Data Governance

Data Governance & Data Resilience กลยุทธ์ขับเคลื่อนองค์กรยุคดิจิทัล

บทความโดย อ.ปริญญา หอมเอนก ตีพิมพ์ใน Tax Magazine: ฉบับพฤษภาคม 2566

ปัญหาเรื่อง “Cybersecurity”, “Cyber Resilience”, “Data Protection” และ “Data Privacy” กำลังกลายเป็นวาระแห่งชาติในหลายประเทศทั้งในปัจจุบันและอนาคต โดยมีผลกระทบต่อความมั่นคงปลอดภัยและการพัฒนาเศรษฐกิจและสังคมของประเทศ ในมุมขององค์กรมีผลต่อความสูญเสียชื่อเสียง ความน่าเชื่อถือ ไปจนถึงทรัพย์สิน ซึ่งเป็นปัญหาในระดับชาติที่เรื้อรังมายาวนาน นับวันยิ่งมีจำนวนมากขึ้นและรุนแรงขึ้นโดยลำดับ

ในอดีตเรารู้จักคำว่า “Computer Security” หรือ “IT Security” ต่อมาได้ขยายวงกว้างมากขึ้นเปลี่ยนไปใช้คำว่า “Information Security” และปัจจุบันกลายเป็น “Cybersecurity” ทำนองเดียวกันกับวิวัฒนาการของ “Digital Economy” ที่เป็นยุคเริ่มต้นของเศรษฐกิจดิจิทัลเมื่อนับ 10 ปีมาแล้ว และต่อมาได้ก้าวสู่ยุค Data Economy เป็นช่วงที่อินเทอร์เน็ตและอุปกรณ์ดิจิทัลได้เข้ามามีบทบาทอย่างมากในชีวิตประจำวัน ไม่ว่าจะเป็นสมาร์ตโฟนหรือโซเชียลมีเดียที่มีใช้กันอย่างแพร่หลาย กล่าวได้ว่า Data Economy ก็คือ “Data-Driven Economy” เป็นระบบเศรษฐกิจที่ถูกขับเคลื่อนด้วยข้อมูล ยกตัวอย่างเช่น รัฐบาลมีข้อมูลพื้นที่ในการปลูกข้าวที่สามารถคาดการณ์ปริมาณผลผลิตทั่วประเทศ และนำข้อมูลไปวางแผนการบริโภคภายในประเทศ แผนการส่งออก และแปรรูป เป็นต้น ด้วยความเปลี่ยนแปลงที่เกิดขึ้นดังกล่าวทุกภาคส่วนจำเป็นต้องเตรียมความพร้อม บทความนี้จะได้กล่าวถึงหลักการด้านต่าง ๆ ไม่ว่าจะเป็นเรื่องทำความเข้าใจเรื่องข้อมูลหาย รั่ว ถูกเจาะ (Data Loss, Data Leak & Data Breach) ธรรมาภิบาลข้อมูล (Data Governance) ความทนทานและความยืดหยุ่นของระบบบริหารจัดการข้อมูล (Data Resilience) กรอบหรือแนวคิดในการบริหารจัดการความมั่นคงปลอดภัยและลดความเสี่ยงให้แก่องค์กร (ว่าด้วย NIST Cybersecurity Framework) ตลอดจนกฎหมายที่เกี่ยวข้อง (PDPA, Cybersecurity Act, Computer Crime Act) อีกทั้งยังรวมถึงคำแนะนำในการฝ่าฟันมรสุมภัยไซเบอร์สำหรับองค์กรในปี 2023ซึ่งจะเป็นประโยชน์ต่อองค์กร ทั้งผู้บริหารระดับสูง ผู้บริหารระดับกลาง และบุคลากร ได้ศึกษาเพื่อให้เข้าใจและรับรู้ถึงความจำเป็นที่ควรต้องวางรากฐานในเรื่องสำคัญนี้

ไขความต่าง “ข้อมูลรั่วในยุค New Normal กับ “ข้อมูลรั่วที่เกิดจากการกระทำ”

ในยุคนี้ควรต้องทำความเข้าใจกับคำว่า “ข้อมูลรั่ว” ให้ถ่องแท้ เพื่อให้เป็นประโยชน์ต่อการจัดการและการบริหารความเสี่ยงจากการเกิดปัญหาข้อมูลรั่วไหล โดยจะกล่าวถึงข้อมูลรั่ว 2 ประเภท ที่มีความแตกต่างกันอย่างสิ้นเชิง

ประเภทที่ 1 ข้อมูลรั่วในยุค New Normal ที่ผ่านมาเราอาจจะคุ้นเคยกับข้อมูลรั่วที่เกิดจากการถูกแฮกข้อมูล และไม่เคยคิดเลยว่าข้อมูลของเราจะรั่วไหลได้โดยไม่มีการถูกแฮกข้อมูลแต่อย่างไร แต่ในยุคปัจจุบัน ข้อมูลรั่วที่ไม่ได้เกิดจากการถูกแฮกได้อุบัติขึ้นแล้ว ซึ่งในบทความนี้จะเรียกว่า “ข้อมูลรั่วในยุค New Normal” โดยไม่ได้มีแฮกเกอร์เข้ามาเกี่ยวข้องแต่ประการใด เป็นข้อมูลรั่วในยุค New Normal ซึ่งเกิดจากการที่เราเป็นฝ่ายให้ข้อมูลส่วนบุคคลของตัวเราเองกับแพลตฟอร์ม ยกตัวอย่างเช่น การที่เราสมัครเข้าใช้แพลตฟอร์มโซเชียลมีเดียรายใหญ่ที่มีการขอความยินยอมในการอนุญาตให้แพลตฟอร์มใช้ข้อมูลของเราได้ (ขอ Consent) นั่นก็คือระหว่างที่สมัครแพลตฟอร์มจะมีเงื่อนไขให้เราอ่าน ตัวหนังสือเล็ก ๆ ความยาวหลายหน้า และส่วนใหญ่เป็นภาษาอังกฤษ เพื่อขอความยินยอมก่อนที่จะเข้าใช้แพลตฟอร์มนั้น ๆ และมักจะเป็นส่วนสำคัญของสัญญาการใช้งาน (Contract) ซึ่งที่ผ่านมาเรามักจะไม่อ่านแล้วก็เลื่อนลงไปข้างล่างเพื่อไปกดยอมรับ (Accept) จากนั้นก็เข้าไปใช้งานแพลตฟอร์มนั้นได้ทันที การยอมรับทำให้แพลตฟอร์มนั้นสามารถนำข้อมูลของเราไปใช้ได้อย่างถูกกฎหมาย ไม่ว่าจะนำไปใช้ทางการตลาด แชร์ให้พาร์ตเนอร์ และอาจถูกนำไปขายก็สามารถทำได้ ดังนั้นจึงไม่ต้องแปลกใจว่ามักจะมีคนโทรมาหาเรา รู้ข้อมูลส่วนตัวของเรา ทั้งชื่อ นามสกุล ที่อยู่ อีเมล เบอร์โทร เพื่อนำเสนอสินค้าและบริการให้แก่เรา และไม่ต้องสงสัยเลยว่าทำไมมีโฆษณาโรงแรมที่เขาใหญ่ขึ้นมาให้เราเห็นมากมายหลังจากที่เราค้นหาข้อมูล (Search) โรงแรมที่เขาใหญ่ ฯลฯ เป็นต้น เนื่องจากแพลตฟอร์มเหล่านั้นนำข้อมูลของเราไปทำ Data Monetization ซึ่งเป็นการเก็บรวบรวมข้อมูล ประมวลผล วิเคราะห์ มีการประยุกต์ใช้ข้อมูลของเราในการ Make Money นั่นเอง จึงสรุปได้ว่าข้อมูลส่วนบุคคลของเรา ตลอดจนข้อมูลที่เกี่ยวข้องกับไลฟ์สไตล์และความชอบต่าง ๆ ที่ถูกแพลตฟอร์มยักษ์ใหญ่นำไปใช้ นำไปแชร์ เป็นการเกิดข้อมูลรั่วในยุค New Normal ที่เกิดขึ้นมายาวนานกว่า 10 ปี โดยที่เราอาจไม่เคยรู้มาก่อน !

ประเภทที่ 2 ข้อมูลรั่วที่เกิดจากการกระทำ ในที่นี้ขอเริ่มต้นจากการอธิบายคำจำกัดความของข้อมูลรั่วในรูปแบบต่าง ๆ ได้แก่

  • Data Loss : ข้อมูลสูญหาย ข้อมูลที่เคยอยู่ในระบบแต่ต่อมาไม่อยู่แล้ว
  • Data Leak : ข้อมูลรั่วออกสู่สาธารณะ โดยข้อมูลของเรายังอยู่ครบถ้วนไม่สูญหาย อาจเกิดจากคนในหรือ Insider Threats อาจเกิดขึ้นโดยไม่ได้ตั้งใจ อาจไม่ได้เกิดจากการถูกแฮกก็เป็นได้
  • Data Breach หรือ Cloud Breach : เป็นการละเมิดข้อมูลจากการโจมตีทางไซเบอร์ที่มักจะเกิดจากแฮกเกอร์ โดยที่ข้อมูลของเรายังอยู่ที่เดิม แต่มีผู้ไม่หวังดีสามารถเข้ามาดูโดยไม่ได้รับอนุญาต ซึ่งปัจจุบันข้อมูลที่ถูกละเมิดมีทั้งที่อยู่ในระบบภายในขององค์กรที่จัดเก็บแบบ On-Premise และข้อมูลที่อยู่บนระบบคลาวด์ ซึ่งหมายถึง Cloud Breach

ขอให้มุมมองว่า Data Loss, Data Leak และ Data Breach หรือ Cloud Breach เป็น “ข้อมูลรั่วที่เกิดจากการกระทำ” ได้แก่ ข้อมูลรั่วจากการถูกแฮก ข้อมูลรั่วจากความประมาท ข้อมูลรั่วและถูกทำลายจนสูญหายหรือใช้งานไม่ได้ ข้อมูลรั่วที่เกิดจากการกระทำที่ทำให้ผู้ที่ไม่เกี่ยวข้องได้เข้ามาเห็นข้อมูลส่วนบุคคล ซึ่งเมื่อมีเหตุการณ์ข้อมูลรั่วที่เกิดจากการกระทำบ่อยครั้งมากขึ้นจึงจำเป็นต้องมีการป้องกันข้อมูล (Data Protection) อย่างเป็นระบบ จนเป็นที่มาให้มีการประกาศให้กฎหมายคุ้มครองข้อมูลมีผลบังคับใช้โดยในประเทศไทย ได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรารู้จักกันดีในชื่อ PDPA (Personal Data Protection Act) ที่มีการจัดทำขึ้นมาให้สอดคล้องกับ General Data Protection Regulation หรือ GDPR ซึ่งมีการประกาศใช้ในยุโรป กฎหมายทั้ง 2 แม้จะมีเป้าหมายในด้านการคุ้มครองข้อมูลส่วนบุคคลเหมือนกัน สังเกตได้ว่าอักษรย่อตรงกลางหรือ “DP” คือ “Data Protection” หมายถึงการป้องกัน ไม่ใช่ “DP” ที่ย่อมาจาก “Data Privacy” แต่อย่างใด ทั้งนี้ เนื่องจากเจตนารมณ์ของ PDPA และ GDPR เพื่อปกป้องข้อมูล ป้องกันข้อมูลส่วนบุคคลรั่วไหลหรือถูกละเมิด ดังนั้นการที่จะปฏิบัติตาม (Comply) กฎหมาย จะกล่าวถึงแต่เรื่อง Data Privacy อย่างเดียวโดยไม่กล่าวถึง Data Protection ไม่ได้ นอกจากนี้ยังต้องให้ความสำคัญกับเรื่อง Data Security ด้วย เพราะ Data Security คือหัวใจสำคัญขั้นพื้นฐานของการป้องกันข้อมูลส่วนบุคคล

คำแนะนำจากผู้เขียน

การแก้ปัญหาข้อมูลรั่วในยุค New Normal ให้ตระหนักถึงการใช้สื่อโซเชียลที่ควรไตร่ตรองก่อนจะโพสต์ และก่อนที่จะให้ข้อมูลกับแพลตฟอร์มต่าง ๆ หากเป็นข้อมูลความลับ ข้อมูลส่วนบุคคลที่ Sensitive ภาพส่วนบุคคลที่ไม่ต้องการเผยแพร่สาธารณะ ควรจัดเก็บในฮาร์ดดิสก์ของตัวเอง ไม่ควรที่จะนำไปจัดเก็บไว้บน Cloud สาธารณะหรือ Public Cloud รวมถึงก่อนที่จะให้ข้อมูลและก่อนที่จะ Accept หรือยอมรับเงื่อนไขการเข้าใช้งานแพลตฟอร์ม จะต้องอ่านเงื่อนไขที่แพลตฟอร์มแจ้งมาว่าจะเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเราอย่างไรบ้าง หากไม่ต้องการให้แพลตฟอร์มเก็บ ใช้ และเผยแพร่ข้อมูลบุคคลของเราก็ไม่ควรที่จะ Accept (แต่อาจจะลงทะเบียนเข้าใช้ไม่สำเร็จ) ในทางกลับกันถ้าเราต้องการใช้สื่อโซเชียลแพลตฟอร์มนั้น เราก็อาจจะจำเป็นต้องแลกกับการให้ข้อมูลส่วนบุคคลไป อย่างไรก็ตาม เรายังสามารถควบคุมได้ด้วยการที่ไม่โพสต์ในเรื่องที่ Sensitive และมีความเสี่ยง

การแก้ปัญหาข้อมูลรั่วที่เกิดจากการกระทำ ให้องค์กรเริ่มต้นจากเรื่อง Data Security ก่อนที่จะดำเนินการเรื่อง Data Privacy ใน PDPA เพราะไม่เช่นนั้นแล้วองค์กรก็จะไม่มีทางไปถึงเรื่องการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection ส่วนแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของข้อมูล องค์กรสามารถยึดตามหลักการ CIA Triad ซึ่งประกอบด้วย Confidentiality, Integrity และ Availability

ภาพจาก : https://websitesecuritystore.com/blog/what-is-the-cia-triad/

มารู้จักกับ “ธรรมาภิบาลข้อมูล”

หลักคิดธรรมาภิบาลข้อมูล หรือ Data Governance หมายถึง กระบวนการ (Process) ในการบริหารจัดการข้อมูล (Data Management) โดยใช้กรอบการดำเนินงานและนโยบาย (Framework and Policies) เพื่อให้การจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพ เป็นไปตามข้อกำหนดและมาตรฐานที่กำหนดไว้ โดยครอบคลุมการกำหนดนโยบาย การรวบรวม การจัดเก็บ การจัดการ การเข้าถึง การใช้ การแชร์ และการปกป้องคุ้มครองข้อมูล มุ่งเน้นการจัดการข้อมูลให้มีความครบถ้วนสมบูรณ์และมีความมั่นคงปลอดภัย เพื่อให้มั่นใจว่าข้อมูลจะนำไปใช้งานอย่างมีประสิทธิภาพและปลอดภัย เป็นไปตามกฎหมายและมาตรฐานการใช้งานข้อมูล อีกทั้งยังมีการควบคุมผู้มีสิทธิ์ในการเข้าถึงและการใช้งานข้อมูลอีกด้วย เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ไม่เหมาะสมหรือนำไปใช้ผิดวัตถุประสงค์ โดยทั่วไปแล้ว การนำหลักคิด Data Governance มาประยุกต์ใช้ในองค์กรมีความสำคัญอย่างมากต่อการขับเคลื่อนองค์กร ช่วยให้องค์กรสามารถนำข้อมูลมาใช้เป็นส่วนหนึ่งของกลยุทธ์ธุรกิจได้อย่างมีประสิทธิภาพ และลดความเสี่ยงที่เกี่ยวกับปัญหาด้านความถูกต้องของข้อมูล ความมั่นคงปลอดภัย และการไม่ปฏิบัติหรือการกระทำผิดเกี่ยวกับข้อมูลตามกฎหมายต่าง ๆ ที่เกี่ยวข้อง

การนำหลักคิด Data Governance มาประยุกต์ใช้ในองค์กร ควรจัดให้มีการกำหนดมาตรฐาน นโยบาย และวิธีการในการเก็บรักษา จัดการ และใช้งานข้อมูลต่าง ๆ ในองค์กร เพื่อให้เป็นไปตามเป้าหมายขององค์กร นอกจากนี้ การดูแลรักษาและการจัดการข้อมูลที่ถูกต้องจะช่วยให้องค์กรรักษาความมั่นคงปลอดภัยของข้อมูลและปกป้องคุ้มครองข้อมูล ตอบสนองต่อการตรวจสอบและการควบคุมการใช้ข้อมูล ช่วยให้องค์กรมีการบริหารจัดการข้อมูลที่มีประสิทธิภาพและเป็นระบบ เพื่อให้การนำข้อมูลไปใช้ในการตัดสินใจและการวางแผนการดำเนินธุรกิจขององค์กรได้ดีขึ้น โดยองค์ประกอบหลักของ Data Governance ที่สามารถนำมาประยุกต์ใช้ในองค์กร ได้แก่

1. การกำหนดกลยุทธ์ข้อมูล (Data Strategy) หมายถึง การกำหนดวิสัยทัศน์และเป้าหมายโดยรวมของการใช้ข้อมูลในองค์กรว่าต้องการนำข้อมูลไปใช้ประโยชน์อย่างไร เพื่อวัตถุประสงค์อะไร รวมถึงการเก็บรวบรวม จัดเก็บ ประมวลผล และวิเคราะห์ข้อมูล

2. คุณภาพของข้อมูล (Data Quality) หมายถึง การให้ความสำคัญในการตรวจสอบและรับรองว่าข้อมูลที่ใช้งานอยู่มีความถูกต้อง ครบถ้วนสมบูรณ์ เชื่อถือได้

3. การบริหารจัดการข้อมูล (Data Management) หมายถึง การกำหนดนโยบาย กระบวนการในการจัดการข้อมูล และมีระบบบริหารจัดการข้อมูลที่มีประสิทธิภาพตลอดระยะเวลาการใช้งานของข้อมูล (Data Life Cycle)

4. ความมั่นคงปลอดภัยของข้อมูล (Data Security) หมายถึง การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหายของข้อมูล หรือการถูกโจมตีข้อมูล ตามหลักการ CIA Triad

5. ความเป็นส่วนตัวของข้อมูล (Data Privacy) หมายถึง การปฏิบัติตามข้อกำหนดต่าง ๆ ที่เกี่ยวข้องกับการจัดการข้อมูล โดยการเก็บรวบรวมและการใช้งานข้อมูลต้องปฏิบัติให้สอดคล้องกับนโยบายความเป็นส่วนตัวของเจ้าของข้อมูล ตลอดจนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

6. การกำหนดมาตรฐานข้อมูล (Data Standards) หมายถึง การกำหนดมาตรฐานการจัดเก็บและการใช้งานข้อมูลเพื่อให้มีความสอดคล้องกันในองค์กร

7. การบริหารความเสี่ยง (Risk Management) หมายถึง การระบุและวิเคราะห์ความเสี่ยงในการบริหารจัดการข้อมูล เพื่อวางแผนในการลดความเสี่ยงและการจัดการกับความเสี่ยงที่ยังเหลืออยู่ในระดับที่ยอมรับได้

8. การตรวจสอบและการติดตามผลนำเสนอผู้บริหารระดับสูง (Monitoring and Reporting) หมายถึง การตรวจสอบและติดตามผลการดำเนินงานของ Data Governance เพื่อปรับปรุงและพัฒนาให้ดียิ่งขึ้นอย่างต่อเนื่อง

Data Resilience สำคัญเช่นกัน

หลักการอีกเรื่องที่สำคัญไม่ยิ่งหย่อนไปกว่า Data Governance นั่นก็คือ Data Resilience ซึ่งหมายถึง ความทนทานของข้อมูล และความยืดหยุ่นของระบบบริหารจัดการข้อมูล ซึ่งสามารถต้านทานและกู้คืนข้อมูลจากการโจมตีทางไซเบอร์ การเกิดภัยพิบัติ หรือการสูญหายของข้อมูลได้อย่างมีประสิทธิภาพ รวดเร็ว ทันท่วงที เพื่อให้ข้อมูลยังคงอยู่และสามารถนำไปใช้ในการดำเนินธุรกิจต่อไปได้โดยธุรกิจไม่สะดุด สามารถรับมือกับสถานการณ์ไม่พึงประสงค์ที่เกิดขึ้น โดยมีการสำรวจความเสียหายที่อาจเกิดขึ้นกับข้อมูล มีการวางแผนการดำเนินงานเพื่อรักษาความมั่นคงปลอดภัยของข้อมูลและการคุ้มครองข้อมูลส่วนบุคคล เมื่อเกิดสถานการณ์ฉุกเฉินที่ไม่ได้คาดคิดมาก่อน องค์กรจำเป็นต้องเพิ่มความต้านทานให้กับระบบจัดเก็บข้อมูลเพื่อลดความเสี่ยงในการสูญหายของข้อมูลและช่วยให้ระบบสามารถกู้คืนข้อมูลได้อย่างรวดเร็วทันเวลา

การวางแผนเพื่อเตรียมการก่อนเกิดการถูกโจมตีทางไซเบอร์ ภัยพิบัติ หรือเกิดการสูญหายของข้อมูล การวางแผนความเสี่ยงและการทดสอบความพร้อมของระบบ เพื่อให้ระบบข้อมูลขององค์กรมีความสามารถในการต่อสู้กับภัยคุกคามต่าง ๆ ได้อย่างมีประสิทธิภาพ ซึ่งเป็นสิ่งสำคัญอย่างมากสำหรับองค์กรที่ในปัจจุบันมีการใช้ข้อมูลเป็นส่วนหนึ่งของกลยุทธ์ทางธุรกิจ และจำเป็นต้องมีการอัปเดตและปรับปรุงความทนทานของระบบการจัดการข้อมูลอยู่เสมอ เพื่อให้มีความพร้อมในการรับมือกับการถูกโจมตีทางไซเบอร์ ภัยพิบัติ การสูญหายของข้อมูล และการเปลี่ยนแปลงในอนาคต (BANI World) ได้อย่างมีประสิทธิภาพและทันท่วงที จึงจะกล่าวถึงภารกิจด้าน Data Resilience ที่องค์กรควรจะต้องนึกถึงซึ่งประกอบไปด้วย

1. การสำรองข้อมูล (Data Backup) หมายถึง การทำสำเนาข้อมูลโดยมีวัตถุประสงค์ในการนำข้อมูลสำรองไว้ใช้สำหรับการกู้คืนข้อมูลในกรณีที่ถูกโจมตีทางไซเบอร์ การเกิดภัยพิบัติ หรือเกิดการสูญหายของข้อมูล

2. การกู้คืนข้อมูล (Data Recovery) หมายถึง การนำข้อมูลสำรองที่มีอยู่เพื่อนำกลับมาใช้งานได้ตามปกติหลังจากเกิดการโจมตีทางไซเบอร์ เกิดภัยพิบัติ หรือเกิดการสูญหายของข้อมูล

3. การทดสอบและการฝึกอบรม (Testing and Training) หมายถึง การทดสอบระบบการสำรองข้อมูลว่าสามารถกู้ข้อมูลได้อย่างมีประสิทธิภาพ และจัดให้มีการฝึกอบรมบุคลากรเพื่อเตรียมความพร้อมในการดำเนินงานในสถานการณ์ฉุกเฉิน

4. การบำรุงรักษาระบบ (System Maintenance) หมายถึง การดูแลรักษาระบบเพื่อให้มีประสิทธิภาพในการสำรองข้อมูลและการกู้คืนข้อมูล

5. การวางแผนบริหารความเสี่ยง (Risk Planning) หมายถึง การวางแผนและระบุความเสี่ยงที่อาจเกิดขึ้นและวางแผนในการจัดการกับความเสี่ยงที่อาจเกิดขึ้นจากสถานการณ์ไม่พึงประสงค์

6. การเสริมสร้างความทนทานของระบบ (System Resilience) หมายถึง การออกแบบและพัฒนาระบบที่มีความทนทานต่อการถูกโจมตีทางไซเบอร์ การเกิดภัยพิบัติ การสูญหายของข้อมูล โดยมีความสามารถในการกู้คืนข้อมูลในเวลาที่เหมาะสมและรวดเร็วทันการ เพื่อลดความเสียหายที่มีโอกาสเกิดขึ้น

ขั้นตอนหลักในการประยุกต์ใช้ Data Resilience ในองค์กรมี 5 ขั้นตอนดังนี้

1. วิเคราะห์ความเสี่ยงและประเมินความพร้อมของระบบ : วิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นกับระบบขององค์กร และประเมินความพร้อมของระบบที่มีอยู่ในปัจจุบันว่ามีความทนทานต่อการถูกโจมตีทางไซเบอร์ การเกิดภัยพิบัติ การสูญหายของข้อมูล เพียงพอหรือไม่อย่างไร

2. วางแผนการจัดการความเสี่ยง : วางแผนการจัดการความเสี่ยงที่เหมาะสมในกรณีที่ถูกโจมตีทางไซเบอร์ การเกิดภัยพิบัติ การสูญหายของข้อมูล โดยรวมถึงแผนการสำรองข้อมูลและการกู้คืนข้อมูล

3. จัดให้มีระบบการสำรองข้อมูลและการกู้คืนข้อมูล : จัดให้มีระบบการสำรองข้อมูลและการกู้คืนข้อมูลที่เหมาะสมตามแผนการจัดการความเสี่ยง โดยควรระบุถึงเทคโนโลยีและเครื่องมือที่ใช้ในการสำรองข้อมูลและการกู้คืนข้อมูลให้ชัดเจน

4. จัดให้มีการทดสอบระบบการสำรองข้อมูลและการกู้คืนข้อมูล : ทดสอบระบบการสำรองข้อมูลและการกู้คืนข้อมูลได้จริง เพื่อตรวจสอบความเสี่ยงและความพร้อมของระบบในการตอบสนองต่อการถูกโจมตีทางไซเบอร์ การเกิดภัยพิบัติ การสูญหายของข้อมูล

5. จัดให้มีการฝึกอบรมพนักงานและผู้บริหารทุกคน : ฝึกอบรมพนักงานและผู้บริหารเกี่ยวกับระบบการสำรองข้อมูลและการกู้คืนข้อมูล เพื่อให้พนักงานและผู้บริหารมีการเตรียมความพร้อมต่อเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา

หากองค์กรดำเนินการตามหลักการดังที่กล่าวมานี้ เชื่อว่าจะทำให้เกิดการเตรียมความพร้อมที่จะทำให้ก้าวไปสู่ขั้นตอนต่อไปได้ไม่ยาก

ทำความเข้าใจ NIST Cybersecurity Framework ตอบโจทย์ด้านความมั่นคงปลอดภัยในระดับองค์กร

เป็นที่ทราบกันดีว่าการแก้ปัญหาการโจมตีทางไซเบอร์ หรือ “Cyber Attack” ไม่สามารถแก้ปัญหาทางด้านเทคนิคเพียงอย่างเดียว เพราะยังมีอีกหลายประเด็นที่ต้องตระหนักถึง ในองค์กรทั่วไปโดยส่วนใหญ่ได้นำกรอบแนวคิด NIST Cybersecurity Framework มาเป็นแนวทางปฏิบัติ แต่อย่างไรก็ตาม ต้องแก้ปัญหาด้านการโจมตีทางไซเบอร์ทางด้านเทคนิคควบคู่ไปด้วย โดยประเด็นที่จะต้องปฏิบัติประกอบด้วยเรื่องนโยบาย กลยุทธ์ และกฎหมาย ที่จำเป็นต้องมีผู้นำองค์กรผลักดันอย่างเอาจริงเอาจังตั้งแต่เริ่มต้นเพื่อให้บรรลุต่อเป้าหมายที่วางไว้ โดย NIST Cybersecurity Framework ซึ่งเป็นกรอบนโยบายในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้รับการยอมรับในระดับสากลนั้น มีความเหมาะสมต่อการประเมินองค์กรในรูปแบบ Gap Analysis “As Is” vs. “To Be” ทำให้องค์กรได้มองเห็นจุดอ่อนและช่องโหว่ในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังสามารถกำหนดแนวทางในการปรับปรุงความสามารถในการรักษาความปลอดภัยทางไซเบอร์ (Improve Cybersecurity Capacity) ขององค์กรในระยะยาวด้วย NIST Cybersecurity Framework ประกอบด้วย 3 องค์ประกอบหลักที่เรียกว่า Framework Core, Framework Implementation Tiers และ Framework Profiles ซึ่งในที่นี้จะเจาะลึกถึงหัวใจของ Framework Core หรือโครงสร้างหลักของกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์

องค์ประกอบของ Framework Core เพื่อนำมาใช้ในการดำเนินการร่วมกันประกอบด้วย

  • หน้าที่งาน (Functions) เป็นกิจกรรมพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ในระดับภาพรวม จำแนกเป็น 5 ฟังก์ชัน (IPDRR : Identify, Protect, Detect, Respond, Recover)
  • กลุ่มงาน (Categories) เป็นกลุ่มงานที่จำแนกตามผลลัพธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อาทิ การจัดการทรัพย์สิน การควบคุมการเข้าถึง
  • กลุ่มงานย่อย (Subcategories) เป็นกลุ่มงานที่จำแนกย่อยตามผลลัพธ์เฉพาะด้านในเชิงเทคนิค และ/หรือกิจกรรมในการบริหารจัดการ
  • ข้อมูลอ้างอิง (Informative References) เป็นส่วนที่เป็นมาตรฐาน แนวทาง และแนวปฏิบัติที่ใช้ในกลุ่มหน่วยงานโครงสร้างพื้นฐานสำคัญในแต่ละกลุ่ม

สำหรับหน้าที่งาน (Functions) ซึ่งเป็นกิจกรรมงานหลักด้านความมั่นคงปลอดภัยไซเบอร์5  ฟังก์ชัน คือ IPDRR ที่องค์กรนำมาใช้เป็นกรอบปฏิบัติได้ ปัจจุบันนับว่าเป็นหัวใจของแนวปฏิบัติที่จะนำพาองค์กรก้าวไปสู่ความสำเร็จของการบริหารจัดการในด้านความมั่นคงปลอดภัยไซเบอร์ได้อย่างมีประสิทธิภาพ มีรายละเอียดดังนี้

1. Identify (การระบุ) เป็นขั้นตอนแรกในการศึกษาทำความเข้าใจบริบท ทรัพยากร และกิจกรรมงานสำคัญ เพื่อบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีต่อระบบ ทรัพย์สิน ข้อมูล และขีดความสามารถ

2. Protect (การป้องกัน) เป็นการจัดทำและดำเนินการตามมาตรการป้องกันที่เหมาะสมสำหรับการให้บริการโครงสร้างพื้นฐานสำคัญ โดยมีวัตถุประสงค์เพื่อจำกัดระดับผลกระทบของเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมถึงการฝึกอบรมและการสร้างความตระหนัก มาตรการควบคุมการเข้าถึง และมาตรการด้านความมั่นคงปลอดภัยต่าง ๆ ทั้งกระบวนการและวิธีปฏิบัติ ตลอดจนเทคโนโลยี

3. Detect (การตรวจจับ) เป็นการจัดทำและดำเนินกิจกรรมเพื่อตรวจหาเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น ครอบคลุมถึงกระบวนการเฝ้าระวังหรือตรวจติดตามอย่างต่อเนื่อง

4. Respond (การตอบสนอง) เป็นการจัดทำและดำเนินกิจกรรมเพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ ครอบคลุมถึงการวางแผนรับมือ การสื่อสาร การวิเคราะห์ การลดความเสี่ยง และการปรับปรุง

5. Recover (การคืนสภาพ) เป็นการจัดทำและดำเนินกิจกรรมตามแผนงาน เพื่อรองรับการดำเนินงานให้เกิดความต่อเนื่อง รวมถึงแผนการกู้คืนทั้งด้านขีดความสามารถและบริการให้ได้ตามที่กำหนด

ทั้งนี้ นโยบายดังกล่าวต้องมาจากวิสัยทัศน์และภาวะผู้นำของผู้บริหารระดับสูงขององค์กร (Top Management’s Vision and Leadership) ที่ต้องให้เตรียมพร้อมรับมือ ดังคำที่ว่า “ป้องกันไว้ก่อน ดีกว่ามาแก้กันทีหลัง” ด้วยการมองหาแนวทางและโอกาสในการปรับปรุง (Opportunities for Improvement : OFI) โดยการดำเนินการป้องกันไว้ก่อนในรูปแบบลักษณะเกราะกันภัยจากกรอบการดำเนินงานที่นำมาปฏิบัติใช้งานได้อย่างจริงจังและต่อเนื่อง ไม่ใช่มีเกราะกันภัยแต่ปล่อยไว้ไม่ใช้งานหรือใช้บ้างไม่ใช้บ้าง ซึ่งอาจต้องมาตามแก้ไขผลกระทบจากภัยคุกคามและความเสี่ยงที่เกิดขึ้นทั้งที่รู้และไม่รู้ (Known and Unknown Threats/Risk)

4 กฎหมายดิจิทัลที่ผู้บริหารองค์กรต้องรู้

ปัจจุบันประเทศไทยมีการประกาศใช้กฎหมายที่เกี่ยวข้องกับเทคโนโลยีดิจิทัลแล้วหลายฉบับ แต่ในที่นี้ได้นำกฎหมายเฉพาะ 4 ฉบับมากล่าวถึง โดยมีรายละเอียดดังนี้

1. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ พ.ศ. 2560 (ฉบับที่ 2) มีสาระสำคัญเพื่อป้องกันและปราบปรามการกระทำความผิดต่อข้อมูล/ระบบคอมพิวเตอร์ ที่ก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และความมั่นคงของชาติ

2. พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีสาระสำคัญเพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศมีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

3. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสาระสำคัญเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคล

4. พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ภายหลังมีการปรับปรุงใน พ.ศ. 2551 และ พ.ศ. 2562) มีสาระสำคัญเพื่อให้ข้อมูลอิเล็กทรอนิกส์มีผลเท่ากับข้อมูลกระดาษ ไม่ว่าจะเป็นเอกสาร ข้อความ ลายเซ็น สามารถใช้เป็นหลักฐานในชั้นศาลได้ และยังเป็นกฎหมายกลางที่รองรับสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ของกฎหมายอื่น ๆ ด้วย

ทั้งนี้ ขอเจาะลึกเฉพาะบางส่วน เริ่มตั้งแต่พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ เปรียบได้ว่าเป็นกฎหมายรากฐานที่สำคัญยิ่งต่อพระราชบัญญัติอีก 3 ฉบับข้างต้น เนื่องจากออกมาปลดล็อกให้ธุรกรรมต่าง ๆ สามารถทำผ่านระบบอิเล็กทรอนิกส์ได้อย่างถูกต้องตามกฎหมายหรือมีกฎหมายรองรับนั่นเอง ในปัจจุบันจึงเกิดธุรกรรมทางอิเล็กทรอนิกส์ต่าง ๆ มากมายที่แตกต่างจากในอดีต เช่น เปิดบัญชีธนาคารได้โดยไม่ต้องไปที่สาขา เอกสารราชการใช้ในรูปแบบอิเล็กทรอนิกส์ได้และมีผลอย่างสมบูรณ์ทางกฏหมาย การใช้บริการจากหน่วยงานรัฐไม่ต้องถ่ายเอกสารบัตรประชาชน และข้อความที่สนทนาระหว่างกันสามารถใช้เป็นหลักฐานในชั้นศาลได้ เป็นต้น ก้าวต่อมาคือความจำเป็นที่จะต้องมีกฎหมายอื่น ๆ ที่เกี่ยวเนื่องออกมาควบคุมด้วย ดังเช่น

1. ข้อมูลส่วนบุคคลอยู่ในระบบอิเล็กทรอนิกส์ก็จำเป็นต้องมี PDPA ออกมาควบคุม

2. ประชาชนนิยมใช้ Mobile Banking กันอย่างมาก (คนไทยใช้ Mobile Banking เป็นอันดับหนึ่งของโลก) ก็จำเป็นต้องมีกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ออกมากำหนดให้องค์กรที่จัดอยู่ในกลุ่มโครงสร้างพื้นฐานสำคัญยิ่งยวด ต้องปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยตามที่กฎหมายระบุ

3. การใช้สื่อดิจิทัลเป็นเครื่องมือในการทำให้ผู้อื่นเกิดความเสียหาย ไม่ว่าจะเป็นส่งข้อมูลอันเป็นเท็จ การทำ Cyberbullying ผ่านสื่อดิจิทัล ตลอดจนการเจาะระบบและการโจมตีทางไซเบอร์ ปัจจุบันจึงจำเป็นต้องมีกฎหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ออกมาบังคับใช้

ในอีกมิติหนึ่ง พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ยังเชื่อมโยงกับเรื่อง Data Governance และ Data Resilience เพราะทั้ง Data Governance และ Data Resilience เป็นรากฐานด้านการบริหารจัดการ “Data” หรือ “ข้อมูล” ที่จะต้องมีความโปร่งใส มั่นคง ปลอดภัย ไม่ละเมิดสิทธิ์ส่วนบุคคล และมีความทนทานยืดหยุ่นต่อภัยไซเบอร์ที่อาจเกิดขึ้นเมื่อไรก็ได้ โดยองค์กรจะต้องสามารถกู้คืนและทำให้ธุรกิจดำเนินการได้อย่างต่อเนื่อง เพราะหากองค์กรทำการบริหารจัดการให้ “ข้อมูล” อยู่ในสภาวะแวดล้อมที่ไม่ดีพอก็อาจกล่าวได้ว่าไม่มีรากฐานที่แข็งแรง การที่จะปฏิบัติตามข้อบังคับในกฎหมายต่าง ๆ ก็จะเกิดความล้มเหลวได้ง่าย ๆ เปรียบเสมือนการสร้างบ้านที่ไม่ได้ตอกเสาเข็มไว้ให้ลึกตามมาตรฐานตั้งแต่แรกก็ว่าได้ และหากจะขยายความในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อธิบายได้ว่าเป็นกฎหมายที่ให้ความคุ้มครองข้อมูลของบุคคล ประชาชนมีสิทธิในข้อมูลส่วนบุคคลของตนเอง หากใครละเมิดข้อมูลของเรา แล้วทำให้เกิดความเสียหายหรือเสื่อมเสีย เราสามารถเอาผิดโดยร้องต่อหน่วยงานผู้ควบคุมกฎได้ ดังที่กล่าวแล้วว่า PDPA มีความสอดคล้องกับกฎหมาย GDPR ที่ใช้กันในหลาย ๆ ประเทศมาระยะหนึ่งแล้ว โดยในมิติขององค์กรนั้นจะต้องปฏิบัติตาม PDPA อันประกอบด้วยการจัดทำ Privacy Policy, Privacy Notice ไปจนถึง Data Inventory, Consent Management รวมทั้งองค์กรจะต้องมีการแต่งตั้ง DPO (Data Protection Officer) ตลอดจน Data Controller ควรจัดให้มีระบบรักษาความปลอดภัยไซเบอร์ที่ได้ตามมาตรฐานขั้นต่ำที่พึงมี โดยศึกษาได้จากมาตรฐานที่ Regulator ประกาศให้องค์กรปฏิบัติ เพื่อไม่ให้เกิดปัญหาข้อมูลรั่วหรือถูกโจมตีได้ง่าย ๆ แต่ประเด็นที่อาจลืมได้คือ การสร้างความตระหนักถึงการรักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งเป็นรากฐานหลักของระบบโครงสร้างพื้นฐานสารสนเทศขององค์กรที่จะละเลยไม่ได้ และหากองค์กรไม่มีรากฐานการรักษาความมั่นคงปลอดภัยของข้อมูลที่แข็งแกร่งพอก็ไม่อาจจะประสบความสำเร็จกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไปได้เลย ทั้งนี้ ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ยังรอคอยกฎหมายลำดับรองที่ต้องออกมาให้ครบอีกหลายฉบับ ซึ่งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะทยอยประกาศออกมาอย่างต่อเนื่อง อย่างไรก็ตาม ในจุดนี้ผู้บริหารองค์กรควรเปลี่ยน Mindset มองว่าการทำตาม PDPA “ไม่ใช่ภาระ” แต่ PDPA จะสร้างความมั่นใจให้กับลูกค้า ทั้งยังเป็นการสร้าง Brand Loyalty ในระยะยาวได้อย่างยั่งยืน และข้อดีอีกประการที่เป็นประโยชน์ คือ หากเกิดเหตุการณ์ “ข้อมูลรั่ว” องค์กรที่คอมไพล์ตาม PDPA ก็อาจจะถูกจัดให้อยู่ในกลุ่มที่มีความตั้งใจที่จะปฏิบัติตามกฎหมายซึ่งอาจได้รับการพิจารณาโทษที่ไม่รุนแรงนัก

ในขณะเดียวกัน หากจะกล่าวถึงความจำเป็นของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ อธิบายได้ว่าปัจจุบันภัยคุกคามทางไซเบอร์เกิดขึ้นจำนวนมากและมีความรุนแรงที่สร้างความเสียหายให้แก่ประชาชน สังคม ตลอดจนประเทศชาติ ทั้งประเทศที่พัฒนาแล้วหรือประเทศที่กำลังพัฒนา ดังจะเห็นได้จากเหตุการณ์ครั้งใหญ่ที่เกิดขึ้นกับองค์กรที่ดำเนินการด้านโครงสร้างพื้นฐานสำคัญของประเทศ เช่น การแฮกข้อมูลประวัติผู้ป่วยของโรงพยาบาลในประเทศไทย และยังมีเหตุการณ์เรียกค่าไถ่เพื่อแลกกับการได้คืนข้อมูลที่ถูกเจาะหรือที่เรียกว่า Ransomware โดยบริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกาถูกโจมตี ทำให้ต้องหยุดการขนส่งน้ำมันบางส่วนลงชั่วคราวเพื่อแก้ไขปัญหาดังกล่าว สร้างความเสียหายเป็นอย่างมาก Ransomware ที่เกิดขึ้นนั้นเป็นปฏิบัติการอาชญากรรมข้ามชาติที่จู่โจมเป้าหมายที่เป็นองค์กรหรือหน่วยงานโครงสร้างพื้นฐานสำคัญยิ่งยวด (Critical Infrastructure) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ จึงมีความจำเป็นเพราะเป็นกฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของชาติและความสงบเรียบร้อยภายในประเทศ โดยกำหนดให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือหน่วยงาน CII (Critical Information Infrastructure)[1] ต้องปฏิบัติตามมาตรฐานขั้นต่ำ


[1] ปัจจุบันหน่วยงานที่เข้าข่าย CII ในประเทศไทยมีกว่า 200 แห่ง ประกอบด้วย 7 ด้าน คือ หน่วยงานด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข อีกทั้งในอนาคตสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) อาจมีการประกาศเพิ่มเติม

5 คำแนะนำ พาองค์กรฝ่ามรสุมภัยไซเบอร์ปี 2023

เมื่อองค์กรจำเป็นต้องตระหนักถึงความมั่นคงปลอดภัยไซเบอร์ ซึ่งปัจจุบันได้กลายเป็นเรื่องใกล้ตัวที่หากองค์กรถูกโจมตีอาจก่อให้เกิดความเสียหายอย่างมหาศาลเกินกว่าที่จะประมาณการได้ โดยการเตรียมความพร้อมขั้นต้นมีคำแนะนำ 5 ประการ ดังนี้

1: ซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) และจำลองเหตุการณ์ไม่พึงประสงค์เสมือนจริง (BAS)

“Cyber Drill” (Cyber Attack Simulation) เป็นการจำลองเหตุการณ์โจมตีทั้งการโจมตีระบบเพื่อบุกรุกเข้าสู่ระบบสารสนเทศและการโจมตีที่จิตใจคน เพราะปัจจุบันภัยไซเบอร์มุ่งเป้าโจมตีไปที่จิตใจคนเพื่อให้เกิดความโลภหรือเกิดความกลัวจนรีบทำในสิ่งที่แฮกเกอร์หลอกลวงโดยไม่รู้เท่าทัน การจำลองเหตุการณ์ Cyber Attack จะทำให้เกิดความคุ้นชินกับการโจมตี และไม่ตื่นตระหนกตกใจกับเหตุการณ์ดังกล่าวมากจนเกินไป เพราะหากคนมีสติ โอกาสที่จะตกเป็นเหยื่อมิจฉาชีพก็จะลดลง องค์กรจึงควรจะต้องทำการซักซ้อมแนวทางปฏิบัติหรือซ้อมหนีไฟทางไซเบอร์ (Cyber Drill) เพื่อให้สามารถรับมือกับการเผชิญเหตุอย่างน้อยปีละ 1-2 ครั้ง เป็นการสร้างภูมิคุ้มกันให้แก่บุคลากรและองค์กร อีกทั้งยังควรจัดให้มีการจำลองเหตุการณ์ไม่พึงประสงค์เสมือนจริง (Breach and Attack Simulation : BAS) เพื่อให้เกิดการเรียนรู้เชิงลึก เช่น จำลองสถานการณ์ข้อมูลรั่วไหลเพื่อเรียนรู้วิธีหยุดการรั่วไหลของข้อมูล (How to stop Data Breach) วิธีการกู้คืนข้อมูล วิธีการ Block Traffic ที่เกิดปัญหา ซักซ้อมแนวปฏิบัติในการรับมือกับสถานการณ์ข้อมูลรั่ว ตลอดจนการซ้อม Crisis Management และการกอบกู้ชื่อเสียงขององค์กร เพื่อฝึกให้ผู้ที่มีส่วนเกี่ยวข้องได้เรียนรู้เชิงปฏิบัติ และควรให้พนักงานทุกคนมีส่วนร่วมกับ BAS

2 : ซ้อมการใช้แผน Incident Response วัดประสิทธิภาพและประสิทธิผล

ซักซ้อมแนวปฏิบัติ Incident Response Plan โดยนำมาใช้จริง เพื่อสร้างความพร้อมในการเผชิญเหตุให้บุคลากรขององค์กรสามารถเผชิญหน้ากับภัยคุกคาม สามารถที่จะแก้ปัญหา กู้คืนข้อมูล และดำเนินธุรกิจต่อไปได้อย่างมั่นคงโดยไม่ได้รับผลกระทบรุนแรง ซึ่งจะเป็นการสร้างความมั่นใจให้แก่ผู้บริหารองค์กร ปัจจุบันการเปลี่ยน Mindset ไม่เพียงพอที่จะรับมือกับภัยไซเบอร์ เพราะนอกจากการสร้างความตระหนักรู้ (Awareness) และความเข้าใจ (Understand) เกี่ยวกับภัยไซเบอร์แล้ว ก็ยังต้องทำให้เกิดการนำไปปรับใช้ (Adopt) ด้วย เนื่องจากหมดยุค “Are We Secure?” หรือเราปลอดภัยหรือไม่? เพราะไม่มีทางที่เราจะปลอดภัยได้ 100% แต่กลับต้องถามว่า “Are we Ready?” หรือเราพร้อมหรือไม่? โดยเราทุกคนควรจะต้องสามารถรับมือกับภัยไซเบอร์ที่มีหลากหลายรูปแบบในปัจจุบันได้ด้วยตนเอง

3 : มีการประเมินมาตรฐานความมั่นคงปลอดภัยของซัพพลายเออร์หรือเวนเดอร์

เบื้องหลังการดำเนินธุรกิจในปัจจุบันมีการใช้ระบบ Digital Supply Chain หรือห่วงโซ่อุปทานดิจิทัลกันอย่างแพร่หลาย เป็นระบบออนไลน์ที่ใช้ติดต่อซื้อขายสินค้า โดยทั้งฝ่ายผู้ซื้อและผู้ขายเชื่อมต่อระบบเข้าหากันในลักษณะ Online Real-time การใช้งานระบบดังกล่าวจะเป็นช่องทางให้เกิดความเสี่ยงภัย เพราะหากคู่ค้ารายใดถูกโจมตีก็จะสามารถเจาะไปยังระบบหรือโครงสร้างสารสนเทศขององค์กรได้ ดังนั้นองค์กรควรจะต้องมีหลักการประเมินมาตรฐานด้านความมั่นคงปลอดภัยของซัพพลายเออร์หรือเวนเดอร์ โดยมีการกำหนดมาตรฐานขั้นต่ำเอาไว้ ยกตัวอย่างเช่น องค์กรควรกำหนดให้ซัพพลายเออร์หรือเวนเดอร์ต้องผ่านการประเมินมาตรฐาน ISO/IEC 27001 ควรมีการจัดทำ Vulnerability Assessment และ Penetration Testing หรือมีการนำกรอบแนวทางปฏิบัติของ NIST Cybersecurity Framework หรือ CISA Cyber Resilience Review มาใช้ภายในองค์กร เป็นต้น

4 : ก้าวข้าม “Cybersecurity” ไปสู่ “Cyber Resilience”

นอกเหนือจากความปลอดภัยไซเบอร์หรือ Cybersecurity ที่ผู้บริหารระดับสูงขององค์กรจะต้องกระตือรือร้นอยู่ตลอดเวลาแล้ว ยังควรต้องเตรียมการยกระดับจาก Cybersecurity ไปสู่ “Cyber Resilience” ซึ่งเป็นการสร้างภูมิคุ้มกันภัยแนวใหม่ ที่จะทำให้องค์กรก้าวสู่สภาวะที่มีความยืดหยุ่นและมีความทนทานต่อการโจมตีของภัยคุกคามต่าง ๆ โดยองค์กรอาจเสริมแผนยุทธศาสตร์ Cyber Resilience ควบคู่ไปกับการปฏิรูปองค์กรไปสู่ดิจิทัล (Digital Transformation) ก็ได้ เพื่อให้การทำ Digital Transformation มีความสมบูรณ์ยิ่งขึ้น ทั้งนี้ การปฏิรูปองค์กรไปสู่ดิจิทัลให้สำเร็จต้องยกระดับองค์กรจาก “Unknown Unknowns” (สิ่งที่เรารู้และเข้าใจแล้ว แต่ยังไม่รู้ลงไปลึก ๆ ว่ามันมีอะไรที่ยังซ่อนอยู่และเรายังไม่รู้อีกหรือไม่) ไปสู่ “Unknown Knowns” (เรารู้แล้วว่าเรายังไม่รู้อะไร นำไปสู่การวิจัยแก้ไขปัญหา) หรือ “Known Unknowns” (สิ่งที่เรารู้แล้วว่าเป็นความจริงและเป็นองค์ความรู้ที่นำมาใช้ได้) ตามหลักคิดของ Mr. Donald Rumsfeld อดีตรัฐมนตรีว่าการกระทรวงกลาโหมสหรัฐ 2 สมัย เป็นเรื่องของความไม่รู้ที่น่ากลัวเพราะ “ไม่รู้ว่าตัวเองไม่รู้ (Unknown Unknowns)”หากเรียงลำดับความเสี่ยง “Unknown Unknowns” นับว่าเสี่ยงที่สุด ส่วน “Known Knowns” คือเสี่ยงน้อยสุด ซึ่งหลักคิดนี้เป็นพื้นฐานของการสร้างสภาวะ Cyber Resilience

5 : CIO & CISO ต้องสามารถสร้างคุณค่าในการขับเคลื่อนองค์กรแบบมืออาชีพ

บทบาทของ CIO/CISO ยุคนี้จำเป็นต้องมีความรู้ทางด้านธุรกิจ เข้าใจ Business Objectives เพื่อสร้างคุณค่าให้องค์กร สามารถวางกลยุทธ์ในการขับเคลื่อนองค์กรไปสู่ความสำเร็จ ตามเป้าหมายที่องค์กรกำหนดไว้ หาก CIO/CISO ไม่มีความสามารถในการสร้างคุณค่าให้องค์กร เปรียบเสมือนการตกยุคที่อาจทำให้หลุดจากตำแหน่งที่ครอบครองอยู่ได้ ทั้งนี้ ต้องไม่บกพร่องกับบทบาทด้านเทคโนโลยีสารสนเทศและด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็น IT Objectives และสิ่งสำคัญที่จะเป็นผลงานชิ้นโบแดงให้แก่ CIO/CISO คือ การสร้างนวัตกรรมที่จะนำพาองค์กรให้เกิดการพัฒนาในด้านใดด้านหนึ่งหรือหลายด้านพร้อม ๆ กัน ไม่ว่าจะเป็นด้านการพัฒนาสินค้าและบริการ หรือด้านการขายและการตลาด เป็นต้น

จากนี้ไปขอให้ผู้บริหารระดับสูงขององค์กรคิดไว้เสมอว่าสักวันหนึ่งเราจะต้อง “โดนแฮกแน่ ๆ” ไม่วันนี้ก็พรุ่งนี้ เราจึงต้องมีกระบวนการสำหรับการบริหารจัดการข้อมูลที่ดีตามหลักคิด Data Governance และเตรียมความพร้อมเพื่อให้เกิดสภาวะที่ยืดหยุ่นและทนทานต่อการโจมตีของภัยคุกคามต่าง ๆ (Cyber Resilience) เพื่อสร้างเพื่อสร้างภูมิคุ้มกัน ซึ่งตรงกับแนวคิดที่เราควรต้องเปลี่ยน Cyber Mindset จาก “Are We Secure?” เป็น “Are We Ready ?”