Public Data At Risk: Cyber Threats To The Networked Government
Transcript of Public Data At Risk: Cyber Threats To The Networked Government
ชอเรอง ความเสยงของขอมลทเปดเผยสสาธารณะ: ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ
เขยนโดย บรษท TRPC
แปลโดย ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (ไทยเซรต) สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) (สพธอ.) กระทรวงเทคโนโลยสารสนเทศและการสอสาร
พมพครงท1 กนยายน 2558
พมพจำานวน 1,000 เลม
©2015ElectronicTransactionsDevelopmentAgency(PublicOrganization).Allrightsreserved.
จดพมพและเผยแพรโดย
ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย(ไทยเซรต)(ThailandComputerEmergencyResponseTeam:ThaiCERT)
สำานกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)(สพธอ.)ElectronicTransactionsDevelopmentAgency(PublicOrganization)(ETDA)
อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310
โทรศพท : 0 2123 1212 | โทรสาร : 0 2120 1200
อเมล : [email protected]
เวบไซตไทยเซรต : www.thaicert.or.th เวบไซต สพธอ. : www.etda.or.th เวบไซตกระทรวงฯ : www.mict.go.th
สารบญ
บทสรปผบรหาร ..................................................................................................6
บทท 1: การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ ................................12
โครงสรางพนฐานรฐบาลอเลกทรอนกส ............................................................13
บรการออนไลนภาครฐ .....................................................................................15
ระบบสาธารณปโภคและระบบการปองกนประเทศ .........................................16
บทท 2: ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ ..............18
เอกสารและขอมลสาธารณะ ............................................................................19
ขอมลสาธารณะทออนไหว ...............................................................................21
การสอสารผานชองทางอเลกทรอนกส การจดเกบเอกสาร และขอมลอเมลทมการรบสง .............................................................................23
ขอมลความมนคงของชาต .................................................................................26
บทท 3: การใชจายดานเทคโนโลยสารสนเทศภาครฐ .......................................30
กระบวนการจดซอทเกยวของกบกบเทคโนโลยสารสนเทศภาครฐ ....................33
การใชจายดานเทคโนโลยสารสนเทศ สำาหรบการดแลระบบสารสนเทศของภาครฐ ....................................................34
การใชจายดานเทคโนโลยสารสนเทศสำาหรบการดแลเวบไซด และบรการออนไลนภาครฐ ...............................................................................35
บทท 4: ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ .................38
การกอการรายดานเทคโนโลยสารสนเทศและ ภยคกคามตอโครงสรางพนฐานทสำาคญของรฐ ..................................................39
การจารกรรมขอมลทเปนความลบหรอขอมล ทสำาคญตออธปไตยของประเทศ ........................................................................40
การโจมตแบบ Denial of Service ตอโครงสรางพนฐานสำาคญของรฐ ...........41
การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ ............................................44
Advanced Persistent Threats .....................................................................46
บทท 5: แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภย ดานเทคโนโลยสารสนเทศของรฐ .......................................................................52
การสรางความตระหนกและการใหความรแกสาธารณะ ..................................55
แผนการเตรยมความพรอมในการจดการภยคกคาม .........................................58
การปองกนระบบเครอขายจากภยคกคาม .........................................................60
การตอบสนองตอภยคกคาม ..............................................................................62
การลดผลกระทบอนเกดจากภยคกคาม ............................................................63
รายการตรวจสอบสำาหรบแผนความมนคงปลอดภยดานเทคโนโลย สารสนเทศของรฐ ..............................................................................................65
บทสรป ..............................................................................................................68
รายการอางอง ...................................................................................................70
6 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทสรปผบรหาร
“รฐสามารถเออประโยชนใหกบสงคมไดดขน ถารฐสามารถใชประโยชนจากเทคโนโลยสารสนเทศและการเชอมตอเครอขายอนเทอรเนตไดอยางเหมาะสม อกทงยงเปดโอกาสใหรฐสามารถสอสารกบประชาชนของตวเองหรอประชาคมโลก” ตวอยางการใชเทคโนโลยสารสนเทศทเออประโยชนใหรฐได เชน การรวบรวมและใชประโยชนจากขอมลทมมากขน การลดขนตอนกระบวนการ การลดการใชกระดาษ ทงนเพอเพมประสทธภาพและประสทธผลในการใหบรการภาครฐตอประชาชน รวมไปถงการเพมประสทธภาพกระบวนการภายในของภาครฐเอง
อยางไรกตามการใชประโยชนจากเทคโนโลยสารสนเทศทเพมขนกทำาใหรฐมความเสยงกบภยคกคามรายแรงเพมขน ทงตอความมนคงของชาต โครงสรางพนฐาน ขอมล และความสมพนธระหวางประเทศ ทงนการระบและจดการภยคกคามเหลานเปนเรองสำาคญตอการสรางยทธศาสตรทแขงแกรงและยดหยน (robust and resilient) ในดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบการทำางานผานเครอขายอนเทอรเนต
ในหลายประเทศ รฐจดใหมเจาหนาทระดบสงเขามาดแลงานเทคโนโลยสารสนเทศ (เทยบเคยบกบ CTO/CIO : Chief Technology Officer/Chief Information Officer ในองคกรเอกชน) เพอทจะเขาใจและจดการเรองเทคโนโลยสารสนเทศ จากการวจยพบวาประเทศทมความพรอมในการจดการภยคกคามดานเทคโนโลยสารสนเทศ จะจดการเรองนแบบองครวม โดยมกจกรรมตวอยาง เชน
• จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERTs - Computer Emergency Response Teams)
• ใหความรความเขาใจกบเจาหนาทรฐและประชาชนโดยทวไป
• มกระบวนการจดซอจดจางทมนคงปลอดภย (เพอลดความเสยหายจาก ภยคกคามประเภทมลแวร/ไวรส)
7
หนงสอฉบบนมงใหกรอบการทำางานแกเจาหนาทรฐทไมไดมพนความรทางดานเทคโนโลยสารสนเทศ เชน เจาหนาทดานประชาสมพนธ เจาหนาทจากงานจดซอ จดจาง ฯลฯ ใหสามารถเขาใจและอภปรายประเดนเหลานรวมกนกบเจาหนาทรฐททำางานดานเทคโนโลยสารสนเทศ ในขณะท CTO หรอ CIO สามารถใชเปนเครองมอขอความสนบสนนในวงกวางจากหนวยงานตาง ๆ ของรฐเพอหาแนวทางในการจดการและตอบสนองอยางเหมาะสมกบภยคกคามดานเทคโนโลยสารสนเทศตอรฐ
ภายในเลมแบงเปน 5 หวขอหลก เรมจาก การใชงานเทคโนโลยสารสนเทศภาครฐ ขอมลทมการจดเกบและบรหารโดยภาครฐ การใชจายภาครฐทเกยวของกบเทคโนโลยสารสนเทศ ภยคกคามดานเทคโนโลยสารสนเทศทรฐกำาลงพบในปจจบน โดยมการเสนอแนวทางทภาครฐสามารถพฒนานโยบายดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ เพอปองกนภยภยคกคามทเกดขนจากการใชเครอขายอนเทอรเนต รวมทงรายการตรวจสอบ (Checklist) ทชวยใหสามารถประเมนความพรอมในการรกษาความมนคงปลอดภยจากภยคกคามทเกดขนจากการใชเครอขายอนเทอรเนต
บทท 1: การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ
• การพฒนาระบบเทคโนโลยสารสนเทศเพอใชงานในภาครฐและบรการออนไลนภาครฐ มบทบาทสำาคญในเชงบวกทสามารถเพมการมสวนรวมกบประชาชน ทงนประเทศสหรฐอเมรกา เกาหลใต และสงคโปร ไดรบการจดใหเปนประเทศทเปนผนำาดานน
• ระบบสาธารณปโภคและระบบการปองกนประเทศมการใชงานผานเครอขายเทคโนโลยสารสนเทศมากขน
• ถาภาครฐไมมการจดการในการใชเทคโนโลยสารสนเทศอยางเหมาะสม รฐและประชาชนอาจจะประสบปญหาดานความเปนสวนตว การจารกรรมขอมล และการขาดความปลอดภยในการใชบรการสาธารณะ
8 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท 2: ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ
• ขอมลสาธารณะและขอมลสวนตวปรมาณมากจดเกบและใหเขาถงได ผานระบบเทคโนโลยสารสนเทศของภาครฐ ทงนยงพบวา นอกเหนอจาก ขอมลสาธารณะทมการเผยแพรผานชองทางบรการออนไลนของภาครฐ ขอมลทออนไหวบางประเภท เชน เลขประจำาตวประชาชน ขอมลภาษ อเมลทใชในการสอสารภายในรฐบาล และขอมลดานความมนคงปลอดภยทเปนความลบ
• ขอมลในแตละระดบชนความลบ ตองการความปลอดภยและการปองกนทตางกน ดงนนรฐจงจำาเปนตองดำาเนนการอยางเหมาะสมในการจดเกบและเขาถงขอมลเพอสรางความนาเชอถอของขอมล
• การโจมตทางระบบเทคโนโลยสารสนเทศในหลายปทผานมา มงไปทขอมล ทภาครฐจดเกบ เชน ขอมลบตรประจำาตวประชาชน ซงเหตการณดงกลาวทำาใหความเชอมนกบภาครฐของประชาชนลดลง และภาครฐเองกตองเสย คาใชจายจำานวนมากในการจดการเรองดงกลาว
บทท 3: การใชจายดานเทคโนโลยสารสนเทศภาครฐ
• ประเทศในแถบอเมรกาเหนอ ยโรปตะวนตก และออสเตรเลย ถอเปนผนำาในการใชทรพยากรและการใชจายเพอสรางความมนคงปลอดภยทางเทคโนโลยสารสนเทศบนเครอขายอนเทอรเนต ประเทศในแถบอาวเปอรเซยและในเอเชย มการใชจายในดานนเชนกน หลงจากทพบการโจมตทางระบบเทคโนโลยสารสนเทศบนเครอขายอนเทอรเนต
• การใชจายดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบบรการออนไลนของภาครฐมกจะเนนไปทการตรวจหาและตอบสนองตอภยคกคาม การแกไขปญหาขอมลรวไหล รวมทงการจดการเวบไซตและบรการออนไลนภาครฐ
9
บทท 4: ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ
• ภยคกคามดานเทคโนโลยสารสนเทศตอรฐมจำานวนมากและสรางผลกระทบ ในหลายระดบ ตวอยางภยคกคามทางดานเทคโนโลยสารสนเทศทพบไดทวไป ไดแก การกอการรายทางเทคโนโลยสารสนเทศและการคกคามตอโครงสราง พนฐานทสำาคญของรฐ การจารกรรมขอมลทเปนความลบหรอขอมลทสำาคญตออธปไตยของประเทศ การโจมตแบบ Denial of Service ตอโครงสรางพนฐานสำาคญของรฐ การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ การโจมตแบบตอเนองขนสง
• สาเหตสำาคญทเพมความเสยง เปดโอกาสใหมลแวรบกรกเขามาในระบบเทคโนโลยสารสนเทศของรฐ และใชระบบทำาการตาง ๆ อนไมพงประสงฆ ไดแก การใชซอฟตแวรละเมดลขสทธในหนวยงานภาครฐ การขาดการจดการทด และการจดซอจดจางทหละหลวม
บทท 5: แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ
• ยทธศาสตรความมนคงดานเทคโนโลยสารสนเทศทด ควรมการจดการแบบ องครวม และมความสามารถในการรบมอกบการโจมตในแงมมตาง ๆ โดยคำานงถงวธการทงในเรองปองกน-ตอบสนอง-ลดผลกระทบ
• แผนดำาเนนการทมประสทธผลในการสรางกลยทธ ควรมขนตอนทจะ
- เพมความตระหนก และยกระดบของความเขาใจในหมประชาชนทวไป ดวยการใหความรแกเจาของธรกจ นกเรยน และหนวยงานของรฐ ในเรองภยคกคามทมอย รวมทงวธปกปองเครอขายของตนจากการโจมต
10 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
- สรางความพรอม ดวยการสรางศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ทคอยประสานงานเพอจดการภยคกคาม รวมถงแบงปนความรและทกษะ
- ปองกนการโจมต ผานการสรางและการดแลรกษาเครอขายคอมพวเตอรใหมความมนคงปลอดภย รวมไปถงการจดซอทมประสทธภาพ
- ตอบสนองอยางมประสทธผลตอการโจมต โดยใหอำานาจแกผออกกฎหมาย ผมอำานาจควบคม ผจดทำานโยบาย โดยมระเบยบขอบงคบทด และการใชเครองมอทสามารถตอสกบการโจมตทางเทคโนโลยสารสนเทศ
- บรรเทาความเสยหาย เพอเรยกคนความเชอมนของประชาชนและผมสวนเกยวของ ผานการสอสารทมประสทธภาพ กระบวนการรววทไดจดทำาไว และการสรางพนธมตรกบภาคเอกชน รฐบาลประเทศอน และองคกรระหวางประเทศ
รปท 1 แผนด�ำเนนกำรเพอสรำงยทธศำสตรควำมมนคงปลอดภย ดำนเทคโนโลยสำรสนเทศ
การสราง
ความตระหนก
การจดการสถานการณฉกเฉน
การปองกน
ความมนคงปลอดภย
ตอภยคก
คาม
การตอบ
สนอง
อนเกดจากภยคกคาม
การลดผลกระทบ
11
12 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท1:การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ
ในปจจบน รฐตองรบผดชอบตอขอมลทเพมมากขนกวาในอดต ขอมลทมความหลากหลายมการจดเกบในระบบสารสนเทศทมการพฒนาอยางรวดเรว -ระบบ ทภาครฐใชกลาสมยและอาจเปนจดเสยงตอภยคกคามความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
โครงสรางพนฐาน
• การเชอมตอบรอดแบนดระดบชาต (National Broadband Connectivity)
• การเพมประสทธภาพในการบรหารจดการ (Management Optimization)
• ระบบบรการสาธารณะ (Public Management Systems)
บรการออนไลนภาครฐ
• ระบบชำาระภาษออนไลน (e-Taxes)ระบบการออก ใบอนญาต และการชำาระคาปรบ
• ระบบการลงคะแนนเสยงเลอกตงทางอเลกทรอนกส
• ระบบประกวดราคาสาธารณะ
• ระบบเพอใหบรการสาธารณะ
• อเมลสำาหรบประชาชน
ระบบสาธารณปโภคและโครงสรางพนฐานสารสนเทศทส�คญ
• ไฟฟา
• ประปา
• โทรคมนาคม
• พลงงาน เชน นำามน LPG NGV
• สอ เชน ชองสญญาณโทรทศน วทย
13
ในป 2556 เฉพาะหนวยงานรฐบาลกลางสหรฐฯ (US Federal Agencies) มการจดเกบขอมลราว 1.6 Petabytes และคาดวาจะเพมเปน 2.6 Petabytes กอนป 25591 โดยสำานกงานความมนคงแหงชาตของสหรฐอเมรกา (National Security Agency of the USA) กำาลงกอสราง Data Center ซงคาดวาจะเกบขอมลไดระหวาง 1 Exabyte - 1 Yottabyte
2 แนวโนมทปรบเปลยนกำรจดกำรเอกสำรและขอมลสำธำรณะในภำครฐ ในชวงหลง ๆ น คอ นโยบำย
“รฐบำลโปรงใส” (Open Government) และ “กำรใชเทคโนโลย Cloud” (Cloud Initiative) โดยสงท
ตำมมำกบแนวโนมเหลำนคอระดบควำมเสยงเรองควำมมนคงปลอดภยทเพมขนตอภำครฐ
ในทกระดบชนของหนวยงานรฐพงพาการใชงานขอมลทมคณภาพมากขน โดยสงไปยงหนวยงานตาง ๆ เพอใหบรการทมคณภาพ ทำาใหซอฟตแวรกลายเปนปจจยสำาคญทหนวยงานรฐตองใช เพอเพมประสทธภาพใหกบระบบ กระบวนการและการแลกเปลยนขอมล
โครงสรางพนฐานรฐบาลอเลกทรอนกส
ตงแตปลายทศวรรษ 1990 ประเทศสวนใหญไดประกาศนโยบายรฐบาลอเลกทรอนกสหรอไดกำาหนดแนวทางสการเปนรฐบาลอเลกทรอนกส ยงผลใหเกดการพฒนาอยางมากตอการบรหารรฐกจในทกระดบ สำานกงานเศรษฐกจและกจการสงคมแหงสหประชาชาต2 (the United Nations Department of Economics) ไดประกาศหลกการ เบองหลงแนวคดรฐบาลอเลกทรอนกส คอ เพอปรบปรงการทำางานภายในของภาครฐ โดยลดคาใชจายและลดเวลาในการทำาธรกรรม ทำาใหการใชกระบวนการทำางานและการใชทรพยากรมประสทธผล หรออกนยหนงคอ เพอ สงเสรมการประสานงานและการเชอมตอระหวางระบบทเกยวของกนกบผลลพธของการพฒนา ในบรบทซงสะทอนความสำาคญและความเปนสากลของการพฒนา เหลาน มงานวจยจำานวนมากทสำารวจความพรอมของรฐบาลอเลกทรอนกสเพอประเมน
14 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
การพฒนาโครงสรางพนฐานทเกยวของ นอกจากการเชอมตอบรอดแบนด การพฒนาบคลากร การสงเสรมการใชบรการออนไลนภาครฐ รวมถงตวชวดอน ๆ เชน การเพมประสทธภาพในการบรหาร (Management Optimization) เชน การเพมประสทธภาพระบบและเครอขาย ระบบบรหารจดการงบประมาณ การปฏรปการบรหารรฐกจโดยใชเทคโนโลยสารสนเทศ ฯลฯ และระบบทใหบรการ เชน ระบบประกวดราคาทางอเลกทรอนกส ระบบชำาระภาษออนไลน (e-Taxes) ระบบลงคะแนนเสยงทางอเลกทรอนกส ฯลฯ)3 สหรฐอเมรกา สงคโปร และเกาหลใต ไดรบการจดอนดบในเรองการพฒนารฐบาลอเลกทรอนกสในแตละปในลำาดบตน ๆ เสมอ
เวบของรฐบาลสหรฐอเมรกา (www.USA.gov) ทำใหประชาชนเขาถงขอมลและบรการทมองหาไดโดยตรง เวบนเชอมโยงไปยงหนวยงานทกแหง รวมทงหนวยงานของแตละมลรฐ หนวยงานสวนทองถน และกลมชาตพนธตาง ๆ ตงแตป 2553 คณลกษณะทเปนการเพมคณคา ไดแก 1. สามารถเขาถงผานโทรศพทเคลอนท 2.สามารถแจงเตอนเนอหาทผเยยมชมสามารถลงทะเบยนได 3. สนทนาสดกบตวแทนของรฐ รฐบาลสหรฐฯ ยงจดใหมเวบไซตทเปนภาษาสเปน (www.GobiernoUSA.gov) ซงรวบรวมเวบไซตของหนวยงานภาครฐทงหมดทเปนภาษาสเปนเพอใหเขาถงงาย
รปท 2 สหรฐอเมรกำ ประเทศทเปนผน�ำ ในกำรพฒนำรฐบำลอเลกทรอนกส ป 2557
15
บรการออนไลนภาครฐ
ถาการสรางโครงสรางพนฐานรฐบาลอเลกทรอนกสเพอปรบปรงประสทธภาพและประสทธผลของการใหบรการภาครฐ เปนงานดานหนงของการทำางานภาครฐทตองเชอมโยงกบองคกรตาง ๆ (Networked Government) งานอกดานหนงทมความกาวหนาในหลายประเทศ คอ การใหบรการออนไลนภาครฐ หลายประเทศกำาลงเปลยนจากการจดรปแบบองคกรแบบกระจายศนยไปสรปแบบการรวมศนยโดยใหทกภาคสวนของรฐบรณาการเขาหากน เพอใหประชาชนสามารถเขาถงบรการทงหมดทรฐใหบรการเปนจดเดยว โดยไมตองคำานงวาเปนหนวยงานใดทใหบรการ ในบางประเทศ แนวทางแบบรฐทเชอมตอเปนหนงเดยวน ชวยสรางระบบทโปรงใส ทำาใหเกดการพฒนาประสทธภาพและประสทธผลของรฐ
ขณะทรฐเพมบรการออนไลนใหม ๆ และใหประชาชนมสวนรวมมากขน รฐกลบตองเผชญปญหาเกยวกบการสรางบรการใหม ๆ การรวมบรการ และการเปดเผยขอมลภาครฐ การทตองเชอมโยงระบบทแตกตางกนและระบบระหวางหนวยงานทำาใหเจาหนาทของรฐทรบผดชอบในการพฒนาระบบหรอพฒนาบรการออนไลน จำาเปนตองคำานงถง 3 ปจจยสำาคญ ไดแก Open Platforms, Interconnection, Interoperability ซงสงนยงทวความสำาคญเมอภาครฐถกกดดนใหเปดเผยขอมลเพอความโปรงใส
แนวโนม 2 อยางทเปลยนวธจดการเอกสารและขอมลสาธารณะในภาครฐ เมอไมกปมานคอนโยบาย “รฐบาลโปรงใส” (Open Government) และ “การใชเทคโนโลย Cloud” (Cloud Initiative) รฐบาลสหรฐฯ อางวาโครงการ “รฐบาลโปรงใส” ของตนทำาให “ประชาชนเขาถงขอมลของหนวยงานสำาคญกวา 390,000 ชดขอมล ในหวขอตาง ๆ เชน ความปลอดภยของรถยนต การเดนทางทางอากาศ คณภาพอากาศ ความปลอดภยในสถานททำางาน ความปลอดภยในการใชยา โภชนาการ อาชญากรรม โรคอวน การจางงาน และสาธารณสข”4 รฐบาลสหรฐฯ ยงไดรเรมโครงการทจะบงคบใหหนวยงานของรฐยายระบบทมผลกระทบนอยถง
Open Platforms, Interconnection, Interoperability เปนสำมประเดนส�ำคญทเจำหนำท
ของรฐตองใหควำมสนใจในกำรพฒนำระบบ
16 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
ปานกลางไปส Cloud ภายในป 2558 ซงการเปลยนแปลงเหลานสงผลแงมมหนงคอระดบความเสยงดานความมนคงปลอดภยทสงขน
ระบบสาธารณปโภคและระบบการปองกนประเทศ
ระบบสาธารณปโภคตาง ๆ เชน ไฟฟา ประปา และ โทรคมนาคม (หรอเรยกวาโครงสรางพนฐานทสำาคญ) หรอโครงสรางพนฐานสารสนเทศทสำาคญ (Critical Information Infrastructure - CII) เปนระบบสำาคญทเรมเชอมตอกนขนเรอย ๆ ผานเครอขาย
ระบบสอสารโทรคมนาคมและระบบสาธารณปโภค กตองพงพาเทคโนโลยสารสนเทศมากยงขนดวย เชน ระบบบรหารจดการ (Management Software) ซอฟตแวรเรยกเกบเงน (Billing Software) และโปรแกรมสำาเรจรป (Package Software) รวมถงระบบ SCADA (Supervisory Control and Data Acquisition) ซงใชควบคมโรงไฟฟาและโรงผลตสาธารณปโภคตาง ๆ แบบ Real time
จากสถานการณแบบนไดเพมความกงวลตอความมนคงปลอดภย รฐจงลงทนในเครอขายใหมความมนคงปลอดภยอยางเชน GSI (Government Secure Intranet) และ GCmail (Government Connect Mail) แตดวยความสามารถทจำากด ระบบดงกลาวมกมการใชเฉพาะการสอสารระหวางรฐกบหนวยงานภายนอกและคคา5
17
18 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท2:ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ
ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศสามารถแบงไดเปน 3 ประเภท ไดแก
1. ขอมลภายใน (Intrinsic Data) – ขอมลทสราง รวบรวม จดเกบ โดยรฐ
2. ขอมลทเกยวของกบการทำาธรกรรมกบภาครฐ (Commercial Data) – ขอมลทเกดจากการทำาธรกรรมและการสอสารระหวางภาครฐและภาคเอกชน
3. ขอมลสวนบคคลของภาคประชาชน (Personal Data) – ขอมลทภาคประชาชนสงใหรฐตามกฎระเบยบขอบงคบหรอเพอประโยชนสาธารณะ
ทงนวธการจดเกบขอมลสารสนเทศทมการประมวลผลและจดเกบโดยรฐ เชน จดเกบโดยจำากดการเขาถงหรอใหเขาถงบนเครอขายเปด (Open Network) หรอบน Cloud ขนอยกบชนความลบของขอมล (Information Classification) การเผยแพรขอมลสารสนเทศของภาครฐทไมเปนความลบทงบรการทมคาใชจายและไมมคาใชจาย
19
เอกสารและขอมลสาธารณะ
ขอมลสาธารณะทออนไหว (Sensitive Information)
ขอมลความมนคงของชาตและการปองกนประเทศขอมลภายใน
(Intrinsic Data)
ขอมลทสราง รวบรวม จดเกบ โดยรฐ
ขอมลทเกยวของกบการท�ธรกรรมกบภาครฐ (Commercial Data)
ขอมลทเกดจากการทำาธรกรรมและการสอสาร
ระหวางภาครฐและ ภาคเอกชน
ขอมลสวนบคคล ของภาคประชาชน (Personal Data)
ขอมลทภาคประชาชน
สงใหรฐตามกฎระเบยบ
ขอบงคบหรอเพอประโยชน
สาธารณะ
เอกสารและขอมลสาธารณะ
รฐเกบและควบคมคลงขอมลทเกยวของกบขอมลของประชาชนและการทำางานของประเทศ ขอมลจำานวนมากซงเดมเคยเกบในรปกระดาษ ไดมการแปลงเปนขอมลในระบบเทคโนโลยสารสนเทศ เนองจากการผลกดนเรองรฐบาลอเลกทรอนกสในชวง ครสตทศวรรษ 1990 และ 2000 ทงน ประเภทของขอมล ระดบการเขาถง และความถกตองของขอมล มความแตกตางกนขนกบแตละประเทศ
โดยทวไป รฐพยายามเผยแพรขอมลมากขนเรอย ๆ ใหสาธารณชนโดยไมคดคาใชจาย (หรอคดนอยมาก) ขอมลดงกลาวมกจดใหเปนของสาธารณะ และมการเผยแพรขอมลในรปแบบเอกสารของรฐ (Public Record) เชน ฐานขอมลของ
• กฎหมายประเภทตาง ๆ – เชน กฎหมายของนวซแลนด (www.legislation.govt.nz)
ประเภทของขอมลทจดเกบบนระบบของรฐ
20 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
• หนงสอและเอกสารในหองสมดสาธารณะ – เชน คณะกรรมการหองสมดแหงชาตของสงคโปร (www.nlb.gov.sg)
• สถตอาชญากรรม – เชน ฐานขอมลสถตอาชญากรรมของ FBI สหรฐอเมรกา (www.fbi.gov/about- us/cjis/ucr/ucr)
• ระบบจดซอจดจางออนไลนของรฐบาล – เชน ระบบ GeBiz ของสงคโปร (www.gebiz.gov.sg)
หนวยงานรฐมการเชอมตอกนมากขนและสรางเอกสารจำานวนมาก ทำาให ฐานขอมลของภาครฐตกเปนเปาของการจารกรรมขอมล ในป 2555 หนวยงานรฐหลายแหงในยเครน เบลเยยม โปรตเกส โรมาเนย สาธารณรฐเชก และไอรแลนด ตกเปนเปาของการโจมตโดยมลแวรทชอ ‘MiniDuke’ ซงโจมตโดยใชชองโหวของเอกสาร PDF6 ไฟลเอกสารซง “ดเหมอนเอกสารของรฐบาล” และม “เนอหาทเขยนไวอยางด” โดยแตงเรองขนมาเปนขอมลสทธมนษยชนและนโยบายตางประเทศ ไดฝงมลแวรไว ซงจะทำางานเมอเปดเอกสาร ทำานองเดยวกน การโจมตทญปนทำาใหเอกสารกวา 3,000 รายการรวไหลจากหนวยงานรฐ ซงเปนผลมาจากมลแวรทตดมากบเอกสาร PDF เชนกน7
WikiLeaks และ การเปดโปงของสโนวเดน
WikiLeaks.org เปนเวบไซตทจดทะเบยนโดย Julian Assange ชาวออสเตรเลยในป 2542 และเรมดำาเนนการจรงจงในป 2549 เพอเปน “ระบบทเปดเผยเอกสารจำานวนมากทตดตามไมไดซงเลดลอดออกมาใหสาธารณชนวเคราะห” (Uncensorable system for untraceable mass document leaking and public analysis) เอกสารลบของรฐบาลไดมการรายงานและ เผยแพรผานความรวมมอกบสอมวลชนหลายแหง โดยเฉพาะอยางยงหนงสอพมพ The Guardian ซงรวมถงเอกสารทรฐถอวาเปนการทำาลายความมงคงของชาตอยางใหญหลวง
21
เอกสารลบสำาคญชนแรกทหลดมาส WikiLeaks นนมาจาก Chelsea Manning (ชอเดม Bradley Manning) ทหารแหงกองทพบกสหรฐฯ ทประจำาการในอรกในฐานะนกวเคราะหขาวกรอง เธอถกตดสนจำาคก 35 ปจากความผด
ในเดอนมถนายน 2556 Edward Snowden ผเชยวชาญคอมพวเตอรซงเคยทำางานกบสำานกงานขาวกรองกลาง (CIA) หนวยขาวกรองกลาโหม (DIA) และสำานกงานความมนคงแหงชาต (NSA) ไดปลอยเอกสารลบหลายพนชน การเปดโปงหลกนนเปนเรองเกยวกบโครงการสอดแนมระดบโลกโดย NSA ซงรวมถงการดกฟงโทรศพท การสอดแนมขอมลบนอนเทอรเนต และบนทกตำาแหนงทอยของประชาชน ผกำาหนดนโยบายหลายคนเรยกการเปดโปงนวาเปนความปราชยครงใหญทสดของงานขาวกรองนบตงแตสงครามโลกครงท 2
ขอมลสาธารณะทออนไหว
ขอมลสาธารณะจำานวนมากทรฐเปนผดแลเปนเรองออนไหว (Sensitive Public Data) ขอมลนอาจไดแก ชอ วนเกด หมายเลขโทรศพท หมายเลขประจำาตวผเสยภาษ หมายเลขประจำาตวประชาชน หมายเลขหนงสอเดนทาง รายละเอยดสขภาพ/การแพทย ระเบยนคนเขาเมอง เปนตน
ตวอยางบรการของรฐซงบรการจดการขอมลดงกลาว ไดแก
1. ทะเบยนราษฎรหรอรายชอผมสทธเลอกตง – เชน ทะเบยนบตรประชาชนและผมสทธเลอกตงของบงกลาเทศ (www.nidw.gov.bd)
2. การเขาเมอง ใบขอวซาและทองเทยว – เชน ใบขอวซาประเทศจนสำาหรบพลเมองฮองกง
3. ระบบชำาระภาษออนไลน เชน e-Tax Online ของออสเตรเลย (www.ato.gov.au)
22 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
4. การขอใบอนญาตประกอบธรกจ – เชน ใบอนญาตออนไลนสำาหรบประกอบธรกจในมลรฐวอชงตน (www.bls.dor.wa.gov)
ประเดนสำาคญประการหนงคอ ขอมลรฐซงดเหมอนไมมความสำาคญ เมอนำามาปะตดปะตอจากฐานขอมลตาง ๆ กอาจใชบงชหรอระบตวบคคลได ตวอยางทพบทวไปเปนขอมลทสงผลกระทบตอบคคลหรอองคกร เชน ขอมลผเสยภาษ ขอมลประกนสงคม เวชระเบยน และขอมลทางพนธกรรม8 รายการของขอมลทออนไหวอาจรวมถงขอมลทเกยวของกบการสบสวนอาชญากรรม ขอมลทางการเงน และแผนเตรยมความพรอมฉกเฉน9 ประเดนนกลายเปนปญหาทเกดขนจรงในเดอนเมษายน 2557 เมอมการพบชองโหวทชอ Heartbleed ซงถงจะไมสามารถประมาณไดวามการใชชองโหวนเขาถงขอมลสวนบคคลไปกครง แตเหตการณทเกดขนเพยงไมกครงกแสดงความรายแรงของสถานการณน ตวอยางเชน ในแคนาดา หมายเลขประกนสงคม 900 หมายเลข ถกขโมยจากสำานกงานสรรพากรในชวงเวลา 6 ชวโมงโดยบคคลหรอกลมบคคลทใชชองโหวจาก Heartbleed10
ในสงคโปร ประชาชนใชระบบทเรยกวา SingPass เพอเขาถงบรการออนไลนราว 340 บรการ มการตรวจพบการเขาถงขอมลสวนบคคลโดยไมไดรบอนญาตในระบบ SingPass กวา 1,500 บญชในป 2557 โดยสวนหนงมจดประสงคเพอใบอนญาตทำางาน (Work Permit) ปลอม 11
การประมวลผลและจดเกบขอมลสาธารณะทออนไหว มระดบของความมนคงปลอดภยตางกนไปในแตละประเทศหรอแมกระทงภายในประเทศ เชน รฐแอลเบอรตา ในแคนาดา บงคบใหการเขาถงขอมลทออนไหวทงหมดตองไดรบอนญาตและตรวจสอบตวตนของผใชวาถกตอง12 ขณะทมลรฐนอรทแคโรไลนา ในสหรฐอเมรกา ไมจำากดการเขาถงขอมลทออนไหวเวนแตมกฎหมายประกาศวาตองปกปด13
23
การสอสารผานชองทางอเลกทรอนกส การจดเกบเอกสาร และขอมลอเมลทมการรบสง
รฐบาลสมยใหมไดปรบปรงชองทางสอสารไปสชองทางอเลกทรอนกสมากขน เชน การใชอเมลหรอการแลกเปลยนขอมลทางอเลกทรอนกส ทำาใหมปรมาณขอมลในการสอสารกนเพมมากขน ซงขอมลสอสารจำานวนมากของเจาหนาทในภาครฐถอวาเปนขอมลลบ ถกจำากดการเขาถง บางครงกมเนอหานาอบอาย รฐยงเปนเจาของเอกสารจำานวนมาก เชน เอกสารนำาเสนอ (Slide Deck) เอกสารแสดงการคำานวณ (Spreadsheet) และเอกสารอน ๆ ทมขอมลภายในทออนไหว
ขอมลทรฐบรหารจดการมปรมาณทเพมขนแบบกาวกระโดด ซงเพมโอกาสเกดความเสยหาย ถาอเมลสวนตวของเจาหนาทหรอของหนวยงานภาครฐถกเผยแพรโดยไมไดรบอนญาต เชน กรณของ WikiLeaks หรอการเปดโปง NSA โดย Snowden ผลทตามมาคอความเสยหายรายแรงตอหนวยงานของรฐทเกยวของ
ความเสยงดงกลาวยงเพมขน เมอองคกรตางๆ รวมทงหนวยงานของรฐ เขาส ยคของการ “นำาอปกรณสวนตวมาทำางาน” (Bring Your Own Device - BYOD) มากขน พรอม ๆ กบความแพรหลายของอปกรณทใชเขาถงขอมลทหลากหลาย เชน โทรศพทเคลอนท แทบเลต และอปกรณอจฉรยะอน ๆ เชน นาฬกา และแวนตา ครงหนง Blackberry เคยเปนอปกรณสอสารทใชกนแพรหลายทสดสำาหรบแลกเปลยนขอมลทหามโดยรฐ ในป 2555 CESG ขององกฤษ ไดอนมตใหใช iPhone เพอรบสงอเมลทมเนอหาออนไหว14
ทงนการเปดโปงเรองท NSA พยายามดกฟงโทรศพทของ Angela Markel นายกรฐมนตรของเยอรมน ทำาใหมการออกมาตรฐานความมนคงปลอดภยของโทรศพท เคลอนทและแทบเลต เพมมากขน ปจจบน Blackberry ผลตโทรศพททมนคงปลอดภยทสด ซงมการเขารหสลบและจำาหนายแกเจาหนาทของรฐเทานน ในโลกทกำาลงพฒนาโดยเฉพาะในเอเชย สถานการณนยงซบซอนไปอก เมอเจาหนาทของรฐจำานวนมากยงใชอเมลสาธารณะในการสอสารแบบทางการ ตวอยางเชน ทการประชมของคณะ
24 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
กรรมาธการเศรษฐกจและสงคมแหงสหประชาชาตสำาหรบเอเชยและแปซฟก (UN-ESCAP) ป 2555 ในกรงเทพฯ เจาหนาท 20 ประเทศ จาก 33 ประเทศในเอเชยระบทอยอเมลซงเปนของ Gmail, Hotmail หรอ Yahoo ในแบบฟอรมขอมลการตดตอ15
เมออเมลสวนตวของเจำหนำทในภำครฐ ถกเผยแพรโดยแหลงทไมไดรบอนญำต เชน กรณ
ของ WikiLeaks หรอกำรเปดโปง NSA โดย Snowden ผลทตำมมำคอควำมเสยหำยรำยแรง
ตอหนวยงำนของรฐทเกยวของ
ภยคกคามทางดานเทคโนโลยสารสนเทศมงไปทขอมล ความมนคงระดบสงของชาต
มกราคม 2554 – รฐบาลแคนาดารายงานวามการโจมตหนวยงานของรฐ ซงรวมถงสำานกวจยและพฒนากลาโหมของแคนาดา การโจมตนทำาใหกระทรวงการคลงและกรรมาธการธนารกษ ซงเปนหนวยงานหลกดานเศรษฐกจของแคนาดาตองระงบการเชอมตออนเทอรเนต
กนยายน 2555 – ในฟลปปนส เวบไซตของหนวยงานหลกดานพาณชย องคกรพลเรอน และรฐบาล ถกโจมตในวงกวาง อนเปนการตอบโตตอพระราชบญญตคอมพวเตอรซงเปนประเดนรอนในขณะนน
ความเสยงอกประการหนงจากสมารตโฟน แทบเลต และอปกรณอน ๆ ทรฐบาลนำามาใชคอ เรองการดาวนโหลดแอปพลเคชน เชน Juniper Research ไดเตอนวา “การดาวนโหลดแอปพลเคชนจะยงเพมความเสยงตอเครอขายบรษทและรฐเนองจากแอปพลเคชนทไมไดดาวนโหลดจากแหลงทนาเชอถอ เชน Play StoreหรอAppStore อาจมมลแวรหรอสปายแวรแฝงอยซงสามารถขโมยอเมล SMSประวตการโทรศพทรายชอลกคาและขอมลอนๆ ขององคกรแอปพลเคชนทมมลแวรสามารถใชอปกรณเผยแพรโทรจนและไวรสเขาสเครอขายองคกร หรออาจท�าใหขอมลขององคกรรวไหล”16
25
ตลาคม 2555 - บรษท Kaspersky ของรสเซยคนพบปฏบตการ “Red October” โจมตคอมพวเตอรทวโลกมาตงแตป 2550 หรอกอนหนา มลแวรทใชโจมตไดขโมยขอมลจากสถานทต บรษทวจย ทตงทางทหาร หนวยงานดานพลงงาน โรงไฟฟานวเคลยร และโครงสรางพนฐานสำาคญอน ๆ
มกราคม 2556 – กลมแฮกเกอร “Anonymous” เจาะระบบและแกไขเวบไซตของหนวยงานภาครฐกวา 12 แหง
เมษายน 2556 – กระทรวงกลาโหมสหรฐฯ รายงานตอรฐสภาวากองทพจนไดเตรยมการโจมตทางคอมพวเตอรบนเครอขายอนเทอรเนตตอรฐบาลสหรฐฯ และผรบเหมาของกระทรวงกลาโหม การโจมตนไดขโมยขอมล เพยงพอทจะใหเหนภาพของเครอขายกลาโหม การสงกำาลงบำารง และสมรรถนะทางทหาร ซงอาจใชเพอชงความไดเปรยบในชวงวกฤต ในเดอนกรกฎาคม 2557 แฮกเกอรชาวจนไดเจาะเครอขายของสำานกงานบรหารบคลากรของสหรฐฯ และขโมยขอมลผสมครนบพนรายทอนญาตเขาถงขอมลลบ
ตลาคม 2556 –กลมแฮกเกอร “Anonymous” ไดเจาะระบบเวบไซตของมลนธชมชน PAP และสภาเมององโมเกยวในสงคโปร เพอระบายความไมพอใจตอเหตการณตาง ๆ ในประเทศ ตอมาในเดอนเดยวกน แฮกเกอร 2 รายเจาะเขาเวบไซตของทำาเนยบประธานาธบดสงคโปร โดยอาศยชองโหว แลวแทรกโคดอนตรายในเวบไซต
26 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
ขอมลความมนคงของชาต
“คนไมดจะไปทนนไมมละแวกบานไหนทปลอดภยเราทกคนตางเปนเพอนบาน”[ทางออนไลน]17 James B. Comey คำาใหการของผอำานวยการ FBI ตอรฐสภาทวอชงตน ด.ซ. ในกรณการโจมตทางคอมพวเตอร (14 พฤศจกายน 2556)
ขอมลทสำาคญทสดของรฐคอขอมลทเกยวกบความมนคงของชาต ซงรวมถงประเดนตาง ๆ ตงแตขาวกรองทางทหาร การปองกนภยฝายพลเรอน การเตรยมพรอมรบสถานการณฉกเฉน/ภยพบต ไปจนถงการปกปองโครงสรางพนฐานทสำาคญ และแผนเคลอนยายกำาลงพล
ประเดนนยงซบซอนขนเมอมการใชขอมลรวมกน ระหวางผรบเหมาของกระทรวงกลาโหมและหนวยงานภายนอกอนๆ การโจมตทางคอมพวเตอรหลายครงเกดขนโดยมงเปาไปทหนวยงานภายนอกเพอเขาถงขอมลสำาคญดานความมนคงของชาต
ปจจบนทกประเทศในเอเชยมโอกาสถกโจมตอยางมกลยทธและถกบกรกไดโดยไมมขอยกเวน ซงสงนเปนความทาทายตอการรกษาความมนคงปลอดภยของรฐ
ภาคเอกชนเองกตองรบมอกบการโจมตทางคอมพวเตอรบนเครอขายอนเทอรเนตเชนกน รานคาปลก Target18 และรานเคหะภณฑ Home Depot19 ตางตกเปนเหยอของการโจมตทางคอมพวเตอรครงใหญ คาดวามขอมลบตรเครดตและบตรเดบตรวไหลไปราว 100 ลานบญช20
ยงระบบเทคโนโลยสารสนเทศมความซบซอนมากขนเทาใด โอกาสทจะเกดภยคกคามตอระบบเทคโนโลยสารสนเทศกจะมมากขนไปดวย ทงยงจะลดทอนความมนคงปลอดภยในการปองกนภยคกคาม ซงอาจเปดชองโหวใหอาชญากรคอมพวเตอรเขามาฉวยประโยชนได การรกษาความมนคงปลอดภยทางคอมพวเตอรโดยรฐ จงควรมงเนนทการปองกนหวงโซอปทานทางเทคโนโลยสารสนเทศ (IT Supply Chain) และ การเพมเรองการรกษาความมนคงปลอดภยทางคอมพวเตอรในการจดซอระบบเทคโนโลยสนเทศของภาครฐ (เพมการมสวนรวมจากเจาหนาทรฐ) โดยรวมเปนสวนหนงของมาตรการเพอรกษาความมนคงปลอดภย
27
28 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
29
30 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท3:การใชจายดานเทคโนโลยสารสนเทศภาครฐ
จากงานวจยของ Gartner หนวยงานของรฐบาลทวโลกจะใชจายเงน 4.495 แสนลานเหรยญสหรฐกบโครงการทางดานเทคโนโลยสารสนเทศในป 2556 ซงลดลง 0.1% จากป 255521 ขณะทการใชจายดานเทคโนโลยสารสนเทศของประเทศสหรฐอเมรกาไดชะลอลงในป 2556 แตในชวงป 2544 ถง 2555 คาใชจายดานเทคโนโลยสารสนเทศของรฐบาลสหรฐฯ ไดเพมจาก 4.6 หมนลานเหรยญสหรฐ ไปเปน 8.1 หมนลานเหรยญสหรฐ ซงเพมเกอบสองเทาภายในหนงทศวรรษ22
ทกรฐบาลไมใชจะชะลอการใชจายดานเทคโนโลยสารสนเทศได การใชจายเงนดานเทคโนโลยสารสนเทศของภาครฐในออสเตรเลยคาดวาจะเตบโต 2.2% ตอป จนถง 1.07 หมนลานเหรยญออสเตรเลยกอนป 255023 การลงทนสวนใหญจะเปนดานซอฟตแวร24 นวซแลนดคาดวารายจายประเภทเดยวกนนจะเตบโต 1.4% จนถงมากกวา 1.6 พนลานเหรยญนวซแลนด25 แนวโนมของการเตบโตดานเทคโนโลยสารสนเทศในภาครฐเหนไดจากการใชจายในเทคโนโลยอปกรณเคลอนท การปรบปรงเทคโนโลยสารสนเทศใหทนสมย และการใชเทคโนโลย Cloud26 คาดวาทวโลกจะมการใชจายดานโครงสรางพนฐานบรการ Cloud สาธารณะถงเกอบ 1.08 แสนลานเหรยญกอนป 256027
เมอการใชจายของภาครฐสามารถตรวจสอบไดมากขน สงคมกใหความสนใจมากขนวามการ ใชจายไปกบทรพยากรใดบาง โดยเฉพาะเมอ งบประมาณเทคโนโลยสารสนเทศมมลคาหลายพนลาน การเหนความสำาคญของความมนคงปลอดภยทางเทคโนโลยสารสนเทศนนสะทอนใหเหนจาก งบประมาณทจดสรรโดยประเทศทพฒนาแลวเปนผนำาในเรองน ในป 2557 กระทรวงกลาโหมสหรฐฯ
รปท 3 กำรใชจำยดำน IT Cloud Service ทวโลก
แยกตำมประเภท28
31
ตงงบประมาณสำาหรบศนยบญชาการคอมพวเตอรมลคาถง 447 ลานเหรยญ และเพมอก 792 ลานเหรยญในการสรางทมดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบกระทรวงความมนคงแหงมาตภม (U.S. Department of Homeland Security)29 รฐบาลองกฤษใชเงน 650 ลานปอนดเพอรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศระหวางป 2554 ถง 255830 แตอยางไรกด เมอเปรยบเทยบกบรฐบาลประเทศอน เชน อนเดย ตงงบประมาณ 7.76 ลานเหรยญสหรฐสำาหรบการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศในป 255631
งบประมาณหรอการใชจายเหลานมความเขาใจมากขนวา บางอยางตองเนนเรองปญหาความมนคงปลอดภยทางเทคโนโลยสารสนเทศ โดยเฉพาะอยางยงนบตงแตมการโจมตทรฐอยเบองหลงหรอรฐตกเปนเปาหมายมากขน32 ประเทศไทยกำาลงตนตววาความมนคงปลอดภยทางเทคโนโลยสารสนเทศของประเทศอยในระดบ “วกฤต”33 ในทำานองเดยวกนการโจมตทางเทคโนโลยสารสนเทศตอทตงสำาคญในซาอดอาระเบยและกาตารเมอป 2555/2556 ไดปลกใหภมภาคนตนตวกบภยดงกลาว สหรฐอาหรบเอมเรตส ซาอดอาระเบย และประเทศอนในภมภาคกำาลงมงลงทนอยางหนกในเรองการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศ34
อยางไรกตาม ความพยายามของรฐในขณะนทจะจดการกบความมนคงปลอดภยทางเทคโนโลยสารสนเทศใหทนการณนนยงไมเพยงพอ ตวอยางความพยายามของภาครฐในเรองน
1. สงคโปรประกาศจดตงหนวยงานดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศเมอเดอนเมษายน 2558 (http://www.channelnewsasia.com/news/singapore/government-to-set-up/1618658.html)
2. เจาหนาทของอนโดนเซยหารอกนในเดอนธนวาคม 2557 เพอจดตงองคกรระดบชาตเพอตอสกบการโจมตทางเทคโนโลยสารสนเทศ (http://www.futuregov.asia/articles/5924-indonesia-plans-to-set-up- nation-al-cyber-security-agency)
32 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
3. ประเทศไทยไดผานความเหนชอบตอรางพระราชบญญตรกษาความมนคงปลอดภยไซเบอร เมอเดอนมกราคม 2558 (http://tech.thaivisa.com/gen-prayut-defends-controversial-new-cyber-laws-thailand/3438/)
4. อนเดยไดเผยแพรนโยบายความมนคงปลอดภยทางเทคโนโลยสารสนเทศฉบบแรกเมอเดอนกรกฎาคม 2556 (http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies- ncsss/NationalCyberSecurityPolicyINDIA.pdf)
5. นายกรฐมนตรออสเตรเลยประกาศแผนความมนคงปลอดภยทางเทคโนโลยสารสนเทศซงเปนสวนหนงของแผนกลยทธความมนคงปลอดภยแหงชาต เมอเดอนมกราคม 2556 (www.abc.net.au/unleashed/4484508.html)
นอกจากการใชจายทเฉพาะเจาะจงกบมาตรการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศแลว การจดซอจดจางทคำานงถงความมนคงปลอดภยทางเทคโนโลยสารสนเทศของรฐบาลกเปนอกหนงปจจยหนงทมกถกมองขามในการสรางรฐบาลทมความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ในการใชจายดานเทคโนโลยสารสนเทศอนประกอบดวย การจดซอจดจางโครงสรางพนฐานทางเทคโนโลยสารสนเทศ การสนบสนนและบรหารดานเทคโนโลยสารสนเทศ รวมถงการบรหารจดการบรการออนไลนและเวบไซต มกมจดออน เชน การใชซอฟตแวรทไมมลขสทธหรอซอมาจากบรษททไมนาเชอถอ รวมถงการใชงานซอฟตแวรทไมไดอปเดตซงเกดขนเนองจากความไมร
ปญหำทเกดขนกบผรบผดชอบดำนกำรจดซอในเอเชย คอ คอมพวเตอรทตดมลแวรมเพมขนและกำรขำด
ประสบกำรณในกำรจดกำรกบภยคกคำม (และ) องคกรสวนใหญไมระมดระวงอยำงเพยงพอ
ตอกำรโจมตประเภท Advanced Persistent Threat
33
กระบวนการจดซอทเกยวของกบระบบเทคโนโลยสารสนเทศภาครฐ
ประสทธภาพ (Productivity) ความยงยน (Sustainability) และความคมคา (Cost-Effeciency) เปนสามองคประกอบสำาคญในการจดซอโครงสรางพนฐานดานเทคโนโลยสารสนเทศ โดยเฉพาะอยางยงในประเทศทมโครงการดานเทคโนโลยสารสนเทศจำานวนมาก35 อยางไรกตาม การเตรยมพรอมเปนสงสำาคญตอการรกษาความมนคงปลอดภย ภายในป 2563 คาดวาจะมการกนงบประมาณดานเทคโนโลยสารสนเทศไว 75% เพอการตรวจหาและตอบสนองตอภยคกคามทางเทคโนโลยสารสนเทศ ซงเพมขนจากป 2555 โดยตงไวไมถง 10%36 ปญหา 2 ประการทเกดขนกบการจดซอในเอเชย คอ จำานวนคอมพวเตอรทตดมลแวรมเพมขน และการขาดประสบการณในการรบมอกบภยคกคาม
ทงนการสำารวจในระดบนานาชาตโดย ISACA พบวา สวนใหญของผเชยวชาญดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ยงไมเคยรบมอกบการโจมตประเภทภยคกคามตอเนองขนสง (Advanced Persistent Threat - APT) จรง ๆ มเพยง 21.6% ของผตอบแบบสอบถามทเคยโดนโจมตแบบ APT37 ในขณะทองคกรสวนใหญยงไมระมดระวงอยางเพยงพอตอภยคกคามแบบ APT ดไดจาก 81.8% ของผตอบแบบสอบถามไมเคยปรบปรงสญญากบผขายเพอจดหาการปองกนตอภย APT รวมถงผตอบแบบสอบถามสวนหนงไมเคยจดการฝกอบรมเพอเพมความตระหนกตอ APT ใหแกพนกงาน
Cloud กบความมนคงปลอดภยทางเทคโนโลยสารสนเทศ
หลายประเทศตดสนใจทจะหนไปใช Cloud เชน สหรฐอเมรกา องกฤษ และออสเตรเลย ทประกาศนโยบาย “Cloud First” โดยผลตภณฑท เกยวของกบ Cloud จะไดรบการพจารณากอน เมอมการจดซอผลตภณฑและบรการดานเทคโนโลยสารสนเทศโดยรฐบาล
Cloud ถอวาปลอดภยกวาระบบเทคโนโลยสารสนเทศอนทตดตงในองคกรดวยเหตผลหลายประการ:
34 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
1. การจดการขอมลสวนตวและการเขาถง (Identity & Access Management) Cloud สามารถจดการไดวาใครควรเขาถงขอมลใดบาง และสามารถตดตามการเขาถงขอมลหากระบบความมนคงปลอดภยถกบกรก
2. ความมนคงปลอดภยทางกายภาพ (Physical Security) – Cloud จะชวยปกปองและกคนขอมลซงบรหารจดการโดยผใหบรการ Cloud ซงทำาไดดกวาบรหารจดการดวยตนเอง
3. การบรหารจดการและการรกษาความมนคงปลอดภยททนสมย (Up-to-date Security and Maintenance) – ผเชยวชาญดานความมนคงปลอดภยของผใหบรการ Cloud จะดแลและทำาหนาทปรบปรงความมนคงปลอดภย โดยถอเปนสวนหนงของบรการ
การใชจายดานเทคโนโลยสารสนเทศส�หรบการดแลระบบสารสนเทศของภาครฐ
ทวโลกใชเงนราว 4 แสนลานเหรยญสหรฐไปกบการแกไขระบบจากปญหาขอมลถกขโมย เงนเหลานจะใชอยางเปนประโยชนมากกวาถานำาไปพฒนาเพอเพมผลผลต ทงนคาใชจายดานเทคโนโลยสารสนเทศเพอจดการมลแวรนนสงมากสำาหรบภาคเอกชนและภาครฐ มการโจมตกลมธรกจขนาดเลกในองกฤษเพมขน 10% ในป 2556 คาดวาคาใชจายนจะเพมเปน 6% ของเงนทนหมนเวยนของกจการ38 ธรกจขนาดเลกเกอบ 60% ประสบปญหาการบกรกความมนคงปลอดภยทางเทคโนโลยสารสนเทศทเกยวของกบพนกงาน โดยรวมแลว การบกรกระบบรกษาความมนคงปลอดภยกอใหเกดคาใชจาย 54-100 ลานเหรยญสหรฐ ในองกฤษ คาดวามประชาชนกวา 800 ลานคนทไดรบผลกระทบจากการขโมยขอมลและการจารกรรมทางคอมพวเตอรในป 255639
35
การใชจายดานเทคโนโลยสารสนเทศส� หรบการดแลเวบไซตและบรการออนไลนภาครฐ
ไมวาประเทศใด รฐมกเปนองคกรทมเวบไซตมากทสดในการใหบรการประชาชน การอปเกรด และการหมนตรวจสอบหาจดบกพรองของการรกษาความมนคงปลอดภยทมคาใชจายสงมาก ทางแกปญหาวธหนงคอนำาเวบไซตและบรการทงหลายมารวมกนไวทจดเดยว (Single Portal) ตวอยางเชน รฐบาลองกฤษอางวาสามารถประหยดเงนไดราว 42 ลานปอนด จากการยายเวบไซตตาง ๆ มาไวท gov.uk กอนเรมโครงการน รายงานของ Digital Britain ระบวาประเทศองกฤษมเวบไซตทใหบรการประชาชนราว 4,000 เวบไซต40
ในอนเดยซงมเวบไซตของรฐบาลมากกวา 303 ลานไซต ซงถกเจาะระบบเปนจำานวนมากทกป และมแนวโนมเพมขนตงแตป 2553 การดำาเนนการเชงปองกนทรฐใชคอม “การตรวจสอบเวบไซตใหมทกแหงของรฐบาลรวมทงแอปพลเคชน กอนทจะนำาขนใหบรการ”41 การอปเดตซอฟตแวรและการใชบรการจากผใหบรการทมชอเสยงจะชวยบรรเทาปญหาความมนคงปลอดภย แตคาใชจายในการจดการและระดบความรนแรงของการบกรกกจะยงเพมขนทกป
36 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
37
38 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท4:ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ
ขอมลและระบบขอมลทเชอมตอกนนำามาซงภยคกคามความมนคงปลอดภยซงนบวนมแตจะเพมขน ไมวาจะเปนโคดทเปนอนตราย (Malicious Code) มลแวร และ ซอฟตแวรทไมพงประสงค เชน ไวรส โทรจน โปรแกรมดกการพมพ (Keystroke- Capturing) Authentication Backdoors และสปายแวร ทพบในซอฟตแวรทมลขสทธไมถกตอง เวบไซต หรอเครอขายแบบเพยร-ท-เพยร (P2P)
สำาหรบคนสวนใหญ ผลจากการตดมลแวรหรอถกบกรก มกจะทำาใหคอมพวเตอรทำางานชาลง มโฆษณานารำาคาญโผลขนมา และอาจโดนขโมยขอมลสวนตว แตสำาหรบรฐบาลและภาคเอกชน ผลทตามมานนรายแรงกวามาก การใชซอฟตแวรทมลขสทธไมถกตอง ทำาใหหนวยงานของรฐตกอยในความเสยงทจะถกเจาะระบบ จารกรรมขอมล หรอตกเปนเปาของการกอการรายทางเทคโนโลยสารสนเทศ เพราะแฮกเกอรสามารถใชมลแวรเพอควบคมโครงสรางพนฐานทสำาคญและขอมลทสำาคญได
การกอการรายทางเทคโนโลยสารสนเทศและการคกคามตอโครงสรางพนฐานทสำคญของรฐ
การโจมตแบบDenial of Service ตอโครงสรางพนฐานสำคญทสำคญของรฐ
การจารกรรมขอมลในชนความลบ
หรอขอมลทสำคญตอ
อธปไตยของประเทศ
การจารกรรมทางดานเทคโนโลยสาร
สนเทศตอรฐ Cyber Espionage
การโจมตแบบ
ตอเนองขนสง
Advanced
Persistent Threats
ระบบรฐทมโครงสรางแบบเครอขาย
ขอมลสาธารณะทละเอยดออน
ขอมลสาธารณะ
ขอมลความมนคงของชาต
การสอสารผานชองทางอเลกทรอนกส
รปท 4 ภยคกคำมควำมมนคงปลอดภย ระบบเทคโนโลยสำรสนเทศของภำครฐ
39
การกอการรายดานเทคโนโลยสารสนเทศและภยคกคามตอโครงสรางพนฐานทส�คญของรฐ (Cyber Terrorism and Threats to Critical Infrastructure)
การกอการรายทางเทคโนโลยสารสนเทศ ไดแก การโจมตระบบเทคโนโลยสารสนเทศโดยมงสรางความเสยหายตอโครงสรางพนฐานทสำาคญ เชน ระบบปองกนภยการบน ระบบไฟฟา ระบบสาธารณปโภค หรอภาคพลงงาน เชน โรงไฟฟานวเคลยร โรงกลนนำามนและแกส ฯลฯ นอกจากนยงรวมถงภยคกคามของการโจมตระบบเทคโนโลยสารสนเทศทพงเปาไปทประชาชนสวนใหญ เพอสรางความตนตระหนกในวงกวาง สรางความสญเสยทางการเงน หรอทำาลายระบบการรกษาความมนคงปลอดภย
ซอฟตแวรและมลแวรทใชในการกอการรายเรมซบซอนขนเรอย ๆ และรฐบาลสวนใหญกำาลงเตรยมพรอมรบมอการโจมตครงตอไปทจะสงผลกระทบมากขน เรอย ๆ ตวอยางเชน ผใหบรการนำาประปาในแคลฟอรเนยพบวากลมแฮกเกอรสามารถควบคมระบบนำาประปาและสามารถสงเพมสารเคมเพอบำาบดนำา
ในสถานการณทำานองเดยวกนน โปรแกรม Stuxnet ไดรบการออกแบบมาเพอโจมตการทำางานของอปกรณอเลกทรอนกส (Electromechanical) ถกมองวาเปนจดพลกผนของการโจมตทางระบบเทคโนโลยสารสนเทศ โปรแกรมตวนไดรบการ คนพบเมอป 2553 Kaspersky Labs เรยกมนวา “ตนแบบของอาวธทางระบบเทคโนโลยสารสนเทศททำางานไดอยางนากลว ซงจะนำาไปสการแขงขนสรางอาวธแบบใหมในโลก”42 มรายงานวา Stuxnet ทำาใหเครองแยกยเรเนยม หนงในหาของอหรานสญเสยการควบคม43
40 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
การจารกรรมขอมลทเปนความลบหรอขอมลทส�คญตออธปไตยของประเทศ (Theft of Confidential or Sovereign Data)
วตถประสงคของการโจมตทางเทคโนโลยสารสนเทศสวนใหญ คอ เพอลวงขอมลลบ ขโมยความลบทางการคา หรอหาทางชงความไดเปรยบเหนอบรษทคแขง องคกร หรอรฐบาลอน หลายปทผานมามเหตการณการจารกรรมขอมลเพมขนอยางมาก องคกรจำานวนนอยทสามารถปองกนตวไดแบบครอบคลม44 ตวอยางทสมมาศกษาจากคดดงในชวงป 2554-2557 แสดงใหเหนวาการถกเจาะระบบโดยแฮกเกอร แผวงกวางออกไปเพยงใด เหยอมทงรานคาปลก (Zappos ของ Amazon) บรษทการตลาด (Epsilon) เกมออนไลน (Sony) ธนาคาร (Citigroup) หนวยงานภาครฐตาง ๆ (กระทรวงกลาโหมของสหรฐฯ, รฐบาลแคนาดา) ผรบเหมาของกองทพ (Lockheed Martin) เวบไซตเครอขายสงคม (RockYou) ผใหบรการ Cloud (Gmail ของ Google) และแมกระทงบรษทดานความมนคงปลอดภย (RSA ของ EMC, Stratfor, Symantec) กรณทเกดขนเมอเรว ๆ นอเมลประสงครายฉบบหนงถกสงไปถงเจาหนาทกรมสรรพากรของเซาทแคโรไลนา จนนำาไปสการขโมยหมายเลขประกนสงคม 1.9 ลานหมายเลข ขอมลการคนภาษ 3.8 ลานรายการ และรายละเอยดบญชธนาคาร 3.3 บญชทวมลรฐ45
การโจมต eBay ซงเปนบรษทยกษใหญดานพาณชยอเลกทรอนกสในป 2557 สงผลใหขอมล เชน ทอยอเมล รหสผานทเขารหสไว วนเกด และทอยทางไปรษณย ถกขโมย จนทาง eBay ตองขอใหผใช 145 ลานรายของตนเปลยนรหสผานหลงถกโจมต46 เดอนกนยายนปเดยวกน รานเคหะภณฑ Home Depot รายงานวาระบบชำาระเงนของบรษทถกโจมต ทำาใหบตรเครดตและบตรเดบตของลกคากวา 56 ลานใบตองตกอยในความเสยง
จำานวนครงและชนดของการบกรกระบบรกษาความมนคงปลอดภยสงผลตอธรกจทกประเภท ในป 2555 บรษทขนาดกลางและเลกตางประสบปญหาซงเดมจะพบแตในบรษทใหญๆ เทานน เชน 87% ของธรกจขนาดเลกในองกฤษถกเจาะระบบในป 255547
41
การโจมตแบบ Denial of Service ตอโครงสรางพนฐานส�คญ ของรฐ (Denial of Service Attacks on Key Government Infrastructure)
การโจมตแบบ Denial of Service (DoS) คอ การทำาใหบรการหรอเซรฟเวอรไมสามารถเขาถงได การขโมยขอมลเพอใชเขาสระบบคอมพวเตอรตาง ๆ หรอการเจาะระบบเครอขายนน เปนขนแรกของการโจมตแบบ DoS จากนนกใชคอมพวเตอรทเขาถงแลวเปนฐานในการโจมตเวบไซตเปาหมาย โดยทำาการรองขอเขาเวบไซตเปนจำานวนมาก จนกระทงระบบลมหรอทำาใหผใชคนอนไมสามารถเขาเวบไซตนน
วธนสามารถทำาเปนแบบอตโนมต และขยายไปสการโจมตแบบกระจายกำาลง (Distributed DoS หรอ DDoS) โดยใชซอฟตแวรทเรยกวา “Botnets” เพอควบคมคอมพวเตอรจำานวนมากในคราวเดยว ซงการควบคมคอมพวเตอรจำานวนมากเหลานน Botnets ไมจำาเปนตองอาศยทกษะขนสงทางเทคโนโลยสารสนเทศ โดยสามารถหาซอไดในราคา 100 ถง 200 เหรยญสหรฐตอคอมพวเตอรทถกควบคมโดย Botnets 1,000 เครอง การโจมตแบบ DoS ไดรบความนยมสง โดยมระบบเทคโนโลยสารสนเทศของรฐบาลและสถาบนการเงนเปนเปาหมายยอดนยม การศกษาชนหนงรายงานวาแคป 2556 ปเดยว DoS เพมสงขน 8 เทาเมอเทยบกบปกอนหนา48
การโจมตเหลานเปนโฉมหนาใหมของการจโจมทเปดฉากขนทเอสโตเนย ในป 2550 และทจอรเจย ในป2551 การโจมตเอสโตเนยเมอเดอนเมษายน 2550 ทำาให เวบไซตของรฐสภาลม บรการของรฐและธนาคารหยดชะงก เครอขายตองออฟไลน การทำางานของรฐบาลและสอมวลชนถกขดขวางเพราะการโจมตแบบ DoS หลายระลอก49 สำาหรบประเทศซงธรกรรมทางการเงน 90% ทำาผานอนเทอรเนต และการยนภาษ 70% ทำาดวยระบบอเลกทรอนกสนน ผลกระทบทเกดขนทำาใหประเทศอยในสภาพงอยเปลย อกตวอยางหนงคอการโจมตกลบแบบ DoS ซงทำาใหเกดความตงเครยดระหวางฟลปปนสกบไตหวน เมอตนป 2556 จากเหตการณยงชาวประมงไตหวน ทำาให “นกเคลอนไหวแฮกเกอร” ชาวไตหวน ระดมโจมตแบบ DoS ใสเวบไซต ของรฐบาลฟลปปนสและสรางความเสยหายทางเศรษฐกจโดยตรง50
42 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
แผนแมบทและกฎหมายการรกษาความมนคงปลอดภย ดานเทคโนโลยสารสนเทศในเอเชย
หลายประเทศในเอเชยมแผนการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศหรอมกฎหมายทเกยวของอยแลว โดยมบางสวนอยระหวางกระบวนการพจราณา ดงน
อนโดนเซย กำาลงจดตงหนวยงานเพอตอสกบการโจมตทางเทคโนโลยสารสนเทศ ตามคำาแนะนำาของรฐมนตรกระทรวงคมนาคมและสารสนเทศ กบรฐมนตรกระทรวงความรวมมอทางการเมอง กฎหมายและกจการความมนคงเมอเดอนมกราคม 2558 กฎหมายทเกยวของ ไดแก พ.ร.บ. ขอมลและธรกรรมอเลกทรอนกส54
มาเลเซย มนโยบายความมนคงปลอดภยไซเบอรแหงชาต ซงเปน รปรางเมอป 2548 โดยประสานงานผานกระทรวงวทยาศาสตร เทคโนโลยและนวตกรรม (MOSTI) องคกร Cyber Security Malaysia เปดตวเมอเดอนสงหาคม 2550 GCERT MAMPU กอตงในป 2544 โดยกรอบนโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐบาล เพอรบประกนความตอเนองของการจดการเทคโนโลยสารสนเทศและการสอสาร และ
ทามกลางการขยายตวของภยคกคามจากการโจมตแบบ DoS นน แอปพลเคชนทใชเทคโนโลยอจฉรยะมความกาวหนาไปมาก และการถอกำาเนดของ “Internet of Things” ทำาใหมอปกรณอจฉรยะตาง ๆ ทม IP เพมมากขน ซงอาจกลายเปน Botnet หรอเปนแพลตฟอรมใหมสำาหรบการระดมกำาลงโจมต51 ภยคกคามใหมนคอการหาชองทางการโจมตเพอเขาควบคมระบบประมวลผลของอปกรณเหลานไดดวยตวเอง52
ปจจบน ระบบทนาเปนหวงอยางยงในการถกโจมต คอ ระบบ SCADA (Super-visory Control and Data Acquisition) ซงรฐนยมใชควบคมอปกรณของโรงงานสาธารณปโภคและโครงสรางพนฐาน ตวอยางเชน ระบบ SCADA ในควนสแลนด ออสเตรเลย ถกเจาะระบบ สงผลให “นำาเสยจากทอไหลทวมสวนสาธารณะและลงคลองกนนำา”53
43
เกยวของกบหนวยงาน CERT อก 55 หนวยงาน กฎหมายทเกยวของ ไดแก พ.ร.บ. การสอสารและมลตมเดย 2541 พ.ร.บ. การคมครองขอมลสวนบคคล 2553 พ.ร.บ. อาชญากรรมคอมพวเตอร 254055
เมยนมา ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรของเมยนมา (MMCERT) และสมาพนธคอมพวเตอรเมยนมา (MCF) กำาลงทำางานรวมกนเพอปฏรปหนวยงาน CERT ของประเทศเพอปรบปรงความมนคงปลอดภยดานเทคโนโลยสารสนเทศ สภาไอซทสหรฐฯ-เมยนมา จดตงขนดวยรวมมอกบ USAID และกำาลงจดทำาแผนแหงชาต56
ฟลปปนส สำานกงานความมนคงทางเทคโนโลยสารสนเทศแหงชาตดแลการดำาเนนงานตามแผนความมนคงดานเทคโนโลยสารสนเทศป 2551 กฎหมายทเกยวของ ไดแก พ.ร.บ. ปองกนอาชญากรรมคอมพวเตอรป 2555 (RA 10175 - ยกเลกจนกวาจะมการเปลยนแปลง) พ.ร.บ. ความเปนสวนตวของขอมลป 2555 (RA 10173) พ.ร.บ. พาณชยอเลกทรอนกสป 2543 (RA 8792)57
สงคโปร มแผนแมบทดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศทยาวนาน ไดแก Infocomm Security Masterplan I (2548-2550), II (2551-2555), National Cyber Security Masterplan 2561 (NCSM2018) กฎหมายทเกยวของ ไดแก พ.ร.บ. การใชงานคอมพวเตอรโดยมชอบและความมนคงทางทางเทคโนโลยสารสนเทศ พ.ร.บ. ธรกรรมอเลกทรอนกส พ.ร.บ. การคมครองขอมลสวนบคคล ความมนคงปลอดภยทางคอมพวเตอรบนโลกไซเบอรมการประสานงานโดยสำานกเลขาธการประสานงานความมนคงแหงชาต ภายใตสำานกนายกรฐมนตร58
ไทย เนองจากสถานการณทางการเมองทผนผวนของประเทศไทย การ ทบทวน พ.ร.บ. วาดวยการกระทำาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 จงชะงกงน กฎหมายทเกยวของ ไดแก พ.ร.บ. คมครองผบรโภค 2545 ประมวลกฎหมายอาญามาตรา 269/1-7 พ.ร.บ. ธรกรรมทางอเลกทรอนกส
44 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ (Cyber Espionage)
การจารกรรมทางเทคโนโลยสารสนเทศ คอ การขโมยความลบทเกบในรปแบบ ดจทล ซงอาจอยบนคอมพวเตอรหรอในเครอขาย59 การโจมตเพอจารกรรมมทงใชวธทอาศยเทคโนโลยงาย ๆ และใชเทคโนโลยทซบซอน ตงแตการขโมยขอมลสวนบคคลไปจนถงความลบของประเทศ ในป 2556 บรษทดานความมนคงปลอดภยในแคลฟอรเนยใหขอมลทเปดเผยไดวามแฮกเกอรชาวจน เรมโจมตองคกร 141 แหงในอตสาหกรรม 20 ชนดทางเทคโนโลยสารสนเทศ เปาหมายมทงหนวยงานของรฐบาลและบรษทเอกชน ตงแตกระทรวงกลาโหมไปจนถงสำานกขาว New York Times เหตการณนทำาใหสหรฐฯ ฟองดำาเนนคดแฮกเกอรชาวจน 5 คน ซงเชอวาอย เบองหลงการขโมยความลบทางการคา
อกตวอยางหนงของการจารกรรมทางเทคโนโลยสารสนเทศในฟนแลนด มรายงานวารฐบาลตกเปนเหยอของการจารกรรมทางเทคโนโลยสารสนเทศมานาน โดยลกลอบเขาถงเอกสารนโยบายตางประเทศ เอกสารเหลานเชอกนวาทำาใหฟนแลนดพลาดทาในการเจรจาระหวางประเทศ60
2544 ประมวลกฎหมายแพงและพาณชย พ.ร.บ. การประกอบธรกจขอมลเครดต และ พ.ร.บ. คมครองขอมลสวนบคคล (ราง)
เวยดนาม ปจจบนกำาลงจดตงศนยเทคโนโลยเครอขายแหงชาต และมกฎหมายทเกยวของกบความมนคงปลอดภยทางเทคโนโลยสารสนเทศ 3 ฉบบ คอ กฎหมายดานโทรคมนาคม ดานเทคโนโลยสารสนเทศ และดานธรกรรมอเลกทรอนกส
45
รปท
5 ภย
คกคำ
มตอค
วำมม
นคงป
ลอดภ
ย ทำ
งเทค
โนโล
ยสำร
สนเท
ศและ
กำรจ
ำรกร
รมตอ
บคคล
หรอร
ฐ
ตวอย
าง 1
. การ
ใช W
iFi โ
ดยไม
ไดรบ
อนญ
าต
2. บ
ญช
Face
book
โดนแ
ฮก
3. เ
วบไซ
ต DB
S ปล
อม
'DB
Sonl
ine.
com
' (25
47)
4. ก
ลม A
nony
mou
s แก
ไข
เวบ
ไซตข
อง M
PAA
แ
ละกร
ะทรว
งกลา
โหม
(255
5)
5. W
ikile
aks
6. ก
ารโจ
รกรร
มขอม
ล Go
ogle
ประ
เทศจ
น (2
553)
'Goo
gle
Auro
ra'
7. ค
วามพ
ยายา
มขโม
ยเทค
โนโล
ยของ
Loc
khee
d M
artin
(255
4)
8. ป
ฏบตก
าร 'T
itan
Rain
' (25
46-2
551)
,
ไวร
ส 'F
lam
e' (2
552-
2555
)
9.
นตยส
าร 'I
nspi
re‘
10. ก
ารโจ
มตเอ
สโตเ
นย (2
550)
11. '
Stux
net'
(255
3)
12. ว
กฤตก
ารณ
ระหว
าง
รสเ
ซย-จ
อรเจ
ย (2
551)
ระดบ
ของ
เทคโ
นโลย
สง ตำ
ขอบเ
ขตเป
าหมา
ยระ
ดบบค
คลระ
ดบรฐ
การโ
จรกร
รมขอ
มลทา
งธรก
จ
‘กลม
นกเค
ลอนไ
หวแฮ
กเกอ
ร’(H
ackt
ivis
m)
การเ
ขาถง
โดย
ไมได
รบอน
ญาต
++
+
+บล
อกขอ
งกล
มหวร
นแรง
มลแว
รทเน
นเป
าหมา
ยเฉพ
าะ
การโ
จมตแ
บบ
DDO
S อย
างตอ
เนองกา
รโจม
ตเสร
มจา
กการ
ใชอา
วธกา
รจาร
กรรม
ขอมล
(ผ
รบเห
มา ง
านรฐ
บาล)
ภยคก
คาม
ตอเน
องขน
สง
การห
ลอกล
วงแบ
บ Ph
ishi
ng
การข
โมยข
อมล
สวนบ
คคล
‘แอบ
ใชฟ
ร’
อาชญ
ากรร
มคอม
พวเ
ตอร
การจ
ารกร
รมทา
งเทค
โนโล
ยสาร
สนเท
ศ+
ความ
ขดแย
งทาง
เทคโ
นโลย
สารส
นเทศ
46 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
Advanced Persistent Threats
Advanced Persistent Threats (APT) เปนภยคกคามประเภทใหม ทมกมงเนนการโจรกรรมทรพยสนทางปญญา ซงมเปาหมายแนชด มความตอเนอง รจกหลบซอน และใชเทคนคขนสง61
จากการสำารวจโดย ISACA ซงเปนองคกรเอนจโอดานการกำากบดแลไอทพบวา 67.6% ของผเชยวชาญดานความมนคงปลอดภยทตอบแบบสอบถาม คนเคยวา APT คออะไรและมองวาเปนภยคกคามรายแรงตอความมนคงของชาตและเศรษฐกจ แตอก 53.4% เชอวา APT ไมตางอะไรจากภยคกคามเดม ๆ 62 โปรแกรมสอดแนมตระกล NetTraveler ทเปนอนตรายไดเรมทำางานตงแตป 2547 แตไมคอยแสดงพฤตกรรมไมพงประสงค จนกระทงป 2553-2556 NetTraveler ถกใชโดยแฮกเกอร เพอเจาะระบบคอมพวเตอรสำาคญ ๆ กวา 350 เครองใน 40 ประเทศ ในป 2553 Google รายงานวาทางบรษทเองรวมทงบรษทอน ๆ หลายสบแหงตกเปนเหยอของการโจมตแบบ APT ซงมทมาจากประเทศจน และนำาไปสการจารกรรมทรพยสนทางปญญาจาก Google
47
มลแวร
มลแวร (Malware) คอ ซอฟตแวรทเจตนาสรางความเสยหายตอคอมพวเตอรหรอทำาใหระบบคอมพวเตอรใชงานไมได มกพบในซอฟตแวรทมลขสทธไมถกตอง โปรแกรมเหลานสรางโอกาสใหแฮกเกอรดวยการฝง โปรแกรมอนตรายลงในคอมพวเตอรเพอขโมยขอมลหรอบางครงเพอควบคมคอมพวเตอรประเภทของมลแวร ไดแก
• สปายแวร (Spyware) คอ ซอฟตแวรทตดตงตวเองลงในคอมพวเตอร และแอบรวบรวมขอมลเกยวกบการใชอนเทอรเนต รหสผาน ฯลฯ เชน สปายแวร iBryte สามารถตดตามพฤตกรรมการทองเวบ รวบรวมขอมลสวนบคคล แลวสงกลบไปใหผโจมต
• Tracking Cookies คอ ไฟลขอมลทเวบเบราวเซอรเกบในคอมพวเตอรของผใช ซงถกใชเพอตดตามกจกรรมทางออนไลนของผใช
• แอดแวร (Adware) คอ แพกเกจซอฟตแวรซงแสดงโฆษณาอตโนมตเพอสรางรายไดใหเจาของแอดแวร
• โทรจน (Trojan) คอ โปรแกรมหรอขอมลทดเหมอนไมมอนตราย แตซอนโคดโปรแกรมทมงรายหรอเปนอนตรายอยขางใน
• ไวรส (Virus) คอ โปรแกรมซอฟตแวรทสามารถจำาลองตวเองและมกกอใหเกดความเสยหายกบไฟลหรอโปรแกรมอนบนเครองคอมพวเตอร
• คยลอกเกอร (Keylogger) คอ โปรแกรมซงบนทกการกดแปนพมพบนคอมพวเตอร ขอมลทบนทกนอาจมรหสผาน ซงเกบไวเพอใหแฮกเกอรในภายหลง โปรแกรมดงกลาวนไมตองอาศยความรพเศษแตอยางใด
48 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
สามารถหาซอไดในราคา 25 เหรยญสหรฐ และสามารถใสในซอฟตแวรทไมมใบอนญาตการใชงาน
ปจจบนการสรางมลแวรมาถงจดสงสดของอตสาหกรรม โดยม มลแวรทสรางใหม ราว 250,000 ตว และแพรกระจายในเวบไซต 30,000 แหงในแตละวน รฐบาลสหรฐฯ จดอนดบใหความเสยงดานการรกษา ความมนคงปลอดภยทางเทคโนโลยสารสนเทศอยเหนอการโจมตโดยผกอการราย โดยเพมความระแวดระวงตอภยคกคามดานเทคโนโลยสารสนเทศ ทเตรยมการและประสานงานกนเปนอยางด
49
50 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
51
52 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทท5:แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ
ทกสงคมและทกรฐตางเสยงตอการถกโจมตผานทางเครอขายอนเทอรเนตมากขน เนองจากเครอขายทเชอมตอกนมมากขน การม ‘Internet of Things’ เชน คอมพวเตอร ตวเชอมตอ (sensor) รวมทง ขอมลปรมาณมากทสงผานอปกรณทเชอมตอดงกลาว
นกวเคราะหไดประเมนจดออนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศไวใน 3 ระดบ ดงน (1) การโจมตระดบสงตอโครงสรางพนฐานขอมลทสำาคญ (Critical Information Infrastructure) ซงอาจทำาใหกจการบางสวนของประเทศหยดชะงก และมกเกดขนโดยผกอการรายหรอการทำาสงครามทางเทคโนโลยสารสนเทศทม จดประสงคทางการเมอง (2) อาชญากรรมทางคอมพวเตอรทเรมตงแตการ จารกรรมขอมลในระดบภาคอตสาหกรรมไปจนถงการขโมยและการฉอโกงทาง การคา (3) การโจมตทพงเปาทบคคล เชน การฉอโกงทรพยและการขโมยขอมลตวตน
การโจมตระดบสงตอโครงสรางพนฐานขอมลทสำคญ (Critical Information Infrastructure)
อาชญากรรมคอมพวเตอรทพงเปาทหนวยงานภาคเอกชน (Industrial Cybercrime)
อาชญากรรมคอมพวเตอรทพงเปาทบคคล (Cybercrime Targeted on Individuals)
รปท 6 เปำหมำยของภยคกคำมทำงเทคโนโลยสำรสนเทศ
53
ท งน ท า งออกและกระบวนการตอบสนองตอภยคกคามดานเทคโนโลยสารสนเทศทดควรจดทำาในแบบองครวม ระบสถานการณสมมตตาง ๆ เพอพฒนากลยทธการรกษาความมนคงปลอดภยทแขงแกรง ซงมแผนดำาเนนการ 5 ขนเพอเสรมสรางความพรอม การเฝาระวง การตอบสนอง และการกคนเพอกลบสสถานการณเดมเมอตองเผชญกบภยคกคามและการโจมตทหลกเลยงไมได โดยสนบสนนการใชกลยทธแบบ “กอน ระหวาง และหลงเกดเหต” เนองจากเปนเรองสำาคญสำาหรบหนวย
งานของรฐในทกระดบ ตงแตการจดซอเทคโนโลยสารสนเทศ การดแลและ อปเกรดซอฟตแวร ไปจนถงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ฯลฯ เพอใหเกดความตระหนกรและตงมนทจะปกปองโครงสรางพนฐานและประชาชนจากภยคกคามทอนตรายทสดอยางหนงในโลกยคใหม
หนงสอฉบบนหวงจะใหคำาแนะนำาเกยวกบประเดนตาง ๆ ไดแก การระบชองโหววามอะไรบางและการกำาหนดระดบของความเสยง ยงมนยสำาคญมากแปลวายงมโอกาสตกเปนเปาไดมาก (ความเสยงประเภทท 1) แตไมจำาเปนวาจะตองจะถกโจมตไดงายขน (ความเสยงประเภทท 2) ระดบความสำาคญของเปาหมายยงนอยกอาจถกโจมตไดมากทสดเนองจากถกโจมตไดงาย การวางกลยทธตองคำานงถงอาชญากรรมคอมพวเตอรประเภท
รปท 7 องคประกอบของนโยบำยควำมมนคงปลอดภยทำงเทคโนโลยสำรสนเทศ
54 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
ตาง ๆ ทกระทำาโดยองคกรอาชญากรรมทตางกน การจารกรรมทางเทคโนโลยสารสนเทศ ในภาคอตสาหกรรมมความเรงดวนและมวธการทเฉพาะตว ผกอการรายและรฐบาลจะมงไปทเปาหมายทมมลคาสง เชน โครงสรางพนฐาน หรอหนวยงานทมความสำาคญตอสาธารณะมาก เชน บรการออนไลนภาครฐ ในขณะทเปาหมายซงเปนโครงสราง พนฐานทสำาคญเปนจดหลกทตองใหการรกษาความมนคงปลอดภยในระดบชาต
55
การสรางความตระหนกและการใหความรแกสาธารณะ
ความรบผดชอบในการรกษาความมนคงปลอดภยของอนเทอรเนตและเครอขายเปนหนาทของทก ภาคสวนในสงคม ทงนผใชเทคโนโลยสารสนเทศทกคนมสวนในการปองกนภยคกคามและการโจมตทางเทคโนโลยสารสนเทศ รวมไปถงการโจมตเครอขาย
และอปกรณตาง ๆ กระบวนการปองกน ควรเขมแขงพอทจะตอสกบภยคกคามและการโจมตทางไซเบอร ดวยความรวมมอระหวางภาครฐ ผบรโภค ธรกจขนาดกลางและยอม (SMB) ธรกจขนาดใหญ ผรบเหมา ผคาระบบรกษาความมนคงปลอดภย อตสาหกรรมเทคโนโลยสารสนเทศ และชมชนนกวจยความมนคงปลอดภยทางเทคโนโลยสารสนเทศ จะทำาใหเครอขายและเครองมอตาง ๆ เกดความมนคงปลอดภยเพยงพอทจะรบมอภยคกคามได
ในขณะทอาชญากรรมคอมพวเตอรทเกดขนจากการใชเทคโนโลยสารสนเทศ ชองโหวขององคกร ระบบเทคโนโลยสารสนเทศทใช และความผดพลาดของบคลากร ไดแก แนวปฏบตในการใชอนเทอรเนต การจดซอจดจางเทคโนโลยสารสนเทศ การนำาอปกรณสวนตวมาใชในททำางาน และการกำาหนดคณลกษณะเทคโนโลยสารสนเทศ ทงนการแกปญหา/กรอบการทำางานของการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศทไมไดครอบคลมประเดนเหลาน ทำาใหการลดความเสยงตออาชญากรรมทางคอมพวเตอรเปนไปไดยาก
รฐจงควรเรมดำาเนนการและใหทนสนบสนนโครงการทจะเพมความตระหนก ใหกบผมสวนไดสวนเสยในดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ดานแนวปฏบตดานเทคโนโลยสารสนเทศ และดานการบรหารความเสยง โดยเฉพาะอยางยงภายในหนวยงานของรฐ ทงในระดบประเทศและระดบทองถน การยกระดบความตระหนกนควรเนนเปนพเศษทการใชผลตภณฑซอฟตแวรและแอปพลเคชนทถกกฎหมาย เปนของแท และทนสมย รวมทงแนวปฏบตในการใชอนเทอรเนตทมนคงปลอดภย และการใชซอฟตแวรแอนตไวรสทเสรมการปองกนมลแวร โดยเฉพาะ
56 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
อยางยงในธรกจขนาดกลางและยอม ซงอาจตกเปนเหยอของอาชญากรรมทางเทคโนโลยสารสนเทศไดงายเนองจากขาดความใสใจตอความมนคงปลอดภยทางไซเบอรและมระบบเทคโนโลยสารสนเทศทไมมนคงปลอดภย
เจาหนาทฝายจดซอทดแลการจดซออปกรณและระบบเทคโนโลยสารสนเทศของรฐและผรบเหมาของหนวยงานรฐ ควรปฏบตตามกฎระเบยบและการตรวจสอบอยางเครงครดตามมาตรฐานของความมนคงปลอดภย ซงจะลดผลกระทบจากมลแวรและภยคกคามอน ๆ ทจะเขามาทางหวงโซอปทาน (Supply Chain) เทคโนโลยสารสนเทศ และทำาใหเครอขายของรฐและขอมลสาธารณะตกอยในอนตราย ดงนนจงควรมการกำาหนดแนวทางปฏบตทดในการจดซอ การดแลรกษาและอปเกรดซอฟตแวรทมลขสทธถกตอง และมการตรวจสอบเปนระยะเพอลดความเสยงทเกดขนจากการจดซอระบบเทคโนโลยสารสนเทศทไมมลขสทธ
โรงเรยนและมหาวทยาลยควรพฒนาหลกสตรทเพมเนอหาในเรองการใชเทคโนโลยสารสนเทศและความมนคงปลอดภยทางระบบเทคโนโลยสารสนเทศ ซงเปนขนตอนสำาคญในการใหความรแกเดกวยเรยนและวยรนใหรจกใชเทคโนโลยสารสนเทศอยางรบผดชอบและมนคงปลอดภย พรอมกนน ผมหนาทปฏบตงานระบบเทคโนโลยสารสนเทศทงภาครฐและภาคเอกชนควรไดรบการฝกอบรมระดบผเชยวชาญเพอบรหารจดการความเสยงทเกยวของกบงานทรบผดชอบ เชน ยทธศาสตรความมนคงปลอดภยทางไซเบอรของออสเตรยป 2556 ไดรวม “Human Sensor Program” ซงจดอบรมแกผดแลระบบเทคโนโลยสารสนเทศใหสงเกตสงทเกดขนเพอตรวจหาความผดปกตในระบบเทคโนโลยสารสนเทศและรายงานตอเจาหนาทความมนคงปลอดภย
57
คำาแนะนำา
• จดใหมโครงการใชเทคโนโลยสารสนเทศอยางมนคงปลอดภย (Cyber Wellness Program) สำาหรบประชาชน กลมธรกจขนาดใหญ กลาง และเลก
• จดฝกอบรมเรองการใชเทคโนโลยสารสนเทศอยางมนคงปลอดภย รวมทงการใชเครองมอแอนตไวรส ใหหนวยงานของรฐเปนประจำา
• มแนวปฏบตทเครงครดในการตรวจสอบผจำาหนายอปกรณและระบบเทคโนโลยสารสนเทศเพอใหมนใจวาระบบการจดซอมความนาเชอถอและมนคงปลอดภย เพอจะไดซอฟตแวรทมลขสทธถกตองและอปเดตใหทนสมยตลอดเวลา
• ปรบปรงโครงการสรางความตระหนกในเรองความมนคงปลอดภยทางเทคโนโลยสารสนเทศและจดฝกอบรมอยางสมำาเสมอ
• ปรบปรงและบรรจในหลกสตรระดบโรงเรยนและมหาวทยาลย เพอใหความรพนฐานในเรองการใชเทคโนโลยสารสนเทศและบรการออนไลน
58 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
แผนการเตรยมความพรอมในการจดการภยคกคาม
การเตรยมความพรอมเปนเรองสำาคญทหนวยงานของรฐตองรวมมออยางใกลชดและแลกเปลยนขอมลในระดบประเทศ ระดบภมภาค และระดบนานาชาต กระทรวงและผมหนาทควบคมกฎระเบยบ จำาเปนตองมสวนรวมในกระบวนการวางแผนกลยทธทาง
เทคโนโลยสารสนเทศระดบชาต เชน ในมอรเชยส กระทรวงสารสนเทศและการสอสาร โดยการสนบสนนจากธนาคารเพอการพฒนาแอฟรกาไดพฒนาแนวทางแบบองครวมทเปนแผนยทธศาสตรแหงชาตดานความมนคงทางเทคโนโลยสารสนเทศสำาหรบป 2550-2554 และมการปรบปรงสำาหรบป 2554-255763 จากนนมการจดตงหนวยปราบอาชญากรรมคอมพวเตอรของตำารวจในป 2543 และศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ในป 2551 แผนทจดทำาขนระบชดเจนวาตองเสรมความมนคงปลอดภยทางเทคโนโลยสารสนเทศดานใดบาง ซงถอเปนกาวแรกของการลดความเสยง นอกจากนไดมการวางโครงสรางกลไกความ รวมมอทจำาเปนระหวางหนวยงานตาง ๆ
การจดตง CERT เปนกาวสำาคญอกกาวหนง และเปนแนวปฏบตทดตอมาสำาหรบหลายประเทศ สงสำาคญคอทมเหลานตองบรณาการความรและความชำานาญจากหนวยงานตาง ๆ ของรฐ หวใจสำาคญคอการแบงปนขอมล/ขาวกรองอยางมประสทธผลและรวมมอกนโดยใชความสามารถทแตละหนวยมในการตอบสนองเหตการณอยางสอดคลองกน เชน US-CERT เปนทมปฏบตการตลอด 24 ชวโมงของกระทรวงความมนคงแหงมาตภม64 ในแอฟรกาตะวนออกมการจดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรในป 2551 ขององคกรประชาคมแอฟรกาตะวนออก (EACO) ซงประเทศสมาชก ไดแก บรนด เคนยา รวนดา แทนซาเนย และยกนดา โดยมภารกจคอการจดตง CERT แหงชาตในประเทศสมาชกแตละประเทศ
59
ผเชยวชาญปญหาอาชญากรรมคอมพวเตอรระดบชาตควรกระจายอยตามกระทรวงและหนวยงานตาง ๆ ททำาหนาทบงคบใชกฎหมาย ตลอดจนในภาคเอกชน บรษทดานความมนคงปลอดภย และบรษทโทรคมนาคม ดงนนจงเปนสงสำาคญทแผนกลยทธระดบชาตตองปรบวธแบงปนขอมลใหมประสทธภาพสงสด รวมทงทำาใหการตอบสนองตอขาวกรองดานภยคกคามดานเทคโนโลยสารสนเทศทนเหตการณ
คำาแนะนำา
• มแผนแหงชาตเรองความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เพอใหทกฝายทเกยวของในภาครฐมแนวทางในการดำาเนนงาน ทตรงกน
• มหนวยงานทรบผดชอบในการประสานความพรอมดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและมระเบยบขนตอนในการ ปองกนภย
• มหนวยงานเดยวทรบผดชอบในการประสานงานเพอการตอบสนองภยคกคามไซเบอรเมอเกดการโจมตระดบรฐ
• จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT)
• สรางหรอรวมเปนพนธมตรกบเครอขาย CERT เพอแบงปนขอมล/ขาวกรอง ฝกการระดมกำาลงและเผชญเหตการณจำาลองการโจมต
• ตดตอและเชอมโยงผใหบรการโครงสรางพนฐานทสำาคญ (สาธารณปโภค เชน พลงงาน นำา เครอขาย) เขาดวยกน เพอสรางความสมพนธท ราบรนและการตอบสนองทฉบไวระหวางถกโจมต
60 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
การปองกนระบบเครอขายจากภยคกคาม
เราสามารถปองกนการโจมตทางเทคโนโลยสารสนเทศไดดวยการปฏบตตามแนวปฏบตทด เชน การตดตง Firewall การใสใจกบการปรบปรงเรองความมนคงปลอดภยใหทนสมย ตรวจสอบการตดตงซอฟตแวรของผใชในองคกร ใชเครองมอตรวจจบมลแวร
ททนสมย และยดมนในหลกปฏบตและนโยบายดานความมนคงปลอดภย เชน เปดใชงานเฉพาะแอปพลเคชนในบญชรายชอซอฟตแวรทมนคงปลอดภย และเปดใช แอปพลเคชนดานความมนคงปลอดภยของเวบเบราวเซอรกเปนอกสวนหนงทสามารถชวยปองกนภยคกคามดานเทคโนโลยสารสนเทศได แตวธปองกนทดทสดคอใชแตซอฟตแวรทมลขสทธถกตองและเปนชดทเปนปจจบนทสด ซงหมายความวาการจดซอคอมพวเตอรและซอฟตแวรตองมาจากแหลงทนาเชอถอ ใชซอฟตแวรทมลขสทธถกตองและทำาตามขนตอนการลงทะเบยนเปดใชงานเพอรบประโยชนจากบรการชวยเหลอได
การจดซอทไมมคณภาพอาจนำามาซงมลแวรทไมพงประสงคหรอซอฟตแวรทลาสมยเขาสระบบได ซงเปนการกระทำาผดตอระบบการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศของหนวยงาน สำาหรบภาครฐ ซอฟตแวรทฝาฝนลขสทธและซอฟตแวรทไมพงประสงคอาจมาจากผจดจำาหนายโดยไมรตว อาจจะทำาใหเครอขายเวบไซตหรอคอมพวเตอรใชการหรอใหบรการไมได หรอเลวรายไปกวานน วธหนงในการรบมอคอ จดใหมมาตรฐานขนตำาของความมนคงปลอดภยทผคาหรอหนวยงานธรกจทขายสนคาใหกบหนวยงานของรฐตองปฏบตตาม รฐบาลองกฤษไดจดทำามาตรฐานความปลอดภย “cyber kite mark” ตามใบรบรอง ISO27001:2005 ซงคคาจำาเปนตองมเพอใชในการประมลงานของรฐ ยทธศาสตรความมนคงปลอดภยดานคอมพวเตอรแหงชาตของอนเดยสนบสนนใหใชผลตภณฑทางเทคโนโลยสารสนเทศทถกตองและผานการรบรอง รวมทงกำาหนดใหมการพฒนาแอปพลเคชนและซอฟตแวรทมนคงปลอดภยตามแนวทางปฏบตทดระดบสากล
61
ขอมลจาก BSA ระบวาการใชซอฟตแวรทมลขสทธไมถกตอง เพมโอกาสใหผใชตองเจอกบปญหามลแวรมากถงหนงในสามโดยเฉลย และเมอนำาอตราการใชซอฟตแวร ทมลขสทธไมถกตองมาคำานวนรวมดวยแลว ปรากฎวา หนวยงานภาครฐมโอกาสพบ มลแวรจากการตดตงซอฟตแวรในคอมพวเตอร 1 เครองจากทก ๆ 9 เครอง อยางไรกด การจดการกบปญหานสามารถทำาไดดวยขนตอนงาย ๆ แตเขมงวด การวจยพบวามพซ 5% เทานนทใช Windows รนปจจบน ผใชอยางนอย 40% ไมอปเดต ระบบของตนอยางสมำาเสมอแมจะไดรบคำาเตอนกตาม และม 25% ทขามขนตอนการ อปเดตซอฟตแวรอน ๆ ดวย ในหนวยงานของรฐมรายงานวา 10% ของผจดการและผบรหารดานเทคโนโลยสารสนเทศปดการอปเดตอตโนมต มราว 33% ทไมตรวจสอบเครองของผใชเพอหาซอฟตแวรทผใชตดตงเอง
การใชซอฟตแวรทถกตองตามลขสทธนนมประโยชนตอเศรษฐกจอยางมาก การใชซอฟตแวรทมลขสทธถกตองเพมขน 1% ในเอเชยแปซฟก จะเพมมลคาทางเศรษฐกจ 1.87 หมนลานเหรยญในภมภาค เมอเทยบกบการใชซอฟตแวรทมลขสทธไมถกตองทมมลคา 6 พนลานเหรยญ ซงความแตกตาง 1.27 หมนลานเหรยญนมนยสำาคญยง และการใชซอฟตแวรทมลขสทธการใชงานถกตองเพมขน 1% จะเพมมลคาเศรษฐกจโลกไดราว 7.3 หมนลานเหรยญ เมอเทยบกบมลคาการใชซอฟตแวรทมลขสทธไมถกตอง 2 หมนลานเหรยญ คดเปนความแตกตางมากถง 5.3 หมนลานเหรยญ
คำาแนะนำา:
• มนโยบายการจดซอ (เชน รายการผลตภณฑทมนคงปลอดภย) สำาหรบ ซอฟตแวร และมการปองกนมลแวรสำาหรบการจดซอของภาครฐ
• พฒนาแนวปฏบตทดในการจดซอสำาหรบภาคเอกชน ผใหบรการอนเทอรเนต กลมธรกจขนาดใหญ กลาง และเลก
• พฒนา จดทำา และบงคบใชมาตรฐานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบผจดจำาหนายผลตภณฑทางเทคโนโลยสารสนเทศใหภาครฐ รวมทงโครงการสำาคญระดบชาต
• พจารณาการใชงานบน Cloud ทระดบความมนคงปลอดภยสง
62 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
การตอบสนองตอภยคกคาม
แมจะมการปองกนอยางดเพยงใด กยงคงพบชองโหวใหถกใชโจมต CERT เปน กองกำาลงแนวหนา ทสามารถตอบสนองและปกปองเครอขายและโครงสรางพนฐาน เพอปองกนความเสยหาย และเพอใหการตอบสนองผทำาหนาทปองกนทงหลายมประสทธภาพมากขน CERT และหนวยงานท
เกยวของจงควรซอมรบมอภยคกคามเปนประจำา โดยมการฝกรวมและจำาลองเหตการณเพอทดสอบความสามารถในการรบมอภยคกคามระดบโลกในปจจบน
การดำาเนนการทงหลายเพอใหสอดคลองกน รฐควรมแนวนโยบายทางกฎหมายเพอใหรฐและผมบทบาททงหลายสามารถดำาเนนคดและเรยกรองการชดเชยจากการโจมตความมนคงปลอดภยทางเทคโนโลยสารสนเทศ กฎระเบยบควรสมดลระหวางการจงใจกบการบงคบเพอใหหนวยงานสามารถรบมอตอการโจมตและภยคกคามเมอเกดขน
สดทาย ควรตดตง ใชงาน และอปเดตซอฟตแวรทสามารถจดการมลแวรและ ภยคกคามอน ๆ เชน ยทธศาสตรความมนคงปลอดภยไซเบอรของรฐบาลองกฤษระบวาภยคกคามทวไปทางเทคโนโลยสารสนเทศสามารถปองกนไดดวย ‘แนวปฏบตการใชงานเทคโนโลยสารสนเทศอยางมนคงปลอดภย’ (cyber hygiene) โดยคาดวา 80% ของการโจมตททำาสำาเรจสามารถปองกนไดดวยแนวปฏบตทดแบบงาย ๆ เชน หมนอปเดตซอฟตแวรแอนตไวรส
63
คำาแนะนำา:
• จดตงแนวทางดานกฎหมายทงระดบประเทศ ระดบภมภาค และระดบสากลเพอเรยกรองคาเสยหายเมอถกโจมต
• พฒนาแนวทางปฏบตทด และมมาตรฐานในการอปเกรดและอปเดต ซอฟตแวรทใชในภาครฐ ทงนควรมกำาหนดแลวเสรจและสามารถใชไดจรงภายในระยะเวลาทกำาหนด
การลดผลกระทบอนเกดจากภยคกคาม
ผลกระทบทางเศรษฐกจและสงคมจากการโจมตทางเทคโนโลยสารสนเทศททำาสำาเรจนนอาจรายแรงมาก ในกรณดงกลาว มาตรการทเดดขาดเปนสงสำาคญเพอฟนฟความมนใจและสรางโครงสรางพนฐานทมนคงปลอดภยอกครง เชนเดยวกบการบรรเทาความเสยหายในระยะกลางและระยะยาว เชน การโจมต
สายการบนแหงชาตอาจทำาลายความเชอมนของสาธารณชนจนไมกลาใชบรการเปนเวลาหลายป ซงจะทำาใหอตสาหกรรมนเสยหายหนก การจดการสถานการณวกฤตทไดผลและยทธศาสตรการสอสารในยามวกฤต ตองเนนเรองการสรางความเชอมน และการมมาตรการชดเชยทชดเจน เปนสองปจจยสำาคญของการจดการดงกลาว
รฐบาลควรมและปฏบตตามกระบวนการสำาหรบการสบสวน การประเมน และการใหคำาปรกษา เพอตรวจหาจดออนของระบบ และเพอฟนฟความเชอมนควร รบฟงความเหนทงจากสาธารณชนและพนธมตร เพอพจารณาวากระบวนการปฏบต ทมเพยงพอหรอไม เพอจะไดปรบปรงการรบมอภยคกคามและการโจมตโดยรวม
64 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
คำาแนะนำา:
• จดตงทมดจทลฟอเรนสกส ซงจะทำางานรวมกบ CERT ภาคเอกชน และตำารวจ เพอสบสวนการโจมต
• พฒนาหรอเขารวมกบเครอขายความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐอนหรอองคกรระหวางประเทศอน เพอแลกเปลยนขอมล ขาวกรอง และสรางแนวรวม
จากลกษณะของภยคกคามและการโจมตในระดบโลก การเปนพนธมตรกบรฐบาลอนและองคกรระหวางประเทศนนคอชองทางทสำาคญในการแบงปนขอมลและสราง แนวรวมเพอตอสกบสงทจะเกดในอนาคต เวทสนทนา เชน Japan-US Cyber Dialogue เปนกจกรรมทสำาคญเพอแบงปนแนวปฏบต กรณศกษา และแนวทางทเปนประโยชนจากการแลกเปลยนประสบการณและความเชยวชาญ
65
รายการตรวจสอบส�หรบแผนความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ
รฐบาลควรพจารณาเรองดงตอไปน เมอสรางแผนความมนคงปลอดภยดานเทคโนโลยสารสนเทศของภาครฐ
1. การสรางความตระหนกและการใหความรแกสาธารณะ
1.1. เตรยมโปรแกรมสรางความตระหนก สำาหรบประชาชน กลมธรกจขนาดใหญ กลาง และเลก
1.2. จดฝกอบรมอยางสมำาเสมอในเรองการใชเทคโนโลยสารสนเทศแก เจาหนาทรฐ และการบงคบใช ซอฟตแวรทอปเกรดและมาจากแหลงท นาเชอถอ แนวทางการใชอนเทอรเนตอยางมนคงปลอดภย และการใช แอนตไวรสเพอปองกนมลแวร
1.3. มแนวปฏบตทเครงครดในการตรวจสอบผจำาหนายอปกรณและระบบเทคโนโลยสารสนเทศ เพอใหเปนไปตามมาตรฐานความมนคงปลอดภยดานตาง ๆ เชน ความมนคงปลอดภยของขอมลสาธารณะ และความมนคงของชาต
1.4. ปรบปรงหลกสตรการสรางความตระหนกในเรองความมนคงปลอดภยทางเทคโนโลยสารสนเทศและจดฝกอบรมอยางสมำาเสมอ
1.5. ปรบปรงและบรรจหลกสตรสรางความตระหนกในหลกสตรระดบโรงเรยนและมหาวทยาลย เพอเปนความรพนฐานในเรองการใชอนเทอรเนตและคอมพวเตอรอยางมนคงปลอดภย
66 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
2. การเตรยมความพรอมในการจดการภยคกคามยามวกฤต
2.1. มแผนเรองความมนคงปลอดภยทางทางเทคโนโลยสารสนเทศ ใหทกฝายทเกยวของ (ไอซท กฎหมาย ตำารวจ วทยาศาสตรและเทคโนโลย อตสาหกรรม) มแนวทางทตรงกน
2.2. มหนวยงานทรบผดชอบในการประสานเพอเตรยมความพรอมดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการปองกน
2.3. มหนวยงานเดยวทรบผดชอบในการประสานงานเพอจดการภยคกคามเมอเกดการโจมตระดบรฐ
2.4. จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT)
2.5. สรางหรอรวมเปนพนธมตรกบเครอขาย CERT เพอแบงปนขอมล/ขาวกรอง และการซอมรบมอภยคกคาม
2.6. ระบและตดตอผใหบรการโครงสรางพนฐานทสำาคญ (สาธารณปโภค เชน พลงงาน นำา เครอขาย) เพอสรางเครอขายประสานงานและตอบสนองทฉบไวเมอถกโจมต
3. การปองกนภยคกคาม
3.1. มนโยบายดานความมนคงปลอดภยสำาหรบการจดซอ เมอจดซอซอฟตแวรของแท ไดรบการอปเดต และจดซอแอนตไวรสทนาเชอถอเพอปองกนมลแวร
3.2. พฒนาแนวปฏบตทดในการจดซอสำาหรบภาคเอกชน ผใหบรการอนเทอรเนต กลมธรกจขนาดใหญ กลาง และเลก
67
3.3.พฒนา จดทำา และบงคบใชมาตรฐานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบผจดจำาหนายผลตภณฑทางเทคโนโลยสารสนเทศให ภาครฐ รวมทงโครงการสำาคญระดบชาต
3.4.พจารณาการใชงานบน Cloud เพอความมนคงปลอดภย
4. การตอบสนองตอภยคกคาม
4.1. จดตงแนวทางดานกฎหมายทงระดบประเทศ ระดบภมภาค และระดบสากลเพอเรยกรองการชดเชยหลงการโจมต
4.2. พฒนาแนวทางปฏบตทด มการกำาหนดระยะเวลาและมาตรฐานในการอปเกรดและอปเดตซอฟตแวรทใชในภาครฐเปนประจำา
5. การลดผลกระทบอนเกดจากภยคกคาม
5.1. จดตงทมดจทลฟอเรนสกส ซงจะทำางานรวมกบ CERT ภาคเอกชน และตำารวจ เพอสบสวนการโจมต
5.2. พฒนาหรอเขารวมกบเครอขายความมนคงดานเทคโนโลยสารสนเทศของรฐอนหรอองคกรระหวางประเทศอน เพอแลกเปลยนขอมล ขาวกรอง และสรางแนวรวม
68 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
บทสรป
แมการโจมตความมนคงปลอดภยทางคอมพวเตอรจะรนแรงและอาจสราง ความเสยหายรายแรงตอรฐและตอโครงสรางพนฐานทสำาคญ แตทรพยากรทประเทศใชเพอสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศยงถกกวาคาใชจายดานการทหารหรอการปองกนภยแบบเดมมากนก ความลงเลทจะเพมคาใชจายและทมเททรพยากรในดานนจะสงผลเสยตอความมนคงของประเทศ และเปนทมาของจดออนในยทธศาสตรการปองกนในภาพรวม บวกกบขอเทจจรงทวาการฟนตวจากการโจมตทางคอมพวเตอรมคาใชจายสงกวาการวางมาตรการทถกตองเพอปองกนไมใหเกดขนตงแตแรก ยงไปกวานน เรายงไมไดพจารณาถงผลกระทบทวดปรมาณไมได เชน การสญเสยความเชอมนตอรฐบาล และผลกระทบตอสงคมและอตสาหกรรมในระยะยาว
แมแตในประเทศทจดสรรทรพยากรจำานวนมากขนเพอความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ความมงมนดงกลาวยงเปนแคเศษเสยวของคาใชจายพนฐานทางทหาร เมออนเทอรเนตและการเชอมตอเครอขาย กลายเปนสอหลกในการทำางานของรฐและชองทางในการเชอมตอกบภาคอตสาหกรรมและสงคม จงจำาเปนอยางยงทนโยบายและมาตรการตองมาบรรจบกนในโลกของความเปนจรง
ปจจบนชาตอตสาหกรรมในโลกตะวนตกไดนำาหนาในเรองยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ซงเพงจะใหความสำาคญเมอ 2-3 ปทแลว65 และเนองจากลกษณะเฉพาะของภยคกคาม รฐบาลของชาตในเอเชยจงไมสามารถใชทางแกปญหาแบบเดยวกบโลกตะวนตก
การรบมอและลดความเสยหายจากภยคกคามดานเทคโนโลยสารสนเทศตอรฐถอเปนวาระเรงดวน และตองใชแนวทางของนโยบายความมนคงปลอดภยทางเทคโนโลยสารสนเทศแบบองครวมในภาครฐทงหมดเพอสรางศกยภาพ หวงวาดวยขอมล พนฐานทหนงสอฉบบนมใหเจาหนาทของรฐจากทกสวนทเกยวของกบเทคโนโลยสารสนเทศจะมความเขาใจทตรงกนถงภยคกคามทรฐบาลตองเผชญ ทงยงใหแผน
69
ดำาเนนการดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ รวมทงรายการตรวจสอบ (Checklist) ซงเจาหนาทของรฐสามารถใชประเมนความมนคงปลอดภยในองคกรของตน เพอระบไดวาความเสยงดานใดบางทตองจดการและตองการทรพยากรเพมเตม
70 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
รายการอางอง
1 www.dc.tw.ubm-us.com/i/149381/1
2 United Nations E-Government Survey 2012, “E-Government for the People”, unpan1.un.org/intradoc/groups/public/documents/un/unpan048065.pdf
3 WASEDA – IAC 10th International E-Government Ranking 2014
4 www.whitehouse.gov/sites/default/files/us_national_action_plan_final_2.pdf
5 www.egress.com/local-central-government/
6 http://bit.ly/1ovVd96
7 http://japandailypress.com/malware-identified-in-hacking-inci-dent-over-government-documents-0420850
8 http://www.alrc.gov.au/publications/6.%20The%20Privacy%20Act%3A%20Some%20Important%20Definitions/sensitive-information
9 http://www.secureit.com/resources/WP_Data_Class_and_Protect.pdf
10 http://globalnews.ca/news/1269168/900-sin-numbers-stolen-due-to-heartbleed-bug-canada-revenue-agency
71
11 www.straitstimes.com/news/singapore/more-singapore-stories/story/three-breached-singpass-accounts-used-apply-fraudulent-w
12 www.rimp.gov.ab.ca/publications/pdf/infosecurityclassification.pdf
13 www.records.ncdcr.gov/erecords/faq.html
14 www.computerweekly.com/news/2240170360/Departments-given-go-ahead-to-use-iPhones-for-sensitive-data
15 www.thejakartaglobe.com/international/across-asia-officials-e-mails-may-be-vulnerable/
16 www.computerweekly.com/news/2240170360/Departments-given-go-ahead-to-use-iPhones-for-sensitive-data
17 www.rt.com/usa/fbi-cyber-attack-threat-739/
18 http://www.reuters.com/article/2013/12/19/us-target-breach-idUS-BRE9BH1GX20131219
19 http://www.ft.com/intl/cms/s/0/7f9a2b26-3f74-11e4-984b-00144feabdc0.html#axzz3E2b6V9lG
20 http://www.reuters.com/article/2014/09/18/us-home-depot-dat-aprotection-idUSKBN0HD2J420140918
21 www.computerweekly.com/news/2240186339/Worldwide-gov-ernment-IT-spending-to-remain-flat-in-2013-says-Gartner
72 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
22 www.oversight.house.gov/release/video-why-the-waste-in-it-spending/
23 www.itnews.com.au/News/347092,govt-it-spending-to-outrank-world-average.aspx
24 http://www.computerweekly.com/news/2240186339/Worldwide-government-IT-spending-to-remain-flat-in-2013-says-Gartner
25 http://cio.co.nz/cio.nsf/news/new-zealand-bucks-flat-govern-ment-it-spending-trend
26 http://www.bloomberg.com/news/2013-06-18/gartner-revises-2013-government-it-spending-outlook-to-0-1-drop.html
27 http://www.idc.com/getdoc.jsp?containerId=prUS24298013
28 http://www.idc.com/getdoc.jsp?containerId=prUS24298013
29 http://www.informationweek.com/government/cyber-security/budget-bill-boosts-cyber-security-spending/d/d-id/1113494
30 http://www.nao.org.uk/wp-content/uploads/2013/03/Cyber-se-curity-Full-report.pdf
31 http://thediplomat.com/2014/06/india-scrambles-on-cyber-se-curity/
32 http://www.govtech.com/security/Seven-Cyber-security-Predic-tions-for-2013.html
73
33 http://www.zdnet.com/th/thailand-cyber-security-state-in-cri-sis-7000008126/
34 http://www.defensenews.com/article/20140224/DE-FREG04/302240015/UAE-Double-Security-Budget-Focus-Cyber
35 http://ovum.com/2012/02/28/the-shape-of-uk-public-sector-procurement-in-2012/
36 http://gcn.com/blogs/pulse/2013/06/gartner-mobile-big-data-advanced-targeted-attacks-shape-threat-landscape.aspx?admgarea=TC_SecCybersSec
37 http://www.futuregov.asia/articles/2013/may/02/glob-al-study-shows-low-understanding-new-security-/
38 http://www.guardian.co.uk/media-network/media-net-work-blog/2013/jun/06/cost-security-breach-business
39 http://www.telegraph.co.uk/technology/internet-securi-ty/10886640/Cyber-crime-costs-global-economy-445-bn-annually.html
40 http://www.v3.co.uk/v3-uk/news/2272215/government-touts-gbp10bn-savings-as-it-spending-streamlined
41 http://articles.timesofindia.indiatimes.com/2013-05-07/securi-ty/39089484_1_government-websites-cyber-security-nic
42 www.kaspersky.com/news?id=207576183
74 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
43 www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all&_r=0
44 www.americanbar.org/publications/law_practice_today_home/law_practice_today_archive/march12/network-risk-insurance-privacy-se-curity-exposures-and-solutions-for-law-firms.html
45 http://investigations.nbcnews.com/_news/2012/11/20/15313720-one-email-exposes-millions-of-people-to-data-theft-in-south-carolina-cyberattack
46 http://bgr.com/2014/05/27/ebay-hack-145-million-accounts-compromised/
47 http://data.gov.uk/dataset/information-security-breaches-survey
48 http://www.zdnet.com/ddos-attacks-rise-as-companies-fail-to-address-dns-security-7000025712/
49 http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
50 http://www.rappler.com/nation/29045-hackers-deface-philip-pine-government-sites-taiwan
51 http://gcn.com/blogs/cybereye/2013/05/how-hackers-turn-in-ternet-of-things-into-weapon.aspx
52 http://www.nytimes.com/2013/05/13/us/cyberat-tacks-on-rise-against-us-corporations.html?pagewanted=all&_r=0
75
53 http://www.theaustralian.com.au/australian-it/it-business/hack-ers-tap-into-local-essential-services/story-e6frganx-1226444141880
54 http://www.thejakartapost.com/news/2015/01/07/govt-set-na-tional-cyber-agency.html#sthash.f9OifJ51.dpuf
55 http://nitc.kkmm.gov.my/index.php/national-ict-policies/nation-al-cyber-security-policy-ncsp and http://asia.marsh.com/Portals/59/Documents/Cybercrime%20in%20Asia%20A%20Changing%20Regulato-ry%20Environment.pdf
56 http://elevenmyanmar.com/index.php?option=com_con-tent&view=article&id=3539:myanmar-to-reform-national-cyber-securi-ty-team&catid=44&Itemid=384 and http://photos.state.gov/libraries/burma/895/pdf/20141219USMyanmarICTCouncil.pdf
57 https://www.itu.int/ITU-D/asp/CMS/Events/2010/NGN-Philippines/S5-Philippines_cybersecurity.pdf
58 http://www.ida.gov.sg/Collaboration-and-Initiatives/Initiatives/Store/National-Cyber-Security-Masterplan-2018
59 http://lexicon.ft.com/Term?term=cyber-espionage
60 http://online.wsj.com/articles/finland-victim-of-long-term-cy-berespionage-1404309676
61 http://www.zdnet.com/microsoft-us-government-is-an-ad-vanced-persistent-threat-7000024019/
76 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
62 http://www.futuregov.asia/articles/2013/may/02/gloal-study-shows-low-understanding-new-security-/
63 www.gov.mu/portal/goc/telecomit/file/ICTplan.pdf
64 www.us-cert.gov/
65 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/na-tional-cyber-security-strategies-ncsss/national-cyber-security-strate-gies-in-the-world
77
78 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT
TRPC เปนบรษททปรกษาและวจยซงมประสบการณกวา 25 ปในอตสาหกรรมโทรคมนาคม เทคโนโลยสารสนเทศและการสอสารในเอเชยแปซฟก ซงใหบรการ คำาปรกษาเฉพาะดาน การวจยและบรการฝกอบรม โดยเนนประเดนดานกฎระเบยบและกลยทธทางธรกจ มเครอขายผเชยวชาญและมออาชพทางอตสาหกรรมทครอบคลมทวภมภาค
งานวจยของ TRPC เนนเรองเศรษฐกจของโทรคมนาคมและเทคโนโลยสารสนเทศ และประเดนเกยวกบนโยบายและกฎระเบยบทเกยวของกบการพฒนาโครงสราง พนฐานขอมลระดบชาต โดยมงทภมภาคเอเชยตะวนออกเฉยงใตและเอเชย ตะวนออก ทงประเทศทโครงสรางพนฐานดานไอซทพฒนาไปมากแลว เชน เกาหลใต ญปน ฮองกง และประเทศทโตเรวและอตสาหกรรมไอซทกำาลงมาแรง เชน อนโดนเซย เวยดนาม
http://www.trpc.biz
TRPC ขอขอบคณบรษท Microsoft ทสนบสนนการวจยทจำาเปนตอการศกษาน อยางไรกด TRPC ยงคงรบผดชอบแตผเดยวตอความถกตองของขอมลและความเหนทแสดงในรายงานน ซงไมไดเปนตวแทนความเหนของ Microsoft
79
80 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT