ขณะที่เศรษฐกิจดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังเติบโตอย่างต่อเนื่อง จำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน

จากผลการศึกษาของ Ponemon Institute พบว่า ผลกระทบทางการเงินของเรื่องนี้ในภูมิภาคอาเซียน ในปี 2562  สูงถึง 2.62 ล้านเหรียญสหรัฐฯ เพิ่มขึ้นจาก 2.53 ล้านเหรียญสหรัฐฯในปี 2561

ภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้น เป็นอุปสรรคสำคัญต่อการก้าวสู่ ‘ดิจิทัลทรานส์ฟอร์เมชัน’ ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เพราะเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์

รายงานของ Deloitte Cyber Smart: รายงานศักยภาพธุรกิจในเอเชียแปซิฟิก ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลให้ในทศวรรษหน้า GDP ในภูมิภาคเอเชียแปซิฟิก อาจสูญหายไปถึง 145 พันล้านเหรียญสหรัฐฯ

แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดี มีทั้งทรัพยากร และเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้น แนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษา ความปลอดภัยทางไซเบอร์ ในวันนี้ ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคาม

ดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอปพลิเคชัน ผู้ใช้งาน และการดำเนินงาน (operation) แก้ความเข้าใจผิดที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์หลักทางธุรกิจ และนี่คือ 7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้

#1
คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ

แนวทางการรักษาความปลอดภัยแบบเดิมส่วนใหญ่ เป็นการแก้ปัญหาหลังเกิดเหตุ ที่เน้นกระบวนการและเทคนิคเพื่อทำความเข้าใจผู้โจมตี โดยเป็นการป้องกันการโจมตีแบบทั่วไป และลดความเสียหายหลังเกิดเหตุ แต่การรอให้มีปัญหาแล้วแก้ไขนั้น เป็นวิธีการที่ล้าสมัยแล้ว

แทนที่จะพยายามเข้าใจเจตนาของผู้โจมตี องค์กรควรตรวจสอบสภาพแวดล้อมทั้งหมดในเชิงรุกโดยระบุแอปและข้อมูลที่ต้องการการปกป้องมากที่สุด รวมถึงทำความเข้าใจกับเวิร์คโหลดเหล่านั้น และมุ่งเน้นไปที่การทำงานของแอปพลิเคชัน จากนั้นให้ค่าพารามิเตอร์เฉพาะแก่เวิร์คโหลดเหล่านั้น โดยการมอนิเตอร์และให้ความสำคัญกับพฤติกรรมของ Good Application มากกว่า Bad Application

#2
ความปลอดภัยเป็นหน้าที่หลักของฝ่ายไอทีที่ดูแลระบบซีเคียวริตี้เท่านั้น

เมื่อข้อมูล ระบบ และแอปพลิเคชันมีความเกี่ยวข้องกับทุกส่วนของธุรกิจ การรักษาความปลอดภัยควรเป็นเรื่องหลักขององค์กรที่ทุกฝ่ายต้องให้ความสำคัญ นำโดยฟังก์ชันที่ครอบคลุมโครงสร้างพื้นฐาน สถาปัตยกรรม เครือข่าย แอปพลิเคชัน ความปลอดภัย และสายงานธุรกิจต่างๆ

องค์กรชั้นนำกำลังใช้ประโยชน์จากโมเดล DevSecOps เพื่อส่งเสริมการทำงานร่วมกันระหว่างการพัฒนา การดำเนินงาน และฝ่ายรักษาความปลอดภัยในการเปิดตัวแอปพลิเคชันต่างๆ ผลสำรวจล่าสุดจาก Forbes Insights ชี้ให้เห็นถึงความสำคัญของการทำงานร่วมกันในทุกๆไอทีฟังก์ชัน และไม่น่าแปลกใจที่ผู้ให้ความสำคัญด้านความปลอดภัยทางไซเบอร์จะมีความได้เปรียบเมื่อพูดถึงระดับการทำงานร่วมกันในองค์กร (ดูภาพประกอบที่ 1)

ภาพที่ 1: ความร่วมมือขององค์กรในการจัดการปัญหาด้านความปลอดภัย[3]

เมื่อความปลอดภัยทางไซเบอร์กลายเป็นเรื่องสำคัญขององค์กร ฝ่ายรักษาความปลอดภัยสามารถให้ความสำคัญกับงานที่จำเป็น เช่น การทดสอบนวัตกรรมด้านความปลอดภัยใหม่ๆ หรือการทำงานร่วมกับฝ่ายกฎหมายเพื่อปฏิบัติตามกฎหมาย และข้อบังคับที่เปลี่ยนแปลงตลอดเวลา

#3
การตัดสินใจและปกป้องสินทรัพย์ดิจิทัล (Digital Assets) เป็นหน้าที่ฝ่ายไอทีที่ดูแลระบบความปลอดภัยเท่านั้น

ฝ่ายไอทีที่ดูแลระบบรักษาความปลอดภัยนั้น แม้จะมีความเชี่ยวชาญด้านเทคนิค แต่ยังต้องการความช่วยเหลือในการทำความเข้าใจว่าสินทรัพย์ดิจิทัลชนิดใดมีความสำคัญต่อธุรกิจ

มิฉะนั้นพวกเขาจะพยายามปกป้องสินทรัพย์ทุกอย่างเท่า ๆ กัน ส่งผลให้ค่าใช้จ่ายเพิ่มสูงขึ้น และใช้เวลาในการทำงานเกินความจำเป็น

ด้วยการใช้นโยบาย Zero Trust ฝ่ายรักษาความปลอดภัยควรดำเนินงานบนหลักการของการไม่ไว้วางใจ และตรวจสอบทุกสิ่งที่พยายามเข้าถึงระบบทั้งภายในและภายนอก ในสภาพแวดล้อมการกระจายของแอป (Distributed apps) ผู้ใช้งาน อุปกรณ์ และเครือข่าย ทำให้นโยบาย Zero Trust ทั่วทั้งองค์กรที่เกี่ยวกับการทำงานของแอปพลิเคชัน อุปกรณ์ และการเข้าถึง เป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง

#4
การป้องกันโครงสร้างพื้นฐานเป็นหนทางช่วยให้องค์กรสามารถรักษาความปลอดภัยได้ดีที่สุด 

แนวทางปัจจุบันมักจะปกป้องข้อมูลและแอปโดยมุ่งเน้นไปที่การปกป้องโครงสร้างพื้นฐานด้านไอที

อย่างไรก็ตามเทคโนโลยีต่างๆ ไม่ว่าจะเป็นคลาวด์ แอปพลิเคชันที่ทันสมัย และสถาปัตยกรรมไมโครเซอร์วิส – ส่วนประกอบแอป สามารถกระจัดกระจายไปได้ในหลาย ๆ ระบบปฎิบัติการ ด้วยการมุ่งเน้นการปกป้องโครงสร้างพื้นฐานมากกว่าแอปหรือข้อมูล ซีไอโอจึงทำงานด้วยโมเดลที่ไม่เชื่อมต่อและอาจเกิดข้อผิดพลาดได้ง่าย

ถึงเวลาแล้วที่ซีไอโอต้องใช้โมเดลความปลอดภัยที่ให้ความสำคัญกับแอปพลิเคชัน

#5
งบประมาณในการรักษาความปลอดภัยมักไม่ได้รับการอนุมัติจากคณะกรรมการบริษัท

คณะกรรมการบริษัทจะเห็นด้วยต่อการลงทุนด้านความปลอดภัย เมื่อซีไอโอทำแผนและวางกรอบให้ชัดเจน เช่น การบริหารจัดการความเสี่ยงที่ส่งผลกระทบโดยตรงต่อธุรกิจ มากกว่าการลงทุนเทคโนโลยีที่ไม่จำเป็น

คณะกรรมการบริษัทจะเคยชินกับการจัดการความเสี่ยงมากมาย ไม่ว่าจะเป็นความเสี่ยงที่เกี่ยวกับพนักงาน ด้านการเงิน หรือการตลาด การเพิ่มความปลอดภัยทางไซเบอร์จึงเป็นสิ่งที่สมเหตุสมผลที่คณะกรรมการจะพิจารณา

เพราะ ความปลอดภัยทางไซเบอร์ เป็นสิ่งสำคัญขององค์กร จึงมีความจำเป็นที่ต้องอธิบายให้คณะกรรมการเข้าใจถึงความจำเป็นขององค์กรที่ต้องลงทุนเกี่ยวกับระบบรักษาความปลอดภัย รายงานล่าสุดของวีเอ็มแวร์เปิดเผยว่าหากองค์กรต่าง ๆ ปรับใช้เทคโนโลยีใหม่ๆสำหรับการรักษาความปลอดภัย จะมีโอกาสที่ GDP เติบโตถึง 145 พันล้านเหรียญสหรัฐฯ ในภูมิภาคเอเชียแปซิฟิกอีก 10 ปีข้างหน้า

#6
User คือ จุดอ่อนของระบบรักษาความปลอดภัย

แม้ว่าพนักงานในองค์กรหรือ user จะมีการอบรมเกี่ยวกับการรักษาความปลอดภัยบ่อยครั้ง แต่ผู้โจมตีในปัจจุบันยังมีความสามารถที่องค์กรคาดไม่ถึง มีการพบว่า user สามารถโดนโจมตีจากการวางเมาส์ไว้บน Elements ต่าง ๆ (แม้ไม่ได้คลิ๊กลิงค์) ผู้โจมตีสามารถเข้าถึงเมล์เซิร์ฟเวอร์ และส่ง attachment จากบุคคลที่ user รู้จักและเป็นบุคคลที่น่าเชื่อถือมาตอบอีเมล์ใน Inbox ของ user

ถึงแม้ว่าภัยคุกคามจะมีการพัฒนาอย่างต่อเนื่อง องค์กรจำนวนมากยังคงให้สิทธิ์การเข้าถึงแอปและข้อมูลมากเกินไป และไม่มีมาตรการป้องกันในการตรวจสอบการเข้าถึงของผู้ดูแลระบบ

ในสถานการณ์เช่นนี้การรับรองความถูกต้อง และการจัดการข้อมูลประจำตัว (identity) เป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญ และข้อมูลประจำตัวควรได้รับการตรวจสอบหลายขั้นตอน รวมถึงการให้น้ำหนักของการรับรองความถูกต้องที่เท่าๆกันกับความเสี่ยงของการเข้าถึง หรือฟังก์ชันของแต่ละแอปพลิเคชัน

#7
การรักษาความปลอดภัยเป็นอุปสรรคต่อความคล่องตัวทางธุรกิจ

ขณะที่ธุรกิจส่วนใหญ่ให้ความสำคัญกับวิธีการพัฒนาซอฟต์แวร์ แต่การตรวจสอบความปลอดภัยของแอปนั้นไม่ได้พัฒนาขึ้น

องค์กรมีโอกาสในการสร้างนวัตกรรมเสมอ ด้วยการเข้าถึงเครื่องมือ automation

ฝ่าย DevOps สามารถส่งการอัพเดตแอปไปยังฝ่ายรักษาความปลอดภัยแบบเรียลไทม์ ฝ่ายรักษาความปลอดภัยสามารถทำการตรวจสอบแอปได้ทันที ทำให้องค์กรมีความคล่องตัวมากขึ้นพร้อมความปลอดภัยที่แข็งแกร่ง เนื่องจากการรักษาความปลอดภัยทำได้ง่ายขึ้น เร็วขึ้น และมีประสิทธิภาพมากขึ้นเมื่อทำงานจากแอปพลิเคชันและข้อมูล ซึ่งตรงข้ามกับการทำงานผ่านอินฟราสตรัคเจอร์ อย่างไรก็ตามยังคงต้องอาศัยการเปลี่ยนแปลงทางความคิดขององค์กรเพื่อให้เกิดการเปลี่ยนแปลงนี้

แม้ว่าการหักล้างความเชื่อเหล่านี้จะเป็นก้าวแรกที่ดีสำหรับองค์กร แต่ก็ยังเป็นเพียงก้าวแรกเท่านั้น การเดินทางของการรักษาความปลอดภัยยังคงเป็นการเดินทางที่ไม่มีวันสิ้นสุด และต้องการการดูแลและความรับผิดชอบในระยะยาว

การรักษาความปลอดภัยผ่านการใช้งานแอปพลิเคชันเป็นแนวทางใหม่ที่ครอบคลุมและเป็นที่น่าจับตามองการรักษาความปลอดภัยที่แท้จริงไม่ได้หมายความว่าองค์กรต้องหยุดการลงทุนในโซลูชันซีเคียวริตี้เอ็นพอยท์ หรือโซลูชันอื่นๆ แต่เป็นขั้นตอนที่ขาดไม้ได้ที่ช่วยทำให้องค์กรมีความแข็งแกร่งด้านความปลอดภัยมากยิ่งขึ้น

โดย นายเอกภาวิน สุขอนันต์ ผู้จัดการประจำวีเอ็มแวร์ ประเทศไทย

อ้างอิง

2019 Cost of Data Breach Study, Benchmark research sponsored by IBM Security and Independently conducted by Ponemon Institute LLC, July 2019

Deloitte Cyber Smart: Enabling APAC businesses report commissioned by VMware, March 2020

Cybersecurity Trailblazers Make Security Intrinsic To Their Business, Forbes Insights, July 2019

AHEAD ASIA นวัตกรรม ล้ำหน้า