ในปัจจุบันมีการขยายตัวของเครือข่ายคอมพิวเตอร์มากขึ้นมีการนำเอาเทคโนโลยีมาใช้ในสนับสนุนการดำเนินธุรกิจและให้บริการ ซึ่งมีการทำธุรกรรมอิเล็กทรอนิกส์อย่างกว้างขวางในทุกอุตสาหกรรมทั้งภาครัฐและเอกชน กระบวนการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศเป็นสิ่งที่สำคัญอย่างยิ่งยวด ซึ่งมีพื้นฐานมาจากแนวทางการจัดการความเสี่ยงของธุรกิจ (Business Risk Approach) มีวัตถุประสงค์เพื่อรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลสารสนเทศ(Information) รวมทั้งทรัพย์สินอื่นๆ ที่มีความสำคัญขององค์กร ในอันที่จะสร้าง ดำเนินการ หรือนำมาใช้ ตรวจสอบ วัดผล ทบทวน บำรุงรักษา และปรับปรุงระบบบริหารความมั่นคงปลอดภัย เพื่อให้องค์กรรอดพ้นจากภัยคุกคามต่างๆ โดยใช้หลัก Plan-Do-Check-Act (PDCA Model)
แนวคิดถึงเรื่อง ปัญหา "Identity Theft" การละเมิดความเป็นส่วนตัว "Privacy" เพื่อนำไปใช้ประโยชน์ในทางมิชอบจะเพิ่มมากขึ้นเรื่อย ๆ เช่น ปัญหา SpyWare, ปัญหา Keylogger และ ปัญหา PHISHING และ PHARMING ตลอดจน ปัญหาเรื่อง Information Leakage หรือข้อมูลความลับรั่วไหลออกจากองค์กร ปัญหา SPAM Email, ปัญหา "VIRUS/WORM", ปัญหาการควบคุมการใช้งาน Internet Messaging Software เช่น MSN, ปัญหาการควบคุมการเล่นอินเทอร์เน็ตของพนักงาน ตลอดจนการควบคุมดูแลการใช้งานอินเทอร์เน็ต
การปฏิบัติตามกฎระเบียบข้อบังคับ และ กฎหมาย ควรครอบคลุมถึง พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 รวมถึง ประกาศ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ด้วย
แนวคิด GRC
แนวคิดของ "GRC" นั้น มาจากความหมายของคำหลาย ๆ คำ ได้แก่ "Corporate Governance" , "IT Governance" , "Financial Risk" , "Strategic Risk" , "Operational Risk" , "IT Risk" , "Corporative Compliance" , "Employment / Labor Compliance" , "Privacy Compliance" รวมถึงกฎหมายต่าง ๆ ในสหรัฐอเมริกา เช่น SOX (Sarbanes-Oxley Compliance) หรือ กฎระเบียบข้อบังคับ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry ,Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการบัตรเครดิต เช่น VISA , MASTER เป็นต้น
"GRC" ซึ่งย่อมาจาก "Governance Risk and Compliance" แนวคิด "GRC" นั้นเป็นแนวคิดใหม่ที่รวมองค์ประกอบ 3 องค์ประกอบเข้าด้วยกัน ได้แก่ องค์ประกอบที่ 1 "Governance" , องค์ประกอบที่ 2 "Risk Management" และ องค์ประกอบที่ 3 "Regulatory Compliance" การกำหนดนิยามของคำว่า "GRC" นั้น มาจาก นิยามของทั้งสามองค์ประกอบ ได้แก่
1. "Governance" หมายถึง นโยบาย วัฒนธรรมองค์กร กระบวนการขั้นตอนการปฏิบัติงาน ที่ถูกกำหนดออกมาอย่างชัดเจนในการบริหารจัดการและกำกับดูแลองค์กรโดยผู้บริหารระดับสูงเพื่อการบริหารองค์กรที่โปร่งใส ตรวจสอบได้ คำที่เราได้ยินกันบ่อยๆ ได้แก่ คำว่า "Corporate Governance" จะรวมถึงความสัมพันธ์และบทบาทของทุกคนในองค์กรไม่ใช่เฉพาะผู้บริหารอย่างเดียว ตลอดจนกำหนดเป้าหมายหลักที่เน้นเรื่องความโปร่งใสในการบริหารจัดการของผู้บริหารระดับสูงในองค์กร
2. "Risk Management" หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจมีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ
3. "Compliance" หมายถึง การปฏิบัติตามกฎระเบียบข้อบังคับ และ กฎหมาย ตลอดจนการปฏิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้อง ได้ตามมาตรฐาน ยกตัวอย่าง เช่น การปฏิบัติตามประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์ และ การจัดทำแผน เพื่อรองรับ พรบ.และพรฎ. ด้านความปลอดภัยทางอิเล็กทรอนิกส์ ได้แก่ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 , พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 (มาตรา 35) , (ร่าง) พรฎ.กำหนดวิธีการแบบ(มั่นคง) ปลอดภัยในการประกอบธุรกรรมอิเล็กทรอนิกส์ (มาตรา 25) ซึ่งเป็นข้อแนะนำของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ และ บริษัทไทยเรทติ้ง แอนด์ อินฟอร์เมชั่นเซอร์วิส จำกัด (ทริส) ในปัจจุบัน กระแส "Governance" และ "Compliance" กำลังมาแรงทั่วโลกรวมถึงในประเทศไทยด้วย เพราะเรามีทั้งกฎหมายธุรกรรมอิเล็กทรอนิกส์ และ กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่ประกาศออกมาบังคับใช้กันแล้ว การที่ผู้บริหารองค์กรยังไม่ได้ให้ความสำคัญกับเรื่องทั้ง 2 เรื่องนี้ กลายเป็นความเสี่ยง (Risk) ที่มีโอกาสเกิดขึ้นกับองค์กรอย่างหลีกเลี่ยงไม่ได้ ยกตัวอย่างบริษัทที่ประสบปัญหาในสหรัฐอเมริกา เช่น บริษัท ENRON และ บริษัท WORLDCOM ก็ล้วนมีปัญหาเรื่องความไม่โปร่งใสและการไม่ปฏิบัติตามข้อกฎหมายต่าง ๆ จนเป็นเหตุให้บริษัทต้องล้มละลายในที่สุด การบรรลุเป้าหมาย "Good Governance" นั้น ต้องเริ่มจาก ผู้บริหารระดับสูงสุดเป็นคนแรก ตลอดจนเป็นความรับผิดชอบหลักของคณะกรรมการบริหาร (Board of Director) ถ้าหากผู้บริหารระดับสูงไม่ใส่ใจเท่าที่ควรจะเป็น คำว่า "Good Governance" ก็คงจะเกิดขึ้นไม่ได้อย่างแน่นอน การจะได้มาซึ่ง "Good Governance" ต้องมีการบริหารความเสี่ยง (Risk Management) และการบริหารเกี่ยวกับการปฏิบัติตามกฎระเบียบและข้อกฎหมายต่าง ๆ (Compliance Management) ควบคู่กันไป ดังนั้น เราจะเห็นว่า "Governance" , "Risk" และ "Compliance" มีความสัมพันธ์ และมีความเกี่ยวข้องกัน แนวคิด "GRC" นั้น ต้องการที่จะนำองค์ประกอบทั้ง 3 มาปฏิบัติร่วมกันในรูปแบบของการทำงานเป็นทีม มีการ "share" ข้อมูลซึ่งกันและกัน มีการเปิดกว้างทางความคิดที่จะปรับปรุงองค์กรจากข้อมูลและแนวทางจากผู้บริหารของหลาย ๆ ฝ่ายในปัจจุบันการบริหารจัดการความปลอดภัยระบบสารสนเทศ (IT Security Management) นั้น ใช้แนวทางที่เรียกว่า "Holistic Risk Management" หมายถึง "การบริหารความเสี่ยงในภาพรวม" ในขณะที่ปัจจัยด้านกฎระเบียบ ข้อกฎหมายต่าง ๆ ถูกนำเข้ามาพิจารณาด้วยในโครงการที่เกี่ยวข้องกับความปลอดภัยระบบสารสนเทศในปัจจุบัน จะเห็นว่าแนวทาง "Regulatory Compliance" นั้น กลายเป็นเรื่องที่สำคัญที่มีผลกระทบต่อโครงสร้างพื้นฐานระบบสารสนเทศ (IT Infrastructure) ขององค์กรอย่างหลีกเลี่ยงไม่ได้
รูปที่ 2
จากข้อมูลในรูปที่ 1 จะเห็นว่าเรื่อง "Regulatory Compliance" เป็น "Top Driver" สำหรับการลงทุนด้านความปลอดภัยระบบสารสนเทศ และพบว่าองค์กรส่วนใหญ่ใช้งบประมาณ 7-10% ของงบประมาณระบบสารสนเทศทั้งหมดไปกับเรื่อง IT Policy และ IT Compliance ขณะที่การใช้งบประมาณด้าน IT Security มีตัวเลขอยู่ที่ 4-6% ของงบประมาณระบบสารสนเทศโดยรวม ซึ่งพบว่าน้อยมากและไม่เพียงพอต่อการปฏิบัติตามแนวทาง Regulatory Compliance ข้อมูลจาก Merrill Lynch CISO Survey พบว่า 62% ของ CISO คาดหวังงบประมาณด้าน IT Security ว่าควรเพิ่มขึ้น ขณะที่ CISO 34% สรุปว่างบประมาณเพียงพอแล้ว และ 4% บอกว่าควรลดงบประมาณลง
รูปที่ 2
จากข้อมูลในรูปที่ 2 การใช้จ่ายเกี่ยวกับ Software ด้าน Compliance / Risk Management มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% ขณะที่ การ Outsource เรื่องการจัดเก็บ LOG ของระบบตามกฎหมายต่าง ๆ ไปยัง MSSP มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% เช่นกัน
รูปที่ 3
จากข้อมูลในรูปที่ 3 จะสังเกตุได้ว่า ปัญหาและอุปสรรคของการปฏิบัติตามหลักการ Regulatory นั้น อันดับหนึ่งคือ เรื่องงานเอกสาร (Documentation) และอันดับที่ 2 ถึง 8 นั้นเกี่ยวข้องกับเรื่อง IT Security ที่ยังไม่ได้ปฏิบัติตาม Standard หรือ Best Practice เช่น ISO/IEC 27001 ,ITIL หรือ ISO/IEC 20000 ตลอดจนมาตรฐาน CobiT 4.1 เป็นต้นแนวคิด "GRC" นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น "Good Governance" แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspectiveกล่าวโดยสรุปจะเห็นได้ว่า แนวคิด "GRC" นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด "GRC" ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ "Leadership" เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด "GRC" โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด "GRC" ในที่สุด จากปัญหาต่างๆ ผู้บริหารระบบสารสนเทศระดับสูง (CIO) และผู้บริหารระบบเครือข่ายและความมั่นคงปลอดภัยของข้อมูลสารสนเทศระดับสูง (CSO, CISO) ทั้งองค์กรภาครัฐและเอกชนต้องให้ความสำคัญ และต้องมีความรู้ความเข้าใจเรื่องการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ (Information Security) อย่างแท้จริง สามารถนำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002 มาใช้ ซึ่งมาตรฐานนี้ถูกออกแบบมาสำหรับการตรวจประเมิน (Certification) นั่นคือหากองค์กรใดได้จัดทำระบบตามมาตรฐานนี้ครบถ้วนตามความต้องการที่กำหนดไว้ มีการประยุกต์ใช้ในองค์กรเพื่อให้ได้ผลในทางปฏิบัติและสอดคล้องกับกฎหมายในปัจจุบัน และ อนาคต แล้วการรักษาความปลอดภัยข้อมูลสารสนเทศนั้นเป็นสิ่งจำเป็นที่ต้องถูก บรรจุอยู่ในกระบวนการทำงานของบุคลากร (Built-in process) รวมถึง ฮาร์ดแวร์และซอฟท์แวร์โดยอัตโนมัติ (Security Oriented) ในแต่ละองค์กร
แนวโน้มของของคอมพิวเตอร์ที่มีผลกระทบกับการพัฒนาทรัพยากรมนุษย์ในองค์กรต่างๆ ทั้งใน ปัจจุบันและอนาคต โดยเริ่มตั้งแต่การเตรียมโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Infrastructure) ผู้บริหารระดับสูงจะต้องเห็นชอบด้านการลงทุนโครงสร้างพื้นฐานดังกล่าว มีส่วนร่วมในการวางแผนซึ่งตามลักษณะของการวางแผนกลยุทธ์ ( The nature of strategic planning) ผู้บริหารระดับสูงมีภาระในการตัดสินใจเชิงนโยบายอย่างเป็นรูปธรรมเกี่ยวกับการดำเนินการของกิจการ เพื่อการสร้างจุดแข็งของธุรกิจระยะยาวให้มีตำแหน่งการแข่งขันในตลาด ธุรกิจแต่ละชนิดจะต้องประกอบด้วยฝ่ายต่าง ๆ เช่น ฝ่ายการผลิต ฝ่ายขาย และฝ่ายพัฒนาทรัพยากร ทุกฝ่ายจะมีส่วนเกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศและการสื่อสารมาช่วยสนับสนุนให้ธุรกิจบรรลุเป้าหมายการแข่งขัน ซึ่งแผนกกลยุทธ์ของผู้บริหาร (The manager’s Strategic plan) จะเป็นแนวความคิดที่พยายามแสวงหาความสมดุลระหว่างปัจจัย 2 กลุ่ม คือ โอกาสและอุปสรรค ซึ่งเป็นสภาพแวดล้อมภายนอกกิจการ จุดแข็งและจุดอ่อนซึ่งเป็นสภาพแวดล้อมภายในกิจการ ดังนั้นลักษณะของการวางแผนเชิงกลยุทธ์ จะมุ่งเน้นการสร้างข้อได้เปรียบในการแข่งขัน (Building competitive advantage) จะเห็นได้ว่ากิจการที่ประสบความสำเร็จล้วนเป็นกิจการที่สามารถสร้างข้อได้เปรียบทางการแข่งขัน (Competitive advantage) สำหรับแต่ละธุรกิจ ไม่ว่าจะเป็นการเป็นผู้นำด้านต้นทุน (Cost leadership) หรือใช้กลยุทธ์การสร้างความแตกต่าง (Differentiation Strategy) ในสินค้าและบริการ การออกแบบผลิตภัณฑ์ การจัดจำหน่ายและอื่น ๆ ที่เกี่ยวกับผลประโยชน์ขององค์กร บทบาทของกลยุทธ์ (Strategic role) ที่ทำให้พนักงานมีข้อผูกพันจะช่วยให้กิจการประสบความสำเร็จในการสร้างโอกาสในการแข่งขัน C.K. Prahalad and Gary Hamel ผู้เชี่ยวชาญด้านการ วางแผนกลยุทธ์ (Strategic Planning) กล่าวว่า การสร้างข้อได้เปรียบในการแข่งขันไม่ใช่เพียงขึ้นอยู่กับความแตกต่างของผลิตภัณฑ์หรือบริการ หรือการเป็นผู้นำที่ใช้ต้นทุนต่ำ (Low – cost leader) เท่านั้น กิจการที่สามารถอยู่รอดและเจริญเติบโตในแง่เศรษฐกิจ ต้องมีการปรับตัวให้ทันต่อการเรียนรู้ขององค์กร การแข่งขันทางด้านธุรกิจทั้งในปัจจุบันและกำลังจะเกิดขึ้นในอนาคตต้องใช้ฐานความรู้ (Knowledge-base) ทั้งสิ้น นอกจากนี้ยังต้องรักษาผู้ชำนาญงานพิเศษเอาไว้ หรือที่มักเรียกกันว่า แกนของสมรรถนะ (Core competencies) ซึ่งต้องมีการโต้ตอบกับลูกค้าอย่างฉับไว หรือกล่าวอีกอย่างหนึ่งได้ว่า การสร้างโอกาสในการแข่งขันจะขึ้นอยู่กับความสามารถในการบริหารจัดการเพื่อทำให้เทคโนโลยีสารสนเทศและการสื่อสารของกิจการเป็นไปอย่างมีระบบ มีความก้าวหน้าในการเรียนรู้ทุกหนทุกแห่ง Ubiquitous Learning สร้างให้พนักงานเข้าถึงข้อมูลได้อย่างเท่าเทียมกัน เกิดองค์ความรู้ ทักษะ และความชำนาญในการผลิตเพื่อเข้าสู่การเป็นผู้มีความสามารถ ซึ่งจะทำให้ธุรกิจมีการปรับตัวอย่างรวดเร็วเพื่อสร้างโอกาสในการเปลี่ยนแปลงของธุรกิจทั้งนี้การประยุกต์เทคโนโลยีด้วยการใช้ประโยชน์ของลายมือชื่ออิเล็กทรอนิกส์เข้ากับการทำธุรกรรมระหว่างกันผ่านเครือข่ายระบบยังนับว่าเป็นสิ่งจำเป็นอย่างยิ่งในอนาคตเนื่องด้วยลักษณะการดำเนินชีวิต (Life style) ของคนยุคใหม่ในสังคมที่เรียกกันว่า “สังคมยูบิควิตัส Ubiquitous Society” ซึ่งมีปัจจัยแวดล้อมทางเทคโนโลยีที่ถูกประยุกต์ใช้กับชีวิตประจำวัน การทำธุรกรรมออนไลน์ผ่านเทคโนโลยีเว็บ ลายมือชื่ออิเลคทรอนิคส์จะเข้ามีบทบาทมากต่อการดำเนินชิวิตในยุคดังกล่าว บทบาทหนึ่งของนักพัฒนาทรัพยากรมนุษย์ในฐานะเป็นหุ้นส่วนกลยุทธ์ (HR’s role as a strategic partner) ต้องเข้ามามีส่วนในการวางแผน กำหนดนโยบาย ด้านการพัฒนาความรู้ ความสามารถของบุคลากร ให้สอดคล้องกับการเปลี่ยนแปลงด้านเทคโนโลยีสารสนเทศและการสื่อสาร รวมไปถึงดูแลเรื่องระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ เนื่องจากการเชื่อมโยงสัมพันธ์กันของระบบฐานข้อมูลเชิงสัมพันธ์ (relation) ที่จะสามารถพัฒนาไปสู่ Ubiquitous Network Society การบริการต่าง ๆ นั้นจะมีความสัมพันธ์เชื่อมโยงถึงการบริหารลูกค้าสัมพันธ์ Customer Relation Management – CRM เป็นระบบข้อมูลย้อนกลับ ทราบถึงความพึงพอใจในการใช้สินค้าและบริการนั้น ๆ อย่างเป็นระบบ เทคโนโลยีช่วยสนับสนุนด้านกลยุทธ์ระดับธุรกิจอย่างลงตัวเช่นเดียวกันในเรื่องการจัดสรรทรัพยากรให้ทันเวลาเหมาะสมกับการผลิตที่มีประสิทธิภาพ มีการนำเอาระบบเทคโนโลยีคอมพิวเตอร์มาช่วยจัดการด้านการส่งถ่ายแบบห่วงโซ่อุปทาน Supply Chain Management รวมไปถึงการจัดการคลังสินค้า Warehouse Management ช่วยลดขั้นตอนการทำงานที่อาจจะทับซ้อนกัน อีกทั้งการจัดการระบบที่ดีของนักพัฒนาทรัพยากรมนุษย์ในด้านเทคโนโลยีในอนาคตจะมีส่วนสนับสนุนผู้บริหารมีข้อมูลเพียงพอ ทันสมัย สำหรับใช้เพื่อการตัดสินใจในระดับกลยุทธ์ขององค์กร สามารถพิจารณาข้อมูลภาพรวมทั้งภายในภายนอกองค์กรได้เป็นอย่างดี ทำให้เกิดศักยภาพของบุคลากร (Human Potential) เพื่อเป้าหมายผลประกอบการที่ดีของทุก ๆ องค์กร นำไปสู่ผลประโยชน์ขององค์กร ( Benefit Organization) ด้วยภาพลักษณ์ที่ดีของกิจการ ปลูกจิตสำนึกการตอบแทนสังคม สร้างความยั่งยืน ทำให้เกิดความภาคภูมิใจของทุกคนในองค์กร ICT security คือการปกป้องจุดอ่อน
รู้จักกับมัลแวร์ (Malware)
มัลแวร์ (Malware) ย่อมาจาก "Malicious Software" ซึ่งหมายถึง โปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย ที่บุกรุกเข้าไปติดอยู่ในระบบคอมพิวเตอร์โดยไม่ได้รับความยินยอมจากผู้ใช้ และสร้างความเสียหายให้กับระบบคอมพิวเตอร์นั้นๆ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์เครื่องอื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่าย หรือระบบสื่อสารข้อมูล ไวรัสก็อาจแพร่ระบาดได้เช่นกัน หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ นั่นเอง โปรแกรมพวกนี้ก็เช่น Virus, Worm, Trojan, Adware, Spyware, Keylogger, hack tool, dialer, phishing, toolbar, BHO, Joke, etc
คำอธิบายของ Malware แต่ละชนิด :Virus = แพร่เชื้อไปติดไฟล์อื่นๆ ในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป แต่มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้ ต้องอาศัยไฟล์พาหะสิ่งที่มันทำคือ สร้างความเสียหายให้กับไฟล์Worm = คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้อย่างอิสระ โดยอาศัยอีเมลล์, ช่องโหว่ของระบบปฏิบัติการหรือการเชื่อมต่อที่ไม่มีการป้องกัน มันจะไม่แพร่เชื่อไปติดไฟล์อื่นสิ่งที่มันทำคือ มักจะสร้างความเสียหายให้กับระบบเครือข่าย และระบบอินเทอร์เน็ตTrojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้ ต้้องอาศัยการหลอกคนใช้ให้ดาวน์โหลดเอาไปใส่เครื่องเอง หรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือ เปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิดSpyware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้ ต้องอาศัยการหลอกคนใช้ให้ดาวน์โหลดเอาไปใส่เครื่องเอง หรืออาศัยช่องโหว่ของ Web browser และระบบปฏิบัติการในการติดตั้งตัวเองลงในเครื่องเหยื่อสิ่งที่มันทำคือ รบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้Hybrid Malware/Blended Threats = คือ Malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกันPhishing = เป็นเทคนิคการทำ Social Engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินบนอินเตอร์เน็ต เช่น บัตรเครดิต หรือพวก online bank accountZombie Network = เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมายKeylogger = โปรแกรมชนิดหนึ่งที่แฝงตัวเข้ากับระบบคอมพิวเตอร์ เพื่อเก็บข้อมูลการกดแป้นคีย์บอร์ด และดักเอารหัสผ่านต่างๆ เพื่อนำไปให้ผู้ไม่ประสงค์ดีนำเอาไปใช้งานDialer = แอพพลิเคชั่นที่ทำงานโดยการสั่งให้โมเด็มคุณตัดการเชื่อมต่อจาก ISP ที่ใช้บริการ โดยหมุนหมายเลยไปยังผู้ให้บริการในต่างประเทศ ทำให้มีค่าโทรศัพท์ที่สูงขึ้น
Explosion of Malware Variants ในปี 2552-2553 นี้พบการขยายตัวของมัลแวร์ (Malware) สายพันธุ์ต่างๆ มากขึ้น โดยจะเห็นได้จากการโจมตีครั้งล่าสุดที่พบเห็นกันในปัจจุบันจะเริ่มมีมัลแวร์สายพันธุ์ใหม่เข้าไปด้วย ซึ่งมีการคุกคามจำนวนหลายล้านรูปแบบที่แตกต่างกันอย่างชัดเจน โดยอาศัยการแพร่กระจายจากมัลแวร์ใหม่ที่เพิ่มขึ้นมาอย่างรวดเร็วจนนับไม่ถ้วนจากมัลแวร์หลักเพียงตัวเดียว อีกทั้ง ข้อมูลที่ตรวจจับได้จาก Symantec Global Intelligence Network ยังแสดงให้เห็นว่า ปัจจุบันมีการสร้างโปรแกรมที่มุ่งร้าย (Malicious program) หรือจะเรียกว่าเป็นโปรแกรมพวกมัลแวร์ให้พบเห็นมากกว่าโปรแกรมถูกกฎหมาย/ นำไปใช้ทำงานจริงๆ ซึ่งภัยคุกคามใหม่และที่กำลังเพิ่มปริมาณขึ้นอย่างรวดเร็วนี้ เป็นสิ่งที่ไซแมนเทคมองว่า มีความจำเป็นอย่างยิ่งที่เราต้องมองหาวิธีการตรวจจับแบบใหม่และมีความสมบูรณ์มากยิ่งขึ้นเพื่อรับมือกับภัยดังกล่าวที่กำลังสร้างปัญหาในปัจจุบัน
รายงานแนวโน้มด้านภัยคุกคาม และความปลอดภัยทางด้านไอทีของบริษัท ไอบีเอ็ม
ที่ผ่านมา ไอบีเอ็มได้ให้ความสำคัญกับประเด็นเรื่องความปลอดภัยทางด้านไอที และได้ลงทุนค้นคว้าวิจัย หาข้อมูลจากกรณีศึกษาของลูกค้าไอบีเอ็มทั่วโลก และได้จัดทำรายงานฉบับหนึ่งขึ้น ซึ่งรายงานฉบับนี้ได้มีการคาดการณ์เกี่ยวกับแนวโน้มทางด้านภัยคุกคามและความปลอดภัยทางด้านไอที (Security Technology Outlook – STO) โดยจุดประสงค์ของรายงานฉบับนี้ ทำขึ้นเพื่อเสริมสร้างความรู้ความเข้าใจที่ถูกต้องเกี่ยวกับปัญหาและความท้าทายด้านการรักษาความปลอดภัยที่อาจเกิดขึ้น เพื่อให้องค์กรต่าง ๆ ได้ตระหนักและหาทางป้องกันและจัดการกับระบบไอทีของตน เมื่อเกิดเหตุการณ์ที่ไม่คาดฝันขึ้น รายงานฉบับดังกล่าว ระบุแนวโน้มทางด้านภัยคุกคามและเทคโนโลยีสำคัญ 9 อย่างที่จะส่งผลกระทบต่อสภาพแวดล้อมด้านการรักษาความปลอดภัยในช่วง 2-5 ปีข้างหน้า แนวโน้มเหล่านี้ครอบคลุมตั้งแต่เรื่องเทคโนโลยีเสมือน (เวอร์ช่วลไลเซชั่น) บริการที่รองรับการประมวลผลแบบคลาวด์ (Cloud Computing) และซอฟต์แวร์ในรูปแบบบริการ (Software as a Service – SaaS) ไปจนถึงแนวโน้มการกำหนดตัวตนผู้ใช้แบบดิจิตอล (Identity) และความแพร่หลายของโทรศัพท์มือถือและอุปกรณ์พีดีเอซึ่งใช้ในการเชื่อมต่ออินเทอร์เน็ต เป็นต้น
ในขณะที่บริษัททางด้านไอทีส่วนใหญ่มุ่งเน้นและจัดการความเสี่ยงด้านใดด้านหนึ่ง ในทางตรงกันข้าม ไอบีเอ็มให้ความสำคัญกับการบริหารความเสี่ยงอย่างครบวงจรโดยครอบคลุมทุกแง่มุมขององค์กร แนวทางดังกล่าวช่วยให้องค์กรสามารถทำความเข้าใจและจัดลำดับความสำคัญสำหรับความเสี่ยงและจุดอ่อนต่างๆ ได้อย่างมีประสิทธิภาพ โดยพิจารณาจากความเป็นไปได้ที่ระบบงานธุรกิจจะหยุดชะงักจากผลกระทบที่เกี่ยวข้องกับความปลอดภัยทางด้านไอที นอกจากนั้น ในกรอบการทำงานด้านความปลอดภัยของไอบีเอ็ม (IBM Security Framework) ได้ระบุส่วนสำคัญๆ 5 ส่วนที่เกี่ยวข้องกับการรักษาความปลอดภัย ได้แก่ บุคลากรและการกำหนดตัวตนผู้ใช้ (people and identity) ข้อมูล (data and information) แอปพลิเคชั่นและขั้นตอนปฏิบัติงาน (application and process) เครือข่าย (network) เซิร์ฟเวอร์ และอุปกรณ์เชื่อมต่อ (server and end point) รวมทั้งโครงสร้างพื้นฐานทางกายภาพ (physical infrastructure)
นอกจากนั้น ไอบีเอ็มยังเน้นย้ำเกี่ยวกับปัจจัยหลัก 9 ข้อที่จะผลักดันความต้องการด้านการรักษาความปลอดภัยในอนาคตดังต่อไปนี้:• สภาพแวดล้อมไอทีที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง และสามารถตอบสนองความต้องการที่ยืดหยุ่นและเปลี่ยนแปลงได้ตลอดเวลา• การแสดงตัวตนทางอิเล็กทรอนิค (electronic identity) ที่เกี่ยวข้องกับเรื่องละเอียดอ่อนหรืองานสำคัญๆ ขององค์กร• แนวโน้มที่พนักงานในองค์กรจะเรียกร้องการควบคุมอย่างเข้มงวดมากขึ้นและปกป้องสิทธิส่วนบุคคลมากขึ้นโดยเฉพาะในเรื่องที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลและการแสดงตัวตนทางออนไลน์• แอปพลิเคชั่นที่ปลอดภัย มีเสถียรภาพ ความยืดหยุ่น และปรับแต่งได้ ซึ่งจะช่วยเพิ่มความสะดวกในการตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงอยู่ตลอดเวลา• การรองรับความต้องการขององค์กรในเรื่องการควบคุมสภาพแวดล้อมไอที• แนวทางการจัดการระบบรักษาความปลอดภัยทางด้านไอทีโดยมุ่งเน้นความเสี่ยงด้านการปฏิบัติงานและความเสี่ยงทางธุรกิจ• อุปกรณ์พกพาจะเป็นเครื่องมือที่ใช้แสดงตัวตนของบุคคล รวมทั้งเป็นเครื่องมืออันทรงพลังทางธุรกิจ• การตัดสินใจในเรื่องที่มีความเสี่ยงสูงจะทำโดยอาศัยแหล่งข้อมูลที่ปลอดภัยและเชื่อถือได้• ระบบไอทีที่สามารถรับรู้และตอบสนองต่อสภาพแวดล้อมที่แท้จริงแนวโน้มที่ระบุในรายงานเกี่ยวกับการคาดการณ์ด้านภัยคุกคามและเทคโนโลยีด้านการรักษาความปลอดภัยของไอบีเอ็ม ได้แก่:
1) การคุ้มครองสภาพแวดล้อมแบบเวอร์ช่วลไลซ์ – องค์กรธุรกิจควรทำอย่างไรเพื่อให้ได้มาตรฐาน ในกรณีที่ต้องมีการคุ้มครองลักษณะการแบ่งใช้ทรัพยากรทางด้านไอทีสำหรับพนักงานในองค์กร โดยที่สภาพแวดล้อมดังกล่าวมีการเปลี่ยนแปลงอย่างต่อเนื่องอย่างไรก็ตาม วิธีหนึ่งที่สามารถทำได้ก็คือ การทำให้สภาพแวดล้อมไอทีขององค์กรมีความยืดหยุ่นสูง และสามารถตอบสนองความต้องการที่เปลี่ยนแปลงอยู่ตลอดเวลาได้อย่างปลอดภัยและมีประสิทธิภาพ
2) ทางเลือกอื่น ๆ ในการรักษาความปลอดภัย — หากทางเลือกในการรักษาความปลอดภัยมีเพิ่มมากขึ้น เทคโนโลยีต่าง ๆ ที่เกี่ยวข้องทางด้านความปลอดภัย เช่น อุปกรณ์ที่จับต้องได้และเครื่องมือเสมือน บริการที่รองรับการประมวลผลแบบคลาวด์ บริการเอาต์ซอร์สด้านการรักษาความปลอดภัย และการใช้ซอฟต์แวร์ในรูปแบบบริการ SaaS (Software as a Service) ก็จะมีความสำคัญเพิ่มมากขึ้น
3) การเพิ่มความปลอดภัยให้อุปกรณ์พกพา — อุปกรณ์พกพาจะกลายเป็นเครื่องมือหนึ่งที่ได้รับความไว้วางใจมากขึ้นในการดำเนินธุรกิจ และเป็นเครื่องมือที่ใช้การตรวจสอบความถูกต้องต่าง ๆ นอกจากนั้นแล้ว ในไม่ช้าอุปกรณ์พกพาจะมีหน้าที่เพิ่มขึ้นอีก เช่น ความสามารถในการระบุตัวตนที่แท้จริงของผู้ใช้และเป็นเครื่องมือในการทำธุรกรรมทางการเงินในรูปแบบต่าง ๆ ได้อีกด้วย
4) การบริหารความเสี่ยงและการปฏิบัติตามกฎระเบียบ — ความสามารถในการบริหารและควบคุมความเสี่ยงและการปฏิบัติตามกฎระเบียบจะยังคงเป็นเรื่องสำคัญต่อกลยุทธ์ด้านการรักษาความปลอดภัยขององค์กร นอกจากนั้นแล้ว บทบาทใหม่ของประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) จำเป็นต้องอาศัยแนวทางที่มุ่งเน้นความเสี่ยงทางธุรกิจโดยมีการใช้นโยบายและการควบคุมดูแลอย่างเหมาะสมเพื่อบริหารจัดการระบบรักษาความปลอดภัยทางด้านไอทีที่มีประสิทธิภาพ
5) การบริหารจัดการการระบุตัวตนผู้ใช้ – เนื่องจากจำนวนการกำหนดตัวตนทางดิจิตอลต่อจำนวนผู้ใช้ มีแนวโน้มเพิ่มมากขึ้นหลายเท่าตัว ดังนั้นจึงจำเป็นที่จะต้องมีมาตรการที่จะจัดการและเพิ่มความน่าเชื่อถือและการควบคุมตัวตนผู้ใช้ทั้งภายในและภายนอกองค์กรต่าง ๆ ให้มีประสิทธิภาพดียิ่งขึ้น
6) การรักษาความปลอดภัยทางด้านข้อมูล—ความจำเป็นในการปรับปรุงความน่าเชื่อถือของข้อมูลและการจัดการที่เกี่ยวกับข้อมูลขององค์กรในด้านต่าง ๆ เพื่อรองรับการตัดสินใจในเรื่องที่มีความเสี่ยงสูง
7) การเพิ่มความปลอดภัยให้กับเว็บแอปพลิเคชั่น – เนื่องจากปัจจุบันมีการใช้แอ๊ปพลิเคชั่นที่ทำงานผ่านเว็บเพิ่มมากขึ้น ขณะเดียวกันก็เคยมีปัญหาเรื่องภัยคุกคามและความปลอดภัยที่เกี่ยวข้องกับแอ๊ปพลิเคชั่นดังกล่าว ทำให้เกิดความจำเป็นในการคุ้มครองแอปพลิเคชั่นในทุกขั้นตอนการใช้งานซอฟต์แวร์ ดังนั้น สิ่งที่องค์กรหลายแห่งต้องการคือ แอปพลิเคชั่นที่ปลอดภัย มีเสถียรภาพ และยืดหยุ่น ซึ่งจะช่วยเพิ่มความสะดวกในการตอบสนองอย่างรวดเร็วต่อความต้องการทางธุรกิจที่เปลี่ยนไป
8) การปกป้องเครือข่ายที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง — ในขณะที่ระบบรักษาความปลอดภัยเครือข่ายมีการพัฒนาเปลี่ยนแปลงอยู่ตลอดเวลา องค์กรต่างๆ จึงต้องการระบบรักษาความปลอดภัยแบบเรียลไทม์โดยเฉพาะอย่างยิ่งในเครือข่ายความเร็วสูง รวมทั้งความสามารถในการป้องกันการโจมตีแอปพลิเคชั่นแบบเฉพาะเจาะจงซึ่งมีแนวโน้มเพิ่มสูงขึ้น
9) การรับรู้และตอบสนองต่อการรักษาความปลอดภัยที่จับต้องได้ – เมื่อการรักษาความปลอดภัยทางด้านไอทีและการรักษาความปลอดภัยที่เป็นรูปธรรมมีการผสานรวมกัน โดยมีจุดประสงค์เพื่อทำหน้าที่ตรวจสอบและตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ระบบรักษาความปลอดภัยที่เป็นรูปธรรม มีประสิทธิภาพและมาตรการที่ชัดเจนจำเป็นต้องอาศัยระบบดิจิตอล การวิเคราะห์ขั้นสูง การเชื่อมโยง และระบบการทำงานแบบอัตโนมัติ เพื่อให้การรักษาความปลอดภัยมีประสิทธิภาพสูงสุด
บริษัท ไอบีเอ็ม ประเทศไทย จำกัด เปิดเผยรายงานของเอ็กซ์-ฟอร์ซ (X-Force) ซึ่งเป็นหน่วยงานวิจัยทางด้านระบบรักษาความปลอดภัยไอทีของไอบีเอ็มเกี่ยวกับแนวโน้มและความเสี่ยงทางด้านออนไลน์ในปีที่ผ่านมา พบว่าบริษัทต่างๆ กำลังทำให้ลูกค้าของตนตกอยู่ในภาวะเสี่ยงต่ออาชญากรรมบนอินเทอร์เน็ตโดยไม่ได้ตั้งใจ เนื่องจากปัจจุบันมีการโจมตีผู้บริโภคผ่านทางเว็บไซต์เพิ่มมากขึ้น โดยกลุ่มอาชญากรไซเบอร์หันมาใช้เว็บไซท์ขององค์กรธุรกิจเป็นช่องทางในการโจรกรรมข้อมูลส่วนตัวของลูกค้าขององค์กรนั้น ๆ เอง
รายงานฉบับใหม่ของ เอ็กซ์-ฟอร์ซ กล่าวถึงแนวโน้มหลัก 2 ประการในปีนี้ ซึ่งแสดงให้เห็นว่าอาชญากรไซเบอร์กำลังพุ่งเป้าไปที่ผู้ใช้อินเทอร์เน็ตโดยอาศัยการโจมตีผ่านเว็บไซต์ ดังต่อไปนี้
แนวโน้มประการแรก – เว็บไซต์ได้กลายเป็นจุดอ่อนในระบบรักษาความปลอดภัยไอทีขององค์กร เพราะอาชญากรไซเบอร์ในปัจจุบันจะมุ่งโจมตีเว็บแอ็พพลิเคชันเป็นหลัก เพื่อให้สามารถเข้าถึงเครื่องคอมพิวเตอร์ของลูกค้าหรือผู้ใช้งานผ่านเว็บไซท์ขององค์กรนั้น ๆ แนวโน้มดังกล่าวมาพร้อมกับแนวโน้มที่บริษัทต่างๆ ในปัจจุบันนิยมใช้แอ็พพลิเคชันสำเร็จรูปกันมากขึ้น โดยไม่ได้ตระหนักว่าแอ็พพลิเคชันเหล่านี้มักมีช่องโหว่มากมายซ่อนอยู่ หรือแม้กระทั่งแอ็พพลิเคชันที่องค์กรได้พัฒนาต่อยอดหรือปรับแต่งเองก็ตาม ก็ยังมีช่องโหว่มากมายที่ไม่มีใครทราบ ซึ่งการแก้ไขช่องโหว่นั้นก็ไม่สามารถทำด้วยการเขียนโปรแกรมแพตช์ (Patch) มาอุดช่องโหว่นั้นได้อีกด้วย
จากผลการสำรวจของเอ็กซ์ฟอร์ซในปีที่ผ่านมา พบว่ากว่าครึ่งหนึ่งของช่องโหว่ที่พบส่วนใหญ่มีความเกี่ยวข้องกับเว็บแอ็พพลิเคชัน และกว่า 74 เปอร์เซ็นต์ของช่องโหว่ดังกล่าวไม่มีแพตช์สำหรับแก้ไขปัญหาใด ๆ ด้วยเหตุนี้ ช่องโหว่ SQL Injection แบบอัตโนมัติ ซึ่งมักจะเกิดขึ้นในช่วงต้นปี 2551 จึงยังคงพบเห็นได้ทั่วไป ในขณะที่ช่วงสิ้นปี 2551 ปริมาณการโจมตีได้เพิ่มสูงขึ้น 30 เท่าเมื่อเทียบกับช่วงต้นปี นายธนวัฒน์ สุธรรมพันธุ์ รองกรรมการผู้จัดการใหญ่ ธุรกิจบริการ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด กล่าวว่า“ปัจจุบัน เห็นได้ชัดว่า แนวโน้มที่กลุ่มอาชญากรในโลกไซเบอร์จะพุ่งเป้าไปที่เว็บไซท์ขององค์กรธุรกิจเพื่อการโจมตี เป็นเพราะช่องทางดังกล่าวสะดวกกับการเข้าถึงผู้ใช้งาน ทั้งนี้ จุดประสงค์ของการโจมตีเหล่านี้ มักทำขึ้นเพื่อหลอกนักท่องเว็บ ให้เชื่อมโยงไปยังเว็บไซท์ที่มีชุดเครื่องมือเจาะเข้าจุดอ่อนของเว็บเบราว์เซอร์ที่นักท่องเว็บใช้อยู่” นอกจากนั้น นายธนวัฒน์ ยังกล่าวเสริมว่า “วิธีการดังกล่าวถือเป็นหนึ่งในรูปแบบที่เก่าแก่ที่สุดของการโจมตีผู้ใช้งานผ่านเว็บในปัจจุบัน ซึ่งนับเป็นเรื่องน่าแปลกอย่างยิ่งที่เรายังคงเห็นการโจมตีแบบนี้ยังคงแพร่หลายอยู่ ทั้ง ๆ ที่วิธีการดังกล่าวทำกันมาเกือบ 10 ปีแล้ว”
แนวโน้มประการที่สอง คือ การโจมตีด้วยการใช้วิธีการใหม่ๆ เพื่อเชื่อมโยงไปยังไฟล์รูปแบบอื่น ๆ เช่น ไฟล์ภาพเคลื่อนไหว (เช่น Flash) และเอกสาร PDF เป็นต้น แม้ว่าผู้โจมตีในโลกไซเบอร์ยังคงใช้เบราว์เซอร์และตัวควบคุมแอคทีฟ เอ็กซ์ (ActiveX) เพื่อเข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้ แต่ก็มีแนวโน้มที่จะมีใช้วิธีการใหม่ๆ เพื่อเชื่อมโยงไปยังไฟล์รูปแบบอื่น ๆ อีก เช่น ไฟล์ภาพเคลื่อนไหว (เช่น Flash) และเอกสาร PDF ในช่วงที่ผ่านมา เฉพาะในไตรมาสที่สี่ของปี 2551 หน่วยงานเอ็กซ์-ฟอร์ซ ของไอบีเอ็มตรวจพบเว็บไซต์ที่มีการโจมตีซุกซ่อนอยู่เพิ่มขึ้นกว่า 50 เปอร์เซ็นต์ เมื่อเทียบกับที่เคยพบในปี 2550 แม้กระทั่งผู้โจมตีผ่านอีเมล์ หรือสแปมเมอร์ ปัจจุบันก็หันไปใช้เว็บไซต์ที่มีชื่อเสียงเพื่อขยายหนทางในการเข้าถึงผู้ใช้ นอกจากนี้วิธีการโฮสต์ข้อความแบบสแปมในบล็อกยอดนิยมและเว็บไซต์ที่เกี่ยวกับข่าวที่คนชอบเข้าไปอ่าน ได้เพิ่มจำนวนขึ้นกว่า 2 เท่าตัวในช่วงครึ่งปีหลังของปีที่แล้ว
ประเด็นสำคัญอีกประการหนึ่งที่ปรากฏในรายงาน เอ็กซ์-ฟอร์ซ ก็คือ จำนวนช่องโหว่สำคัญๆ ที่ถูกเปิดเผยในปี 2551 ไม่ได้มีมากนักอย่างที่คิด ทั้งนี้ ทางเอ็กซ์-ฟอร์ซ เชื่อว่าเป็นสาเหตุมาจากการที่เทคโนโลยีการรักษาความปลอดภัยในปัจจุบันได้พัฒนาขึ้นจนสามารถรับมือกับช่องโหว่ที่ตรวจพบได้ดีขึ้น ปัจจุบันได้มีการจัดลำดับความสำคัญเรื่องวิธีการรับมือกับภัยคุกคามต่าง ๆ ตามระบบมาตรฐานซีวีเอสเอส (Common Vulnerability Scoring System -CVSS) ซึ่งมาตรฐานดังกล่าว จะเน้นแง่มุมด้านเทคนิคของช่องโหว่ต่างๆ เช่น ความรุนแรง และความสะดวกในการโจมตี แต่ก็ยังไม่ได้ครอบคลุมถึงแรงจูงใจหลักทั้งหมดที่ทำให้อาชญากรไซเบอร์กระทำการประพฤติมิชอบในรูปแบบต่าง ๆ ได้เลย ซึ่งก็คือ แรงจูงใจในเรื่องของเงิน นั่นเอง
นายธนวัฒน์ สุธรรมพันธุ์ รองกรรมการผู้จัดการใหญ่ ธุรกิจบริการ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด กล่าวเสริมอีกว่า“ระบบซีวีเอสเอส นับเป็นพื้นฐานที่สำคัญสำหรับมาตรฐานการรักษาความปลอดภัยเพื่อตรวจสอบภัยคุกคามในรูปแบบต่างๆ อย่างไรก็ตาม ที่ผ่านมา เราพบว่าจุดประสงค์หลักของการประพฤติมิชอบทางออนไลน์ก็คือ แรงจูงใจเรื่องเงิน ดังนั้นในการหาทางลดแรงจูงใจของอาชญากรไซเบอร์ เราจึงต้องพิจารณาว่าน้ำหนักของความแรงจูงใจ จะหนักไปในเรื่องใดมากกว่ากันระหว่างโอกาสในการโกงเพื่อให้ได้เงิน กับค่าใช้จ่ายที่ต้องใช้ไปในการดำเนินการโจมตี หากพวกเราเข้าใจแรงจูงใจของอาชญากรคอมพิวเตอร์อย่างลึกซึ้งดีขึ้นแล้ว เราก็จะสามารถระบุได้ดีขึ้นว่าควรจะหาวิธีแก้ปัญหาอย่างไรให้ได้ตรงจุดที่สุด”
หน่วยงาน เอ็กซ์-ฟอร์ซ ได้จัดทำแคตตาล็อก วิเคราะห์ และค้นคว้าวิจัยเกี่ยวกับช่องโหว่ที่ค้นพบตั้งแต่ปี 2540 เป็นต้นมา โดยปัจจุบันมีแคตตาล็อกช่องโหว่ที่จัดทำขึ้นเกือบ 40,000 รายการ มีผลทำให้เอ็กซ์-ฟอร์ซ ในปัจจุบันมีฐานข้อมูลช่องโหว่ด้านความปลอดภัยที่ใหญ่ที่สุดในโลก ด้วยฐานข้อมูลที่สำคัญนี้ช่วยให้นักวิจัยของ เอ็กซ์-ฟอร์ซ สามารถหาแนวทางที่จะนำไปสู่การค้นพบและหาแนวทางป้องกันเกี่ยวกับภัยคุกคามต่าง ๆ ในอนาคตได้ดียิ่งขึ้น
นอกจากนี้ ในรายงาน เอ็กซ์-ฟอร์ซ ฉบับใหม่ยังเสริมอีกว่า:
• ปี 2551 ถือเป็นปีที่วุ่นวายที่สุดปีหนึ่งสำหรับการค้นพบช่องโหว่ด้านความปลอดภัย ซึ่งมีจำนวนช่องโหว่ด้านความปลอดภัยได้เพิ่มขึ้น 13.5 เปอร์เซ็นต์ในปีที่แล้วเมื่อเทียบกับปี 2550 • ในช่วงสิ้นปี 2551 ประมาณ 53 เปอร์เซ็นต์ของช่องโหว่ทั้งหมด ไม่มีแพตช์ที่แก้ไขได้โดยเจ้าของหรือผู้ผลิตซอฟต์แวร์ ยิ่งไปกว่านั้น 46 เปอร์เซ็นต์ของช่องโหว่ที่พบในปี 2549 และ 44 เปอร์เซ็นต์จากปี 2550 ก็ยังไม่มีการออกแพตช์ใด ๆ มาแก้ไขจนถึงสิ้นปีที่แล้ว • ประเทศจีนถือเป็นผู้ส่งสแปมรายใหญ่ที่สุดของโลกและเป็นประเทศที่มีเว็บไซต์อันตรายมากที่สุด แต่ก็ถูกแซงหน้าด้วยบราซิลในช่วงสิ้นปี 2551 ทั้งนี้ในช่วงหลายปีก่อนหน้า สหรัฐอเมริกาครองอันดับ 1 ในด้านการเป็นประเทศผู้ส่งสแปมรายใหญ่ที่สุดของโลกมาโดยตลอด • ประเทศหลักๆ ที่เป็นต้นทางของสแปมตลอดปี 2551 ได้แก่ รัสเซีย (12 เปอร์เซ็นต์) สหรัฐฯ (9.6 เปอร์เซ็นต์) และตุรกี (7.8 เปอร์เซ็นต์) อย่างไรก็ดี ต้นทางของสแปมอาจไม่ได้สัมพันธ์กับประเทศของผู้ส่งสแปมเสมอไป • บรรดาฟิชเชอร์ (Phisher) ยังไม่ลดความพยายามในการโจมตีธนาคารและสถาบันการเงินอย่างต่อเนื่อง เกือบ 90 เปอร์เซ็นต์ของการโจมตีแบบฟิชชิ่งพุ่งเป้าไปที่ธนาคารและสถาบันการเงินเป็นหลัก โดยเฉพาะอย่างยิ่งสถาบันการเงินในทวีปอเมริกาเหนือ • 46 เปอร์เซ็นต์ของมัลแวร์ทั้งหมดในปี 2551 เป็นโทรจัน (Trojan) ที่มุ่งโจมตีผู้ใช้เกมออนไลน์และบริการธนาคารออนไลน์ จากรายงานของ เอ็กซ์-ฟอร์ซ คาดว่ากลุ่มผู้ใช้ดังกล่าวจะยังคงตกเป็นเป้าหมายหลักต่อไปเช่นเดิมในปีนี้
ที่ผ่านมา ไอบีเอ็มสนับสนุนให้องค์กรธุรกิจปกป้องทรัพย์สินทางปัญญาและข้อมูลลูกค้าของตน โดยอาศัยระบบรักษาความปลอดภัยแบบแบ่งระดับชั้น (layered pre-emptive security) เพื่อป้องกันระบบไอทีต่าง ๆ ขององค์กรก่อนที่จะสายเกินแก้ นอกจากนั้น ฝ่ายระบบรักษาความปลอดภัยอินเทอร์เน็ตหรือไอเอสเอส (ISS) ของไอบีเอ็มได้พัฒนาผลิตภัณฑ์และบริการชั้นนำเพื่อช่วยให้ลูกค้ารับมือกับภัยคุกคามที่มีการพัฒนาและปรับเปลี่ยนรูปแบบอยู่ตลอดเวลา อีกทั้งช่วยลูกค้าลดค่าใช้จ่ายและความซับซ้อนของระบบรักษาความปลอดภัย
ไอบีเอ็มเป็นผู้นำระดับโลกในการจัดหาโซลูชั่นด้านการรักษาความปลอดภัยและความเสี่ยง ทั้งนี้ลูกค้าชั้นนำทั่วโลกได้ให้ความไว้วางใจกับไอบีเอ็มในการช่วยวางแผนรับมือกับภัยคุกคามต่าง ๆ และช่วยลดความยุ่งยากซับซ้อนในการวางระบบรักษาความปลอดภัยและการบริหารความเสี่ยงในเชิงกลยุทธ์ขององค์กร นอกจากนั้น ไอบีเอ็มยังมีประสบการณ์ที่ยาวนานและได้นำเสนอโซลูชั่นที่ช่วยลูกค้ารับมือด้านความเสี่ยงและความปลอดภัยที่หลากหลาย ทั้งนี้เพื่อช่วยให้ลูกค้าสามารถดำเนินธุรกิจได้อย่างปลอดภัยและสามารถบริหารความเสี่ยงได้อย่างครบวงจรและครอบคลุมทั่วทั้งบริษัท
ผู้บริโภคกับแนวโน้มของการรักษาข้อมูลส่วนบุคคลทางออนไลน์
ปัจจุบัน ประเด็นด้านการปกป้องข้อมูลส่วนบุคคลในโลกออนไลน์ดูจะเป็นเรื่องที่หลายฝ่ายให้ความสนใจเป็นพิเศษ ดังจะเห็นได้จากความพยายามต่าง ๆ เช่น การออกพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ที่ช่วยปกป้องข้อมูลส่วนบุคคลในโลกออนไลน์ของไทย เป็นต้น ประเด็นดังกล่าวได้รับความสนใจเนื่องจากสาเหตุหลายประการ ไม่ว่าจะเป็นเพราะแนวโน้มของจำนวนผู้ใช้อินเทอร์เน็ตที่เติบโตขึ้นอย่างรวดเร็ว ความจำเป็นในการให้ข้อมูลส่วนบุคคลในโลกออนไลน์ที่มีมากขึ้นสอดคล้องกับแนวโน้มของเทคโนโลยีที่มีความเชื่อมโยงกับพฤติกรรมของผู้ใช้อย่างใกล้ชิดยิ่งขึ้น นอกจากนั้นรวมถึงปัญหาที่มีผู้ไม่ประสงค์ดีถือโอกาสฉกฉวยข้อมูลส่วนบุคคลของผู้ใช้ในโลกออนไลน์ไปใช้ในทางมิชอบในรูปแบบต่าง ๆ เป็นต้น ดังนั้น ประเด็นเรื่องการรักษาข้อมูลส่วนตัวในโลกออนไลน์จึงดูจะกลายเป็นเรื่องที่หลายฝ่ายให้ความสำคัญอย่างยิ่งในปัจจุบัน
ในช่วงที่อินเทอร์เน็ตได้เริ่มพัฒนาขึ้นนั้น ปัญหาเรื่องการปกป้องข้อมูลส่วนบุคคลดูจะยังไม่เป็นเรื่องสำคัญมากนัก จนเมื่อการพัฒนาเทคโนโลยีในอินเทอร์เน็ตเริ่มก้าวหน้ายิ่งขึ้น เปิดโอกาสให้ผู้ใช้อินเทอร์เน็ตสามารถแลกเปลี่ยน ตอบโต้ แบ่งปันข้อมูลส่วนตัวในโลกออนไลน์กันได้ง่ายดายยิ่งขึ้น ถึงแม้ว่าจะมีการแลกเปลี่ยนหรือเปิดเผยข้อมูลส่วนตัวกันอย่างกว้างขวางก็ตาม แนวโน้มดังกล่าวก็ทำให้เกิดกระแสของผู้ใช้อินเทอร์เน็ตหลายคนที่ต้องการจำกัด “ร่องรอยทางดิจิตอล” (digital footprint) ของตัวเองในโลกออนไลน์ ตั้งแต่ ความต้องการในการกำหนดสิทธิ์ว่าเจ้าของข้อมูลจะสามารถเก็บรักษาและเปิดโอกาสให้บุคคลอื่นเข้าถึงข้อมูลสำคัญๆ ของตนอย่างชื่อและที่อยู่ในโลกออนไลน์ได้นานเท่าใด การกำหนดสิทธิ์ให้บุคคลอื่นสามารถสร้างสำเนาของข้อมูลส่วนตัวของเราจากโลกออนไลน์ได้กี่ชุด ไปจนถึงการกำหนดสิทธิ์ให้ผู้อื่นสามารถเข้าถึงข้อมูลส่วนบุคคลของเราได้มากน้อยเพียงใด หรือแม้กระทั่งความต้องการให้ทางฝ่ายกฏหมายออกกฏเกณฑ์หรือข้อพึงปฏิบัติ เมื่อผู้ใดก็ตามได้รับข้อมูลส่วนบุคคลของเราแล้ว ว่าควรจะปฏิบัติกับข้อมูลนั้น ๆ อย่างไร เป็นต้น ด้วยเหตุนี้เอง ผู้บริโภคหลายรายจึงพยายามศึกษาว่าวิธีใดที่ดูจะมีประสิทธิภาพดีที่สุด ซึ่งทางหนึ่งที่ค่อนข้างจะได้ผล ก็คือการจำกัดจำนวนสำเนาดิจิตอลของข้อมูลส่วนบุคคลของเราเองในโลกออนไลน์
อย่างไรก็ตาม ถึงแม้ว่าจะมีการให้ความสำคัญกับประเด็นการรักษาข้อมูลส่วนตัวในโลกออนไลน์กันอย่างกว้างขวาง ซึ่งรวมตั้งแต่วิธีการตรวจสอบต่าง ๆ ที่มีความน่าเชื่อถือและมีประสิทธิภาพ ไปจนถึงการออกมาตรการณ์ที่ก้าวล้ำมากขึ้นในการรับรองความถูกต้องของผู้ใช้ เรื่องของการปกป้องข้อมูลส่วนบุคคลก็ยังคงถือเป็นปัญหาท้าทายที่สำคัญ ทั้งนี้เพราะรูปแบบการหลอกลวงในโลกอินเทอร์เน็ตมักมีการพัฒนาและสลับซับซ้อนมากขึ้นตลอดเวลา ตัวอย่างเช่น ในปีพ.ศ. 2549 ที่สหรัฐอเมริกา ปัญหาการแอบอ้างโดยใช้ข้อมูลส่วนตัวของบุคคลอื่น (Identity Theft) และการปลอมแปลงต่าง ๆ ก่อให้เกิดความเสียหายคิดเป็นมูลค่าถึง 49,000 ล้านเหรียญฯ ซึ่งโดยมากแล้วความเสียหายดังกล่าวตกเป็นภาระของผู้ทำธุรกิจออนไลน์และสถาบันการเงิน โดยในทางตรงกันข้าม สำหรับผู้บริโภคเอง ก็จำต้องแบกรับความเสียหายถึงราว 4,500 ล้านเหรียญฯ นอกจากนี้ ยังมีเหตุการณ์การขโมยข้อมูลส่วนตัวของบุคคลอื่นเพื่อประโยชน์ในทางมิชอบสำคัญเกิดขึ้นด้วย เช่น กรณีของกลุ่มอาชญากรระดับโลกในประเทศโรมาเนีย ซึ่งสมาชิก 38 คนของแก๊ง ได้ถูกจับกุมในช่วงปีนี้ อาชญากรกลุ่มนี้ใช้วิธีล่อหลอกหรือฟิชชิ่ง (Phishing) เพื่อดึงข้อมูลหมายเลขประจำตัว รหัสผ่าน และข้อมูลบัตรเครดิต จากบัญชีธนาคารของผู้บริโภคในโลกออนไลน์จำนวนมาก ด้วยการส่งข้อความสแปมมากกว่า 1.3 ล้านฉบับในครั้งเดียว ซึ่งการกระทำดังกล่าว ถึงแม้จะไม่ได้มีความซับซ้อนทางด้านเทคนิคมากนัก แต่ก็สามารถดึงเงินออกจากบัญชีธนาคารของผู้บริโภคจำนวนมากได้ เนื่องจากผู้บริโภคส่วนใหญ่มิได้เฉลียวใจว่าข้อความดังกล่าวมาจากธนาคารจริงหรือไม่
นอกจากนั้นแล้ว ยังเกิดกรณีศึกษาต่อมาอีกว่า เมื่อผู้บริโภคมีโอกาสเรียนรู้และระมัดระวังกับการหลอกลวงในรูปแบบล่าสุดแล้ว อาชญากรก็จะหาวิธีประดิษฐ์คิดค้นวิธีการหลอกลวงใหม่ๆ ขึ้นมาอีกเสมอ เป็นลูกโซ่เช่นนี้เรื่อยไปไม่รู้จบ ดังนั้นในการแก้ปัญหาเรื่องการปลอมแปลงและการแอบอ้างข้อมูลส่วนบุคคลทางออนไลน์ในระยะยาว เราอาจจะต้องพิจารณาส่วนที่เราคาดไม่ถึงด้วย นั่นคือ แนวโน้มที่เพิ่มมากขึ้นของเครือข่ายทางสังคม (Social Networking) สิ่งที่น่าสนใจประการหนึ่งของเครือข่ายทางสังคมก็คือ ผู้ใช้สามารถตัดสินใจได้ว่าจะอนุญาติให้ใครเข้าสู่เครือข่ายของตนเองได้บ้าง ตัวอย่างเช่น ผู้ที่กำลังมองหางานในปัจจุบันเริ่มหันไปใช้เว็บไซต์เครือข่ายทางสังคมในการหางานมากขึ้น เพราะช่วยให้พวกเขาสามารถควบคุมได้ว่าจะเปิดโอกาสให้ใครมีสิทธิ์เรียกดูใบประวัติย่อและข้อมูลส่วนบุคคลของตนได้เท่าใด แทนที่จะใช้วิธีโพสต์ใบประวัติย่อไว้บนบอร์ดหางานหรือบนเว็บไซต์ซึ่งไม่มีการจำกัดสิทธิ์ว่าจะให้ใครหรือไม่ให้ใครเข้าถึงข้อมูลส่วนตัวนั้น ๆ นอกจากนี้ ยังมีกรณีศึกษาที่น่าสนใจอีก เมื่อไม่นานมานี้ นั่นคือ เว็บไซท์เฟซบุ๊ค (Facebook) ซึ่งเคยออกแบบโปรแกรมโฆษณาที่สามารถตรวจสอบติดตามกิจกรรมออนไลน์ของผู้ใช้ได้ แต่ภายหลังได้ถูกต่อต้านอย่างรุนแรงจากผู้ใช้ในอินเทอร์เน็ตและได้ถูกถอดถอนออกไปในที่สุด ทั้งนี้เพราะโปรแกรมดังกล่าวใช้วิธีติดตามพฤติกรรมการใช้งานของผู้ใช้ และทำให้ผู้ใช้ไม่สามารถปกป้องข้อมูลส่วนบุคคลของตนเองได้ตามที่ต้องการ เป็นต้น
ล่าสุด รูปแบบสำหรับ “การจัดการตัวตนผู้ใช้โดยมุ่งเน้นที่ผู้ใช้เป็นหลัก” เช่น OpenID และโครงการ Higgins ของ Eclipse ถือเป็นรูปแบบหนึ่งที่กำลังได้รับความนิยมสำหรับผู้ใช้ในโลกออนไลน์ เพราะช่วยประหยัดเวลาในการลงทะเบียนสำหรับเว็บไซต์ใหม่ๆ และช่วยให้ผู้ใช้ควบคุมข้อมูลประจำตัวแบบดิจิตอลของตนเองได้มากขึ้น ตัวอย่างเช่น เทคโนโลยี OpenID ซี่งเป็นเทคโนโลยีฟรีที่ช่วยขจัดความจำเป็นในการกำหนดชื่อผู้ใช้ที่อาจถูกกำหนดให้แตกต่างกัน ในการลงทะเบียนหรือกรอกข้อมูลส่วนตัวในเว็บไซต์ต่างๆ ซึ่งเทคโนโลยีดังกล่าวทำให้ผู้ใช้สามารถจำกัดการเปิดเผยข้อมูลส่วนบุคคล และลดปัญหาในการจัดการชื่อผู้ใช้และรหัสผ่านหลายชุด OpenID ได้รับความนิยมอย่างแพร่หลายบนไซต์เครือข่ายทางสังคมและบล็อกต่างๆ และชุมชน OpenID ก็กำลังพัฒนาระบบรักษาความปลอดภัยเพื่อให้ OpenID ได้รับการใช้งานอย่างแพร่หลายมากขึ้นบนโลกออนไลน์ โดยเฉพาะอย่างยิ่งในกรณีที่ผู้ใช้ต้องกรอกข้อมูลส่วนบุคคลที่สำคัญ ๆ เช่น หมายเลขบัตรเครดิต และบัตรประจำตัวประชาชน เป็นต้น
จากเหตุผลที่กล่าวมาข้างต้น ผู้ใช้อินเทอร์เน็ตหลายรายในปัจจุบัน เริ่มมีความคาดหวังและเรียกร้องระดับการควบคุมที่เพิ่มมากขึ้นสำหรับการปกป้องข้อมูลส่วนบุคคลของตนเองในการโต้ตอบสื่อสารออนไลน์ โดยเฉพาะอย่างยิ่งเมื่ออินเทอร์เน็ตได้รับการพัฒนาไปพร้อม ๆ กับการพัฒนาของผู้ใช้ในโลกออนไลน์ที่เริ่มมีความรู้และทักษะการใช้งานที่เชี่ยวชาญมากยิ่งขึ้น ซึ่งจากเหตุดังกล่าว ทำให้ผู้ใช้เริ่มตระหนักว่า ตนเองต้องการอะไรและไม่ต้องการอะไรในระหว่างการใช้งานในโลกออนไลน์ ดังนั้น ข้อแนะนำที่ดีที่สุดในการจำกัดการฉ้อโกงและเพิ่มความพึงพอใจให้กับลูกค้าสำหรับผู้ประกอบธุรกิจออนไลน์ต่าง ๆ ก็คือ การเปิดโอกาสให้ลูกค้าสามารถปกป้องข้อมูลส่วนบุคคลของตนเองในเว็บไซท์ของเราได้มากขึ้น และจำกัดการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวอย่างมีระบบ เพื่อให้การโต้ตอบแลกเปลี่ยนข้อมูลหรือสื่อสารทางออนไลน์ สามารถทำได้อย่างปลอดภัยดียิ่งขึ้น นั่นเอง
เอกสารอ้างอิง
http://support.activemedia.co.th/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=27
http://www.quickpcextreme.com/
http://info-sec.vec.go.th/course1/isms_for_risk.pdf
http://www.acisonline.net/
