ปัจจุบันโลกของเราขับเคลื่อนไปด้วยเทคโนโลยีต่าง ๆ มากมาย ที่เกิดขึ้นสำหรับช่วยพัฒนาธุรกิจให้มีความสะดวกสบายและรวดเร็วมากขึ้น
หลายองค์การขาดการบริหารความมั่นคงปลอดภัยที่ดีเพียงพอ ส่งผลให้มีช่องโหว่ (Vulnerability) ที่ทำให้ภัยคุกคาม (Threat) หรือผู้ไม่ประสงค์ดี (Hacker) สามารถโจมตีเข้ามาจนส่งผลให้เกิดเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยซึ่งเรียกว่า “Security Incident” เกิดขึ้น เช่น ข้อมูลลูกค้าหลุด ระบบใช้งานไม่ได้ ข้อมูลที่ใส่เข้าไปในระบบสูญหายหรือไม่ตรงกับความเป็นจริง จนส่งผลเสียหายต่อธุรกิจทั้งทางการเงิน ชื่อเสียง ความเชื่อมั่น และอาจมีความรับผิดตามกฎหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง จนอาจทำให้ธุรกิจนั้นไม่สามารถดำเนินการต่อไปได้
เพื่อลดผลกระทบที่เกิดขึ้นนี้ องค์กรควรบริหารความมั่นคงปลอดภัยสารสนเทศโดยประยุกต์ใช้มาตรฐานสากลหรือแนวปฏิบัติที่ดี เช่น ISO/IEC27001 ที่ได้รับความนิยมอย่างมาก นอกจากนี้อาจใช้กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ใช้งานอย่างแพร่หลายมาก คือ NIST Cybersecurity Framework หรือเรียก NIST CSF Version 1.1 ซึ่งเผยแพร่โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology: NIST) ของสหรัฐอเมริกา ซึ่งประเทศไทยเองได้นำ NIST CSF มาเป็นต้นแบบส่วนหนึ่งในการจัดทำ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
เมื่อองค์กรนำ NIST CSF มาประยุกต์ใช้ในการบริหารความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องดำเนินการ 5 ฟังก์ชันหลัก คือ 1.ระบุ (Identify) และเข้าใจสภาพแวดล้อมของตนเอง ทรัพย์สิน และความเสี่ยงที่มี 2.หาแนวทางที่เหมาะสมในการปกป้องทรัพย์สิน (Protect) 3.มีการตรวจจับ (Detect) และเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้น 4.เมื่อพบภัยคุกคาม สามารถที่จะตอบสนองได้ทันท่วงที (Response) เพื่อลดผลกระทบหรือจำกัดความเสียหายให้อยู่ในวงแคบ และ 5.สามารถกู้คืน (Recover) ระบบขึ้นมาให้บริการตามปกติได้อย่างรวดเร็วภายใต้งบประมาณและหลักการบริหารความเสี่ยงขององค์กร
รูปที่ 1 NIST CSF 5 ฟังก์ชันหลัก
รายเอียดเพิ่มเติมของ NIST CSF ทั้ง 5 ฟังก์ชันหลัก มีดังนี้
รูปที่ 2 รายละเอียดของ NIST CSF 5 ฟังก์ชันหลัก
1. Identify เป็นการระบุสภาพแวดล้อม ทำความเข้าใจบริบท ทรัพยากร และกิจกรรมงานสำคัญ เพื่อบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
1.1 การบริหารจัดการทรัพย์สิน (Asset Management; AM) – ข้อมูล บุคลากร อุปกรณ์ ระบบ ต้องได้รับการระบุและจัดการตามความสำคัญที่สัมพันธ์กับวัตถุประสงค์ขององค์กร
1.2 การดำเนินการตรวจสอบสภาพแวดล้อม (Business Environment; BE) – ภารกิจ วัตถุประสงค์ ผู้มีส่วนได้ส่วนเสีย และกิจกรรมสำคัญขององค์กร
1.3 การกำกับดูแล (Governance; GV) – นโยบาย ขั้นตอน และกระบวนการการจัดการและติดตามข้อกำหนดด้านกฎระเบียบ กฎหมาย ความเสี่ยง สิ่งแวดล้อม และการปฏิบัติงาน
1.4 การตรวจสอบและประเมินความเสี่ยงด้านเครือข่าย (Risk Assessment; RA) – ความเข้าใจในความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีต่อการดำเนินงาน
1.5 การกำหนดกลยุทธ์บริหารจัดการความเสี่ยง (Risk Management Strategy; RM) – การลำดับความสำคัญ ความเสี่ยงที่ยอมรับได้ขององค์กรใช้เพื่อสนับสนุนหรือตัดสินใจ
1.6 การบริหารจัดการความเสี่ยงห่วงโซ่อุปทาน (Supply Chain Risk Management; SC) -ลำดับความสำคัญของการยอมรับความเสี่ยง เพื่อสนับสนุนการตัดสินใจในการจัดการความเสี่ยงห่วงโซ่อุปทาน
2.Protect เป็นมาตรการป้องกันที่เหมาะสมสำหรับการให้บริการที่สำคัญ โดยมีวัตถุประสงค์เพื่อจำกัดระดับผลกระทบและลดโอกาสเกิดความเสี่ยง
2.1 กำหนดมาตรการควบคุมการเข้าถึง (Access Control; AC) – การเข้าถึงทรัพย์สินและสิ่งอำนวยความสะดวกที่เกี่ยวข้องเฉพาะผู้ใช้ที่ได้รับอนุญาต
2.2 การสร้างความตระหนักและการฝึกอบรม (Awareness and Training; AT) – บุคลากรขององค์กรได้รับการอบรมหรือสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์
2.3 การกำหนดความมั่นคงปลอดภัยของข้อมูล (Data Security; DS): ข้อมูลและบันทึก ได้รับการจัดการที่สอดคล้องกับกลยุทธ์ความเสี่ยงขององค์กรเพื่อปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล
2.4 กระบวนการบำรุงรักษา (Maintenance; MA): กระบวนการ วิธีการบำรุงรักษาและการซ่อมแซมระบบ
2.5 จัดหาเทคโนโลยีการป้องกัน (Protective Technology; PT): องค์กรต้องจัดหาระบบสำหรับป้องกันและการรักษาความมั่นคงปลอดภัยเพื่อเพิ่มประสิทธิภาพในการจัดการความมั่นคงปลอดภัย
3.การตรวจจับ (Detect) เป็นการตรวจหาเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น ครอบคลุมถึงกระบวนการเฝ้าระวัง หรือตรวจติดตามอย่างต่อเนื่อง
3.1 การตรวจจับเหตุการณ์และความผิดปกติ (Anomalies and Events; AE) – กระบวนการตรวจจับกิจกรรมผิดปกติและสร้างเข้าใจผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์ที่พบ
3.2 การตรวจสอบด้านความมั่นคงปลอดภัยอย่างต่อเนื่อง (Security Continuous Monitoring; CM) – กระบวนการตรวจสอบระบบ ข้อมูลและทรัพย์สินสำหรับใช้ระบุเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยทางไซเบอร์
3.3 กระบวนการตรวจจับ (Detection Processes; DP) – กระบวนการและขั้นตอนการตรวจจับได้รับการบำรุงรักษาและทดสอบเพื่อให้แน่ใจว่ามีการตระหนักถึงเหตุการณ์ผิดปกติ
4.การตอบสนอง (Respond) การดำเนินการตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ
4.1 การวางแผนการตอบสนอง (Response Planning; RP) – กระบวนการและขั้นตอนการตอบสนองที่ใช้ในการวางแผนสำหรับใช้ในการตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ
4.2 การสื่อสาร (Communications; CO) – เพื่อประสานงานกับหน่วยงานที่เกี่ยวข้อง การตอบสนองการประสานงานกับผู้มีส่วนได้ส่วนเสีย
4.3 การวิเคราะห์ (Analysis; AN) – การวิเคราะห์ดำเนินการเพื่อให้แน่ใจว่ามีการตอบสนองที่มีประสิทธิภาพและสนับสนุนกิจกรรมการกู้คืน
4.4 การควบคุมดูแลและจำกัด (Mitigation; MI) – การควบคุมจำกัดขอบเขตและลดผลกระทบที่เกิดขึ้น กิจกรรมต่าง ๆ เพื่อป้องกันและแก้ไขของเหตุการณ์
4.5 การปรับปรุง (Improvements; IM) – กิจกรรมการตอบสนองขององค์กรได้รับการปรับปรุงโดยการพิจารณาสิ่งได้ที่เรียนรู้จากกิจกรรมการตรวจจับ/การตอบสนองในปัจจุบันและก่อนหน้า
5.การคืนสภาพ (Recover) เป็นการดำเนินการกู้คืนสภาพระบบสารสนเทศที่ได้รับความเสียหายจากการถูกคุกคามด้านไซเบอร์
5.1 การวางแผนการกู้คืน (Recovery Planning; RP) – กระบวนการและขั้นตอนการกู้คืนข้อมูล ระบบสารสนเทศที่ได้ผลกระทบได้รับการฟื้นฟู
5.2 การปรับปรุง (Improvements; IM) – การวางแผนและกระบวนการกู้คืนได้รับการปรับปรุงเข้ากับกับกิจกรรมต่าง ๆ ในอนาคต
5.3 การสื่อสาร (Communications; CO) – กิจกรรมการฟื้นฟูได้รับการประสานงานกับภายในและภายนอก (เช่น ศูนย์ประสานงาน ผู้ให้บริการอินเทอร์เน็ต เจ้าของระบบโจมตี ผู้ที่ได้รับผลกระทบ CSIRT อื่น ๆ และผู้ขาย)
จากหลักการข้างต้น NIST Cybersecurity Framework จึงเป็นกรอบมาตรฐานสากลที่ทุกองค์สามารถนำมาปรับใช้ให้เหมาะสมเพื่อบริหารความมั่นคงปลอดภัยสารสนเทศได้.
บทความโดย.. รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ
โดย : กรุงเทพธุรกิจ / 27 สิงหาคม 2564