หมายเหตุมติชน – วันที่ 30 มีนาคม ที่อาคารสำนักงาน บริษัท มติชน จำกัด (มหาชน) จัดงานสัมมนาเรื่อง “ไทยกับความปลอดภัยไซเบอร์ 2022” รูปแบบไลฟ์สตรีมมิ่งผ่านเฟซบุ๊กในเครือมติชน ข่าวสด ประชาชาติธุรกิจ และยูทูบมติชนทีวี โดยมีนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานและปาฐกถาพิเศษ พล.อ. ดร.ปรัชญา เฉลิมวัฒน์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ บรรยายพิเศษ และวงเสวนาจากส่วนงานที่เกี่ยวข้อง หัวข้อ “เปิดมุมมองความปลอดภัยไซเบอร์ 2022” จึงขอนำเสนอรายละเอียดของวงเสวนาดังกล่าว ดังต่อไปนี้
น.อ.อมร ชมเชย
รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (รอง ลธ.กมช.)
ปัจจุบันสถิติของภัยคุกคามไซเบอร์สูงขึ้นเรื่อยๆ เพราะเป็นธรรมชาติเมื่อมีของมีค่าจะต้องมีทั้งคนที่ช่วยเหลือสนับสนุน และมีทั้งผู้ที่จ้องทำลาย ฉะนั้น การโจมตีเรื่องซอฟต์แวร์หรือการโจมตีเว็บไซต์ จากเดิมได้รับแจ้งการโจมตีสัปดาห์ละหนึ่งครั้ง ปัจจุบันเพิ่มเป็นวันละหนึ่งครั้ง ซึ่งเป็นเรื่องที่เกิดขึ้นทั่วโลก ส่วนเรื่องการรับมือปัจจุบันไทยมีการตื่นตัวแล้ว แต่ยังไม่มีความสมดุล
ในความตื่นตัวที่ว่า คือต้องขึ้นอยู่กับความพร้อมของหน่วยงานด้วยจึงสามารถปฏิบัติได้อย่างครบถ้วน และมีแนวโน้มที่ดี แต่หลายหน่วยงานได้เริ่มใช้ระบบไอทีในช่วงที่มีภัยคุกคามน้อย เพราะฉะนั้นแผนการพัฒนาเทคโนโลยี และบุคลากร จึงยังไล่ตามหลัง อาทิ หน่วยงานที่สำคัญอย่างหน่วยงานสาธารณสุข เป็นต้น แต่ยืนยันว่าตอนนี้ไม่มีใครที่ไม่ตื่นตัว เพียงแต่บางเรื่องต้องมีแอ๊กชั่นตามมา เป็นเรื่องที่ต้องช่วยเหลือและผลักดันร่วมกัน ทั้งนี้ การขับเคลื่อนแผนงานต่างๆ ต้องมีเรื่องของการใช้งบประมาณเข้ามาเกี่ยวข้อง รวมถึงบุคลากรในหน่วยงานต้องช่วยกันขับเคลื่อนด้วย เป็นเรื่องที่ต้องใช้เวลาและมีการสนับสนุนที่ต่อเนื่องเพื่อให้แต่ละหน่วยงานสามารถรับมือกับภัยคุกคามต่างๆ ในระดับที่เราพอใจได้ต่อไป
ส่วนหน่วยงานที่ถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือซีไอไอ ที่เปรียบเสมือนกระดูกสันหลังของเศรษฐกิจดิจิทัล เพราะต้องพึ่งพาเป็นอย่างมากในการใช้ชีวิตในโลกออนไลน์และโลกดิจิทัล หลายหน่วยงานเริ่มตื่นตัวดีขึ้น แต่ยังต้องช่วยกันผลักดันให้ทุกหน่วยงานมีความพร้อมในการรับมือ เพื่อให้เกิดความครบถ้วนสมบูรณ์ แต่ไม่ได้หมายความว่าที่ผ่านมามีการปล่อยปละละเลยแต่อย่างใด แต่เป็นเพราะภัยคุกคาม หรือภัยจากอาชญากรไซเบอร์ (แฮกเกอร์) มีวิวัฒนาการอย่างต่อเนื่อง ดังนั้น ในกระบวนการดูแลป้องกันต้องมีการบริหารจัดการที่ดีด้วย เริ่มตั้งแต่ผู้บริหารระดับสูง นโยบาย แผนบริหารจัดการเทคโนโลยี และบุคลากร ซึ่งเป็นเรื่องที่ต้องช่วยกันส่งเสริมเพื่อรับมือภัยคุกคามต่อไป
ประเด็นความกังวลเรื่องภัยไซเบอร์ หากย้อนกลับไปในช่วงที่ยังไม่มีคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีความแตกต่างกับการรับมือในปัจจุบันหรือไม่ เมื่อเปรียบเทียบกันแล้วปัจจุบันไทยมีความพร้อมในองค์รวมมากขึ้น และในส่วนของพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 (พ.ร.บ.ไซเบอร์) ไม่ได้เป็นเพียง พ.ร.บ.ที่ใช้ในการป้องกัน หรือต้องห้ามให้ไม่มีการโจมตี ซึ่งเป็นไปไม่ได้ แต่ในตัว พ.ร.บ. ระบุว่าทุกหน่วยต้องมีความพร้อมในการรับมือภัยไซเบอร์ และต้องมีการซักซ้อม ซึ่งเมื่อปี 2564 ได้มีการซักซ้อมแล้ว อีกส่วนหนึ่งหากพบการถูกโจมตีจะต้องมีการแจ้งหน่วยงานที่เกี่ยวข้อง โดยในส่วนที่จะเป็นตัวกระตุ้นให้หน่วยงานที่ไม่ได้เกี่ยวข้องตื่นตัวมากขึ้นอีกด้วย เพื่อไม่ให้เกิดผลกระทบในวงกว้าง และในส่วนของการรับมือต้องมีแผนสำรองกรณีที่ระบบหลักเกิดผลกระทบ และจะมีกระบวนการอย่างไรเพื่อบรรเทาความสูญเสียที่อาจเกิดขึ้น เพราะฉะนั้น พ.ร.บ.ไซเบอร์ฉบบนี้จึงเป็นผลบวกที่เข้ามาช่วยทำให้ประเทศไทยมีความแข็งแกร่งต่อการรับมือกับภัยคุกคามได้มากขึ้น
อย่างไรก็ตาม เรื่องการพัฒนาบุคลากรเป็นหัวใจหลักต่อการเปลี่ยนแปลงองค์กรหรือประเทศ คนเป็นสิ่งแรกที่ต้องเริ่มเปลี่ยนแปลงก่อน จึงเป็นเหตุให้ สกมช.ได้รับการสนับสนุนงบประมาณจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) พัฒนาความรู้ให้กับบุคคลที่มีความรู้เรื่องไซเบอร์ซีเคียวริตี้ โดยมีเป้าหมายพัฒนาบุคลากร 2,050 คน ซึ่งปัจจุบันมีการพัฒนาแล้วกว่า 1,000 คน ส่วนใหญ่เป็นผู้ดูระบบไอทีอยู่แล้ว เข้ามาเรียนรู้เรื่องไซเบอร์เพื่อนำไปปรับเปลี่ยนรูปแบบการบริหารจัดการ สิ่งที่ สกมช.คาดหวังคือการเข้าไปช่วยผลักดัน โดยเริ่มจากการให้ความรู้และเปลี่ยนแปลงความคิด สุดท้ายไปสู่การเปลี่ยนแปลงวัฒนธรรมองค์กร จึงมุ่งเน้นการพัฒนาบุคลากรเป็นอันดับต้นๆ เพื่อเป็นการเริ่มพัฒนาไซเบอร์ซีเคียวริตี้ของประเทศต่อไป
นอกจากนี้ ยังมีหลักสูตรพัฒนาความรู้ความเข้าใจในระดับปลัดกระทรวง เพื่อให้เกิดความเปลี่ยนแปลงจากบนลงล่าง หรือเปรียบเสมือนเขื่อนที่มีที่กั้นเขื่อนสูง เพื่อให้เห็นการไหลผ่านของน้ำจากสูงลงต่ำ สร้างความเปลี่ยนแปลงได้มากกว่า เพราะฉะนั้นการให้ความสำคัญตั้งแต่ผู้บริหารระดับสูง เป็นสิ่งที่สำคัญมากๆ ในการขับเคลื่อนองค์กรให้มีความพร้อมในการรับมือกับปัญหา
อีกสิ่งที่สำคัญในการป้องกันและความมั่นคงทางไซเบอร์ คือเรื่องการพัฒนากระบวนการควบคุมกำกับดูแล ซึ่งเป็นสิ่งที่ถูกระบุไว้ใน พ.ร.บ. อาทิ การบริหารจัดการความเสี่ยง ในเรื่องของระบบความปลอดภัย เช่น การติดตั้งเครื่องสแกนลายนิ้วมือ และการสำรองข้อมูล (Backup) เป็นต้น
อีกสิ่งที่ต้องมีคือแผนรับมือภัยคุกคาม ป้องกันอย่างเดียวไม่พอ ต้องเตรียมพร้อมแผนรับมือด้วย เพื่อเป็นการแบ่งหน้าที่ และต้องฝึกเพิ่ม เรื่องเหล่านี้ต้องมีการซักซ้อมภายในหน่วยงาน เป็นเรื่องที่รัฐบาลต้องมีการผลักดันนอกเหนือจากเรื่องเงิน อาทิ การบริหารจัดการ และความตั้งใจที่อยากทำให้สถานการณ์การเกิดภัยคุกคามไซเบอร์ในประเทศดีขึ้น เป็นต้น
“อยากฝากถึงประชาชนให้เตรียมรับมือกับเรื่องการคุกคามทางไซเบอร์ รูปแบบของคอลเซ็นเตอร์ มี 3 เทคนิคแนะนำ คือ 1.ความโลภ 2.ความกลัว และ 3.ความรัก ต้องตั้งสติสังเกตให้ดีเพื่อป้องกันการถูกหลอกให้เสียทรัพย์สิน”
ในส่วนของระบบการควบคุมด้านอุตสาหกรรม ภายในปี 2565 สกมช.จะคัดเลือกคนที่สนใจไปเรียนต่อในแล็บที่สหรัฐ และเร็วๆ นี้ จะหารือกับรัฐมนตรีกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม หรือ อว. เรื่องแซนด์บ็อกซ์ เพื่อให้เกิดหลักสูตรด้านไซเบอร์ซีเคียวริตี้ ในระดับปริญญาตรี และอาจมีสอนในหลักสูตรเพิ่มเติม เพื่อให้เกิดการ รีสกิล อัพสกิล ซึ่งเป็นเรื่องที่จะผลักดันต่อไป ไม่ได้อาศัยเพียงนโยบายรัฐ แต่ต้องมาจากความเข้าใจและเกิดการบูรณาการร่วมกัน
ขอฝาก 3 เรื่องที่ควรปฏิบัติในการผลักดันเรื่องนี้ ได้แก่ 1.ต้องมีฟังก์ชั่นที่ครบถ้วน 2.ความง่ายในการใช้ และ 3.ไซเบอร์ซีเคียวริตี้ ซึ่งทั้ง 3 ด้านนี้ หากผู้บริหารทั้งภาครัฐและเอกชน นึกถึงไว้ในใจตลอด ก็จะทำให้ประเทศไทยมีความพร้อม และเกิดการบูรณาการ และพัฒนาเรื่องนี้ได้อย่างต่อเนื่องต่อไป
ดร.นพ.บดินทร์ ทรัพย์สมบูรณ์
กรรมการผู้ทรงคุณวุฒิด้านสาธารณสุข ในกรรมการรักษาความปลอดภัยไซเบอร์แห่งชาติ
ดีใจที่มีโอกาสได้มาคุยกัน คิดว่าเรื่อง Cyber Security เป็นเรื่องที่หลายๆ คนคิดว่าไกลตัว แต่จากเหตุการณ์ที่เกิดขึ้น หรือข่าวที่เห็นและได้ฟังคิดว่ามันใกล้ตัวมากกว่าที่เราคิด ในส่วนของการแพทย์สาธารณสุข ได้ดำเนินการเรื่องคุณภาพมานานแล้วกว่า 25 ปี ผู้ที่ไม่ได้อยู่ในวงการอาจจะไม่ทราบ เช่น การมารักษาคนไข้ที่โรงพยาบาล (รพ.) ให้การรักษาอย่างปลอดภัย ไม่ผิดคน ผิดข้าง ผิดยา ซึ่งเป็นความผิดพลาดใหญ่ แต่ก่อนหมอหรือบุคลากรทางการแพทย์มาเรียน จะสอนแต่การรักษา ซึ่งความท้าทายไม่ได้เยอะมาก และโลกเทคโนโลยีที่ใช้ก็รักษาไม่ได้ซับซ้อนเท่าตอนนี้ ในตอนนี้คือผ่าตัดเปลี่ยนอวัยวะอะไรแบบนี้ พอความเสี่ยงมีมากขึ้นเรื่อยๆ มีคนที่เข้ารับการรักษามากขึ้น เราเห็นว่ามันมีข้อผิดพลาดก็พยายามทำในเรื่องของคุณภาพ ซึ่งหนึ่งในนั้นคือเรื่องไอที (IT)
ผมมีหมวกหลายใบ ทั้งที่ทำงานใน รพ. มีโอกาสได้ทำเรื่องคุณภาพไอที ก็ขอเชิญชวนใครที่ทำงานด้านนี้เพราะเป็นเรื่องที่ขาดเยอะ ได้พัฒนาเรื่องไอทีมานาน หลายๆ ความเสี่ยง เช่น ระบบล่ม ซึ่งคำว่าไซเบอร์ในสมัยก่อน ไม่ได้อยู่ในความเข้าใจของแพทย์ ไม่มีคำศัพท์ที่เป็นคำศัพท์เฉพาะ ก็ได้ไปศึกษาเพิ่มเติม คุณหมอบอกว่าผมต้องรักษาคนไข้ให้ไวให้เร็ว ทุกคนไปโฟกัสทางการจัดหายา จัดที่รักษา ซึ่งนั่นเป็นลำดับความสำคัญแรก เพียงแต่ว่าถ้าเดินสายไฟไปตั้ง รพ.สนาม หากเดินผิดมันมีหลายๆ เรื่องในระบบอีกมากมาย โดยใช้คำรวมๆ ว่า Health systems ถ้าไม่เข้าใจ มันก็จะเป็นจุดรั่ว จุดบกพร่องได้
ขอย้อนมาเรื่องความตื่นตัวของเรา คิดว่าก่อนหน้านี้เราไม่ได้ตื่นตัวมาก ทำตามทรัพยากรที่มี ถ้าดูงบ รพ. บอกเลยว่างบประมาณไอที ไม่ได้เยอะ แต่ก่อนหน้านี้คนยังไม่เห็นและเป็นเป้าหมายใหญ่ เพียงแต่พอโจทย์มันยากขึ้น ก็ต้องมามีผู้เชี่ยวชาญ ผมคิดว่าวันนี้ตื่นตัวมากและยกระดับด้านไอที มีความปลอดภัย มีระเบียบให้ปฏิบัติทุกๆ รพ.
วิธีทำงานในการปฏิบัติจริง ในการบริการสาธารณสุขก็ใช้ระบบเน็ตเวิร์กหรือเครือข่าย ต้องเริ่มที่พี่ใหญ่ก่อน ถ้าพี่ใหญ่แข็งแรง ให้เขาเก่งมีความสามารถและเราก็ให้เข้าไปถ่ายทอดต่อ ซึ่งมันกลับมาเรื่องไซเบอร์ เราขาดคนมาก จึงต้องไปทำให้คนในพื้นที่นั้นๆ เก่งแทน เรื่องไอทีมันเป็นเรื่องของคุณภาพที่ต้องมี ทุก รพ.กำหนดให้มีหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) มีการสอนแพทย์ บุคลากรให้รู้จัก และมีหลายๆ คนที่ตั้งใจและทุ่มเทมากจนประสบความสำเร็จ
“เราทำเรื่องคุณภาพมานาน ตอนแรกๆ ไม่มีงบประมาณ มีบางคนต่อต้าน เนื่องจากเสียเวลา ต้องไปดูคนไข้ แต่ขณะเดียวกัน ยกตัวอย่าง ถ้าสายไฟไม่มีสายดิน อาจจะไฟรั่ว คนไข้อาจเสียชีวิตได้ เรื่องทางการแพทย์ บางทีที่พร้อมต้องดูแลไม่ให้มีคนบุกรุกด้วย”
แนวทางการสร้างความปลอดภัยไซเบอร์ในโรงพยาบาล สิ่งหนึ่งที่ทำคือ การเยี่ยมสำรวจ ในหลายๆ ที่อาจจะทำการประเมินแบบ ISO ซึ่งต่างจากบริบทใน รพ.ประเทศไทย คนไข้มาด้วยอาหารปวดท้องแต่สามารถเป็นโรคได้ร้อยอย่าง การเยี่ยมสำรวจคือการเข้าไปถาม อาจทำให้รู้ว่าบางคนอาจจะข้อจำกัด เช่น ภาษาอังกฤษ เป็นต้น ซึ่งมันคือความลำบาก หรือ Pain point เมื่อได้ทราบแล้วก็จะหาวิธีแก้ไขความเสี่ยงดังกล่าว
เมื่อ 20 ปีก่อน รพ.เล็กๆ ไม่ซับซ้อน โรคไม่ยาก อาจใช้บุคคลตัดสินใจได้ แต่วันนี้ต้องเป็นที่ระบบแล้ว ซึ่งเป็นในส่วนของความรู้ทั้งสิ้น ต้องมานั่งเรียนทำให้เห็น และเลือกวิธีการปฏิบัติในงบที่จำกัดได้ ซึ่งเป็นการทำให้คนเข้าใจภาพเดียวกันและปิดจุดโหว่ได้ไว
ส่วนมุมมองของภาครัฐในเชิงนโยบาย จากการได้สวมหมวกมาหลายใบเห็นว่านโยบายเข้มข้นและกฎหมายดีมาก แต่สิ่งที่อยากจะชวนคือต้องปฏิบัติให้ได้ ต้องช่วยกันว่าทำยังไง
ให้นโยบายนี้นำไปสู่การปฏิบัติได้จริง เพราะหมอ พยาบาลเหนื่อยกันมาก เห็นได้ชัดจากสถานการณ์โควิด-19 เรื่องของความปลอดภัยผู้ป่วย เริ่มด้วยเรื่องที่ผู้นำ ใส่ใจ เห็นประโยชน์ และออกนโยบาย ไม่ต้องกลัวการเป็น Role model หรือแบบอย่าง การ engagement เมื่อไรที่รู้สึกเห็นอกเห็นใจ ก็จะช่วยกันทำ โดยเป็น No blame culture หรือวัฒนธรรมไม่ตำหนิ มันจะดีมาก เพราะเราจะสามารถพูดกันได้โดยที่ไม่ตำหนิกัน
ชัชวัฒน์ อัศวรักวงศ์
ประธานกรรมการศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) (Chairman of TB-CERT)
เรื่องของภาคการเงินการธนาคาร ตอบได้ยากว่าเสี่ยงมากเสี่ยงน้อยแค่ไหน แต่โดยธรรมชาติของโจรแล้ว เห็นเงินที่ไหน เห็นโอกาสที่ไหนก็จะมาที่นั่น ในวงของธนาคารเอง ถ้าพูดเรื่องความเข้มแข็งหรือไม่ อ่อนไหวหรือไม่ จะให้ความสำคัญกับไซเบอร์ซีเคียวริตี้มานานหลายปี ธุรกิจธนาคารอยู่ได้ด้วยความน่าเชื่อถือ เป็นกลไกหลักของภาคเศรษฐกิจ ถ้าเกิดกระบวนการใช้จ่าย ฝาก ถอน โอนเงิน มีปัญหาโดนโจมตี ทำให้ความน่าเชื่อถือของสถาบันการเงินโดยรวมหรือของประเทศชาติหายไปด้วย แต่จะบอกว่าธนาคารเข้มแข็ง เก่ง ปลอดภัยแล้ว พูดไม่ได้ เพราะการโจมตีทางไซเบอร์ไม่มีอะไรแน่นอน ความเข้มแข็งจริง ไม่ได้แปลว่าจะไม่โดนแฮก ความเข้มแข็งในเชิงไซเบอร์ซีเคียวริตี้ แปลว่าการป้องกันต้องดีเยี่ยม ต้องป้องกันให้มากที่สุด เทคโนโลยีอะไรที่มันต้องมีที่ป้องกัน มั่นใจได้ว่าธนาคารได้ซื้อมาและทำให้ดีที่สุด
แต่การจัดการเรื่องไซเบอร์ มันนอกเหนือจากเทคโนโลยี มีเรื่องของกระบวนการ การให้ความรู้ความเข้าใจกับบุคลากร รวมไปถึงทักษะสกิลของคนด้วย เพราะฉะนั้นต้องผสมผสานกัน ความเข้มแข็งแปลว่า 1.ไม่ควรโดนแฮก หรือไม่โดนแฮกเลย ไม่มีอยู่จริง โจรอยู่ด้านมืด พยายามจะโจมตีอยู่แล้ว สิ่งที่เข้มแข็งคือป้องกันให้ดีที่สุด ถ้าเกิดเหตุต้องรู้ให้เร็วที่สุด และตอบสนองต่อเหตุการณ์ให้เร็วที่สุด เพื่อให้ลดผลกระทบที่เกิดขึ้น ไม่ว่าจะเกิดกับภาคธนาคารหรือโดยรวมของประเทศ
ในวงของธนาคารพยายามสร้างเรื่องพวกนี้อย่างต่อเนื่อง ไม่ว่าจะเป็นการป้องกันรับมือ ช่วงแรกมีการพูดว่ามีการซักซ้อม Cyber Drill ในระดับประเทศ เช่นเดียวกับภาคธนาคารมีการซ้อมว่าขนาดของ Worst Case Scenario (สถานการณ์เลวร้ายที่สุด) ถ้าโดนโจมตีจะทำกันอย่างไร เพื่อทำให้ประชาชนมั่นใจว่าสถาบันการเงินยังน่าเชื่อถือ ที่สำคัญไม่ใช่แค่ธนาคารใดธนาคารหนึ่งเข้มแข็งแล้วจะปลอดภัย จึงมีที่มาที่ไปในการจัดตั้ง “TB-CERT” ย่อมาจาก Thailand Banking Sector Computer Emergency Response Team คือการรวมตัวกันของธนาคารสมาชิก ทุกธนาคารส่งทีมซีเคียวริตี้มาเป็นสมาชิก เพื่อที่จะมาร่วมมือกัน ถ้าเกิดใครตรวจพบเหตุผิดปกติ จะแชร์กัน ส่งต่อข้อมูลกัน ธนาคารที่ไม่เจอจะเอาข้อมูลไปวิเคราะห์ ป้องกันเชิงรุก ไม่ต้องรอให้เจอแล้วถึงรับมือ
TB-CERT เป็นกลาง ให้ความเห็นแบบอิสระ ซึ่งยังมีภารกิจสำคัญอีก 3 เรื่อง คือการออกมาตรฐานในสถาบันการเงินโดยร่วมกับธนาคารแห่งประเทศไทย (ธปท.) เพื่อให้มาตรฐานใช้ได้จริง, การให้ความรู้ประชาชน ให้ตระหนักรู้ภัยเกี่ยวกับไซเบอร์ เกี่ยวกับสถาบันการเงิน จะให้ข้อมูลอยู่เรื่อยๆ และสุดท้ายที่เป็นเรื่องใหญ่ของทุกภาคส่วนคือเรื่องคน พยายามจะเพิ่มศักยภาพ เพิ่มสกิล มีความพร้อมถ้าเกิดภัยโจมตี จะได้รับมือทัน ไม่ว่าจะจัด Cyber Combat จัดแข่งขัน ตั้งทีมมาแฮกแข่งกัน เพื่อสร้างสกิลผ่านการเล่นเกม จัดประชุม Webinar อยู่เรื่อยๆ เพื่อเสริมสร้างความมั่นใจให้กับบุคลากรภาคธนาคาร
อยากจะเสริมเรื่องการจัดการไซเบอร์ ต้องมาจาก Top-Down (ท็อปดาวน์) อันดับแรกผู้บริหารระดับสูงต้องเข้าใจว่าสำคัญ หากเห็นว่าไม่สำคัญ คิดว่าน่าจะเกิดยาก ในวงธนาคารให้ความสำคัญกับเรื่องนี้มาก สอง การจัดการไซเบอร์ เป็นการกำจัดความเสี่ยงได้ส่วนหนึ่ง สาม การจัดการไซเบอร์ซีเคียวริตี้ ไม่ใช่เรื่องแค่เทคโนโลยี หรือไอที เป็นเรื่องของภาพทั้งกระบวนการและคน “ตอนนี้ธนาคารให้ความสำคัญเรื่องของคนเป็นลำดับต้นๆ อย่างหน่วยงานที่โดนฟิชชิ่งเมล์เข้ามาฉบับเดียว กดลิงก์ทีเดียวพังเลย เขาต้องการแค่รูเดียวทำลายองค์กรเรา ความตระหนักรู้ของพนักงานจึงสำคัญที่สุด” หลายองค์กรต้องการให้เป็นวัฒนธรรม ไม่ใช่ว่าทำเพราะถูกบังคับ มีกฎหมายบังคับ ถ้าเขาหลบเลี่ยงได้ก็จะหลบ แต่ถ้าเกิดเข้าใจจนเป็นวัฒนธรรม อย่างตอนนี้เดินออกมาข้างนอกต้องใส่หน้ากาก เป็นวัฒนธรรมที่ต้องใช้ชีวิตในช่วงนี้ เช่นเดียวกัน อยากให้พนักงานและทุกหน่วยงาน จะใช้งานคอมพิวเตอร์ต้องรู้จักดูแลรหัสผ่านอย่างไร ได้รับเอสเอ็มเอสให้เงินฟรี ไม่มีทางเป็นไปได้ จึงอยากให้เกิดการรักษาความมั่นคงปลอดภัยไซเบอร์ที่จำเป็น (Cyber Hygiene) ในระดับประเทศ
เรื่องสุดท้าย เราต้องเซต Foundation (รากฐาน) ก่อน ไม่ใช่ว่าทุกองค์กรต้องทำไซเบอร์ซีเคียวริตี้ ต้องซื้อเทคโนโลยีสุดยอดมาติดตั้ง ถ้าไม่รู้ว่าของที่มีค่าที่สุดในการป้องกัน จัดลำดับความเสี่ยงออกมาว่าอันไหนเสี่ยงต่ำเสี่ยงน้อย ถ้าเราไม่มีรากฐานที่ดี เราเอาเทคโนโลยีสุดยอดมาก็ไม่มีประโยชน์
เป็นนิมิตหมายที่ดี เรามีหน่วยงานสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เป็นรูปธรรม คอยผลักดันส่งเสริมให้ระดับประเทศกับกลุ่มหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) สกมช.ได้พยายามผลักดันเรื่องของการอบรม พัฒนาบุคลากรให้มากขึ้น ที่อยากจะเสริมคือเรื่องของการศึกษาไซเบอร์ซีเคียวริตี้ระดับคนทำงาน แต่ต้องทำอย่างไรให้นักเรียนหรือมหาวิทยาลัยมีหลักสูตรแบบนี้ ไม่ใช่สอนแต่เขียนโปรแกรมให้ใช้งานได้ จะมีสักกี่มหาวิทยาลัยสอนให้เขียนโปรแกรมให้ปลอดภัย ถ้านักศึกษาไม่รู้ว่า Secure by Design หรือพัฒนาโปรแกรมให้ปลอดภัยคืออะไร ก็ออกมาพัฒนาแอพพลิเคชั่นไม่ปลอดภัย การสร้างพื้นฐานที่ดีต้องสร้างที่ระดับการศึกษา นักเรียนควรจะรู้ เด็กควรจะรู้ความปลอดภัยในการใช้โซเชียล ควรจะผลักดันตั้งแต่เด็กๆ
ส่วนภาคประชาชน ไม่ใช่เรื่องการโจมตีทางไซเบอร์โดยตรง อย่างเรื่องแก๊งคอลเซ็นเตอร์ TB-CERT ได้สื่อสารกับประชาชนว่าไม่ต้องตื่นตระหนกกับสายที่รับมา ควรตรวจสอบ หรือตัว “เอ๊ะ” ที่จะให้ความปลอดภัย ไม่เป็นเหยื่อของแก๊งเหล่านี้ ส่วนเอสเอ็มเอสฟิชชิ่งปลายปีที่แล้วมาเพียบ เราแค่มี 3ส คือ สงสัย สังเกต ส่งข่าวแจ้งต่อ ต้องระวังกันต่อ ถ้ายิ่งมีเหยื่อโจรจะได้ใจ แต่ถ้าส่งมา แล้วไม่มีการกดลิงก์กลับ เรื่องนี้ก็จะค่อยๆ หายไปเอง เรื่องสุดท้าย Fake News (ข่าวปลอม) ซึ่งกระทบในวงกว้าง ยกตัวอย่างเรื่อง ตู้เอทีเอ็มมีไฟกะพริบไม่ควรใช้จะโดนแฮก เป็นข่าวปลอมที่วนมา
5 ปีแล้ว
สุดท้าย “ต้องมีสติก่อนคลิก” ไม่ว่าจะอีเมล์ เอสเอ็มเอส ไลน์ “ใช้สติก่อนแชร์” ให้เรา “เอ๊ะ” ไว้ก่อน ไม่แน่ใจให้รายงานกับหน่วยงานที่เกี่ยวข้อง ภาคประชาชนจะได้ปลอดภัยขึ้น
