การมาถึงของยุคแห่ง SMCI หรือ Social, Mobile, Cloud and Information/Big Data ทำให้หลายองค์กรต้องเตรียมตัวรับมือกับภัยคุกคามใหม่ๆ ที่มาทางไซเบอร์ โดยผ่านช่องทาง Social Network, Mobile Devices หรือ Cloud Services ต่างๆ โดยสภาพและลักษณะของภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก ตลอดจนมีรูปแบบในการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware กำลังมาแรงมาก จนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน
ดังนั้นแนวความคิดและแนวทางในการป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (effectiveness) จึงจำเป็นอย่างยิ่งยวดที่จะต้องปรับความคิดและปรับกลยุทธ์ ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไปดังกล่าว (Threat Landscape changed) และควรเพิ่มปัจจัยที่สำคัญอีกปัจจัยลงไปในสมการแห่งการเปลี่ยนแปลงนี้ด้วย ได้แก่ ปัจจัยของเวลา (Time Factor) เพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สิน และระบบสารสนเทศขององค์กร จากรูปที่ 1 พบว่าหัวใจสำคัญก็คือ องค์กรต้องป้องกันเรื่องของ “Privacy Risk” ซึ่งจะนำไปสู่ “Reputation Risk” ในที่สุดเราควรเข้าใจทั้งสภาวะแวดล้อมใหม่ๆ ที่เปลี่ยนจาก stage ที่ 1 “Information Security” เข้าสู่ stage ที่ 2 “Cybersecurity” และเข้าสู่ stage ที่ 3 ได้แก่ “Cyber Resilience
ในปัจจุบันเราคงต้องยอมรับว่า กลไกในการป้องกันการโจมตีจากแฮกเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้นไม่ได้มีประสิทธิผลเท่าที่ควร ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้นมีประวัติอันยาวนานมาตั้งแต่ ปี ค.ศ.1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ จากวันนั้นถึงวันนี้ ค.ศ.2015 ผ่านมาแล้ว 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100% ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่โดยตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆ ถูกเจาะระบบอยู่เป็นประจำ
สาเหตุของปัญหาก็คือ แนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React ( ป้องกัน ตรวจจับ และตอบสนอง) เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept : Protective Control is the best control ) แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน ”Winn Schwartau ผู้เขียนหนังสือ “TIME-BASED SECURITY” ได้ค้นพบว่า P-D-R Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ Pt > (Dt + Rt) โดย t = time (เวลา) สมการนี้มีความหมายว่า ถ้าเวลาในการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้ แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป ซึ่งในโลกไซเบอร์ปัจจุบัน สมการมีลักษณะดังนี้ Pt << (Dt + Rt) หมายถึงเวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก
ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ลดเวลาในการตรวจจับลง” (decrease Dt) และ “ลดเวลาในการตอบสนองลง” (decrease Rt) ด้วยเช่นกัน
กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่เราต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่
1. Protection (การป้องกัน)
2. Detection (การตรวจจับ)
3. Reaction (การตอบสนอง)
4. Time (เวลา)
กุญแจของการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศนั้น ควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO / IEC 27001 : 2013 ก็ดี หรือการนำเทคโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection using Sandbox, การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology แต่รากเหง้าของปัญหาที่แท้จริงแล้วปัจจัยสำคัญอยู่ที่ “มนุษย์” หรือ “People” ในการเตรียมพร้อมรับมือกับภัยคุกคามต่างๆ ที่อาจเกิดขึ้นเมื่อใดก็ได้
การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไป (User Readiness and Responsiveness by performing Cyber Drill) และการให้ความรู้ด้านภัยสารสนเทศ (User Security Awareness Training) จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี ยกตัวอย่าง เรื่องการซ้อมหนีไฟ (Fire Drill) องค์กรยังมีการซ้อมอยู่เป็นประจำทุกปี แล้วทำไมองค์กรไม่ทำการซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า “Cyber Drill” (ดูรูปที่ 5) เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กรตลอดจนผู้บริหารทั้งระดับกลางและระดับสูงได้ตระหนักรู้ และสร้างประสบการณ์ในการรับมือกับภัยคุกคามอย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “Incident” ต่างๆ ที่จะเกิดขึ้น ทาง ACIS CYBERLAB ได้ทำการทดลองปฏิบัติการ ”Cyber Drill” กับพนักงาน ACIS Professional Center ทั้ง 68 คน ผลการทดลองเป็นไปตามรูปที่ 6 เราพบว่า พนักงาน 27 คนจาก 68 คน เปิดอีเมล์ปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮกเกอร์โดยไม่รู้ตัว โดยแฮกเกอร์สามารนำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย หลังจากการทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงวิธีการ “Social Enginering” ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่งอีเมล์หลอก (Phishing email) โดยมัลแวร์หรือแฮกเกอร์
จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเทอร์เน็ตเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด เพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก ปฏิบัติการ “Cyber Drill” ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก
นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบ แบบ Real-Time ก็มีความจำเป็นเช่นกัน ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮกเกอร์ ได้ในเวลาที่กำหนดก็เป็นอีกเรื่องที่สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย
เพราะฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “Are we Ready?” หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลาก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของเรามีประสิทธิผลมากขึ้นโดยลำดับ สามารถทำให้องค์กรมี “Cyber Resilience. และ “Business Resilience” ในที่สุด
