สกมช. แถลงความสำเร็จของโครงการประเมินด้านความมั่นคงปลอดภัยทางไซเบอร์ (Security Posture Assessment) ประจำปี พ.ศ.2566

“ผลการประเมินทำให้เห็นภาพที่ชัดเจนว่าต้องปรับปรุงเรื่องใด และส่วนใดที่ทำได้ดีแล้ว เพื่อให้หน่วยงานได้ทราบถึงจุดเป็นโอกาสในการปรับปรุง และจุดที่ทำได้ดีเพื่อรักษามาตรฐานนั้นไว้”

ลธ. กมช.

 

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ดำเนินโครงการประเมินด้านความมั่นคงปลอดภัยทางไซเบอร์ (Security Posture Assessment) ประจำปี 2566 ร่วมกับบริษัท ไทม์ คอนซัลติ้ง จำกัด และ บริษัท พาโล อัลโต เน็ตเวิร์กส์ โดยเป็นการประเมินตามมาตรฐานสากล คล้ายกับการตรวจสุขภาพประจำปีทางไซเบอร์ฯ ของระบบสารสนเทศที่สำคัญของหน่วยงานที่ร่วมโครงการ ซึ่งประกอบด้วย หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จำนวน 7 หน่วยงาน เช่น ด้านความมั่นคงของรัฐ ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค และด้านสาธารณสุข เป็นต้น รวมทั้ง หน่วยงานควบคุมกำกับหรือดูแล จำนวน 5 หน่วยงาน และหน่วยงานของรัฐ จำนวน 5 หน่วยงาน รวมทั้งสิ้น จำนวน 17 หน่วยงาน 

 

 

โดยมีเกณฑ์การประเมิน 5 ด้านประกอบไปด้วย

(1) Network = การควบคุม Security ต่าง ๆ บน Network หรือ Traffic ต่าง ๆ ที่มีการไหลเข้าออกภายในเครือข่ายขององค์กร

(2) Endpoint = เครื่อง PC/Laptops ขององค์กรที่มีการอนุญาตให้ใช้ภายใต้เครือข่าย Network ขององค์กร

(3) Cloud =Public Cloud และ Private Cloud

(4) SaaS  = Application ที่ on อยู่บน cloud เช่น O365 MS365 เป็นต้น

(5) SOC = ทีม Security ที่ดูแลเรื่องความมั่นคงปลอดภัยให้กับองค์กรตลอด 24/7 ทั้งทีมภายใน และทีมภายนอก (Outsource)

 

การจัดตั้งโครงการฯ นี้ มีเป้าหมายเพื่อประเมินสุขภาพด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน CII และ Regulators ทั้งหมดในโครงการ ให้เห็นถึงช่องโหว่ จุดอ่อน และจุดแข็งขององค์กรตนเอง ในด้านความมั่นคงปลอดภัยไซเบอร์ และให้สามารถนำไปออกแบบแผน หรือกลยุทธ์ในการรับมือต่อภัยคุกคามไซเบอร์ได้ ผ่านรูปแบบการประชุมเชิงปฏิบัติการ (Workshop) หน่วยงานละ 4 วัน โดยบริษัท พาโล อัลโต้ เน็ตเวิร์กส์ ผู้นำด้านระบบรักษาความปลอดภัยไซเบอร์ระดับโลก ได้สนับสนุนการประชุมเชิงปฏิบัติการ และการให้คำแนะนำ พร้อมข้อมูลเชิงลึกให้กับองค์กรต่างๆ

 

 

ซึ่งทางพลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ลธ.กมช.) ได้เผยถึงผลการประเมินความมั่นคงปลอดภัยทางไซเบอร์ของทั้ง 17 หน่วยงาน พบว่า “ผลการประเมินทำให้เห็นภาพที่ชัดเจนว่าต้องปรับปรุงเรื่องใด และส่วนใดที่ทำได้ดีแล้ว เพื่อให้หน่วยงานได้ทราบถึงจุดที่เป็นโอกาสในการปรับปรุง และจุดที่ทำได้ดีเพื่อรักษามาตรฐานนั้นไว้” และจากเกณฑ์การประเมินทำให้เห็นว่า Network เป็นส่วนที่หน่วยงานต่าง ๆ ทำได้ดีกว่าส่วนอื่น ๆ เนื่องจากหากพิจารณาการลำดับความสำคัญในการวางรากฐานความมั่นคงปลอดภัยไซเบอร์แล้ว Network ถือเป็นส่วนนึงที่จะถูกพิจารณาเป็นอันดับแรก เช่น การพิจารณาจัดหา Firewall รุ่นใหม่, การควบคุม หรือการแบ่งโซนการป้องกันแยกออกจากกัน เป็นต้น นอกจากนี้ในส่วนของ Endpoint, Cloud, SaaS และ SOC ผลลัพธ์ภาพรวมอยู่ใน ระดับกลางค่อนต่ำ โดยมีคะแนนค่าเฉลี่ยต่ำกว่า 50%

 

ทั้งนี้ แนวทางการรับมือความมั่นคงปลอดภัยทางไซเบอร์ ที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานควบคุมกำกับหรือดูแล และหน่วยงานของรัฐ จะต้องพัฒนาประสิทธิภาพการรักษาความมั่นคงปลอดภัยไซเบอร์ให้มีประสิทธิภาพยิ่งขึ้น เพื่อให้สามารถรับมือกับภัยคุกคามที่พัฒนาความซับซ้อนและความรุนแรงอยู่ตลอดเวลา โดยสามารถกำหนดภาพรวมในการพัฒนาใน 3 ด้าน 

• ด้านบุคลากร: ดำเนินการอบรมด้านความตระหนักรู้ (Awareness) ถึงภัยคุกคาม
  ทางไซเบอร์ให้กับบุคลากร Non-IT และ IT team รวมถึงการนำหลักการ Zero Trust
  มาปรับใช้ในการทำงาน
• ด้านกระบวนการทำงาน: ปฏิบัติตามหลัก ISO 27001  และจัดทำแผน IR (Incident Response) เพื่อกำหนดมาตรฐานในการรับมือภัยคุกคาม
• ด้านเทคโนโลยี: นำเทคโนโลยีที่มี AI/ML ที่มีความสามารถขั้นสูงในการตรวจจับภัยคุกคามเข้ามาช่วยในการดำเนินงาน และพัฒนารูปแบบการดำเนินงานของ SOC ให้เป็นรูปแบบที่ทันสมัยด้วย Automation ตลอดจนนำหลักการผนวกรวม Security ที่หลากหลาย และสร้างความซับซ้อนต่อการปฏิบัติงานโดยไม่จำเป็น (Platformization) และนำระบบ Threat Investigation Platform มาช่วยตรวจสอบตัวบ่งชี้การโจมตี (Indicator of Compromise หรือเรียกว่า IOC) จากแหล่งภัยคุกคามหลายแหล่ง (Threat Intelligence) พร้อมตรวจค้น ภัยคุกคามหรือไฟล์อันตรายในเครือข่ายตนเอง เพื่อนำมาพัฒนาแนวทางการป้องกันได้ก่อนที่จะเกิดภัย

 

อย่างไรก็ตาม องค์กรที่มีเกณฑ์คะแนนอยู่ในระดับดีมาก จะมีปัจจัยประกอบด้วยกัน 2 อย่าง ได้แก่

(1) มีแผนการดำเนินงานที่ชัดเจน ผู้คนมีความตระหนักและจริงจังต่อเรื่องการผลักดันเรื่องความมั่นคงปลอดภัยไซเบอร์ ตั้งแต่ระดับผู้บริหารระดับสูงจนถึงระดับผู้ปฏิบัติงาน

(2) มีการใช้เครื่องมือที่ทันสมัย ช่วยทุ่นแรงของบุคลากรที่มีอยู่อย่างจำกัดได้ โดยนำ AI และ Machine Learning เข้ามาช่วยในการจัดการ 

 

 

ทางด้านของหน่วยงานที่ได้คะแนนในระดับดีเยี่ยมอย่าง ThaiPBS โดยคุณนายอนุพงษ์ ไชยฤทธิ์ รองผู้อำนวยการ ส.ส.ท. ด้านเทคโนโลยีการกระจายสื่อ ThaiPBS ได้เผยว่า “การบริหารจัดการองค์กรให้ประสบความสำเร็จในด้านภัยคุกคามทางไซเบอร์ ผู้บริหารจะต้องให้ความสำคัญในการด้านภัยคุกคามไซเบอร์ ผู้บริหารจะต้องจริงจัง และให้ความสำคัญในการผลักดันแนวทางการรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้เป็นภารกิจหลักขององค์กร จะต้องไม่มองว่าเรื่องไซเบอร์ เป็นภารกิจรองหรือเป็นสิ่งที่ละเว้นก่อนได้ นอกจากนี้ในเรื่องของการสร้างความตระหนักรู้แก่บุคลากรขององค์กร ให้เข้าใจและให้ความสำคัญต่อภัยคุกคามทางไซเบอร์ ยังถือเป็นหัวใจสำคัญหลักอีกเรื่องนึงเช่นกันของการขับเคลื่อนแนวทางการป้องกันภัยไซเบอร์ให้ประสบผลสำเร็จ จะต้องไม่มองว่าหน้าที่นี้เป็นหน้าที่ของบุคคลหรือกลุ่มคนใดกลุ่มคนนึง แต่เป็นหน้าที่ของบุคลากรในหน่วยงาน ต้องเฝ้าระวัง ให้ความสำคัญ และปฏิบัติตามหลักและแบบแผนที่ควรพึ่งกระทำ ในการรักษาความลับ ไม่ทำข้อมูลรั่วไหล หรือทำสิ่งที่ก่อให้เกิดอันตรายทางไซเบอร์ต่อองค์กรได้”

 

 

ในขณะเดียวกันทาง ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและอินโดจีน บริษัท พาโล อัลโต เน็ตเวิร์กส์ กล่าวว่า “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII) เป็นโครงสร้างพื้นฐานที่มีความสำคัญอย่างยิ่งยวด และจำเป็นต้องรองรับการทำงานได้อย่างมีเสถียรภาพ ทั้งนี้ ภารกิจในการทำดิจิทัลทรานสฟอร์เมชันของแต่ละองค์กรนั้น CII จำเป็นต้องมีโครงสร้างที่สามารถจัดการได้ และลดพื้นที่การโจมตี (Attack Surface) ที่อาจเกิดขึ้น รวมทั้งลดความเสี่ยงด้านความปลอดภัยทางไซเบอร์รูปแบบใหม่ ซึ่งองค์กรควรนำแนวทาง Zero Trust หรือความไม่วางใจสิ่งใด ๆ มาใช้งาน ครอบคลุมการตรวจสอบด้านความปลอดภัยไซเบอร์” พร้อมกล่าวเสริมว่า “ความเสี่ยงด้านความปลอดภัยไซเบอร์มีการพัฒนารูปแบบการโจมตีอย่างต่อเนื่องตลอดเวลา ดังนั้น องค์กรต่าง ๆ จึงจำเป็นต้องพิจารณาถึง การรวบรวมและเชี่อมโยงเครื่องมือด้านความปลอดภัยไซเบอร์ที่หลากหลายซับซ้อนให้ทำงานร่วมกันได้ และมีการอัพเดตตลอดเวลา เพื่อป้องกันภัยไซเบอร์ และต่อสู้กับภัยคุกคามขั้นสูง” 

 

ในการจัดโครงการฯ นี้ ถือเป็นการเตรียมความพร้อมให้หน่วยงานได้รับทราบถึงศักยภาพขององค์กรในด้านการรับมือกับความมั่นคงปลอดภัยทางไซเบอร์ เพื่อเตรียมรับมือกับสถานการณ์ที่อาจเกิดขึ้นจากภัยคุกคามทางด้านไซเบอร์ อย่างไรก็ตาม ทาง  สกมช. และ บริษัท ไทม์ คอนซัลติ้ง จำกัด รวมทั้งบริษัท พาโล อัลโต เน็ตเวิร์กส์ ยังคงวางแผนเดินหน้าจัดโครงการนี้ต่อไปในปีหน้า โดยตั้งใจที่จะขยายขอบเขตให้หน่วยงานในภาครัฐ และเอกชนสามารถเข้าร่วมโครงการนี้ ได้เพิ่มเติมมากขึ้น