EDU Research & ESG

บทความความมั่นคงปลอดภัยทางไซเบอร์ สำหรับการทำธุรกิจดิจิทัล



กรุงเทพฯ-บทความพิเศษ “ความมั่นคงปลอดภัยทางไซเบอร์สำหรับการทำธุรกิจดิจิทัล” โดย ผศ.สุพล  พรหมมาพันธุ์ อาจารย์ที่ประจำสาขาเทคโนโลยีสารสนเทศและการสื่อสาร คณะเทคโนโลยีสารสนเทศ  มหาวิทยาลัยศรีปทุม

ที่ผ่านมา คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยศรีปทุม จัดพิธีเปิดโครงการบัณฑิตพันธุ์ใหม่ ด้าน IT (NON DEGREE), RE SKILL- UP SKILL หลักสูตร Cyber Security รุ่นที่ 4 ปีการศึกษา 2565 โดย ผศ.ดร.ธนา สุขวารี คณบดีคณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยศรีปทุม เป็นประธานกล่าวเปิดงาน, ศ.ดร.ประสงค์ ประณีตพลกรัง ที่ปรึกษาโครงการ กล่าวต้อนรับ, อาจารย์ชัชวาลย์   วรวิทย์รัตนกุล ผู้อำนวยการศูนย์วิทยบริการเทคโนโลยีดิจิทัล กล่าวถึงรายละเอียดของโครงการฝึกอบรมบัณฑิตพันธุ์ใหม่ ณ ห้อง Convention 1 อาคาร 40 ปี มหาวิทยาลัยศรีปทุม  โดยในโครงการนี้  มีบุคลากรผู้บริหารทั้งหน่วยงานภาครัฐและเอกชนให้ความสนใจเข้าเรียนเป็นจำนวนมาก สำหรับหลักสูตร Cyber Security นี้ รุ่นที่ 3 ปีที่ผ่านมามีจำนวน 60 คน และรุ่นที่ 4 ปีนี้มีจำนวน 40 คน

สำหรับโครงการบัณฑิตพันธุ์ใหม่ ด้าน IT_NON DEGREE, RE SKILL- UP SKILL รุ่นที่ 4 นี้ เป็นโครงการที่กระทรวงกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัย และนวัตกรรม หรือ อว. มุ่งเน้นยกระดับสมรรถนะเพื่อผลิตบัณฑิตพันธุ์ใหม่ในยุค THAILAND 4.0 ดังที่  ดร.อรสา ภาววิมล รองเลขาธิการคณะกรรมการการอุดมศึกษา เคยกล่าวรายงานว่า ตามที่คณะรัฐมนตรีได้ให้ความเห็นชอบในหลักการโครงการผลิตอาชีวะพันธุ์ใหม่และบัณฑิตพันธุ์ใหม่ (ปี 2561-2565) และสร้างกำลังคนที่มีสมรรถนะสูงสำหรับอุตสาหกรรม (New Growth Engine) ตามนโยบาย Thailand 4.0 และการปฏิรูปอุดมศึกษาไทย เมื่อวันที่ 24 เมษายน พ.ศ.2561 สำนักงานคณะกรรมการการอุดมศึกษา (สกอ.) ในฐานะรับผิดชอบการสร้างบัณฑิตในระดับอุดมศึกษา ได้ดำเนินโครงการบัณฑิตพันธุ์ใหม่ในสถาบันอุดมศึกษาที่เข้าร่วมโครงการทั้ง 23 แห่ง ตั้งแต่ในปี 2561 เป็นต้นมา โดยจัดการเรียนการสอนแบ่งเป็น 2 หลักสูตร คือ 1) หลักสูตรประกาศนียบัตร (Non-Degree) จำนวน 123 หลักสูตร และหลักสูตรระดับปริญญา (Degree) 99 หลักสูตร (https://www.moe.go.th)

ในส่วนของคณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยศรีปทุม ได้จัดดำเนินโครงการนี้โดยได้รับการสนับสนุนจาก กระทรวงอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (อว.) เพื่อเป็นการสร้างบัณฑิตพันธุ์ใหม่ และกำลังคนตอบโจทย์ภาคการผลิตตามนโยบายการปฏิรูปอุดมศึกษาไทย จำนวน 4 หลักสูตร คือ หลักสูตรความมั่นคงปลอดภัยทางไซเบอร์สำหรับธุรกิจดิจิทัล (Cyber Security for Online Business), หลักสูตรการวิเคราะห์ข้อมูลความต้องการของผู้บริโภคโดยใช้เทคโนโลยีบิ๊กดาต้า (Consumer Insights Analytics and Data Center with Big Data Technology), หลักสูตรการเปลี่ยนผ่านอุตสาหกรรมด้วยการวิเคราะห์ข้อมูล และความเข้าใจผู้บริโภคในเชิงลึก (Industries Transformation with Data Analytics and Consumer Insights) และหลักสูตร เทคโนโลยีเชื่อมต่ออินเทอร์เน็ตเพื่ออุตสาหกรรม 4.0 (Technology Internet of Things for Industry 4.0) โดยมีวัตถุประสงค์หลัก คือ เพื่อสร้างบัณฑิตพันธุ์ใหม่ และกำลังคนให้มีศักยภาพสูงทั้งเชิงวิชาการและวิชาชีพ ที่ทันต่อความต้องการของการทำงานในภาคอุตสาหกรรมใหม่สู่ New-S-Curve และเป็นกลไกสำคัญในการขับเคลื่อนเศรษฐกิจ (New Growth Engines) ของประเทศ และเพื่อสร้างฐาน (Platform) การพัฒนาการศึกษาระดับอุดมศึกษาแห่งอนาคต โดยปรับเปลี่ยนรูปแบบการผลิตบัณฑิต และสร้างต้นแบบของหลักสูตรและการเรียนการสอน โดยเน้นการปรับเปลี่ยนเนื้อหาสาระ โครงสร้างหลักสูตร และกระบวนการจัดการเรียนการสอนประสบการณ์การเรียนรู้ด้วยการปฏิบัติในสภาพจริงเป็นสำคัญ พัฒนาการศึกษาเพื่อสร้างให้ผู้เรียนให้มีสมรรถนะและศักยภาพสูง รวมทั้งสร้างความร่วมมือกับสถานประกอบการ หรือภาคอุตสาหกรรมในการผลิตบัณฑิตและกำลังคนของประเทศ

ด้วยโครงการ บัณฑิตพันธุ์ใหม่ด้านไอที (Information Technology: IT) มีกำหนดการเรียน รวมทั้งการศึกษาดูงาน ณ สถานประกอบการจริง ซึ่งใช้ระเวลาถึง 6 เดือน ในโอกาสนี้ ขอเขียนสรุปหัวข้อการบรรยายในวันแรกของการเปิดโครงการของวิทยากรบางคน ดังนี้ หลักสูตรความมั่นคงปลอดภัยทางไซเบอร์ ในหัวข้อ “ความมั่นคงปลอดภัยทางไซเบอร์สำหรับการทำธุรกิจดิจิทัลเบื้องต้น (Introduction to Cyber Security” โดย คุณนนทวัตต์ สารมาน นายกสมาคมส่งเสริมนวัตกรรมเทคโนโลยีไซเบอร์ (CIPAT) คุณนนทวัตต์ สารมาน เล่าว่า เขาเคยทำงานที่ธนาคารกสิกรไทย มาก่อนในตำแหน่ง Security Engineer โดยทำหน้าที่ Add รายชื่อของลูกค้าเข้าระบบคอมพิวเตอร์ และทำงานเกี่ยวกับระบบเครือข่าย (Network)  ซึ่งเป็นงานลักษณะ Real Secure จึงรู้เรื่องของระบบการทำงานของผู้ที่ทำงานอยู่เบื้องหลัง (Backend) เป็นอย่างดี ต่อมาได้รับทราบนโยบาย และได้รับองค์ความรู้เรื่อง การประเมินความเสี่ยง ได้ทำเกี่ยวกับ Active Delivery ซึ่งใช้ระบบของ SUN System ในปัจจุบันคุณนนทวัตต์ทำงานอยู่ที่อารักษ์ “ARAK” (Data Protection Suite by SRAN) ปัจจุบันเป็นยุคของข้อมูล Data is the new oil บริษัทใดมีข้อมูลมาก บริษัทนั้นย่อมได้เปรียบ โดยเฉพาะข้อมูลส่วนบุคคล ซึ่งประเทศในแถบบยุโรปเป็นผู้ริ่เริ่มมาก่อน ตัวละครที่สำคัญบนโลกใบใหม่นี้มีอยู่ 5 ตัว คือ IoT, Cloud, Big Data, AI และ Blockchain บริษัทต่างๆ ทั่วโลก การจะเอาชนะกันได้ คือ ต้องมี AI (Artificial Intelligence) ข้อมูลคือขุมทรัพย์ ในทุกเรื่องจะมี Cyber Security เป็นเงา ถ้าเราจะทำธุรกิจเกี่ยวกับ Cloud ก็จะยากหน่อย เพราะว่าปัจจุบัน บริษัทใหญ่ ๆ ก็ดำเนินการเรื่อง Cloud กันหมดแล้ว ไม่ว่าจะเป็น AIS, True, Dtac เป็นต้น แต่ถ้าจะทำธุรกิจเกี่ยวกับเรื่อง Big Data ก็ยังพอทำได้ การพัฒนาแอปพลิเคชันนิยมทำกันมาก ตัวอย่างเช่น LINE Application มีคนดาวน์โหลดทั่วโลก 90 ล้านคน ทางรัฐบาลก็ออกแอปพลิเคชันเป๋าตังค์, ฉลากกินแบ่งออนไลน์, คนฃละครึ่ง ธุรกิจส่วนใหญ่ปัจจุบันล้วนใช้ซอฟต์แวร์ที่เรียกว่า Software as a Service บริษัทใหญ่ ๆ เหลือไม่กี่ยี่ห้อที่ยังไม่ได้ทำ ส่วนใหญ่ทำกันเกือบหมดแล้ว เช่น Microsoft Office365, Google Workspace, ERP เป็นต้น วิถึชีวิตของคนปัจจุบันจึงเปลี่ยนไป

ความจริงอยากจะเล่าให้ฟังก็คือ ยุคของเศรษฐกิจไม่ดี ความจริงเรื่องเศรษฐกิจดีหรือไม่ดีไม่สำคัญ ที่สำคัญคือประเทศไทยจะต้องพึ่งตัวเองได้อย่างไร รัสเซียรบกับยูเครน เงินเฟ้อ เราซื้อ Microsoft Office365 แพงขึ้น เพราะว่าส่วนใหญ่ซอฟต์แวร์ขึ้นปอยู่บน Cloud หมด และ Cloud ตัดค่าใช้จ่ายในเรื่องของ Support ลงไปด้วย ไม่ใช้คน ต่อไปเราจะต้องมีของตัวเราเองบ้าง ใครเคยได้ยิน Hybrid Mail บ้าง ว่าวันหนึ่งเราต้องมีที่ยืนเป็นของเรา สิ่งที่ทุกองค์กรขาดไม่ได้ คือ Software Backup ไม่ใช้ Firewall หรือ Antivirus ซึ่งตอนนี้เหลืออยู่เพียงไม่กี่ยี่ห้อ เช่น McAfee, Urada อีกประการหนึ่ง เราต้องรู้เรื่องช่องโหว่ ต้องมองให้เห็นในสิ่งที่คนอื่นมองไม่เห็น คนอาจติดโรคโควิด-19 ได้ เพราะอยู่ใกล้ชิดกัน และอุณภูมิความชื้น แต่เราก็สามารถมองเห็นได้ด้วยตาว่าใครติดโควิด แต่การโจมตีมองไม่เห็น ถ้าเป็นคนธรรมดาทั่วไปให้ระวังเรื่อง Spyware แต่ถ้าเป็นองค์กรให้ระวังเรื่อง Ransomware ถ้ามีคนส่งลิงค์มาให้ ถ้าไม่แน่ใจอย่ากดลิงค์ เพราะว่าเงินอาจสูญหายเป็นล้านบาทได้ หรือสามารถเอาลิงค์ไปตรวจสอบได้ที่เว็บ sogo.com การยิงเราเรียกว่า กระสุนไซเบอร์ หรือ Exploit

องค์กรสมัยใหม่ ต้องรู้เท่าทัน ต้องมองให้เห็น ต้องมองให้เห็นด้วยเครื่องมือ ปัจจุบันมีการแฮกเกิดขึ้นจำนวนมาก เช่น การแฮกข้อมูลของรถยนต์ Skoda และอีกส่วนหนึ่งที่ถูกแฮกเป็นข้อมูลเกี่ยวกับระบบสาธารณูปโภค ข้อมูลจากสมาคมส่งเสริมนวัตกรรมเทคโนโลยีไซเบอร์ (Cyber Innovation Promotion Association of Technology:  CIPAT) มีข้อมูลกว่า 100,000 IP ที่ติด Black List ซึ่ง IP นั้น มีอยู่ 2 ประเภท คือ 1. ไอพีสาธารณะ หรือไอพีข้างนอก (Public IP) และ 2. ไอพีส่วนบุคคล หรือไอพีข้างใน (Private IP) ซึ่งพวกแฮกเกอร์นั้นจะชอบ Public IP เพราะว่าน่าสนใจกว่า นอกจากนั้นก็ยังเรื่องของ Patching คือการข้ารหัส คือการเข้าไปแล้ว ถอยออกไม่ได้ ซึ่งใน 1 เดือนในระบบคอมพิวเตอร์ จะมีช่องโหว่เกิดขึ้นเป็นจำนวน 1,000 ครั้ง ส่วนใหญ่แล้วพวกแฮกเกอร์จะมี Exploit คือ กระสุนปืน ถ้าแฮกเกอร์ไม่มีกระสุนปืนก็ทำอะไรไม่ได้ ในเว็บไซต์ techtalkthai.com ได้อธิบายความหมายของคำว่า Exploit เอาไว้ว่า Exploit เป็นศัพท์ที่ผู้อยู่ในวงการ Security เข้าใจความหมายกันดี เนื่องจากการโจมตีไซเบอร์ส่วนใหญ่มักเกิดจากการ Exploit จุดอ่อนของระบบความมั่นคงปลอดภัย ซึ่งจุดอ่อนทางด้านความมั่นคงปลอดภัยก็มีหลายประเภท ยกตัวอย่างเช่น รหัสผ่านที่ไม่แข็งแกร่ง ผู้ใช้ที่หลงกดเข้าหน้า Login ปลอม หรือไฟล์แนบแฝงมัลแวร์ที่ผู้ใช้เผลอเปิดโดยไม่ระวัง เป็นต้น อย่างไรก็ตาม ในส่วนของ Computer Security นั้น Exploit มีความหมายที่เฉพาะเจาะจง นั่นคือ เป็นวิธีการใช้บั๊กของซอฟต์แวร์ในทางที่ไม่เหมาะสม เพื่อทำการบายพาสระบบความมั่นคงปลอดภัยที่ใช้งานอยู่ขณะนั้น ซึ่งบั๊กของซอฟต์แวร์ที่สามารถ Exploit ได้เป็นที่รู้จักกันดีในนาม “ช่องโหว่” นั่นเอง คุณนนทวัตต์ ได้เล่าต่อไปว่า ดังได้กล่าวแล้วว่า แฮกเกอร์ ต้องมีกระสุนปืน ถ้าไม่มีกระสุนปืนก็ทำอะไรไม่ได้ คราวนี้ มีคำอีก 2 คำที่นิยมใช้เรียกกัน คือ นักฆ่า กับนักสืบ การเป็นนักสืบนั้นยากกว่า Exploit เป็นอาวุธที่สำคัญของนักฆ่า กระสุนปืน คือ Exploit หรือช่องโหว่ Exploit ส่วนใหญ่จะหาได้ใน Google หรือ Deep Web ซึ่งต้องใช้ Tool ในการค้นหาใน Deep Web สำหรับ Exploit นั้น มีคนเขียนขึ้นมา และนำมาฝัง เนื่องจากในปัจจุบันเครื่องใช้อุปโภคต่างๆ มีการเชื่อมต่อกับอินเทอร์เน็ตได้ (Internet of Things: IoT) ไม่ว่าจะเป็นตู้เย็น เครื่องซักผ้า ทีวี ดังนั้น กฎหมายเกี่ยวกับเรื่อง Cyber Security จึงมีออกมากันมากมาย เช่น ถ้าบริษัทไม่ทำเกี่ยวกับเรื่อง Cyber Security อาจเสี่ยงต่อการทำผิดกฎหมายได้

ดังนั้น กฎหมายเกี่ยวกับ Cyber จึงมีความสำคัญ ใครทำงานอยู่ในภาครัฐ จึงจำเป็นต้องรู้ แม้เรื่อง พ.ร.บ.ความมั่นคงไซเบอร์ บริษัทต้องพร้อมรับมือกับสิ่งเหล่านี้ (ต้องทำ) ด้วยความมั่นคงภาครัฐ รวมไปถึงเรื่องระบบสาธารณสุข ไฟฟ้า ธนาคาร น้ำประปา จะนิ่งเฉยไม่ไม่ได้ ผิดกฎหมาย ส่วนใหญ่เอา NIST Framework คือ NIST Cybersecurity Framework เป็นหนึ่งในกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นที่นิยมใช้อย่างมากใน (catcyfence.com) ประกอบด้วย (1).Identify – การระบุและเข้าใจถึงบริบทต่างๆ เพื่อการบริหารจัดการความเสี่ยง, (2).Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร, (3). Detect – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ, (4).Respond – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น, (5). Recovery – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม  จาก 5 ประการดังกล่าวนี้ จะเห็นได้ว่า เรื่องของ Cyber Security มีความสำคัญมากต่อองค์กร และองค์กรเองก็ต้องให้ความสำคัญ ตัวอย่างเช่น การจัดเก็บข้อมูล Log File ของผู้ใช้เอาไว้ 90 วัน เป็นต้น ซึ่ง พ.ร.บ.ความมั่นคงไซเบอร์มีครอบคลุมเกี่ยวกับเรื่องเหล่านี้ และข้อมูลส่วนบุคคล เป็นข้อมูลที่อ่อนไหว พนักงานขององค์กรจึงต้องทำความเข้าใจ ทั้งนี้ ยังรวมไปถึงเรื่อง พ.ร.บ.คอมพิวเตอร์ ที่ปรับปรุงแก้ไขใหม่ใน ปี พ.ศ.2560 อีกด้วย.