Bluebik Titans ที่ปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์ ผู้วางหมากกลยุทธ์รับมือความเสี่ยงให้ธุรกิจ
ภัยไซเบอร์เป็นความเสี่ยงที่ใกล้ตัวกว่าที่คิดสำหรับทุกธุรกิจ แต่น้อยคนจะรู้ว่าเบื้องหลังการทำงานของที่ปรึกษาด้านความมั่นคงปลอดภัยทางไซเบอร์ให้ธุรกิจต่าง ๆ อย่าง Bluebik Titans ต้องอาศัยการวางกลยุทธ์รับมือความเสี่ยงที่รัดกุม เพื่อรู้เท่าทันแฮกเกอร์
ตั้งแต่การทำงานจำลองสวมบทบาทเป็นแฮกเกอร์ที่เรียกว่า Red Teaming เพื่อทดสอบการบุกรุกและป้องกันก่อนเกิดเหตุให้องค์กร การสวมบทบาทคล้ายหน่วยพิสูจน์หลักฐานของตำรวจที่ใช้หลักนิติวิทยาศาสตร์ทางดิจิทัลเพื่อตามหาเบาะแสของคนร้าย การวางกลยุทธ์และลงทุนด้านความเสี่ยงให้สอดคล้องกับเป้าหมายของธุรกิจ เพื่อเฝ้าระวังโจรได้อย่างทันท่วงทีโดย Security Architect
จากประสบการณ์และวิสัยทัศน์ของ พลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด (Bluebik Titans) ที่ปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์ ได้ชี้ให้เห็นว่า ความเสี่ยงทางไซเบอร์ในปัจจุบันไม่ใช่แค่การมีโปรแกรมหรือระบบทางไอทีแล้วจะปลอดภัยเสมอไป เพราะการดูแลด้านความมั่นคงปลอดภัยในยุคนี้ต้องอาศัยการวางแผนที่สอดคล้องกับเป้าหมายและบริบทของธุรกิจ มีบุคลากรที่เข้าใจ มีระบบที่ดูแลอย่างต่อเนื่อง และต้องรู้จักสินทรัพย์ทางเทคโนโลยีของตัวเองอย่างแท้จริง ซึ่งช่องโหว่เพียงเล็กน้อยก็อาจเป็นประตูให้แฮกเกอร์แทรกซึมเข้ามาได้ง่าย ๆ
วิสัยทัศน์ของ ‘Bluebik Titans’ จึงเกิดขึ้นจากการตั้งคำถามพื้นฐานว่าหาก Bluebik ซึ่งเป็นบริษัทแม่ มีต้นทุนทางธุรกิจที่เชี่ยวชาญในการให้คำปรึกษาด้านดิจิทัลทรานส์ฟอร์เมชันครบวงจรอยู่แล้ว ในขณะที่องค์กรธุรกิจต่าง ๆ ยังบริหารจัดการด้าน Cybersecurity ได้ไม่ดีพอ บทบาทที่ปรึกษาทางธุรกิจจะสามารถเติมเต็มภาพรวมของการให้บริการได้ยังไงบ้าง เพื่อให้เทคโนโลยีที่ถูกนำมาใช้งานสามารถสร้างคุณค่าได้อย่างมั่นคงและยั่งยืนในระยะยาว
โดยไม่ต้องแลกมากับความเสี่ยงที่อาจร้ายแรงถึงขั้นล่มทั้งระบบธุรกิจในพริบตา
ตอนที่ Bluebik แตกหน่วยธุรกิจใหม่ ‘Bluebik Titans’ เกิดจากการมองเห็นโอกาสทางธุรกิจอะไร
ผมรู้จักกับผู้ก่อตั้ง Bluebik มานานแล้ว แล้วก็ได้เห็นการเติบโตทางธุรกิจของ Bluebik มาอย่างต่อเนื่อง จนถึงวันที่สามารถพาบริษัทเข้าตลาดหลักทรัพย์ได้ เรารู้ว่ามีโอกาสทางธุรกิจมากในด้านการทำดิจิทัลทรานส์ฟอร์เมชันซึ่งเป็นบริการหลักของ Bluebik ที่ทำตั้งแต่การวางกลยุทธ์ธุรกิจ พัฒนาดิจิทัลแพลตฟอร์ม นำข้อมูลมาวิเคราะห์เพื่อสร้างประโยชน์ทางธุรกิจ
แต่ความจริงแล้วเวลาที่เราเห็นโอกาส มันจะมาพร้อมกับความเสี่ยงถ้าบริหารจัดการเรื่องความปลอดภัยทางดิจิทัลเทคโนโลยีไม่ดีพอ ก็เลยคิดว่าอยากเติมเต็มภาพรวมในบริการของ Bluebik ให้ครบลูป (End-to-End Solution) คือหลังจากคิดกลยุทธ์ทางดิจิทัลเทคโนโลยีและนำมาใช้งานแล้ว เราจะทำยังไงให้มีความปลอดภัย เพราะไม่อย่างนั้นมันจะไม่ยั่งยืน แล้วอาจทำให้เกิดผลกระทบที่ทำให้ธุรกิจหยุดชะงักไปจากภัยคุกคามทางไซเบอร์ได้
เราเลยมองเห็นโอกาสในการให้คำปรึกษา ตั้งแต่จะทำยังไงให้การวางแผนการบริหารจัดการด้าน Cybersecurity สอดคล้องกับทิศทางการดำเนินธุรกิจ จะใช้เทคโนโลยีอะไร หรือทำยังไงให้ปลอดภัย ไม่ใช่แค่เอาระบบมาขาย ติดตั้งเสร็จ ทำงานได้ปกติแล้วเราก็สบายใจ แต่มองถึงภาพรวมว่าต้องมีกระบวนการอะไรที่ไปครอบโซลูชันรักษาความปลอดภัย ต้องมีบุคลากรที่เข้ามาช่วยรันกระบวนการนี้ให้ต่อเนื่องยังไงบ้าง เพราะการมีแค่โปรแกรมไม่สามารถทำให้องค์กรนั้นปลอดภัยได้
ทำไมการติดตั้งโปรแกรมในองค์กรถึงยังป้องกันภัยไซเบอร์ได้ไม่เพียงพอ
ผมทำงานด้าน Cybersecurity มาตลอด ก็จะรู้ว่าเวลาพูดถึงเรื่องนี้ ส่วนใหญ่องค์กรในประเทศไทยมักมีความเชื่อหรือธรรมเนียมปฏิบัติว่า ถ้าไปจ้าง System Integrator ที่เอาระบบมาติดตั้งและใช้งานในองค์กรแล้ว ทุกอย่างจะปลอดภัยและอยู่ในการควบคุม ซึ่งความจริงแล้วมันไม่ได้เป็นแบบนั้น
ยกตัวอย่างง่าย ๆ คือเหมือนเวลาเรากลัวเครื่องคอมพิวเตอร์ติดไวรัส ก็เลยไปซื้อโปรแกรมแอนตี้ไวรัสมาลงเครื่อง แต่เวลามีการแจ้งเตือนขึ้นมาให้อัปเดตไวรัสใหม่เราก็กดปิดไป ไม่ได้ใส่ใจ คือเรามีระบบแล้วแต่ใช้งานไม่ถูกต้อง ซึ่งเหตุการณ์แบบนี้นอกจากเครื่องคอมพิวเตอร์ส่วนบุคคลแล้ว ก็ยังเกิดขึ้นกับในระบบไอทีขององค์กรด้วยเหมือนกัน ในการติดตั้งโปรแกรมแอนตี้ไวรัส ความจริงต้องมีการตั้งนโยบายว่าเราจะอัปเดตโปรแกรมบ่อยแค่ไหน จะเข้ามาดูการแจ้งเตือนบ่อยแค่ไหน แล้วจะมีการแก้ไขยังไงเมื่อเกิดการแจ้งเตือน สิ่งนี้คือกระบวนการที่ควรมี
แล้วทุกวันนี้ภาคธุรกิจมีความเสี่ยงด้านความปลอดภัยทางไซเบอร์ยังไงบ้าง
ผมคิดว่าตอนนี้ทุกธุรกิจที่ใช้งานระบบสารสนเทศที่มีการเชื่อมต่ออินเทอร์เน็ต หรือเชื่อมต่อเครือข่ายกับคู่ค้าหรือพันธมิตรทางธุรกิจ ทุกองค์กรมีความเสี่ยงทั้งหมด เพียงแต่ว่าจะเสี่ยงมากหรือน้อย หรือจัดการได้ดีหรือไม่อย่างไรก็มีความต่างกันจากขนาดของความเสี่ยง
สมมติว่าองค์กรหนึ่งให้บริการลูกค้าผ่านทางช่องทางดิจิทัลหรือออนไลน์ อย่างเช่น ขายของออนไลน์หรือเป็นธนาคารที่ทำแอปพลิเคชันให้ลูกค้าใช้ แน่นอนว่าพอบริการทั้งหมดอยู่บนระบบเทคโนโลยี การบริหารจัดการความเสี่ยงด้านความปลอดภัยก็ต้องทำแบบเต็มสูบ แต่ก็ไม่ได้หมายความว่าคนที่ไม่ได้ให้บริการผ่านทางช่องทางออนไลน์แล้วจะไม่เสี่ยงเลย เพราะว่ายังมีธุรกิจกลุ่มที่มีการเชื่อมต่อระบบหรือแลกเปลี่ยนข้อมูลกับคู่ค้า ยกตัวอย่างว่าโรงงานที่รับผลิตสินค้าหรือรับคำสั่งการผลิตผ่านระบบไอที เวลามีคำสั่งซื้อผ่านระบบก็แสดงว่ามีช่องทางการเชื่อมต่อของข้อมูลระหว่างพันธมิตรหรือคู่ค้าทางธุรกิจแล้ว ตรงนั้นก็ต้องมีการควบคุมที่ดี
นอกเหนือจากนั้นองค์กรยังมีความเสี่ยงจากการบังคับใช้กฎหมายด้าน Cybersecurity อีกหลายฉบับ เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ก็มีผลมาก เพราะทุกองค์กรมีข้อมูลส่วนบุคคล น้อยที่สุดคือข้อมูลของพนักงาน มากไปกว่านั้นคือข้อมูลของลูกค้า ยิ่งถ้าเป็นองค์กรธุรกิจที่ให้บริการลูกค้า B2C จะต้องมีการทำระบบ CRM ต่าง ๆ ที่ต้องดูแลให้ปลอดภัย
ข้อมูลที่มีอยู่ตรงนี้จะเสี่ยงต่อการตกเป็นเป้าหมายของแฮกเกอร์หรือผู้ไม่ประสงค์ดีทั้งหลาย ถามว่าทำไม เพราะว่าการบังคับใช้กฎหมายมีบทลงโทษทั้งทางปกครอง ทางอาญา และทางแพ่ง ทั้งภาคเอกชนและภาครัฐ แต่ละภาคส่วนก็จะมีกฎหมายลูกหรือกฎหมายรองที่บังคับให้แต่ละองค์กรต้องยกระดับมาตรการในการบริหารจัดการด้าน Cybersecurity ให้ดี อย่างภาครัฐก็จะมีกฎหมายใหม่ของ สกมช. (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) มากำกับดูแล ซึ่งบทลงโทษตรงนี้แหละที่อาชญากรหรือแฮกเกอร์รู้ว่าถ้าสามารถแฮกแล้วขโมยข้อมูลเป็นตัวประกัน เขาสามารถต่อรองกับองค์กรที่ถูกแฮกได้ ถ้าไม่อยากให้เปิดเผยข้อมูลพวกนี้ และอยากให้เรื่องเงียบ คุณก็ต้องจ่ายค่าไถ่มา
อุตสาหกรรมใดในไทยที่กำลังเผชิญความเสี่ยงด้านไซเบอร์มากที่สุด
แน่นอนว่าถ้าเป็นยุคก่อน แฮกเกอร์จะไปแฮกระบบของธนาคาร ทีนี้คล้ายกับเรื่องอื่น ๆ ทั่วไปที่เวลาโจรหรือแฮกเกอร์ไม่สามารถแฮกองค์กรที่ปรับตัวให้แข็งแรงได้ ก็จะหันไปโจมตีอุตสาหกรรมใหม่ที่ยังอ่อนแออยู่ อย่างเช่น ธุรกิจค้าปลีกที่มี Online Commerce ซึ่งมีการจับจ่ายและการกรอกข้อมูลบัตรหรือข้อมูลทางการเงิน
สมมติผมไปแฮกเว็บไซต์ออนไลน์แห่งหนึ่งแล้วขโมยข้อมูลของลูกค้ามาได้ทั้งฐานข้อมูลเลย หนึ่งคือเอาไปขายในตลาดมืด (Dark Web) ได้ สองคือเอามาต่อรองกับองค์กรที่เป็นเจ้าของข้อมูลหรือผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งเมื่อต้นปีนี้เองที่เราเห็นว่ามีข่าวดัง อย่างเว็บของบริษัทค้าปลีกที่ตกเป็นข่าวว่าแฮกเกอร์ขโมยข้อมูลมาได้ หรือหน่วยงานราชการแห่งหนึ่งด้านโลจิสติกส์ที่ส่งจดหมายออกมายอมรับว่าถูกแฮกขโมยข้อมูลไป แต่จะเป็นข่าวออกมาในมุมที่ว่าไม่มีข้อมูลทางการเงิน ทุกคนสบายใจได้ แต่ความจริงแล้วมันก็ไม่สบายใจหรอก เพราะมันคือข้อมูลส่วนบุคคลของเรา
มากไปกว่านั้นในอนาคตเราเข้าสู่ยุคของสังคมผู้สูงอายุที่มีการเติบโตหรือขยายตัวของธุรกิจ Well-being และ Healthcare มากขึ้น โรงพยาบาลต่าง ๆ มีข้อมูลที่อ่อนไหว เราคงไม่อยากให้ข้อมูลสุขภาพของเราหลุดไป ธุรกิจเหล่านี้อาจเป็นเป้าหมายถัด ๆ ไปที่อาจเกิดเหตุเรื่องของการละเมิดความมั่นคงปลอดภัยทางไซเบอร์ได้
แล้วนึกภาพไปถึงธุรกิจด้าน Utility ของประเทศอย่างเช่น ไฟฟ้า น้ำประปา อินเทอร์เน็ตต่าง ๆ ที่สำคัญต่อความเป็นอยู่ของประชาชนก็ตกเป็นเป้าหมายเหมือนกัน ยกตัวอย่างสักประมาณ 3 - 4 ปีที่แล้ว บริษัทท่อขนส่งน้ำมันแห่งหนึ่งของอเมริกาถูกแฮกเกอร์ยึดระบบไปจนไม่สามารถส่งน้ำมันจากภาคกลางของอเมริกาไปภาคตะวันตกได้ แล้วก็เรียกค่าไถ่ว่าถ้าอยากเปิดระบบให้กลับมาทำงานได้ปกติ คุณต้องจ่ายค่าไถ่เป็นคริปโทเคอร์เรนซี ตอนแรกซีอีโอก็ไม่จ่าย เพราะว่าจ้างที่ปรึกษาหรือว่าผู้เชี่ยวชาญทางไซเบอร์เข้าไปให้คำแนะนำแล้ว ซึ่งไม่มีใครหรอกอยากต่อรองกับโจร เพราะเราก็รู้ว่าไม่มีสัจจะในหมู่โจร จ่ายไปก็ไม่รู้ว่าเปิดระบบให้ไหม หรือจะขู่เพิ่มหรือเปล่า ก็ต้องชั่งใจพอสมควร จนสุดท้ายเขาตัดสินใจว่าต้องจ่ายค่าไถ่ เพราะราคาน้ำมันของฝั่งตะวันตกของอเมริกาพุ่งสูงเพราะน้ำมันขาดแคลน ส่งผลกระทบต่อความเป็นอยู่ของคน ตอนสุดท้ายพอจ่ายแล้วก็เปิดระบบได้ แล้ว FBI ก็ไปตามเงินจากกระเป๋าของคริปโทฯ มาได้ส่วนหนึ่ง
มีอยู่ครั้งหนึ่ง ผมทำงานที่ Bluebik แล้ว ลูกค้ารายหนึ่งเป็นร้านอาหารที่มีสาขาเยอะ ซึ่งดูเหมือนไม่น่าจะมีความเสี่ยงอะไรเลย แต่มีระบบ Point of Sale ที่เป็นระบบคิดเงินและระบบเชื่อมต่อระหว่างสาขา สำหรับบันทึกรายรับ-รายจ่ายและทำบัญชี มีคอมพิวเตอร์อยู่เครื่องเดียวที่สำนักงานและคอมพิวเตอร์ที่เป็นระบบคิดเงินตามสาขา เขาถูกแฮก ขโมยข้อมูล แล้วลบระบบบัญชีทั้งหมด แล้วมันเป็นช่วงที่เขาต้องทำบัญชีรายงานงบให้กับกรมสรรพากร สิ่งที่เขาห่วงที่สุดก็คือการกู้ข้อมูลกลับมา เพราะข้อมูลที่หายไปหมดเลยตรงนั้นคือข้อมูลตั้งแต่เริ่มธุรกิจจนถึงวันที่ถูกลบ ด้วยความที่ไม่ได้ตระหนักมาก่อนหรือไม่คิดว่าวันหนึ่งจะโดน แต่เวลาที่โดนขึ้นมาความเสียหายก็มีมูลค่าเยอะและย้อนเวลาไม่ได้ มันก็เป็นสิ่งที่ไม่อยากให้มันเกิดขึ้น แล้วช่วงปีนั้นมันเกิดเหตุการณ์แบบนี้ขึ้นบ่อยมากในประเทศไทย ทั้งหมดนี้ก็เป็นภาพสะท้อนว่ายังมีความหละหลวมของการดูแลเรื่องความปลอดภัยขององค์กร
‘Unknown Unknown’ หรือสิ่งที่ธุรกิจไทย ‘ไม่รู้ว่าไม่รู้’ ด้านความปลอดภัยทางไซเบอร์คืออะไรบ้าง
Unknown ตัวแรกที่ผมจะเล่าให้ฟังซึ่งเป็นเรื่องน่าประหลาดใจก็คือ ภาคธุรกิจมักไม่รู้ว่ามีระบบ เครื่องมือ หรืออุปกรณ์อะไรบ้างที่ต้องจัดการ สิ่งแรกเวลาที่เราเข้าไปช่วยแก้ไขสถานการณ์ให้กลับมาเป็นปกติหลังองค์กรถูกแฮกมาแล้วคือ เราจะสอบถามข้อมูลก่อนว่าระบบนี้ทำหน้าที่อะไรหรือมีเครื่องนี้อยู่ด้วยวัตถุประสงค์ใด บางทีเครื่องนี้มันถูกลืมไปว่าเคยมีอยู่แต่ก็ยังเปิดใช้งานอยู่ หรือไม่ได้มีการปรับปรุงสินทรัพย์ทางด้านไอทีให้ทันสมัยอยู่ตลอดเวลา ก็เหมือนกับเราละเลยว่าสิ่งที่ต้องบริหารจัดการหรือต้องดูแลมีอะไรบ้าง
ผมยกตัวอย่างง่าย ๆ ว่าเราจะไม่สามารถปกป้องทรัพย์สินของเราได้ถ้าเราไม่รู้ว่าเรามีทรัพย์สินอะไรบ้าง ถ้ามีโจรปล้นบ้านสักหลังหนึ่ง แล้วเจ้าของบ้านไม่รู้ว่าตัวเองมีทรัพย์สินอะไรบ้าง สุดท้ายก็จะไม่รู้ว่าอะไรที่สำคัญหรืออะไรที่ความจริงถ้าหายไปก็ไม่เป็นไร เราจึงต้องทำสิ่งที่เรียกว่า IT Asset Inventory ที่ทำให้รู้ว่ามีสินทรัพย์ทางด้านดิจิทัลอะไรบ้าง ซึ่งต้องครอบคลุมไปถึงทุกกระบวนการของธุรกิจ รวมถึงระบบที่หน่วยงานย่อยไป Subscribe หรือใช้บริการจากบุคคลภายนอกด้วย
Unknown ที่ 2 ซึ่งเรามักจะเจอเวลาเกิดเหตุถูกแฮกก็คือ บางทีเราไม่รู้ว่าระบบของเรามีโจรแอบแฝงตัวเข้ามาอยู่แล้ว ความจริงโจรเข้าบ้านมาตั้งนานแล้ว แต่ยังไม่ได้ลงมือจริงจังให้เกิดผลกระทบต่อการทำงานขององค์กร เพราะมาหาก่อนว่ามีอะไรสำคัญที่สามารถใช้เป็นตัวประกันในการต่อรองเรียกค่าไถ่ได้ โดยจะพยายามเปิดประตูห้องนั้นห้องนี้ดูว่ามีอะไรที่มีมูลค่าบ้าง ทีนี้พอเจอแล้วถึงจะแอบทยอยเอาสินทรัพย์หรือข้อมูลสำคัญที่ใช้เป็นตัวประกันได้ออกไป แล้วค่อยเลือกว่าจะทำลายข้อมูล หรือทำให้เจ้าของบ้านรู้ตัวหรือเปล่า ซึ่งหากโจรอยากเพิ่มอำนาจการต่อรองก็จะลบข้อมูลนั้นทิ้ง ข้อมูลก็จะอยู่ที่มือโจร ถ้าคุณอยากได้ก็ต้องจ่ายค่าไถ่ หลายองค์กรก็ยังตกอยู่ในสภาพนี้ คือถูกโจรลบข้อมูลไปแล้วก็ไม่มีอำนาจต่อรองอะไร ถึงแม้จะแบ็กอัปข้อมูลไว้อีกที่ แต่โจรยุคนี้ก็ปรับตัวเหมือนกัน และตามไปลบข้อมูลจากสองที่ก็มี จนสุดท้ายองค์กรต้องทำแบ็กอัปแบบไม่ต่ออินเทอร์เน็ต เพื่อให้เวลาที่โจรเข้ามาอยู่ในบ้านแล้วไม่รู้ว่าเรามีอีกก๊อบปี้หนึ่งที่ใส่ไว้ในลิ้นชักนะ ซึ่งถ้าเป็นองค์กรที่ลงทุนด้านความปลอดภัยก็จะเอาระบบเซนเซอร์ กล้องวงจรปิด ระบบ Motion Detection มาติดตามระบบไอทีเพื่อดูว่ามีอะไรแปลกปลอมไหม จะได้จัดการได้ทันที
สุดท้าย Unknown ที่ 3 คืออย่างที่เล่าไปว่าการจัดการปัญหาเรื่อง Cybersecurity ไม่ใช่เพียงแค่การไปซื้อเทคโนโลยีหรือซื้อซอฟต์แวร์มาติดตั้ง แต่ต้องมีบุคลากรที่มากำกับกระบวนการ เพื่อทำให้การเฝ้าระวังหรือการจัดการเหตุพวกนี้ทำอย่างต่อเนื่องสม่ำเสมอ ซึ่งก็ต้องเพียงพอต่อระดับความเสี่ยงขององค์กรด้วยว่าพึ่งพาเทคโนโลยีมากน้อยแค่ไหน ให้บริการลูกค้าผ่านช่องทางไหน มีการเชื่อมต่อระบบกับคู่ค้าธุรกิจผ่านช่องทางไหน กระบวนการเฝ้าระวังตรงนี้จะเป็นตัวกำหนดระดับของความเสี่ยงขององค์กร
ซึ่งการแฮกทุกวันนี้จะมีลักษณะเป็น Supply Chain Attack หมายความว่าในปัจจุบันนี้ไม่มีองค์กรไหนใช้เทคโนโลยีทุกอย่างที่สร้างด้วยตัวเอง แต่ใช้โปรแกรมของบริษัท A B C D ยกตัวอย่างเช่น สมมติ Microsoft ที่เป็นระบบระดับโลกดูแลรักษาความปลอดภัยในระบบของเขาดีแล้ว แต่มีการใช้ระบบไอทีเอาต์ซอร์สสักระบบหนึ่งแล้วระบบนั้นถูกแฮก มันก็จะส่งผลกระทบต่อเนื่องแล้วได้ข้อมูลของ Microsoft มาได้เหมือนกัน
Bluebik Titans เข้าไปช่วยเสริมความปลอดภัยให้ธุรกิจเหล่านี้แบบครบลูปผ่านบริการต่างๆ ยังไง
ในมุมของการตั้งต้นแนวคิดของบริการของเรา เรามองถึงทั้ง Value Chain ของ Cybersecurity (End-to-End Solution) จากบริการของ Bluebik ที่เริ่มตั้งแต่การวางกลยุทธ์ธุรกิจ การออกแบบกลยุทธ์ของผลิตภัณฑ์ทางด้านเทคโนโลยีดิจิทัล แล้วเราก็พยายามร้อยเรียงเอากลยุทธ์ทางธุรกิจตรงนั้นหรือเป้าหมายที่สำคัญทางธุรกิจขององค์กรเข้ามาในการทำประเมินหรือการจัดทำโรดแมปให้สอดคล้องกับเรื่อง Cybersecurity
ผมคิดว่าคนในวงการไอทีมักจะเจอปัญหาว่าเวลาที่ของบประมาณในการทำเรื่องการรักษาความปลอดภัย มักจะมีคำถามจากผู้บริหารฝั่งธุรกิจมาเสมอว่า ทำไมต้องแพงขนาดนี้ จะเกิดความไม่สะดวกต่อการทำงานหรือเปล่า หมายความว่า สมมติร้านอาหารนั้นเขาไม่จำเป็นต้องไปซื้อระบบระดับโลกให้ครบทั้ง 20 ตัวเหมือนธนาคาร แต่อะไรคือสิ่งที่เพียงพอในการทำให้องค์กรของเขาบรรลุเป้าหมายธุรกิจ เราก็พยายามสร้าง โรดแมปที่เปรียบเหมือนสูทสั่งตัดเฉพาะสำหรับองค์กรนั้น ๆ โดยที่ประเมินว่าเป้าหมายกลยุทธ์ทางธุรกิจของเขาคืออะไร ระดับความเสี่ยงของเขาคืออะไร แล้วเขามีสินทรัพย์ที่ต้องปกป้องดูแลมากน้อยแค่ไหน
บริการแรก เราก็ประเมินว่าจากปัจจุบัน เขามีจุดอ่อนหรือช่องว่างช่องโหว่อะไรไหม ต้องปรับปรุงยกระดับอะไรบ้าง ต้องเดินต่อไปยังไง ต้องทำอะไรก่อน ควรทำอะไรก่อน - หลังตามระดับความสำคัญที่สอดคล้องกับธุรกิจและการบริหารจัดการความเสี่ยง ในโรดแมปต้องเห็นภาพว่าอะไรที่ทำน้อย แต่มีผลกระทบเชิงบวกมาก แล้วสามารถที่จะปิดความเสี่ยงที่สำคัญได้ก่อน จะเป็นการทำงานในลักษณะของการวางกลยุทธ์ด้าน Cybersecurity
บริการที่ 2 คือการจำลองตัวเองเป็นผู้ร้ายเพื่อประเมินมาตรการควบคุม หมายความว่าเราทำตัวเป็นแฮกเกอร์ ก่อนที่จะเปิดระบบให้ลูกค้าหรือกลุ่มเป้าหมายใช้งาน เราจะมองตัวเองเป็นโจรเสียก่อน เข้าไปทดสอบก่อนว่าตัวควบคุมที่ออกแบบและติดตั้งไปมีประสิทธิภาพและประสิทธิผลดีพอหรือเปล่า เขาเรียกบริการแบบนี้ว่า Penetration Testing ที่เข้าไปทดสอบการบุกรุก ซึ่งตอนนี้ในตลาดแข่งขันสูงมากจนกลายเป็นสงครามราคาแล้ว ในส่วนของการลองแฮกองค์กรจะเรียกว่า Red Teaming แบ่งเป็น Red Team ทีมบุก กับ Blue Team ทีมป้องกัน คล้าย ๆ กับหนังเรื่อง The Matrix ว่าคุณจะเลือกอยู่ทีมสีอะไร
การทำ Red Teaming หมายความว่าเราตกลงกับ Chief Risk Officer หรือ Chief Security Officer ที่ดูแลความเสี่ยงขององค์กรนั้นก่อนว่าอะไรคือความกังวลสูงสุดขององค์กร อย่างเช่น Intellectual Property ซึ่งเป็น R&D ที่ไม่สามารถสูญเสียได้ หรือข้อมูลที่เป็นความลับสูงสุดและมีการป้องกันหลายชั้น แล้วมาให้โจทย์ Red Team ว่าลองใช้วิธีการอะไรก็ได้ในการพิสูจน์ว่าสามารถเข้าถึงข้อมูลสำคัญสูงสุดขององค์กรได้หรือเปล่าโดยให้เวลา 6 สัปดาห์หรือให้โจทย์ลองเข้ามาแฮก CEO Mailbox ภายในเวลาที่ตกลงกัน ซึ่งโดยส่วนมากมักจะเป็น 4 - 6 สัปดาห์ หรือบางทีก็ 2 เดือน
ในการทำ Red Teaming จะมีทั้งแบบที่มีเป้าหมายชัดเจน เช่น ตกลงกันว่าแฮกระบบ A หรือ B เท่านั้น แต่จะมีขั้นกว่าของ Penetration Test ทั่วไป คือ Intelligent Penetration Test ที่มองภาพใหญ่ว่าแฮกเกอร์ผู้มุ่งเป้าโจมตีองค์กรจะไม่เลือกว่าจะแฮกแค่ระบบไหน แต่จะหาระบบที่อ่อนแอที่สามารถทำให้เข้าไปในองค์กรได้
บริการที่ 3 คือกลุ่มที่เรายกระดับการควบคุมด้าน Data Protection ตัวอย่างการเพิ่มการควบคุมและรักษาความปลอดภัยขององค์กร เช่น การให้นำอุปกรณ์ส่วนตัวทางไอทีมาใช้ทำงานได้ ซึ่งก็มีความเสี่ยงที่ถ้าเครื่องคอมพิวเตอร์ส่วนบุคคลหายไป ข้อมูลขององค์กรก็จะรั่วไหลไปด้วย ดังนั้นในโรดแมปควรต้องมีกระบวนการทำ Data Protection เช่น ต้องลงทะเบียนเครื่องก่อนว่าเอาอุปกรณ์อะไรมาใช้งานในการเข้าถึงข้อมูลขององค์กร หรือต้องเสริมซอฟต์แวร์อะไรเข้าไป เพื่อทำให้องค์กรสามารถปกป้องข้อมูลตามเครื่องของพนักงานได้
บริการสุดท้ายคือ Digital Forensic Incident Response การรับมือกับเหตุละเมิดความปลอดภัย คล้ายกับหน่วยพิสูจน์หลักฐานของตำรวจที่เข้าไปเก็บหลักฐานเวลาถูกแฮกระบบต่าง ๆ ซึ่งจะใช้หลักนิติวิทยาศาสตร์ทางด้านดิจิทัล (Digital Forensic) มาใช้ในการเก็บรวบรวมหลักฐานของอุปกรณ์ไอทีหรือระบบสารสนเทศที่ต้องใช้เครื่องมือพิเศษ อย่างเช่นการกู้ข้อมูลจากอุปกรณ์ไอที ยกตัวอย่างว่า หลายองค์กรก็เข้ามาเป็นลูกค้าเราตอนมีปัญหาถูกแฮกเกิดขึ้น แต่ไม่สามารถสรุปได้ว่าสาเหตุคืออะไร จุดเริ่มต้นของเหตุการณ์อยู่ตรงไหน ทำให้ไม่สามารถประเมินได้ว่ามีความเสียหายอะไรบ้าง และจะป้องกันไม่ให้เหตุการณ์แบบนี้เกิดขึ้นซ้ำได้ยังไง เราก็จะเข้าไปช่วยลูกค้าเก็บรวบรวมวิเคราะห์หลักฐาน ลำดับเหตุการณ์ ขอบเขตความเสียหาย ประเมินและให้คำแนะนำในการปรับปรุง ช่วยรับมือแล้วดำเนินการแก้ไขสถานการณ์ หลายครั้งก็เจอว่าสาเหตุสำคัญจริง ๆ ไม่ได้เป็นเพราะขาดโปรแกรมป้องกัน แต่ขาดบุคลากรที่จัดการเหตุอย่างทันท่วงที หรือขาดกระบวนการป้องกันหรือเฝ้าระวังอย่างสม่ำเสมอ
จุดแข็งที่ทำให้ Bluebik Titans แตกต่างจากที่ปรึกษาด้านความปลอดภัยไซเบอร์รายอื่นคืออะไร
เรื่องแรกเลย จากดีเอ็นเอของบริษัทฯ เราคือพยายามสร้างทีมให้มองภาพการบริหารจัดการความปลอดภัยทางไซเบอร์โดยเริ่มต้นจากมุมมองความต้องการทางธุรกิจก่อน ใช้ความรู้ความเข้าใจทางด้านธุรกิจเป็นตัวนำ เพราะถ้าคนที่รู้ด้านไอทีอย่างเดียวจะมีอุปสรรคในการสื่อสารว่าความปลอดภัยทางไซเบอร์สำคัญยังไงต่อผู้ที่เกี่ยวข้องทางธุรกิจ (Business Stakeholder)
เวลาของบการลงทุนเพื่อจัดการความเสี่ยง กับ CFO, CEO หรือ COO การร้อยเรียงจากกลยุทธ์เป้าหมายทางธุรกิจเป็นเรื่องสำคัญ เราต้องเทียบดูว่าองค์กรของเรามีความเสี่ยงระดับไหน และจะลงทุนเพื่อควบคุมความเสี่ยงให้ลดลงมาอยู่ในระดับไหนที่เรายอมรับได้ คล้ายกับการซื้อประกันรถยนต์ที่ต้องมองในมุมของการบริหารจัดการความเสี่ยงว่าถ้าเกิดอะไรขึ้น เราต้องจ่ายมากกว่าที่เราจ่ายเงินในการซื้อประกัน
เรื่องที่ 2 คือ Digital Forensic Incident Response ผมเชื่อว่าในรูปแบบหรือลักษณะของการดำเนินการที่เราทำ ถ้าเป็นบริษัทไทยน่าจะมีอยู่ไม่กี่บริษัทที่สามารถทำได้ในระดับความสามารถหรือบริการที่เรามีตั้งแต่เริ่มจากตรงไหน เกิดอะไรขึ้นบ้าง โดนอะไรไปบ้าง แล้วจะเข้าไปแก้ปัญหายังไง
เรื่องที่ 3 คือกระบวนการทำงาน เรามีประสบการณ์ทำงานกับบริษัทชั้นนำ แล้วนำระบบการทำงานของบริษัทระดับโลกมาปรับใช้ ซึ่งก็เชื่อว่าคุณภาพการให้บริการของเราไม่แพ้บริษัทต่างชาติ
การปั้น Bluebik Titans ในฐานะที่ปรึกษาด้านความมั่นคงปลอดภัยทางไซเบอร์ชั้นนำต้องมีตำแหน่งสำคัญหรือผู้เชี่ยวชาญเฉพาะทางด้านไหนบ้าง
เมื่อกี้เราพูดถึง Red Team และ Blue Team คือสิ่งที่เรียกว่าเป็น Ethical Hacker หมายความว่าเป็นแฮกเกอร์ที่มีคุณธรรม เป็นทีมที่ทำเรื่อง Control Assessment แต่ถ้าเป็นทีมฝ่ายกลยุทธ์ เรามีทีม Security Strategist หรือ Security Architect ที่มองภาพใหญ่จากมุมของกลยุทธ์ของธุรกิจ คล้ายการมองจากมุมการออกแบบสถาปัตยกรรมที่เป็นภาพใหญ่
อีกส่วนหนึ่งคือทีมที่มีความเชี่ยวชาญเฉพาะด้าน อย่างเช่น เวลาเราทำ Cloud Security ก็มีทีมที่มีความรู้เรื่อง Cloud โดยเฉพาะ รวมถึงทีมที่มีความรู้เฉพาะทางที่สอดรับกับบริการของเราไม่ว่าจะเป็นเว็บไซต์หรือ Mobile Application รวมถึงทีมที่มีประสบการณ์ในการทำด้าน Digital Forensic
มีแนวทางพัฒนาบุคลากรยังไงเพื่อให้เป็นสุดยอดทีมที่สามารถรับมือกับภัยคุกคามที่ซับซ้อนขึ้นเรื่อย ๆ
ในภาพใหญ่ของBluebik เรามีส่วนที่ทำ Personalized Development คือหมายความว่า เราดูว่าแต่ละคนมีสกิลอะไรบ้าง แล้วจะต้องเติมอะไรทั้งด้าน Hard Skill และ Soft Skill ที่เหมาะสมกับการพัฒนา Career Path ของแต่ละคน
ส่วนที่ 2 คือเราให้ความสำคัญและสนับสนุนเรื่องการฝึกอบรม เทรนนิ่งในคอร์สความรู้เฉพาะทางที่เกี่ยวข้องกับการทำงาน ตัวอย่างเช่น ส่งเสริมการอบรมเรื่องมาตรฐานทางด้าน Security ที่เกี่ยวข้องให้ทีมด้านกลยุทธ์ สนับสนุนคอร์สของต่างประเทศให้ทีมที่ต้องติดตามความรู้และเทคนิคใหม่ ๆ ในการแฮก มีเทรนนิ่งจากพาร์ตเนอร์ทางธุรกิจของเราให้ทีมได้เรียนรู้ อย่างเรื่องของ Cloud Security ล่าสุดก็มีทั้งเทรนนิ่งแบบ Hands-on และ On-the-job Training
ส่วนที่ 3 คือสิ่งที่ผมเชื่อว่าเป็นส่วนสำคัญที่ทำให้เกิดสภาพแวดล้อมของการเรียนรู้ที่ดี ตอนที่ผมจบมหาวิทยาลัยมา เพิ่งเริ่มงานแล้วยังแฮกระบบไม่เป็น แต่ต้องมาทำงานในการทดสอบเจาะระบบ มันจะไม่เกิดกระบวนการเรียนรู้เลยถ้าสภาพแวดล้อมการทำงานไม่มีการทำ Knowledge Sharing ระหว่างทีม ซึ่งเป็นวัฒนธรรมองค์กรที่เราพยายามสร้างให้เกิดขึ้นในทีมของเรา
ยกตัวอย่างกรณีศึกษาที่ Bluebik Titans ประสบผลสำเร็จในการให้คำปรึกษาการป้องกันภัยไซเบอร์กับองค์กรธุรกิจให้ฟังหน่อย
ผมมีอยู่ 3 เคส เคสแรกเป็นบริษัทขนาดใหญ่ในตลาดหลักทรัพย์ซึ่งมีการประเมินเรื่องการบริหารจัดการ Cybersecurity อยู่เป็นประจำ เขารู้แค่ What ว่ามีอะไรต้องทำบ้าง แต่ไม่รู้ว่าจะต้องทำยังไงและกำหนดความสำคัญยังไง เราก็ช่วยในการทำโรดแมปโดยดูจากเป้าหมายทางธุรกิจของเขา ดูกลยุทธ์ และดูว่าผู้บริหารระดับสูงขององค์กรมองยังไงเรื่องความคาดหวังด้าน Cybersecurity รวมถึงหน่วยงานธุรกิจ หน่วยงานฝ่ายขาย หน่วยงานฝ่ายปฏิบัติการต่าง ๆ มองยังไง แล้วเอา Input ทั้งหมดมาผสมรวมกันเป็นตัวตั้งในการสร้างโรดแมปจากสถานะปัจจุบันที่องค์กรนี้มีอยู่ จัดลำดับความสำคัญ แล้วมองถึงภาพของความเสี่ยงด้วยว่าถ้าทำหรือไม่ทำจะส่งผลต่อระยะสั้นและยาวยังไง จะมีความเสี่ยงอะไรบ้างต่อองค์กร ซึ่งก็สอดคล้องกับความจำเป็นขององค์กรนั้น
เคสที่ 2 เป็นโครงการของสถาบันการเงินกับหน่วยงานสาธารณสุขแห่งหนึ่งที่มีการให้บริการผ่านทาง Mobile Application กับกลุ่มผู้ใช้งานจำนวนมาก เรามีโอกาสเข้าไปสนับสนุนการทดสอบความปลอดภัยของแอปพลิเคชันก่อนเปิดฟังก์ชันใหม่ซึ่งเกี่ยวข้องกับการให้บริการทางการเงินด้วยส่วนหนึ่ง เข้าไปดูว่ามีช่องโหว่หรือจุดอ่อนทางด้านความปลอดภัยอะไรไหม มีความเสี่ยงแค่ไหน จะดำเนินการแก้ไขยังไง ผลลัพธ์ที่ได้จากฟีดแบ็กลูกค้าในรอบนั้นคือ ความจริงแล้วแอปฯ ตัวนี้ไม่ใช่ทีมผมเป็นทีมแรกที่เข้ามาตรวจ แต่ผลการประเมินของเราพบสิ่งที่บริษัทซึ่งเคยเข้ามาตรวจประเมินรอบก่อนไม่เจอ เป็นโปรเจกต์ที่เราภูมิใจว่าเข้าไปช่วยแล้วสร้าง Value Added ทำให้เกิดประโยชน์ในภาพรวมกับบริการของหน่วยงานนั้นได้
สุดท้ายเคสที่ 3 เป็นบริษัทในอุตสาหกรรมการผลิตในประเทศไทยที่เจอเหตุการณ์โจมตีทางไซเบอร์ เขารู้ตัวว่าถูกแฮกและมีความผิดปกติเกิดขึ้นจากการแจ้งเตือนของระบบรักษาความปลอดภัยของบริษัทในเครือ ตอนแรกเขามีผู้ให้บริการที่ทำการเฝ้าระวังและป้องกันเหตุละเมิดความปลอดภัยทางไซเบอร์อยู่แล้ว และเลือกใช้บริการจากผู้ให้บริการเดิมก่อน แต่สุดท้ายไม่สามารถสรุปได้ว่าสาเหตุของเหตุการณ์คืออะไร หรือโดนอะไรไปบ้าง จะต้องทำยังไงต่อ ก็เลยกลับมาให้เราเข้าไปช่วยวิเคราะห์เหตุการณ์ทั้งหมดอีกครั้งหนึ่ง เคลียร์ว่าข้อมูลรั่วไหลหรือเปล่า มีความเสี่ยงตรงไหน ทำ Timeline Analysis หรือ Root Cause Analysis โดยละเอียดมากขึ้น
จากตลาด Cybersecurity ในไทยที่กำลังเติบโตอย่างรวดเร็ว Bluebik Titans มีแผนต่อไปยังไงเพื่อสร้างการเติบโตอย่างแข็งแกร่ง
แนวทางแรกเรามองถึงการขยายความรู้ความเชี่ยวชาญและขยายประสบการณ์ของเราให้กว้างมากยิ่งขึ้น เพราะในมุมมองของผม ส่วนใหญ่งานของเราจะเข้าไปให้คำปรึกษากับลูกค้าที่มีความสามารถในการลงทุน ซึ่งจะเป็นกลุ่มธุรกิจที่โตแล้ว อย่างเช่น กลุ่มสถาบันการเงิน กลุ่มประกันภัย กลุ่มค้าปลีกขนาดใหญ่
แต่เราเชื่อว่ายังมีอีกหลายอุตสาหกรรม อย่างเช่น Healthcare, Manufacturing, Utility ที่ยังมี Unknown Unknown อยู่ ซึ่งบางครั้งอาจเจอเหตุการณ์ไม่คาดฝันถูกแฮกขึ้นมาหรือมีตัวผลักดัน เช่น ความตระหนักรู้ที่มากขึ้น การมีกฎระเบียบในอุตสาหกรรม เราก็เลยพยายามขยายความเชี่ยวชาญของทีมเราให้ครอบคลุมอุตสาหกรรมที่กว้างมากยิ่งขึ้น เพื่อตอบสนองดีมานด์หรือความต้องการของตลาด
แนวทางที่ 2 คือ เราพยายามมองหา Business Partnership รูปแบบใหม่ สมัยก่อนถ้าเราต้องการระบบความปลอดภัยสักระบบหนึ่ง ต้องเริ่มจากการไปซื้อเซิร์ฟเวอร์เครื่องใหญ่ ซื้อระบบปฏิบัติการ ระบบฐานข้อมูลมารอไว้ก่อน แล้วติดตั้ง เขียนกระบวนการและนโยบายต่าง ๆ หลายขั้นตอน แต่ยุคนี้มี Software as a Service ที่แค่ Subscribe ได้และสะดวกขึ้นมาก
เราก็เลยพยายามหา Cutting-edge Technology ที่เข้ามาให้บริการในประเทศไทยเพื่อยกระดับความปลอดภัย ทดแทนเทคโนโลยีเก่า ๆ ที่ไม่ทันสมัย ไม่ทันต่อเหตุการณ์ ไม่ทันต่อการจัดการความเสี่ยง โดยในบทบาทของที่ปรึกษา เราเป็นเหมือนหมอที่พิจารณาว่าโซลูชันต่าง ๆ จำเป็นต่อองค์กรหรือเปล่าหากเทียบกับรูปแบบเดิม ไม่ใช่ว่าเราเป็นพาร์ตเนอร์ชิปแล้วแนะนำอย่างเดียว อย่างกลุ่ม SMEs ก็รู้สึกหดหู่ว่าทำไมบริษัทของคนไทยโดนเยอะขนาดนี้ เราก็พยายามมองหา One-stop Solution อยู่ แต่ยังไม่เจอตัวที่เข้าถึงง่ายและสามารถบริหารจัดการได้ง่าย ตรงนี้ก็เป็นกลุ่มเป้าหมายของเราที่อยากขยายออกไปนอกเหนือจากบริษัทใหญ่
สุดท้ายนี้ อะไรคือปัจจัยหลักที่ทำให้ Bluebik Titans ก้าวขึ้นมาเป็นผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้รับความไว้วางใจในตลาดไทย
ในการจัดการ Cybersecurity จากมุมการบริหารความเสี่ยง เราจะมองว่าทำแล้วสร้างคุณค่าอะไรให้ธุรกิจได้บ้าง อย่างเช่น สมมติเราต้องลงทุน 5 ล้านบาทในการปกป้องข้อมูลขององค์กร การลงทุนนี้จะสร้างคุณค่าอะไรกับธุรกิจบ้าง หมายความว่าถ้าธุรกิจสูญเสียข้อมูลตรงนี้ไปจะทำให้ธุรกิจได้รับความเสียหายอะไร หนึ่งคือบทลงโทษทางกฎหมาย สองคือการสูญเสียความสามารถในการแข่งขัน สามคือ Intangible หรือว่า Non-Financial Impact อื่น ๆ ในเรื่องความเชื่อมั่นและชื่อเสียงต่าง ๆ เรามองภาพจากในมุมของคุณค่าที่เกิดขึ้นจากการบริหารจัดการ Cybersecurity ซึ่งผมคิดว่ามันเป็นมุมที่ผู้ให้บริการรายอื่น ๆ ไม่ได้ทำกัน
ส่วนที่ 2 คือเรื่องความเชี่ยวชาญและประสบการณ์ของทีมงาน เราคัดเลือกและรวบรวมทีมผู้เชี่ยวชาญที่ไม่เป็นรองจากบริษัทต่างชาติและผู้ให้บริการรายอื่น ด้วยแนวทางที่เล่าให้ฟังไปทั้งหมดว่าเราไม่ได้มองแค่ขายเทคโนโลยี ซอฟต์แวร์ หรือโซลูชันอย่างเดียว แต่มองถึงความจำเป็นหรือความเสี่ยงที่จะสร้างประโยชน์ให้กับธุรกิจขององค์กรนั้น ๆ
ส่วนที่ 3 เป็นสิ่งที่ผมพยายามเน้นย้ำแล้วก็ปลูกฝังกับทีมเสมอว่าเราไม่ต้องการตีหัวลูกค้าเข้าบ้าน หมายความว่าเราไม่ได้ต้องการแค่กำไรสูงสุดหรือทำงานจบให้เร็วเพื่อทำให้โปรเจกต์นี้สำเร็จ เราไม่ต้องการแบบนั้น แต่เราต้องการสร้างความเชื่อมั่น สร้างความไว้วางใจจากลูกค้า ไม่ว่าจะเป็นโปรเจกต์เล็กหรือใหญ่ เราต้องการเป็นคู่คิด เป็นพันธมิตรกับลูกค้าในระยะยาว โดยพยายามเข้าใจว่าเหตุผล ที่มาที่ไป เป้าหมายที่ลูกค้าต้องการจากบริษัทที่ปรึกษาคืออะไร แล้วก็พยายามทำเกินหน้าที่ เพื่อบรรลุวัตถุประสงค์หรือทำให้องค์กรเขาสำเร็จในเป้าหมายที่วางไว้ เราทำทุก ๆ ทางเพื่อให้เติบโตไปในทิศทางนี้ เพราะต้องการเป็นพาร์ตเนอร์ทางกลยุทธ์ (Strategic Partner) กับองค์กรที่เป็นลูกค้าของเราอย่างแท้จริง