7 “ความเข้าใจผิด” เกี่ยวกับความปลอดภัยทางไซเบอร์ที่ซีโอโอควรรู้
เป็นที่รู้กันว่าช่องโหว่ที่เพิ่มขึ้นนำมาซึ่งค่าใช้จ่ายขององค์กรที่เพิ่มขึ้น ขณะที่เศรษฐกิจในส่วนดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังคงเติบโตอย่างต่อเนื่องจำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน จากผลการศึกษาของ Ponemon Institute เผยว่า ผลกระทบทางการเงินในภูมิภาคนี้สูงถึง 2.62 ล้านเหรียญสหรัฐฯ ในปี 2562 ซึ่งเพิ่มขึ้นจาก 2.53 ล้านเหรียญสหรัฐฯในปี 2561 1 .
ภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นกำลังเป็นอุปสรรคสำคัญต่อการก้าวสู่ ‘ดิจิทัลทรานส์ฟอร์เมชัน’ ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เนื่องจากเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์ จากรายงานของ Deloitte Cyber Smart:รายงานศักยภาพธุรกิจในเอเชียแปซิฟิก 2 ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลทำให้สูญเสีย GDPในภูมิภาคเอเชียแปซิฟิกถึง 145 พันล้านเหรียญสหรัฐฯในทศวรรษหน้า
แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดีนั้นมีทั้งทรัพยากร
และเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้นแนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษาความปลอดภัยทางไซเบอร์ในวันนี้ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคามดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอปพลิเคชัน ผู้ใช้งาน และการดำเนินงาน (operation)
องค์กรจำเป็นต้องแก้ความเข้าใจผิดด้านความปลอดภัยที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับ กลยุทธ์หลักทางธุรกิจ และนี่คือ 7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้
ความเข้าใจผิด ข้อที่ 1 – คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ
แนวทางการรักษาความปลอดภัยแบบเดิมส่วนใหญ่เป็นการแก้ปัญหาหลังเกิดเหตุ
ที่เน้นกระบวนการและเทคนิคเพื่อทำความเข้าใจผู้โจมตีโดยเป็นการป้องกันการโจมตีแบบทั่วไป และลดความเสียหายหลังเกิดเหตุแต่การที่รอให้มีปัญหาแล้วแก้ไขนั้นเป็นวิธีการที่ล้าสมัยแล้ว
แทนที่จะพยายามเข้าใจเจตนาของผู้โจมตีองค์กรควรตรวจสอบสภาพแวดล้อมทั้งหมดในเชิงรุกโดยระบุแอปและข้อมูลที่ต้องการการปกป้องมากที่สุดรวมถึงทำความเข้าใจกับเวิร์คโหลดเหล่านั้น และมุ่งเน้นไปที่การทำงานของแอปพลิเคชัน จากนั้นให้ค่าพารามิเตอร์ที่เฉพาะเจาะจงแก่เวิร์คโหลดเหล่านั้นโดยการมอนิเตอร์และให้ความสำคัญกับพฤติกรรมของ Good Application มากกว่า Bad Application
ความเข้าใจผิด ข้อที่ 2 – ความปลอดภัยเป็นหน้าที่หลักของฝ่ายไอทีที่ดูแลระบบซีเคียวริตี้เท่านั้น
เมื่อข้อมูล ระบบ และแอปพลิเคชันมีความเกี่ยวข้องกับทุกส่วนของธุรกิจ การรักษาความปลอดภัยควรเป็นเรื่องหลักขององค์กรที่ทุกฝ่ายต้องให้ความสำคัญ นำโดยฟังก์ชันที่ครอบคลุมโครงสร้างพื้นฐาน สถาปัตยกรรม เครือข่าย แอปพลิเคชัน ความปลอดภัย
และสายงานธุรกิจต่างๆ
องค์กรชั้นนำกำลังใช้ประโยชน์จากโมเดล DevSecOps เพื่อส่งเสริมการทำงานร่วมกันระหว่างการพัฒนา การดำเนินงาน และฝ่ายรักษาความปลอดภัยในการเปิดตัวแอปพลิเคชันต่างๆ ผลสำรวจล่าสุดจาก Forbes Insights ชี้ให้เห็นถึงความสำคัญของการทำงานร่วมกันในทุกๆไอทีฟังก์ชัน และไม่น่าแปลกใจที่ผู้ให้ความสำคัญด้านความปลอดภัยทางไซเบอร์จะมีความได้เปรียบเมื่อพูดถึงระดับการทำงานร่วมกันในองค์กร (ดูภาพประกอบที่ 1)
เมื่อความปลอดภัยทางไซเบอร์กลายเป็นเรื่องสำคัญขององค์กรฝ่ายรักษาความปลอดภัยสามารถให้ความสำคัญกับงานที่จำเป็น เช่นการทดสอบนวัตกรรมด้านความปลอดภัยใหม่ๆ หรือการทำงานร่วมกับฝ่ายกฎหมายเพื่อปฏิบัติตามกฎหมาย และข้อบังคับที่เปลี่ยนแปลงตลอดเวลา
ความเข้าใจผิด ข้อที่ 3 – การตัดสินใจและปกป้องสินทรัพย์ดิจิทัล (Digital Assets)
เป็นหน้าที่ฝ่ายไอทีที่ดูแลระบบความปลอดภัยเท่านั้น
ฝ่ายไอทีที่ดูแลระบบรักษาความปลอดภัยนั้นแม้จะมีความเชี่ยวชาญด้านเทคนิค แต่ยังต้องการความช่วยเหลือในการทำความเข้าใจว่าสินทรัพย์ดิจิทัลชนิดใดมีความสำคัญต่อธุรกิจมิเช่นนั้นพวกเขาจะพยายามปกป้องสินทรัพย์ทุกอย่างเท่า ๆ กัน ส่งผลให้ค่าใช้จ่ายเพิ่มสูงขึ้นและใช้เวลาในการทำงานเกินความจำเป็น
ด้วยการใช้นโยบาย Zero Trust ฝ่ายรักษาความปลอดภัยควรดำเนินงานบนหลักการของการไม่ไว้วางใจ และตรวจสอบทุกสิ่งที่พยายามเข้าถึงระบบทั้งภายในและภายนอก ในสภาพแวดล้อมการกระจายของแอป (Distributed apps) ผู้ใช้งาน อุปกรณ์ และเครือข่าย ทำให้นโยบาย Zero Trustทั่วทั้งองค์กรที่เกี่ยวกับการทำงานของแอปพลิเคชัน อุปกรณ์ และการเข้าถึงเป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง
ความเข้าใจผิด ข้อที่ 4 –การป้องกันโครงสร้างพื้นฐานเป็นหนทางช่วยให้องค์กรสามารถรักษาความปลอดภัยได้ดีที่สุด
แนวทางปัจจุบันมักจะปกป้องข้อมูลและแอปโดยมุ่งเน้นไปที่การปกป้องโครงสร้างพื้นฐานด้านไอทีอย่างไรก็ตามเทคโนโลยีต่างๆ ไม่ว่าจะเป็นคลาวด์ แอปพลิเคชันที่ทันสมัย และสถาปัตยกรรมไมโครเซอร์วิส– ส่วนประกอบแอป สามารถกระจัดกระจายไปได้ในหลาย ๆ ระบบปฎิบัติการ ด้วยการมุ่งเน้นการปกป้องโครงสร้างพื้นฐานมากกว่าแอปหรือข้อมูล
ซีไอโอจึงทำงานด้วยโมเดลที่ไม่เชื่อมต่อและอาจเกิดข้อผิดพลาดได้ง่ายดังนั้นถึงเวลาแล้วที่ซีไอโอต้องใช้โมเดลความปลอดภัยที่ให้ความสำคัญกับแอปพลิเคชัน
ความเข้าใจผิด ข้อที่ 5 -งบประมาณในการรักษาความปลอดภัยมักไม่ได้รับการอนุมัติจากคณะกรรมการบริษัท
คณะกรรมการบริษัทจะเห็นด้วยต่อการลงทุนด้านความปลอดภัย เมื่อซีไอโอทำแผนและวางกรอบให้ชัดเจน เช่น การบริหารจัดการความเสี่ยงที่ส่งผลกระทบโดยตรงต่อธุรกิจ มากกว่าการลงทุนเทคโนโลยีที่ไม่จำเป็นคณะกรรมการบริษัทจะเคยชินกับการจัดการความเสี่ยงมากมาย ไม่ว่าจะเป็นความเสี่ยงที่เกี่ยวกับพนักงานด้านการเงิน หรือการตลาด
การเพิ่มความปลอดภัยทางไซเบอร์จึงเป็นสิ่งที่สมเหตุสมผลที่คณะกรรมการจะพิจารณา
เพราะความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญขององค์กร จึงมีความจำเป็นที่ต้องอธิบายให้คณะกรรมการเข้าใจถึงความจำเป็นขององค์กรที่ต้องลงทุนเกี่ยวกับระบบรักษาความปลอดภัย รายงานล่าสุดของวีเอ็มแวร์เปิดเผยว่าหากองค์กรต่าง ๆปรับใช้เทคโนโลยีใหม่ๆสำหรับการรักษาความปลอดภัย จะมีโอกาสที่ GDP เติบโตถึง 145 พันล้านเหรียญสหรัฐฯ ในภูมิภาคเอเชียแปซิฟิกอีก 10 ปีข้างหน้า
ความเข้าใจผิด ข้อที่ 6 – “User” คือ จุดอ่อนของระบบรักษาความปลอดภัย
แม้ว่าพนักงานในองค์กรหรือ user จะมีการอบรมเกี่ยวกับการรักษาความปลอดภัยบ่อยครั้ง
แต่ผู้โจมตีในปัจจุบันยังมีความสามารถที่องค์กรคาดไม่ถึง มีการพบว่า user สามารถโดนโจมตีจากการวางเมาส์ไว้บน Elements ต่าง ๆ (แม้ไม่ได้คลิ๊กลิงค์)ผู้โจมตีสามารถเข้าถึงเมล์เซิร์ฟเวอร์ และส่ง attachment จากบุคคลที่ user รู้จักและเป็นบุคคลที่น่าเชื่อถือมาตอบอีเมล์ใน Inbox ของ user
ถึงแม้ว่าภัยคุกคามจะมีการพัฒนาอย่างต่อเนื่ององค์กรจำนวนมากยังคงให้สิทธิ์การเข้าถึงแอปและข้อมูลมากเกินไป และไม่มีมาตรการป้องกันในการตรวจสอบการเข้าถึงของผู้ดูแลระบบในสถานการณ์เช่นนี้การรับรองความถูกต้อง และการจัดการข้อมูลประจำตัว (identity)เป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญ และข้อมูลประจำตัวควรได้รับการตรวจสอบหลายขั้นตอนรวมถึงการให้น้ำหนักของการรับรองความถูกต้องที่เท่าๆกันกับความเสี่ยงของการเข้าถึง หรือฟังก์ชันของแต่ละแอปพลิเคชัน
ความเข้าใจผิด ข้อที่ 7 – การรักษาความปลอดภัยเป็นอุปสรรคต่อความคล่องตัวทางธุรกิจ
ในขณะที่ธุรกิจส่วนใหญ่หันไปให้ความสำคัญกับวิธีการพัฒนาซอฟต์แวร์แต่การตรวจสอบความปลอดภัยของแอปนั้นไม่ได้เร็วขึ้น องค์กรมีโอกาสในการสร้างนวัตกรรมเสมอ ด้วยการเข้าถึงเครื่องมือ automation ฝ่าย DevOps สามารถส่งการอัพเดตแอปไปยังฝ่ายรักษาความปลอดภัยแบบเรียลไทม์
ฝ่ายรักษาความปลอดภัยสามารถทำการตรวจสอบแอปได้ทันทีทำให้องค์กรมีความคล่องตัวมากขึ้นพร้อมความปลอดภัยที่แข็งแกร่งเนื่องจากการรักษาความปลอดภัยทำได้ง่ายขึ้น เร็วขึ้นและมีประสิทธิภาพมากขึ้นเมื่อทำงานจากแอปพลิเคชันและข้อมูลซึ่งตรงข้ามกับการทำงานผ่านอินฟราสตรัคเจอร์อย่างไรก็ตามยังคงต้องอาศัยการเปลี่ยนแปลงทางความคิดขององค์กรเพื่อให้เกิดการเปลี่ยนแปลงนี้แม้ว่าการหักล้างความเชื่อเหล่านี้จะเป็นก้าวแรกที่ดีสำหรับองค์กร แต่ก็ยังเป็นเพียงก้าวแรกเท่านั้นการเดินทางของการรักษาความปลอดภัยยังคงเป็นการเดินทางที่ไม่มีวันสิ้นสุด และต้องการการดูแลและความรับผิดชอบในระยะยาว
การรักษาความปลอดภัยผ่านการใช้งานแอปพลิเคชันเป็นแนวทางใหม่ที่ครอบคลุมและเป็นที่น่าจับตามองการรักษาความปลอดภัยที่แท้จริงไม่ได้หมายความว่าองค์กรต้องหยุดการลงทุนในโซลูชันซีเคียวริตี้เอ็นพอยท์ หรือโซลูชันอื่นๆแต่เป็นขั้นตอนที่ขาดไม้ได้ที่ช่วยทำให้องค์กรมีความแข็งแกร่งด้านความปลอดภัยมากยิ่งขึ้น
