นายปริญญา หอมเอนก ผู้เชี่ยวชาญด้านการจัดการภัยคุกคามไซเบอร์ เปิดเผยในการเสวนา "New Normal กับภัยไซเบอร์" ว่า 5 เรื่องที่องค์กรควรทำตามมาตรา 13 พ.ร.บ.ไซเบอร์ฯ ประกอบไปด้วย 1.การระบุความเสี่ยงที่อาจจะเกิดขึ้น 2.มาตรการป้องกันความเสี่ยงที่อาจเกิดขึ้น 3.มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ 4.มาตรการเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ และ 5.มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์
ทั้งนี้ องค์กรควรจัดตั้งหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) 7 หน่วยงาน ได้แก่ ด้านความมั่นคงของรัฐ, ด้านบริการภาครัฐที่สำคัญ, ด้านการเงินการธนาคาร, ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม, ด้านสาธารณสุข, ด้านพลังงานและสาธารณูปโภค และด้านการขนส่งและโลจิสติกส์ รวมไปถึงด้านอื่นตามที่คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) หรือ National Cyber Security Committee : NCSC ประกาศกำหนดเพิ่มเติม
แนวทางดำเนินการด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ควรทำ ได้แก่ การกำกับดูแลไซเบอร์, โครงสร้างการกำกับดูแล นโยบายด้านความปลอดภัยไซเบอร์ และกรอบการดำเนินงาน หรือกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์, กรอบการบริหารความเสี่ยง การประเมินความเสี่ยงด้านภัยคุกคามไซเบอร์, แนวทางบริหารจัดการความเสี่ยงของผู้ใช้บริการ, การทดสอบความมั่นคงปลอดภัย การตรวจสอบช่องโหว่ และทดสอบเจาะระบบสำคัญ, การตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์, วิธีปฎิบัติ ขั้นตอนปฎิบัติ คู่มือการปฎิบัติงานและการเฝ้าระวัง (ในภาวะปกติและภาวะฉุกเฉิน), การสร้างความตระหนักถึงภัยคุกคามไซเบอร์ การเสริมความรู้ให้กับผู้บริหารและผู้ปฎิบัติงาน, ระบบเฝ้าระวังและจัดการภัยคุกคามไซเบอร์, แผนรองรับภัยคุกคามไซเบอร์ระดับไม่ร้ายแรง ระดับร้ายแรง ระดับวิฤกติ, กรอบการประสานกับ Thai-CERT, TB-CERT, Sector-based CERT หน่วยงานกำกับดูแล ฯลฯ และแจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฎิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงฯ ไปยังสำนักงาน เป็นต้น
สำหรับแนวโน้มภัยคุกคามไซเบอร์และด้านความมั่นคงปลอดภัยที่ควรจับตามองในปี ค.ศ.2020 มี 10 ประการ (Top Ten Cybersecurity and Privacy Trends 2020) ได้แก่
1. Cyber Fraud with a Deepfake คือ การนำด้านมืดของ AI มาใช้ในการหลอกลวงด้วยการสร้างวิดีโอปลอมแปลงเป็นบุคคลนั้นๆ จากจุดแข็งของ AI ที่สามารถเก็บข้อมูลมาประมวลผล วิเคราะห์ และเรียนรู้สิ่งต่างๆ ทำให้สามารถสร้างวิดีโอปลอมแปลงขึ้นมาได้ค่อนข้างเหมือนจริง เช่น การปลอมแปลงเป็น ประธานาธิบดีโดนัลด์ จอห์น ทรัมป์ ซึ่ง AI จะเรียนรู้สีหน้า ใบหน้า การขยับปากพูด หรือการขยับใบหน้าต่างๆ ของประธานาธิบดีทรัมป์มาตัดต่อแทนที่ใบหน้าผู้อื่น
การหลอกลวงด้วยวิดีโอปลอมแปลงเช่นนี้ เป็นภัยที่น่ากลัวในยุคปัจจุบันซึ่งเกิดขึ้นแล้ว และทำได้แนบเนียนมากจนผู้ชมวิดีโอจับผิดได้ยาก ทั้งนี้ วิดีโออาจถูกตัดต่อปลอมแปลงเป็นใครก็ได้เช่น อาจเป็นผู้นำประเทศต่างๆ เป็นผู้ที่มีชื่อเสียงให้พูดในทางเสียหายได้โดยง่าย ดังนั้นภัยจากการนำ DeepfakeTechnology มาใช้จึงสามารถสร้างปัญหาในระดับประเทศ หรือระดับโลกได้อย่างง่ายดายหากผู้ชมวิดีโอไม่รู้เท่าทัน
2. Beyond Fake News หรือ กระบวนการสร้างความเชื่อ ถือเป็นภัยที่น่ากลัวกว่าข่าวปลอม (Fake News) เปรียบได้กับกระบวนการล้างสมอง(Brainwashing)สามารถทำได้โดยทำการสร้างภาพการ์ตูนด้านลบ หรืออินโฟกราฟฟิคด้านลบของบุคคลหรือสถาบันใดสถาบันหนึ่งขึ้นมาลงสื่อสังคมโซเชียลอย่างต่อเนื่อง และเผยแพร่ออกไปเป็นระยะๆ ในเวลาที่ค่อนข้างยาว เช่น หลายเดือน หรือ เป็นปี เพื่อตอกย้ำภาพด้านลบของบุคคลหรือสถาบันนั้นๆ โดยมีเป้าหมายให้คนที่ได้เห็นภาพการ์ตูน หรืออินโฟกราฟฟิค ดังกล่าว เกิดความเชื่อทีละเล็กทีละน้อยสะสมไปเรื่อยๆ จนกระทั่งเป็นความเชื่ออย่างถาวร
Beyond Fake News จึงเป็นกระบวนการล้างสมองโดยการสร้างข่าวจริง (Real News) ที่ทำได้อย่างแยบยล ลึกซึ้ง มุ่งโจมตีเป้าหมายทางอ้อม และอาจไม่สามารถเอาผิดทางกฎหมายจากผู้กระทำได้ โดยเฉพาะในกรณีที่ผู้กระทำอยู่ในต่างประเทศไม่สามารถฟ้องศาลไทยได้
3.Cyber Sovereignty and National Security Issues หรือ อธิปไตยไซเบอร์และระบบรักษาความปลอดภัยแห่งชาติ เนื่องจากการที่เรานิยมใช้ Google และ Facebook เป็นแพลตฟอร์มที่มีการเก็บข้อมูลส่วนตัวของผู้ใช้บริการ ซึ่งข้อมูลส่วนตัวเหล่านั้นเป็นประโยชน์ทั้งผู้ใช้บริการและผู้ให้บริการ การแชร์ข้อมูลส่วนตัวหรือข้อมูลธุรกิจบนแพลตฟอร์มเหล่านั้น เจ้าของแพลตฟอร์มสามารถนำข้อมูลไปใช้ประโยชน์ หรือวิเคราะห์ข้อมูลเชิงลึกเพื่อศึกษาพฤติกรรมของผู้ใช้แต่ละรายเพื่อนำเสนอสินค้าและบริการที่เข้าถึงผู้ใช้ได้โดยตรง เช่น เมื่อผู้ใช้บริการเสิร์ชหาข้อมูลโรงแรม ผู้ใช้บริการแต่ละคนจะได้ข้อมูลที่แตกต่างกันไป บางคนอาจได้ข้อมูลโรงแรมระดับ 5 ดาว ขณะที่อีกคนอาจได้ข้อมูลโรงแรมระดับ 3 ดาว หรือ จองโรงแรมเดียวกันในวันเดียวกัน ผู้ใช้บริการแต่ละคนอาจได้ราคาที่แตกต่างกัน เป็นต้น ผ่านการวิเคราะห์ข้อมูล หรือทำ DataAnalytics พฤติกรรมของผู้บริโภคแต่ละคน เพื่อนำเสนอสินค้าและบริการเพื่อให้ตรงกับไลฟ์สไตล์ของคนๆ นั้น ที่เรียกว่า "Filter Bubble Effect" หรือ ผู้ใช้บริการแต่ละคนถูกรุกล้ำความเป็นส่วนตัวโดยไม่รู้ตัว จึงเป็นที่มาของปัญหาอธิปไตยไซเบอร์ (Cyber Sovereignty)
ปัญหาอธิปไตยไซเบอร์ ถือเป็นภัยที่อาจจะลุกลามไปถึงความมั่นคงปลอดภัยของประเทศในระยะยาว โดยสิ่งที่ผู้ใช้บริการควรทำคือ การยืนยันตัวตนสองขั้นตอนทุกบัญชีผู้ใช้ (Two-factor authentication for all social medias accounts) เพื่อเพิ่มความปลอดภัย เนื่องจากการเข้าสู่ระบบล็อคอิน หรือลงชื่อเข้าใช้ทุกครั้ง เมื่อกรอกรหัสถูกต้องแล้ว ระบบจะขอรหัสผ่านอีกชุดหนึ่ง ซึ่งผู้ใช้จะได้รับรหัสอีกชุดหนึ่งผ่าน SMS หรือ E-Mail รหัสผ่านชุดที่สอง
4.Cyberattack and Data Breach : A New Normal in Cybersecurity คือ ความปกติใหม่ (The New Normal) ที่เกิดขึ้นบนโลกไซเบอร์ ซึ่งทุกคนต้องเตรียมพร้อมเข้าสู่ยุคแห่งการเตรียมการรับมือเมื่อถูกจู่โจมทางไซเบอร์ เพราะต่อจากนี้ภัยคุกคามทางไซเบอร์ถือเป็นเรื่องปกติที่ต้องเกิดขึ้น ดังนั้นสิ่งที่ผู้บริหารองค์กรต้องวางแผน คือ จะทำอย่างไรหากองค์กรถูกจู่โจมทางไซเบอร์ หลังก้าวเข้าสู่ยุคของ Cyber Resilience ซึ่งผู้บริหารจะต้องเปลี่ยนความคิดใหม่ในการวางมาตรการให้รองรับกับภัยไซเบอร์ที่องค์กรอาจถูกคุกคามอย่างเลี่ยงไม่ได้
5.Tighten in Cybersecurity and Data Protection Regulatory Compliance คือ การประกาศบังคับใช้กฎหมาย ในปัจจุบันองค์กรทั่วโลกเกิดปัญหาข้อมูลรั่วไหลบ่อยครั้ง ดังนั้นองค์กรควรมีมาตรการรองรับการจู่โจมทางไซเบอร์ การทำระบบให้รองรับต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลจากข้อมูลที่รั่วไหล รวมทั้งองค์กรจำเป็นต้องทำระบบรักษาความมั่นคงปลอดภัยเพื่อให้การบริการทางดิจิทัลขององค์กรมีเสถียรภาพมากขึ้น โดยเป็นการลงทุนในมุมมองที่เรียกว่า"Value Preservation"การให้บริการผ่านแอปพลิเคชัน เช่น การโอนเงินจากมือถือ ต้องมีเสถียรภาพและความมั่นคงปลอดภัยต่อการใช้งาน ซึ่งในยุคดิจิทัลถือว่ามีความสำคัญอย่างมาก ดังนั้นในยุคนี้ผู้บริหารจำเป็นต้องมีวิสัยทัศน์ และเห็นความสำคัญต่อการลงทุนเพื่อสร้างเสถียรภาพและความมั่นคงปลอดภัยบนบริการดิจิทัล เพื่อให้ลูกค้าเกิดความไว้วางใจ และเกิดมูลค่าต่อแบรนด์ในท้ายที่สุด ไม่ใช่แค่คำนึงถึงแต่เพียงความคุ้มค่าจากการลงทุน (Value Creationหรือ ROI) เพียงแง่มุมเดียว
ดังนั้นประเทศไทยจึงมีความจำเป็นจะต้องมีกฎหมายด้านไซเบอร์ไม่ว่าจะเป็น พ.ร.บ.การรักษาความปลอดภัยมั่นคงไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมถึง พ.ร.บ.ฉบับอื่นๆ ที่เกี่ยวกับดิจิทัล
6.Data Breaches as the Top concerns for Business หรือ การเจาะข้อมูลเป็นปัญหาใหญ่ขององค์กร โดยการเจาะช่องโหว่เพื่อขโมยข้อมูลจะเป็นประเด็นที่ธุรกิจต้องให้ความสนใจ ซึ่งสาเหตุส่วนใหญ่มักเกิดจากการตั้งค่าบนระบบ Cloud ที่ไม่รัดกุมหรือไม่มั่นคงปลอดภัยเพียงพอ รวมไปถึงความผิดพลาดอันเนื่องมาจากตัวบุคคลที่ไม่ตระหนักในเรื่อง Cybersecurity หรือ Data Privacy องค์กรจึงควรเพิ่มมาตรการควบคุมเช่น การเข้ารหัสข้อมูล ตลอดจนการสร้างความตระหนักรู้ด้านภัยคุกคามและด้านการรักษาความมั่นคงปลอดภัยให้แก่บุคลากรภายในองค์กร
ในอนาคตปัญหาการรั่วไหลของข้อมูลในองค์กรทั้ง on premise และ cloud อาจจะกลายเป็นเรื่องที่เกิดขึ้นได้ตลอดเวลา หรือ ที่เราเรียกว่า The New Normal ดังนั้น ผู้บริหารองค์ควรกำหนดแนวทางในการแก้ปัญหาเอาไว้ล่วงหน้า และควรมีความตระหนักรู้ใน 5 Global Risks ประกอบด้วย Environmental, Geopolitical, Societal, Technological และ Economic ซึ่งควรพิจารณาว่าความเสี่ยงทั้ง 5 จะส่งผลกระทบต่อองค์กรอย่างไรทั้งในระยะสั้นและระยะยาว
7.Orchestration and Automation Boosting Security Staff Effectiveness คือ การใช้เทคโนโลยีในการรับมือกับภัยคุกคาม ซึ่งการใช้เทคโนโลยี AI & Automation ในการรับมือกับภัยคุกคาม เนื่องจากปัจจุบันภัยคุกคามและการจู่โจมฉลาดขึ้น ทำให้ระบบรักษาความมั่นคงปลอดภัยมีความซับซ้อนและยุ่งยากเพิ่มขึ้นตามวิวัฒนาการของภัยคุกคาม ผู้ดูแลระบบต้องเผชิญกับการแจ้งเตือนและเหตุการณ์ด้านความมั่นคงปลอดภัยปริมาณมหาศาลจนเริ่มรับมือไม่ไหว จึงต้องใช้เทคโนโลยีอย่าง AI เข้ามาเป็นเครื่องมือช่วยปิดช่องโหว่ตรงจุดนี้และเพิ่มความสามารถในการรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพมากยิ่งขึ้น ในขณะที่ Managed Security Service Provider ก็ต้องผันตัวเองมาเป็น Managed Detection and Response ด้วย
8.Increasing on Impact of State-Sponsored Cyberattacks การโจมตีทางไซเบอร์ต่อหน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญมีอัตราที่เพิ่มมากขึ้น โดยเฉพาะการโจมตีทางไซเบอร์ในรูปแบบ State-sponsored หรือ การโจมตีทางไซเบอร์ที่มีหน่วยงานรัฐในแต่ละประเทศหนุนหลังการโจมตีที่เกิดขึ้น โดยเฉพาะอย่างยิ่งการโจมตีที่มีเป้าหมายไปยังโครงสร้างพื้นฐานสำคัญของประเทศ เช่น โรงไฟฟ้า หรือระบบขนส่งมวลชน เป็นต้น หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) จำเป็นต้องมีกลไกในการปกป้องระบบโครงสร้างพื้นฐาน เพื่อป้องกันและบริหารจัดการตอบสนองต่อภัยคุกคามทางไซเบอร์ให้ทันท่วงที โดยการโจมตีในรูปแบบนี้อาจเปรียบเป็นเสมือนการทำสงครามรูปแบบใหม่ก็ว่าได้ ซึ่งการโจมตี ทางไซเบอร์ ถูกกำหนดให้เป็น The Fifth domain หรือ โดเมนที่ 5 นอกจาก ทางบก, ทางน้ำ, ทางอากาศและ ทางอวกาศ
9.The Cybersecurity Skills Gap Crisis เมื่อมีภัยไซเบอร์มากขึ้น และฉลาดขึ้น การขาดแคลนบุคลากรเป็นเรื่องที่ตามมา จากที่มีการขาดแคลนบุคลากรด้านระบบความมั่นคงปลอดภัยไซเบอร์อยู่แล้วองค์กรจะยิ่งเผชิญกับการขาดแคลนบุคลากรที่มีทักษะด้านนี้อย่างหนักหน่วงเนื่องจากการโจมตีไซเบอร์จะกลายเป็นเรื่องปกติสามัญและกฎหมายดิจิทัลหลายฉบับได้ถูกบังคับใช้ส่งผลให้ตลาดต้องการผู้ที่มีความสามารถด้านนี้เป็นอย่างมาก ในขณะที่ CISO (Chief Information Security Officer) จะถูกยกระดับขึ้นมาให้มีตำแหน่งเทียบเท่า CIO/CTO และขึ้นตรงกับ CEO แทน
จากปัญหาการขาดแคลนบุคลากร มีความเป็นไปได้ว่าองค์กรธุรกิจจำนวนหนึ่งจะเลือกแนวทางการเอาท์ซอร์สให้มืออาชีพไปดูแล จัดระบบ และบริหารจัดการเพื่อให้มั่นใจได้ถึงความปลอดภัยต่างๆ แต่อย่างไรก็ตามตำแหน่ง CISO ยังคงต้องมีอยู่ภายในองค์กร โดยเฉพาะองค์กรขนาดใหญ่
10.5G networks require new approaches to cybersecurity การมาของเครือข่าย 5G ทำให้เป็นการเปิดช่องทางใหม่ๆ ให้แฮกเกอร์อย่างไม่ตั้งใจ โดยแฮกเกอร์สามารถโจมตีผู้ใช้โดยตรงได้มากยิ่งขึ้น เนื่องจากผู้ใช้สามารถเชื่อมต่ออินเทอร์เน็ตความเร็วสูงได้โดยตรงง่ายขึ้นไม่จำเป็นต้องผ่านระบบป้องกันหรือ Security Gateway ที่ช่วยกลั่นกรองอีกต่อไปอีกทั้งการที่อินเทอร์เน็ตมีความเร็วเพิ่มขึ้น ทำให้การมาถึงของภัยคุกคามก็ย่อมเร็วขึ้นมากเท่านั้น สิ่งสำคัญที่ผู้ใช้ 5G จะป้องกันตนเองให้อยู่รอดปลอดภัยได้ดีที่สุด คือ การรู้เท่าทันเทคโนโลยีด้วยการหมั่นหาความรู้เพิ่มเติม หมั่นสังเกต ตรวจสอบความผิดปกติของอุปกรณ์อยู่ตลอดเวลา
นายปัญญา กล่าวโดยสรุปว่า จาก 10 แนวโน้มดังกล่าวข้างต้น ปัจจัยที่สำคัญที่สุดในการจัดการระบบรักษาความมั่นคงปลอดภัยทางไซเบอร์ คือ คน ต้องมีจิตสำนึก ตระหนักรู้ รู้เท่าทันภัยไซเบอร์ ไม่อยู่ในความประมาท รวมไปถึงผู้บริหารจำเป็นต้องให้ความสำคัญต่อระบบรักษาความมั่นคงปลอดภัยไซเบอร์ องค์กรควรกำหนดให้เรื่องการบริหารจัดการระบบรักษาความั่นคงปลอดภัยไซเบอร์ เป็นหนึ่งในยุทธศาสตร์การพัฒนาองค์กรต่อไปในอนาคต
"ผู้บริหารจะต้องเซทเป็น high priority ให้ความสำคัญ เป็นยุทธศาสตร์ เป็น strategic move โดยหลายองค์กรที่มี Cloud Computing & Shadow IT issues ควรจะต้องระวัง และควรมี BYOD Policy และ effective byod mobile security policy"นายปัญญา กล่าว