พาโล อัลโต้ เน็ตเวิร์กส์ จับมือ สกมช. ยกระดับความปลอดภัยบนคลาวด์และเสริมสร้างขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานภาครัฐ ชี้ มีเวลา 16 เดือนในการปฏิบัติตามมาตรฐานความปลอดภัยไซเบอร์บนคลาวด์ และเตรียมพร้อมสำหรับการใช้เอไอ
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า ตามนโยบาย Cloud first policy ทำให้ทุกหน่วยงานของรัฐ รวมถึงภาคเอกชนที่ถือข้อมูลประชาชน จะต้องสร้างบริการและโครงสร้างพื้นฐานโดยคำนึงถึงการใช้คลาวด์เป็นหลัก แต่กระนั้นก็ต้องคงไว้ซึ่งการรักษาความปลอดภัยไซเบอร์ ของระบบงาน
“ในปีงบประมาณ 2569 หน่วยงานของรัฐจะต้องเปลี่ยนระบบงานขึ้นคลาวด์ ซึ่งตอนนี้ก็ทำไปเยอะแล้ว ไม่อยากให้เป็นเหมือนยุคที่หน่วยงานราชการแห่กันทำเว็บไซต์เยอะๆ แล้วโดนแฮ็กกันเป็นว่าเล่น จึงได้มีการออกมาตรฐานความปลอดภัยคลาวด์กำกับไว้ ซึ่งให้เวลา 16 เดือน และในปีหน้าเราจะเริ่มการตรวจสอบมาตรฐานความปลอดภัยคลาวด์”
อย่างไรก็ตาม ความปลอดภัยไซเบอร์ ไม่ใช่แค่เรื่องเชิงระบบ แต่ยังมีเรื่องของความู้ความเข้าใจ และทัศนคติที่ต้องอัพเดตและเรียนรู้เรื่อยๆ จึงมีความร่วมมือกับองค์กรทั้งภายนอกและภายในจำนวนมาก อย่างเช่น การร่วมมือกับ พาโล อัลโต้ เน็ตเวิร์กส์ ซึ่งเป็นผู้ที่ทำงานด้านโครงสร้างพื้นฐานที่มีความเข้าใจอย่างดี
และการจากนโยบายของภาครัฐที่ยังคงเดินหน้านโยบายการใช้คลาวด์เป็นหลัก (Cloud First Policy)
อย่างต่อเนื่อง โดยนโยบายดังกล่าวได้รับการออกแบบมาเพื่อผลักดันและรวบรวมการใช้งานเทคโนโลยีระบบคลาวด์ในหน่วยงานภาครัฐทุกหน่วยงานอย่างเป็นระบบ เพื่อสนับสนุนการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัล หรือการทำดิจิทัลทรานส์ฟอร์เมชันแห่งชาติ (Nation’s Digital Transformation) ให้เกิดผลสัมฤทธิ์อย่างเป็นรูปธรรม ซึ่งในเดือนมิถุนายน พ.ศ. 2567 ที่ผ่านมา คณะรัฐมนตรีได้มีมติเห็นชอบให้จัดตั้ง คณะกรรมการนโยบายคลาวด์เฟิร์ส (Cloud-First Policy Committee) ขึ้น โดยมีหน้าที่กำกับดูแลและขับเคลื่อนการเปลี่ยนผ่านดังกล่าวไปสู่การเป็นรัฐบาลดิจิทัลอย่างเต็มรูปแบบ
“ความร่วมมือกับ พาโลฯ ครั้งนี้ เป็นการตอกย้ำความมุ่งมั่นของ สกมช. ในการสร้างอนาคตดิจิทัล
ที่ปลอดภัยยิ่งขึ้นให้กับประเทศไทย และเป็นการดำเนินการตอบรับกับมาตรฐานความปลอดภัยไซเบอร์
ที่เปลี่ยนแปลงไป หน่วยงานภาครัฐจะได้รับความรู้และความเชี่ยวชาญที่จำเป็นในการรับมือกับภัยคุกคามใหม่ ๆ และสามารถปฏิบัติตามกฎระเบียบที่กำลังจะมีผลบังคับใช้ได้”
นายปิยะ จิตต์นิมิตร ผู้จัดการประจำประเทศไทย พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า “ความร่วมมือกับ
สกมช. ในครั้งนี้ ถือเป็นก้าวสำคัญ ในการสร้างโครงสร้างพื้นฐานทางดิจิทัลที่ปลอดภัยและมีความยืดหยุ่นยิ่งขึ้นสำหรับประเทศไทย นโยบายการใช้คลาวด์เป็นหลัก (Cloud First Policy) ถือเป็นอีกหนึ่งก้าวสำคัญ ของการนำระบบคลาวด์มาใช้ทั่วโลก รวมถึงประเทศไทยด้วย โครงการคลาวด์เฟิร์สสะท้อนให้เห็นถึงการพึ่งพาบริการคลาวด์ที่เพิ่มมากขึ้น ทั้งในส่วนของการจัดเก็บข้อมูล และภาคบริการของรัฐบาล เมื่อการใช้งานคลาวด์เติบโตขึ้น โดยเฉพาะในยุคของ AI การรักษาความปลอดภัยให้กับสภาพแวดล้อมเหล่านี้จึงมีความสำคัญ พาโล อัลโต้ เน็ตเวิร์กส์ มุ่งมั่นในการสนับสนุนนโยบายคลาวด์เฟิร์ส อย่างเต็มที่ ด้วยโซลูชันด้านความปลอดภัยบนคลาวด์ที่แข็งแกร่งและครอบคลุม เพื่อให้องค์กรต่างๆ สามารถเดินหน้าสู่การเปลี่ยนผ่านครั้งนี้ได้อย่างมั่นใจ”
กรอบความร่วมมือในครั้งนี้ครอบคลุมประเด็นหลัก 4 ด้าน ดังต่อไปนี้
1. การดำเนินงานและการปฏิบัติตามกรอบความมั่นคงปลอดภัยคลาวด์แห่งชาติ (National Cloud Security Framework) มีการนำโซลูชันด้านความมั่นคงปลอดภัยบนระบบคลาวด์มาใช้งานให้สอดคล้องกับมาตรฐานความมั่นคงปลอดภัยบนคลาวด์แห่งชาติ (พ.ศ. 2567) ควบคู่กับการจัดตั้งศูนย์ความเป็นเลิศด้านคลาวด์ (Cloud Center of Excellence – Cloud COE) เพื่อส่งเสริมและพัฒนาแนวทางปฏิบัติที่เป็นเลิศด้านความมั่นคงปลอดภัยบนคลาวด์ (Cloud Security Best Practices) นอกจากนี้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และบริษัทพาโล อัลโต้ เน็ตเวิร์กส์ มีแผนจัดกิจกรรมเชิงปฏิบัติการด้านความมั่นคงปลอดภัยบนคลาวด์สำหรับหน่วยงานภาครัฐ เพื่อยกระดับความรู้ ความเข้าใจ และศักยภาพในการดำเนินงานด้านดังกล่าวอย่างเป็นระบบ
2. ความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามข้อบังคับ พาโล อัลโต้ เน็ตเวิร์กส์ จะดำเนินการประเมินระดับความมั่นคงปลอดภัยไซเบอร์ (Security Posture Assessments – SPA) ให้แก่หน่วยงานภาครัฐและภาคเอกชน เพื่อวิเคราะห์ความเสี่ยงและปรับปรุงมาตรการด้านความมั่นคงปลอดภัยบนระบบคลาวด์ให้มีประสิทธิภาพยิ่งขึ้น ทั้งนี้ บริษัทฯ และ สกมช. จะร่วมกันประเมินความพร้อมในการปฏิบัติตามมาตรฐานและข้อกำหนด (Cloud Compliance Readiness Assessment) เพื่อสนับสนุนให้องค์กรต่าง ๆ สามารถปฏิบัติตามข้อบังคับของภาครัฐได้อย่างครบถ้วน และส่งเสริมความสอดคล้องกับกฎระเบียบที่เกี่ยวข้องในทุกภาคอุตสาหกรรม
3. การฝึกอบรมและพัฒนาศักยภาพให้กับบุคลากร ดำเนินการจัดกิจกรรมเวิร์กช็อปเพื่อถ่ายทอดองค์ความรู้และเสริมสร้างทักษะด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้เชี่ยวชาญจากหลากหลายภาคส่วน รวมถึงการฝึกอบรมเฉพาะทางสำหรับเจ้าหน้าที่ภาครัฐ และผู้ปฏิบัติงานที่รับผิดชอบการดูแลระบบคลาวด์โดยตรง พร้อมกันนี้จะมีการพัฒนาโครงการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness Program) สำหรับบุคลากรทั้งในภาครัฐ และภาคเอกชน เพื่อส่งเสริมวัฒนธรรมด้านความมั่นคงปลอดภัยในระดับองค์กรอย่างยั่งยืน
4. ความร่วมมือด้านความปลอดภัยทางไซเบอร์ระหว่างภาครัฐและเอกชน ความร่วมมือในครั้งนี้มีเป้าหมายเพื่อเสริมสร้างความร่วมมือระหว่างภาครัฐและภาคเอกชนให้มีความใกล้ชิดและเข้มแข็งยิ่งขึ้น โดยมุ่งหวังที่จะผลักดันให้เกิดแนวคิดริเริ่มใหม่ ๆ ที่จะสนับสนุนการพัฒนา ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้มีความพร้อมรับมือกับภัยคุกคามในยุคดิจิทัลอย่างรอบด้านและยั่งยืน
เข้าสู่ยุคการรักษาความปลอดภัยบนคลาวด์ในยุค AI
การใช้ Generative AI เข้ามาช่วยงานช่วยเร่งการพัฒนาซอฟต์แวร์ และทำให้การส่งมอบซอฟต์แวร์
เสร็จเร็วขึ้น ซึ่งทำให้เกิดความตึงเครียดในการรักษาความปลอดภัยไซเบอร์บนคลาวด์ องค์กรต่าง ๆ ต้องเข้าใจว่าการที่ AI สร้างซอฟต์แวร์ขึ้นมา แต่ไม่ได้หมายความว่าซอฟต์แวร์นั้นจะปลอดภัย องค์กรต่าง ๆ พึ่งพาโอเพนซอร์สของเธิร์ดพาร์ตี้ (Third Party) จำนวนมากสำหรับการเขียนโค้ดที่ขับเคลื่อนด้วย AI
แต่กลับไม่ได้ดูในรายละเอียดว่า LLM หรือ Large Language Model นั้น ได้รับการฝึกฝนจากแหล่งไหน และมีความปลอดภัยหรือไม่ GenAI ช่วยให้สามารถพัฒนาได้เร็วขึ้นและมีประสิทธิภาพ แต่ก็มีความเสี่ยงมากเช่นเดียวกันในช่วงเริ่มต้นของโค้ดที่สร้างโดย AI การนำ AI มาใช้จะสร้างข้อมูลจำนวนมหาศาลที่องค์กรส่วนใหญ่ยังไม่มีแผนป้องกัน ข้อมูลและ AI ทำงานควบคู่กัน องค์กรต่าง ๆ จำเป็นต้องกำหนดว่าจะป้องกันข้อมูลที่มีความสำคัญอย่างไร ไม่ว่าข้อมูลเหล่านั้น จะอยู่ที่ใด องค์กรต่าง ๆ ต้องสามารถตอบคำถาม 3 ข้อนี้ได้ ได้แก่
1. มีข้อมูลใดบ้างที่จะเก็บไว้บนคลาวด์
2. บุคคลใดหรือกลุ่มใดบ้างในองค์กรที่สามารถเรียกใช้ข้อมูลที่สำคัญที่สุดได้
3. องค์กรจะป้องกันไม่ให้ข้อมูลสำคัญรั่วไหลออกไปได้อย่างไร
คำถามสำคัญ คือ การใช้ข้อมูลที่มีอยู่ การเรียกใช้งาน และการปกป้องข้อมูลบนสภาพแวดล้อมคลาวด์จะต้องได้รับการแก้ไข
แนวทางด้านความปลอดภัยบนคลาวด์ในปี 2568
เพื่อปกป้องสภาพแวดล้อมคลาวด์อย่างมีประสิทธิภาพ ในปี 2568 พาโล อัลโต้ เน็ตเวิร์กส์ ให้คำแนะนำ 5 ข้อสำคัญ ดังนี้
1. การใช้แพลตฟอร์มแบบรวมศูนย์ (Platformization) เพื่อเร่งการทำงาน ประสานงานอย่างเป็นระบบ และลดความซับซ้อน การใช้แพลตฟอร์มบริหารจัดการด้านความปลอดภัยแบบรวมศูนย์ (Centralized Security Management Platform) ช่วยให้สามารถดูแลความปลอดภัยตั้งแต่ต้นทางถึงปลายทาง (End to End) ทั้งแอปพลิเคชันและข้อมูล เพิ่มประสิทธิภาพในการตรวจสอบ ควบคุม และทำงานอัตโนมัติในสถาปัตยกรรมคลาวด์ที่หลากหลาย
2. การรักษาความปลอดภัยในการนำ AI มาใช้งาน (Securing AI Adoption) เมื่อการพัฒนาซอฟท์แวร์ถูกเร่งด้วย AI ย่อมก่อให้เกิดความเสี่ยงใหม่ๆ เช่น การกำหนดค่าที่ผิดพลาด (Misconfiguration), ต้องวางมาตรการควบคุมการใช้ AI อย่างรัดกุม รวมถึงปกป้องห่วงโซ่อุปทานซอฟต์แวร์ (software supply chains) และรักษาความปลอดภัยสภาพแวดล้อมในการพัฒนาโปรแกรม (secure development environment)
3. การรักษาความปลอดภัยข้อมูลด้วยระบบอัจฉริยะ (Intelligent Data Security) การเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบข้อมูลมีความจำเป็นในการปกป้องข้อมูลสำคัญ การค้นหาและการจำแนกข้อมูลโดยอัตโนมัติควบคู่ไปกับการนำ ระบบบริหารจัดการความปลอดภัยของข้อมูล หรือ Data Security Posture Management (DSPM) จะช่วยให้สามารถจัดการข้อมูลปริมาณมากได้อย่างมีประสิทธิภาพ
4. การปรับกระบวนการ DevOps ให้มีประสิทธิภาพ (Streamlining DevOps Pipelines) การลดคอขวดในกระบวนการ DevOps โดยแนวคิด “Secure by Design” มาใช้ตั้งแต่ขั้นตอนการออกแบบ จะช่วยให้การพัฒนาแอปพลิเคชันดำเนินไปได้อย่างปลอดภัยและต่อเนื่อง
5. การสร้างวัฒนธรรม DevSecOps (Building a DevSecOps Culture) การส่งเสริมความร่วมมือระหว่างทีมพัฒนา (Dev) และทีมความปลอดภัย (Sec) จะช่วยให้องค์กรสามารถปกป้องผลลัพธ์ทางธุรกิจได้อย่างรอบด้าน
