“สกมช.” ขีดเส้น ก.ย. 69 หน่วยงานรัฐ ต้องผ่านมาตรฐานความปลอดภัยคลาว์ด
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 จะเริ่มมีผลบังคับใช้ในเดือน ก.ย. 69 นี้ ทำให้หน่วยงานรัฐ และหน่วยงานที่เกี่ยวกับโครงสร้างพื้นฐานสำคัญ หรือ ซีไอ ที่ใช้งานคลาว์ด จะต้องมีการมาตรฐานการักษาความปลอดภัยด้านคลาว์ดตามกฎหมายกำหนด ซึ่งทาง สกมช.จะมีการออกตรวจสอบ หน่วยงานเป้าหมาย กว่า 100 แห่ง เพื่อให้สามารถปฎิบัติตามกฎหมาย เนื่องจากหน่วยงานเหล่านี้จะเกี่ยวข้องกับข้อมูลที่ให้บริการกับประชาชน หรือข้อมูลด้านความมั่นคง หากถูกแฮก จะส่งงผลกระทบกับประชาชนจำนวนมาก และความเสียหายกับประเทศได้ ซึ่งหากหน่วยงานใดไม่ผ่าน ทาง สมกช.จะเร่งเข้าไปให้คำแนะนำดำเนินการให้ได้มาตราฐานตามกฎหมาย
ล่าสุด ทาง สกมช. ได้ร่วมกับ พาโล อัลโต้ เน็ตเวิร์กส์ เปิดตัวแผนงานเชิงกลยุทธ์เพื่อรักษาความปลอดภัยบนคลาวด์ในประเทศไทย เพื่อใช้ในการปฎิบัติตามกรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ หลังจากภาครัฐกำลังผลักดันนโยบาย คลาว์ด เฟิร์ส โพลิซี่ ซึ่งประกอบด้วย 3 กลยุทธ์ คือ ระยะที่ 1 การเตรียมความพร้อมและวางรากฐาน มุ่งเน้นการกำหนดมาตรฐานกลางและการใช้แพลตฟอร์มปกป้องแอปพลิเคชันบนคลาวด์ และกำหนดการดำเนินงานขั้นต่ำเพื่อลดการตั้งค่าระบบคลาวด์ที่ผิดพลาด
ระยะที่ 2 การเฝ้าระวังและตอบสนองเชิงรุก เชื่อมต่อระบบคลาวด์เข้ากับศูนย์ปฏิบัติการความปลอดภัย รวมถึงการพัฒนาคู่มือแนวทางปฏิบัติเพื่อรับมือกับเหตุฉุกเฉิน และจัดตั้งคณะทำงาน เพื่อขับเคลื่อนความร่วมมือและการแลกเปลี่ยนองค์ความรู้ ส่วน ระยะที่ 3: ความยั่งยืนและกรอบการกำกับ จัดตั้งศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัย เอไอ และคลาวด์ โดบจัดตั้งทีมตอบสนองเหตุฉุกเฉินด้านคลาวด์ คลาว์ด เซิร์ต รวมถึงการปรับปรุงมาตรฐานการจัดซื้อจัดจ้างให้บูรณาการข้อกำหนดด้านความปลอดภัยเป็นส่วนหนึ่งในการพิจารณา
พลอากาศตรี กล่าวต่อว่า ในช่วง ที่ผ่าน ได้ร่วมกับ พาโล อัลโต้ เน็ตเวิร์กส์ ประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง พบว่า หน่วยงานภาครัฐมีระดับความพร้อมที่แตกต่างกัน โดย ในด้านการวางแผนเชิงกลยุทธ์หน่วยงานภาครัฐทั้ง 13 แห่งสามารถทำได้ดี โดยมีคะแนนเฉลี่ยที่ประมาณ 84% ในหัวข้อกลยุทธ์คลาวด์ และ 82% ในศูนย์ปฏิบัติการด้านความปลอดภัย ส่วน คลาว์ด ซีเคียวริตี้ บนไพรเวทคลาวด์เป็นอีกหนึ่งหัวข้อที่ทำคะแนนอยู่ในระดับสูง คือ 77% แต่ 60% ของหน่วยงานภาครัฐยังขาดการเชื่อมโยงข้อมูลภัยคุกคามกับศูนย์ปฏิบัติการความปลอดภัยทำให้การตอบสนองต่อภัยคุกคามทำได้ล่าช้า โดยเฉพาะภัยคุกคามที่ขับเคลื่อนด้วย เอไอ ขณะที่การป้องกันส่วนใหญ่ยังเป็นการตั้งรับ มากกว่าเป็นการป้องกันในเชิงรุก
ด้าน นาย ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า เรื่องความปลอดภัยไซเบอร์เป็นเรื่องที่ต้องทำงานร่วมกันอย่างใกล้ชิดระหว่างภาครัฐและเอกชน เพื่อเปลี่ยนการป้องกันแบบตั้งรับไปสู่การบริหารจัดการความปลอดภัยไซเบอร์เชิงรุกด้วย AI ผลประเมินความพร้อมในครั้งนี้ชี้ให้เห็นว่า แม้เราจะมีนโยบายที่ชัดเจน แต่ในสภาพแวดล้อมของการปฏิบัติงานจริง ยังจำเป็นที่จะต้องได้รับการส่งเสริมสนับสนุนให้มีความเข้มแข็งเพิ่มขึ้น การสนับสนุนการจัดทำโรดแมปนี้ทำให้เราสามารถรวบรวมเครื่องมือป้องกันที่กระจัดกระจายไว้ภายใต้แพลตฟอร์มเดียวกัน โดยแผนงานใหม่นี้มุ่งเน้นการใช้ AI และระบบอัตโนมัติ (Automation) มาช่วยให้หน่วยงานเห็นภาพรวมของระบบคลาวด์ทั้งหมดและสามารถหยุดยั้งภัยคุกคามได้แบบเรียลไทม์ เพื่อปิดช่องว่างระหว่างนโยบายและการปฏิบัติจริงได้อย่างมีประสิทธิภาพ
ทั้งนี้เพื่อให้สอดคล้องกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์และนโยบายคลาวด์เฟิร์สของประเทศพาโล อัลโต้ เน็ตเวิร์กส์ จึงร่วมมือกับ สกมช เพื่อเร่งนำเทคโนโลยีคลาวด์และ AI มาเสริมความมั่นคงปลอดภัยในภาครัฐ ความร่วมมือนี้เป็นวางรากฐานเชิงกลยุทธ์เพื่อยกระดับการคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานใหม่ ช่วยให้หน่วยงานภาครัฐสามารถเปลี่ยนผ่านไปสู่โครงสร้างพื้นฐานดิจิทัลที่มีความยืดหยุ่นได้อย่างปลอดภัย ผ่านความร่วมมือใน 4 ด้านหลัก ได้แก่ การนำมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์มาปฏิบัติและกำกับให้เป็นไปตามข้อกำหนด การคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานการกำกับดูแล การฝึกอบรมและพัฒนาศักยภาพบุคลากร และการขับเคลื่อนความร่วมมือด้านความปลอดภัยไซเบอร์ระหว่างภาครัฐและเอกชน.