เห็นตรงกัน ผู้บริหารไม่ให้ความสำคัญเรื่องความปลอดภัยทางคอมพิวเตอร์ แนะสร้างความเชื่อใจ เสริมสร้างการแบ่งปันข้อมูลด้านความปลอดภัย ระดับปฏิบัติการสนับสนุน CSIRT เชื่อสร้างความมั่นใจของลูกค้าได้
(จากซ้ายไปขวา) สรณันท์ จิวะสุรัตน์ - ชูชัย วชิรบรรจง - กำพล ศรธนะรัตน์ - กิตติ โฆษะวิสุทธิ์ - เกียรติตระการ ญาณมุข
12 ก.ค. 2559 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. (ETDA) จัดงานเปิดบ้านเชิญหน่วยงานที่เป็น Infrastructure สำคัญของประเทศ และผู้สนใจเข้าร่วมรับฟัง-พูดคุยในหัวข้อ “แนวทางการจัดตั้ง Computer Security Incident Response Team (CSIRT) เพื่อเตรียมรับมือภัยคุกคามไซเบอร์” ที่ห้อง Open Forum ชั้น 21 อาคารเดอะไนน์ ทาวเวอร์ แกรนด์ อาคารบี ถนนพระรามเก้า กรุงเทพฯ เมื่อวันที่ 7 ก.ค. ที่ผ่านมา
Mr.Martijn Van Der Heide ผู้เชี่ยวชาญประจำ ThaiCERT และ ETDA ระบุว่าทุกวันนี้อินเทอร์เน็ตได้มาเข้ามีบทบาทในการติดต่อระหว่างการดำเนินงานและบุคคลมากขึ้น ซึ่งทำให้เกิดความพยายามโจมตีหรือก่อกวนทางอิเล็กทรอนิกส์ในช่องทางต่างๆ โดยเฉพาะหน่วยงานด้านการเงิน หากถูกโจมตีจะส่งผลกระทบต่อเศรษฐกิจโดยตรง จึงเสนอว่าแต่ละองค์กรควรมีหน่วยงานประสานงานและสนับสนุนต่อการตอบสนองและจัดการต่อเหตุการณ์ความมั่นคงปลอดภัยทางคอมพิวเตอร์ หรือ Computer Security Incident Response Team หรือรู้จักในชื่อย่อว่า ซีเซิร์ท (CSIRT) เพื่อรับมือกับเหตุการณ์หรือภัยคุกคามดังกล่าวได้อย่างทันท่วงที
ในส่วนการสนทนาแลกเปลี่ยนความคิดเห็นประกอบไปด้วย กำพล ศรธนะรัตน์ ผู้อานวยการฝ่ายเทคโนโลยีและการสื่อสาร สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์, กิตติ โฆษะวิสุทธิ์ ผู้จัดการฝ่ายความปลอดภัยเทคโนโลยีสารสนเทศ ธนาคารกรุงเทพ จำกัด (มหาชน), เกียรติตระการ ญาณมุข ผู้ช่วยกรรมการใหญ่อาวุโส สายงานเทคโนโลยีสารสนเทศฯ บมจ.ไทยพาณิชย์ประกันชีวิต และ ชูชัย วชิรบรรจง กรรมการที่ปรึกษา (ประธานชมรม IT ประกันภัย) สมาคมประกันวินาศภัยไทย และผู้ดำเนินการรายการ สรณันท์ จิวะสุรัตน์ ผู้อำนวยการอาวุโสสำนักวิจัยและพัฒนา และ รักษาการ ผอ.สำนักความมั่นคงปลอดภัย หรือ ThaiCERT
เห็นตรงกัน ผู้บริหารไม่ให้ความสำคัญเรื่องความปลอดภัยทางคอมพิวเตอร์
ชูชัยแสดงความคิดเห็นว่า งานด้านความปลอดภัยทางคอมพิวเตอร์นั้นเป็นงานที่หนัก แสดงผลงานยาก ของบประมาณก็ยากขึ้นไปอีก เพราะไม่เห็นผลงานที่เห็นได้เป็นรูปธรรมชัดเจนหากป้องกันได้ดี ระบบก็จะทำงานได้ตามปกติไม่มีอะไรเกิดขึ้น แต่ถ้าป้องกันไม่ดีก็มีปัญหาอีกเช่นกัน นอกจากนี้ยังมีมาตรวัดเปรียบเทียบความพร้อมด้านไอทีของแต่ละบริษัทผ่านตัวเลขของงบประมาณบริษัทนั้นๆ ซึ่งสะท้อนถึงบริษัทมีการลงทุนทางด้านไอทีที่ดี แสดงว่ามีการพัฒนาทางด้านไอที ซึ่งเห็นเป็นรูปธรรมได้ ทำให้งานด้านไอทีของบประมาณได้ง่ายกว่า เมื่อเทียบกับการลงทุนด้านความปลอดภัยทางคอมพิวเตอร์ ที่ลงทุนไปก็นิ่งในมุมมองผู้บริหาร
ส่วนสรณันท์กล่าวเสริมว่า หน่วยงานในต่างประเทศมีงบประมาณสำหรับด้านไอทีและความปลอดภัยกำหนดไว้เป็นร้อยละต่องบประมาณทั้งหมดซึ่ง PricewaterhouseCoopers (PwC) บริษัทให้คำปรึกษาและบริการทางธุรกิจต่างๆ ก็ให้คำแนะนำว่าการลงทุนทางด้านความปลอดภัยทางคอมพิวเตอร์ (Cybersecurity) ขององค์กร ควรใช้งบประมาณอย่างน้อยร้อยละ 10 นอกจากนี้ประเทศอิสราเอลยังมีกฎหมายว่ารัฐต้องกำหนดงบประมาณอย่างน้อยร้อยละ 8 เพื่อดำเนินนโบายด้านความปลอดภัยทางคอมพิวเตอร์อีกด้วย
“มีฝรั่งหลายคนตั้งคำถามว่า เราจ่ายค่ากาแฟ ค่าจ้างแม่บ้านทำความสะอาด แพงกว่าค่าใช้จ่ายด้าน Cybersecurity หรือเปล่าสำหรับองค์กร ผู้บริหารต้องลองกลับไปเอางบบัญชีมาดูครับว่า องค์กรของเราจ่ายค่ากาแฟไปเท่าไหร่ ค่า Firewall ตัวละ 1 ล้านหรือ 10 ล้านไปเท่าไหร่ ที่ก่อนหน้านี้ตอบว่าทำไปแล้วไม่ได้ผลงานก็ต้องกลับไปดู” สรณันท์กล่าว
สร้างความเชื่อใจด้วยกัน โจทย์ใหญ่การแบ่งปันข้อมูลด้านความปลอดภัย
กิตติระบุว่า ลักษณะการทำธุรกิจทางด้านการเงินเปลี่ยนไป มีการนำเทคโนโลยีมาใช้มากขึ้น ทำให้เกิดเชื่อมต่อถึงกันมากขึ้น ทำให้เราไม่สามารถดำเนินกระบวนการจบได้ในหน่วยงานเดียว เราต้องตรวจสอบร่วมกับหน่วยงานอื่นด้วย พอเกิดเหตุเราก็ต้องไปตามจนจบครบกระบวนการ เมื่อระบบเชื่อมต่อมากขึ้น จึงแนะนำว่าคนก็ต้องมีการเชื่อมต่อกันด้วย เพราะทำให้การตามเหตุเร็วมากขึ้น
“การแชร์ข้อมูลด้านความปลอดภัยด้านการเงินไม่เกิด เมื่อเทียบกับแฮกเกอร์ เขาแชร์ข้อมูลกันก่อนแล้ว ถ้าเรามองด้าน Security เรามีเป้าหมายเดียวกันจึงแชร์กันได้ แต่เรามีมุมอีกข้างหนึ่งที่เป็นมุมการแข่งขัน มันก็ดึง ฉุดรั้งอยู่ ทำให้ไม่เกิดการแชร์ข้อมูล เมื่อเทียบกับมุมของแฮกเกอร์ ที่แม้มีการแข่งขันกันอยู่ก็ตาม” กิตติกล่าว
กิตติยังแนะนำว่า ควรสร้างบรรยากาศให้เกิดความรู้จักกัน แล้วทำให้เกิดการแบ่งปันข้อมูล ซึ่งธุรกิจด้านการเงินกำลังเริ่มในส่วนนี้ โดยพยายามสร้างบรรยากาศการแชร์ข้อมูลที่ทุกคนสบายใจ
นอกจากนี้กิตติยังเสนอให้แต่ละหน่วยงาน แชร์ข้อมูลในกลุ่มธุรกิจที่มีลักษณะเดียวกันให้ได้ก่อน เช่น ในธุรกิจธนาคารก็แชร์ข้อมูลกันให้ได้ก่อน แล้วจึงแชร์แลกเปลี่ยนกันระหว่างธนาคาร, ประกันภัย, ประกันชีวิต และตลาดหลักทรัพย์ ซึ่งการแบ่งปันข้อมูลกันในธุรกิจกลุ่มเดียวกันจะป้องกันไม่ให้เกิดเหตุซ้ำในรูปแบบเดียวกับที่หน่วยงานในกลุ่มธุรกิจเดียวกันเจอมา ช่วยให้ลดวงกว้างของผลกระทบที่จะเกิดขึ้น
ด้านกำพลเสนอแนะแผนภาพการทำความร่วมมือเพื่อจัดตั้ง CSIRT ในหน่วยงานทางด้านการเงิน โดยระบุว่าสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) จะมีออกกฎกติกากำกับดูแลในเรื่องเหล่านี้ภายในเดือนนี้และมีระยะเวลาให้ภายใน 1 ปี ซึ่งหลังจากนั้น กลต.จะเข้าไปตรวจสอบ โดยก่อนออกกฎนี้มีการศึกษาการทำเรื่องนี้มาเป็นปี รวมถึงรับฟังบริษัทอื่นๆ ที่อยู่ในตลาดหลักทรัพย์ด้วย รวมถึงภายใต้ กลต. ก็จะมีการคุยกันระหว่าง กลต., สมาคมบริษัทหลักทรัพย์ไทย (บล.), สมาคมบริษัทจัดการลงทุน (บลจ.) และตลาดหลักทรัพย์แห่งประเทศไทย เพื่อคุยกันเรื่องการจัดตั้ง CSIRT ซึ่ง สพธอ. ก็คงมีส่วนช่วยในเรื่องนี้เด้วย
“เพราะฉะนั้นเราเองจำเป็นต้องเรียนรู้ซึ่งกันและกัน อาจจะต้องให้ สพธอ.เข้ามาสร้างความรู้ ความเข้าใจ เราไม่อยากทำในลักษณะผู้มีอำนาจเพื่อบอกให้แชร์อันนั้นอันนี้ ซึ่งในทางปฏิบัติทำไม่ได้ เราต้องทำให้เกิดความสมัครใจในการให้ข้อมูล การสร้างความรู้ อีกส่วนหนึ่งก็เป็นเรื่องของความไว้เนื้อเชื่อใจ หรือ Trust เมื่อความไว้เนื้อเชื่อใจเพิ่มขึ้น ระดับของการทำ CSIRT ก็จะสูงขึ้นด้วย” กำพลกล่าว
ระดับปฏิบัติการสนับสนุน CSIRT เชื่อสร้างความมั่นใจของลูกค้าได้
เกียรติตระการระบุว่า ในวงการประกันชีวิต เมื่อมีการถูกแฮกเรามีการพูดคุยกันในสมาคมประกันชีวิตไทย เพื่อนพ้องน้องพี่ รวมถึงผู้ขายประกัน (Vendor) จะมีการช่วยเหลือกัน เมื่อไรก็ตามที่รู้จากห้องปฏิบัติการด้านความปลอดภัย หรือ Security Operating Center (SOC) ของบริษัทต่างๆ หรือจากผู้ขายประกัน เมื่อไรก็ตามที่ห้อง SOC แจ้งว่าพบการส่งข้อมูลแพคเกจแปลกๆ มา ขั้นตอนแรกจะช่วยกันหาว่าแพคเกจมาจากไหน ซึ่งส่วนใหญ่จะพบว่ามาจากจีนและรัสเซียเป็นส่วนใหญ่ จากนั้นจะถามเพื่อนๆ ในสมาคมประกันชีวิตไทยว่าโดนเหมือนกันหรือไม่อย่างไร และมาจากทางไหน จะทำให้เราเริ่มรู้รูปแบบการโจมตี ซึ่งปัจจุบันมีอุปกรณ์ที่มีประสิทธิภาพ ทำให้สามารถตรวจสอบการโจมตีได้อย่างรวดเร็ว เมื่อรู้เร็วก็ป้องกันได้เร็ว บอกบริษัทประกันชีวิตอื่นๆ ได้เร็ว ก็บล็อคไอพีแอดเดรสที่โจมตีระบบได้เร็ว
เกียรติตระการยังเล่าถึงประสบการณ์การดูแลระบบในอดีตว่า ถึงแม้ว่าเรามีการป้องกันดูแลด้วยอุปกรณ์ Firewall ทำให้เซิร์ฟเวอร์ไม่ถูกแฮก แต่ก็ถูกก่อกวนด้วยการขวางช่องทางการติดต่อที่เชื่อมกับเซิร์ฟเวอร์ไว้ ทำให้ไม่สามารถให้บริการลูกค้าได้ ซึ่งก็ไม่สามารถทำอะไรได้ ทำได้เพียงขอผู้ให้บริการอินเทอร์เน็ต (ISP) หรือหน่วยงานที่เกี่ยวข้องอย่าง CAT บล็อคไอพีแอดเดรสที่โจมตีระบบตั้งแต่ต้นทางเท่านั้น
“เพราะฉะนั้นการความร่วมมือในการทำ CSIRT เป็นสิ่งที่สำคัญ เพราะเราสามารถทำ blacklist/whitelist เพื่อบล็อคผู้โจมตีระบบได้แต่เนิ่นๆ ซึ่งเมื่อเราทำได้ดี ความมั่นใจการทำธุรกรรมของประชาชนก็จะมีมากขึ้น” เกียรติตระการกล่าว
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)