นับถอยหลังก.ย.นี้! รัฐพร้อมแค่ไหน? กม.ความมั่นคงคลาวด์บังคับใช้จริง

โดยมีวัตถุประสงค์เพื่อยกระดับความปลอดภัยระบบคลาวด์ของหน่วยงานรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญ (CII) ตามนโยบาย Cloud First Policy ของรัฐบาล ซึ่งเหลือเวลาอีกประมาณ 6 เดือน หน่วยงานรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญ ของไทยมีความพร้อมแค่ไหน? ในการกำกับดูแลการใช้งานคลาวด์ของหน่วยงานให้ได้ตามมาตรฐานของกฎหมาย 

ทั้งการกำกับดูแลด้านความมั่นคงปลอดภัยการกำหนดนโยบายต่าง ๆการปฏิบัติการและการรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐาน ในเรื่องData Localization หรือข้อมูลสำคัญต้องจัดเก็บในประเทศไทยการรักษาความปลอดภัยทางกายภาพ การเข้ารหัสข้อมูล เพื่อป้องกันข้อมูลรั่วไหล ฯลฯ

พลอากาศตรี อมร ชมเชย

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) บอกว่า  การปฏิบัติตามกฎหมาย ต้องดูความพร้อมของหน่วยงาน และความพร้อมของบุคลากร โดยเฉพาะทิศทางในเรื่องโอกาสที่จะเกิดความเสี่ยงที่เข้ามา และจะบริหารจัดการอย่างไรเมื่อเกิดเหตุภัยคุกคาม ใครควรจะะทำอะไร และอย่างไร เพราะเมื่อเปลี่ยนมาอยู่บนคลาวด์ ไม่เหมือนกับดาต้าเซ็นเตอร์ และการใช้งานอินเทอร์เน็ต เมื่อรู้ว่าไม่ปลอดภัยสามารถบล็อกได้ แต่พออยู่ในคลาวด์  มีความยืดหยุ่นในการปรับเปลี่ยน กฎกติกาในการดูแลก็ต้องปรับตัวตามด้วย

“สกมช.ออกมาเป็นกฎหมายลูกของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562ซึ่งจะบังคับใช้กับหน่วยงานรัฐ และCIIหน่วยงานกำกับดูแล โดยจะตรวจเฉพาะหน่วยงานของรัฐได้วางเป้าหมายหลังการบังคับใช้ จะเริ่มออกตรวจใน 100 หน่วยงาน ที่มีแอปพลิเคชันที่รันบนคลาวด์ หน่วยงานใดที่ยังไม่ได้มาตรฐานก็จะแนะนำให้ดำเนินการอย่างไร โดยเฉพาะหน่วยงานที่ต้องบริการประชาชน มีข้อมูลส่วนบุคคล เพราะหากถูกแฮก หรือโจมตีทางไซเบอร์ อาจจะส่งผลกระทบต่อประชาชนจำนวนมาก อย่างไรก็ตามแม้ กม. จะบังคับเฉพาะหน่วยงานรัฐ แต่เรื่องของการดูแลระบบคลาวด์ให้มีการบริหารจัดการที่ดี อยากให้เอกชนทุกหน่วยงานตื่นตัวเรื่องนี้ เพราะหากทำได้ตามมาตรฐานกฎหมายก็จะมีประโยชน์”

ทางสกมช.ได้ร่วมกับ พาโล อัลโต้ เน็ตเวิร์กส์ ประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ (Cloud SPA) ของหน่วยงานภาครัฐ 13 แห่ง พบว่า หน่วยงานภาครัฐมีระดับความพร้อมที่แตกต่างกันดังนี้

ในด้านการวางแผนเชิงกลยุทธ์หน่วยงานภาครัฐทั้ง 13 แห่งสามารถทำได้ดี โดยมีคะแนนเฉลี่ยที่ประมาณ 84% ในหัวข้อกลยุทธ์คลาวด์ และ 82% ในศูนย์ปฏิบัติการด้านความปลอดภัย  ส่วนCloud Security Posture บนไพรเวตคลาวด์เป็นอีกหนึ่งหัวข้อที่ทำคะแนนอยู่ในระดับสูง คือ 77% 

ผลการประเมินชี้ให้เห็นว่ายังมีโอกาสอีกมากสำหรับการพัฒนาในด้านความปลอดภัยระหว่างการทำงานของระบบคลาวด์ (Cloud Runtime) และความปลอดภัยของแอปพลิเคชันบนคลาวด์ (Cloud Application Security)และผลการประเมินยังระบุว่า 60% ของหน่วยงานภาครัฐยังขาดการเชื่อมโยงข้อมูลภัยคุกคามกับศูนย์ปฏิบัติการความปลอดภัย (SOC) ทำให้การตอบสนองต่อภัยคุกคามทำได้ล่าช้า โดยเฉพาะภัยคุกคามที่ขับเคลื่อนด้วย AI ขณะที่การป้องกันส่วนใหญ่ยังเป็นการตั้งรับ มากกว่าเป็นการป้องกันในเชิงรุก

พลอากาศตรี อมร บอกว่า การเข้าไปสำรวจพบว่าหน่วยงานส่วนใหญ่ ยังขาดความรู้ ความเข้าใจ เรื่องของระบบคลาวด์เข้ามาใช้ กับอีกส่วนก็คือความเข้าใจคิดว่าเวลาเราเช่าคลาวด์ที่ปลอดภัย เพราะมีมาตรฐานที่ดีเแล้ว ตัวองค์กรไม่ต้องทำอะไร นั่นคือเหตุผลว่าทำไมตัวมาตรฐานดังกล่าว ถึงแบ่งออกเป็น 2 ส่วน คือ ผู้ให้บริการกับองค์กรต้องได้มาตรฐาน และองค์กรมีข้อต้องปฏิบัติอะไรบ้าง หากไม่ได้มาตรฐานต้องปรับปรุงอย่างไร การเน้นลงโทษ สิ่งที่ตามมาคือทุกคนจะปกปิด บอกว่าพร้อมหมดในขณะที่ยังไม่ได้มีความพร้อมจริง 

การประเมินในครั้งนี้แสดงให้เห็นว่า การประเมินที่ครอบคลุมในทุกด้านของ Cloud SPA มีความสำคัญอย่างยิ่งในการระบุถึงจุดแข็งและจุดอ่อนที่สำคัญในด้านความปลอดภัยของระบบคลาวด์ของหน่วยงานภาครัฐ เป็นข้อมูลสำคัญที่นำไปสู่การสนับสนุนการวางโรดแม็ปของระบบคลาวด์ให้กับประเทศ ก่อนที่กฎหมายจะบังคับใช้

ทาง สกมช. ได้จัดทำโรดแม็ปของระบบคลาวด์ให้กับประเทศไทย เพื่อผลักดันภาครัฐสู่การรักษาความมั่นคงปลอดภัยเชิงรุก โดยได้รับการสนับสนุนจาก พาโล อัลโต้ เน็ตเวิร์กส์ โดยแบ่งเป็น 

ระยะที่ 1 : เตรียมความพร้อมและวางรากฐาน (Foundations & Readiness) เน้นการกำหนดมาตรฐานกลางและการใช้แพลตฟอร์มปกป้องแอปพลิเคชันบนคลาวด์ (CNAPP) และกำหนดการดำเนินงานขั้นต่ำเพื่อลดการตั้งค่าระบบคลาวด์ที่ผิดพลาด

ระยะที่ 2 : การเฝ้าระวังและตอบสนองเชิงรุก (Proactive Surveillance & Response) เชื่อมต่อระบบคลาวด์เข้ากับศูนย์ปฏิบัติการความปลอดภัย รวมถึงการพัฒนาคู่มือแนวทางปฏิบัติเพื่อรับมือกับเหตุฉุกเฉิน (Playbooks) จัดตั้งคณะทำงาน ขับเคลื่อนความร่วมมือและการแลกเปลี่ยนความรู้

ระยะที่ 3 : ความยั่งยืนและกรอบการกำกับ จัดตั้งศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัย AI และคลาวด์ (CoE) จัดตั้งทีมตอบสนองเหตุฉุกเฉินด้านคลาวด์ Cloud CERT รวมถึงการปรับปรุงมาตรฐานการจัดซื้อจัดจ้างให้บูรณาการข้อกำหนดด้านความปลอดภัยเป็นส่วนหนึ่งในการพิจารณา

ดร.ธัชพล โปษยานนท์

“ธัชพล โปษยานนท์” ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ บอกว่า เรื่องความปลอดภัยไซเบอร์เป็นเรื่องที่ต้องทำงานร่วมกันอย่างใกล้ชิดระหว่างภาครัฐและเอกชน เพื่อเปลี่ยนการป้องกันแบบตั้งรับไปสู่การบริหารจัดการความปลอดภัยไซเบอร์เชิงรุกด้วย AI ผลประเมินความพร้อมในครั้งนี้ชี้ให้เห็นว่า แม้เราจะมีนโยบายที่ชัดเจน แต่ในสภาพแวดล้อมของการปฏิบัติงานจริง ยังจำเป็นที่จะต้องได้รับการส่งเสริมสนับสนุนให้มีความเข้มแข็งเพิ่มขึ้น การสนับสนุนการจัดทำโรดแม็ปนี้ทำให้เราสามารถรวบรวมเครื่องมือป้องกันที่กระจัดกระจายไว้ภายใต้แพลตฟอร์มเดียวกัน โดยแผนงานใหม่นี้มุ่งเน้นการใช้ AI และระบบอัตโนมัติ มาช่วยให้หน่วยงานเห็นภาพรวมของระบบคลาวด์ทั้งหมดและสามารถหยุดยั้งภัยคุกคามได้แบบเรียลไทม์ 

เพื่อปิดช่องว่างระหว่างนโยบายและการปฏิบัติจริงได้อย่างมีประสิทธิภาพ.

จิราวัฒน์ จารุพันธ์