ Eisenhower Fellowships 2013 Southeast Asia Regional Program ในประเทศสหรัฐอเมริกา เป็นเวลา 51 วัน
จากการที่ได้รับเลือกเข้าร่วมโครงการนี้ ผมได้รับโอกาสเปิดโลกทัศน์ และประสบการณ์ความรู้อันประเมินค่าไม่ได้จากการเดินทาง 10 รัฐ 15 เมืองในประเทศสหรัฐอเมริกา
ร่วมสนทนากับ “ตำนาน” วงการ Cybersecurity
จากการที่ผมได้รับอนุญาตเข้าพบบุคคลสำคัญระดับโลก 4 ท่าน ซึ่งเป็นผู้ที่เรียกได้ว่าเป็น “ตำนาน” ด้าน Cybersecurity ของสหรัฐอเมริกาและของโลก จัดเป็นผู้ที่ทรงอิทธิพลในการกำหนดนโยบายและทิศทางด้าน Cybersecurity ของสหรัฐอเมริกาในปัจจุบันและอนาคต ผมได้รับโอกาสสนทนาแบบเป็นส่วนตัว ได้แลกเปลี่ยนความคิดกับทั้ง 4 ท่าน ณ ทำเนียบขาว (The White House) กรุงวอชิงตัน ดีซี (Washington, D.C.), Arlington และ McLean, Virginia ซึ่งผมขอแชร์ประสบการณ์ดังนี้
ผมได้รับเกียรติเข้าพบและสนทนากับ Mr. Michael Daniel, Special Assistant to the President and the Cybersecurity Coordinator ผู้ที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับแผนกลยุทธ์ด้าน Cybersecurity แห่งชาติ (National Cybersecurity Strategy) และผู้ขับเคลื่อนผลักดันนโยบายดังกล่าวให้เกิดการปฏิบัติจริงในหน่วยงานโครงสร้างพื้นฐาน (Critical Infrastructure) รวมถึงการผลักดัน Public Private Partnership Programme (PPP) ในประเทศสหรัฐอเมริกา ที่มีเป้าหมายในการป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงของชาติ
Mr. Michael ได้แชร์กับผมในหลากหลายประเด็นปัญหาด้าน Cybersecurity สรุปได้ว่า สหรัฐอเมริกาได้ริเริ่มโครงการเกี่ยวกับCybersecurity ในปี 2008 จากการจัดตั้งโครงการ “Comprehensive National Cybersecurity Initiative (CNCI)” : http://www.whitehouse.gov/issues/foreign-policy/cybersecurity/national-initiative โดยอดีตประธานาธิบดี George W. Bush ซึ่งมีที่ปรึกษา Mrs. Melissa Hathaway เป็นมือขวารับผิดชอบงานทั้งหมด เริ่มจากการที่อดีตประธานาธิบดี Bush ออกประกาศ “Cyberspace Policy Review” http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf เป็นเอกสารเผยแพร่ในปี 2009 (พ.ศ. 2552) กำหนดให้เรื่อง Cybersecurity เป็น KPI ของประธานาธิบดีเลยทีเดียว
ด้านนโยบายได้เน้นเรื่องสำคัญๆ ได้แก่ การสร้างความตระหนักรู้ให้กับประชาชนเรื่องภัยคุกคามทางอินเทอร์เน็ต การเตรียมพร้อมในกรณีฉุกเฉิน ความร่วมมือระหว่างภาครัฐและเอกชน ให้การป้องกันโครงสร้างพื้นฐานในรูปแบบ PPP Model ต่อมาในสมัยอดีตประธานาธิบดี Barack Obama ได้กำหนดให้ทุกเดือนตุลาคมเป็น National Cybersecurity Awareness Month และเป็นผู้มาโปรโมตสร้างกระแสเรื่องภัยไซเบอร์ด้วยตัวเองในทุกๆ ปี
การบังคับใช้กฎหมาย Cybersecurity
Mr. Michael ยังได้แชร์ประสบการณ์ในส่วนของการบังคับใช้กฎหมายว่า รัฐบาลไม่สามารถที่จะออกกฎหมายบังคับด้าน Cybersecurity โดยตรงได้ เพราะโครงสร้างพื้นฐานที่สำคัญในสหรัฐฯ นั้นเอกชนเป็นผู้รับผิดชอบกว่า 80% ดังนั้น อดีตประธานาธิบดี Obama จึงได้มีการออกเอกสารฉบับหนึ่งที่เรียกว่า “Cybersecurity Executive Order 13686 — Improving Critical Infrastructure Cybersecurity”(http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf) เมื่อวันที่ 15 กุมภาพันธ์ ปี 2013 (พ.ศ. 2556) กำหนดนโยบายเกี่ยวกับความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) มีการกำหนดนโยบายในการแชร์ข้อมูล (Information Sharing) ระหว่างหน่วยงานของรัฐและเอกชน
“Cybersecurity Executive Order 13686 — Improving Critical Infrastructure Cybersecurity” มีผล 120 วัน หลังจากการประกาศ Executive Order โดยให้ Department of Homeland Security (DHS) และ NIST ภายใต้ Department of Commerce เป็นผู้รับผิดชอบพัฒนา Baseline Framework ในการลดความเสี่ยงให้กับประเทศในภาพรวม ช่วงที่ผมอยู่ในสหรัฐฯ เดือนตุลาคม ทาง NIST ได้ประกาศ “Preliminary Cybersecurity Framework” (http://www.nist.gov/itl/upload/preliminary-cybersecurity-framework.pdf) เมื่อวันที่ 29 ตุลาคม ปี 2013 (พ.ศ. 2556) โดยให้เวลารับฟัง Public Comment ถึง 45 วัน
ในส่วนหลักของ NIST Cybersecurity Framework ประกอบด้วย 5 ขั้นตอน ได้แก่ Identity, Protect, Detect, Response และ Recover มีการทำ Gap Analysis รวมทั้งมีการนำ ISA99.02.01, COBIT, ISO/IEC 27001, NIST SP800-53, SP800-39 มาใช้ในการอ้างอิง
เห็นได้ว่าแม้ประเทศที่มีการพัฒนาการด้าน Cybersecurity อย่างสหรัฐอเมริกา ยังต้องการความร่วมมือจากเอกชนในรูปแบบ PPP สังเกตได้จากการที่อดีตประธานาธิบดี Obama มอบหมายให้ NIST จัดสัมมนา Voluntary Cybersecurity Framework สำหรับ Preliminary Cybersecurity Framework ดังกล่าว ปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ คือ การแชร์ข้อมูล และการให้ความร่วมมืออย่างเต็มที่จากภาคเอกชน เป้าประสงค์ของ Voluntary Cybersecurity Framework คือการนำ Best Practice ที่ดีและใช้อยู่ในปัจจุบันมาเป็น Common Practice ที่สามารถนำมาใช้ได้ในทุกองค์กร เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์
สนทนาหัวข้อระดับโลกกับบุคคลระดับโลกด้าน Cybersecurity
นอกจากนี้ยังได้มีโอกาสพูดคุยเป็นการส่วนตัวกับ Mrs. Melissa Hathaway หญิงเหล็กแห่งวงการ Cybersecurity ของสหรัฐอเมริกา ผู้อยู่เบื้องหลังการพัฒนานโยบายด้าน Cybersecurity ของอดีตประธานาธิบดีสหรัฐฯ 2 คน ได้แก่ อดีตประธานาธิบดี George W. Bush และอดีตประธานาธิบดี Barack Obama เธอเคยดำรงตำแหน่งสำคัญ “Senior Director for Cyberspace at the National Security Council” ใน ปี 2009 (พ.ศ. 2552)
Mrs. Melissa ได้แชร์บทความที่เธอเคยเป็นผู้เขียนให้กับผมหลายบทความ (สามารถอ่านได้ที่ http://belfercenter.hks.harvard.edu/experts/2132/melissa_hathaway.html) และยังเล่าถึงเบื้องลึกเบื้องหลังการพัฒนานโยบายด้าน Cybersecurity ของสหรัฐฯ สรุปได้ว่าภาครัฐจำเป็นต้องมีภาวะผู้นำ (Leadership) โดยเฉพาะผู้บริหารระดับสูง (Top Management) ต้องเป็นผู้ผลักดันนโยบายด้าน Cybersecurity ด้วยตนเองและเป็นผู้รับผิดชอบในภาพรวมทั้งหมด หากเป็นประเทศไทยก็ต้องเป็น Cybersecurity Initiative โดยตรงมาจากนายกรัฐมนตรีเท่านั้นจึงจะส่งผลในทางปฏิบัติ
นอกจากนี้ผมมีโอกาสได้เข้าพบ Mrs. Jane Lute อดีตรองเลขาธิการ Department of Homeland Security (DHS) ซึ่งปัจจุบันดำรงตำแหน่ง President and CEO ของ Council on CyberSecurity เป็นองค์กรที่ให้กำเนิด “SANS Top 20 Critical Control” เป็น Critical Control ที่นิยมใช้กันทั่วโลก
Mrs. Jane ได้แชร์ประสบการณ์ในการพัฒนาศักยภาพของบุคลากรด้าน Cybersecurity ในสหรัฐอเมริกา โดยได้กล่าวถึงโปรแกรมในการเรียนรู้และพัฒนาบุคลากรรูปแบบใหม่ ที่ช่วยให้คนรุ่นใหม่สามารถเรียนรู้และพัฒนาตนเอง เธอกล่าวว่า Cybersecurity Workforce เป็นเรื่องสำคัญในอนาคต แม้ในประเทศสหรัฐอเมริกาเองก็ประสบปัญหาขาดแคลนบุคลากรทางด้าน Cybersecurity อย่างมาก
เธอมีความเชื่อใน 3 ส่วนของ Cyber Ecosystem ได้แก่ People, Technology และ Policy (ไม่ใช่ Process) ซึ่งทั้ง 3 ส่วนนี้ต้องพัฒนาไปด้วยกัน นโยบายที่ดีจะมีส่วนช่วยในการนำเทคโนโลยีมาใช้ให้ได้ผล ขณะเดียวกันการสร้างให้เกิดความรู้ความตระหนักกับบุคลากรในองค์กรและคนในชาติ (National Cybersecurity Awareness Programme) เป็นเรื่องสำคัญที่จะมองข้ามไม่ได้เช่นกัน
ผมยังได้รับโอกาสให้เข้าพบเป็นการส่วนตัวกับ Gov. Tom Ridge ผู้ทรงอิทธิพลด้าน Cybersecurity ของสหรัฐฯ ณ ที่ทำงานของท่านใน Washington D.C. ในบรรยากาศแบบเป็นกันเอง ท่านเคยดำรงตำแหน่งเลขาธิการคนแรกของ Department of Homeland Security (DHS) ภายใต้รัฐบาลของอดีตประธานาธิบดี George W. Bush ในช่วงปี 2001-2003 โดยภายหลังเหตุการณ์ 911 (ปี 2001) (พ.ศ. 2544) สหรัฐอเมริกาได้จัดตั้ง DHS นำโดย Gov. Tom Ridge ในช่วงปี 2003-2005 (พ.ศ. 2548-2548) ท่านได้ให้ความเห็นในฐานะผู้มีประสบการณ์ตรงด้าน Cybersecurity ระดับประเทศว่า ปัจจัยแห่งความสำเร็จของโครงการด้าน Cybersecurity คือ การสนับสนุนจาก Top Management ในระดับ C-Level เริ่มจาก CEO ต้องตระหนักถึงภัยไซเบอร์ ว่ามีผลกระทบต่อการดำเนินธุรกิจขององค์กร และมีผลกระทบต่อการให้บริการลูกค้าและชื่อเสียงขององค์กรในระยะยาว
ขณะเดียวกัน ยังได้กล่าวถึงบทบาทการทำงานของ DHS ที่มีส่วนของความร่วมมือกับ NIST ซึ่งเป็นหน่วยงานภายใต้ Department of Commerce โดย NIST เปรียบเสมือนสมองของ DHS ท่านได้กล่าวถึงโครงการ NICE (National Institute of Cybersecurity Education) csrc.nist.gov/nice ซึ่งได้จัดทำเอกสาร “Cyberspace Workforce Management Policy : DoDD 8140” (http://www.afcea.org/events/west/13/documents/CyberspaceWorkforceKeith.pdf) ที่มาแทน DoDD 8570 Information Assurance (IA) ซึ่งใช้ในการกำหนดคุณสมบัติเกี่ยวกับ Training, Certification และ Workforce Management
รวมทั้ง กล่าวถึงหน่วยงานใหม่ของ NIST คือ National Cybersecurity Center of Excellence (NCCoE) csrc.nist.gov/nccoe ซึ่งมีหน้าที่นำ Best Practices ของ NIST ไปทำการอิมพลีเมนต์จริงในหน่วยงานที่มีความพร้อมเพื่อทำเป็นต้นแบบให้กับหน่วยงานอื่นๆ ต่อไป ซึ่งแนวคิดนี้ ประเทศไทยควรศึกษาและนำมาเป็นแบบอย่าง หรือต้นแบบในการป้องกันด้านความมั่นคงปลอดภัยระดับประเทศ