report rsa-conference 2017

Analytic,

Intelligence

& Response

2

เผยแพรเมอวนท 20 มนาคม 2560

Executive Summary เกาะตดเทรนด Cybersecurity โลก ท RSA Conference 2017 “หากใครอยากทราบเทรนดแฟชนของโลกแตละป คงทราบกนดวาตองไปเกาะตดขอบรนเวยท Paris Fashion Week แลวถาเปนโลกของ Cybersecurity ละ ค าตอบคงอยทงาน RSA Conference สดยอดงานดาน Cybersecurity อนเปนจดรวมตวของสดยอดกร Cybersecurity ของโลก” จากความส าคญของเวท RSA Conference ETDA จงไมพลาดทจะเขารวมงานน เพออปเดต Cybersecurity Trend ทเกดขนในงานน แลวน ามาสงทไดรบมาแชรความร ประสบการณ แลกเปลยนมมมองและความคดเหน เพอน ามาตอยอดใหเกดประโยชนในการท างานดาน Cybersecurity ส าหรบคนในสงคมและประเทศไทยตอไป RSA Conference สดยอดอยางไร RSA Conference คองานประชมประจ าป ทจดกนมาตงแต ค.ศ. 1991 เปนการประชมเรอง “Cryptography, Standards & Public Policy” ชอของงาน RSA มาจากตวยอของนามสกลนก Cryptographer ทมชอเสยงโดงดง 3 คน ผซงสามารถคดอลกอรทมในการเขารหสขอมลทส าคญเมอ ค.ศ. 1977 ไดแก รอน รเวสต (Ron Rivest), อาด ชามร (Adi Shamir) และเลน เอเดลแมน (Len Adleman) จากมหาวทยาลย MIT ซงในปนทงรอนและอาดกมารวมเสวนาในชวง Keynote: The Cryptographer’s Panel ดวย จ ง เปนทมาใหชาว Cybersecurity ท ว โลกเหนความส าคญทจะน ามาสการเปลยนแปลง และเทรนดของการด าเนนงานดาน Security ของทวโลก งาน RSA Conference แบงเปน 2 สวนหลก คอการสมมนาวชาการดาน Security และการจดงานออกบธนทรรศการสนคาดาน Security โดยป 2017 ทผานมานน มผเขารวมงานกวา 45,000 คน มารวมตวกนแลกเปลยนความคดเหน Trend ของ Security สอคคลองกบแนวทางทวา Where the world talks security RSA Conference 2017: POWER OF OPPORTUNITY RSA Conference ในป 2017 ธมของงานคอ POWER OF OPPORTUNITY โดยจดขน 5 วน ระหวางวนท 13-17 กมภาพนธ ณ หอประชม MOSCONE CENTER นครซานฟรานซสโก ประเทศสหรฐอเมรกา โดยสามารถตดตามขอมลและความคบหนาไดท https://www.rsaconference.com/events/us17 ดงค าวา UNITY ทเปนธมของงาน ปนจงไดมงเนนเพอใหเกดแนวรวมท างานรวมกน บรรยากาศของการเปดงานในหองประชมใหญทจกวา 6,000 คนไดนน เรมดวยแสง ส เสยง ผานจอภาพทรงโคงขนาดใหญ 3 จอ และการแสดงของศลปนฮปฮอปทใชเครองดนตรคลาสสกชอดงอยาง Black Violins เปนวงเปดตว สอดแทรกดวยขอความทสะทอนใหทกคนตระหนกถงภยคกคามไซเบอรตาง ๆ ซงชวยปลกเราพลงของทกคนในงานใหรวมใจเปนหนง และมงความสนใจไปบนเวททจดเดยวกน โดยใชลกเลนบน Wristband ทแจกใหผเขารวมงานทกคน คอยกระตนการมสวนรวม และมดารานกแสดงฮอลลวดชอดงอยาง John Lithgow เปนผกลาวเปดบนเวทอยางสนกสนาน

3


What Ripples Will You Create? ในปนมแขกรบเชญบรรยายในชวง Keynote ส าคญ เชน Brad Smith (President and Chief Legal Officer, Microsoft), Christopher Young (Senior Vice President and General Manager, Intel Security), Michael McCaul (Chairman, House Homeland Security Committee), Eric Schmidt (Executive Chairman Alphabet Inc) และมผทมชอเสยงโดงดง เชน Dame Stella Rimington (อดต Director General, MI5) ผบรรยายหลายคนใชค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย Dr.Zulfikar Ramzan, Chief Technology Officer, RSA เปน Keynote Speaker คนแรกทไดพดถง Ripples หรอคลนของการเปลยนแปลง โดยกลาววา ทกคนเปนสวนหนงของการเปลยนแปลงทเกดขนในโลกนได เพราะยคนอนเทอรเนตเปนสวนหนงของการใชชวตแลว ดงนน จงขอใหทกคนไดมสวนรวมในการทจะรบมอเรอง Cybersecurity น เพราะคนทวโลกคาดหวงวา กวาสหมนคนทมาประชมกนท RSA นเปนคนทรเรอง Cybersecurity มากทสดแลว ดงนน ขอใหทกคนถามตวเองวา เมอเสรจสนการประชม RSA แลว เมอคณกลบไปท างาน คณจะสรางการเปลยนแปลงไดอยางไร ดงท RSA 3 คน ไดเคยท าการเปลยนแปลงแลวในโลกของ Cybersecurity และขอใหทกคนถามตวเองวา What Ripples Will You Create? นอกจาก เวท Keynote แลว RSA ยงแบงการสมมนาตาม Track กลมเรองตาง ๆ ซงแบงไดเปนกลมใหญ ดงน เรองฮอตของกลม Fintech และ New Technologies การพฒนาเทคโนโลยปญญาประดษฐ AI (Artificial Intelligence) ในรปแบบ Machine Learning ทนบวนจะม

บทบาทเปนเครองมออตโนมตในการสนบสนนการวเคราะหภยคกคามไซเบอร ความกงวลเรอง Cloud security ซงปนมการอภปรายมากกวา 30 session โดยเฉพาะในประเดนการประเมน

บรการ การตรวจสอบ และแนวทางการรบมอกบปรมาณขอมลทตองจดเกบจ านวนมหาศาล การน าเทคโนโลย Blockchain มาใชในยค Fintech กบแนวโนมภยคกคามรปแบบใหม Cryptography ทยงคงตองอยกบเราตอไป ซงตองมการปรบปรงความมนคงปลอดภยสงเพมขน มการพดถง

Cryptographic protocols และอธบาย Cryptographic สมยใหม แวดวง Cyber Threats ไปกนถงไหน ในปทผานมาเกดเหตการณการโจมตจากอปกรณ IoT (Internet of Things) หลายครง สงผลถงเสถยรภาพของ

บรการอนเทอรเนตของโลก มวงเสวนาหลายเวทวา ใครจะตองรบผดชอบระหวางรฐบาลตองออกกฎหมาย หรอผผลตอปกรณตองเพมระดบความรบผดชอบมากขนอยางไร

เมอการโจรกรรมขอมลดวย Ransomware สามารถสรางรายไดใหอาชญากรถง 200 ลานเหรยญสหรฐในป 2016 เราจะมแนวทางในการรบมอกนอยางไร

4


แนวโนมเหตการณโจมตทมลกษณะเปน State Sponsor ทเกดบอยครง มการพดถง Stuxnet ทเปนจดเรมตนของการคกคามทมาจากระดบรฐบาล ในวนนมการกลาวถงการกอกวนผลการเลอกตงของสหรฐอเมรกา

รปแบบอาชญากรรมไซเบอรทมงเปาหมายโจมตสถาบนการเงนโดยตรง เชน ATM และคอมพวเตอรทควบคมระบบ SWIFT สรางความเสยหายครงละหลายลานบาท

อปเดตกลม Laws and Privacy กฎหมาย Privacy เปน Hot topic ทมการกลาวถงกนมากเมอประเทศและภมภาคมการรวมตวแสดงจดยนของ

ตนเอง หล ง EU ออกขอบ งคบ เร องการร กษาขอ มลส วนบคคล GDPR (General Data Protection Regulation) เพอบงคบผใหบรการใหแกประชากรใน EU จะสงผลกระทบถงผใหบรการอยางไร แลวถามขอบงคบจากประเทศอน ๆ ในลกษณะเดยวกนจะสงผลกระทบอะไรบาง

สหรฐอเมรกาเตรยมปรบปรงกรอบแนวทางการบรหารจดการความมนคงปลอดภยไซเบอร ทจดท าโดย National Institute of Standards and Technology (NIST) สหรฐอเมรกา รวมกบภาคเอกชน และใชงานมาแลวอยางไดผลมาหลายป เพอเพมแนวทางในการท า Benchmarking

ETDA พบ Microsoft และ Cisco นอกจากน ทม ETDA ยงไดประชมแลกเปลยนความคดเหนและรบฟงการบรรยายมมมองดานความมนคงปลอดภยของภาคธรกจ จากผบรหารและผเชยวชาญจาก Microsoft และ Cisco โดยมแนวคดทนาสนใจ เชน บรษทยกษใหญทมสาขาอยทวโลก ไมใชแคขายสนคาหรอบรการเทคโนโลยเทานน แตไดค านงถงประโยชนสขของ

คนทวโลก (Global Good) ดวย โดยค านงถงความเชอมน (Trust) ความรบผดชอบ (Responsibility) และความเปนน าหนงใจเดยว (Inclusivity) กบภาคสงคม ดงนน Microsoft จงใหความส าคญอยางมากกบ CSR (Corporate Social Responsibility)

Microsoft แชรประสบการณในการท า Cybersecurity Baseline เพอปกปองดแลระบบสารสนเทศโครงสรางพนฐานส าคญของประเทศ (Critical Information Infrastructure Protection: CIIP) ซงสอดคลองกบแนวทางปฏบตสากล ในลกษณะการท างานกบหลายภาคสวนทเปน Multistakeholder ทหลายประเทศไดเรมไปแลว เชน NIST ของสหรฐอเมรกา ENISA ของกลมประเทศยโรป Japan Information Security Council ของประเทศญปน ETDA จงไดเชญผเชยวชาญ Microsoft มารวมเปนคณะท างานในลกษณะ Multistakeholder รวมกบผเชยวชาญจากสถาบนการศกษา และหนวยงานโครงสรางพนฐานส าคญ ในการจดท า Cybersecurity Baseline Framework ของประเทศไทย

Digital Crime Unit (DCU) ของ Microsoft เปนหนวยซงรวบรวมขอมลการโจมตไซเบอรทเปนภยคกคามจากทวโลก เชน ขอมลการตดมลแวร (Cyber Threat Intelligent Protection: CTIP) เนองจาก ETDA ไดลงนามความรวมมอโครงการ Microsoft Government Security Program (GSP) ดงนนจงไดรบ CTIP ทเกยวกบประเทศไทย ซงเปนประโยชนกบไทยเซรต ETDA ในการก าหนดกลยทธในการจดการปญหามลแวรในประเทศไทย

5


ETDA จงจะขยายความรวมมอในโครงการ Microsoft GSP ดาน Transparency เพอใหสามารถตรวจสอบผลตภนฑซอฟตแวร Micorsoft อนเปนการสรางความเชอมนดานความมนคงปลอดภยใหหนวยงานของรฐ และโครงการนยงเปดอากสใหผเขารวมสามารถเขาใชงานศนยความโปรงใส Microsoft (Microsoft Transparency Centers) ซงสามารถเขาตรวจสอบซอสโคด (Source Code) ทงหมดของผลตภณฑชนน าของ Microsfot ได

เขาเยยมชม Microsoft Cyber Defense Operations Centre (CDOC) ซงเปนศนยประสานงานเพอรบมอภยคกคาม และจดการปญหาตาง ๆ ทเกดขนกบการใชงานผลตภณฑของ Microsoft ทงทอยในระบบคลาวด และทเปนซอฟตแวรส าเรจรป โดย CDOC ไดด าเนนการจดการปญหาทางดานความมนคงปลอดภย ระบ และแกปญหา จดท ารายงานเกยวกบภยคกคามและขอเสนอแนะใหแกสวนงานและภาคธรกจทเกยวของ

NIST สหรฐอเมรกาก าลงประชาพจารณ NIST Security Framework ฉบบปรบปรง ซงเกดขนจากความรวมมอกบภาคเอกชนทรวมใหความคดเหนในกระบวนการรางดวย หลาย ๆ บรษทรวมถง Cisco และ Microsoft ไดใหความคดเหนในการจดท า Cybersecurity Framework จนเปนทยอมรบและมการใชงาน ซงแนวทางนนาจะเปนแนวทางทดท ETDA สามารถเชญผบรหารดานความมนคงปลอดภยภาคเอกชนรวมเปนคณะท างานจดท ารางนโยบาย/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอร ของประเทศไทย และน าแนวคดการใหภาคเอกชน/ภาคธรกจเขามามสวนรวมในการจดท ากรอบนโยบาย/แผน/แนวปฏบตดานการร กษาความมนคงปลอดภยไซเบอรใหแกหนวยงานโครงสรางพนฐานส าคญของประเทศ

วนน ETDA มภารกจส าคญในการสนบสนนธรกรรมทางอเลกทรอนกส การท าพาณชยอเลกทรอนกสใหมนคงปลอดภยและนาเชอถอ เราเรยนรวา ETDA อยไมไดอยเพยงล าพง จงตองพยายามถายทอดความร ประสบการณทไดรบมาและท า Knowledge management ใหภาคสวนตาง ๆ เพอสรางความคมคาใหทกภาคสวนทเกยวของและกระจายตอ หนวยงาน partner ไดรบร เขาใจและท างานรวมกนได เราจงตองมเครองมอทจะชวยสรางความตระหนกโดยแปลงเรองยากใหเปนเรองงาย ฝงใน DNA ของคนยคดจทล ใหรเทาทนและไมตนตระหนกเพราะ “หนาทดแลโลกไซเบอร เปนหนาทของเราทกคน”

6


Table of Contents Visit บรษทไมโครซอฟต @ เมองซแอตเทล สหรฐอเมรกา .......................................................................................... 1

Visit บรษทซสโก @ เมองซานโอเซ สหรฐอเมรกา .................................................................................................... 12

RSA Conference 2017 @ เมองซานฟรานซสโก สหรฐอเมรกา ............................................................................... 15

Keynotes ................................................................................................................................................................... 16

Track .......................................................................................................................................................................... 16

Achieving and Measuring Success with the Security Awareness Maturity Model .............................. 19

Security investigative journalist speaker out share insights on the 2016 cybersecurity headlines and a look ahead of the threat landscape in 2017 ................................................................................. 19

What is needed in the next generation cloud trusted platform? ........................................................ 20

Two Bytes to $951 m—Collaborate to Defend ......................................................................................... 21

Updating Surveillance Law on Government Access to Your Online Data .......................................... 22

Cybersecurity – It’s a Small-Town Problem.............................................................................................. 25

Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead ......................................... 26

Internet of Insecurity: Can Industry Solve it or Is Regulation Required? ............................................. 27

โอกาสสดทายการใช DevOps ............................................................................................................................. 27

การโจมตทางไซเบอร ระดบความรนแรง และการแกปญหา ................................................................................ 28

ขอบงคบและกฎหมายความมนคงปลอดภยไซเบอรเกยวกบ ซอฟตแวร .............................................................. 29

มมมองอปกรณ Internet of Thing : Iot ในการพฒนาซอฟตแวรและภยคกคามทางไซเบอร............................. 30

เพมประสทธภาพความตระหนกรเกยวกบฟชชง 300% ในเวลา 18 เดอน .......................................................... 31

แผนยทธศาสตรส าหรบการฝกอบรมความตระหนกรความมนคงปลอดภยไซเบอร .............................................. 32

พนทสวนการจดงานแสดง (Expo) .......................................................................................................................... 36

Exhibitor Name: Force Point ......................................................................................................................... 38

Exhibitor Name: Kaspersky ............................................................................................................................ 39

Exhibitor Name: Cisco .................................................................................................................................... 40

7


Exhibitor Name: Crowdstrike Falcon ........................................................................................................... 41

Exhibitor Name: Carbon Black ...................................................................................................................... 42

Exhibitor Name: Ping Identity ....................................................................................................................... 43

ภาคผนวก .................................................................................................................................................................... 44

Microsoft ............................................................................................................................................................... 44

Cybercrime legislation @ Microsoft ................................................................................................................. 44

Cybersecurity Baseline @ Microsoft ................................................................................................................ 45

Digital Crime / Digital Crime Center Tour at DCU @ Microsoft .................................................................. 45

Cloud for Global Good @ Microsoft ................................................................................................................ 46

Cisco ...................................................................................................................................................................... 47

Microsoft Delegates ............................................................................................................................................ 48

ETDA Delegates ................................................................................................................................................... 49

Visit บรษทไมโครซอฟต

@ เมองซแอตเทล สหรฐอเมรกา

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ ETDA ไดเยยมชมบรษท ไมโครซอฟต

(Microsoft) ณ เมองซแอตเทล รฐวอชงตน สหรฐอเมรกา โดยการเยยมชม Microsoft ครงนเปนหนงในกจกรรมทเกยวของกบความรวมมอดานการพฒนาความมนคงปลอดภยดานไซเบอร (Cybersecurity) ระหวาง ETDA และ Microsoft ในการน Mrs. Jennifer Byrne, Chief Technology Officer (CTO) พรอมดวยเจาหนาท Microsoft ไดตอนรบ ETDA และบรรยายเกยวกบประวต ภารกจและอดมการณของ Microsoft บรษทยกษใหญทเปนทงผผลตและพฒนาซอฟตแวรรวมถงผลตภณฑดานไอทมากมาย แตมแนวทางการด าเนนธรกจเพอใหเกดประโยชนสขของคนทวโลก (Global Good) โดยค านงถง 3 สวน คอ

1. ความเชอมน (Trust) โดยการสรางระบบ กลไก โครงการ และซอฟตแวรทมความนาเชอถอทโปรงใสและตรวจสอบได เชน โครงการ Government Security Program (GSP) เปนตน

2. ความรบผดชอบ (Responsibility) โดยการสนบสนนการวจยและพฒนาดวยเงนจ านวนหลายพนลานเหรยญสหรฐ เพอเปนสวนหนงของการรบผดชอบตอสงคม การพฒนาใหเกดสภาพแวดลอมทมนคงปลอดภยในโลกไซเบอร

3. ความเปนน าหนงใจเดยว (Inclusive) โดยการเปดโอกาสใหคนพการ คนชราและผดอยโอกาสใหมโอกาสใชซอฟตแวรทมประสทธภาพสงผานการออกแบบทค านงถงความเทาเทยมกน รวมถงการรบพนกงานของ Microsoft ทจะไมมการกดกนทางเชอชาตใด ๆ ดงนน การท างานของ Microsoft จงมความหลากหลายและผสมผสานอยางลงตว

ดงนน ดวยหนงในอดมการณของ Microsoft ทตองการใหเกดความมนคงปลอดภยในโลกไซเบอร เกดการพฒนาดานนวตกรรมอนจะน าไปสการพฒนาตอยอดตอไปในอนาคต ภารกจดานอนอยางดานกฎหมายและดานความมนคงปลอดภยจงเปนภารกจจ าเปนท Microsoft ใหความส าคญเชนกน ในการน ทม Microsoft ไดน าเสนอและรวมแลกเปลยนความคดเหนกบ ETDA ในหวขอ ดงน Cybercrime legislation @ Microsoft

นาย Gene Burrus, Assistant General Counsel, Trustworthy Computing ไ ด ถ า ยทอด ค ว า ม รเกยวกบววฒนาการของการเกดอาชญากรรมทางไซเบอร (Cybercrime) ทหมายถงการกระท าความผดเกยวกบ ไซเบอรทงการเจาะระบบ ขดขวางระบบ โจมตระบบ ขโมยขอมล ปลอมแปลงตวตน ฉอโกงทางออนไลน (fraud) รวมทงการกระท าอนทน าไปสการกระท าความผดอนได เชน การมภาพอนาจารเดก (Child Pronography) เหนไดวา รปแบบและลกษณะของการกระท าความผดเปลยนแปลงจากอดตเปนอยางมาก โดยจากขอมลท Microsoft ไดท าการวเคราะหสามารถแบงชวงเวลาและรปแบบของการกระท าความผดไดเปน 3 ชวง คอ

2


ชวงท 1 ป 2003 – 2004 ผกระท าความผดอาจกระท าเพอความสนกสนานระหวางเพอนฝงเทานน ชวงท 2 ป 2005 – ปจจบน ผกระท าความผดตองการท าเพอเงน และอาจสงผลกระทบตอผบรหารของ

หนวยงาน หรอสงผลกระทบระดบหนวยงาน ชวงท 3 ป 2012 เปนตนไป ผกระท าความผดมความประสงคใหมผลกระทบระดบประเทศ เกดความ

เสยหายอยางมากและอยางวงกวาง เชนน เมอเทคโนโลยเปลยนแปลงอยางรวดเรว กยอมสงผลตอรปแบบการกระท าความผดทางไซเบอรมากขน การตามหาผกระท าความผดกยงยากตามไปดวย

ทผานมา Microsoft ไดท าการส ารวจผลเกยวกบความตระหนกรของแตละหนวยงานและประเทศเกยวกบคาเสยหาย/ความตระหนกรของผบรหารเกยวกบภยคกคามทางไซเบอร โดยมผลการส ารวจทนาสนใจทงจ านวนเงนทสญหายจากการเกดภยทางไซเบอร หนวยงานตองสญเสยเงนจากการถกโจมตทางไซเบอรจ านวนกวา 400 แสนลานเหรยญสหรฐตอป หนวยงานอกกวารอยละ 71 ตอบวา คดวาหนวยงานตนเองเคยเสยงตอภยคกคาม ทงทความเปนจรงแลว หนวยงานทกหนวยงาน (100 %) ควรจะตระหนกใหดไดวา หนวยงานของตนเองนนอาจตกอยในความเสยงตอภยคกคามไดดวย นอกจากน สถตยงแสดงถงขอมลทนาสนใจคอ Microsoft พบวา ผกระท าความผดหรอผไมประสงคดสามารถแฝงตวอยในระบบคอมพวเตอรของเหยอเปนเวลากวา 140 วนโดยทเหยอทเปนเจาของเครองคอมพวเตอร/ระบบคอมพวเตอรไมทนไดรตวดวยซ า เชนนแสดงใหเหนวา เกอบทกประเทศไมมความตระหนกเรองความมนคงปลอดภยในระดบทเพยงพอ

เมอมการกระท าความผดทางไซเบอรมาก ท าใหเกดผเสยหายจ านวนมาก ยอมสงผลกระทบตอความเชอมนของผบรโภคหรอผใชงาน และเมอผบรโภค/ผใชงานไมมความเชอมนในโลกอนเทอรเนต/โลกออนไลน ยอมสงผลตอ Microsoft ซงเปนองคกรชนน าดานการผลตและพฒนาซอฟตแวร และกระทบตอธรกจของหนวยงานอนทเกยวของดวย เนองจาก เมอผบรโภคหรอผใชงานไมมความเชอมนในระบบออนไลนแลวกจะไมกลาท าธรกรรมทางออนไลน นวตกรรมทอาจจะมการพฒนาเรอย ๆ กจะหยดชะงก ดงนน Microsoft จงใหความส าคญกบการจดการอาชญากรรมทางไซเบอร ภยคกคามทางไซเบอร (Cyberthreats) ทง Microsoft ด าเนนการเองและรวมมอกบหนวยงานอน ๆ ในการส ารวจศกษาวจยเกยวกบภยคกคามทางไซเบอร นอกจากน ในสวนของเนอหาทางออนไลน (Online content) ทเกยวกบการกระท าความผดทางกฎหมายมจ านวนมากขน และถกน าไปใชในการกระท าความผดลกษณะอนดวย เชน รปอนาจารเดก จงเหนไดวา Cybercrime มขอบเขตทหลากหลายและมการกระท าความผดทเกดขนขยายหลายพนท และแพรกระจายอยางรวดเรว

นอกจากน ปญหาหนงททกประเทศประสบ คอ การก าหนดนยามและขอบเขตของ Cybercrime เนองจาก Cybercrime กลายเปนการกระท าความผดทมลกษณะวงกวาง หลายประเทศเปนผไดรบความเสยหาย จน Cybercrime เกดลกษณะ Global Crime ทหลายประเทศตองหาทางออกรวมกน ดวยการท าใหกฎหมายมความเปนเอกภาพหรอสอดคลองกน (Legal Harmonization) ระหวางหลายประเทศทมระบบกฎหมายแตกตางกน โดยในการท า Legal Harmonization จะตองการเปรยบเทยบและรวมพจารณากฎระเบยบในระหวางประเทศดวย อยาง Budapest Convention on Cybercrime ทมการบงคบใชในประเทศสมาชกมาเปนเวลานานแลว จงสมควรพจารณาปรบปรงใหมความทนสมยมากขน

ในการก าหนดกรอบกฎหมาย (Legal Framework) ตองค านงถงปจจยทเกยวของ เชน การคมครองประชาชน ความรวมมอระหวางหนวยงานรฐและขามพรมแดน โดยเมอไมมานานมานมกรณตวอยางเกยวกบเขตอ านาจศาล (Jurisdiction), ความเปนสวนตว (Privacy) และความมนคงปลอดภย (security) ท Microsoft ตอสมาโดยตลอด โดยในคดน Microsoft ไดรบหมายคน (search warrant) จากศาลนวยอรกใหคนขอมลอเมลของผตองสงสยกระท าความผดซงขอมลอเมลอยใน Ireland แต Microsoft ไมเหนดวยจงไมยอมด าเนนการตามทไดหมาย

3


ศาล และไมยอมเปดเผยขอมลของผใชงานทอยใน Ireland และไดฟองรฐบาลสหรฐอเมรกากลบ เนองจากเหนวาจะเปนการละเมดสทธมนษยชนของผใชงานซงเปนเจาของขอมลทขอมลอยท Ireland (ขอมลคด Microsoft v. The U.S. Government)

สงททาทายคอ การสรางสมดลระหวางกรอบกฎหมายแบบเกาและแบบใหม (Legal framework) เชนการสามารถเขาถงไดดวยทางกายภาพ

ดงนน ในการท าแนวปฏบตทด (best practice) ควรจะตองมการก าหนดกรอบอ านาจหนาทของผบงคบใชกฎหมายใหชดเจน ตองพจารณาความสมเหตสมผลระหวางความมเหตมผล และการท างานรวมกนระหวางหนวยงานรฐและเอกชน

Microsoft แมเปนเอกชนแตกไดพยายามด าเนนงานจดการกบปญหาภยคกคามไซเบอร ผานกจกรรมทงการส ารวจ การศกษา วจยวเคราะหผล ตลอดจนการรวมมอด าเนนโครงการตาง ๆ อยางไรกตาม ดวยรปแบบการกระท าความผดทางไซเบอรผกระท าความผดมแรงจงใจทเปลยนแปลงไป ผลกระทบจากการถกโจมตแผวงกวาง รายแรงระดบประเทศ เหลานยอมสงผลตอความเชอมนของผใชงาน ผบรโภค ซงในทายสดยอมสงผลกระทบตอการสรางสรรคนวตกรรมลดนอยถอยลงไปเชนกน Cybersecurity Baseline @ Microsoft

นาย Aaron Kleiner, Principal Security Strategist ไดถายทอดความรและประสบการณเกยวกบการท า Cybersecusrity Baseline ซงเปนสงทจ าเปนอยางยงในยคปจจบนเนองจาก ปญหาความมนคงปลอดภยไซเบอร (Cybersecurity) ทกระทบกบโครงสรางพนฐานส าคญของประเทศ (Critical Infrastructure) เชน การโจมตระบบการเงนการธนาคาร ระบบสาธารณปโภค ประปา ไฟฟา ซงเปนเรองใหญและส าคญท าใหการรบมอภยคกคามและการจดการกบความเสยงเปนเรองทตองมการด าเนนงานอยางเปนระบบและมประสทธภาพเพอปกปองระบบโครงสรางพนฐานส าคญเหลาน วธการทเหมาะสมคอ การเรมตนจากการก าหนด Cybersecurity Baseline

Cybersecurity Baseline เปนแนวทางการจดการดานความมนคงปลอดภยทางไซเบอรทวางแผนไวแลว เพอชวยใหการจดการความเสยงจากภยคกคามไซเบอรขององคกรและระหวางองคกรเปนไปอยางประสทธภาพ ตาม 5 ขนตอนหลกคอ

(1) Identify การวเคราะหวาระบบงาน ทรพยสน หรอขอมลใดบางทมความเสยงและอาจส งผลกระทบตอการท างาน หากเกดสถานการณการโจมต จดล าดบความส าคญในการดแลรกษา

(2) Protect มาตรการปองกนและรบมอเพอลดความเสยหายทอาจจะเกดขน (3) Detect กระบวนการตรวจสอบเหตการณโจมตทเหมาะสมและทนเวลา (4) Response กระบวนการรบมอสถานการณฉกเฉนเพอควบคมสถานการณ จ ากดความเสยหาย

วเคราะหสาเหตและหาวธปองกน และ (5) Recover การกคนระบบใหกลบสสภาวะปกตและแกไขสาเหตทท าใหเกดปญหาได

โดย Cybersecurity Baseline ทดควรจะมแนวทางหลกการทสอดคลองกบประเทศอน ๆ ทจดท าและก าหนดเปนแนวปฏบตทเปนไปตามหลกการสากล (International Best Practices) เชน สถาบนมาตรฐานและเทคโนโลยแหงชาต (National Institute Standards and Technology หรอ NIST) ของสหรฐอเมรกา หนวยงานดานความมนคงปลอดภยทางไซเบอรของยโรป (European Union Agency for Network and Information Security หรอ ENISA) หรอหนวยงานระดบประเทศอยาง Information Security Policy Council of Japan ของประเทศญปน เปนตน

4


การก าหนด Cybersecurity Baseline จะชวยใหเกดการจดการความเสยงดานความมนคงปลอดภย ไซเบอรทด โดยมแนวปฏบตทเปนไปตามหลกการสากล (International Best Practices) ทสรปได 6 หวขอ ดงน

(1) ท างานรวมกบทกฝายทงภาครฐ ภาคการศกษาและภาคเอกชนอน ๆ (Multistakeholders) Best Practice ของการก าหนด Cybersecurity Baseline ทดนนควรม 2 ขอคอ ขอแรกนโยบาย

แบบเปดเผย (Open Policy) ขอสองการท าภายในก าหนดเวลา (Time Bound) ดงนน แนวทางปฏบตทดตองเนนใหรฐบาลท างานรวมกบหนวยงานอน ๆ ทงภาคการศกษาและภาคเอกชนเนนใหเกดการแลกเปลยนขอมลกนเปน (Open Policy) และมการก าหนดระยะเวลาการท างานใหชดเจน (Time Bound) ดงตวอยางของ Cybersecurity Framework ทภาครฐของสหรฐอเมรกาใหโอกาสทกฝายเขารวมในการใหความเหน และก าหนดเวลากรอบการท างานชดเจน โดยมหนวยงานอยาง NIST ควบคมการท างานอยางใกลชด เพอใหเกดการตดสนใจและจดการอยางมประสทธภาพผานคณะท างานทรบฟงทกฝาย โดยทายทสด NIST จะมอ านาจในการตดสนทจะเลอกแนวปฏบตทดทสด

(2) สรางสภาวะแวดลอมใหเกดการตดสนใจทสอสารดวยภาษาเดยวกน (Common Language) Best Practice ของการจดการภายในองคกรและการสอสารกบหนวยงานภายนอกทดดาน Cybersecurity ควรก าหนดใหมเอกสารทใชอางอง (single document or reference) เพอสอสารดวยภาษาเดยวกนและเขาใจตรงกน (Common Language)

(3) การจดการความเสยงอยางมประสทธภาพ (Risk Management) Best Practice ในการก าหนด cybersecurity baseline การพจารณาจะดจากความเสยงท

อาจจะเกดขน และจดเรยงตามล าดบความส าคญของความเสยง โดยเนนใหเกดการปกปองระบบโครงสรางพนฐานทส าคญ (Critical Infrastructure) และปรบเขากบสถานการณไดอยางเหมาะสม ตวอยางกรณสหรฐอเมรกามโครงสรางพนฐานทส าคญจ านวน 16 ประเภททตองจดการ แต Mr. Aaeron เนนวา ในการจดการโครงสรางพนฐานทส าคญ (Critical Infrastructure) เรองน าประปาและไฟฟายอมส าคญกวาระบบไอท (เชน ระบบอเมลลม) จงตองมการวางแผนใหระบบทไมสามารถหาอะไรมาทดแทนได (อยางประปาและไฟฟา) ตองไดรบการดแลในล าดบตน

(4) กระตนใหเกดความคดสรางสรรคและนวตกรรมท เหมาะสมกบองคกรโดยเนนทผลลพธ (Outcome Base Approach) Best Practice ทเนนตาม Outcome Base Approach จะเปนทางเลอกทดส าหรบองคกรในการหาวธการจดการและสรางความเขาใจวาจะท าไปเพออะไร จะไดผลการท างานทดกวาการไปควบคมโดยการก าหนดทกขนตอนอยางละเอยดวาตองท าอะไร

(5) ปรบปรงอยางตอเนองเพอความกาวหนาและศกษาขอมลจากแนวทางสากล ( international best practices)

Best Practice ทหนวยงานปฏบตตามแนวทางสากลเชน NIST, ENISA และ Information Security Policy Council of Japan เพอใหเกดการแลกเปลยนขอมลและใหมการท างานระหวางประเทศโดยตอเนองจากแนวทางทอยากใหมการท าใหกฎหมายเปนเอกภาพหรอมความสอดคลองกน (harmonized law) เชน Budapest Convention on Cybercrime เพอใหการท างานสะดวกในทางปฏบตภายใตกฎหมายจงควรมแนวปฏบตทแลกเปลยนขอมลความรไดเชนกน

(6) สนบสนนใหองคกรเจรญโดยดแลลกคาและผลประโยชนขององคกร ตามผลลพธทตงไว จากการจดการความมนคงปลอดภยไซเบอรอยางมประสทธภาพ

5


Best Practice ในการบรหารจดการ cybersecurity นน ควรใหเกดความสมดลของการดแลธรกจใหเจรญโดยเนนทผลลพธในการท างานเพอดแลลกคาและยงบรหารจดการความเสยงอยางมประสทธภาพได

ดงนน Microsoft ใหความส าคญในการพฒนาองคความรจงไดจดท าเปนสอในรปแบบตาง ๆ รวมถง White Paper ทเกยวกบ Cybersecurity เพอเปนเครองมอสอสารและใหความรในการศกษาและใชงานตอ ดงนน White Paper ของ Microsoft ท เกยวกบ Cybersecurity Baseline และแนวทางการสรางความตระหนกใหหนวยงานทเปน Critical Infrastructure จงนาสนใจและนาจะเปนประโยชนอยางยงตอการน ามาประยกตใชในทางปฏบต Digital Crime / Digital Crime Center Tour at DCU @ Microsoft

คณ Niall O'Sullivan, SR Business Analytics, SPEC Digital Crimes Unit ไดน าทม ETDA ไปยงศนย Microsoft Digital Crimes Unit (DCU) ซงเปนศนยทท าหนาทเกยวกบการตดตาม ตรวจสอบ วเคราะหผลและตดตอประสานงานกระบวนการทางกฎหมายทงในประเทศและตางประเทศ โดยศนย DCU นเปนพนทควบคมในการเขาชมไมสามารถถายรปหรอท าการบนทกภาพได เนองจากมขอมลทละเอยดออน (sensitive) และส าคญมาก โดย DCU มผเชยวชาญทางดาน Cybersecurity และอน ๆ ทเกยวของเพอชวยกนท างานและยบยงภยคกคามทางไซเบอร โดยศนย DCU มภารกจ 3 ดานคอ

1. การปกปองเดกและเยาวชน (Child Protection) 2. การจดการการละเมดลขสทธ (Copyright infringement) 3. การจดการอาชญากรรมทเกดจากมลแวร (Malware Crimes)

โดยคณ O'Sullivan ไดถายทอดตวอยางประสบการณการท างานของ DCU ทรวมกบหนวยงานอน ๆ เชนป 2013 ทางศนย DCU ไดรวมมอกบ FBI, Europol และผเสยหาย เพอจดการบอทเนตทชอวา Zero Access โดยไดจดการเซรฟเวอรทมปญหาไดถง 18 แหง และสามารถสบหาพยานหลกฐานจนน าไปสการจบกมตวผตองสงสยได นอกจากน ศนย DCU ไดพฒนาเทคโนโลย Photo DNA เพอมาท าใชในการตรวจสอบ คนหาและวเคราะหรปอนาจารของเดกและเยาวชนในสวนงานการปกปองเดกและเยาชน (Child Protection) อกดวย

ปจจบนศนย DCU มอตราก าลงทประจ าอยทเมอง Seattle ประมาณ 30 อตราและกระจายอยทวโลก รวมแลวประมาณ 100 อตรา โดยประกอบดวยบคลากรทมความรความสามารถหลากหลาย ทงทางดานเทคนค ดานวเคราะหขอมล ดานกฎหมาย ตลอดจนดานการประสานงาน โดยศนย DCU จะรวมรวบการโจมตทเปนภยคกคามทมลกษณะคลายคลงกนและวเคราะหพฤตกรรมดวยวธการตาง ๆ เพอด าเนนการทางกฎหมายในคราวเดยว โดยจะเปนการชใหเหนถงขนาดของปญหาตอพนกงานเจาหนาท เพอใหเกดการด าเนนการทเปนรปธรรมในเชงกระบวนการยตธรรม โดยมตวอยางทปรากฏไดอยางชดเจนจากการทศนย DCU ด าเนนการเพอขอระงบชอโดเมน (Domain Name) ของเครองเซรฟเวอรทมพฤตกรรมเปนศนยควบคม (C2 Server) ของมลแวรประเภทตาง ๆ เปนตน

ในการเขาเยยมชมศนย DCU ครงน มขอมลทแสดงผลตวอยางขอมลมลแวรทพบในประเทศไทย ป 2017 ทท าการรวบรวมโดยศนย DCU โดยชนดของมลแวรทพบมากทสดในประเทศ คอ B106 ซงเปนมลแวรทจะท าการขโมยขอมลความลบของผใชงาน ซงจงหวดทพบการแพรระบาดของมลแวรมากทสด 3 จงหวด คอ กรงเทพ ภเกต และขอนแกน

ดงนน จงเปนโจทยทาทายส าหรบ ThaiCERT และ ETDA วาจะวเคราะหปญหาลงลกในรายละเอยดและลดปญหาการระบาดของมลแวรใน 3 จงหวดทมการระบาดใหลดลงเรวทสด ไดอยางไร

6


Cloud for Global Good (Digital inclusion) @ Microsoft

นาย Leonardo Ortiz Villacorta, Director, Field Empowerment, Philanthropies ไ ด ถ า ย ท อดประสบการณการด าเนนงานของ Microsoft ทมพ นธกจดานการมสวนรวมในสงคม อาท การน านวตกรรมทางเทคโนโลยมาใชใหเกดประโยชนในสงคม การฝกทกษะดานการใชเทคโนโลยใหกบเดกและเยาวชน โดยเฉพาะกลมทจะเปนกลมแรงงานหลกในตลาดแรงงาน ซงการเสรมทกษะใหตลาดแรงงานมประสทธภาพในการขบเคลอนเศรษฐกจในอนาคต ตลอดจนการสนบสนนองคกรทเกยวของดานสทธมนษยชนสอดคลองกบการรบผดชอบ และการสรางความตระหนกของสทธพนฐาน

โดยทผานมาในชวงเดอนกนยายน 2559 – กมภาพนธ 2560 Microsoft ไดมสวนรวมในการสนบสนนการประเทศไทยผานงานทโดดเดน เชน

การเปดเวทพดของเดกและเยาวชน (2 Youth speak) การสนบสนนอสระทางความคดเพอสรางโอกาสความเขาใจใหเดก เยาวชน และบคคลไรความสามารถ ในการการศกษาวทยาการคอมพวเตอร

โครงการ The hour of code สรางประโยชนใหเยาวชนกวา 1,256 คน รวมถงประเทศไทยดวย ซงประโยชนของโครงการดงกลาวจะชวยสนบสนนบคคลไรความสามารถ ผลภย และนกโทษหญง

การรวมกบกระทรวงแรงงาน ในการสรางก าลงคน (M-Powered Thailand) เปนรปแบบศนยบรการออนไลน (One stop online) ในการพฒนาสายอาชพกวา 10,000 คน ตอป

การสนบสนน 42 NGO on the cloud ซงมเปาหมายในปนจะขยายกวา 60 องคกร การสนบสนนเทคโนโลย นวตกรรมสมยใหมโดยไมหวงผลก าไร ซงไดมการน าไปใชกบกลม NGO

ของไทยแลว ETDA เองกตระหนกวา เดกและเยาวชนปจจบนเปนเดกและเยาวชนทเกดในยคเทคโนโลยด จทล

จ าเปนตองมภมคมกนและรเทาทนการใชอนเทอรเนต สอสงคมออนไลนจงไดด าเนนการจดกจกรรมโครงการSchool camp ทมวตถประสงคเพอสรางความตระหนกของเดกและเยาวชนในการใชอนเตอรเนตความมนคงปลอดภย ซง ETDA พจารณาอาจจะน าเอาเทคโนโลย “Minecraft” ซงเปนซอฟตแวรทชวยดานการเสรมสรางใหเกดการเรยนรในเดกและเยาวชน ทมเวอรชนภาษาไทยไวพรอมแลวมาใชประกอบการท ากจกรรมใหมประสทธภาพมากขน

(อางองจาก https://studio.code.org/s/minecraft/stage/1/puzzle/1)

7


Corporate Identity @ Microsoft นอกเหนอจากการถายทอดใหความรและประสบการณและการน าเยยมชมหองปฏบตการตาง ๆ โดย

เจาหนาท Microsoft แลว สงท ETDA สงเกตเหนไดจากการมาสถานทของ Microsoft ครงนคอ การเหนอตลกษณของ Microsoft อยางชดเจน ซงอตลกษณองคกร (Corporate Identity หรอ CI) เปนสงทออกแบบมาเพอใหสอดคลองกบเปาหมายทางธรกจหรอกลมเปาหมายทางธรกจโดยจะออกมาในลกษณะของแบรนดและการใชเครองหมายการคา สขององคกร ในการสรางแบรนดใหกบสนคานนจ าเปนตองใชอตลกษณในการสราง เพอใหสามารถสอสารผาน 3 ชองทางคอ ผานทางภาพ, ทางพฤตกรรม และ ผานการพด ซงสงเหลานจะน าไปสขนตอนของการออกแบบเครองหมายการคา เชน การออกแบบ Logo และการออกแบบโปรไฟลบรษทตอไป

Microsoft ไดก าหนดทศทางของการสอสารในเรองของ CI ตามลกษณะของแผนก (Department) หรอเนอหาในการสอสาร ดงตวอยาง ตอไปน

1. Cybercrime Presentation style 1.1 การใชสทเรยบงาย ก าหนดสทสอถง CI ของ Department ไดในไมกส ซงท าใหผชมสามารถจดจ า

แหลงทมาของ CI ไดในคราวตอไป

8


1.2 การใชภาพในลกษณะของ Symbol icon ในการน าเสนอชวยสรางความรความเขาใจใหกบผชมไดมากกวาการน าเสนอดวย Text

1.3 การ Bold ตวเลขส าคญของเนอหา และม Description ตอทาย ชวยสรางการนาจดจ าใหกบผชม

9


2. Global Theme Presentation Style 2.1 ในสวนของการสอสารในระดบ Global ทาง Microsoft ใช Theme หลกคอ Lifestyle people

เพอใหการสอสารของภาพสอออกมาในระดบ Global ทเปนสากล บงบอกไดอยางชดเจนถงการผสมผสานไมปดกน

2.2 ในสวนการใชภาพและค าบรรยายใตภาพ (caption) ทกระชบท าใหการเขาชมของผชมใชเวลา

เพยงไมมาก และสามารถจบใจความส าคญของเนอหาทตองการสอไดอยางชดเจน

10


2.3 การใชภาพ ทแสดงใหเหน Real Life ของสงทองคกรตองการน าเสนอจรง ๆ ท าใหการสอสารท าไดอยางชดเจน และเขาถงจตใจของผชมไดเปนอยางด

2.4 การแทรกดวยภาพกจกรรมจรง เชนงาน CSR ท าใหเกด Impact ในระดบ Global อยางชดเจน

11


นอกจากนในสวนของการสอสารถงผชม (Approach) ทาง Microsoft ยงไดจดใหมเครองมอ Interactive Touch Screen ขนาด 50 นว บรเวณโถงทางเขาหนาประชาสมพนธเพอใชในการสอสารภารกจของ Microsoft เพอใหเขาใจไดมากยงขนโดยใช concept การท างานในรปแบบของ Surface ในการโตตอบกบผเขาชมและเกม

12


Visit บรษทซสโก

@ เมองซานโอเซ สหรฐอเมรกา ETDA ไดเขาพบผบรหารและผเชยวชาญบรษท Cisco เพอแลกเปลยนประสบการณและความคดเหน

เกยวกบการเปลยนแปลงเทคโนโลยสารสนเทศและแนวทางท Cisco ไดด าเนนการและใหบรการ Mr. Eric Wenge, Director, Global Government Affairs, Cybersecurity and Privacy Policy ด ว ย

ปรมาณการจดเกบขอมลทางดจทลทเพมมากขนท าใหโลกมความเสยงเพมขนตอการถกโจมต จากการส ารวจของ Cisco พบวาผเชยวชาญสวนใหญมความกงวลกบการโจมตทางไซเบอรจาก อปกรณเคลอนท (58%), ขอมลทอยในคลาวดสาธารณะ (57%), พฤตกรรมของผใชงาน (57%), โครงสรางพนฐานของคลาวด (57%) และปจจยส าคญทสงผลกระทบตอการปรบปรงความมนคงปลอดภยคอ งบประมาณ (35%), Compatibility issues (28%), การขาดแคลนบคลากรทไดรบการฝกอบรม ( 25%) โดยมตวเลขทนาสนใจมากคอกวารอยละ 40 ของ Security alerts ทตรวจพบกไมไดถกตรวจสอบอยางจรงจง จงเปนทมาของแนวคดทจะตองท างานอยางมประสทธภาพโดยใชหลกการ Automated-Simple-Open ของ Cisco และความมนคงปลอดภยตองเปนกระบวนการทท าอยางตอเนอง มการปรบปรงเรอย ๆ โดยค านงถง People-Process-Technology

กรณของสหรฐอเมรกา กรอบแนวปฏบตความมนคงปลอดภยไซเบอรของ NIST ไมไดเกดขนจากภาครฐ แตเกดขนจากความรวมมอกบภาคเอกชนทรวมใหความคดเหนในกระบวนการราง Cybersecurity framework ดวย โดยในสวนของ Cisco ไดรวมใหความคดเหนในการจดท า Cybersecurity framework จนเปนทยอมรบและมการใชงาน ปจจบนสหรฐอเมรกาก าลงตอยอดในสวนของการวดระดบความพรอมของหนวยงาน เพ อใหมมาตรฐานทสามารถใชในการเปรยบเทยบขามหนวยงาน (สถานะปจจบน NIST ไดประกาศราง Cybersecurity framework เพอรบฟงความคดเหนจากสาธารณะ) ประเทศไทยสามารถน าแนวคดของสหรฐอเมรกามาใชในการผลกดนการพฒนานโยบายความมนคงปลอดภยไซเบอรโดยใหภาคเอกชนไดมสวนรวมอกดวย

จากประสบการณของ Cisco ทไดชวย NIST ท ากรอบแนวปฏบตความมนคงปลอดภยไซเบอร จงไดใหค าแนะน าวาในภาพรวมของนโยบายการรกษาความมนคงปลอดภยไซเบอรระดบชาตนนม 6 องคประกอบ ไดแก (1) การอภบาล (Governance) (2) กฎหมายและระเบบบ (Laws and Regulations) (3) โครงสรางพนฐานส าคญ (Critical Infrastructure) (4) เครอขายของรฐ (Government Networks) (5) ศกยภาพของบคลากร (Human Capacity) และ (6) การบงคบตามกฎหมายและความมนคงปลอดภยทางไซเบอรของชาต (Law Enforcement and National Cybersecurity)

ขอมลผลการส ารวจทนาสนใจจาก Cisco พบวา งบประมาณดานสารสนเทศของหนวยงาน สวนมากประมาณรอยละ 75 ของงบประมาณทงหมดในดานสารสนเทศเปนคาใชจายในการบ ารงรกษาอปกรณและระบบซอฟตแวร อปกรณหรอระบบเหลานบางสวนมสวนประกอบของซอฟตแวรทผผลตหยดการแกไขปญหาชองโหวดานความมนคงปลอดภยแลว ซงถงแมวาระบบเหลานจะไดรบการดแลบ ารงรกษาจากผผลต แตยงมความเสยงทจะถก

13


โจมตกบชองโหวเหลานอย Cisco เหนวาหนวยงานเองจงจ าเปนวเคราะหถงความเสยงของระบบและอปกรณเหลาน และมมาตรการในการยกเลกหรอลดความเสยงทเกดจากอปกรณเหลานอยางจรงจง

สหรฐอเมรกามหนวยงานทดแลการขาวและความมนคงปลอดภยหลายหนวยงาน เชน CIA, NSA, FBI และอน ๆ รวมกวา 20 หนวยงานซงมการแบงขอบเขตความรบผดชอบ เชน เรองภายในประเทศ เรองภายนอกประเทศ และมตอน ๆ ในภายหลงจงพบวามความจ าเปนทจะตองมหนวยงานกลางทรวมขอมลการขาวทไดรวบรวมมาดวย อยาง Office of the Director of Intelligence

สหรฐอเมรกาออกกฎหมายในการบงคบใหหนวยงานของรฐ คสญญา และผใหบรการระบบสารสนเทศใหกบหนวยงานของรฐตาง ๆ ตองปฏบตตามมาตรการรกษาความมนคงปลอดภยของสารสนเทศของหนวยงานของรฐ (Federal Information Security Management Act หรอ FISMA) โดยมอบหมายใหสถาบนมาตรฐานและเทคโนโลยแหงชาต (National Institute of Standard and Technology หรอ NIST) เปนผพฒนากรอบแนวปฏบตรวมกบผเชยวชาญในจากภาคอตสาหกรรมดานเทคโนโลยในประเทศ

แนวปฏบตของ FISMA ใชหลกการประเมนและควบคมความเสยงกบสนทรพยสารสนเทศส าคญของหนวยงาน รวมถงก าหนดใหผบรหารเทคโนโลยสารสนเทศของหนวยงานของรฐมภาระหนาทตองรายงานสถานภาพการด าเนนการตามมาตรการรกษาความมนคงปลอดภยของสารสนเทศของหนวยงานเปนรายปใหกบส านกงบประมาณ ซงเจาหนาทของส านกงบประมาณจะใชขอมลจากหนวยงานในการจดเตรยมรายงานใหกบสภาCongress ตอไป ทาง Cisco เหนวา FISMA เปนเครองมอทางกฎหมายทส าคญทรฐบาลกลางใชในส ารวจและยกระดบความมนคงปลอดภยสารสนเทศของหนวยงานของรฐและเพมประสทธภาพในการใชงบประมาณของรฐในดานน ซ งส งผลให เกดการจดต ง โปรแกรม FedRAMP (Federal Risk and Authorization Management Program) ในการประเมนความเสยงและรบรองผใหบรการ Cloud ทด าเนนการโดยรฐบาลกลาง ซงจะลดความซ าซอนทจะเกดขนจากการด าเนนการตามมาตรการ FISMA ของหนวยงานของรฐตาง ๆ ได

Randy Jewell, Distinguished IT Engineer, Information Security อธบายมมมองความมนคงปลอดภยวา มจดศนยกลางทจะตองรวา Critical assets คออะไร มผทสนใจแบงเปนกกลม เชน National assets, Political, Insider, Criminal ในฐานะทเปนผรบผดชอบระบบเครอขายของ Cisco ใหความเหนเชนเดยวกบ Eric วา ดวยปรมาณขอมลทสงผานระบบเครอขายทตองตรวจสอบวเคราะหและประเมนความเสยง ปรมาณจ าเปนตองใชเครองมออตโนมตชวย ซง Cisco ใชซอฟตแวรวเคราะหขอมลขนาดใหญ (Splunk) มาเปนเวลากวา 10 ป และยกตวอยาง 95% ของอเมลทสงผานบรการอเมลของ Cisco ถก drop ดวยเหตผลทเมอตรวจสอบแลวพบวา มความเสยง และจากลกษณะการท างานแบบรวมศนยของระบบไอท Cisco ทตองใหบรการสาขาของ Cisco รวมถง partner ทอยทวโลกท าให Randy ตองมบคลากรชวยท างาน Frontline 50 คน และ Investigator 25 คน และอน ๆ โดยใชเครองมออตโนมตในการจดการเมอพบภยคกคาม

จากประสบการณของ Cisco ในการท างานรวมกบรฐบาลสหรฐในการพฒนากรอบแนวปฏบตดานความมนคงปลอดภยไซเบอร เปนประโยชนตอการพฒนานโยบายดานการรกษาความมนคงปลอดภยไซเบอรของประเทศไทย จงเหนควรจดกจกรรมรวมกน เชน

(1) การเชญผบรหารดานความมนคงปลอดภย Cisco รวมเปนคณะท างานจดท ารางนโยบาย/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอรประเทศไทย

(2) การน าแนวคดการใหภาคเอกชน/ภาคธรกจเขามามสวนรวมมาประยกตในการจดท ากรอบนโยบาย/แผน/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอรใหกบหนวยงานโครงสรางพนฐานส าคญของประเทศ

14


(3) การขยายความรวมมอของเครอขาย ThaiCERT กบ Cisco CSIRT ครอบคลมการรบมอและจดการภยคกคาม การแลกเปลยนขอมลภยคกคาม และการพฒนาทกษะของบคลากรของ ThaiCERT ในการวเคราะหภยคกคาม เปนตน

15


RSA Conference 2017 @ เมองซานฟรานซสโก สหรฐอเมรกา

RSA Conference เปนงานประชมประจ าปทเปนเวทเกาะตดเทรนด Cybersecurity โลก ทจดอยางตอเนองตงแตป 1977 โดยรปแบบงานแบงเปน 2 สวน คอ สวนสมมนาวชาการ (Cybersecurity, Biz, Policy, Law, Privacy) และ สวนนทรรศการสนคาดาน Cybersecurity (Expo) งานทมผเขารวมงานกวา 45,000 คน หลากหลาย background ( IT Geek, , Startup, Businessman, Policy maker, Lawyer, NGO, ผปกครอง , เยาวชน, นกเรยนนกศกษา) มารวมตวกนแลกเปลยนความคดเหน Trend ของ Security ซงสอคคลองกบแนวทาง “Where the world talks security”

RSA Conference แบงการสมมนาตาม Track กลมเรองตาง ๆ ซงแบงไดเปนกลมใหญ ดงน เรองฮอตของกลม Fintech & New Technologies ความกงวลเรอง Cloud security ทงการประเมนบรการ การตรวจสอบ และแนวทางการรบมอ

กบปรมาณขอมลทตองจดเกบจ านวนมหาศาล การพฒนาเทคโนโลยปญญาประดษฐ (AI) เปนเครองมอสนบสนนการวเคราะหภยคกคาม

ไซเบอร การน า Blockchain มาใชในยค Fintech กบแนวโนมภยคกคามรปแบบใหม การปรบปรง Cryptography ใหมความมนคงปลอดภยเพมขน Cryptographic protocols

และ Cryptographic สมยใหม

แวดวง Cyber Threats ไปถงไหน การโจมตจากอปกรณ IoT ใครตองรบผดชอบ รฐบาลหรอผผลตอปกรณ ? แนวทางการรบมอ Ransomware แนวโนมการโจมตลกษณะ State Sponsor การพดถง Stuxnet ทเปนจดเรมตนของการคกคาม

ทมาจากระดบรฐบาล การกอกวนผลการเลอกตงของสหรฐอเมรกาทมพดแทบทก session รปแบบอาชญากรรมไซเบอรท มงเปาหมายโจมตสถาบนการเงนโดยตรง เชน ATM และ

คอมพวเตอรทควบคมระบบ SWIFT

อพเดตกลม Laws & Privacy การตนตวของภาคธรกจในสหรฐอเมรกาอนมผลจากการออกกฎหมาย Privacy ของ EU “การ

รกษาขอมลสวนบคคล GDPR (General Data Protection Regulation)” ทใหผใหบรการแกประชากรใน EU ตองปรบเปลยนหลกเกณฑอยางไร

16


ธรกจของสหรฐอเมรกา เตรยมปรบปรงกรอบแนวทางการบรหารจดการความมนคงปลอดภยไซเบอร ทจดท าโดย National Institute of Standards and Technology (NIST) สหรฐอเมรกา รวมกบภาคเอกชน และใชงานมาแลวอยางไดผลมาหลายป เพอเพมแนวทางในการท า Benchmarking Keynotes การปาฐกถาพเศษในหวขอ “Planning for Chaos”

Dr. Zulfikar Ramzan, CTO RSA ไดกลาวปาฐกถาน าความสนใจของผเขารวมงานสมมนาใน Hall ดวย ค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย โดยยกตวอยาง Ripple ทเคยเกดขนแลวยงคงสงผลกระทบถงปจจบน นนคอ One Ripple Creates Multiple Ripples Ripple เ ร ม จ าก 40 ป ท แ ล ว จ าก รอน ร เ ว ส ต ( Ron Rivest), อา ด ชามร (Adi Shamir) และเลน เอเดลแมน (Len Adleman) จาก 1 Ripple จาก RSA Algorithm1 จนท าใหคนกวา 40,000 คนมารวมตวกนในงาน RSA เพอสราง Ripples Effect ในวนนซงจะสงผลกระทบถงวนในอนาคตขางหนา

เราไมตองวาดเสนแตตองวาดภาพความเชอมโยงความมนคงปลอดภยทใชขบเคลอนธรกจ (Don’t Draw Line but Draw Connection Business Driven Security) เพราะเราทกคนตางมหนาทในการปองกนการโจมตทางไซเบอร (Cyber Attack) ดงนน การเปลยนแปลงตาง ๆ ลวนเชอมโยงกนจนเกดเปน Butterfly Effect ทงการการเลอกตงประธานาธบดสหรฐอเมรกา การเรยงรอง/การเปลยนแปลงระบอบประชาธปไตยในหลายประเทศ ปญหาทเกดจากความวนวายทเกดขนจากการโจมต การเปลยนแปลงชวตทมผลจากภยพบตอยางเหตการณแผนดนไหวท Fukushima Nuclear ซงเปน Ripple ทท าใหเกดเหตการณรถ Toyota Nissan มราคาทสงขน โรคภยตามมา ตลอดจนดผลกระทบทางจตใจของประชาชน เปนตน ดงนน ทกคนจงควรสรางสรรคนวตกรรมเพอรองรบเหตการณตาง ๆ (Innovation invites exploitation) และตองตดตามดแล ทงตองสรางกลยทธความมนคงปลอดภยทใชเปนความมนคงปลอดภยขบเคลอน ธรกจ (Business Driven Security) โดยการท าตาม 3 ขนตอนเพอจดการความยงเหยง ดงน

(1) ปฏบตตอความเสยงอยางวทยาศาสตร ไมใชศาสตรมดแตอยางใดและการคาดการณเรองในอนาคตเปนสงทยาก (Treat Risk as a science not a dark art, Prediction is very difficult especially about the future by Neil Bohr)

(2) วาดภาพเชอมโยงสงทสามารถควบคมได (Simplify what you control) เพราะ Vendors ควบคมยากมากและอยาคดวาจะใชนโยบาย No Vendor Left Behind

(3) วางแผนเพอความยงเหยงทเราไมสามารถควบคมได (Plan for the chaos you can’t control)ท าการวางแผน Incident Response โดยอาศยทกปจจยทตองชวยกน เชน งบประมาณ ความรวมมอ ความพรอมใชงาน ความมอยของทรพยากร การสงเสรมสนบสนนการรวมมอกนด าเนนงาน

ดงนน อาจเหนไดวา ความยงเหยง (chaos) อาจสรางชวงเวลาทมหศจรรยกเปนได จงเปนค าถามทชวนคดทงทายไดกลบไปชวยกนคดหาค าตอบวา เราจะสราง Ripple ทสามารถเปลยนแปลงอะไรในโลกใบนไดหรอไม

1 RSA Algorithm – ทฤษฎเขารหสทใชในปจจบนโดยใชคคย

17


การปาฐกถาพเศษในหวขอ “Protecting and Defending against Cyberthreats in Uncertain Times” นาย Brad Smith, President of Microsoft ไดปาฐกถาถงวธการปกปองและตอสตอภยคกคามไซเบอร

(Cyberthreats) โดยชวนใหผเขารวมงานสมมนาใน Hall รวมกนคดตาม ดงน 1. ปญหาทเกดขนมกตองการทางออกใหม ๆ (A growing problem in need of new solutions)

มการคาดการณวาในป 2020 จะมการสญเสย 3 ลานลานเหรยญสหรฐ จาก cybersecurity การโจมตมการเปลยนแปลง โดยเปลยนจากโจมตระดบประเทศหรอ Nation State Attack เปลยนมาเปนระดบทใกลตว เชน Sony Attack เปนจดเปลยนของการโจมต เพอ freedom of speech

2. Cyberattack เปนสงคราวแบบใหม สนามรบไมไดเปนแบบทเราเขาใจอกตอไป โลกไซเบอรสามารถกลายเปนสมรภมรบไดตลอดเวลา ดงนน เราจงเปนพวกแรกทมหนาทเปนผรบมอ ทตองจดการกบสงครามนตงแตตน (the first responders)

“Cyberspace is US” พวกเราอยในไซเบอร ไซเบอรคอเรา ไมใชเฉพาะรฐบาล แตเปนของทกคน ทเปนเรองตางจากอดต ท าใหเกดการเปลยนแปลงใหทกคน เปน first responder ไมใชรฐบาลเทานน

3. เปลยนจากการปกปองราษฎรในเวลาสงครามเปนตองปกปองราษฎรในเวลาทโลกสงบสขดวย (From protection civilians in time of war to attacking civilian in time of peace)

ในทกบรษทจะมอยางนอย 1 คนในบรษท ทจะ click ทกสงบนหนาจอ ดงนน phishing email2 เลยยงไดผลเปนปญหาขององคกร ททางบรษท Microsoft ไดเขามาชวยโดยการหาขอมลใหมากทสด Microsoft จงไดท าการสแกนอเมล 2 แสนลานอเมลเพอหามลแวร และหาขอมลเพอทจะปองกนทกคนได

4. ขอมลจะเปนสวนทแขงแรงในการตอส (Data Strengthens our Defense) เพราะในการตอสรบมอกบภยคกคาม ขอมลเปนสงทจ าเปน จงตองม

(4.1) ทมศกษาขอมลทไดจาก cloud ของ Microsoft Review Data from Cloud Service (4.2) ทมไซเบอรทจะหาทางแกปญหา Cyber Defense Data Center (4.3) ทมทจะท างานรวมกบหนวยงานกฎหมาย work with law enforcement 5. การใชกฎหมายเพอขดขวางการโจมตรฐ (Using law to disrupt nation state attacks)

ไมโครซอฟต มการท างานรวมกบ ฝายบงคบใชกฎหมาย (Law Enforcement) ทท าใหการโอนโดเมน (domain) ทมปญหามาใสฐานขอมลของ Microsoft เพอศกษาขอมล

6. เรายงหางไกลจากการประกาศชนะสงคราม (We are far away from declaring victory) ดงนน พวกเราตองการใหรฐบาลท างานรวมกน เชนกรณ Geneva Convention3 ทลงนามไปเมอวนท

12 สงหาคม 1949 ทรฐบาลมารวมตวกนเพอปองกนประชาชนในชวงสงคราม แตตอนนเปนการปองกนในชวงโจมตในเวลาสงบสข (Attack in Time of Peace) ดงนน พวกเราจ าเปนตองมการเวอรชนใหมทเปน Digital Geneva Convention Version เพอใหรฐบาลท างานรวมกนได 2 Phishing email - ฟชชงอเมล 3 Geneva Convention – สนธสญญาเจนวา

18


Tracks Ransomware

ปจจบนน ปญหา Ransomware4 เปนปญหาทพบไดทวไป และมผลกระทบอยางแพรหลาย โปรแกรม Ransomware จะท าการเขารหสไฟลของผใชงานและสงใบเรยกเงนเพอแลกกบการถอดรหสไฟลนนๆ โดยการแพรระบาดของโปรแกรม Ransomware เกดขนไดทงในสวนของคอมพวเตอรสวนบคคล และเซรฟเวอร โดยทวไปนนการจดการปญหาเกยวกบ Ransomware ใชเวลาประมาณ 3 วนท าการ วธการโดยทวไปในการจดการ Ransomware ท าไดโดย 1) ท า Backup ไฟล เปนประจ า 2) ท าตามขอก าหนด Cyber Hygiene5

ในหลายกรณมการจายเงนเรยกคาไถ จากโปรแกรม Ransomware โดยพจารณาถงความเรงดวน และกรอบระยะเวลาในการแกปญหา โดยควบคไปกบการเจรจาตอรองในเรองของ ราคา ระยะเวลาในการจายเงน เพอแสวงหาขอมลทท าการ Backup ไว ในบางกรณมการเจรจาใหลองถอดรหสไฟลใหดกอน เพอใหแนใจวาภายหลงการจายเงนไฟลดงกลาวจะถกกคนกลบมาใชงานได ภายหลงการกคนระบบแลว มความจ าเปนตองเรมตนตดตงและอพเดทขอมลและซอฟตแวร และระบบปฏบตการใหมทงหมดเพอปองกนไมไดการตด ransomware แบบเดมเกดขนไดอก นอกจากน การหาขอมลในอนเทอรเนต หรอกลมทรวมตวกนเพอแกปญหากอาจชวยในการคนไฟลทตด ransomware ได

ในปจจบนพบวาคาใชจ ายส าหรบ Ransomware มต งแต 2,000 $ - 20 ลาน$ โดยการจดการ Ransomware ในธรกจขนาดเลก และ ธรกจขนาดใหญกจะมความแตกตางกน การลงทนทางดานความมนคงปลอดภยไซเบอรขยายตวขนอยางมาก โดยอยในรปแบบของ โครงสรางพนฐาน และ สญญาทปรกษาสวนบคคล เพอจดการเกยวกบปญหา Ransomware ทไดกลาวมาขางตน

ธรกจทไดรบผลกระทบมากทสดในปจจบนคอ ธรกจทางการแพทยโดยขอมล เชน ขอมลคนไข ขอมลตารางนด เปนตน โดยโปรแกรม Ransomware จะท าการเขารหสฐานขอมลทจ าเปนในการใชงาน อยางไรกตามมธรกจทเกยวของกบการจดการ Ransomware คอ ธรกจประกนภยคกคามทางไซเบอรโดย ธรกจนอาจครอบคลมถง คาใชจายในการเรยกคาไถไฟล และ คาความเสยหายทเกดจากการกคนระบบ เปนตน

อนาคตของ Ransomware คาดวาจะยงมอย และขยายความรนแรงขนเนองจาก อาชญากรหารายไดงาย และการจบกมยาก โดยในปจจบนมเครองมอในการผลต Ransomware ส าหรบมอใหญซงไมไดใชทกษะชนสงแตอยางได และท าใหงายในการผลต Ransomware สายพนธใหมๆ ในบทบาทของภาครฐ และผบงคบใชกฎหมายสามารถท าไดโดยการดเสนทางการเงนของอาชญากร ทงนตองอาศยความรวมมอจากการรายงานของทกภาคสวนเพอชวยกนสบหาตวผกระท าความผด ในมมของ CERT6 กควรจะมการใหความรกบคนในองคกรเพอใหมความเขาใจเกยวกบ Ransomware และกระบวนการแพรระบาด อกทงควรมการปรบปรงซอฟตแวรตาง ๆ ใหทนสมยอยเสมอ เชน เวบบราวเซอร โปรแกรมปลกอน 7 ตาง ๆ เปนตน

ในปจจบนการจดการกบ Ransomware ท เปนปญหาททกคนรบร ไดและเกดขน ไดกบทกคน Ransomware งายทจะรบร เพราะจะไดรบการตดตอมาโดยตรงจากผไมประสงคดไมตองคนหา ค าถามคอ ถาเจอปญหา Ransomware จะจายเงนมย และ จะจายตอนไหนด ค าตอบทเหมาะสมขนอยกบวา บคคลหรอองคกร มระบบ Backup ขอมล และ สามารถท าใหระบบท างานไดภายในระยะเวลาทก าหนดไดหรอไม หากไมมการรบมอท

4 Ransomware – โปรแกรมไมพงประสงคทท าการเขารหสขอมลและไมยอมถอดรหสใหเพอแลกกบคาไถ 5 Cyber Hygiene – วธปฏบตเพอท าใหเกดความมนคงปลอดภยทางไซเบอรของบคคล 6 CERT - ศนยตอบสนองภยคกคามทางไซเบอรขององคการ (Computer Emergency Response Team) 7 ปลกอน – โปรแกรมประยกตขนาดเลกชวยสนบสนนการท างานของโปรแกรมหลก

19


เหมาะสม การจายเงนเปนทางออกทดทสด โดยทผานมามการกอเหต Ransomware กบโรงพยาบาล รถไฟสาธารณะ ทท าใหประชาชนเดอดรอน และท าใหตองหาทางแกไขสถานการณในระยะเวลาทเรงดวน ดงนน การแกปญหาเพอกคนระบบอาจไมใชทางออกเดยว ดงนน จงมการใหบรการประกนภยแบบใหม หรอ Cyber insurance ทเปนทางออก ขนานไปกบการตอรองเวลาทใชและโฟกสทควรท าไปพรอมกน คอ การท า backup และดแลระบบเพอปองกนไมใหเกดการโจมต และ ตกอย ในสถานการณดงกลาวอก ในป 2017 ปญหา Ransomware คาดวาจะยงเปนปญหาส าคญอย เพราะท าแลวส าเรจ Ransomware เรมมการเปลยนแปลงจาก hijack data เปน lock down operation เชน กรณ Austrian Hotel ใหเปดประตหองไมได และคาดวาจะมเหตการณเพมขนในสวนของ Open source ดงนน ควรเตรยม Email Server DNS ใหพรอมในการจดการ เพอกคนขอมลและรบมอกบสถานการณได IoT Adversaries

โลกปจจบนเปนโลกทอปกรณตาง ๆ เชอมตอกบอนเทอรเนต และอปกรณเปนชองโหวได อปกรณทขายผานหนาเวบ ebay เชน router ทเปนของโหว และ ยงขายอยตอไป มตวอยางทสามารถเขาไปดการเขยนโปรแกรมทใส username และ password เปน hard code และหากใครททราบชองโหวน สามารถโจมตและยดครองการเชอมตอเครองใชงานตางๆในบานได ในป 2020 มการคาดการณวาจะมอปกรณ IoT 50 Billions Units ดงนนหากมชองโหวในอปกรณเหลาน แมเพยงแค 1% ยงเปนเรองทนากลวและตองรวมมอในการสอสารเพอใหเกดการแกไข Achieving and Measuring Success with the Security Awareness Maturity Model

Lab เปนการเขารวมกจกรรมทเปนกลมยอย กลมละ 5 คนเพอใหความเหนรวมกนตามทวทยากรออกแบบ คอการท าความเขาใจวา security awareness การสรางความตระหนก คอ การสรางความเปลยนแปลงทางพฤตกรรมของพนกงานในองคกร 18 ความเสยง และม 9 ความเสยง เทานนทจะสอนได จะมการคดเลอกไดอยางไร Security investigative journalist speaker out share insights on the 2016 cybersecurity headlines and a look ahead of the threat landscape in 2017

นกขาวในสาย Cybersecurity จากนตยสาร Wired หนงสอพมพ New York Times สอ Reuters และ The Daily Beast รวมอภปรายประสบการณในเรองการท าขาวดาน Cybersecurity ในปทผานมาวา มแนวโนมของขาวดาน Cybersecurity ในลกษณะเกยวของกบการโจมตทางไซเบอรในระหวางประเทศเพมขนตงแตหลงเหตการณเผยแพรขอมลของ Edward Snowden การโจมตทางไซเบอรถกใชเปนเครองมอในการโจรกรรมขอมลในกจกรรมในระดบประเทศหลายเหตการณ หรอพบวามความพยายามในการเชอมโยงการโจมตทางไซเบอรใหเปนการโจมตทไดรบการสนบสนนจากประเทศตางๆมากขน เชน เหตการณเลอกตงในสหรฐอเมรกาในชวงปลายปทผานมา ผเขารวมอภปรายใหทศนะวา แมวาขาวจะเปนเรองทเกยวของกบ Cyberspace แตการรวบรวมขาวสารจากแหลงขาว ยงคงเปนในลกษณะเดม โดยสอจะพบและพดคยกบแหลงขาวโดยตรง

นอกจากนน ยงพบการเพมขนของขาวลอมากขน ซงหลายครงพบความผดพลาดในการตรวจสอบขาวสารกอนเผยแพรของสอรายใหญหลายราย นกขาวจ าเปนตองตรวจสอบความแมนย าของขาวจากแหลงขาวตางๆ กอนเผยแพรมากขน

20


นกขาวสายขาวดาน Cybersecurity เหลานมกจะตกเปนเปาหมายในการโจมตทางไซเบอรอยบอยครง ซงนกขาวสวนใหญจะมความตระหนกถงรปแบบภยคกคามทางไซเบอรทมอยในปจจบน และสามารถดแลเครองมอและอปกรณทตนเองใชงานอยไดเบองตน

สวนแนวโนมขาว Cybersecurity ของป 2017 ไมมผรวมอภปรายใหความเหนวาหรอคาดการณในอนาคต เนองจากเปนรปแบบการท างานของนกขาวมกจะไมเปดเผยขาวหรอเรองทก าลงจดเตรยมอยกอนทจะเผยแพร

ในชวงซกถาม ผฟงหลายทานตงค าถามถงความนาเชอถอของการขาวการโจมตทางไซเบอรทเปน State Sponsor ทเกดขนในชวงทผานมา เชน ขาวทสหภาพการเลอกตงของสหรฐอเมรกา การพบวา Ransomware บางชนดมชดค าสงทคลายกบมลแวรทเชอวาเปนการโจมตของเกาหลเหนอ เปนตน ซงผอภปรายสวนใหญไมไดชชดวาเปนไปตามขาวทมการเผยแพรหรอไม What is needed in the next generation cloud trusted platform?

ขอเทจจรง คอ ผใชงานอนเทอรเนตมแนวโนมทจะใชบรการ Cloud สงมากขน โดยเฉพาะการเพมขนของหนวยงานหรอองคกรตาง ๆ ทเรมยายบรการจากระบบหรอเครองบรการของตนเอง ไปบนระบบ Cloud ของผใหบรการสาธารณะมากขน ซงสอดคลองแนวโนมท Google ไดคาดการณไววาบรการในอนาคตจะอยในรปแบบ Cloud ในรปแบบใดรปแบบหนง ดวยเหตน Google จงใหความส าคญในเรองการรกษาความมนคงปลอดภยของบรการ Cloud (Cloud Trusted Platform) โดยจดแบงโครงสรางบรการ Cloudไดเปน 9 ชน (Layer) จากชนลางสดคอ ระดบฮารดแวรของระบบคอมพวเตอร จนถงชนบนสด คอระดบผใชงาน (Users)

ความนาเชอถอของบรการ Cloud จ าเปนตองมการรกษาความมนคงปลอดภยในทกชน ผบรรยายจาก

Google น าเสนอหลกการการรกษาความมนคงปลอดภยของบรการในแตละชน เชน ในสวนของฮารดแวร ใหออกแบบในลกษณะ Trusted Hardware Stack ใชงานสวนประกอบตาง ๆ ทผานการตรวจสอบมาวาไมมจดออนหรอมชองทางลบใหผประสงครายสามารถเขาถงได มการตรวจถงความครบถวนสมบรณ ( Integrity) ของ Firmware กอนจะมการเรยกใชงาน และมเฝาระวงและตรวจสอบการท างานของอปกรณทงไดถงในระดบ Chip เพอใหแนใจวาไมมการท างานใด ๆ ทเกดกวารปแบบทไดออกแบบไว

ตอไปเปนสวนของ Boot Layer เปนการเรยกค าสงเพอเรมระบบปฏบตการ (โดยจะมสวนของ Storage และ Network รวมอยในชนนดวย) ยงคงใชหลกการพจารณาวาตองมการรกษาความมนคงปลอดภยใหกบ OS โดยตงสมมตฐานวา ชน Hardware หรอ Virtual Machine เปนชนทเชอถอไมได ดงนนเพอลดความเสยงในชนระบบ

21


ปฏบต การเรยกใชซอฟตแวรภายใตระบบปฏบตการส าหรบการตดตอกบสวนประกอบฮารดแวรตาง ๆ ตองเปนซอฟตแวรเฉพาะทผานการตรวจสอบ เปนทรจก และเทาทจ าเปน ใหท าการตรวจสอบสวนประกอบตาง ๆ ภายในระบบปฏบตการดวยเทคนค fuzzing (สงขอมลสมเขาไปในซอฟตแวรเพอหาจดออนของซอฟตแวร) และจ าเปนตองด าเนนการวเคราะหปญหาทเกดขนเมอพบวามการท างานผดพลาดและสวนประกอบหรอระบบปฏบตการหยดการท างานกระทนหน (Crash) เนองจากขอผดพลาดเหลานสวนหนงอาจจะเกดจากชองโหวทยงไมถกคนพบ

สวนของแอปพลเคชน ซงผบรรยายใหความเหนวา นกพฒนาจ าเปนตองมกลไกในการตรวจสอบความนาเชอถอและความครบถวนสมบรณของชดค าสงของซอฟตแวร ซงเทคนคทเปนทนยมและมระดบความนาเชอถอสง คอการใชเทคนคการเขารหสลบขอมลในการท า Code Signing โดยชดค าสงทผานการตรวจสอบและยนยนความครบถวนสมบรณเทานนทจะถกเรยกและท างาน นอกเหนอจากนนยงตองมการตรวจสอบสทธในการเขาถงขอมลของแอปพลเคชนและผใชงานตามนโยบายทก าหนดไว เพอใหแนใจวาแอปพลเคชนท างานอยางถกตอง ผบรรยายไดเสนอแนะการรกษาความมนคงปลอดภยในชนแอปพลเคชนนในหลกการคลายกบชนระดบปฏบตการ คอ ผพฒนาตองหมนตรวจสอบชดค าสงอยางสม าเสมอเพอตรวจสอบชองโหวของแอปพลเคชน ชดค าสงจะถกเรยกและท างานเมอผานเปนชดค าสงทนาเชอถอ และใหมกระบวนการในการเฝาระวงการท างานผดพลาดแอปพลเคชนและวเคราะหหาสาเหตเพอแกไขจดออนและปรบปรงความมนคงปลอดภยของแอปพลเคชน

การสราง Trusted Cloud Platform ยงคงเปนหวขอทมผผลตเสนอกลไกในการสรางบรการ Cloud ใหมความนาเชอถอไดมากขนใน Application Stack เชน บรษท Intel เสนอใหใช Intel SGX (Software Guard Extensions) ฮารดแวรทมชดค าสงพเศษส าหรบแอปพลเคชนในการท างานภายใตพนทหนวยความจ าพเศษเพอปองกนแอปพลเคชนทมสทธทสงกวาในการเขาถงขอมลในหนวยความจ าพเศษน หรอ บรษท AMD เสนอ Secure Encrypted Virtualization โดยใหท าการเขารหสลบพนทขอมลของแอปพลเคชนของผใชงานเพอปองกนการเขาถงจากแอปพลเคชนอนทมสทธสงกวา ซงทงสองรปแบบยงไมไดรบการรบรองใหเปนกลไกมาตรฐานในการสรางความนาเชอถอในปจจบน

ประเดนสดทายทผบรรยายไดสรปไวในการบรรยายการสรางบรการบนคลาวดใหมความนาเชอถอ ประกอบดวย 4 ประการคอ

1. การตรวจสอบ (Eaxmine) ความมนคงปลอดภยในมมของฮารดแวรและซอฟตแวรของบรการ Cloud 2. การสราง (Establish) กลไกในการรกษาความมนคงปลอดภยใหกบบรการ Cloud โดยใหพจารณาใน

รปแบบ end-to-end จากขอมลในบรการ Cloud ถงอปกรณตางทเกยวของ 3. การส ารวจ (Explore) เทคนคในการพฒนาแอปพลเคชนทท างานภายใต Sandbox ซงสามารถควบคม

การตดตอระหวางแอปพลเคชนกบระบบปฏบตการของเครองได รวมถงเทคนคในการแยกการเรยกและสงงานของแอปพลเคชนออกจากชดค าสงของฮารดแวร

4. การยนยนผล (Ensure) บรการคลาวดสามารถใหบรการไดอยางสอดคลองกบนโยบายความมนคงปลอดภยของขอมลทระบไวและมการเฝาระวงและตรวจสอบการท างานอยเสมอ

Two Bytes to $951 m—Collaborate to Defend

ผเชยวชาญดานการวเคราะหภยคกคาม บรษท BAE และหวหนาทมวเคราะหและเจาะระบบ (Red Team) ขององคกร SWIFT น าเสนอกรณทมลแวรโจมตเครองคอมพวเตอรของ ธนาคารกลางของประเทศบงคลาเทศ ทเชอมตอกบระบบ SWIFT และท าการโจรกรรมเงนเปนจ านวน 81 ลานเหรยญ โดยสรปสาระส าคญจากการบรรยายดงน

22


การโจรกรรมเงนจากบญชธนาคารกลางของประเทศบงคลาเทศ เปนการโจมตทมการเตรยมการมาเปนอยางด และเลอกเครองมอและเวลาในการด าเนนการในชวงเวลาวนหยดของประเทศบงคลาเทศ และวนหยดยาวของประเทศฟลปปนส โดยบญชทใชในการรบโอนเงนทเปดไวทประเทศฟลปปนสถกเปดไวเปนระยะเวลา 9 เดอนกอนการโจมต

มลแวรทใชในการโจมตเครองคอมพวเตอรทบงคลาเทศ นกวเคราะหของ BAE พบวามสวนของชดค าสงเหมอนกบมลแวรทโจมต Sony Picture Entertainment ทเชอวามาจากประเทศเกาหลเหนอ และคนรายเขาใจหลกการท างานของ SWIFT software เปนอยางด รวมถงทราบวารปแบบการการท างานของธนาคารกลางของประเทศบงคลาเทศในการใชงานระบบ SWIFT เชน ทราบวาเมอมการท ารายการผานระบบ SWIFT แลวเครองจะท าการพมพเพอยนยนค าสงออกมายงเครองพมพ ซงคนรายไดพฒนามลแวรเพอระงบการสงพมพไปยงเครองพมพได8

คนรายสงการใหมลแวรท าการโอนเงนในบญชของธนาคารกลางของประเทศบงคลาเทศจากธนาคารกลางกของสหรฐอเมรกาทมหานครนวยอร กวา 30 ครง มลคารวม ระเทศศรลานเหรยญสหรฐอเมรกา โอนเงนไปป

ลงกาและประเทศฟลปปนส มค าสงโอนเงนด าเนนการส าเรจไปจ านวน 5 รายการไปทประเทศฟลปปนส และค าสงระงบด าเนนการ โดยเงนถกโอนเขาบญชทประเทศฟลปปนสถกคนรายขนเงนสดในโอนเงนทเหลอถก Casio ใน

ประเทศฟลปปนส มลแวรถก Upload ขนบรการวเคราะหมลแวรจากผใชงาน ซงเชอวาเปนผทมสวนเกยวของในการ

วเคราะหการโจมตจากบงคลาเทศ ซง SWIFT ยนยนวาระบบของ SWIFT ทใชในการโอนเงนระหวางประเทศ ไมไดถกเจาะระบบแตอยางไร ส าหรบในกรณนมสาเหตเกดจากเครองคอมพวเตอรของธนาคารกลางในประเทศบงคลาเทศตดมลแวร แตยงไมไดมการเปดเผยวาเครองคอมพวเตอรนตดมลแวรไดอยางไร องคกร SWIFT ตระหนกถงภยคกคามทอาจจะเกดกบเครองคอมพวเตอรของสถาบนการเงนทตอเชอมกบ

เครอขาย SWIFT จงไดออกโครงการ SWIFT CSP (Customer Security Program Framework) เพอเปนยกระดบดแลและรกษาความมนคงปลอดภยใหกบเครองคอมพวเตอรทเชอมตอกบเครอขาย SWIFT ของสมาชก9 Updating Surveillance Law on Government Access to Your Online Data

กฎหมายทอนญาตใหหนวยงานภาครฐเขาถงขอมลสวนบคคลออนไลนเปนประเดนส าคญทจะมการหารอกนในรปแบบเสวนารวมกบวทยากรรบเชญซงมาจากภาคเอกชน อาจารยมหาวทยาลย ซงมประสบการณเกยวกบการใชอ านาจของรฐเพอใหไดมาซงขอมลสวนบคคลทอยในโลกออนไลน สหรฐอเมรกามหลายหนวยงานทเปนหนวยงานดานการขาวทจะมสวนเกยวของกบการขอขอมลผใชงานอนเทอรเนตสองประเภทคอ (๑) หนวยงานทปฏบตงานภายในประเทศเชน FBI ซงจะขอขอมลของผใชงานทอยภายในประเทศ (ชาวอเมรกน) และ(๒) หนวยงานทปฏบตงานตางประเทศเชน CIA ซงจะขอขอมลชาวตางชาต ขอมลทรองขอแบงออกไดเปนสองลกษณะคอ (๑) ขอมลอเลกทรอนกสทผใหบรการจดเกบไวเปน log และ (๒) การแอบดกรบขอมลทอยระหวางการสอสาร ปจจบนยงมหลายขอกงวลเชน การขอตดตามขอมลอยตลอดเวลา (tracking) ซงไมไดเปนการขอขอมลทจดเกบไวแลวในรปแบบอเลกทรอนกสทวไป หรอการขอขอมลอเมลทมโอกาสทจะกระทบกบสทธของบคคลอนทก าลงสอสารกบผ

8 ดรายละเอยดเพมเตมไดท Customer Malware บงคลาเทศ upload malware ใน public analysis http://baesystemsai.blogspot.com/ 2016/04/ two-bytes-to-951m.html 9 ดรายละเอยดเพมเตมไดท https://www.SWIFT.com/mySWIFT/customer-security-programme-csp_

https://www.swift.com/myswift/customer-security-programme-csp_

23


ตองสงสย รวมทงอาจกระทบสทธประชาชนชาวอเมรกนดวยซงตามรฐธรรมนญจะตองไดรบการปกปองความเปนสวนตว จากประสบการณเคยมกรณผใหบรการปฏเสธการสงขอมลของลกคาจนกวาจะไดรบหมายศาลอยางเปนทางการ เชน Google ไมยนยอมด าเนนการจนกวาจะไดหมายศาล อางวามความจ าเปนตองขอใหมหมายศาลเพราะไมสามารถบอกไดวาการสงขอมลอเมลของผตองสงสยจะกระทบตอสทธของชาวอเมรกนทอาจจะสอสารกบผตองสงสยหรอไม และผทไดรบการรองขอมกจะถามวาจะสามารถตรวจสอบไดอยางไรวาค ารองขอนนมาจากหนวยงานรกษากฎหมายจรง ๆ และขอใหมชองทางสอสารเพอท าความเขาใจกบหนวยงานรกษากฎหมายทรองขอขอมลเพอความชดเจนในการเตรยมขอมล

ในอนาคตการขอขอมลออนไลนจะมผลกระทบกบทงผใหบรการและผทใชบรการ กฎหมายในปจจบนยงไมชดเจนในเรองของขอมลทผใหบรการจดเกบในประเทศทสาม ใครคอผทมอ านาจเขาถงขอมลเหลานน หากศาลในอเมรกาสงใหบรษททจดทะเบยนในอเมรกาสงมอบขอมลทบรษทนนไดจดเกบไวในตางประเทศจะมแนวปฏบตอยางไร ตองยดกฎหมายของประเทศใดในการด าเนนการ เปนตน ทผานมายงไมมกฎหมายนานาชาตทใชบงคบใหผใหบรการปฏบต ชองทางอนทสามารถท าไดคอ Mutual Legal Assistance Treaty (MLAT10) ผานของทางการทต หรออกชองทางคอ Bilateral Agreement ระหวางสองประเทศทมระดบความเขมขนของกฎหมายใกลเคยงกน ในอนาคตหากนานาชาตยงไมสามารถแกปญหาการขอขอมลขามประเทศ กอาจจะตองเตรยมตวรบมอกบแนวคดใหมเชน จนทจะออกกฎหมายอนญาตใหดงขอมลทจดเกบไวในตางประเทศไดเอง และในอนาคตเมอกลายเปนยคดจทลอยางสมบรณ ขอมลทจดเกบซงเขาขายขอมลสวนบคคลกจะมมากขนตามไปดวย จากเดมทหนวยงานรกษากฎหมายสามารถรองขอขอมลทมลกษณะเปน Transactional records เทานน แตปจจบนอปกรณตาง ๆ มการจดเกบขอมลอน ๆ อกมาก เชน อณหภมหอง มใครอยบาน เปดไฟกโมง เปนตน ทไมชากคงจะมการขอขอมลดงกลาวเพมขนอก ซงขอมลเหลานถอวาเปนขอมลสวนตวทไดรบการคมครองโดยรฐธรรมนญของสหรฐอเมรกาหรอไม ดงนนขอมลหลาย ๆ ประเภทนยงไมชดเจนวากฎหมายก าหนดไวอยางไร ผใหบรการอาจจะถกฟองรองไดหากมอบขอมลสวนตวเหลาน ประสบการณของสหรฐอเมรกาเปนตวอยางทประเทศไทยจะตองเตรยมตวไวดวยเพราะเราเปนประเทศทมผบรโภคบรการออนไลนจ านวนมาก มการจดเกบและแชรขอมลสวนบคคลออนไลนกวางขวาง EU DATA Privacy: what US Orgs need to do now to prepare for the GDPR

General Data Protection Regulation หรอ GDPR (Regulation (EU) 2016/679) เปนระเบยบระดบกฎหมาย (regulation) ทยโรปตองการใหมกฎเกณฑทคมครองขอมลสวนบคคลทเขมแขงและเปนหนงเดยว ส าหรบปจเจกชน ทอยภายในสหภาพยโรป

GDPR ส าคญ เพราะวาตองการทงความเขาใจจาก IT และ security capability ใหม ซงหมายถงคาใชจายทเพมขนเพอจดการความเสยงทไมสามารถโอนได ลองนกเหตการณทภาคธรกจไมสามารถโอนขอมลสวนบคคลเนองจากไมสามารถท าตามกฎหมาย GDPR นได หากท าไมไดกเสยงตอเสยชอ ผดกฎหมาย ถกปรบ ถกฟองรองได

EU สนใจเรอง data privacy มากเพราะ EU มอง data privacy วาเปน Human right, Fundamental Human right คดโยงไปกบตอนสงครามโลกสอง

GDPR นผานเมอเดอนพฤษภาคมป 2016 และจะมผลใชบงคบทวทง EU ใน เดอนพฤษภาคมป 2018 เกยวของกบ “personal data” ดงนน หนวยงานตองท าความเขาใจวา personal data across the organization

10 MLAT - ความรวมมอทางอาญาระหวางประเทศ

24


ใหคดนยามท “any data that interpreted identify and identify individually” เชน IP Address ถอวาเปน Personal Data หรอไม นอกจากน GDPR Article 32 เปนขอทส าคญทเกยวกบ security ทตองใหความส าคญ

Requirement for GDPR มดงน 1. Territorial scope อาณาเขตทใชบงคบส าหรบ GDPR 2. Explicit consent ตองใหความยนยอมอยางชดแจงการทจะให คลก ตองใหชดเจนขน เชนน เปน ,

ประเดนทนาสนใจ เกดขนแนนอน ไมมใครทตองการท าผดแตวาตองใหเจาของขอมล 3. Age gate ต ากวา 16 ปไมสามารถใหความยนยอมได ดงนน ตองมผปกครองใหความยนยอมดวย

คลาย)COPPA ของ อเมรกา) 4. Individual rights สทธขอให เปลยนแปลงขอมลสวนบคคลของเราได ถาไมถกตอง right tobe

forgotten 5. Data portability เปนสงใหมทเกดขนดวย ทสามารถขอให เอาขอมลสวนบคคลของเราทอยหลายท

รวมไปอยอกทหนง 6. Breach Notification ทตองท าภายใน 72 ชวโมง ทตองท าการแจงหากมเหตการณ data breachเมอ)

เทยบกบหลกเกณฑน ส าหรบบรษทของอเมรกามอยแลว GDPR มความหมายตอ security and IT เพราะ มหลกเกณฑเกยวกบ Data breach การปฏบตเมอเกด

เหตการณขอมลสวนบคคลรวไหล ซงเปนสงทบรษทในอเมรกาท าอยแลว แตวาสงทตองเตรยมคอ การท าแผนรองรบเมอเกดเหตการณ )incident response plan) นอกจากน GDPR Article 32, 35 เปนขอทส าคญทเกยวกบ security ทตองใหความส าคญ

หากเราใชบรการ Service provider, cloud ทเกบขอมลสวนบคคลของลกคาของเรา เหลาน เรากตอง รบผดชอบดวย แนะน าวา ใหองคกร ควบคม key ทคสวบคมขอมล นอกจากนมระบบทดสอบเพอใหองคกรมนใจไดวาด าเนนการตามกฎหมาย )Testing : GDPR) มใหทดลองระบบของหนวยงานดวย โดยมขอ concern เกยวกบ privacy by design, conclusion เปนเรอง high risk ทตองคยกบ privacy authority ไมใชแคการออกแบบเทานน อยางไรกตาม สงดของ GDPR กม เชน การใหความยดหยนในบางเรอง เชนกน

สวนประเดนการท าตามกฎ Right to be forgotten เมอเทยบกบ Google ทตองรบเรอง 600,000 requests ทสงเรองไปท Google เชนน บรษทอยางเรากอาจไดรบ request แบบนเชนกน แลวจะท าอยางไรตอไป เชนนตองเตรยมพรอมและม แผนรองรบ เพราะวา เรองเหลานไมสามารถหนได เนองจากเปนกฎหมาย แนวคด ของ Right to be forgotten ในกรณองคกรไดรบ request หากลกจางขอให ลบออก เชนน จะท าไดอยางไร ในเมอ องคกรตองค านง เพราะ GDPR เกยวของกบ Data processor – accountability ในขอมลดวย

ดงนน หนวยงานตองเขาใจเรอง personal data flow ทงในหนวยงานเอง และระหวางหนวยงานกบหนวยงานอนทเราใชบรการดวย องคกรตองอยาลมทจะพจารณา “EU citizen” ดวย ระบระบบทใชงาน, พฒนา ,ประเมนมาตรการดานความมนคงปลอดภยทเหมาะสม พฒนาและปรบใขงาน

ตวอยาง Data Security and Privacy Best Practice 1. ตองหา “ขอมลสวนบคคล” “ขอมลทเปน sensitive data” ในองคกรมอะไรบาง 2. เมอรแลว ควรใช risk management ในการปกปองขอมลนน เพราะถอเปนสนทรยพอนมคาขององคกร

25


3. “หมกลองหน” เครองมอทใชในการปองกนขอมลสวนบคคล โดยเทยบกบเทคโนโลยทใชงาน data obfuscation terminology เชน การท า masking, การท า redaction (การใส *** เลขบางตว), การใช tokenization หรอ การท า encryption เปนตน

4. เนองจากเรอง “ขอมล” เปนเรองทมความส าคญและเกยวพนกบหลายสวนงาน ดงนน ในการท างานภายในองคกร จงตองท างานรวมกนอยางใกลชดทงกบแผนกกฎหมาย แผนก IT Security และ แผนกทดแล Privacy โดยเฉพาะ

5. Keep score องคกรทมระบบปกปองขอมลส าเรจ มการก าหนดชดเจนทใหผบรหารก าหนดนโยบายและแนวทางทชดเจน เพอใหมการท า privacy compliance และมการใชเครองมอทชวยในการท างาน เชน risk dashboard

6. คนทเกยวของตองมจรยธรรม (ethics, moral principle) 7. Data privacy scouts : การท า security intelligence ซงรวม incident response

Cybersecurity – It’s a Small-Town Problem

ภยคกคามความมนคงปลอดภยสงผลกระทบโดยตรงตอภาคธรกจและหนวยงานภาครฐทกขนาด ในขณะทภาครฐมกจะมเครองมอ บคลากร และเงนทนสนบสนนไมเพยงพอทจะสามารถรบมอกบภยคกคามไดดวยตนเอง วนนวทยากรจะแชรความคดเหนแนวทางในการรบมอกบภยคกคามไซเบอร ซงแบงเปนสองประเดน ประเดนแรกคอภยคกคามไซเบอรในมมมองของผทไดรบผลกระทบจะเหมอนกนไมวาจะเปนใคร ประเดนทสองคอระดบความพรอมของทรพยากรทจะใชในการรบมอกบภยคกคามดงกลาว การเตรยมรบมอไมใชแคการแกปญหาเฉพาะหนา แตรวมถงการวางแผนระยะยาว เชน การเตรยมความพรอมของบคลากรในอนาคต การสรา งความตระหนกใหแกประชาชน และการบรหารจดการหนวยงานทมระดบความพรอมทแตกตางกน

รฐเวอรจเนยใหความส าคญ จดตงคณะกรรมการพจารณาเรองความมนคงปลอดภยและจดใหเปนความส าคญกบปญหาภยคกคามไซเบอรในระดบทสงมาก ไดมการด าเนนกจกรรมตอเนอง เชน การก าหนดแผน ๕ ป และการออกเอกสารค าแนะน าของรฐ และ Governor กไดบอกไวแลววาความมนคงไซเบอรมความส าคญมาก การวางแผนมความส าคญมากเพราเราไมตองการทจะอยในโมดรบมอภยคกคามเชงรบอยตลอดเวลา เพราะเราไมมแผนรบมอและแผนเชงรก โดยทรฐเวอรจเนยไดปฏบตตาม NIST Framework ทเปนกรอบมาตรฐานทหนวยงานใชอางองและวางแผนใหสอดคลองกน และสามารถวดความพรอมของแตละหนวยงาน/แตละรฐเปรยบเทยบกน เพอใหสามารถวางแผนการปรบปรงและลงทนใหเหมาะสม ปจจบนมหลายรฐทจะใช NISC Framework กจะตองตดตามผลส าเรจตอไป

ผเขารวมฟงสมมนาหลายคนกใหมมมองปญหาไซเบอรเปนความทาทาย สวนใหญกไมมความรและไมเคยประสบกบภยคกคามไซเบอรมากอน หนวยงานเลก ๆ อาจจะไมมบคลากรดานไอทโดยเฉพาะ เปนเพยงอาสาสมครท างานชวคราว หนวยงานเลก ๆ ทใหบรการทภาครฐเคยเปนผรบผดชอบไมไดมความตะหนกถงความเสยง ซงจะตองท าความเขาใจวาคนรายไมไดเลอกทจะโจมตหนวยงานใหญหรอเลก ดงนนทกคนมโอกาสตกเปนเปาหมายเหมอนๆกน และขอคดทส าคญอกขอหนงคอจะตองปรบทศนคตจากการปองกนเหต เปนการควบคมความเสยงและสราง Resilience ใหกบสงคม ส าหรบเมองเลก ๆ ทยงขาดความพรอมในการแกไขปญหาไซเบอรดวยตนเองสามารถเรมสรางความพรอมจากการจดอบรม และสอนใหรวาเมอเกดปญหาประเภทใดจะตองไปตดตอขอความชวยเหลอจากหนวยงานใดทมความเชยวชาญในเรองนน ๆ เปนตน ตวอยางการแชรความรเชน เมอประสบกบภยคกคาม Ransomware จะด าเนนการอยางไรด วธเดยวทท าไดคอการสรางความตระหนกอนตราย และแนะน าทก

26


องคกรหรอประชาชนตองท าส ารองขอมล (Backup) ตลอดเวลา หากใครประสบกบปญหานกแนะน าใหแจงใหหนวยงานรบผดชอบเชน FBI ทราบเพอใหประเทศเหนภาพความรนแรงของปญหาอยางแทจรง

Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead

หวขอนไดรบความสนใจจากผเขารวมงานสมมนา เปนการประชาพจารณระดมความเหนเพอยกระดบการรกษาความมนคงปลอดภยไซเบอรระดบประเทศ (Enhancing National Cybersecurity) โดยจะน าผลลพธไปน าเสนอตอคณะท างานทจดตงโดยประธานาธบดเปน Commission Report and Framework v1.1

ประมาณ 1 ปกอนประธานาธบดโอบามาไดจดตงคณะท างาน 12 คน (1 คนจาก Republican, 1 Democrat, นกวชาการ ,อกชนภาคเ ,ภาครฐ (คณะท างานไดรวบรวมรายการสงทตองการท ามากมาย แตกตองยอมรบไมมอะไรทจะเปนตวแกแกปญหาไดทกเรอง จากการส ารวจของ Gardner ในป 2015 มหนวยงานใช 30%

Framework แลว คาดวาปจจบนนาจะเพมมากขนเปน 40-50% ในขณะท Framework ถกใชงานมาเปนเวลาประมาณ 2 ปเวอรชน 1.0 ปจจบนก าลงจะปรบปรงเปนเวอรชน 1.1 ซงกรอบนโยบายนกเกดขนจากความรวมมอกบภาคเอกชนและผเกยวของ สงส าคญคอหนวยงานตาง ๆ มเอกสารอางองทสามารถใชอางองและก าหนดบทบาทหนาทของตนเองใหเหมาะสมตามหลกการ Identify, Detect, Protect, Respond, Recovery และความเชอมโยงระหวางนโยบายนกบกระบวนการด าเนนธรกจของบรษททน า Framework นมาใชงาน

ผแทนจาก NIST อธบายวาในรางเวอรชน 1.1 น ไมใชเปนการท าใหม แตเปนการปรบปรง 1.0 ใหสมบรณ ม ก า ร เ พ ม เ ร อ ง Change risk management, Supply chain risk management, Identity management, Authentication และ Taxonomy รวมทงไดมการเ พมรายละเอยดการตรวจประเมน Self-assessment measure ท าใหสามารถวดคณภาพ/ระดบความสามารถของแตละหนวยงานเมอมาเปรยบเทยบกน สถานะของราง 1.1 ก าลงเผยแพรผานเวบไซต NIST เพอรบความเหนจนถงเมษายน และจะท าใหเสรจในฤด Fall 2017 ผทสนใจสามารถอานขอมลจากเวบไซตซงมขอมลเพมเตมทอาจจะไมไดอยใน framework ประเดนตาง ๆ ทผเขารวมการประชมสอบถามไดแก

1. แนวทางในการ Escalate ทยงไมชดเจน (การยกระดบความรบผดชอบ) และตองไปตดตอกบใคร ควรจะมการระบผรบผดชอบความเสยหายทเกดขนไหม และมแนวคดอยางไรในการระบวาใครรบผดชอบ

2. Framework ไมไดระบวาจะมการบงคบทางกฎหมาย (แตกไมไดบอกวาจะไมมในอนาคต) 3. Framework พดถงกระบวนการและทรพยสนทตองมการตรวจสอบและปองกน แตไมคอยไดพด

ถงทรพยากรคน ควรจะครอบคลมการพฒนาคนดวย เพอให framework สมบรณ เปนการเพม การอบรมและสรางความตระหนกในทกระดบไมใชแคผประกอบอาชพดานความมนคงปลอดภย แตหมายรวมถงประชาชนและผบรโภคดวย

4. การบงคบทางกฎหมาย NIST ไมใชหนวยงานก ากบ ไมมอ านาจบงคบใหหนวยงานปฏบต แตปจจบนหนวยงานตางประเทศกมหลายแหงทน าเอากรอบนโยบายนไปใชงาน ปจจบน NISCT กไดหารอกบหนวยงานตางประเทศในลกษณะเชนเดยวกนนดวย (ไมมสถต)

27


Internet of Insecurity: Can Industry Solve it or Is Regulation Required? ปญหา Security ในอปกรณ IoT 11 ซงมแนวโนมรนแรงขน ซงผฟงในหองบรรยายเกนรอยละ คดวา %90

รฐควรมบทบาทในการก ากบดแลผผลตและการใชงานอปกรณ IoT ในระดบผบรโภค ผเขารวมอภปรายเปนนกเขยนและผเชยวชาญดานไซเบอร การปกปองขอมลสวนบคคลและการเขารหส

ลบขอมล Mr.Bruce Schineier และผบรหารเทคโนโลยอนเทอรเนต องคกร Internet Society Mr.Olaf Kolkman โดยมเนอหาในการอภปรายดงน

- ใครควรรบผดชอบและผผลตสามารถแกปญหานไดเอง หรอจ าเปนตองมการก ากบดแลจากรฐ - อะไรเปนแรงจงใจกบผผลตอปกรณ IoT ตองรบผดชอบปญหา Security ในอปกรณ - ความรบผดชอบตอปญหา Security ของอปกรณ IoT ซงมจ านวนมาก และเปนอปกรณทมการจ าหนาย

ใหกบผใชงานมานานแลว ท าใหเกดปญหากระจายในอนเทอรเนตในทกภมภาค - การสรางความตระหนกและใหความรถงภยและปญหาจากอปกรณ IoT ใหกบผใชงานและลกคายงเปน

ทางเลอกในการแกไขปญหาหรอไม - การแกปญหาควรจะเปนความรบผดชอบของผผลต หรอ ผใหบรการ เชน ISP ตอ ลกคา ซงอาจจะสราง

ตนทนใหกบผผลตและผใหบรการ - รปแบบการ Self-regulation เพอรวมก าหนด Code of Conduct ในดาน Security เปนทางเลอกใน

การแกไขปญหาหรอไม การหาขอสรปและทางออกของการแกไขปญหา IoT เหลานจะมความส าคญขนเรอยๆ เนองจากปญหาของ

คอมพวเตอรในอปกรณในยค IoT เรมสงผลกระทบกบเสถยรภาพของเครอขายอนเทอรเนต อกทงมแนวโนมสงผลใหเกดความไมปลอดภยกบชวต เชน รถไรคนขบ ซงอาจจะท าใหเกดอบตเหต หรอ อปกรณเครองครว ซงอาจจะท าใหเกดอคคเพลง เปนตน แตในขณะทแรงจงใจของผผลต IoT คอ การพฒนาผลตภณฑใหม feature ใหม สามารถผลตไดรวดเรวทนกบความตองการของตลาด ในราคาถก โดยสวนใหญยงไมไดใหความสนใจกบปญหาเรอง Security ของอปกรณ ผอภปรายและผฟงสวนใหญ จงเหนวาการปลอยใหกลไกตลาดสงสญญาใหผผลตตองรบผดชอบด าเนนการปญหาดานไซเบอร อาจจะท าใหเกดสภาพบงคบใชแบบสมครใจและไมสามารถควบคมความเสยหายทเกดจากปญหานไดจรง

โอกาสสดทายการใช DevOps

ปจจบนนซอฟตแวรอยเปนพนฐานทางไอซทและอยในอปกรณตางๆ กระจายอยทวไป ไมวาจะเปนเครองคอมพวเตอร อปกรณไฟฟา โทรศพทมอถอ เปนตน ดงนน นกพฒนาซอฟตแวรจ าเปนตองมความรบผดชอบในเรองน source code จ าเปนตองสามารถน ามาใชงาน ออกแบบใหม และปรบปรงชองโหวไดตอเนอง ซงการถกโจมตในรปแบบใหมๆมกจะเกดขนอยเสมอและสงผลทางกายภาพ เศรษฐกจ และความมนคงของชาต ซงการพฒนาโปรแกรมทขาดความรบผดชอบจะเปนตนเหตของชองโหวซงน าไปสการโจมตไดในอนาคต ซงเปนเรองไมงายแตเปนเรองจ าเปนส าหรบนกพฒนาซอฟตแวรทควรมจรรยาบรรณในการพฒนาซอฟตแวร เปรยบเทยบเหตการณแผนไหว 2 แหง คอ เหตการณแผนดนไหวทประเทศเฮต ขนาด 7.0 รกเตอร และเหตการณแผนดนไหวทประเทศชลขนาด 8.8 รกเตอร แมเหตการทเฮตจะมขนาดเลกวาแตมผเสยชวตมากกวา 230,000 คนในขณะทเหตการณทชลมผเสยชวต 279 คน เนองจากโครงสรางอาคารและสงปลกสรางของประเทศ

11 IoT - อปกรณ Internet of Thing

28


ชลมการออกแบบมาเพอทนตอแผนดนไหวในขณะทประเทศเฮตไมไดมการออกแบบดงกลาว ซงการออกแบบและพฒนาซอฟตแวรทค านงถงความปลอดภยจะสามารถรบมอภยทจะเกดขนได วงจรการพฒนาซอฟตแวรเปนกลไกหลกเพอท าใหไดซอฟตแวรคณภาพและปลอดภย โดยมการพฒนาวงจรดงกลาวอยางตอเนองแบงไดเปน 3 ตวอยางดงตอไปน

1) วงจรการพฒนารปแบบเดม(Traditional Lifecycle) ประกอบดวยทงหมด 5 ขนตอนคอ (1)Plan (2)Design (3)Build (4)Test (5)Deploy (6)Operate ระยะเวลาจะอยระหวาง เดอน ถง ป โดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 1-2 ครงตอป

2) วงจรการพฒนาแบบอะไจย (Agile Dev) ปรบปรงจากวงจรการพฒนารปแบบเดม โดยเรมจากขนตอน

Plan โดยแยกขนตอน Design Build Test ออกเปนวงจรยอยและผานกระบวนการเรยนร กอนทจะน าไปใชงาน ระยะเวลาจะอยระหวาง วน ถง สปดาหโดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 10-20 ครงตอป

3) วงจรการพฒนารปแบบใหม(Modern Lifecycle) ปรบปรงจากวงจรการพฒนารปแบบเดม และ การพฒนาแบบอะไจย โดยเรมจากขนตอน Plan และ แยกขนตอน Design Build Test Deploy และ Operate ออกเปนวงจรยอยและผานกระบวนการเรยนร กอนเรมวงจรยอยอกครง ระยะเวลาจะอยระหวาง นาท ถง ชวโมง โดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 100-200 ครงตอป

การโจมตทางไซเบอร ระดบความรนแรง และการแกปญหา

การโจมตทางไซเบอรโดยวตถประสงคของการโจมตของผมสวนเกยวของเปนเกณฑแบงออกไดเปน 5 ระดบคอ

29


ระดบท 1 Lone Wolf เปนการกระท าเพยงคนเดยว เพอฝกฝน และเพอใหเปนทรจกของสงคม และจดประสงคหนงๆ ระดบท 2 Hacktivist เปนการกระท าโดยกลมบคคล เพอแสดงออกเกยวกบ เสรภาพ การเมอง และเปน

ชองทางตอรองกบนโยบายของฝายปกครอง ระดบท 3 Sub-National เปนการกระท าโดยกลมบคคล เพอแสดงออกเกยวกบ เสรภาพ การเมอง และ

เปนชองทางตอรองกบนโยบายของรฐ หรอเขตการปกครอง ระดบท 4 Organized Crime เปนอาชญากรรมทมการด าเนนการอยางเปนระบบ โดยใชกลมแฮกเกอร

โจรกรรมขอมล ลวงความลบ แพรกระจายมลแวร เพอใหไดเงน สภาวะตลาด และเชอมโยงกบการฟอกเงน ยาเสพตด การคาประเวณ การคามนษย และการกอการราย ซงสงผลรายแรงทางเศรษฐกจในระดบชาต

ระดบท 5 National State เปนการโจรกรรมขอมลความลบทางราชการ และการโจมตทางไซเบอรทสงผลกระทบในวงกวางของประเทศและกลมประเทศทเปนคขดแยงกนในสงครามโลก และคขดแยงทางเศรษฐกจระดบภมภาค ซงสงผลรายแรงทางความมนคงของประชาคมโลก และอาจน าไปสสงคราม ในปจจบนความสามารถในการรบมอภยคกคามยงอยในระดบต า แตด วยกจกรรมการเสรมสรางความร การแลกเปลยนขอมลขาวสาร การจดการภายใน และการออกกฎหมาย ระเบยบทเกยวของ อาจพอจะรบมอใน ระดบท 1 ถง ระดบท 3 ไดในอนาคต ในกรณ ระดบท 4 และ ระดบท 5 จ าเปนตองใชความพยายามและความรวมมอจากนานาประเทศเพอแกปญหาตอไป

ขอบงคบและกฎหมายความมนคงปลอดภยไซเบอรเกยวกบ ซอฟตแวร

การยกระดบการพฒนาซอฟตแวรเพอใหมความมนคงปลอดภยนนสามารถแบงกลมคนไดเปน 5 ระดบคอ ระดบ 1: Security People คอบคคลทมความรความเขาใจและปฏบตตามระเบยบทเกยวของกบความ

ปลอดภยอยางเครงครด

30


ระดบ 2: Security Interested คอบคคลทมความรความเขาใจและแตยงไมเขาใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภยทเกยวของ

ระดบ 3: Early Majority คอบคคลทมความรความเขาใจเพยงบางสวนและยงขาดความตระหนกรทางดานความมนคงปลอดภย แตยงไมเขาใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภยทเกยวของ

ระดบ 4: Force Compliance คอบคคลขาดความตระหนกรทางดานความมนคงปลอดภย จ าเปนตองใชกฎหมาย กฎระเบยบทเกยวของเพอบงคบใช

ระดบ 5: Probably never going to do it คอบคคลทไมสนใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภย ดงนนจงจ าเปนตองมกฎหมาย กฎระเบยบทเกยวของ โดยสหรฐอเมรกามกฎหมายระเบยบ แนวทางปฏบตทใชเพอใหเกดการยกระดบเรองความมนคงปลอดภยเกยวกบซอฟตแวร เชน H.R 5793 “Cyber Supply Chain Management and Transparency Act of 2014”ท เ ป นกฎหมายท ก า หนด ให ม ก า ร ร ะบสวนประกอบซอฟตแวรใดทมการซอขายจ าเปนตองระบในใบแจงหนถงคอมโพเนนททเปนบคคลภายนอกและ Open source ทใชงานในซอฟตแวรนน ๆ พรอมระบเวอรชนเพอความโปรงใส การลดความเสยงและความปลอดภย ซอฟตแวรทผลตจะไมสามาระใชคอมโพเนนททมชองโหวได เวนแตไดรบการแกไขชองโหวนนแลว การปรบปรงอยางตอเนอง ซอฟตแวรจะตองมการสรางกลไกในการปรบปรงเปลยนแปลง หากพบชองโหว หรอความผดผลาดใหม ๆ มมมองอปกรณ Internet of Thing : Iot ในการพฒนาซอฟตแวรและภยคกคามทางไซเบอร

อปกรณ IoT เพมจ านวนและขยายตวอยางรวดเรว ภยคกคามทางไซเบอรกจะมความแตกตางกนออกไป โดยแบงหวขอการพจารณาออกเปน 5 ดานดงน

1. ผกอการ (Adversaries) ผกอการแตละคนจะมแรงบรรดาลใจและความสามารถทแตกตางกน 2. ผลกระทบจากการโจมต (Consequence of Failures) ชวตและทรพยสน ความเสยหายเชงกายภาพ

การตลาด ความเชอมน เสถยรภาพ และความมนคงแหงชาต 3. บรบทการจดการ (Context & Environment) การด าเนนการจะแตกตางกนออกไปแลวแตบรบทและ

สถานการณ การอพยพ การจ ากดพนท และพนทเผาระวงไมอาจระบใหชดเจนได และยากแกกนอพเดทและเปลยนแปลง

4. สนคาทหลากหลาย (Composition of Goods) มชนดของสนคาทหลากหลายและแตกตางออกไป เชน ฮารดแวร เฟรมแวร และซอฟตแวร เปนตน

5. ขนาดทางเศรษฐกจ (Economics) ผลก าไร ผซอ นกลงทนและราคาของสนคามความแตกตางกนออกไป 6. ขนาดของเวลา (Time Scales) มความแตกตางกนในเรองของ Time-to-Live (TTLs) รอบในการวจยและ

พฒนา (R&D Cycle) และเวลาในการตอบสนอง ดวยมตขางตนซงเกยวกบความแตกตางของภยคกคามทางไซเบอรของอปกรณ IoT จงควรมการด าเนนการดาน

ความปลอดภยทท าไดในการออกแบบและพฒนาซอฟตแวรทเกยวของกบ IoT ท าไดโดยหลกการ 5 ขอดงน 1. Safety By Design เพอปองกนภยคกคาม 2. Third Party Collaboration เพอหาพนธมตรในการจดการภยคกคาม 3. Evidence Capture เพอสามารถเรยนรจากภยคกคาม 4. Security Updates เพอตอบสนองตอภยคกคาม

31


5. Segmentation and Isolation เพอแบงแยก และจ ากดความเสยหายทเกดจากภยคกคาม

เพมประสทธภาพความตระหนกรเกยวกบฟชชง 300% ในเวลา 18 เดอน บรษท AECOM พบวาภยคกคามสวนใหญเรมจากฟชชง ดงนนจงมการศกษาโดยใหความส าคญกบการ

สรางความรความเขาใจพนฐานเกยวของกบฟชชง โดยไดท าการทดสอบหลายๆชองทาง ซงสงผลใหมการลดการ click link ฟชชงไดมากกวา 300 % ในเวลา 18 เดอน

บรษทเรมตนจากการสงอเมลฟชชงใหกบพนกงานผลปรากฏวา มการ click link มากกวา 30 % ภายจากการอบรมและรณรงคในชวงระยะเวลา 18 เดอนพบวา การ click link ลดลงเหลอเพยง 6.7% โดยการรณรงคเรมจากการประสานงานในทกๆสวน ไมวาจะเปน สวนผบรหาร สวนสอสารองคกร สวนการตลาด สวนกราฟก สวนพฒนาบคลากร สวนงานไอท และอนๆ

การศกษาพบวาการรณรงคเกยวกบฟชชงไดรวมกบการรณรงคความตระหนกรอนๆได และไมเพยงแตการใหความรเทานนควรจะมความคาดหวงใหผใชงานเปลยนพฤตกรรมดวย ทงนตองพยายามใหมการพดคยในเรองดงกลาวอยางเปนประจ าในหลายๆชองทาง อกทงรณรงคใหมการตอบสนองเชน การรายงานเมอพบอเมลฟชชง เปนตน การด าเนนการสามารถแบงยอยไดดงน

การด าเนนงานรายเดอน อเมลฟชชงถกสงออกไปในบรษทตามสาขาใน 150 ประเทศ ทงในภาษาองกฤษ รสเซย และ ฝรงเศส โดย

ผานทางสอสารองคกร ทนททพนกงาน click ฟชชงเวบไซต จะน าไปสเวบไซตเพอใหความรโดยทนท ทงนจะมชองทางในการสอสารจาก CISO โดยทกคนท click เวบไซตจะอยในกลมเมล (Email Group) โดยจะไดรบค าอธบายเกยวของกบความรความเขาใจฟชชงมความส าคญอยางไร โดยใหมการพฒนาและอบรมของกลมนอยางตอเนอง และ BCC ถงพนกงานโดยไมปรากฏชอ ส าหรบพนกงานท click link ใหเขาอบรมอยางตอเนอง โดยมการสอสารดวยโพสและขาวโดย CISO และ Manager โดยใหเปลยนรปแบบใหมๆ เพอใหเกดความนาสนใจ ผานทางโชเชยลเนตเวรคของบรษท

การด าเนนงานรายไตรมาส จดท ารายงานและสงใหผบรหารในแตละภาค โดยผบรหารจะไดรบการอธบายจาก chief information security officer หรอ CISO กอนไดรบรายงาน รปแบบรายงานจะอยในรปการจด 10 อนดบแรกของภมภาคทมปญหาฟชชงมากทสด โดยแสดงผลของปญหาฟชชงผานทางโชเชยลเนตเวรคของบรษท ซงในแตละสวนภมภาคจะมการจดใหมโครงการ Train the trainer เพอเปนก าลงเสรมใหกบพนกงาน IT ในภมภาคในการสรางความตระหนกรเกยวกบฟชชง และใหมการจดท า Quarterly Business Review (QBR) ใหกบหวหนาสวนงานไอทเกยวกบเรองฟชชงโดยมสวนรวมจากสวนงานประเมนความเสยง(Enterprise Risk Management) และสวนงานตรวจสอบภายใน (Internal Audit) นอกจากน จดใหมโปรเตอรตดใหส านกงาน ใหพนกงานไดเขาใจเกยวกบฟชชง

การด าเนนงานประจ าป การจดอบรมประจ าป โดยใหพนกงานทกคนเขารวม ซงสามารถประสานกบ สวนงานบคคล (HR) ใหชวยเหลอในการสอสาร การจดอบรมพนกงานไอทเพอใหมความรความเขาใจในการรบมอเมอเกดเหตการณตางๆขน และน าเสนอผลการด าเนนการในปทผานมา เพอแสดงใหเหนถงผลการยกระดบความรความเขาใจในองคกร นอกจากน CISO ควรมบทบาทส าคญในการใหความรกบพนกงาน อกทงจ าเปนตองมการอธบายใหผบรหารใหเขาใจถงความส าคญ การปรบหลกสตรใหเหมาะสมกบกลมเปาหมายกเปนสวนส าคญทท าใหการอบรม

32


ประสบความส าเรจ ขอมลทไดจากภมภาคและเปนสวนส าคญในการแลกเปลยนผลลพธ และตวอยางใหกบภมภาคอนๆ เพอใหเกดการกระตน ทงนควรค านงถงความแตกตางทางวฒนธรรมองคกรของแตละสวนดวย แผนยทธศาสตรส าหรบการฝกอบรมความตระหนกรความมนคงปลอดภยไซเบอร

ในชวงเวลาทผานมาเราใหความส าคญในการเพมมาตรการตางๆ ในซอฟตแวร และระบบปฏบตการแตสวนส าคญอกสวนหนงในการรกษาความปลอดภยกคอความตระหนกรทางความมนคงปลอดภยของผใชงาน การจดท าแผนยทธศาสตรจงควรค านงถงกลมเปาหมายเปนหลกซงประกอบดวย พนกงาน คสญญา ฝายไอท ผพฒนา ผจดการ ฝายบญช ฝายบคคล ซงถอเปนสวนนงของการยกระดบองคความร

แผนยทธศาสตรควรค านงถง องคความรทจะถายทอดใหแตละกลม โดยไมจ าเปนตองมเนอหามากเนองดวยขอก าจดทางเวลาและทรพยากร เนอหาทไมยากจนเกนไปจะท าใหมผสนใจเขารวมไดมากกวา ทงนควรจดล าดบความส าคญ วาเนอหาใดทมความเสยงของแตละกลม และจดใหมการอบรมในหวขอนนๆกอน ตวอยาง เชน การอบรมเรอง Phishing ควรใหความส าคญมากกวา Tracking Cookies 12เปนตน

รปแบบการน าเสนอควรท าเปนภาพทเขาใจไดงาย และเหนวาแตละคนมสวนเกยวของกบความปลอดภยในองคกรอยางไร โดยสรางการมสวนรวม เชน วนท 16 พฤษภาคม 2011 ศนยควบคมโรค (CDC) ไดประกาศแผนเตรยมการในเหตการณ Zombie Apocalypse สรางความสนใจและเพมความตระหนกรเกยวกบการควบคมโรคตดตอไดอยางรวดเรว เปนตน

รปแบบการสอสารในการอบรมอาจเปนทง 2 รปแบบ คอ แบบ Push และ แบบ Pull โดยจากการศกษาพบวา แบบ Pull จะมผลตอการเพมความตระหนกรมากกวา เชน การจดฝกอบรม บลอกออนไลน (blog online) การจดบธ เปนตน ทงทการเขารวมกจกรรมอาจอยได 2 รปแบบ เชนกนคอ จ าเปนตองเขารวมตามนโยบายเพอเปนการปรบพนฐาน และตามความสมครใจกรณคนทสนใจในเนอหาเฉพาะ

การประเมนผลจาการฝกอบรมควรวดใน 2 มตคอ การเปนไปตามระเบยบ (Compliance) และ ผลกระทบ (Impact) ในการวดการยกระดบความรโดยอาจวดในเรองทมความเสยงสง และการปฏบต เชน Phishing Website การตดบตร การใช Screen Lock เปนตน โดยประการใหพนกงานทราบลวงหนาเพอใหสามารถเขารวมโปรแกรมได และไมรสกเหมอนถกจบผดหรอถกประเมน

12 Cookies – ขอมลในสวนของผใชงานทถกเกบไวในเครองคอมพวเตอร และเวบบราวเซอร

33


การเปลยนนกพฒนาซอฟตแวรใหมความเขาใจในเรองความมนคงปลอดภย

ซอฟตแวรก าลงเปลยนแปลงโลกของเรา ในทกๆท ซอฟตแวรถกใชเปนสวนนงของการท างาน ซงถ อเปนความรบผดชอบของนกพฒนาซอฟตแวรทจะเขยนโคดทมคณภาพ บ ารงรกษา และท าความเขาใจได วตถประสงคของการเขยนซอฟตแวรทมความปลอดภยคอ มความเรว ผลลพธทถกตอง และไมหยดการท างานของแอปพลเคชน อยางไรกตามจ านวนพนกงานสายพฒนาซอฟตแวร 100 คน จะมพนกงานสายอาชพความปลอดภยเฉลยเพยง 1.61 คนเทานน

การพฒนาซอฟตแวรทมความปลอดภยมความส าคญมากเนองจากเพราะเปรยบเกราะปองกนชนแรก ดงนน วธการทเหมาะสมคอควรท าใหนกพฒนาซอฟตแวรมแนวคดเชงความมนคงปลอดภย แอปพลเคชนทมความปลอดภยเปนเรองของคนทกคน โดยมนกพฒนาซอฟตแวรเปนแกนส าคญ โดยสามารถเพมความเขาใจใหกบนกพฒนาโดยแบงเปน 4 กลมดงน

1) กลมขาดความรพนฐาน ลกษณะ กลมนมลกษณะปฏเสธเนองจากไมคนเคยกบงานดานความมนคง ไมเขาใจ และไมทราบ ไมตระหนก

ถงความส าคญ วธการพฒนา ควรพฒนาโดยการใหความรขนพนฐาน เกยวกบการโจมต กระบวนการทางความมนคงปลอดภย

อยางงาย เรองเลาทเกยวกบเรองความปลอดภย เรองความเปนสวนตว และนโยบายการรกษาความลบ พรอมดวยยกตวอยางเกยวกบ กระบวนการทางธรกจทมความปลอดภย โดยทกๆคนเปนสวนนงในเรองของความปลอดภยทงสน

2) กลมปฏเสธงานจากภาระงาน

34


ลกษณะ กลมนมลกษณะปฏเสธเนองจากกลมนมลกษณะมภาระงานมาก ฝายบรหารไมไดจดสรรเวลาส าหรบเรองความปลอดภย ไมมงบประมาณเพยงพอส าหรบความปลอดภย ไมมเวลาเพยงพอในการสรางซอฟตแวรทมความปลอดภย

วธการพฒนา ควรสงเสรมใหมการใชระบบทเปนอตโนมต เชน Plug-in ของ IDE ซงสามารถตรวจสอบโคดไดในระหวางการเขยนโปรแกรม เปนตน เพอท าใหนกพฒนาเขยนโปรแกรมทมความปลอดภยไดงายขน ส าหรบฝายบรหารควรมการใหความรเกยวกบความส าคญทางดานความมนคงปลอดภย ซงจะน าไปสการจดสรรบคลากร และงบประมาณ

3) กลมไมสนใจ ลกษณะ กลมนมลกษณะปฏเสธเนองจากความมนคงปลอดภยเปนเรองยากและสลบซบซอน เปนความ

รบผดชอบของสวนอนไมใชของนกพฒนา องคกรไมมขอมลตองการการรกษาความปลอดภย หรอเปนสงทท ากนมาเปนประจ าอยางนไมไดมปญหาอะไร

วธการพฒนา ควรแสดงใหเหนถงความส าคญโดยการบอกตวเลขตางๆ ในองคกร ขอมลทมการโจรกรรมกนในปจจบน ขาวสารทางดานความมนคงปลอดภยไซเบอร หรอการออกขอบงคบเพอใหจ าเปนตองปฏบตตาม

4) กลมกระตอรอรน ลกษณะ กลมนมลกษณะพรอมเรยนร ตองการศกษาหาความรเพมเตมเพอทจะเปนบคลากรทางดานความ

มนคงปลอดภยเพอเปนพนกงานประจ าในอนาคต วธการพฒนา การพฒนาท าไดโดยการจดอบรม และกจกรรมตางๆ โดยเชญผมความรมาเปนวทยากร เพอ

ยกระดบความรในหวขอตางๆ ทนาสนใจ

พฤตกรรมดานความมนคงปลอดภยทควรไมซบซอน รจดเรมตนและสนสด และงายในการปฏบตตาม โดยไมเพมขนตอนในการท างาน โดยมกระบวนการเรยนรอยางตอเนอง ส าหรบนกพฒนาจะเรยนรดวยการลงมอปฏบต ซงในเรองของการเขยนโคดอยางปลอดภยกมเวบไซตทเขาถงไดเชน “codebashing” “secure code warrior”เปนตน ในส าคญทขาดไมไดอกสงนงกคอสงคมทแลกเปลยนขอมลกนเพอท าใหเกดการเรยนร นงถงความมนคงปลอดภยในการพฒนาบรหารจะสามารถบรหารจดการทรพยากรไดงายขน โดยค าฝาย

ยควรมการค านงถง โมเดลภยคกคซอฟตแวร โด าม (Threat Modeling) เพอจ าลองสถานะการณการเจาะระบบส าหรบซอฟตแวรทพฒนาอย อกทงควรมการท าโคดรวว (Code Review) เพอลดความผดพลาดและเพมความปลอดภยใหกบซอฟตแวร การเปลยนพฤตกรรมเกยวกบความมนปลอดภยไซเบอรในองคกร

พฤตกรรมทเกยวของกบความมนคงปลอดภยไซเบอรเปนเรองส าคญ ผใชงานถอเปนหนาดานแรกทจะพบกบภยคกคามทางไซเบอร ผใชงานสามารถตดไวรสจากการใชงานทบานไดเชนเดยวกบทท างาน พฤตกรรมทเสยงลงผลใหเกดความเสยหายไดทนท ซงพฤตกรรมดงกลาวไมอาจแกไขไดโดยงานเหมอนการอพเดทโปรแกรม

ขอก าจดในการมพฤตกรรมทดตอดานความมนคงปลอดภยไซเบอรนนมาจาก ผใชงานไมมความรความเขาใจเรองภยคกคาม ไมใชเวลาเพอท าความเขาใจนโยบายความปลอดภย ไมทราบถงมลคาของขอมล และไมรวาพฤตกรรมทดนนควรจะตองท าอยางไรบาง

35


โดยการขบเคลอนพฤตกรรมองคกรณนนท าไดโดยมวธการงายๆ เชน จดประเภทของขอมลทตองการใหมความปลอดภย จดโตะและจอคอมพวเตอรใหสะอาด ระมดระวงเมอใชงานสาธารณะและออนไลน เกบรกษารหสผาน ถามเหตสงสย รบแจงผดแลระบบ คดกอนคลก เปนตน

นอกจากนจะตองท าความเขาใจใหผใชงาน และพนกงานรบรดวย การเอาใจใส การมสวนรวม และท าใหงาย โดยมกลไกวดและประเมนผลและมแผนปฏบตทชดเจน ภายในอาทตยหนาจะมการตรวจความพรอมทางดานความตระหนกรทางไซเบอน ภายในไตรมาสหนาจะตองมความกาวหนาในการเปลยนแปลงพฤตกรรม ภายในครงปจะตองมกจกรรมตอเนองพรอมการวดผลและประเมนกจกรรมทจดท าขนเพอใชในการปรบปรง

36


พนทสวนการจดงานแสดง (Expo)

พนทสวนจดแสดงงาน Expo เปนสวนทบรษทผน าดานความปลอดภยตางๆ ไดน าเอา Solution และ technology ดานการรกษาความปลอดภยลาสด เพอแสดงถงศกยภาพวา software หรอ Tools ของพวกเขาสามารถดแลองคกร หรอขอมลส าคญของคณไดอยางไร โดยพนทจะแบงออกเปนสองสวนคอ North & South Expo

แผนผงโถงการจดแสดงงาน Expo พนทสวนแสดงงานดานอาคารทศเหนอ North Expo Floorplan พนทสวนแสดงงานดานอาคารทศใต

South Expo Floorplan พนทสวนจดแสดงงานสวน North จะเปนโถงหลกของงาน Expo โดย Brand ใหญๆจะจดแสดงอยทนโดยสวนใหญ โดย พนทสวนจดแสดงงานสวน South จะเปนโถงรองของงาน Expo แตมพนทการแสดงทใหญกวาโถง North และมจ านวนของ Exhibitor มากกวาโถงในสวนทศเหนอ ถงแมวาพนทสวนจดแสดงดาน South Expo จะไมไดม Exhibitor Brand ทมชอเสยงมากเทากบโถงทางทศเหนอ แตมหลายๆ brand ทจดแสดงผลงานไดนาสนใจอยมากมายหลาย brand

https://www.rsaconference.com/writable/files/rsac17_north_expo_2-6-17.pdf

https://www.rsaconference.com/writable/files/rsac17_south_expo_2-6-17.pdf

37


พนทจดแสดงสวน North Expo

พนทจดแสดงสวน South Expo

38


Exhibitor Name: Force Point Highlight: Booth ของ Force Point ให Corporate Identity ทชดเจนสอถงความเปนเทคโนโลยทน าสมย และมความเปนตวตนเองสง รวมถงการน าเอาเทคนคทางดาน Lighting มาใชท าใหพนทจดแสดงผลงานนาสนใจ และด Life นาสนใจ

39


Exhibitor Name: Kaspersky Highlight: Booth ของ Kaspersky น าสายตาคนเขา Booth ดวยการจดวาง Landmark ของ Cockpit รถแขง F1 เพอสอใหถงความเปนทหนงซง reflection กบ Brand ของตวเอง โดยเปดใหผเขาชมไดเขามาทดลองเลนเกมสในรปแบบของ Virtual และน าเสนอ Product ของตวเองดวยไปในตว ซงเรยกคนเขาชมไดเปนอยางด

40


Exhibitor Name: Cisco Highlight: Booth ของ Cisco ใชรปแบบ Booth ทเรยบงาย ดโปรง โดยเนนการน าเสนอทด Corporate look ซงใหความรสกท Firm ของ Brand ทแสดงความเปนตวตนทชดเจน พรอมขอมลสนบสนนทท าใหผเขาชมรสกไดถงความเชอมนของ brand ไดเปนอยางด

41


Exhibitor Name: Crowdstrike Falcon Highlight : Booth ของ Crowd strike ใชโครงสรางทไมซบซอน แตมสสนทชดเจน บงบอกถง brand และความเปนตวตนเองไดอยางชดเจน จดเดนของ brand คอความช านาญทางดาน UI ทน ามาประยกตใชกบ Software monitoring โดยก าหนด Characters เฉพาะใหกบตวละคร malware โดยผเขาเยยมชมสามารถ walkthrough ไดจาก Demo area ทแสดงผลงานไดอยางนาสนใจ โดยอกพนททนาสนใจส าหรบสนคาทแจกส าหรบผเขาชมคอเสอยดท customize มาจาก Characters ของตว software โดยใหผเขาชมไดมสวนในการเลอกจาก interactive screen

42


Exhibitor Name: Carbon Black Highlight: Booth ของ Carbon Black เนนพนทกจกรรมดวย Interactive screen ขนาดใหญทน าเสนอโดยมกจกรรมใหผเลนไดมสวนรวมในการเลม Interactive Catching malware ไดโดยใชอาวธ Space Gunner เพอสะสมแตมและแลกของรางวลจากการเขาเยยมชม ซงท าใหผเขาชม Booth เขามาเยยมชมอยตลอดเวลา

43


Exhibitor Name: Ping Identity Highlight: Booth ของ Ping Identity ใชรปแบบทเรยบงาย โดยให Gimmick ของพนทแสดงเปดโลงรอบทศทาง โดยใช รถ Van ซงเปนเสมอน Control Panel Area ในการน าเสนอและ storage ไปในตว ซงท าใหเกดจดตางทโดดเดน มองเหนไดอยางสะดดตาเมอเทยบกบพนทจดแสดงโดยรอบ

44


ภาคผนวก Microsoft คณะ ETDA เขาเยยมชมบรษท ไมโครซอฟต (Microsoft) ณ เมองซแอตเทล รฐวอชงตน สหรฐอเมรกาเมอวนท 10 กมภาพนธ 2560 ในการน Mrs.Jennifer Byrne Chief Technology Officer (CTO) พรอมดวยเจาหนาท Microsoft ไดกลาวตอนรบคณะ ETDA และอธบายเบองตนเกยวกบประวตภารกจและอดมการณของ Microsoft Cybercrime legislation @ Microsoft

Mr.Gene Burrus, Assistant General Counsel, Trustworthy Computing บรรยายถงววฒนาการของ

การเกด Cybercrime และการก าหนดกรอบกฎหมาย (Legal Framework) โดยค านงถงปจจยทเกยวดวย

45


Cybersecurity Baseline @Microsoft Aaron Kleiner, Principal Security Strategist

Mr.Aaron Kleiner, Principal Security Strategist Cybersecurity Baseline ไดอธบายถงแนวทางการ

จดการความเสยงจากภยคกคามไซเบอร ขององคกรและระหวางองคกรใหเปนไปอยางมประสทธภาพตาม 5 ขนตอนหลกคอ Identify, Protect, Detect, Response และ Recover Digital Crime / Digital Crime Center Tour at DCU @ Microsoft Niall O'Sullivan SR Business Analytics SPEC Digital Crimes Unit

ศนย Microsoft Digital Crimes Unit (DCU) เปนศนยตดตอประสานงานกระบวนการทางกฎหมายทงในประเทศและตางประเทศ รวมถงเปนศนยรวบรวมผเชยวชาญทางดานไซเบอรซเคยวรต และอน ๆ ทเกยวของเพอชวยยบยงภยคกคามทางไซเบอร

46


Cloud for Global Good

Leonardo Oritiz Villacorta (Director, field Empowerment, Philanthropies) กลาวถงโครงการ

บรษททไดมสวนรวมและเขาไปท าประโยชนใหสงคม อาท ไมวาจะเปนการใหอาสาสมครกวา 1000 คน จากทวโลก การลงทนน านวตกรรมทางเทคโนโลยมาใชใหเกดประโยชนในสงคมในประเทศไทย พรอมกบหารอความรวมมอระหวางETDA ของ School camp ตอไป Cyber Defense Operation Centre Tour

เยยมชมศนย Microsoft Cyber Defense Operations Centre หรอ CDOC ซงเปนศนยประสานงาน

เพอรบมอภยคกคาม และจดการปญหาตางๆทเกดขนกบการใชงานผลตภณฑของบรษทไมโครซอฟตทงทอยในระบบคลาวด และทเปนซอฟตแวรส าเรจรป โดย ศนย CDOC ไดด าเนนการจดการปญหาทางดานความมนคงปลอดภย ระบและแกปญหาทางความมนคงปลอดภยไซเบอร จดท ารายงานเกยวกบภยคกคามและขอเสนอแนะใหกบสวนงานและภาคธรกจทเกยวของ

47


Visiting Cisco

พบผบรหารและผเชยวชาญของ Cisco ซงแชรเรองการพฒนา NIST Security Framework รวมกบรฐบาลสหรฐฯ อนจะเปนประโยชนตอการพฒนานโยบายดาน Cybersecurity ของประเทศไทย กบแนวคดใหภาคเอกชน/ภาคธรกจเขามามสวนรวม และยงเตรยมขยายความรวมมอของเครอขาย ThaiCERT กบ Cisco CSIRT ครอบคลมการรบมอและจดการภยคกคาม การแลกเปลยนขอมลภยคกคาม และการพฒนาทกษะของบคลากรของ ThaiCERT ในการวเคราะหภยคกคาม RSA Conference

เวท RSA Conference 2017 เนนดาน Business Driven Security และ Keynote Speaker หลายคน ใชค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย เชนเดยวกบทม ETDA ทเขารวมงานในครงน ซงตระหนกวา เมอกลบไปท างาน หวงทจะสรางการเปลยนแปลงแกสงคมและประเทศไทยจากความรทไดรบในงานครงนเชนกน

48


Microsoft Delegates

Jennifer Byrne, Chief Technology Officer

Gene Burrus, Assistant General Counsel,

Paul Nicholas, Senior Director, Trustworthy Computing

Aaron Kleiner, Principal Security Strategist

Niall O'Sullivan SR Business Analytics SPEC

Digital Crimes Unit

Leonardo Ortiz Villacorta, Director, Field Empowerment, Philanthropies

Kellie Ann Chainier, GSP Principal Program

Manager

49


ETDA Delegates

50


หมายเหต เอกสารรายงานน เปนการจดท าโดยการเกบรวบรวมขอมลจากการประชมสมมนาและเย ยมชมสถานท หากทานประสงคจะน าไปใชงานตอ ขอใหโปรดพจารณาความเหมาะสม และค านงถงหลกการใชอยางเปนธรรม (Fair use) ดวย จะขอบคณยง

51
