แนวทางปกป้องข้อมูลขององค์กรสำหรับ CIO

การปกป้องข้อมูลที่อ่อนไหวง่าย และสามารถดึงคุณค่าของข้อมูลนั้นมาใช้ได้อย่างเต็มประสิทธิภาพ เป็นกุญแจสำคัญของความต่อเนื่องทางธุรกิจและความสำเร็จขององค์กร

บทความโดย ทวิพงศ์ อโนทัยสินทวี ผู้จัดการประจำประเทศไทย นูทานิคซ์

การที่โลกต้องพึ่งพาและนำเทคโนโลยีมาใช้ในทุกภาคส่วน ทำให้ข้อมูลกลายเป็นสินทรัพย์ที่ทรงคุณค่า ในช่วงที่ผ่านมาเราเห็นหลากหลายกรณีศึกษาที่มีการนำข้อมูล โดยเฉพาะข้อมูลส่วนบุคคลมาใช้และ ก่อให้เกิดความเสียหายทั้งต่อตัวบุคคลและองค์กรอย่างมาก 

เป็นเรื่องน่ายินดีที่มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย ซึ่งจะช่วยสร้างความมั่นใจ และเพิ่มความปลอดภัยให้กับทุกมิติ ทว่ายังมีความท้าทายที่องค์กรต่าง ๆ ต้องรับมือกับการปฏิบัติตามข้อกำหนด ทั้งการฝึกอบรม และสร้างความรู้ความเข้าใจให้กับบุคลากร การหาเครื่องไม้เครื่องมือเข้ามาช่วย การตรวจสอบ และปรับปรุงกระบวนการทำงาน รวมถึงการมีที่ปรึกษาที่ให้คำแนะนำ เพื่อให้องค์กรของตนเองปฏิบัติตามข้อกำหนดของ PDPA ได้ 

ทั้งนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงว่า กฎหมายดังกล่าวออกมาเพื่อให้การประมวลผลข้อมูลมีความมั่นคงปลอดภัย มีความเป็นธรรมและโปร่งใสกับเจ้าของข้อมูล ไม่เป็นอุปสรรคในการประกอบธุรกิจ รวมถึงความจำเป็นของไทยในการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล เพื่อให้ไทยเป็นประเทศผู้นำเข้าข้อมูลได้ โดยไม่มีข้อจำกัดทางการค้าหรือทำให้สูญเสียความสามารถในการแข่งขัน หรือผลจากการไม่พร้อมใช้บังคับพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ตาม แม้ว่าพระราชบัญญัตินี้จะบังคับใช้อย่างเป็นทางการแล้ว และในขณะที่กฎหมายลูกยังไม่ครบสมบูรณ์ ผู้นำองค์กรจะต้องให้ความสำคัญกับการปกป้องข้อมูลขององค์กรด้วยตนเองด้วยโดยเฉพาะ ข้อมูลที่อ่อนไหวง่าย รวมถึงการมีโซลูชันที่ช่วยสร้างความปลอดภัยในการเข้าถึงข้อมูลและแอปพลิเคชันต่าง ๆ เช่น การเข้ารหัสข้อมูล, Microsegmentation, การควบคุมการเข้าถึงตามบทบาท หรือการเก็บข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ และการป้องกันการโจมตีของภัยคุกคาม เช่น Ransomeware ได้เป็นต้น

นิยามง่าย ๆ ของการปกป้องข้อมูล คือการกระทำเพื่อให้มั่นใจได้ว่าผู้ที่ได้รับอนุญาตเท่านั้นถึงจะเข้าถึงข้อมูลนั้น ๆ ได้ แต่การทำให้สัมฤทธิผลนั้นไม่ง่ายเลย กรอบความคิดเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวจะต้องได้รับการระบุไว้ในเป้าหมายและขอบเขตด้านการปกป้องข้อมูลอย่างครบถ้วนชัดเจน เพราะหากมีการกำหนดค่าอุปกรณ์ผิดพลาดเพียงอุปกรณ์เดียว หรือการกดแป้นพิมพ์เพียงสองสามครั้งที่ทำให้ข้อมูลไปแสดงบนหน้าจอที่เปิดเผยต่อสาธารณะ อาจส่งผลให้องค์กรเสียชื่อเสียงและตกต่ำได้

โดยปกติองค์กรต่างใช้ระบบป้องกันที่แข็งแกร่งเพื่อสกัดกั้นการละเมิดข้อมูลต่าง ๆ ที่เพิ่มขึ้นอย่างต่อเนื่อง จำนวนข้อมูลที่ถูกละเมิด 1,862 รายการในปี 2564 นั้นเพิ่มขึ้น 68% จากปี 2563 รวมถึงภัยคุกคามต่าง ๆ

อย่างไรก็ตาม การแชร์ข้อมูลขององค์กรไปในวงกว้าง เช่น การแชร์ข้อมูลกับเวนเดอร์ ลูกค้า ซัพพลาย-เออร์ หน่วยธุรกิจ องค์กรของพันธมิตร บริษัทที่ปรึกษา รวมถึงพนักงานที่ทำงานจากระยะไกล ก็ทำให้ความปลอดภัยที่ว่าแข็งแกร่งที่สุดแล้วในบริเวณที่องค์กรต้องต่อเชื่อมกับภายนอกไม่มีประสิทธิภาพอีกต่อไป กล่าวได้ว่าคนนอกก็กลายเป็นคนในไปเสียแล้ว เพราะเข้าถึงข้อมูลขององค์กรได้

องค์กรจึงจำเป็นต้องมีกลยุทธ์ด้านการปกป้องข้อมูลแบบครบวงจรที่สมบูรณ์แบบ ที่สามารถรักษาความปลอดภัยข้อมูลได้ทุกที่ ตลอดเวลา ไม่ว่าข้อมูลนั้นกำลังถูกใช้งานอยู่กับแอปพลิเคชัน หรือเป็นข้อมูลที่อยู่ในเซิร์ฟเวอร์ บนเน็ตเวิร์ก บนอุปกรณ์ของผู้ใช้งาน เก็บอยู่ในฐานข้อมูล และบนคลาวด์ ครอบคลุมตั้งแต่แกนหลักไปจนถึงเอดจ์ และปกป้องทั้งข้อมูลที่ไม่มีการใช้งาน ข้อมูลที่มีการเคลื่อนไหว หรือกำลังถูกใช้งานอยู่

ข้อมูลของ “องค์กร” คืออะไร และข้อมูลใดบ้างที่ต้องได้รับการปกป้อง

ก่อนที่จะเริ่มจัดทำระบบรักษาความปลอดภัยให้กับข้อมูลที่อยู่ตามสภาพแวดล้อมที่หลากหลายในองค์กร ผู้รับผิดชอบด้านนี้ต้องเข้าใจว่าข้อมูลที่มีอยู่เป็นข้อมูลประเภทใด อยู่ในรูปแบบใด และลักษณะอื่น ๆ ของข้อมูลเป็นอย่างไร ทั้งยังต้องเข้าใจตัวแปรต่าง ๆ ที่มีอิทธิพลต่อการเข้าใช้งาน จัดเก็บ และโยกย้ายข้อมูลไปยังสภาพแวดล้อมต่าง ๆ ซึ่งการพิจารณาว่าข้อมูลใดสำคัญมากพอที่จำเป็นต้องปกป้องไว้ เป็นเรื่องที่สร้างความปวดหัวให้กับผู้บริหารองค์กรต่าง ๆ มานานแล้ว

ปัจจุบันอัลกอริธึมของแมชชีนเลิร์นนิ่งช่วยให้แยกแยะข้อมูลที่ละเอียดอ่อนได้ง่ายและแม่นยำมากขึ้น อัลกอริธึมนี้จะจัดประเภทข้อมูลสำคัญโดยอัตโนมัติ และจัดหมวดหมู่ข้อมูลนั้นตามเนื้อหา วิธีการนี้ช่วยให้ปรับขนาดการทำงานได้มากกว่าวิธีการทำงานแบบแมนนวลมาก

นอกจากนี้ยังมีเครื่องมือที่ใช้ในการค้นหาข้อมูลหลากหลายที่ช่วยให้ผู้ดูแลระบบประหยัดเวลาได้มาก ด้วยการค้นหาข้อมูลทั้งที่มีโครงสร้างและไม่มีโครงสร้างในระบบเน็ตเวิร์กขององค์กร

การจัดประเภทข้อมูลที่มีความอ่อนไหวง่าย

เมื่อระบุและแยกแยะข้อมูลที่มีความอ่อนไหวง่ายทั้งหมดออกมาได้แล้ว ผู้ดูแลระบบไอทีจำเป็นต้องกำหนดระดับชั้นความลับต่าง ๆ ขึ้นมา และทำการตัดสินใจว่าจะเก็บข้อมูลแต่ละหน่วยไว้ที่ใด จะอนุญาตให้ผู้ใช้หรือผู้มีบทบาทใดเข้าถึงข้อมูลนั้นได้บ้าง และเข้าถึงได้ในขอบเขตมากน้อยเพียงใด

แม้ว่าองค์กรส่วนใหญ่มีหมวดหมู่ของข้อมูลที่เป็นการเฉพาะของตนอยู่แล้ว แต่โดยทั่วไปข้อมูลที่มีความอ่อนไหวง่ายจะได้รับการจัดเป็นสี่กลุ่มดังนี้

• ข้อมูลสาธารณะ: ข้อมูลที่ทุกคนทั้งภายในและภายนอกองค์กรสามารถเข้าถึงได้ทุกเวลาอย่างอิสระ เช่น ข้อมูลการติดต่อ สื่อทางการตลาด ราคาของสินค้าและบริการต่าง ๆ

• ข้อมูลภายใน: ข้อมูลที่ไม่เปิดเผยต่อสาธารณะหรือคู่แข่งทางธุรกิจ แต่สามารถแชร์กันภายในองค์กรได้อย่างอิสระ เช่น แผนผังองค์กร และคู่มือการขายต่าง ๆ

• ข้อมูลลับ: ข้อมูลที่มีความอ่อนไหวง่าย ซึ่งหากหลุดไปยังบุคคลที่ไม่ได้รับอนุญาต จะสามารถส่งผลในทางลบแก่องค์กร เช่น สัญญาการจัดซื้อจัดหาต่าง ๆ และเงินเดือนของพนักงาน

• ข้อมูลที่จำกัดการเข้าถึง: ข้อมูลองค์กรที่มีความอ่อนไหวง่ายในระดับสูง ซึ่งหากรั่วไหลออกไป จะนำความเสี่ยงทางกฎหมาย การเงิน ชื่อเสียง หรือกฎระเบียบมาสู่องค์กร เช่น ข้อมูลทางการแพทย์ของลูกค้า และรายละเอียดบัตรเครดิต เป็นต้น 

ปัจจัยที่ส่งผลกระทบต่อความปลอดภัยของข้อมูล

เมื่อกำหนดระบบรักษาความปลอดภัยได้อย่างเหมาะสมแล้ว นโยบายด้านความปลอดภัยจะปกป้องไม่ให้ข้อมูลสูญหาย และป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตให้กับอุปกรณ์ ระบบ และเครือข่ายทั้งหมด ทั้งยังให้บริการ ตรวจสอบ และบริหารจัดการ ผ่านการทำงานร่วมกันของกระบวนการและเทคโนโลยีที่มีมาตรฐานต่าง ๆ เช่น ไฟร์วอลล์ โปรแกรมแอนตี้ไวรัส และเครื่องมืออื่น ๆ อีกมาก ทั้งนี้มาตรฐานและกระบวนการต่าง ๆ เหล่านี้จะแตกต่างกันตามการใช้งาน ความสำคัญของข้อมูล รวมถึงกฎระเบียบที่กำหนดไว้

ผู้ดูแลระบบความปลอดภัยจำเป็นต้องตระหนักรู้และเข้าใจวิวัฒนาการในการจัดเก็บข้อมูลและการใช้ข้อมูลจากทั้งมุมของเทคโนโลยีและลักษณะงาน การเปลี่ยนแปลงบางประการที่กระทบต่อความปลอดภัยของข้อมูลโดยตรง ได้แก่

บิ๊กดาต้า: มีการสร้างข้อมูลในปริมาณที่สูงมากทุกวัน โดยบริษัทวิจัย IDC ได้คาดการณ์ว่าขนาดของปริมาณการใช้ข้อมูลทั่วโลก (global datasphere) จะสูงถึง 175 เซตตะไบท์ (ZB) ภายในปี 2568 อย่างไรก็ตาม ข้อมูลส่วนใหญ่นี้ไม่ได้นำไปใช้ให้เป็นประโยชน์หรือไม่ได้ถูกนำไปใช้ตรงตามกำหนดเวลา หรือไม่สามารถนำไปวิเคราะห์ได้อย่างคุ้มค่า 

นอกจากนี้ ข้อมูลนี้ยังมีรูปแบบที่แตกต่างหลากหลาย ยากต่อการจัดหมวดหมู่หรือประมวลผล  ข้อมูลจากการวิจัยของ MIT พบว่าปัจจุบัน 80 ถึง 90 เปอร์เซ็นต์ของข้อมูลทั้งหมดเป็นข้อมูลที่ยังไม่มีโครงสร้าง อยู่ในรูปแบบของ เสียง/วิดีโอ-ข้อความที่ปนกัน, ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ทั้งหมดของบุคคลในองค์กร (server logs), โพสต์บนโซเชียลมีเดีย และอื่น ๆ

คอมพิวเตอร์ของผู้ใช้ปลายทาง (End User Computing: EUC): อุปกรณ์จำนวนมากที่เชื่อมต่อเข้ามายังเน็ตเวิร์กขององค์กร (เป็นรายบุคคล และ ผ่านอินเทอร์เน็ต) มีความหลากหลาย และมีจำนวนเพิ่มขึ้นเป็นทวีคูณ อุปกรณ์เหล่านั้นรวมถึง อุปกรณ์อินเทอร์เน็ตออฟธิงค์ (IoT), อุปกรณ์สำหรับสวมใส่, เซ็นเซอร์, และหุ่นยนต์อุตสาหกรรมต่าง ๆ

การเปลี่ยนแปลงที่กล่าวมานี้ ทำให้ข้อมูลขององค์กรไม่ได้มีตัวตนอยู่เฉพาะในโลเคชั่นที่มีการควบคุมและมีการกำหนดอย่างชัดเจนเท่านั้นอีกต่อไป แต่ยังทอดข้ามไปอยู่ในทุกอุปกรณ์และทุกแอปพลิเคชันที่ผู้ใช้เข้าถึง สถานการณ์เหล่านี้ทำให้การรักษาความปลอดภัยข้อมูลมีความซับซ้อนขึ้น แม้ว่าองค์กรต่าง ๆ จะพยายามใช้ดาต้าเวอร์ชวลไลเซชันมาช่วยทำให้การทำงานต่าง ๆ ง่ายขึ้นก็ตาม

สภาพแวดล้อมแบบไฮบริด: องค์กรกำลังมุ่งย้ายโครงสร้างพื้นฐานไอทีจากดาต้าเซ็นเตอร์ ไปอยู่บนสภาพแวดล้อมคลาวด์มากขึ้น และไฮบริดคลาวด์คือเทคโนโลยีที่ช่วยองค์กรจัดการกับเรื่องนี้ และนั่นเป็นการทำให้เรื่องของความปลอดภัย (อย่างน้อยที่สุดบนพับลิคคลาวด์) เป็นความรับผิดชอบร่วมกันของผู้ขายเทคโนโลยีและลูกค้า

การทำงานจากที่ใดก็ได้: การระบาดของโควิด-19 ทำให้บริษัทส่วนใหญ่ต้องใช้รูปแบบการทำงานจากที่ใดก็ได้ และการทำงานจากบ้านภายในชั่วข้ามคืนอย่างหลีกเลี่ยงไม่ได้ และองค์กรจำนวนมากต้องหาทางให้พนักงานของตนเข้าใช้งานแอปพลิเคชันและไฟล์งานสำคัญทางธุรกิจได้จากบ้านของพนักงานแต่ละคน การทำงานจากที่บ้านกลายเป็นเรื่องปกติธรรมดาก่อนที่องค์กรจะสามารถประเมินความเสี่ยงต่าง ๆ และนำขั้นตอนการรักษาความปลอดภัยอย่างเพียงพอมาใช้เสียอีก

ดังนั้น เมื่อคำนึงถึงการเปลี่ยนแปลงครั้งใหญ่เหล่านี้ ผู้บริหารฝ่ายสารสนเทศ (CIOs) ผู้บริหารฝ่ายเทคโนโลยี (CTOs) ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (CISOs) และผู้ดูแลระบบความปลอดภัยจำเป็นต้องใช้มาตรการและขั้นตอนที่ครอบคลุม เพื่อปกป้องข้อมูลของบริษัทและของลูกค้าให้ได้ตลอดเวลา

มาตรการด้านความปลอดภัยที่องค์กรสามารถนำมาใช้ได้

ไม่มีภัยคุกคามใดที่มีลักษณะเหมือนกัน ผู้ดูแลด้านไอทีจำเป็นต้องตระหนักรู้ถึงประเภทของภัยคุกคามที่แตกต่างกันเหล่านั้นที่จะกระทบต่อสภาพแวดล้อมการทำงานขององค์กร และต้องแน่ใจว่าระบบต่าง ๆ ขององค์กรได้รับการติดตามตรวจสอบการบุกรุกต่าง ๆ อย่างรอบคอบรัดกุม

ให้ความรู้เกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดแก่พนักงาน: พนักงานทุกคนต้องเข้าใจว่าข้อมูลสำคัญต่อธุรกิจอย่างไร และหากข้อมูลถูกบุกรุกจะเกิดผลลัพธ์อย่างไร และองค์กรต้องมั่นใจว่าพนักงานให้ความสนใจอีเมลที่เข้ามาในแต่ละวันว่าเป็นอีเมลที่ส่งมาจากไหน เปิดอีเมลจากผู้ส่งที่เชื่อถือได้เท่านั้น และไม่คลิกลิงก์หรือไฟล์แนบใด ๆ ที่ไม่แน่ใจที่มาและผู้ส่งว่าเป็นใคร การใช้เบราว์เซอร์ก็เช่นเดียวกัน พนักงานทุกคนควรรู้ความหมายของสัญญาณเตือนต่าง ๆ บนหน้าเว็บ และต้องสามารถแยกแยะว่าไซต์ใดเป็นไซต์ที่หลอกลวงและไซต์ใดเชื่อถือได้

องค์กรควรใส่ใจการบริหารจัดการรหัสผ่านเป็นพิเศษ รหัสผ่านที่ละเมิดได้ง่ายและรหัสผ่านที่ใช้ร่วมกันยังคงเป็นสาเหตุอันดับหนึ่งที่ทำให้องค์กรมีความกังวล เมื่อสิบปีที่ผ่านมาการสร้าง รายการรหัสผ่านนับพันล้านรายการเพื่อแฮ็กบัญชีผู้ใช้งานสักบัญชีหนึ่ง ต้องใช้เวลาและการประมวลผลที่นานมาก ๆ แต่ปัจจุบันกลายเป็นงานเล็ก ๆ เท่านั้น

ใช้การควบคุมที่ลงลึกถึงรายละเอียด: ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้โมเดล zero trust ซึ่งเป็นการให้ผู้ใช้งานและแอปพลิเคชันต่าง ๆ เข้าถึงทรัพยากรเท่าที่จำเป็นต้องใช้เพื่อทำงานได้อย่างมีประสิทธิภาพเท่านั้น โมเดลนี้เกี่ยวโยงกับ microsegmentation ของเน็ตเวิร์กและการสร้างนโยบายที่เจาะจงอย่างมากให้กับเซิร์ฟเวอร์ เวอร์ชวลแมชชีน แพลตฟอร์ม แอปพลิเคชัน และบริการต่าง ๆ ที่ใช้วิธีการเข้าถึงข้อมูลแบบให้สิทธิน้อยที่สุดเท่าที่จำเป็น (least privileged) แก่ผู้ใช้ที่ต้องการเข้าถึงข้อมูลประเภทที่อ่อนไหวง่าย

การใช้แนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับการจัดการด้านอัตลักษณ์และการเข้าถึง (Identity and Access Management: IAM) คู่กับรูปแบบการใช้ปัจจัยหลายอย่างในการตรวจสอบและยืนยันตัวตน (Multi-Factor Authentication: MFA) เป็นกุญแจสำคัญในการนำระบบรักษาความปลอดภัยแบบ zero trust มาใช้ในองค์กร

เข้ารหัสข้อมูลทั้งหมด: การเข้ารหัสเป็นกระบวนการของการทำให้อ่าน แกะ หรือทำสำเนาข้อมูลได้ยาก โดยการใช้อัลกอริธึมทำการรบกวนข้อมูลให้สับสน  ผู้ใช้งานที่มีคีย์หรือระดับการเข้าถึงที่ถูกต้องเท่านั้นที่สามารถถอดรหัส ดู หรือประมวลผลข้อมูลนั้นได้ วิธีนี้สร้างความมั่นใจด้านความปลอดภัยให้กับข้อมูลที่ไม่ค่อยมีการเคลื่อนไหว รวมถึงข้อมูลที่อยู่ระหว่างการรับส่งด้วย ทั้งนี้ การเข้ารหัสมีสี่ลักษณะดังนี้

• ระดับเน็ตเวิร์ก

• ระดับแอปพลิเคชัน

• ระดับดาต้าเบส

• ระดับจัดเก็บข้อมูล

การรักษาความปลอดภัยข้อมูลจากแกนกลางสู่ส่วนที่ติดต่อกับภายนอก

ข้อมูลคือสกุลเงินที่ขับเคลื่อนองค์กรทุกแห่งไม่ว่าจะใหญ่หรือเล็ก ไม่มีอะไรสำคัญต่อองค์กรมากกว่าการปกป้องข้อมูลขององค์กรจากการสูญหาย การทุจริต และการโจรกรรม

การเชื่อมต่อที่เกิดขึ้นพร้อมกันระหว่างลูกค้า ผู้ขายเทคโนโลยี พันธมิตร และพนักงานที่ทำงานนอกสถานที่ ทำให้เส้นแบ่งระหว่างคนนอกและคนในองค์กรไม่ชัดเจนอีกต่อไป ส่งผลให้การป้องกันอาณาเขตของข้อมูลไม่มีประสิทธิภาพ กลยุทธ์การปกป้องข้อมูลที่แข็งแกร่งมีการขยายจากแกนกลางซึ่งเป็นสถานที่หลักในการเก็บข้อมูล ไปยังขอบของเน็ตเวิร์กหรือ edge ซึ่งเป็นที่ที่มีการรวบรวมและใช้ข้อมูล ดังนั้น องค์กรต่าง ๆ จำเป็นต้องพิจารณาเรื่องการกระจายตัวของข้อมูลและการรักษาความปลอดภัยนี้ตลอดเวลาไม่ว่าจะอยู่ระหว่างการรวบรวม รับส่ง หรือเปลี่ยนแปลงข้อมูลก็ตาม