ในขณะที่ประเทศไทยกำลังเหยียบคันเร่งมุ่งสู่เศรษฐกิจดิจิทัล ด้วยนโยบาย Cloud First Policy ที่ผลักดันให้หน่วยงานภาครัฐย้ายฐานข้อมูลและบริการประชาชนขึ้นสู่ระบบคลาวด์ แต่คำถามสำคัญที่ต้องตอบให้ได้ก่อนจะไปถึงจุดนั้นคือ… บ้านบนฟ้าหลังใหม่นี้ ปลอดภัยแค่ไหน?
ล่าสุด สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ สกมช. ร่วมกับ พาโล อัลโต้ เน็ตเวิร์กส์ ผู้นำระดับโลกด้านความปลอดภัยไซเบอร์ ได้เปิดเผยผลการประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ (Cloud Security Posture Assessment: Cloud SPA) ของหน่วยงานภาครัฐนำร่อง 13 แห่ง
ผลลัพธ์ที่ได้ เปรียบเสมือนผลตรวจสุขภาพที่น่าพอใจในเชิงกลยุทธ์ แต่มีความเสี่ยงสูงในทางปฏิบัติ โดยพบว่าแม้หน่วยงานรัฐจะสอบผ่านเรื่องการวางแผน Cloud Strategy ด้วยคะแนนเฉลี่ยสูงถึง 84% แต่เมื่อเจาะลึกไปที่หน้างานจริง กลับพบว่ากว่า 70% ยังมีการตั้งค่าระบบผิดพลาด และ 60% ขาดการเชื่อมโยงข้อมูลภัยคุกคามไปยังศูนย์ปฏิบัติการ ทำให้การตอบสนองต่อการโจมตีทำได้ล่าช้า
นี่จึงเป็นที่มาของการเปิดตัว โรดแมปเชิงกลยุทธ์ 3 ระยะ เพื่อยกระดับความปลอดภัยคลาวด์ภาครัฐอย่างเร่งด่วน
Cloud First หรือ Cloud Risk? เมื่อความปลอดภัยไม่ใช่โรคติดต่อ
พลอากาศตรี อมร ชมเชย เลขาธิการ สกมช. ได้ให้มุมมองที่น่าสนใจว่า หน่วยงานรัฐหลายแห่งยังมีความเข้าใจคลาดเคลื่อนเกี่ยวกับระบบคลาวด์ โดยมักคิดว่าการย้าย Server ขึ้น Cloud จะช่วยให้ปลอดภัยโดยอัตโนมัติ
แต่ความปลอดภัยไม่ใช่โรคติดต่อ การเอา Server ของเราไปวางไว้ใกล้กับผู้ให้บริการ Cloud ระดับโลก ไม่ได้แปลว่าเราจะได้รับความปลอดภัยนั้นมาด้วย ซึ่งในความเป็นจริง ระบบคลาวด์ทำงานภายใต้โมเดล Shared Responsibility หรือความรับผิดชอบร่วม ผู้ให้บริการดูแลโครงสร้างพื้นฐาน แต่ข้อมูลและการตั้งค่า เป็นหน้าที่ของเรา ปัญหาที่พบจากการประเมินคือ หน่วยงานรัฐมักมีงบประมาณสำหรับการ เช่าพื้นที่แต่ลืมตั้งงบสำหรับยามเฝ้าประตู หรือบริการเสริมด้านความปลอดภัย
ผลที่ตามมาคือ เมื่อระบบถูกโจมตีหรือเกิดเหตุขัดข้อง หน่วยงานเหล่านี้ไม่มี SLA ที่การันตีการตอบกลับภายในเวลาเร่งด่วน ทำให้ต้องไปต่อคิวรอการแก้ไขเหมือนผู้ใช้งานทั่วไป ซึ่งเป็นความเสี่ยงที่ไม่ควรเกิดขึ้นกับบริการโครงสร้างพื้นฐานของประเทศ
บทเรียนจาก แอปเป๋าตัง: ความเร็วต้องมาพร้อมความปลอดภัย
อีกหนึ่งประเด็นท้าทายคือความเร็ว ของบริการดิจิทัลยุคใหม่ ยกตัวอย่างเช่น แอปเป๋าตัง ที่สามารถเพิ่มฟีเจอร์ใหม่ๆ ได้ตลอดเวลา ไม่ว่าจะเป็นโครงการคนละครึ่ง หรือการซื้อสลากดิจิทัล นี่คือข้อดีของระบบ Cloud Native ที่เอื้อต่อการพัฒนาแบบ CI/CD (Continuous Integration/Continuous Deployment)
แต่เหรียญย่อมมีสองด้าน หากทีมพัฒนาเร่งปล่อยฟีเจอร์โดยที่ระบบความปลอดภัยยังเป็นแบบเก่า ที่ให้ Admin มานั่งไล่ Config ด้วยมือ ย่อมไม่มีทางไล่ตามทันช่องโหว่ที่เกิดขึ้นรายวัน ทางออกเดียวคือการเปลี่ยนไปสู่ Security as Code หรือการฝังความปลอดภัยลงไปในระดับโค้ด เพื่อให้ทุกฟีเจอร์ที่ถูกปล่อยออกมา มีเกราะป้องกันติดตัวมาตั้งแต่เกิด
เจาะลึกโรดแมป 3 ระยะ สู่ความยั่งยืน
เพื่อปิดช่องโหว่และแก้ปัญหาเชิงโครงสร้างเหล่านี้ สกมช. และ พาโล อัลโต้ เน็ตเวิร์กส์ จึงได้ร่วมกันร่างแผนยุทธศาสตร์ 3 ระยะ เพื่อเป็นคู่มือให้หน่วยงานรัฐเดินหน้าได้อย่างมั่นคง
ระยะที่ 1 ปูพื้นฐานและลดความเสี่ยง เป้าหมายคือการสร้าง สุขอนามัยที่ดีให้กับระบบ
– Asset Inventory สิ่งแรกที่ต้องทำคือ รู้เขารู้เรา หน่วยงานต้องรู้ว่าข้อมูลสำคัญของประชาชนกระจัดกระจายอยู่ตรงไหนบนคลาวด์
– Fix Misconfiguration เร่งแก้ไขการตั้งค่าผิดพลาดพื้นฐาน 70% ที่ตรวจพบ เพื่อปิดประตูบ้านให้สนิท
– Standardization กำหนดมาตรฐานกลางขั้นต่ำที่ทุกหน่วยงานต้องมี เพื่อไม่ให้เกิดมาตรฐานที่เหลื่อมล้ำกัน
ระยะที่ 2 เฝ้าระวังและตอบโต้เชิงรุก โดยมีเป้าหมายคือการเปลี่ยนจาก ตั้งรับเป็นรุกไล่
– Integrate to SOC เชื่อมต่อข้อมูลจราจรบนคลาวด์ เข้าสู่ศูนย์ปฏิบัติการความปลอดภัย (SOC) เพื่อให้มองเห็นภาพรวม
– Threat Hunting พัฒนาบุคลากรให้มีความสามารถในการล่าภัยคุกคาม ไม่ใช่นั่งรอให้สัญญาณเตือนดัง
– Playbooks มีคู่มือการรับมือเหตุฉุกเฉินที่ชัดเจน เมื่อเกิดเหตุต้องรู้ทันทีว่าต้องตัดระบบตรงไหน กู้ข้อมูลอย่างไร ไม่ใช่เพิ่งมาเปิดตำรา
ระยะที่ 3 ความยั่งยืนและกรอบการกำกับ เป้าหมายคือการสร้างระบบนิเวศที่ดูแลตัวเองได้ในระยะยาว
– Cloud CERT จัดตั้งทีมตอบสนองเหตุฉุกเฉินด้านคลาวด์โดยเฉพาะ
– CoE สร้างศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัย AI และคลาวด์
– Adaptive Governance แนะนำกฎระเบียบการจัดซื้อจัดจ้าง ให้ยืดหยุ่นและเอื้อต่อการซื้อบริการ Security แบบ Subscription หรือ Support Package เพื่อให้ภาครัฐได้ใช้เทคโนโลยีที่ทันสมัยที่สุดเสมอ
ความปลอดภัยคือรากฐานไม่ใช่ทางเลือก
ดร.ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ ทิ้งท้ายไว้น่าสนใจว่าในยุคที่ AI เขียนโค้ดได้ แฮกเกอร์ก็ใช้ AI โจมตีได้เช่นกัน การป้องกันแบบเดิมๆ จึงเอาไม่อยู่
แผนโรดแมปครั้งนี้ จึงไม่ใช่แค่กระดาษรายงาน แต่คือพิมพ์เขียว ที่จะช่วยผ่าตัดโครงสร้างพื้นฐานดิจิทัลของไทย ให้ก้าวข้ามจากยุคที่มีแค่แผน ไปสู่ยุคที่ปฏิบัติได้จริงเพื่อให้ Cloud First Policy เป็นนโยบายที่สร้างโอกาสมหาศาลให้กับประเทศ ไม่ใช่สร้างความเสี่ยงมหาศาลให้กับประชาชน
ที่มา
งานแถลงข่าว Palo Alto Network สกมช.
———————————-
News Source : https://www.google.com/url?rct=j&sa=t&url=https://www.techhub.in.th/high-risk-still-present-government-it-survey-reveals-70-of-systems-are-still-incorrectly-configured/&ct=ga&cd=CAIyHDY2MTU4YTVjYWRlYjI0MDk6Y29tOnRoOlRIOlI&usg=AOvVaw3pTVA1O9lGWbA80scdgEzZ