report rsa-conference 2017
TRANSCRIPT
Analytic,
Intelligence
& Response
2
เผยแพรเมอวนท 20 มนาคม 2560
Executive Summary เกาะตดเทรนด Cybersecurity โลก ท RSA Conference 2017 “หากใครอยากทราบเทรนดแฟชนของโลกแตละป คงทราบกนดวาตองไปเกาะตดขอบรนเวยท Paris Fashion Week แลวถาเปนโลกของ Cybersecurity ละ ค าตอบคงอยทงาน RSA Conference สดยอดงานดาน Cybersecurity อนเปนจดรวมตวของสดยอดกร Cybersecurity ของโลก” จากความส าคญของเวท RSA Conference ETDA จงไมพลาดทจะเขารวมงานน เพออปเดต Cybersecurity Trend ทเกดขนในงานน แลวน ามาสงทไดรบมาแชรความร ประสบการณ แลกเปลยนมมมองและความคดเหน เพอน ามาตอยอดใหเกดประโยชนในการท างานดาน Cybersecurity ส าหรบคนในสงคมและประเทศไทยตอไป RSA Conference สดยอดอยางไร RSA Conference คองานประชมประจ าป ทจดกนมาตงแต ค.ศ. 1991 เปนการประชมเรอง “Cryptography, Standards & Public Policy” ชอของงาน RSA มาจากตวยอของนามสกลนก Cryptographer ทมชอเสยงโดงดง 3 คน ผซงสามารถคดอลกอรทมในการเขารหสขอมลทส าคญเมอ ค.ศ. 1977 ไดแก รอน รเวสต (Ron Rivest), อาด ชามร (Adi Shamir) และเลน เอเดลแมน (Len Adleman) จากมหาวทยาลย MIT ซงในปนทงรอนและอาดกมารวมเสวนาในชวง Keynote: The Cryptographer’s Panel ดวย จ ง เปนทมาใหชาว Cybersecurity ท ว โลกเหนความส าคญทจะน ามาสการเปลยนแปลง และเทรนดของการด าเนนงานดาน Security ของทวโลก งาน RSA Conference แบงเปน 2 สวนหลก คอการสมมนาวชาการดาน Security และการจดงานออกบธนทรรศการสนคาดาน Security โดยป 2017 ทผานมานน มผเขารวมงานกวา 45,000 คน มารวมตวกนแลกเปลยนความคดเหน Trend ของ Security สอคคลองกบแนวทางทวา Where the world talks security RSA Conference 2017: POWER OF OPPORTUNITY RSA Conference ในป 2017 ธมของงานคอ POWER OF OPPORTUNITY โดยจดขน 5 วน ระหวางวนท 13-17 กมภาพนธ ณ หอประชม MOSCONE CENTER นครซานฟรานซสโก ประเทศสหรฐอเมรกา โดยสามารถตดตามขอมลและความคบหนาไดท https://www.rsaconference.com/events/us17 ดงค าวา UNITY ทเปนธมของงาน ปนจงไดมงเนนเพอใหเกดแนวรวมท างานรวมกน บรรยากาศของการเปดงานในหองประชมใหญทจกวา 6,000 คนไดนน เรมดวยแสง ส เสยง ผานจอภาพทรงโคงขนาดใหญ 3 จอ และการแสดงของศลปนฮปฮอปทใชเครองดนตรคลาสสกชอดงอยาง Black Violins เปนวงเปดตว สอดแทรกดวยขอความทสะทอนใหทกคนตระหนกถงภยคกคามไซเบอรตาง ๆ ซงชวยปลกเราพลงของทกคนในงานใหรวมใจเปนหนง และมงความสนใจไปบนเวททจดเดยวกน โดยใชลกเลนบน Wristband ทแจกใหผเขารวมงานทกคน คอยกระตนการมสวนรวม และมดารานกแสดงฮอลลวดชอดงอยาง John Lithgow เปนผกลาวเปดบนเวทอยางสนกสนาน
3
เผยแพรเมอวนท 20 มนาคม 2560
What Ripples Will You Create? ในปนมแขกรบเชญบรรยายในชวง Keynote ส าคญ เชน Brad Smith (President and Chief Legal Officer, Microsoft), Christopher Young (Senior Vice President and General Manager, Intel Security), Michael McCaul (Chairman, House Homeland Security Committee), Eric Schmidt (Executive Chairman Alphabet Inc) และมผทมชอเสยงโดงดง เชน Dame Stella Rimington (อดต Director General, MI5) ผบรรยายหลายคนใชค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย Dr.Zulfikar Ramzan, Chief Technology Officer, RSA เปน Keynote Speaker คนแรกทไดพดถง Ripples หรอคลนของการเปลยนแปลง โดยกลาววา ทกคนเปนสวนหนงของการเปลยนแปลงทเกดขนในโลกนได เพราะยคนอนเทอรเนตเปนสวนหนงของการใชชวตแลว ดงนน จงขอใหทกคนไดมสวนรวมในการทจะรบมอเรอง Cybersecurity น เพราะคนทวโลกคาดหวงวา กวาสหมนคนทมาประชมกนท RSA นเปนคนทรเรอง Cybersecurity มากทสดแลว ดงนน ขอใหทกคนถามตวเองวา เมอเสรจสนการประชม RSA แลว เมอคณกลบไปท างาน คณจะสรางการเปลยนแปลงไดอยางไร ดงท RSA 3 คน ไดเคยท าการเปลยนแปลงแลวในโลกของ Cybersecurity และขอใหทกคนถามตวเองวา What Ripples Will You Create? นอกจาก เวท Keynote แลว RSA ยงแบงการสมมนาตาม Track กลมเรองตาง ๆ ซงแบงไดเปนกลมใหญ ดงน เรองฮอตของกลม Fintech และ New Technologies การพฒนาเทคโนโลยปญญาประดษฐ AI (Artificial Intelligence) ในรปแบบ Machine Learning ทนบวนจะม
บทบาทเปนเครองมออตโนมตในการสนบสนนการวเคราะหภยคกคามไซเบอร ความกงวลเรอง Cloud security ซงปนมการอภปรายมากกวา 30 session โดยเฉพาะในประเดนการประเมน
บรการ การตรวจสอบ และแนวทางการรบมอกบปรมาณขอมลทตองจดเกบจ านวนมหาศาล การน าเทคโนโลย Blockchain มาใชในยค Fintech กบแนวโนมภยคกคามรปแบบใหม Cryptography ทยงคงตองอยกบเราตอไป ซงตองมการปรบปรงความมนคงปลอดภยสงเพมขน มการพดถง
Cryptographic protocols และอธบาย Cryptographic สมยใหม แวดวง Cyber Threats ไปกนถงไหน ในปทผานมาเกดเหตการณการโจมตจากอปกรณ IoT (Internet of Things) หลายครง สงผลถงเสถยรภาพของ
บรการอนเทอรเนตของโลก มวงเสวนาหลายเวทวา ใครจะตองรบผดชอบระหวางรฐบาลตองออกกฎหมาย หรอผผลตอปกรณตองเพมระดบความรบผดชอบมากขนอยางไร
เมอการโจรกรรมขอมลดวย Ransomware สามารถสรางรายไดใหอาชญากรถง 200 ลานเหรยญสหรฐในป 2016 เราจะมแนวทางในการรบมอกนอยางไร
4
เผยแพรเมอวนท 20 มนาคม 2560
แนวโนมเหตการณโจมตทมลกษณะเปน State Sponsor ทเกดบอยครง มการพดถง Stuxnet ทเปนจดเรมตนของการคกคามทมาจากระดบรฐบาล ในวนนมการกลาวถงการกอกวนผลการเลอกตงของสหรฐอเมรกา
รปแบบอาชญากรรมไซเบอรทมงเปาหมายโจมตสถาบนการเงนโดยตรง เชน ATM และคอมพวเตอรทควบคมระบบ SWIFT สรางความเสยหายครงละหลายลานบาท
อปเดตกลม Laws and Privacy กฎหมาย Privacy เปน Hot topic ทมการกลาวถงกนมากเมอประเทศและภมภาคมการรวมตวแสดงจดยนของ
ตนเอง หล ง EU ออกขอบ งคบ เร องการร กษาขอ มลส วนบคคล GDPR (General Data Protection Regulation) เพอบงคบผใหบรการใหแกประชากรใน EU จะสงผลกระทบถงผใหบรการอยางไร แลวถามขอบงคบจากประเทศอน ๆ ในลกษณะเดยวกนจะสงผลกระทบอะไรบาง
สหรฐอเมรกาเตรยมปรบปรงกรอบแนวทางการบรหารจดการความมนคงปลอดภยไซเบอร ทจดท าโดย National Institute of Standards and Technology (NIST) สหรฐอเมรกา รวมกบภาคเอกชน และใชงานมาแลวอยางไดผลมาหลายป เพอเพมแนวทางในการท า Benchmarking
ETDA พบ Microsoft และ Cisco นอกจากน ทม ETDA ยงไดประชมแลกเปลยนความคดเหนและรบฟงการบรรยายมมมองดานความมนคงปลอดภยของภาคธรกจ จากผบรหารและผเชยวชาญจาก Microsoft และ Cisco โดยมแนวคดทนาสนใจ เชน บรษทยกษใหญทมสาขาอยทวโลก ไมใชแคขายสนคาหรอบรการเทคโนโลยเทานน แตไดค านงถงประโยชนสขของ
คนทวโลก (Global Good) ดวย โดยค านงถงความเชอมน (Trust) ความรบผดชอบ (Responsibility) และความเปนน าหนงใจเดยว (Inclusivity) กบภาคสงคม ดงนน Microsoft จงใหความส าคญอยางมากกบ CSR (Corporate Social Responsibility)
Microsoft แชรประสบการณในการท า Cybersecurity Baseline เพอปกปองดแลระบบสารสนเทศโครงสรางพนฐานส าคญของประเทศ (Critical Information Infrastructure Protection: CIIP) ซงสอดคลองกบแนวทางปฏบตสากล ในลกษณะการท างานกบหลายภาคสวนทเปน Multistakeholder ทหลายประเทศไดเรมไปแลว เชน NIST ของสหรฐอเมรกา ENISA ของกลมประเทศยโรป Japan Information Security Council ของประเทศญปน ETDA จงไดเชญผเชยวชาญ Microsoft มารวมเปนคณะท างานในลกษณะ Multistakeholder รวมกบผเชยวชาญจากสถาบนการศกษา และหนวยงานโครงสรางพนฐานส าคญ ในการจดท า Cybersecurity Baseline Framework ของประเทศไทย
Digital Crime Unit (DCU) ของ Microsoft เปนหนวยซงรวบรวมขอมลการโจมตไซเบอรทเปนภยคกคามจากทวโลก เชน ขอมลการตดมลแวร (Cyber Threat Intelligent Protection: CTIP) เนองจาก ETDA ไดลงนามความรวมมอโครงการ Microsoft Government Security Program (GSP) ดงนนจงไดรบ CTIP ทเกยวกบประเทศไทย ซงเปนประโยชนกบไทยเซรต ETDA ในการก าหนดกลยทธในการจดการปญหามลแวรในประเทศไทย
5
เผยแพรเมอวนท 20 มนาคม 2560
ETDA จงจะขยายความรวมมอในโครงการ Microsoft GSP ดาน Transparency เพอใหสามารถตรวจสอบผลตภนฑซอฟตแวร Micorsoft อนเปนการสรางความเชอมนดานความมนคงปลอดภยใหหนวยงานของรฐ และโครงการนยงเปดอากสใหผเขารวมสามารถเขาใชงานศนยความโปรงใส Microsoft (Microsoft Transparency Centers) ซงสามารถเขาตรวจสอบซอสโคด (Source Code) ทงหมดของผลตภณฑชนน าของ Microsfot ได
เขาเยยมชม Microsoft Cyber Defense Operations Centre (CDOC) ซงเปนศนยประสานงานเพอรบมอภยคกคาม และจดการปญหาตาง ๆ ทเกดขนกบการใชงานผลตภณฑของ Microsoft ทงทอยในระบบคลาวด และทเปนซอฟตแวรส าเรจรป โดย CDOC ไดด าเนนการจดการปญหาทางดานความมนคงปลอดภย ระบ และแกปญหา จดท ารายงานเกยวกบภยคกคามและขอเสนอแนะใหแกสวนงานและภาคธรกจทเกยวของ
NIST สหรฐอเมรกาก าลงประชาพจารณ NIST Security Framework ฉบบปรบปรง ซงเกดขนจากความรวมมอกบภาคเอกชนทรวมใหความคดเหนในกระบวนการรางดวย หลาย ๆ บรษทรวมถง Cisco และ Microsoft ไดใหความคดเหนในการจดท า Cybersecurity Framework จนเปนทยอมรบและมการใชงาน ซงแนวทางนนาจะเปนแนวทางทดท ETDA สามารถเชญผบรหารดานความมนคงปลอดภยภาคเอกชนรวมเปนคณะท างานจดท ารางนโยบาย/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอร ของประเทศไทย และน าแนวคดการใหภาคเอกชน/ภาคธรกจเขามามสวนรวมในการจดท ากรอบนโยบาย/แผน/แนวปฏบตดานการร กษาความมนคงปลอดภยไซเบอรใหแกหนวยงานโครงสรางพนฐานส าคญของประเทศ
วนน ETDA มภารกจส าคญในการสนบสนนธรกรรมทางอเลกทรอนกส การท าพาณชยอเลกทรอนกสใหมนคงปลอดภยและนาเชอถอ เราเรยนรวา ETDA อยไมไดอยเพยงล าพง จงตองพยายามถายทอดความร ประสบการณทไดรบมาและท า Knowledge management ใหภาคสวนตาง ๆ เพอสรางความคมคาใหทกภาคสวนทเกยวของและกระจายตอ หนวยงาน partner ไดรบร เขาใจและท างานรวมกนได เราจงตองมเครองมอทจะชวยสรางความตระหนกโดยแปลงเรองยากใหเปนเรองงาย ฝงใน DNA ของคนยคดจทล ใหรเทาทนและไมตนตระหนกเพราะ “หนาทดแลโลกไซเบอร เปนหนาทของเราทกคน”
6
เผยแพรเมอวนท 20 มนาคม 2560
Table of Contents Visit บรษทไมโครซอฟต @ เมองซแอตเทล สหรฐอเมรกา .......................................................................................... 1
Visit บรษทซสโก @ เมองซานโอเซ สหรฐอเมรกา .................................................................................................... 12
RSA Conference 2017 @ เมองซานฟรานซสโก สหรฐอเมรกา ............................................................................... 15
Keynotes ................................................................................................................................................................... 16
Track .......................................................................................................................................................................... 16
Achieving and Measuring Success with the Security Awareness Maturity Model .............................. 19
Security investigative journalist speaker out share insights on the 2016 cybersecurity headlines and a look ahead of the threat landscape in 2017 ................................................................................. 19
What is needed in the next generation cloud trusted platform? ........................................................ 20
Two Bytes to $951 m—Collaborate to Defend ......................................................................................... 21
Updating Surveillance Law on Government Access to Your Online Data .......................................... 22
Cybersecurity – It’s a Small-Town Problem.............................................................................................. 25
Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead ......................................... 26
Internet of Insecurity: Can Industry Solve it or Is Regulation Required? ............................................. 27
โอกาสสดทายการใช DevOps ............................................................................................................................. 27
การโจมตทางไซเบอร ระดบความรนแรง และการแกปญหา ................................................................................ 28
ขอบงคบและกฎหมายความมนคงปลอดภยไซเบอรเกยวกบ ซอฟตแวร .............................................................. 29
มมมองอปกรณ Internet of Thing : Iot ในการพฒนาซอฟตแวรและภยคกคามทางไซเบอร............................. 30
เพมประสทธภาพความตระหนกรเกยวกบฟชชง 300% ในเวลา 18 เดอน .......................................................... 31
แผนยทธศาสตรส าหรบการฝกอบรมความตระหนกรความมนคงปลอดภยไซเบอร .............................................. 32
พนทสวนการจดงานแสดง (Expo) .......................................................................................................................... 36
Exhibitor Name: Force Point ......................................................................................................................... 38
Exhibitor Name: Kaspersky ............................................................................................................................ 39
Exhibitor Name: Cisco .................................................................................................................................... 40
7
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Crowdstrike Falcon ........................................................................................................... 41
Exhibitor Name: Carbon Black ...................................................................................................................... 42
Exhibitor Name: Ping Identity ....................................................................................................................... 43
ภาคผนวก .................................................................................................................................................................... 44
Microsoft ............................................................................................................................................................... 44
Cybercrime legislation @ Microsoft ................................................................................................................. 44
Cybersecurity Baseline @ Microsoft ................................................................................................................ 45
Digital Crime / Digital Crime Center Tour at DCU @ Microsoft .................................................................. 45
Cloud for Global Good @ Microsoft ................................................................................................................ 46
Cisco ...................................................................................................................................................................... 47
Microsoft Delegates ............................................................................................................................................ 48
ETDA Delegates ................................................................................................................................................... 49
Visit บรษทไมโครซอฟต
@ เมองซแอตเทล สหรฐอเมรกา
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ ETDA ไดเยยมชมบรษท ไมโครซอฟต
(Microsoft) ณ เมองซแอตเทล รฐวอชงตน สหรฐอเมรกา โดยการเยยมชม Microsoft ครงนเปนหนงในกจกรรมทเกยวของกบความรวมมอดานการพฒนาความมนคงปลอดภยดานไซเบอร (Cybersecurity) ระหวาง ETDA และ Microsoft ในการน Mrs. Jennifer Byrne, Chief Technology Officer (CTO) พรอมดวยเจาหนาท Microsoft ไดตอนรบ ETDA และบรรยายเกยวกบประวต ภารกจและอดมการณของ Microsoft บรษทยกษใหญทเปนทงผผลตและพฒนาซอฟตแวรรวมถงผลตภณฑดานไอทมากมาย แตมแนวทางการด าเนนธรกจเพอใหเกดประโยชนสขของคนทวโลก (Global Good) โดยค านงถง 3 สวน คอ
1. ความเชอมน (Trust) โดยการสรางระบบ กลไก โครงการ และซอฟตแวรทมความนาเชอถอทโปรงใสและตรวจสอบได เชน โครงการ Government Security Program (GSP) เปนตน
2. ความรบผดชอบ (Responsibility) โดยการสนบสนนการวจยและพฒนาดวยเงนจ านวนหลายพนลานเหรยญสหรฐ เพอเปนสวนหนงของการรบผดชอบตอสงคม การพฒนาใหเกดสภาพแวดลอมทมนคงปลอดภยในโลกไซเบอร
3. ความเปนน าหนงใจเดยว (Inclusive) โดยการเปดโอกาสใหคนพการ คนชราและผดอยโอกาสใหมโอกาสใชซอฟตแวรทมประสทธภาพสงผานการออกแบบทค านงถงความเทาเทยมกน รวมถงการรบพนกงานของ Microsoft ทจะไมมการกดกนทางเชอชาตใด ๆ ดงนน การท างานของ Microsoft จงมความหลากหลายและผสมผสานอยางลงตว
ดงนน ดวยหนงในอดมการณของ Microsoft ทตองการใหเกดความมนคงปลอดภยในโลกไซเบอร เกดการพฒนาดานนวตกรรมอนจะน าไปสการพฒนาตอยอดตอไปในอนาคต ภารกจดานอนอยางดานกฎหมายและดานความมนคงปลอดภยจงเปนภารกจจ าเปนท Microsoft ใหความส าคญเชนกน ในการน ทม Microsoft ไดน าเสนอและรวมแลกเปลยนความคดเหนกบ ETDA ในหวขอ ดงน Cybercrime legislation @ Microsoft
นาย Gene Burrus, Assistant General Counsel, Trustworthy Computing ไ ด ถ า ยทอด ค ว า ม รเกยวกบววฒนาการของการเกดอาชญากรรมทางไซเบอร (Cybercrime) ทหมายถงการกระท าความผดเกยวกบ ไซเบอรทงการเจาะระบบ ขดขวางระบบ โจมตระบบ ขโมยขอมล ปลอมแปลงตวตน ฉอโกงทางออนไลน (fraud) รวมทงการกระท าอนทน าไปสการกระท าความผดอนได เชน การมภาพอนาจารเดก (Child Pronography) เหนไดวา รปแบบและลกษณะของการกระท าความผดเปลยนแปลงจากอดตเปนอยางมาก โดยจากขอมลท Microsoft ไดท าการวเคราะหสามารถแบงชวงเวลาและรปแบบของการกระท าความผดไดเปน 3 ชวง คอ
2
เผยแพรเมอวนท 20 มนาคม 2560
ชวงท 1 ป 2003 – 2004 ผกระท าความผดอาจกระท าเพอความสนกสนานระหวางเพอนฝงเทานน ชวงท 2 ป 2005 – ปจจบน ผกระท าความผดตองการท าเพอเงน และอาจสงผลกระทบตอผบรหารของ
หนวยงาน หรอสงผลกระทบระดบหนวยงาน ชวงท 3 ป 2012 เปนตนไป ผกระท าความผดมความประสงคใหมผลกระทบระดบประเทศ เกดความ
เสยหายอยางมากและอยางวงกวาง เชนน เมอเทคโนโลยเปลยนแปลงอยางรวดเรว กยอมสงผลตอรปแบบการกระท าความผดทางไซเบอรมากขน การตามหาผกระท าความผดกยงยากตามไปดวย
ทผานมา Microsoft ไดท าการส ารวจผลเกยวกบความตระหนกรของแตละหนวยงานและประเทศเกยวกบคาเสยหาย/ความตระหนกรของผบรหารเกยวกบภยคกคามทางไซเบอร โดยมผลการส ารวจทนาสนใจทงจ านวนเงนทสญหายจากการเกดภยทางไซเบอร หนวยงานตองสญเสยเงนจากการถกโจมตทางไซเบอรจ านวนกวา 400 แสนลานเหรยญสหรฐตอป หนวยงานอกกวารอยละ 71 ตอบวา คดวาหนวยงานตนเองเคยเสยงตอภยคกคาม ทงทความเปนจรงแลว หนวยงานทกหนวยงาน (100 %) ควรจะตระหนกใหดไดวา หนวยงานของตนเองนนอาจตกอยในความเสยงตอภยคกคามไดดวย นอกจากน สถตยงแสดงถงขอมลทนาสนใจคอ Microsoft พบวา ผกระท าความผดหรอผไมประสงคดสามารถแฝงตวอยในระบบคอมพวเตอรของเหยอเปนเวลากวา 140 วนโดยทเหยอทเปนเจาของเครองคอมพวเตอร/ระบบคอมพวเตอรไมทนไดรตวดวยซ า เชนนแสดงใหเหนวา เกอบทกประเทศไมมความตระหนกเรองความมนคงปลอดภยในระดบทเพยงพอ
เมอมการกระท าความผดทางไซเบอรมาก ท าใหเกดผเสยหายจ านวนมาก ยอมสงผลกระทบตอความเชอมนของผบรโภคหรอผใชงาน และเมอผบรโภค/ผใชงานไมมความเชอมนในโลกอนเทอรเนต/โลกออนไลน ยอมสงผลตอ Microsoft ซงเปนองคกรชนน าดานการผลตและพฒนาซอฟตแวร และกระทบตอธรกจของหนวยงานอนทเกยวของดวย เนองจาก เมอผบรโภคหรอผใชงานไมมความเชอมนในระบบออนไลนแลวกจะไมกลาท าธรกรรมทางออนไลน นวตกรรมทอาจจะมการพฒนาเรอย ๆ กจะหยดชะงก ดงนน Microsoft จงใหความส าคญกบการจดการอาชญากรรมทางไซเบอร ภยคกคามทางไซเบอร (Cyberthreats) ทง Microsoft ด าเนนการเองและรวมมอกบหนวยงานอน ๆ ในการส ารวจศกษาวจยเกยวกบภยคกคามทางไซเบอร นอกจากน ในสวนของเนอหาทางออนไลน (Online content) ทเกยวกบการกระท าความผดทางกฎหมายมจ านวนมากขน และถกน าไปใชในการกระท าความผดลกษณะอนดวย เชน รปอนาจารเดก จงเหนไดวา Cybercrime มขอบเขตทหลากหลายและมการกระท าความผดทเกดขนขยายหลายพนท และแพรกระจายอยางรวดเรว
นอกจากน ปญหาหนงททกประเทศประสบ คอ การก าหนดนยามและขอบเขตของ Cybercrime เนองจาก Cybercrime กลายเปนการกระท าความผดทมลกษณะวงกวาง หลายประเทศเปนผไดรบความเสยหาย จน Cybercrime เกดลกษณะ Global Crime ทหลายประเทศตองหาทางออกรวมกน ดวยการท าใหกฎหมายมความเปนเอกภาพหรอสอดคลองกน (Legal Harmonization) ระหวางหลายประเทศทมระบบกฎหมายแตกตางกน โดยในการท า Legal Harmonization จะตองการเปรยบเทยบและรวมพจารณากฎระเบยบในระหวางประเทศดวย อยาง Budapest Convention on Cybercrime ทมการบงคบใชในประเทศสมาชกมาเปนเวลานานแลว จงสมควรพจารณาปรบปรงใหมความทนสมยมากขน
ในการก าหนดกรอบกฎหมาย (Legal Framework) ตองค านงถงปจจยทเกยวของ เชน การคมครองประชาชน ความรวมมอระหวางหนวยงานรฐและขามพรมแดน โดยเมอไมมานานมานมกรณตวอยางเกยวกบเขตอ านาจศาล (Jurisdiction), ความเปนสวนตว (Privacy) และความมนคงปลอดภย (security) ท Microsoft ตอสมาโดยตลอด โดยในคดน Microsoft ไดรบหมายคน (search warrant) จากศาลนวยอรกใหคนขอมลอเมลของผตองสงสยกระท าความผดซงขอมลอเมลอยใน Ireland แต Microsoft ไมเหนดวยจงไมยอมด าเนนการตามทไดหมาย
3
เผยแพรเมอวนท 20 มนาคม 2560
ศาล และไมยอมเปดเผยขอมลของผใชงานทอยใน Ireland และไดฟองรฐบาลสหรฐอเมรกากลบ เนองจากเหนวาจะเปนการละเมดสทธมนษยชนของผใชงานซงเปนเจาของขอมลทขอมลอยท Ireland (ขอมลคด Microsoft v. The U.S. Government)
สงททาทายคอ การสรางสมดลระหวางกรอบกฎหมายแบบเกาและแบบใหม (Legal framework) เชนการสามารถเขาถงไดดวยทางกายภาพ
ดงนน ในการท าแนวปฏบตทด (best practice) ควรจะตองมการก าหนดกรอบอ านาจหนาทของผบงคบใชกฎหมายใหชดเจน ตองพจารณาความสมเหตสมผลระหวางความมเหตมผล และการท างานรวมกนระหวางหนวยงานรฐและเอกชน
Microsoft แมเปนเอกชนแตกไดพยายามด าเนนงานจดการกบปญหาภยคกคามไซเบอร ผานกจกรรมทงการส ารวจ การศกษา วจยวเคราะหผล ตลอดจนการรวมมอด าเนนโครงการตาง ๆ อยางไรกตาม ดวยรปแบบการกระท าความผดทางไซเบอรผกระท าความผดมแรงจงใจทเปลยนแปลงไป ผลกระทบจากการถกโจมตแผวงกวาง รายแรงระดบประเทศ เหลานยอมสงผลตอความเชอมนของผใชงาน ผบรโภค ซงในทายสดยอมสงผลกระทบตอการสรางสรรคนวตกรรมลดนอยถอยลงไปเชนกน Cybersecurity Baseline @ Microsoft
นาย Aaron Kleiner, Principal Security Strategist ไดถายทอดความรและประสบการณเกยวกบการท า Cybersecusrity Baseline ซงเปนสงทจ าเปนอยางยงในยคปจจบนเนองจาก ปญหาความมนคงปลอดภยไซเบอร (Cybersecurity) ทกระทบกบโครงสรางพนฐานส าคญของประเทศ (Critical Infrastructure) เชน การโจมตระบบการเงนการธนาคาร ระบบสาธารณปโภค ประปา ไฟฟา ซงเปนเรองใหญและส าคญท าใหการรบมอภยคกคามและการจดการกบความเสยงเปนเรองทตองมการด าเนนงานอยางเปนระบบและมประสทธภาพเพอปกปองระบบโครงสรางพนฐานส าคญเหลาน วธการทเหมาะสมคอ การเรมตนจากการก าหนด Cybersecurity Baseline
Cybersecurity Baseline เปนแนวทางการจดการดานความมนคงปลอดภยทางไซเบอรทวางแผนไวแลว เพอชวยใหการจดการความเสยงจากภยคกคามไซเบอรขององคกรและระหวางองคกรเปนไปอยางประสทธภาพ ตาม 5 ขนตอนหลกคอ
(1) Identify การวเคราะหวาระบบงาน ทรพยสน หรอขอมลใดบางทมความเสยงและอาจส งผลกระทบตอการท างาน หากเกดสถานการณการโจมต จดล าดบความส าคญในการดแลรกษา
(2) Protect มาตรการปองกนและรบมอเพอลดความเสยหายทอาจจะเกดขน (3) Detect กระบวนการตรวจสอบเหตการณโจมตทเหมาะสมและทนเวลา (4) Response กระบวนการรบมอสถานการณฉกเฉนเพอควบคมสถานการณ จ ากดความเสยหาย
วเคราะหสาเหตและหาวธปองกน และ (5) Recover การกคนระบบใหกลบสสภาวะปกตและแกไขสาเหตทท าใหเกดปญหาได
โดย Cybersecurity Baseline ทดควรจะมแนวทางหลกการทสอดคลองกบประเทศอน ๆ ทจดท าและก าหนดเปนแนวปฏบตทเปนไปตามหลกการสากล (International Best Practices) เชน สถาบนมาตรฐานและเทคโนโลยแหงชาต (National Institute Standards and Technology หรอ NIST) ของสหรฐอเมรกา หนวยงานดานความมนคงปลอดภยทางไซเบอรของยโรป (European Union Agency for Network and Information Security หรอ ENISA) หรอหนวยงานระดบประเทศอยาง Information Security Policy Council of Japan ของประเทศญปน เปนตน
4
เผยแพรเมอวนท 20 มนาคม 2560
การก าหนด Cybersecurity Baseline จะชวยใหเกดการจดการความเสยงดานความมนคงปลอดภย ไซเบอรทด โดยมแนวปฏบตทเปนไปตามหลกการสากล (International Best Practices) ทสรปได 6 หวขอ ดงน
(1) ท างานรวมกบทกฝายทงภาครฐ ภาคการศกษาและภาคเอกชนอน ๆ (Multistakeholders) Best Practice ของการก าหนด Cybersecurity Baseline ทดนนควรม 2 ขอคอ ขอแรกนโยบาย
แบบเปดเผย (Open Policy) ขอสองการท าภายในก าหนดเวลา (Time Bound) ดงนน แนวทางปฏบตทดตองเนนใหรฐบาลท างานรวมกบหนวยงานอน ๆ ทงภาคการศกษาและภาคเอกชนเนนใหเกดการแลกเปลยนขอมลกนเปน (Open Policy) และมการก าหนดระยะเวลาการท างานใหชดเจน (Time Bound) ดงตวอยางของ Cybersecurity Framework ทภาครฐของสหรฐอเมรกาใหโอกาสทกฝายเขารวมในการใหความเหน และก าหนดเวลากรอบการท างานชดเจน โดยมหนวยงานอยาง NIST ควบคมการท างานอยางใกลชด เพอใหเกดการตดสนใจและจดการอยางมประสทธภาพผานคณะท างานทรบฟงทกฝาย โดยทายทสด NIST จะมอ านาจในการตดสนทจะเลอกแนวปฏบตทดทสด
(2) สรางสภาวะแวดลอมใหเกดการตดสนใจทสอสารดวยภาษาเดยวกน (Common Language) Best Practice ของการจดการภายในองคกรและการสอสารกบหนวยงานภายนอกทดดาน Cybersecurity ควรก าหนดใหมเอกสารทใชอางอง (single document or reference) เพอสอสารดวยภาษาเดยวกนและเขาใจตรงกน (Common Language)
(3) การจดการความเสยงอยางมประสทธภาพ (Risk Management) Best Practice ในการก าหนด cybersecurity baseline การพจารณาจะดจากความเสยงท
อาจจะเกดขน และจดเรยงตามล าดบความส าคญของความเสยง โดยเนนใหเกดการปกปองระบบโครงสรางพนฐานทส าคญ (Critical Infrastructure) และปรบเขากบสถานการณไดอยางเหมาะสม ตวอยางกรณสหรฐอเมรกามโครงสรางพนฐานทส าคญจ านวน 16 ประเภททตองจดการ แต Mr. Aaeron เนนวา ในการจดการโครงสรางพนฐานทส าคญ (Critical Infrastructure) เรองน าประปาและไฟฟายอมส าคญกวาระบบไอท (เชน ระบบอเมลลม) จงตองมการวางแผนใหระบบทไมสามารถหาอะไรมาทดแทนได (อยางประปาและไฟฟา) ตองไดรบการดแลในล าดบตน
(4) กระตนใหเกดความคดสรางสรรคและนวตกรรมท เหมาะสมกบองคกรโดยเนนทผลลพธ (Outcome Base Approach) Best Practice ทเนนตาม Outcome Base Approach จะเปนทางเลอกทดส าหรบองคกรในการหาวธการจดการและสรางความเขาใจวาจะท าไปเพออะไร จะไดผลการท างานทดกวาการไปควบคมโดยการก าหนดทกขนตอนอยางละเอยดวาตองท าอะไร
(5) ปรบปรงอยางตอเนองเพอความกาวหนาและศกษาขอมลจากแนวทางสากล ( international best practices)
Best Practice ทหนวยงานปฏบตตามแนวทางสากลเชน NIST, ENISA และ Information Security Policy Council of Japan เพอใหเกดการแลกเปลยนขอมลและใหมการท างานระหวางประเทศโดยตอเนองจากแนวทางทอยากใหมการท าใหกฎหมายเปนเอกภาพหรอมความสอดคลองกน (harmonized law) เชน Budapest Convention on Cybercrime เพอใหการท างานสะดวกในทางปฏบตภายใตกฎหมายจงควรมแนวปฏบตทแลกเปลยนขอมลความรไดเชนกน
(6) สนบสนนใหองคกรเจรญโดยดแลลกคาและผลประโยชนขององคกร ตามผลลพธทตงไว จากการจดการความมนคงปลอดภยไซเบอรอยางมประสทธภาพ
5
เผยแพรเมอวนท 20 มนาคม 2560
Best Practice ในการบรหารจดการ cybersecurity นน ควรใหเกดความสมดลของการดแลธรกจใหเจรญโดยเนนทผลลพธในการท างานเพอดแลลกคาและยงบรหารจดการความเสยงอยางมประสทธภาพได
ดงนน Microsoft ใหความส าคญในการพฒนาองคความรจงไดจดท าเปนสอในรปแบบตาง ๆ รวมถง White Paper ทเกยวกบ Cybersecurity เพอเปนเครองมอสอสารและใหความรในการศกษาและใชงานตอ ดงนน White Paper ของ Microsoft ท เกยวกบ Cybersecurity Baseline และแนวทางการสรางความตระหนกใหหนวยงานทเปน Critical Infrastructure จงนาสนใจและนาจะเปนประโยชนอยางยงตอการน ามาประยกตใชในทางปฏบต Digital Crime / Digital Crime Center Tour at DCU @ Microsoft
คณ Niall O'Sullivan, SR Business Analytics, SPEC Digital Crimes Unit ไดน าทม ETDA ไปยงศนย Microsoft Digital Crimes Unit (DCU) ซงเปนศนยทท าหนาทเกยวกบการตดตาม ตรวจสอบ วเคราะหผลและตดตอประสานงานกระบวนการทางกฎหมายทงในประเทศและตางประเทศ โดยศนย DCU นเปนพนทควบคมในการเขาชมไมสามารถถายรปหรอท าการบนทกภาพได เนองจากมขอมลทละเอยดออน (sensitive) และส าคญมาก โดย DCU มผเชยวชาญทางดาน Cybersecurity และอน ๆ ทเกยวของเพอชวยกนท างานและยบยงภยคกคามทางไซเบอร โดยศนย DCU มภารกจ 3 ดานคอ
1. การปกปองเดกและเยาวชน (Child Protection) 2. การจดการการละเมดลขสทธ (Copyright infringement) 3. การจดการอาชญากรรมทเกดจากมลแวร (Malware Crimes)
โดยคณ O'Sullivan ไดถายทอดตวอยางประสบการณการท างานของ DCU ทรวมกบหนวยงานอน ๆ เชนป 2013 ทางศนย DCU ไดรวมมอกบ FBI, Europol และผเสยหาย เพอจดการบอทเนตทชอวา Zero Access โดยไดจดการเซรฟเวอรทมปญหาไดถง 18 แหง และสามารถสบหาพยานหลกฐานจนน าไปสการจบกมตวผตองสงสยได นอกจากน ศนย DCU ไดพฒนาเทคโนโลย Photo DNA เพอมาท าใชในการตรวจสอบ คนหาและวเคราะหรปอนาจารของเดกและเยาวชนในสวนงานการปกปองเดกและเยาชน (Child Protection) อกดวย
ปจจบนศนย DCU มอตราก าลงทประจ าอยทเมอง Seattle ประมาณ 30 อตราและกระจายอยทวโลก รวมแลวประมาณ 100 อตรา โดยประกอบดวยบคลากรทมความรความสามารถหลากหลาย ทงทางดานเทคนค ดานวเคราะหขอมล ดานกฎหมาย ตลอดจนดานการประสานงาน โดยศนย DCU จะรวมรวบการโจมตทเปนภยคกคามทมลกษณะคลายคลงกนและวเคราะหพฤตกรรมดวยวธการตาง ๆ เพอด าเนนการทางกฎหมายในคราวเดยว โดยจะเปนการชใหเหนถงขนาดของปญหาตอพนกงานเจาหนาท เพอใหเกดการด าเนนการทเปนรปธรรมในเชงกระบวนการยตธรรม โดยมตวอยางทปรากฏไดอยางชดเจนจากการทศนย DCU ด าเนนการเพอขอระงบชอโดเมน (Domain Name) ของเครองเซรฟเวอรทมพฤตกรรมเปนศนยควบคม (C2 Server) ของมลแวรประเภทตาง ๆ เปนตน
ในการเขาเยยมชมศนย DCU ครงน มขอมลทแสดงผลตวอยางขอมลมลแวรทพบในประเทศไทย ป 2017 ทท าการรวบรวมโดยศนย DCU โดยชนดของมลแวรทพบมากทสดในประเทศ คอ B106 ซงเปนมลแวรทจะท าการขโมยขอมลความลบของผใชงาน ซงจงหวดทพบการแพรระบาดของมลแวรมากทสด 3 จงหวด คอ กรงเทพ ภเกต และขอนแกน
ดงนน จงเปนโจทยทาทายส าหรบ ThaiCERT และ ETDA วาจะวเคราะหปญหาลงลกในรายละเอยดและลดปญหาการระบาดของมลแวรใน 3 จงหวดทมการระบาดใหลดลงเรวทสด ไดอยางไร
6
เผยแพรเมอวนท 20 มนาคม 2560
Cloud for Global Good (Digital inclusion) @ Microsoft
นาย Leonardo Ortiz Villacorta, Director, Field Empowerment, Philanthropies ไ ด ถ า ย ท อดประสบการณการด าเนนงานของ Microsoft ทมพ นธกจดานการมสวนรวมในสงคม อาท การน านวตกรรมทางเทคโนโลยมาใชใหเกดประโยชนในสงคม การฝกทกษะดานการใชเทคโนโลยใหกบเดกและเยาวชน โดยเฉพาะกลมทจะเปนกลมแรงงานหลกในตลาดแรงงาน ซงการเสรมทกษะใหตลาดแรงงานมประสทธภาพในการขบเคลอนเศรษฐกจในอนาคต ตลอดจนการสนบสนนองคกรทเกยวของดานสทธมนษยชนสอดคลองกบการรบผดชอบ และการสรางความตระหนกของสทธพนฐาน
โดยทผานมาในชวงเดอนกนยายน 2559 – กมภาพนธ 2560 Microsoft ไดมสวนรวมในการสนบสนนการประเทศไทยผานงานทโดดเดน เชน
การเปดเวทพดของเดกและเยาวชน (2 Youth speak) การสนบสนนอสระทางความคดเพอสรางโอกาสความเขาใจใหเดก เยาวชน และบคคลไรความสามารถ ในการการศกษาวทยาการคอมพวเตอร
โครงการ The hour of code สรางประโยชนใหเยาวชนกวา 1,256 คน รวมถงประเทศไทยดวย ซงประโยชนของโครงการดงกลาวจะชวยสนบสนนบคคลไรความสามารถ ผลภย และนกโทษหญง
การรวมกบกระทรวงแรงงาน ในการสรางก าลงคน (M-Powered Thailand) เปนรปแบบศนยบรการออนไลน (One stop online) ในการพฒนาสายอาชพกวา 10,000 คน ตอป
การสนบสนน 42 NGO on the cloud ซงมเปาหมายในปนจะขยายกวา 60 องคกร การสนบสนนเทคโนโลย นวตกรรมสมยใหมโดยไมหวงผลก าไร ซงไดมการน าไปใชกบกลม NGO
ของไทยแลว ETDA เองกตระหนกวา เดกและเยาวชนปจจบนเปนเดกและเยาวชนทเกดในยคเทคโนโลยด จทล
จ าเปนตองมภมคมกนและรเทาทนการใชอนเทอรเนต สอสงคมออนไลนจงไดด าเนนการจดกจกรรมโครงการSchool camp ทมวตถประสงคเพอสรางความตระหนกของเดกและเยาวชนในการใชอนเตอรเนตความมนคงปลอดภย ซง ETDA พจารณาอาจจะน าเอาเทคโนโลย “Minecraft” ซงเปนซอฟตแวรทชวยดานการเสรมสรางใหเกดการเรยนรในเดกและเยาวชน ทมเวอรชนภาษาไทยไวพรอมแลวมาใชประกอบการท ากจกรรมใหมประสทธภาพมากขน
(อางองจาก https://studio.code.org/s/minecraft/stage/1/puzzle/1)
7
เผยแพรเมอวนท 20 มนาคม 2560
Corporate Identity @ Microsoft นอกเหนอจากการถายทอดใหความรและประสบการณและการน าเยยมชมหองปฏบตการตาง ๆ โดย
เจาหนาท Microsoft แลว สงท ETDA สงเกตเหนไดจากการมาสถานทของ Microsoft ครงนคอ การเหนอตลกษณของ Microsoft อยางชดเจน ซงอตลกษณองคกร (Corporate Identity หรอ CI) เปนสงทออกแบบมาเพอใหสอดคลองกบเปาหมายทางธรกจหรอกลมเปาหมายทางธรกจโดยจะออกมาในลกษณะของแบรนดและการใชเครองหมายการคา สขององคกร ในการสรางแบรนดใหกบสนคานนจ าเปนตองใชอตลกษณในการสราง เพอใหสามารถสอสารผาน 3 ชองทางคอ ผานทางภาพ, ทางพฤตกรรม และ ผานการพด ซงสงเหลานจะน าไปสขนตอนของการออกแบบเครองหมายการคา เชน การออกแบบ Logo และการออกแบบโปรไฟลบรษทตอไป
Microsoft ไดก าหนดทศทางของการสอสารในเรองของ CI ตามลกษณะของแผนก (Department) หรอเนอหาในการสอสาร ดงตวอยาง ตอไปน
1. Cybercrime Presentation style 1.1 การใชสทเรยบงาย ก าหนดสทสอถง CI ของ Department ไดในไมกส ซงท าใหผชมสามารถจดจ า
แหลงทมาของ CI ไดในคราวตอไป
8
เผยแพรเมอวนท 20 มนาคม 2560
1.2 การใชภาพในลกษณะของ Symbol icon ในการน าเสนอชวยสรางความรความเขาใจใหกบผชมไดมากกวาการน าเสนอดวย Text
1.3 การ Bold ตวเลขส าคญของเนอหา และม Description ตอทาย ชวยสรางการนาจดจ าใหกบผชม
9
เผยแพรเมอวนท 20 มนาคม 2560
2. Global Theme Presentation Style 2.1 ในสวนของการสอสารในระดบ Global ทาง Microsoft ใช Theme หลกคอ Lifestyle people
เพอใหการสอสารของภาพสอออกมาในระดบ Global ทเปนสากล บงบอกไดอยางชดเจนถงการผสมผสานไมปดกน
2.2 ในสวนการใชภาพและค าบรรยายใตภาพ (caption) ทกระชบท าใหการเขาชมของผชมใชเวลา
เพยงไมมาก และสามารถจบใจความส าคญของเนอหาทตองการสอไดอยางชดเจน
10
เผยแพรเมอวนท 20 มนาคม 2560
2.3 การใชภาพ ทแสดงใหเหน Real Life ของสงทองคกรตองการน าเสนอจรง ๆ ท าใหการสอสารท าไดอยางชดเจน และเขาถงจตใจของผชมไดเปนอยางด
2.4 การแทรกดวยภาพกจกรรมจรง เชนงาน CSR ท าใหเกด Impact ในระดบ Global อยางชดเจน
11
เผยแพรเมอวนท 20 มนาคม 2560
นอกจากนในสวนของการสอสารถงผชม (Approach) ทาง Microsoft ยงไดจดใหมเครองมอ Interactive Touch Screen ขนาด 50 นว บรเวณโถงทางเขาหนาประชาสมพนธเพอใชในการสอสารภารกจของ Microsoft เพอใหเขาใจไดมากยงขนโดยใช concept การท างานในรปแบบของ Surface ในการโตตอบกบผเขาชมและเกม
12
เผยแพรเมอวนท 20 มนาคม 2560
Visit บรษทซสโก
@ เมองซานโอเซ สหรฐอเมรกา ETDA ไดเขาพบผบรหารและผเชยวชาญบรษท Cisco เพอแลกเปลยนประสบการณและความคดเหน
เกยวกบการเปลยนแปลงเทคโนโลยสารสนเทศและแนวทางท Cisco ไดด าเนนการและใหบรการ Mr. Eric Wenge, Director, Global Government Affairs, Cybersecurity and Privacy Policy ด ว ย
ปรมาณการจดเกบขอมลทางดจทลทเพมมากขนท าใหโลกมความเสยงเพมขนตอการถกโจมต จากการส ารวจของ Cisco พบวาผเชยวชาญสวนใหญมความกงวลกบการโจมตทางไซเบอรจาก อปกรณเคลอนท (58%), ขอมลทอยในคลาวดสาธารณะ (57%), พฤตกรรมของผใชงาน (57%), โครงสรางพนฐานของคลาวด (57%) และปจจยส าคญทสงผลกระทบตอการปรบปรงความมนคงปลอดภยคอ งบประมาณ (35%), Compatibility issues (28%), การขาดแคลนบคลากรทไดรบการฝกอบรม ( 25%) โดยมตวเลขทนาสนใจมากคอกวารอยละ 40 ของ Security alerts ทตรวจพบกไมไดถกตรวจสอบอยางจรงจง จงเปนทมาของแนวคดทจะตองท างานอยางมประสทธภาพโดยใชหลกการ Automated-Simple-Open ของ Cisco และความมนคงปลอดภยตองเปนกระบวนการทท าอยางตอเนอง มการปรบปรงเรอย ๆ โดยค านงถง People-Process-Technology
กรณของสหรฐอเมรกา กรอบแนวปฏบตความมนคงปลอดภยไซเบอรของ NIST ไมไดเกดขนจากภาครฐ แตเกดขนจากความรวมมอกบภาคเอกชนทรวมใหความคดเหนในกระบวนการราง Cybersecurity framework ดวย โดยในสวนของ Cisco ไดรวมใหความคดเหนในการจดท า Cybersecurity framework จนเปนทยอมรบและมการใชงาน ปจจบนสหรฐอเมรกาก าลงตอยอดในสวนของการวดระดบความพรอมของหนวยงาน เพ อใหมมาตรฐานทสามารถใชในการเปรยบเทยบขามหนวยงาน (สถานะปจจบน NIST ไดประกาศราง Cybersecurity framework เพอรบฟงความคดเหนจากสาธารณะ) ประเทศไทยสามารถน าแนวคดของสหรฐอเมรกามาใชในการผลกดนการพฒนานโยบายความมนคงปลอดภยไซเบอรโดยใหภาคเอกชนไดมสวนรวมอกดวย
จากประสบการณของ Cisco ทไดชวย NIST ท ากรอบแนวปฏบตความมนคงปลอดภยไซเบอร จงไดใหค าแนะน าวาในภาพรวมของนโยบายการรกษาความมนคงปลอดภยไซเบอรระดบชาตนนม 6 องคประกอบ ไดแก (1) การอภบาล (Governance) (2) กฎหมายและระเบบบ (Laws and Regulations) (3) โครงสรางพนฐานส าคญ (Critical Infrastructure) (4) เครอขายของรฐ (Government Networks) (5) ศกยภาพของบคลากร (Human Capacity) และ (6) การบงคบตามกฎหมายและความมนคงปลอดภยทางไซเบอรของชาต (Law Enforcement and National Cybersecurity)
ขอมลผลการส ารวจทนาสนใจจาก Cisco พบวา งบประมาณดานสารสนเทศของหนวยงาน สวนมากประมาณรอยละ 75 ของงบประมาณทงหมดในดานสารสนเทศเปนคาใชจายในการบ ารงรกษาอปกรณและระบบซอฟตแวร อปกรณหรอระบบเหลานบางสวนมสวนประกอบของซอฟตแวรทผผลตหยดการแกไขปญหาชองโหวดานความมนคงปลอดภยแลว ซงถงแมวาระบบเหลานจะไดรบการดแลบ ารงรกษาจากผผลต แตยงมความเสยงทจะถก
13
เผยแพรเมอวนท 20 มนาคม 2560
โจมตกบชองโหวเหลานอย Cisco เหนวาหนวยงานเองจงจ าเปนวเคราะหถงความเสยงของระบบและอปกรณเหลาน และมมาตรการในการยกเลกหรอลดความเสยงทเกดจากอปกรณเหลานอยางจรงจง
สหรฐอเมรกามหนวยงานทดแลการขาวและความมนคงปลอดภยหลายหนวยงาน เชน CIA, NSA, FBI และอน ๆ รวมกวา 20 หนวยงานซงมการแบงขอบเขตความรบผดชอบ เชน เรองภายในประเทศ เรองภายนอกประเทศ และมตอน ๆ ในภายหลงจงพบวามความจ าเปนทจะตองมหนวยงานกลางทรวมขอมลการขาวทไดรวบรวมมาดวย อยาง Office of the Director of Intelligence
สหรฐอเมรกาออกกฎหมายในการบงคบใหหนวยงานของรฐ คสญญา และผใหบรการระบบสารสนเทศใหกบหนวยงานของรฐตาง ๆ ตองปฏบตตามมาตรการรกษาความมนคงปลอดภยของสารสนเทศของหนวยงานของรฐ (Federal Information Security Management Act หรอ FISMA) โดยมอบหมายใหสถาบนมาตรฐานและเทคโนโลยแหงชาต (National Institute of Standard and Technology หรอ NIST) เปนผพฒนากรอบแนวปฏบตรวมกบผเชยวชาญในจากภาคอตสาหกรรมดานเทคโนโลยในประเทศ
แนวปฏบตของ FISMA ใชหลกการประเมนและควบคมความเสยงกบสนทรพยสารสนเทศส าคญของหนวยงาน รวมถงก าหนดใหผบรหารเทคโนโลยสารสนเทศของหนวยงานของรฐมภาระหนาทตองรายงานสถานภาพการด าเนนการตามมาตรการรกษาความมนคงปลอดภยของสารสนเทศของหนวยงานเปนรายปใหกบส านกงบประมาณ ซงเจาหนาทของส านกงบประมาณจะใชขอมลจากหนวยงานในการจดเตรยมรายงานใหกบสภาCongress ตอไป ทาง Cisco เหนวา FISMA เปนเครองมอทางกฎหมายทส าคญทรฐบาลกลางใชในส ารวจและยกระดบความมนคงปลอดภยสารสนเทศของหนวยงานของรฐและเพมประสทธภาพในการใชงบประมาณของรฐในดานน ซ งส งผลให เกดการจดต ง โปรแกรม FedRAMP (Federal Risk and Authorization Management Program) ในการประเมนความเสยงและรบรองผใหบรการ Cloud ทด าเนนการโดยรฐบาลกลาง ซงจะลดความซ าซอนทจะเกดขนจากการด าเนนการตามมาตรการ FISMA ของหนวยงานของรฐตาง ๆ ได
Randy Jewell, Distinguished IT Engineer, Information Security อธบายมมมองความมนคงปลอดภยวา มจดศนยกลางทจะตองรวา Critical assets คออะไร มผทสนใจแบงเปนกกลม เชน National assets, Political, Insider, Criminal ในฐานะทเปนผรบผดชอบระบบเครอขายของ Cisco ใหความเหนเชนเดยวกบ Eric วา ดวยปรมาณขอมลทสงผานระบบเครอขายทตองตรวจสอบวเคราะหและประเมนความเสยง ปรมาณจ าเปนตองใชเครองมออตโนมตชวย ซง Cisco ใชซอฟตแวรวเคราะหขอมลขนาดใหญ (Splunk) มาเปนเวลากวา 10 ป และยกตวอยาง 95% ของอเมลทสงผานบรการอเมลของ Cisco ถก drop ดวยเหตผลทเมอตรวจสอบแลวพบวา มความเสยง และจากลกษณะการท างานแบบรวมศนยของระบบไอท Cisco ทตองใหบรการสาขาของ Cisco รวมถง partner ทอยทวโลกท าให Randy ตองมบคลากรชวยท างาน Frontline 50 คน และ Investigator 25 คน และอน ๆ โดยใชเครองมออตโนมตในการจดการเมอพบภยคกคาม
จากประสบการณของ Cisco ในการท างานรวมกบรฐบาลสหรฐในการพฒนากรอบแนวปฏบตดานความมนคงปลอดภยไซเบอร เปนประโยชนตอการพฒนานโยบายดานการรกษาความมนคงปลอดภยไซเบอรของประเทศไทย จงเหนควรจดกจกรรมรวมกน เชน
(1) การเชญผบรหารดานความมนคงปลอดภย Cisco รวมเปนคณะท างานจดท ารางนโยบาย/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอรประเทศไทย
(2) การน าแนวคดการใหภาคเอกชน/ภาคธรกจเขามามสวนรวมมาประยกตในการจดท ากรอบนโยบาย/แผน/แนวปฏบตดานการรกษาความมนคงปลอดภยไซเบอรใหกบหนวยงานโครงสรางพนฐานส าคญของประเทศ
14
เผยแพรเมอวนท 20 มนาคม 2560
(3) การขยายความรวมมอของเครอขาย ThaiCERT กบ Cisco CSIRT ครอบคลมการรบมอและจดการภยคกคาม การแลกเปลยนขอมลภยคกคาม และการพฒนาทกษะของบคลากรของ ThaiCERT ในการวเคราะหภยคกคาม เปนตน
15
เผยแพรเมอวนท 20 มนาคม 2560
RSA Conference 2017 @ เมองซานฟรานซสโก สหรฐอเมรกา
RSA Conference เปนงานประชมประจ าปทเปนเวทเกาะตดเทรนด Cybersecurity โลก ทจดอยางตอเนองตงแตป 1977 โดยรปแบบงานแบงเปน 2 สวน คอ สวนสมมนาวชาการ (Cybersecurity, Biz, Policy, Law, Privacy) และ สวนนทรรศการสนคาดาน Cybersecurity (Expo) งานทมผเขารวมงานกวา 45,000 คน หลากหลาย background ( IT Geek, , Startup, Businessman, Policy maker, Lawyer, NGO, ผปกครอง , เยาวชน, นกเรยนนกศกษา) มารวมตวกนแลกเปลยนความคดเหน Trend ของ Security ซงสอคคลองกบแนวทาง “Where the world talks security”
RSA Conference แบงการสมมนาตาม Track กลมเรองตาง ๆ ซงแบงไดเปนกลมใหญ ดงน เรองฮอตของกลม Fintech & New Technologies ความกงวลเรอง Cloud security ทงการประเมนบรการ การตรวจสอบ และแนวทางการรบมอ
กบปรมาณขอมลทตองจดเกบจ านวนมหาศาล การพฒนาเทคโนโลยปญญาประดษฐ (AI) เปนเครองมอสนบสนนการวเคราะหภยคกคาม
ไซเบอร การน า Blockchain มาใชในยค Fintech กบแนวโนมภยคกคามรปแบบใหม การปรบปรง Cryptography ใหมความมนคงปลอดภยเพมขน Cryptographic protocols
และ Cryptographic สมยใหม
แวดวง Cyber Threats ไปถงไหน การโจมตจากอปกรณ IoT ใครตองรบผดชอบ รฐบาลหรอผผลตอปกรณ ? แนวทางการรบมอ Ransomware แนวโนมการโจมตลกษณะ State Sponsor การพดถง Stuxnet ทเปนจดเรมตนของการคกคาม
ทมาจากระดบรฐบาล การกอกวนผลการเลอกตงของสหรฐอเมรกาทมพดแทบทก session รปแบบอาชญากรรมไซเบอรท มงเปาหมายโจมตสถาบนการเงนโดยตรง เชน ATM และ
คอมพวเตอรทควบคมระบบ SWIFT
อพเดตกลม Laws & Privacy การตนตวของภาคธรกจในสหรฐอเมรกาอนมผลจากการออกกฎหมาย Privacy ของ EU “การ
รกษาขอมลสวนบคคล GDPR (General Data Protection Regulation)” ทใหผใหบรการแกประชากรใน EU ตองปรบเปลยนหลกเกณฑอยางไร
16
เผยแพรเมอวนท 20 มนาคม 2560
ธรกจของสหรฐอเมรกา เตรยมปรบปรงกรอบแนวทางการบรหารจดการความมนคงปลอดภยไซเบอร ทจดท าโดย National Institute of Standards and Technology (NIST) สหรฐอเมรกา รวมกบภาคเอกชน และใชงานมาแลวอยางไดผลมาหลายป เพอเพมแนวทางในการท า Benchmarking Keynotes การปาฐกถาพเศษในหวขอ “Planning for Chaos”
Dr. Zulfikar Ramzan, CTO RSA ไดกลาวปาฐกถาน าความสนใจของผเขารวมงานสมมนาใน Hall ดวย ค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย โดยยกตวอยาง Ripple ทเคยเกดขนแลวยงคงสงผลกระทบถงปจจบน นนคอ One Ripple Creates Multiple Ripples Ripple เ ร ม จ าก 40 ป ท แ ล ว จ าก รอน ร เ ว ส ต ( Ron Rivest), อา ด ชามร (Adi Shamir) และเลน เอเดลแมน (Len Adleman) จาก 1 Ripple จาก RSA Algorithm1 จนท าใหคนกวา 40,000 คนมารวมตวกนในงาน RSA เพอสราง Ripples Effect ในวนนซงจะสงผลกระทบถงวนในอนาคตขางหนา
เราไมตองวาดเสนแตตองวาดภาพความเชอมโยงความมนคงปลอดภยทใชขบเคลอนธรกจ (Don’t Draw Line but Draw Connection Business Driven Security) เพราะเราทกคนตางมหนาทในการปองกนการโจมตทางไซเบอร (Cyber Attack) ดงนน การเปลยนแปลงตาง ๆ ลวนเชอมโยงกนจนเกดเปน Butterfly Effect ทงการการเลอกตงประธานาธบดสหรฐอเมรกา การเรยงรอง/การเปลยนแปลงระบอบประชาธปไตยในหลายประเทศ ปญหาทเกดจากความวนวายทเกดขนจากการโจมต การเปลยนแปลงชวตทมผลจากภยพบตอยางเหตการณแผนดนไหวท Fukushima Nuclear ซงเปน Ripple ทท าใหเกดเหตการณรถ Toyota Nissan มราคาทสงขน โรคภยตามมา ตลอดจนดผลกระทบทางจตใจของประชาชน เปนตน ดงนน ทกคนจงควรสรางสรรคนวตกรรมเพอรองรบเหตการณตาง ๆ (Innovation invites exploitation) และตองตดตามดแล ทงตองสรางกลยทธความมนคงปลอดภยทใชเปนความมนคงปลอดภยขบเคลอน ธรกจ (Business Driven Security) โดยการท าตาม 3 ขนตอนเพอจดการความยงเหยง ดงน
(1) ปฏบตตอความเสยงอยางวทยาศาสตร ไมใชศาสตรมดแตอยางใดและการคาดการณเรองในอนาคตเปนสงทยาก (Treat Risk as a science not a dark art, Prediction is very difficult especially about the future by Neil Bohr)
(2) วาดภาพเชอมโยงสงทสามารถควบคมได (Simplify what you control) เพราะ Vendors ควบคมยากมากและอยาคดวาจะใชนโยบาย No Vendor Left Behind
(3) วางแผนเพอความยงเหยงทเราไมสามารถควบคมได (Plan for the chaos you can’t control)ท าการวางแผน Incident Response โดยอาศยทกปจจยทตองชวยกน เชน งบประมาณ ความรวมมอ ความพรอมใชงาน ความมอยของทรพยากร การสงเสรมสนบสนนการรวมมอกนด าเนนงาน
ดงนน อาจเหนไดวา ความยงเหยง (chaos) อาจสรางชวงเวลาทมหศจรรยกเปนได จงเปนค าถามทชวนคดทงทายไดกลบไปชวยกนคดหาค าตอบวา เราจะสราง Ripple ทสามารถเปลยนแปลงอะไรในโลกใบนไดหรอไม
1 RSA Algorithm – ทฤษฎเขารหสทใชในปจจบนโดยใชคคย
17
เผยแพรเมอวนท 20 มนาคม 2560
การปาฐกถาพเศษในหวขอ “Protecting and Defending against Cyberthreats in Uncertain Times” นาย Brad Smith, President of Microsoft ไดปาฐกถาถงวธการปกปองและตอสตอภยคกคามไซเบอร
(Cyberthreats) โดยชวนใหผเขารวมงานสมมนาใน Hall รวมกนคดตาม ดงน 1. ปญหาทเกดขนมกตองการทางออกใหม ๆ (A growing problem in need of new solutions)
มการคาดการณวาในป 2020 จะมการสญเสย 3 ลานลานเหรยญสหรฐ จาก cybersecurity การโจมตมการเปลยนแปลง โดยเปลยนจากโจมตระดบประเทศหรอ Nation State Attack เปลยนมาเปนระดบทใกลตว เชน Sony Attack เปนจดเปลยนของการโจมต เพอ freedom of speech
2. Cyberattack เปนสงคราวแบบใหม สนามรบไมไดเปนแบบทเราเขาใจอกตอไป โลกไซเบอรสามารถกลายเปนสมรภมรบไดตลอดเวลา ดงนน เราจงเปนพวกแรกทมหนาทเปนผรบมอ ทตองจดการกบสงครามนตงแตตน (the first responders)
“Cyberspace is US” พวกเราอยในไซเบอร ไซเบอรคอเรา ไมใชเฉพาะรฐบาล แตเปนของทกคน ทเปนเรองตางจากอดต ท าใหเกดการเปลยนแปลงใหทกคน เปน first responder ไมใชรฐบาลเทานน
3. เปลยนจากการปกปองราษฎรในเวลาสงครามเปนตองปกปองราษฎรในเวลาทโลกสงบสขดวย (From protection civilians in time of war to attacking civilian in time of peace)
ในทกบรษทจะมอยางนอย 1 คนในบรษท ทจะ click ทกสงบนหนาจอ ดงนน phishing email2 เลยยงไดผลเปนปญหาขององคกร ททางบรษท Microsoft ไดเขามาชวยโดยการหาขอมลใหมากทสด Microsoft จงไดท าการสแกนอเมล 2 แสนลานอเมลเพอหามลแวร และหาขอมลเพอทจะปองกนทกคนได
4. ขอมลจะเปนสวนทแขงแรงในการตอส (Data Strengthens our Defense) เพราะในการตอสรบมอกบภยคกคาม ขอมลเปนสงทจ าเปน จงตองม
(4.1) ทมศกษาขอมลทไดจาก cloud ของ Microsoft Review Data from Cloud Service (4.2) ทมไซเบอรทจะหาทางแกปญหา Cyber Defense Data Center (4.3) ทมทจะท างานรวมกบหนวยงานกฎหมาย work with law enforcement 5. การใชกฎหมายเพอขดขวางการโจมตรฐ (Using law to disrupt nation state attacks)
ไมโครซอฟต มการท างานรวมกบ ฝายบงคบใชกฎหมาย (Law Enforcement) ทท าใหการโอนโดเมน (domain) ทมปญหามาใสฐานขอมลของ Microsoft เพอศกษาขอมล
6. เรายงหางไกลจากการประกาศชนะสงคราม (We are far away from declaring victory) ดงนน พวกเราตองการใหรฐบาลท างานรวมกน เชนกรณ Geneva Convention3 ทลงนามไปเมอวนท
12 สงหาคม 1949 ทรฐบาลมารวมตวกนเพอปองกนประชาชนในชวงสงคราม แตตอนนเปนการปองกนในชวงโจมตในเวลาสงบสข (Attack in Time of Peace) ดงนน พวกเราจ าเปนตองมการเวอรชนใหมทเปน Digital Geneva Convention Version เพอใหรฐบาลท างานรวมกนได 2 Phishing email - ฟชชงอเมล 3 Geneva Convention – สนธสญญาเจนวา
18
เผยแพรเมอวนท 20 มนาคม 2560
Tracks Ransomware
ปจจบนน ปญหา Ransomware4 เปนปญหาทพบไดทวไป และมผลกระทบอยางแพรหลาย โปรแกรม Ransomware จะท าการเขารหสไฟลของผใชงานและสงใบเรยกเงนเพอแลกกบการถอดรหสไฟลนนๆ โดยการแพรระบาดของโปรแกรม Ransomware เกดขนไดทงในสวนของคอมพวเตอรสวนบคคล และเซรฟเวอร โดยทวไปนนการจดการปญหาเกยวกบ Ransomware ใชเวลาประมาณ 3 วนท าการ วธการโดยทวไปในการจดการ Ransomware ท าไดโดย 1) ท า Backup ไฟล เปนประจ า 2) ท าตามขอก าหนด Cyber Hygiene5
ในหลายกรณมการจายเงนเรยกคาไถ จากโปรแกรม Ransomware โดยพจารณาถงความเรงดวน และกรอบระยะเวลาในการแกปญหา โดยควบคไปกบการเจรจาตอรองในเรองของ ราคา ระยะเวลาในการจายเงน เพอแสวงหาขอมลทท าการ Backup ไว ในบางกรณมการเจรจาใหลองถอดรหสไฟลใหดกอน เพอใหแนใจวาภายหลงการจายเงนไฟลดงกลาวจะถกกคนกลบมาใชงานได ภายหลงการกคนระบบแลว มความจ าเปนตองเรมตนตดตงและอพเดทขอมลและซอฟตแวร และระบบปฏบตการใหมทงหมดเพอปองกนไมไดการตด ransomware แบบเดมเกดขนไดอก นอกจากน การหาขอมลในอนเทอรเนต หรอกลมทรวมตวกนเพอแกปญหากอาจชวยในการคนไฟลทตด ransomware ได
ในปจจบนพบวาคาใชจ ายส าหรบ Ransomware มต งแต 2,000 $ - 20 ลาน$ โดยการจดการ Ransomware ในธรกจขนาดเลก และ ธรกจขนาดใหญกจะมความแตกตางกน การลงทนทางดานความมนคงปลอดภยไซเบอรขยายตวขนอยางมาก โดยอยในรปแบบของ โครงสรางพนฐาน และ สญญาทปรกษาสวนบคคล เพอจดการเกยวกบปญหา Ransomware ทไดกลาวมาขางตน
ธรกจทไดรบผลกระทบมากทสดในปจจบนคอ ธรกจทางการแพทยโดยขอมล เชน ขอมลคนไข ขอมลตารางนด เปนตน โดยโปรแกรม Ransomware จะท าการเขารหสฐานขอมลทจ าเปนในการใชงาน อยางไรกตามมธรกจทเกยวของกบการจดการ Ransomware คอ ธรกจประกนภยคกคามทางไซเบอรโดย ธรกจนอาจครอบคลมถง คาใชจายในการเรยกคาไถไฟล และ คาความเสยหายทเกดจากการกคนระบบ เปนตน
อนาคตของ Ransomware คาดวาจะยงมอย และขยายความรนแรงขนเนองจาก อาชญากรหารายไดงาย และการจบกมยาก โดยในปจจบนมเครองมอในการผลต Ransomware ส าหรบมอใหญซงไมไดใชทกษะชนสงแตอยางได และท าใหงายในการผลต Ransomware สายพนธใหมๆ ในบทบาทของภาครฐ และผบงคบใชกฎหมายสามารถท าไดโดยการดเสนทางการเงนของอาชญากร ทงนตองอาศยความรวมมอจากการรายงานของทกภาคสวนเพอชวยกนสบหาตวผกระท าความผด ในมมของ CERT6 กควรจะมการใหความรกบคนในองคกรเพอใหมความเขาใจเกยวกบ Ransomware และกระบวนการแพรระบาด อกทงควรมการปรบปรงซอฟตแวรตาง ๆ ใหทนสมยอยเสมอ เชน เวบบราวเซอร โปรแกรมปลกอน 7 ตาง ๆ เปนตน
ในปจจบนการจดการกบ Ransomware ท เปนปญหาททกคนรบร ไดและเกดขน ไดกบทกคน Ransomware งายทจะรบร เพราะจะไดรบการตดตอมาโดยตรงจากผไมประสงคดไมตองคนหา ค าถามคอ ถาเจอปญหา Ransomware จะจายเงนมย และ จะจายตอนไหนด ค าตอบทเหมาะสมขนอยกบวา บคคลหรอองคกร มระบบ Backup ขอมล และ สามารถท าใหระบบท างานไดภายในระยะเวลาทก าหนดไดหรอไม หากไมมการรบมอท
4 Ransomware – โปรแกรมไมพงประสงคทท าการเขารหสขอมลและไมยอมถอดรหสใหเพอแลกกบคาไถ 5 Cyber Hygiene – วธปฏบตเพอท าใหเกดความมนคงปลอดภยทางไซเบอรของบคคล 6 CERT - ศนยตอบสนองภยคกคามทางไซเบอรขององคการ (Computer Emergency Response Team) 7 ปลกอน – โปรแกรมประยกตขนาดเลกชวยสนบสนนการท างานของโปรแกรมหลก
19
เผยแพรเมอวนท 20 มนาคม 2560
เหมาะสม การจายเงนเปนทางออกทดทสด โดยทผานมามการกอเหต Ransomware กบโรงพยาบาล รถไฟสาธารณะ ทท าใหประชาชนเดอดรอน และท าใหตองหาทางแกไขสถานการณในระยะเวลาทเรงดวน ดงนน การแกปญหาเพอกคนระบบอาจไมใชทางออกเดยว ดงนน จงมการใหบรการประกนภยแบบใหม หรอ Cyber insurance ทเปนทางออก ขนานไปกบการตอรองเวลาทใชและโฟกสทควรท าไปพรอมกน คอ การท า backup และดแลระบบเพอปองกนไมใหเกดการโจมต และ ตกอย ในสถานการณดงกลาวอก ในป 2017 ปญหา Ransomware คาดวาจะยงเปนปญหาส าคญอย เพราะท าแลวส าเรจ Ransomware เรมมการเปลยนแปลงจาก hijack data เปน lock down operation เชน กรณ Austrian Hotel ใหเปดประตหองไมได และคาดวาจะมเหตการณเพมขนในสวนของ Open source ดงนน ควรเตรยม Email Server DNS ใหพรอมในการจดการ เพอกคนขอมลและรบมอกบสถานการณได IoT Adversaries
โลกปจจบนเปนโลกทอปกรณตาง ๆ เชอมตอกบอนเทอรเนต และอปกรณเปนชองโหวได อปกรณทขายผานหนาเวบ ebay เชน router ทเปนของโหว และ ยงขายอยตอไป มตวอยางทสามารถเขาไปดการเขยนโปรแกรมทใส username และ password เปน hard code และหากใครททราบชองโหวน สามารถโจมตและยดครองการเชอมตอเครองใชงานตางๆในบานได ในป 2020 มการคาดการณวาจะมอปกรณ IoT 50 Billions Units ดงนนหากมชองโหวในอปกรณเหลาน แมเพยงแค 1% ยงเปนเรองทนากลวและตองรวมมอในการสอสารเพอใหเกดการแกไข Achieving and Measuring Success with the Security Awareness Maturity Model
Lab เปนการเขารวมกจกรรมทเปนกลมยอย กลมละ 5 คนเพอใหความเหนรวมกนตามทวทยากรออกแบบ คอการท าความเขาใจวา security awareness การสรางความตระหนก คอ การสรางความเปลยนแปลงทางพฤตกรรมของพนกงานในองคกร 18 ความเสยง และม 9 ความเสยง เทานนทจะสอนได จะมการคดเลอกไดอยางไร Security investigative journalist speaker out share insights on the 2016 cybersecurity headlines and a look ahead of the threat landscape in 2017
นกขาวในสาย Cybersecurity จากนตยสาร Wired หนงสอพมพ New York Times สอ Reuters และ The Daily Beast รวมอภปรายประสบการณในเรองการท าขาวดาน Cybersecurity ในปทผานมาวา มแนวโนมของขาวดาน Cybersecurity ในลกษณะเกยวของกบการโจมตทางไซเบอรในระหวางประเทศเพมขนตงแตหลงเหตการณเผยแพรขอมลของ Edward Snowden การโจมตทางไซเบอรถกใชเปนเครองมอในการโจรกรรมขอมลในกจกรรมในระดบประเทศหลายเหตการณ หรอพบวามความพยายามในการเชอมโยงการโจมตทางไซเบอรใหเปนการโจมตทไดรบการสนบสนนจากประเทศตางๆมากขน เชน เหตการณเลอกตงในสหรฐอเมรกาในชวงปลายปทผานมา ผเขารวมอภปรายใหทศนะวา แมวาขาวจะเปนเรองทเกยวของกบ Cyberspace แตการรวบรวมขาวสารจากแหลงขาว ยงคงเปนในลกษณะเดม โดยสอจะพบและพดคยกบแหลงขาวโดยตรง
นอกจากนน ยงพบการเพมขนของขาวลอมากขน ซงหลายครงพบความผดพลาดในการตรวจสอบขาวสารกอนเผยแพรของสอรายใหญหลายราย นกขาวจ าเปนตองตรวจสอบความแมนย าของขาวจากแหลงขาวตางๆ กอนเผยแพรมากขน
20
เผยแพรเมอวนท 20 มนาคม 2560
นกขาวสายขาวดาน Cybersecurity เหลานมกจะตกเปนเปาหมายในการโจมตทางไซเบอรอยบอยครง ซงนกขาวสวนใหญจะมความตระหนกถงรปแบบภยคกคามทางไซเบอรทมอยในปจจบน และสามารถดแลเครองมอและอปกรณทตนเองใชงานอยไดเบองตน
สวนแนวโนมขาว Cybersecurity ของป 2017 ไมมผรวมอภปรายใหความเหนวาหรอคาดการณในอนาคต เนองจากเปนรปแบบการท างานของนกขาวมกจะไมเปดเผยขาวหรอเรองทก าลงจดเตรยมอยกอนทจะเผยแพร
ในชวงซกถาม ผฟงหลายทานตงค าถามถงความนาเชอถอของการขาวการโจมตทางไซเบอรทเปน State Sponsor ทเกดขนในชวงทผานมา เชน ขาวทสหภาพการเลอกตงของสหรฐอเมรกา การพบวา Ransomware บางชนดมชดค าสงทคลายกบมลแวรทเชอวาเปนการโจมตของเกาหลเหนอ เปนตน ซงผอภปรายสวนใหญไมไดชชดวาเปนไปตามขาวทมการเผยแพรหรอไม What is needed in the next generation cloud trusted platform?
ขอเทจจรง คอ ผใชงานอนเทอรเนตมแนวโนมทจะใชบรการ Cloud สงมากขน โดยเฉพาะการเพมขนของหนวยงานหรอองคกรตาง ๆ ทเรมยายบรการจากระบบหรอเครองบรการของตนเอง ไปบนระบบ Cloud ของผใหบรการสาธารณะมากขน ซงสอดคลองแนวโนมท Google ไดคาดการณไววาบรการในอนาคตจะอยในรปแบบ Cloud ในรปแบบใดรปแบบหนง ดวยเหตน Google จงใหความส าคญในเรองการรกษาความมนคงปลอดภยของบรการ Cloud (Cloud Trusted Platform) โดยจดแบงโครงสรางบรการ Cloudไดเปน 9 ชน (Layer) จากชนลางสดคอ ระดบฮารดแวรของระบบคอมพวเตอร จนถงชนบนสด คอระดบผใชงาน (Users)
ความนาเชอถอของบรการ Cloud จ าเปนตองมการรกษาความมนคงปลอดภยในทกชน ผบรรยายจาก
Google น าเสนอหลกการการรกษาความมนคงปลอดภยของบรการในแตละชน เชน ในสวนของฮารดแวร ใหออกแบบในลกษณะ Trusted Hardware Stack ใชงานสวนประกอบตาง ๆ ทผานการตรวจสอบมาวาไมมจดออนหรอมชองทางลบใหผประสงครายสามารถเขาถงได มการตรวจถงความครบถวนสมบรณ ( Integrity) ของ Firmware กอนจะมการเรยกใชงาน และมเฝาระวงและตรวจสอบการท างานของอปกรณทงไดถงในระดบ Chip เพอใหแนใจวาไมมการท างานใด ๆ ทเกดกวารปแบบทไดออกแบบไว
ตอไปเปนสวนของ Boot Layer เปนการเรยกค าสงเพอเรมระบบปฏบตการ (โดยจะมสวนของ Storage และ Network รวมอยในชนนดวย) ยงคงใชหลกการพจารณาวาตองมการรกษาความมนคงปลอดภยใหกบ OS โดยตงสมมตฐานวา ชน Hardware หรอ Virtual Machine เปนชนทเชอถอไมได ดงนนเพอลดความเสยงในชนระบบ
21
เผยแพรเมอวนท 20 มนาคม 2560
ปฏบต การเรยกใชซอฟตแวรภายใตระบบปฏบตการส าหรบการตดตอกบสวนประกอบฮารดแวรตาง ๆ ตองเปนซอฟตแวรเฉพาะทผานการตรวจสอบ เปนทรจก และเทาทจ าเปน ใหท าการตรวจสอบสวนประกอบตาง ๆ ภายในระบบปฏบตการดวยเทคนค fuzzing (สงขอมลสมเขาไปในซอฟตแวรเพอหาจดออนของซอฟตแวร) และจ าเปนตองด าเนนการวเคราะหปญหาทเกดขนเมอพบวามการท างานผดพลาดและสวนประกอบหรอระบบปฏบตการหยดการท างานกระทนหน (Crash) เนองจากขอผดพลาดเหลานสวนหนงอาจจะเกดจากชองโหวทยงไมถกคนพบ
สวนของแอปพลเคชน ซงผบรรยายใหความเหนวา นกพฒนาจ าเปนตองมกลไกในการตรวจสอบความนาเชอถอและความครบถวนสมบรณของชดค าสงของซอฟตแวร ซงเทคนคทเปนทนยมและมระดบความนาเชอถอสง คอการใชเทคนคการเขารหสลบขอมลในการท า Code Signing โดยชดค าสงทผานการตรวจสอบและยนยนความครบถวนสมบรณเทานนทจะถกเรยกและท างาน นอกเหนอจากนนยงตองมการตรวจสอบสทธในการเขาถงขอมลของแอปพลเคชนและผใชงานตามนโยบายทก าหนดไว เพอใหแนใจวาแอปพลเคชนท างานอยางถกตอง ผบรรยายไดเสนอแนะการรกษาความมนคงปลอดภยในชนแอปพลเคชนนในหลกการคลายกบชนระดบปฏบตการ คอ ผพฒนาตองหมนตรวจสอบชดค าสงอยางสม าเสมอเพอตรวจสอบชองโหวของแอปพลเคชน ชดค าสงจะถกเรยกและท างานเมอผานเปนชดค าสงทนาเชอถอ และใหมกระบวนการในการเฝาระวงการท างานผดพลาดแอปพลเคชนและวเคราะหหาสาเหตเพอแกไขจดออนและปรบปรงความมนคงปลอดภยของแอปพลเคชน
การสราง Trusted Cloud Platform ยงคงเปนหวขอทมผผลตเสนอกลไกในการสรางบรการ Cloud ใหมความนาเชอถอไดมากขนใน Application Stack เชน บรษท Intel เสนอใหใช Intel SGX (Software Guard Extensions) ฮารดแวรทมชดค าสงพเศษส าหรบแอปพลเคชนในการท างานภายใตพนทหนวยความจ าพเศษเพอปองกนแอปพลเคชนทมสทธทสงกวาในการเขาถงขอมลในหนวยความจ าพเศษน หรอ บรษท AMD เสนอ Secure Encrypted Virtualization โดยใหท าการเขารหสลบพนทขอมลของแอปพลเคชนของผใชงานเพอปองกนการเขาถงจากแอปพลเคชนอนทมสทธสงกวา ซงทงสองรปแบบยงไมไดรบการรบรองใหเปนกลไกมาตรฐานในการสรางความนาเชอถอในปจจบน
ประเดนสดทายทผบรรยายไดสรปไวในการบรรยายการสรางบรการบนคลาวดใหมความนาเชอถอ ประกอบดวย 4 ประการคอ
1. การตรวจสอบ (Eaxmine) ความมนคงปลอดภยในมมของฮารดแวรและซอฟตแวรของบรการ Cloud 2. การสราง (Establish) กลไกในการรกษาความมนคงปลอดภยใหกบบรการ Cloud โดยใหพจารณาใน
รปแบบ end-to-end จากขอมลในบรการ Cloud ถงอปกรณตางทเกยวของ 3. การส ารวจ (Explore) เทคนคในการพฒนาแอปพลเคชนทท างานภายใต Sandbox ซงสามารถควบคม
การตดตอระหวางแอปพลเคชนกบระบบปฏบตการของเครองได รวมถงเทคนคในการแยกการเรยกและสงงานของแอปพลเคชนออกจากชดค าสงของฮารดแวร
4. การยนยนผล (Ensure) บรการคลาวดสามารถใหบรการไดอยางสอดคลองกบนโยบายความมนคงปลอดภยของขอมลทระบไวและมการเฝาระวงและตรวจสอบการท างานอยเสมอ
Two Bytes to $951 m—Collaborate to Defend
ผเชยวชาญดานการวเคราะหภยคกคาม บรษท BAE และหวหนาทมวเคราะหและเจาะระบบ (Red Team) ขององคกร SWIFT น าเสนอกรณทมลแวรโจมตเครองคอมพวเตอรของ ธนาคารกลางของประเทศบงคลาเทศ ทเชอมตอกบระบบ SWIFT และท าการโจรกรรมเงนเปนจ านวน 81 ลานเหรยญ โดยสรปสาระส าคญจากการบรรยายดงน
22
เผยแพรเมอวนท 20 มนาคม 2560
การโจรกรรมเงนจากบญชธนาคารกลางของประเทศบงคลาเทศ เปนการโจมตทมการเตรยมการมาเปนอยางด และเลอกเครองมอและเวลาในการด าเนนการในชวงเวลาวนหยดของประเทศบงคลาเทศ และวนหยดยาวของประเทศฟลปปนส โดยบญชทใชในการรบโอนเงนทเปดไวทประเทศฟลปปนสถกเปดไวเปนระยะเวลา 9 เดอนกอนการโจมต
มลแวรทใชในการโจมตเครองคอมพวเตอรทบงคลาเทศ นกวเคราะหของ BAE พบวามสวนของชดค าสงเหมอนกบมลแวรทโจมต Sony Picture Entertainment ทเชอวามาจากประเทศเกาหลเหนอ และคนรายเขาใจหลกการท างานของ SWIFT software เปนอยางด รวมถงทราบวารปแบบการการท างานของธนาคารกลางของประเทศบงคลาเทศในการใชงานระบบ SWIFT เชน ทราบวาเมอมการท ารายการผานระบบ SWIFT แลวเครองจะท าการพมพเพอยนยนค าสงออกมายงเครองพมพ ซงคนรายไดพฒนามลแวรเพอระงบการสงพมพไปยงเครองพมพได8
คนรายสงการใหมลแวรท าการโอนเงนในบญชของธนาคารกลางของประเทศบงคลาเทศจากธนาคารกลางกของสหรฐอเมรกาทมหานครนวยอร กวา 30 ครง มลคารวม ระเทศศรลานเหรยญสหรฐอเมรกา โอนเงนไปป
ลงกาและประเทศฟลปปนส มค าสงโอนเงนด าเนนการส าเรจไปจ านวน 5 รายการไปทประเทศฟลปปนส และค าสงระงบด าเนนการ โดยเงนถกโอนเขาบญชทประเทศฟลปปนสถกคนรายขนเงนสดในโอนเงนทเหลอถก Casio ใน
ประเทศฟลปปนส มลแวรถก Upload ขนบรการวเคราะหมลแวรจากผใชงาน ซงเชอวาเปนผทมสวนเกยวของในการ
วเคราะหการโจมตจากบงคลาเทศ ซง SWIFT ยนยนวาระบบของ SWIFT ทใชในการโอนเงนระหวางประเทศ ไมไดถกเจาะระบบแตอยางไร ส าหรบในกรณนมสาเหตเกดจากเครองคอมพวเตอรของธนาคารกลางในประเทศบงคลาเทศตดมลแวร แตยงไมไดมการเปดเผยวาเครองคอมพวเตอรนตดมลแวรไดอยางไร องคกร SWIFT ตระหนกถงภยคกคามทอาจจะเกดกบเครองคอมพวเตอรของสถาบนการเงนทตอเชอมกบ
เครอขาย SWIFT จงไดออกโครงการ SWIFT CSP (Customer Security Program Framework) เพอเปนยกระดบดแลและรกษาความมนคงปลอดภยใหกบเครองคอมพวเตอรทเชอมตอกบเครอขาย SWIFT ของสมาชก9 Updating Surveillance Law on Government Access to Your Online Data
กฎหมายทอนญาตใหหนวยงานภาครฐเขาถงขอมลสวนบคคลออนไลนเปนประเดนส าคญทจะมการหารอกนในรปแบบเสวนารวมกบวทยากรรบเชญซงมาจากภาคเอกชน อาจารยมหาวทยาลย ซงมประสบการณเกยวกบการใชอ านาจของรฐเพอใหไดมาซงขอมลสวนบคคลทอยในโลกออนไลน สหรฐอเมรกามหลายหนวยงานทเปนหนวยงานดานการขาวทจะมสวนเกยวของกบการขอขอมลผใชงานอนเทอรเนตสองประเภทคอ (๑) หนวยงานทปฏบตงานภายในประเทศเชน FBI ซงจะขอขอมลของผใชงานทอยภายในประเทศ (ชาวอเมรกน) และ(๒) หนวยงานทปฏบตงานตางประเทศเชน CIA ซงจะขอขอมลชาวตางชาต ขอมลทรองขอแบงออกไดเปนสองลกษณะคอ (๑) ขอมลอเลกทรอนกสทผใหบรการจดเกบไวเปน log และ (๒) การแอบดกรบขอมลทอยระหวางการสอสาร ปจจบนยงมหลายขอกงวลเชน การขอตดตามขอมลอยตลอดเวลา (tracking) ซงไมไดเปนการขอขอมลทจดเกบไวแลวในรปแบบอเลกทรอนกสทวไป หรอการขอขอมลอเมลทมโอกาสทจะกระทบกบสทธของบคคลอนทก าลงสอสารกบผ
8 ดรายละเอยดเพมเตมไดท Customer Malware บงคลาเทศ upload malware ใน public analysis http://baesystemsai.blogspot.com/ 2016/04/ two-bytes-to-951m.html 9 ดรายละเอยดเพมเตมไดท https://www.SWIFT.com/mySWIFT/customer-security-programme-csp_
23
เผยแพรเมอวนท 20 มนาคม 2560
ตองสงสย รวมทงอาจกระทบสทธประชาชนชาวอเมรกนดวยซงตามรฐธรรมนญจะตองไดรบการปกปองความเปนสวนตว จากประสบการณเคยมกรณผใหบรการปฏเสธการสงขอมลของลกคาจนกวาจะไดรบหมายศาลอยางเปนทางการ เชน Google ไมยนยอมด าเนนการจนกวาจะไดหมายศาล อางวามความจ าเปนตองขอใหมหมายศาลเพราะไมสามารถบอกไดวาการสงขอมลอเมลของผตองสงสยจะกระทบตอสทธของชาวอเมรกนทอาจจะสอสารกบผตองสงสยหรอไม และผทไดรบการรองขอมกจะถามวาจะสามารถตรวจสอบไดอยางไรวาค ารองขอนนมาจากหนวยงานรกษากฎหมายจรง ๆ และขอใหมชองทางสอสารเพอท าความเขาใจกบหนวยงานรกษากฎหมายทรองขอขอมลเพอความชดเจนในการเตรยมขอมล
ในอนาคตการขอขอมลออนไลนจะมผลกระทบกบทงผใหบรการและผทใชบรการ กฎหมายในปจจบนยงไมชดเจนในเรองของขอมลทผใหบรการจดเกบในประเทศทสาม ใครคอผทมอ านาจเขาถงขอมลเหลานน หากศาลในอเมรกาสงใหบรษททจดทะเบยนในอเมรกาสงมอบขอมลทบรษทนนไดจดเกบไวในตางประเทศจะมแนวปฏบตอยางไร ตองยดกฎหมายของประเทศใดในการด าเนนการ เปนตน ทผานมายงไมมกฎหมายนานาชาตทใชบงคบใหผใหบรการปฏบต ชองทางอนทสามารถท าไดคอ Mutual Legal Assistance Treaty (MLAT10) ผานของทางการทต หรออกชองทางคอ Bilateral Agreement ระหวางสองประเทศทมระดบความเขมขนของกฎหมายใกลเคยงกน ในอนาคตหากนานาชาตยงไมสามารถแกปญหาการขอขอมลขามประเทศ กอาจจะตองเตรยมตวรบมอกบแนวคดใหมเชน จนทจะออกกฎหมายอนญาตใหดงขอมลทจดเกบไวในตางประเทศไดเอง และในอนาคตเมอกลายเปนยคดจทลอยางสมบรณ ขอมลทจดเกบซงเขาขายขอมลสวนบคคลกจะมมากขนตามไปดวย จากเดมทหนวยงานรกษากฎหมายสามารถรองขอขอมลทมลกษณะเปน Transactional records เทานน แตปจจบนอปกรณตาง ๆ มการจดเกบขอมลอน ๆ อกมาก เชน อณหภมหอง มใครอยบาน เปดไฟกโมง เปนตน ทไมชากคงจะมการขอขอมลดงกลาวเพมขนอก ซงขอมลเหลานถอวาเปนขอมลสวนตวทไดรบการคมครองโดยรฐธรรมนญของสหรฐอเมรกาหรอไม ดงนนขอมลหลาย ๆ ประเภทนยงไมชดเจนวากฎหมายก าหนดไวอยางไร ผใหบรการอาจจะถกฟองรองไดหากมอบขอมลสวนตวเหลาน ประสบการณของสหรฐอเมรกาเปนตวอยางทประเทศไทยจะตองเตรยมตวไวดวยเพราะเราเปนประเทศทมผบรโภคบรการออนไลนจ านวนมาก มการจดเกบและแชรขอมลสวนบคคลออนไลนกวางขวาง EU DATA Privacy: what US Orgs need to do now to prepare for the GDPR
General Data Protection Regulation หรอ GDPR (Regulation (EU) 2016/679) เปนระเบยบระดบกฎหมาย (regulation) ทยโรปตองการใหมกฎเกณฑทคมครองขอมลสวนบคคลทเขมแขงและเปนหนงเดยว ส าหรบปจเจกชน ทอยภายในสหภาพยโรป
GDPR ส าคญ เพราะวาตองการทงความเขาใจจาก IT และ security capability ใหม ซงหมายถงคาใชจายทเพมขนเพอจดการความเสยงทไมสามารถโอนได ลองนกเหตการณทภาคธรกจไมสามารถโอนขอมลสวนบคคลเนองจากไมสามารถท าตามกฎหมาย GDPR นได หากท าไมไดกเสยงตอเสยชอ ผดกฎหมาย ถกปรบ ถกฟองรองได
EU สนใจเรอง data privacy มากเพราะ EU มอง data privacy วาเปน Human right, Fundamental Human right คดโยงไปกบตอนสงครามโลกสอง
GDPR นผานเมอเดอนพฤษภาคมป 2016 และจะมผลใชบงคบทวทง EU ใน เดอนพฤษภาคมป 2018 เกยวของกบ “personal data” ดงนน หนวยงานตองท าความเขาใจวา personal data across the organization
10 MLAT - ความรวมมอทางอาญาระหวางประเทศ
24
เผยแพรเมอวนท 20 มนาคม 2560
ใหคดนยามท “any data that interpreted identify and identify individually” เชน IP Address ถอวาเปน Personal Data หรอไม นอกจากน GDPR Article 32 เปนขอทส าคญทเกยวกบ security ทตองใหความส าคญ
Requirement for GDPR มดงน 1. Territorial scope อาณาเขตทใชบงคบส าหรบ GDPR 2. Explicit consent ตองใหความยนยอมอยางชดแจงการทจะให คลก ตองใหชดเจนขน เชนน เปน ,
ประเดนทนาสนใจ เกดขนแนนอน ไมมใครทตองการท าผดแตวาตองใหเจาของขอมล 3. Age gate ต ากวา 16 ปไมสามารถใหความยนยอมได ดงนน ตองมผปกครองใหความยนยอมดวย
คลาย)COPPA ของ อเมรกา) 4. Individual rights สทธขอให เปลยนแปลงขอมลสวนบคคลของเราได ถาไมถกตอง right tobe
forgotten 5. Data portability เปนสงใหมทเกดขนดวย ทสามารถขอให เอาขอมลสวนบคคลของเราทอยหลายท
รวมไปอยอกทหนง 6. Breach Notification ทตองท าภายใน 72 ชวโมง ทตองท าการแจงหากมเหตการณ data breachเมอ)
เทยบกบหลกเกณฑน ส าหรบบรษทของอเมรกามอยแลว GDPR มความหมายตอ security and IT เพราะ มหลกเกณฑเกยวกบ Data breach การปฏบตเมอเกด
เหตการณขอมลสวนบคคลรวไหล ซงเปนสงทบรษทในอเมรกาท าอยแลว แตวาสงทตองเตรยมคอ การท าแผนรองรบเมอเกดเหตการณ )incident response plan) นอกจากน GDPR Article 32, 35 เปนขอทส าคญทเกยวกบ security ทตองใหความส าคญ
หากเราใชบรการ Service provider, cloud ทเกบขอมลสวนบคคลของลกคาของเรา เหลาน เรากตอง รบผดชอบดวย แนะน าวา ใหองคกร ควบคม key ทคสวบคมขอมล นอกจากนมระบบทดสอบเพอใหองคกรมนใจไดวาด าเนนการตามกฎหมาย )Testing : GDPR) มใหทดลองระบบของหนวยงานดวย โดยมขอ concern เกยวกบ privacy by design, conclusion เปนเรอง high risk ทตองคยกบ privacy authority ไมใชแคการออกแบบเทานน อยางไรกตาม สงดของ GDPR กม เชน การใหความยดหยนในบางเรอง เชนกน
สวนประเดนการท าตามกฎ Right to be forgotten เมอเทยบกบ Google ทตองรบเรอง 600,000 requests ทสงเรองไปท Google เชนน บรษทอยางเรากอาจไดรบ request แบบนเชนกน แลวจะท าอยางไรตอไป เชนนตองเตรยมพรอมและม แผนรองรบ เพราะวา เรองเหลานไมสามารถหนได เนองจากเปนกฎหมาย แนวคด ของ Right to be forgotten ในกรณองคกรไดรบ request หากลกจางขอให ลบออก เชนน จะท าไดอยางไร ในเมอ องคกรตองค านง เพราะ GDPR เกยวของกบ Data processor – accountability ในขอมลดวย
ดงนน หนวยงานตองเขาใจเรอง personal data flow ทงในหนวยงานเอง และระหวางหนวยงานกบหนวยงานอนทเราใชบรการดวย องคกรตองอยาลมทจะพจารณา “EU citizen” ดวย ระบระบบทใชงาน, พฒนา ,ประเมนมาตรการดานความมนคงปลอดภยทเหมาะสม พฒนาและปรบใขงาน
ตวอยาง Data Security and Privacy Best Practice 1. ตองหา “ขอมลสวนบคคล” “ขอมลทเปน sensitive data” ในองคกรมอะไรบาง 2. เมอรแลว ควรใช risk management ในการปกปองขอมลนน เพราะถอเปนสนทรยพอนมคาขององคกร
25
เผยแพรเมอวนท 20 มนาคม 2560
3. “หมกลองหน” เครองมอทใชในการปองกนขอมลสวนบคคล โดยเทยบกบเทคโนโลยทใชงาน data obfuscation terminology เชน การท า masking, การท า redaction (การใส *** เลขบางตว), การใช tokenization หรอ การท า encryption เปนตน
4. เนองจากเรอง “ขอมล” เปนเรองทมความส าคญและเกยวพนกบหลายสวนงาน ดงนน ในการท างานภายในองคกร จงตองท างานรวมกนอยางใกลชดทงกบแผนกกฎหมาย แผนก IT Security และ แผนกทดแล Privacy โดยเฉพาะ
5. Keep score องคกรทมระบบปกปองขอมลส าเรจ มการก าหนดชดเจนทใหผบรหารก าหนดนโยบายและแนวทางทชดเจน เพอใหมการท า privacy compliance และมการใชเครองมอทชวยในการท างาน เชน risk dashboard
6. คนทเกยวของตองมจรยธรรม (ethics, moral principle) 7. Data privacy scouts : การท า security intelligence ซงรวม incident response
Cybersecurity – It’s a Small-Town Problem
ภยคกคามความมนคงปลอดภยสงผลกระทบโดยตรงตอภาคธรกจและหนวยงานภาครฐทกขนาด ในขณะทภาครฐมกจะมเครองมอ บคลากร และเงนทนสนบสนนไมเพยงพอทจะสามารถรบมอกบภยคกคามไดดวยตนเอง วนนวทยากรจะแชรความคดเหนแนวทางในการรบมอกบภยคกคามไซเบอร ซงแบงเปนสองประเดน ประเดนแรกคอภยคกคามไซเบอรในมมมองของผทไดรบผลกระทบจะเหมอนกนไมวาจะเปนใคร ประเดนทสองคอระดบความพรอมของทรพยากรทจะใชในการรบมอกบภยคกคามดงกลาว การเตรยมรบมอไมใชแคการแกปญหาเฉพาะหนา แตรวมถงการวางแผนระยะยาว เชน การเตรยมความพรอมของบคลากรในอนาคต การสรา งความตระหนกใหแกประชาชน และการบรหารจดการหนวยงานทมระดบความพรอมทแตกตางกน
รฐเวอรจเนยใหความส าคญ จดตงคณะกรรมการพจารณาเรองความมนคงปลอดภยและจดใหเปนความส าคญกบปญหาภยคกคามไซเบอรในระดบทสงมาก ไดมการด าเนนกจกรรมตอเนอง เชน การก าหนดแผน ๕ ป และการออกเอกสารค าแนะน าของรฐ และ Governor กไดบอกไวแลววาความมนคงไซเบอรมความส าคญมาก การวางแผนมความส าคญมากเพราเราไมตองการทจะอยในโมดรบมอภยคกคามเชงรบอยตลอดเวลา เพราะเราไมมแผนรบมอและแผนเชงรก โดยทรฐเวอรจเนยไดปฏบตตาม NIST Framework ทเปนกรอบมาตรฐานทหนวยงานใชอางองและวางแผนใหสอดคลองกน และสามารถวดความพรอมของแตละหนวยงาน/แตละรฐเปรยบเทยบกน เพอใหสามารถวางแผนการปรบปรงและลงทนใหเหมาะสม ปจจบนมหลายรฐทจะใช NISC Framework กจะตองตดตามผลส าเรจตอไป
ผเขารวมฟงสมมนาหลายคนกใหมมมองปญหาไซเบอรเปนความทาทาย สวนใหญกไมมความรและไมเคยประสบกบภยคกคามไซเบอรมากอน หนวยงานเลก ๆ อาจจะไมมบคลากรดานไอทโดยเฉพาะ เปนเพยงอาสาสมครท างานชวคราว หนวยงานเลก ๆ ทใหบรการทภาครฐเคยเปนผรบผดชอบไมไดมความตะหนกถงความเสยง ซงจะตองท าความเขาใจวาคนรายไมไดเลอกทจะโจมตหนวยงานใหญหรอเลก ดงนนทกคนมโอกาสตกเปนเปาหมายเหมอนๆกน และขอคดทส าคญอกขอหนงคอจะตองปรบทศนคตจากการปองกนเหต เปนการควบคมความเสยงและสราง Resilience ใหกบสงคม ส าหรบเมองเลก ๆ ทยงขาดความพรอมในการแกไขปญหาไซเบอรดวยตนเองสามารถเรมสรางความพรอมจากการจดอบรม และสอนใหรวาเมอเกดปญหาประเภทใดจะตองไปตดตอขอความชวยเหลอจากหนวยงานใดทมความเชยวชาญในเรองนน ๆ เปนตน ตวอยางการแชรความรเชน เมอประสบกบภยคกคาม Ransomware จะด าเนนการอยางไรด วธเดยวทท าไดคอการสรางความตระหนกอนตราย และแนะน าทก
26
เผยแพรเมอวนท 20 มนาคม 2560
องคกรหรอประชาชนตองท าส ารองขอมล (Backup) ตลอดเวลา หากใครประสบกบปญหานกแนะน าใหแจงใหหนวยงานรบผดชอบเชน FBI ทราบเพอใหประเทศเหนภาพความรนแรงของปญหาอยางแทจรง
Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead
หวขอนไดรบความสนใจจากผเขารวมงานสมมนา เปนการประชาพจารณระดมความเหนเพอยกระดบการรกษาความมนคงปลอดภยไซเบอรระดบประเทศ (Enhancing National Cybersecurity) โดยจะน าผลลพธไปน าเสนอตอคณะท างานทจดตงโดยประธานาธบดเปน Commission Report and Framework v1.1
ประมาณ 1 ปกอนประธานาธบดโอบามาไดจดตงคณะท างาน 12 คน (1 คนจาก Republican, 1 Democrat, นกวชาการ ,อกชนภาคเ ,ภาครฐ (คณะท างานไดรวบรวมรายการสงทตองการท ามากมาย แตกตองยอมรบไมมอะไรทจะเปนตวแกแกปญหาไดทกเรอง จากการส ารวจของ Gardner ในป 2015 มหนวยงานใช 30%
Framework แลว คาดวาปจจบนนาจะเพมมากขนเปน 40-50% ในขณะท Framework ถกใชงานมาเปนเวลาประมาณ 2 ปเวอรชน 1.0 ปจจบนก าลงจะปรบปรงเปนเวอรชน 1.1 ซงกรอบนโยบายนกเกดขนจากความรวมมอกบภาคเอกชนและผเกยวของ สงส าคญคอหนวยงานตาง ๆ มเอกสารอางองทสามารถใชอางองและก าหนดบทบาทหนาทของตนเองใหเหมาะสมตามหลกการ Identify, Detect, Protect, Respond, Recovery และความเชอมโยงระหวางนโยบายนกบกระบวนการด าเนนธรกจของบรษททน า Framework นมาใชงาน
ผแทนจาก NIST อธบายวาในรางเวอรชน 1.1 น ไมใชเปนการท าใหม แตเปนการปรบปรง 1.0 ใหสมบรณ ม ก า ร เ พ ม เ ร อ ง Change risk management, Supply chain risk management, Identity management, Authentication และ Taxonomy รวมทงไดมการเ พมรายละเอยดการตรวจประเมน Self-assessment measure ท าใหสามารถวดคณภาพ/ระดบความสามารถของแตละหนวยงานเมอมาเปรยบเทยบกน สถานะของราง 1.1 ก าลงเผยแพรผานเวบไซต NIST เพอรบความเหนจนถงเมษายน และจะท าใหเสรจในฤด Fall 2017 ผทสนใจสามารถอานขอมลจากเวบไซตซงมขอมลเพมเตมทอาจจะไมไดอยใน framework ประเดนตาง ๆ ทผเขารวมการประชมสอบถามไดแก
1. แนวทางในการ Escalate ทยงไมชดเจน (การยกระดบความรบผดชอบ) และตองไปตดตอกบใคร ควรจะมการระบผรบผดชอบความเสยหายทเกดขนไหม และมแนวคดอยางไรในการระบวาใครรบผดชอบ
2. Framework ไมไดระบวาจะมการบงคบทางกฎหมาย (แตกไมไดบอกวาจะไมมในอนาคต) 3. Framework พดถงกระบวนการและทรพยสนทตองมการตรวจสอบและปองกน แตไมคอยไดพด
ถงทรพยากรคน ควรจะครอบคลมการพฒนาคนดวย เพอให framework สมบรณ เปนการเพม การอบรมและสรางความตระหนกในทกระดบไมใชแคผประกอบอาชพดานความมนคงปลอดภย แตหมายรวมถงประชาชนและผบรโภคดวย
4. การบงคบทางกฎหมาย NIST ไมใชหนวยงานก ากบ ไมมอ านาจบงคบใหหนวยงานปฏบต แตปจจบนหนวยงานตางประเทศกมหลายแหงทน าเอากรอบนโยบายนไปใชงาน ปจจบน NISCT กไดหารอกบหนวยงานตางประเทศในลกษณะเชนเดยวกนนดวย (ไมมสถต)
27
เผยแพรเมอวนท 20 มนาคม 2560
Internet of Insecurity: Can Industry Solve it or Is Regulation Required? ปญหา Security ในอปกรณ IoT 11 ซงมแนวโนมรนแรงขน ซงผฟงในหองบรรยายเกนรอยละ คดวา %90
รฐควรมบทบาทในการก ากบดแลผผลตและการใชงานอปกรณ IoT ในระดบผบรโภค ผเขารวมอภปรายเปนนกเขยนและผเชยวชาญดานไซเบอร การปกปองขอมลสวนบคคลและการเขารหส
ลบขอมล Mr.Bruce Schineier และผบรหารเทคโนโลยอนเทอรเนต องคกร Internet Society Mr.Olaf Kolkman โดยมเนอหาในการอภปรายดงน
- ใครควรรบผดชอบและผผลตสามารถแกปญหานไดเอง หรอจ าเปนตองมการก ากบดแลจากรฐ - อะไรเปนแรงจงใจกบผผลตอปกรณ IoT ตองรบผดชอบปญหา Security ในอปกรณ - ความรบผดชอบตอปญหา Security ของอปกรณ IoT ซงมจ านวนมาก และเปนอปกรณทมการจ าหนาย
ใหกบผใชงานมานานแลว ท าใหเกดปญหากระจายในอนเทอรเนตในทกภมภาค - การสรางความตระหนกและใหความรถงภยและปญหาจากอปกรณ IoT ใหกบผใชงานและลกคายงเปน
ทางเลอกในการแกไขปญหาหรอไม - การแกปญหาควรจะเปนความรบผดชอบของผผลต หรอ ผใหบรการ เชน ISP ตอ ลกคา ซงอาจจะสราง
ตนทนใหกบผผลตและผใหบรการ - รปแบบการ Self-regulation เพอรวมก าหนด Code of Conduct ในดาน Security เปนทางเลอกใน
การแกไขปญหาหรอไม การหาขอสรปและทางออกของการแกไขปญหา IoT เหลานจะมความส าคญขนเรอยๆ เนองจากปญหาของ
คอมพวเตอรในอปกรณในยค IoT เรมสงผลกระทบกบเสถยรภาพของเครอขายอนเทอรเนต อกทงมแนวโนมสงผลใหเกดความไมปลอดภยกบชวต เชน รถไรคนขบ ซงอาจจะท าใหเกดอบตเหต หรอ อปกรณเครองครว ซงอาจจะท าใหเกดอคคเพลง เปนตน แตในขณะทแรงจงใจของผผลต IoT คอ การพฒนาผลตภณฑใหม feature ใหม สามารถผลตไดรวดเรวทนกบความตองการของตลาด ในราคาถก โดยสวนใหญยงไมไดใหความสนใจกบปญหาเรอง Security ของอปกรณ ผอภปรายและผฟงสวนใหญ จงเหนวาการปลอยใหกลไกตลาดสงสญญาใหผผลตตองรบผดชอบด าเนนการปญหาดานไซเบอร อาจจะท าใหเกดสภาพบงคบใชแบบสมครใจและไมสามารถควบคมความเสยหายทเกดจากปญหานไดจรง
โอกาสสดทายการใช DevOps
ปจจบนนซอฟตแวรอยเปนพนฐานทางไอซทและอยในอปกรณตางๆ กระจายอยทวไป ไมวาจะเปนเครองคอมพวเตอร อปกรณไฟฟา โทรศพทมอถอ เปนตน ดงนน นกพฒนาซอฟตแวรจ าเปนตองมความรบผดชอบในเรองน source code จ าเปนตองสามารถน ามาใชงาน ออกแบบใหม และปรบปรงชองโหวไดตอเนอง ซงการถกโจมตในรปแบบใหมๆมกจะเกดขนอยเสมอและสงผลทางกายภาพ เศรษฐกจ และความมนคงของชาต ซงการพฒนาโปรแกรมทขาดความรบผดชอบจะเปนตนเหตของชองโหวซงน าไปสการโจมตไดในอนาคต ซงเปนเรองไมงายแตเปนเรองจ าเปนส าหรบนกพฒนาซอฟตแวรทควรมจรรยาบรรณในการพฒนาซอฟตแวร เปรยบเทยบเหตการณแผนไหว 2 แหง คอ เหตการณแผนดนไหวทประเทศเฮต ขนาด 7.0 รกเตอร และเหตการณแผนดนไหวทประเทศชลขนาด 8.8 รกเตอร แมเหตการทเฮตจะมขนาดเลกวาแตมผเสยชวตมากกวา 230,000 คนในขณะทเหตการณทชลมผเสยชวต 279 คน เนองจากโครงสรางอาคารและสงปลกสรางของประเทศ
11 IoT - อปกรณ Internet of Thing
28
เผยแพรเมอวนท 20 มนาคม 2560
ชลมการออกแบบมาเพอทนตอแผนดนไหวในขณะทประเทศเฮตไมไดมการออกแบบดงกลาว ซงการออกแบบและพฒนาซอฟตแวรทค านงถงความปลอดภยจะสามารถรบมอภยทจะเกดขนได วงจรการพฒนาซอฟตแวรเปนกลไกหลกเพอท าใหไดซอฟตแวรคณภาพและปลอดภย โดยมการพฒนาวงจรดงกลาวอยางตอเนองแบงไดเปน 3 ตวอยางดงตอไปน
1) วงจรการพฒนารปแบบเดม(Traditional Lifecycle) ประกอบดวยทงหมด 5 ขนตอนคอ (1)Plan (2)Design (3)Build (4)Test (5)Deploy (6)Operate ระยะเวลาจะอยระหวาง เดอน ถง ป โดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 1-2 ครงตอป
2) วงจรการพฒนาแบบอะไจย (Agile Dev) ปรบปรงจากวงจรการพฒนารปแบบเดม โดยเรมจากขนตอน
Plan โดยแยกขนตอน Design Build Test ออกเปนวงจรยอยและผานกระบวนการเรยนร กอนทจะน าไปใชงาน ระยะเวลาจะอยระหวาง วน ถง สปดาหโดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 10-20 ครงตอป
3) วงจรการพฒนารปแบบใหม(Modern Lifecycle) ปรบปรงจากวงจรการพฒนารปแบบเดม และ การพฒนาแบบอะไจย โดยเรมจากขนตอน Plan และ แยกขนตอน Design Build Test Deploy และ Operate ออกเปนวงจรยอยและผานกระบวนการเรยนร กอนเรมวงจรยอยอกครง ระยะเวลาจะอยระหวาง นาท ถง ชวโมง โดยสามารถสรางและปรบปรงซอฟตแวรไดประมาณ 100-200 ครงตอป
การโจมตทางไซเบอร ระดบความรนแรง และการแกปญหา
การโจมตทางไซเบอรโดยวตถประสงคของการโจมตของผมสวนเกยวของเปนเกณฑแบงออกไดเปน 5 ระดบคอ
29
เผยแพรเมอวนท 20 มนาคม 2560
ระดบท 1 Lone Wolf เปนการกระท าเพยงคนเดยว เพอฝกฝน และเพอใหเปนทรจกของสงคม และจดประสงคหนงๆ ระดบท 2 Hacktivist เปนการกระท าโดยกลมบคคล เพอแสดงออกเกยวกบ เสรภาพ การเมอง และเปน
ชองทางตอรองกบนโยบายของฝายปกครอง ระดบท 3 Sub-National เปนการกระท าโดยกลมบคคล เพอแสดงออกเกยวกบ เสรภาพ การเมอง และ
เปนชองทางตอรองกบนโยบายของรฐ หรอเขตการปกครอง ระดบท 4 Organized Crime เปนอาชญากรรมทมการด าเนนการอยางเปนระบบ โดยใชกลมแฮกเกอร
โจรกรรมขอมล ลวงความลบ แพรกระจายมลแวร เพอใหไดเงน สภาวะตลาด และเชอมโยงกบการฟอกเงน ยาเสพตด การคาประเวณ การคามนษย และการกอการราย ซงสงผลรายแรงทางเศรษฐกจในระดบชาต
ระดบท 5 National State เปนการโจรกรรมขอมลความลบทางราชการ และการโจมตทางไซเบอรทสงผลกระทบในวงกวางของประเทศและกลมประเทศทเปนคขดแยงกนในสงครามโลก และคขดแยงทางเศรษฐกจระดบภมภาค ซงสงผลรายแรงทางความมนคงของประชาคมโลก และอาจน าไปสสงคราม ในปจจบนความสามารถในการรบมอภยคกคามยงอยในระดบต า แตด วยกจกรรมการเสรมสรางความร การแลกเปลยนขอมลขาวสาร การจดการภายใน และการออกกฎหมาย ระเบยบทเกยวของ อาจพอจะรบมอใน ระดบท 1 ถง ระดบท 3 ไดในอนาคต ในกรณ ระดบท 4 และ ระดบท 5 จ าเปนตองใชความพยายามและความรวมมอจากนานาประเทศเพอแกปญหาตอไป
ขอบงคบและกฎหมายความมนคงปลอดภยไซเบอรเกยวกบ ซอฟตแวร
การยกระดบการพฒนาซอฟตแวรเพอใหมความมนคงปลอดภยนนสามารถแบงกลมคนไดเปน 5 ระดบคอ ระดบ 1: Security People คอบคคลทมความรความเขาใจและปฏบตตามระเบยบทเกยวของกบความ
ปลอดภยอยางเครงครด
30
เผยแพรเมอวนท 20 มนาคม 2560
ระดบ 2: Security Interested คอบคคลทมความรความเขาใจและแตยงไมเขาใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภยทเกยวของ
ระดบ 3: Early Majority คอบคคลทมความรความเขาใจเพยงบางสวนและยงขาดความตระหนกรทางดานความมนคงปลอดภย แตยงไมเขาใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภยทเกยวของ
ระดบ 4: Force Compliance คอบคคลขาดความตระหนกรทางดานความมนคงปลอดภย จ าเปนตองใชกฎหมาย กฎระเบยบทเกยวของเพอบงคบใช
ระดบ 5: Probably never going to do it คอบคคลทไมสนใจในการปฏบตใหเปนไปตามระเบยบทเกยวของกบความปลอดภย ดงนนจงจ าเปนตองมกฎหมาย กฎระเบยบทเกยวของ โดยสหรฐอเมรกามกฎหมายระเบยบ แนวทางปฏบตทใชเพอใหเกดการยกระดบเรองความมนคงปลอดภยเกยวกบซอฟตแวร เชน H.R 5793 “Cyber Supply Chain Management and Transparency Act of 2014”ท เ ป นกฎหมายท ก า หนด ให ม ก า ร ร ะบสวนประกอบซอฟตแวรใดทมการซอขายจ าเปนตองระบในใบแจงหนถงคอมโพเนนททเปนบคคลภายนอกและ Open source ทใชงานในซอฟตแวรนน ๆ พรอมระบเวอรชนเพอความโปรงใส การลดความเสยงและความปลอดภย ซอฟตแวรทผลตจะไมสามาระใชคอมโพเนนททมชองโหวได เวนแตไดรบการแกไขชองโหวนนแลว การปรบปรงอยางตอเนอง ซอฟตแวรจะตองมการสรางกลไกในการปรบปรงเปลยนแปลง หากพบชองโหว หรอความผดผลาดใหม ๆ มมมองอปกรณ Internet of Thing : Iot ในการพฒนาซอฟตแวรและภยคกคามทางไซเบอร
อปกรณ IoT เพมจ านวนและขยายตวอยางรวดเรว ภยคกคามทางไซเบอรกจะมความแตกตางกนออกไป โดยแบงหวขอการพจารณาออกเปน 5 ดานดงน
1. ผกอการ (Adversaries) ผกอการแตละคนจะมแรงบรรดาลใจและความสามารถทแตกตางกน 2. ผลกระทบจากการโจมต (Consequence of Failures) ชวตและทรพยสน ความเสยหายเชงกายภาพ
การตลาด ความเชอมน เสถยรภาพ และความมนคงแหงชาต 3. บรบทการจดการ (Context & Environment) การด าเนนการจะแตกตางกนออกไปแลวแตบรบทและ
สถานการณ การอพยพ การจ ากดพนท และพนทเผาระวงไมอาจระบใหชดเจนได และยากแกกนอพเดทและเปลยนแปลง
4. สนคาทหลากหลาย (Composition of Goods) มชนดของสนคาทหลากหลายและแตกตางออกไป เชน ฮารดแวร เฟรมแวร และซอฟตแวร เปนตน
5. ขนาดทางเศรษฐกจ (Economics) ผลก าไร ผซอ นกลงทนและราคาของสนคามความแตกตางกนออกไป 6. ขนาดของเวลา (Time Scales) มความแตกตางกนในเรองของ Time-to-Live (TTLs) รอบในการวจยและ
พฒนา (R&D Cycle) และเวลาในการตอบสนอง ดวยมตขางตนซงเกยวกบความแตกตางของภยคกคามทางไซเบอรของอปกรณ IoT จงควรมการด าเนนการดาน
ความปลอดภยทท าไดในการออกแบบและพฒนาซอฟตแวรทเกยวของกบ IoT ท าไดโดยหลกการ 5 ขอดงน 1. Safety By Design เพอปองกนภยคกคาม 2. Third Party Collaboration เพอหาพนธมตรในการจดการภยคกคาม 3. Evidence Capture เพอสามารถเรยนรจากภยคกคาม 4. Security Updates เพอตอบสนองตอภยคกคาม
31
เผยแพรเมอวนท 20 มนาคม 2560
5. Segmentation and Isolation เพอแบงแยก และจ ากดความเสยหายทเกดจากภยคกคาม
เพมประสทธภาพความตระหนกรเกยวกบฟชชง 300% ในเวลา 18 เดอน บรษท AECOM พบวาภยคกคามสวนใหญเรมจากฟชชง ดงนนจงมการศกษาโดยใหความส าคญกบการ
สรางความรความเขาใจพนฐานเกยวของกบฟชชง โดยไดท าการทดสอบหลายๆชองทาง ซงสงผลใหมการลดการ click link ฟชชงไดมากกวา 300 % ในเวลา 18 เดอน
บรษทเรมตนจากการสงอเมลฟชชงใหกบพนกงานผลปรากฏวา มการ click link มากกวา 30 % ภายจากการอบรมและรณรงคในชวงระยะเวลา 18 เดอนพบวา การ click link ลดลงเหลอเพยง 6.7% โดยการรณรงคเรมจากการประสานงานในทกๆสวน ไมวาจะเปน สวนผบรหาร สวนสอสารองคกร สวนการตลาด สวนกราฟก สวนพฒนาบคลากร สวนงานไอท และอนๆ
การศกษาพบวาการรณรงคเกยวกบฟชชงไดรวมกบการรณรงคความตระหนกรอนๆได และไมเพยงแตการใหความรเทานนควรจะมความคาดหวงใหผใชงานเปลยนพฤตกรรมดวย ทงนตองพยายามใหมการพดคยในเรองดงกลาวอยางเปนประจ าในหลายๆชองทาง อกทงรณรงคใหมการตอบสนองเชน การรายงานเมอพบอเมลฟชชง เปนตน การด าเนนการสามารถแบงยอยไดดงน
การด าเนนงานรายเดอน อเมลฟชชงถกสงออกไปในบรษทตามสาขาใน 150 ประเทศ ทงในภาษาองกฤษ รสเซย และ ฝรงเศส โดย
ผานทางสอสารองคกร ทนททพนกงาน click ฟชชงเวบไซต จะน าไปสเวบไซตเพอใหความรโดยทนท ทงนจะมชองทางในการสอสารจาก CISO โดยทกคนท click เวบไซตจะอยในกลมเมล (Email Group) โดยจะไดรบค าอธบายเกยวของกบความรความเขาใจฟชชงมความส าคญอยางไร โดยใหมการพฒนาและอบรมของกลมนอยางตอเนอง และ BCC ถงพนกงานโดยไมปรากฏชอ ส าหรบพนกงานท click link ใหเขาอบรมอยางตอเนอง โดยมการสอสารดวยโพสและขาวโดย CISO และ Manager โดยใหเปลยนรปแบบใหมๆ เพอใหเกดความนาสนใจ ผานทางโชเชยลเนตเวรคของบรษท
การด าเนนงานรายไตรมาส จดท ารายงานและสงใหผบรหารในแตละภาค โดยผบรหารจะไดรบการอธบายจาก chief information security officer หรอ CISO กอนไดรบรายงาน รปแบบรายงานจะอยในรปการจด 10 อนดบแรกของภมภาคทมปญหาฟชชงมากทสด โดยแสดงผลของปญหาฟชชงผานทางโชเชยลเนตเวรคของบรษท ซงในแตละสวนภมภาคจะมการจดใหมโครงการ Train the trainer เพอเปนก าลงเสรมใหกบพนกงาน IT ในภมภาคในการสรางความตระหนกรเกยวกบฟชชง และใหมการจดท า Quarterly Business Review (QBR) ใหกบหวหนาสวนงานไอทเกยวกบเรองฟชชงโดยมสวนรวมจากสวนงานประเมนความเสยง(Enterprise Risk Management) และสวนงานตรวจสอบภายใน (Internal Audit) นอกจากน จดใหมโปรเตอรตดใหส านกงาน ใหพนกงานไดเขาใจเกยวกบฟชชง
การด าเนนงานประจ าป การจดอบรมประจ าป โดยใหพนกงานทกคนเขารวม ซงสามารถประสานกบ สวนงานบคคล (HR) ใหชวยเหลอในการสอสาร การจดอบรมพนกงานไอทเพอใหมความรความเขาใจในการรบมอเมอเกดเหตการณตางๆขน และน าเสนอผลการด าเนนการในปทผานมา เพอแสดงใหเหนถงผลการยกระดบความรความเขาใจในองคกร นอกจากน CISO ควรมบทบาทส าคญในการใหความรกบพนกงาน อกทงจ าเปนตองมการอธบายใหผบรหารใหเขาใจถงความส าคญ การปรบหลกสตรใหเหมาะสมกบกลมเปาหมายกเปนสวนส าคญทท าใหการอบรม
32
เผยแพรเมอวนท 20 มนาคม 2560
ประสบความส าเรจ ขอมลทไดจากภมภาคและเปนสวนส าคญในการแลกเปลยนผลลพธ และตวอยางใหกบภมภาคอนๆ เพอใหเกดการกระตน ทงนควรค านงถงความแตกตางทางวฒนธรรมองคกรของแตละสวนดวย แผนยทธศาสตรส าหรบการฝกอบรมความตระหนกรความมนคงปลอดภยไซเบอร
ในชวงเวลาทผานมาเราใหความส าคญในการเพมมาตรการตางๆ ในซอฟตแวร และระบบปฏบตการแตสวนส าคญอกสวนหนงในการรกษาความปลอดภยกคอความตระหนกรทางความมนคงปลอดภยของผใชงาน การจดท าแผนยทธศาสตรจงควรค านงถงกลมเปาหมายเปนหลกซงประกอบดวย พนกงาน คสญญา ฝายไอท ผพฒนา ผจดการ ฝายบญช ฝายบคคล ซงถอเปนสวนนงของการยกระดบองคความร
แผนยทธศาสตรควรค านงถง องคความรทจะถายทอดใหแตละกลม โดยไมจ าเปนตองมเนอหามากเนองดวยขอก าจดทางเวลาและทรพยากร เนอหาทไมยากจนเกนไปจะท าใหมผสนใจเขารวมไดมากกวา ทงนควรจดล าดบความส าคญ วาเนอหาใดทมความเสยงของแตละกลม และจดใหมการอบรมในหวขอนนๆกอน ตวอยาง เชน การอบรมเรอง Phishing ควรใหความส าคญมากกวา Tracking Cookies 12เปนตน
รปแบบการน าเสนอควรท าเปนภาพทเขาใจไดงาย และเหนวาแตละคนมสวนเกยวของกบความปลอดภยในองคกรอยางไร โดยสรางการมสวนรวม เชน วนท 16 พฤษภาคม 2011 ศนยควบคมโรค (CDC) ไดประกาศแผนเตรยมการในเหตการณ Zombie Apocalypse สรางความสนใจและเพมความตระหนกรเกยวกบการควบคมโรคตดตอไดอยางรวดเรว เปนตน
รปแบบการสอสารในการอบรมอาจเปนทง 2 รปแบบ คอ แบบ Push และ แบบ Pull โดยจากการศกษาพบวา แบบ Pull จะมผลตอการเพมความตระหนกรมากกวา เชน การจดฝกอบรม บลอกออนไลน (blog online) การจดบธ เปนตน ทงทการเขารวมกจกรรมอาจอยได 2 รปแบบ เชนกนคอ จ าเปนตองเขารวมตามนโยบายเพอเปนการปรบพนฐาน และตามความสมครใจกรณคนทสนใจในเนอหาเฉพาะ
การประเมนผลจาการฝกอบรมควรวดใน 2 มตคอ การเปนไปตามระเบยบ (Compliance) และ ผลกระทบ (Impact) ในการวดการยกระดบความรโดยอาจวดในเรองทมความเสยงสง และการปฏบต เชน Phishing Website การตดบตร การใช Screen Lock เปนตน โดยประการใหพนกงานทราบลวงหนาเพอใหสามารถเขารวมโปรแกรมได และไมรสกเหมอนถกจบผดหรอถกประเมน
12 Cookies – ขอมลในสวนของผใชงานทถกเกบไวในเครองคอมพวเตอร และเวบบราวเซอร
33
เผยแพรเมอวนท 20 มนาคม 2560
การเปลยนนกพฒนาซอฟตแวรใหมความเขาใจในเรองความมนคงปลอดภย
ซอฟตแวรก าลงเปลยนแปลงโลกของเรา ในทกๆท ซอฟตแวรถกใชเปนสวนนงของการท างาน ซงถ อเปนความรบผดชอบของนกพฒนาซอฟตแวรทจะเขยนโคดทมคณภาพ บ ารงรกษา และท าความเขาใจได วตถประสงคของการเขยนซอฟตแวรทมความปลอดภยคอ มความเรว ผลลพธทถกตอง และไมหยดการท างานของแอปพลเคชน อยางไรกตามจ านวนพนกงานสายพฒนาซอฟตแวร 100 คน จะมพนกงานสายอาชพความปลอดภยเฉลยเพยง 1.61 คนเทานน
การพฒนาซอฟตแวรทมความปลอดภยมความส าคญมากเนองจากเพราะเปรยบเกราะปองกนชนแรก ดงนน วธการทเหมาะสมคอควรท าใหนกพฒนาซอฟตแวรมแนวคดเชงความมนคงปลอดภย แอปพลเคชนทมความปลอดภยเปนเรองของคนทกคน โดยมนกพฒนาซอฟตแวรเปนแกนส าคญ โดยสามารถเพมความเขาใจใหกบนกพฒนาโดยแบงเปน 4 กลมดงน
1) กลมขาดความรพนฐาน ลกษณะ กลมนมลกษณะปฏเสธเนองจากไมคนเคยกบงานดานความมนคง ไมเขาใจ และไมทราบ ไมตระหนก
ถงความส าคญ วธการพฒนา ควรพฒนาโดยการใหความรขนพนฐาน เกยวกบการโจมต กระบวนการทางความมนคงปลอดภย
อยางงาย เรองเลาทเกยวกบเรองความปลอดภย เรองความเปนสวนตว และนโยบายการรกษาความลบ พรอมดวยยกตวอยางเกยวกบ กระบวนการทางธรกจทมความปลอดภย โดยทกๆคนเปนสวนนงในเรองของความปลอดภยทงสน
2) กลมปฏเสธงานจากภาระงาน
34
เผยแพรเมอวนท 20 มนาคม 2560
ลกษณะ กลมนมลกษณะปฏเสธเนองจากกลมนมลกษณะมภาระงานมาก ฝายบรหารไมไดจดสรรเวลาส าหรบเรองความปลอดภย ไมมงบประมาณเพยงพอส าหรบความปลอดภย ไมมเวลาเพยงพอในการสรางซอฟตแวรทมความปลอดภย
วธการพฒนา ควรสงเสรมใหมการใชระบบทเปนอตโนมต เชน Plug-in ของ IDE ซงสามารถตรวจสอบโคดไดในระหวางการเขยนโปรแกรม เปนตน เพอท าใหนกพฒนาเขยนโปรแกรมทมความปลอดภยไดงายขน ส าหรบฝายบรหารควรมการใหความรเกยวกบความส าคญทางดานความมนคงปลอดภย ซงจะน าไปสการจดสรรบคลากร และงบประมาณ
3) กลมไมสนใจ ลกษณะ กลมนมลกษณะปฏเสธเนองจากความมนคงปลอดภยเปนเรองยากและสลบซบซอน เปนความ
รบผดชอบของสวนอนไมใชของนกพฒนา องคกรไมมขอมลตองการการรกษาความปลอดภย หรอเปนสงทท ากนมาเปนประจ าอยางนไมไดมปญหาอะไร
วธการพฒนา ควรแสดงใหเหนถงความส าคญโดยการบอกตวเลขตางๆ ในองคกร ขอมลทมการโจรกรรมกนในปจจบน ขาวสารทางดานความมนคงปลอดภยไซเบอร หรอการออกขอบงคบเพอใหจ าเปนตองปฏบตตาม
4) กลมกระตอรอรน ลกษณะ กลมนมลกษณะพรอมเรยนร ตองการศกษาหาความรเพมเตมเพอทจะเปนบคลากรทางดานความ
มนคงปลอดภยเพอเปนพนกงานประจ าในอนาคต วธการพฒนา การพฒนาท าไดโดยการจดอบรม และกจกรรมตางๆ โดยเชญผมความรมาเปนวทยากร เพอ
ยกระดบความรในหวขอตางๆ ทนาสนใจ
พฤตกรรมดานความมนคงปลอดภยทควรไมซบซอน รจดเรมตนและสนสด และงายในการปฏบตตาม โดยไมเพมขนตอนในการท างาน โดยมกระบวนการเรยนรอยางตอเนอง ส าหรบนกพฒนาจะเรยนรดวยการลงมอปฏบต ซงในเรองของการเขยนโคดอยางปลอดภยกมเวบไซตทเขาถงไดเชน “codebashing” “secure code warrior”เปนตน ในส าคญทขาดไมไดอกสงนงกคอสงคมทแลกเปลยนขอมลกนเพอท าใหเกดการเรยนร นงถงความมนคงปลอดภยในการพฒนาบรหารจะสามารถบรหารจดการทรพยากรไดงายขน โดยค าฝาย
ยควรมการค านงถง โมเดลภยคกคซอฟตแวร โด าม (Threat Modeling) เพอจ าลองสถานะการณการเจาะระบบส าหรบซอฟตแวรทพฒนาอย อกทงควรมการท าโคดรวว (Code Review) เพอลดความผดพลาดและเพมความปลอดภยใหกบซอฟตแวร การเปลยนพฤตกรรมเกยวกบความมนปลอดภยไซเบอรในองคกร
พฤตกรรมทเกยวของกบความมนคงปลอดภยไซเบอรเปนเรองส าคญ ผใชงานถอเปนหนาดานแรกทจะพบกบภยคกคามทางไซเบอร ผใชงานสามารถตดไวรสจากการใชงานทบานไดเชนเดยวกบทท างาน พฤตกรรมทเสยงลงผลใหเกดความเสยหายไดทนท ซงพฤตกรรมดงกลาวไมอาจแกไขไดโดยงานเหมอนการอพเดทโปรแกรม
ขอก าจดในการมพฤตกรรมทดตอดานความมนคงปลอดภยไซเบอรนนมาจาก ผใชงานไมมความรความเขาใจเรองภยคกคาม ไมใชเวลาเพอท าความเขาใจนโยบายความปลอดภย ไมทราบถงมลคาของขอมล และไมรวาพฤตกรรมทดนนควรจะตองท าอยางไรบาง
35
เผยแพรเมอวนท 20 มนาคม 2560
โดยการขบเคลอนพฤตกรรมองคกรณนนท าไดโดยมวธการงายๆ เชน จดประเภทของขอมลทตองการใหมความปลอดภย จดโตะและจอคอมพวเตอรใหสะอาด ระมดระวงเมอใชงานสาธารณะและออนไลน เกบรกษารหสผาน ถามเหตสงสย รบแจงผดแลระบบ คดกอนคลก เปนตน
นอกจากนจะตองท าความเขาใจใหผใชงาน และพนกงานรบรดวย การเอาใจใส การมสวนรวม และท าใหงาย โดยมกลไกวดและประเมนผลและมแผนปฏบตทชดเจน ภายในอาทตยหนาจะมการตรวจความพรอมทางดานความตระหนกรทางไซเบอน ภายในไตรมาสหนาจะตองมความกาวหนาในการเปลยนแปลงพฤตกรรม ภายในครงปจะตองมกจกรรมตอเนองพรอมการวดผลและประเมนกจกรรมทจดท าขนเพอใชในการปรบปรง
36
เผยแพรเมอวนท 20 มนาคม 2560
พนทสวนการจดงานแสดง (Expo)
พนทสวนจดแสดงงาน Expo เปนสวนทบรษทผน าดานความปลอดภยตางๆ ไดน าเอา Solution และ technology ดานการรกษาความปลอดภยลาสด เพอแสดงถงศกยภาพวา software หรอ Tools ของพวกเขาสามารถดแลองคกร หรอขอมลส าคญของคณไดอยางไร โดยพนทจะแบงออกเปนสองสวนคอ North & South Expo
แผนผงโถงการจดแสดงงาน Expo พนทสวนแสดงงานดานอาคารทศเหนอ North Expo Floorplan พนทสวนแสดงงานดานอาคารทศใต
South Expo Floorplan พนทสวนจดแสดงงานสวน North จะเปนโถงหลกของงาน Expo โดย Brand ใหญๆจะจดแสดงอยทนโดยสวนใหญ โดย พนทสวนจดแสดงงานสวน South จะเปนโถงรองของงาน Expo แตมพนทการแสดงทใหญกวาโถง North และมจ านวนของ Exhibitor มากกวาโถงในสวนทศเหนอ ถงแมวาพนทสวนจดแสดงดาน South Expo จะไมไดม Exhibitor Brand ทมชอเสยงมากเทากบโถงทางทศเหนอ แตมหลายๆ brand ทจดแสดงผลงานไดนาสนใจอยมากมายหลาย brand
37
เผยแพรเมอวนท 20 มนาคม 2560
พนทจดแสดงสวน North Expo
พนทจดแสดงสวน South Expo
38
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Force Point Highlight: Booth ของ Force Point ให Corporate Identity ทชดเจนสอถงความเปนเทคโนโลยทน าสมย และมความเปนตวตนเองสง รวมถงการน าเอาเทคนคทางดาน Lighting มาใชท าใหพนทจดแสดงผลงานนาสนใจ และด Life นาสนใจ
39
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Kaspersky Highlight: Booth ของ Kaspersky น าสายตาคนเขา Booth ดวยการจดวาง Landmark ของ Cockpit รถแขง F1 เพอสอใหถงความเปนทหนงซง reflection กบ Brand ของตวเอง โดยเปดใหผเขาชมไดเขามาทดลองเลนเกมสในรปแบบของ Virtual และน าเสนอ Product ของตวเองดวยไปในตว ซงเรยกคนเขาชมไดเปนอยางด
40
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Cisco Highlight: Booth ของ Cisco ใชรปแบบ Booth ทเรยบงาย ดโปรง โดยเนนการน าเสนอทด Corporate look ซงใหความรสกท Firm ของ Brand ทแสดงความเปนตวตนทชดเจน พรอมขอมลสนบสนนทท าใหผเขาชมรสกไดถงความเชอมนของ brand ไดเปนอยางด
41
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Crowdstrike Falcon Highlight : Booth ของ Crowd strike ใชโครงสรางทไมซบซอน แตมสสนทชดเจน บงบอกถง brand และความเปนตวตนเองไดอยางชดเจน จดเดนของ brand คอความช านาญทางดาน UI ทน ามาประยกตใชกบ Software monitoring โดยก าหนด Characters เฉพาะใหกบตวละคร malware โดยผเขาเยยมชมสามารถ walkthrough ไดจาก Demo area ทแสดงผลงานไดอยางนาสนใจ โดยอกพนททนาสนใจส าหรบสนคาทแจกส าหรบผเขาชมคอเสอยดท customize มาจาก Characters ของตว software โดยใหผเขาชมไดมสวนในการเลอกจาก interactive screen
42
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Carbon Black Highlight: Booth ของ Carbon Black เนนพนทกจกรรมดวย Interactive screen ขนาดใหญทน าเสนอโดยมกจกรรมใหผเลนไดมสวนรวมในการเลม Interactive Catching malware ไดโดยใชอาวธ Space Gunner เพอสะสมแตมและแลกของรางวลจากการเขาเยยมชม ซงท าใหผเขาชม Booth เขามาเยยมชมอยตลอดเวลา
43
เผยแพรเมอวนท 20 มนาคม 2560
Exhibitor Name: Ping Identity Highlight: Booth ของ Ping Identity ใชรปแบบทเรยบงาย โดยให Gimmick ของพนทแสดงเปดโลงรอบทศทาง โดยใช รถ Van ซงเปนเสมอน Control Panel Area ในการน าเสนอและ storage ไปในตว ซงท าใหเกดจดตางทโดดเดน มองเหนไดอยางสะดดตาเมอเทยบกบพนทจดแสดงโดยรอบ
44
เผยแพรเมอวนท 20 มนาคม 2560
ภาคผนวก Microsoft คณะ ETDA เขาเยยมชมบรษท ไมโครซอฟต (Microsoft) ณ เมองซแอตเทล รฐวอชงตน สหรฐอเมรกาเมอวนท 10 กมภาพนธ 2560 ในการน Mrs.Jennifer Byrne Chief Technology Officer (CTO) พรอมดวยเจาหนาท Microsoft ไดกลาวตอนรบคณะ ETDA และอธบายเบองตนเกยวกบประวตภารกจและอดมการณของ Microsoft Cybercrime legislation @ Microsoft
Mr.Gene Burrus, Assistant General Counsel, Trustworthy Computing บรรยายถงววฒนาการของ
การเกด Cybercrime และการก าหนดกรอบกฎหมาย (Legal Framework) โดยค านงถงปจจยทเกยวดวย
45
เผยแพรเมอวนท 20 มนาคม 2560
Cybersecurity Baseline @Microsoft Aaron Kleiner, Principal Security Strategist
Mr.Aaron Kleiner, Principal Security Strategist Cybersecurity Baseline ไดอธบายถงแนวทางการ
จดการความเสยงจากภยคกคามไซเบอร ขององคกรและระหวางองคกรใหเปนไปอยางมประสทธภาพตาม 5 ขนตอนหลกคอ Identify, Protect, Detect, Response และ Recover Digital Crime / Digital Crime Center Tour at DCU @ Microsoft Niall O'Sullivan SR Business Analytics SPEC Digital Crimes Unit
ศนย Microsoft Digital Crimes Unit (DCU) เปนศนยตดตอประสานงานกระบวนการทางกฎหมายทงในประเทศและตางประเทศ รวมถงเปนศนยรวบรวมผเชยวชาญทางดานไซเบอรซเคยวรต และอน ๆ ทเกยวของเพอชวยยบยงภยคกคามทางไซเบอร
46
เผยแพรเมอวนท 20 มนาคม 2560
Cloud for Global Good
Leonardo Oritiz Villacorta (Director, field Empowerment, Philanthropies) กลาวถงโครงการ
บรษททไดมสวนรวมและเขาไปท าประโยชนใหสงคม อาท ไมวาจะเปนการใหอาสาสมครกวา 1000 คน จากทวโลก การลงทนน านวตกรรมทางเทคโนโลยมาใชใหเกดประโยชนในสงคมในประเทศไทย พรอมกบหารอความรวมมอระหวางETDA ของ School camp ตอไป Cyber Defense Operation Centre Tour
เยยมชมศนย Microsoft Cyber Defense Operations Centre หรอ CDOC ซงเปนศนยประสานงาน
เพอรบมอภยคกคาม และจดการปญหาตางๆทเกดขนกบการใชงานผลตภณฑของบรษทไมโครซอฟตทงทอยในระบบคลาวด และทเปนซอฟตแวรส าเรจรป โดย ศนย CDOC ไดด าเนนการจดการปญหาทางดานความมนคงปลอดภย ระบและแกปญหาทางความมนคงปลอดภยไซเบอร จดท ารายงานเกยวกบภยคกคามและขอเสนอแนะใหกบสวนงานและภาคธรกจทเกยวของ
47
เผยแพรเมอวนท 20 มนาคม 2560
Visiting Cisco
พบผบรหารและผเชยวชาญของ Cisco ซงแชรเรองการพฒนา NIST Security Framework รวมกบรฐบาลสหรฐฯ อนจะเปนประโยชนตอการพฒนานโยบายดาน Cybersecurity ของประเทศไทย กบแนวคดใหภาคเอกชน/ภาคธรกจเขามามสวนรวม และยงเตรยมขยายความรวมมอของเครอขาย ThaiCERT กบ Cisco CSIRT ครอบคลมการรบมอและจดการภยคกคาม การแลกเปลยนขอมลภยคกคาม และการพฒนาทกษะของบคลากรของ ThaiCERT ในการวเคราะหภยคกคาม RSA Conference
เวท RSA Conference 2017 เนนดาน Business Driven Security และ Keynote Speaker หลายคน ใชค าวา “Ripple Effect” ซงหมายถง การกระท าของทกคนลวนกอใหเกดผลและรองรอยตามมา นนคอ “คลน” ทสงผลกระทบตอบคคลอนดวย เชนเดยวกบทม ETDA ทเขารวมงานในครงน ซงตระหนกวา เมอกลบไปท างาน หวงทจะสรางการเปลยนแปลงแกสงคมและประเทศไทยจากความรทไดรบในงานครงนเชนกน
48
เผยแพรเมอวนท 20 มนาคม 2560
Microsoft Delegates
Jennifer Byrne, Chief Technology Officer
Gene Burrus, Assistant General Counsel,
Paul Nicholas, Senior Director, Trustworthy Computing
Aaron Kleiner, Principal Security Strategist
Niall O'Sullivan SR Business Analytics SPEC
Digital Crimes Unit
Leonardo Ortiz Villacorta, Director, Field Empowerment, Philanthropies
Kellie Ann Chainier, GSP Principal Program
Manager
49
เผยแพรเมอวนท 20 มนาคม 2560
ETDA Delegates
50
เผยแพรเมอวนท 20 มนาคม 2560
หมายเหต เอกสารรายงานน เปนการจดท าโดยการเกบรวบรวมขอมลจากการประชมสมมนาและเย ยมชมสถานท หากทานประสงคจะน าไปใชงานตอ ขอใหโปรดพจารณาความเหมาะสม และค านงถงหลกการใชอยางเปนธรรม (Fair use) ดวย จะขอบคณยง
51
เผยแพรเมอวนท 20 มนาคม 2560