2015-02-25 09:45:28

ETDA ระดมสมอง ทางออกของจรรยาบรรณเจาะช่องโหว่ระบบไอที ผิด ไม่ผิด?

เมื่อวันที่ 21 กุมภาพันธ์ 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center จับมือ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) ชวนกูรูด้านความปลอดภัยไซเบอร์ นักวิชาการ และผู้แทนภาคธุรกิจ ร่วมถกประเด็น “การตรวจสอบช่องโหว่ระบบสารสนเทศ ควร/ไม่ควร ผิด หรือ/ไม่ผิด” กูรูไซเบอร์ชี้ทำได้ไม่มีความผิด  แต่ทั้งนี้ต้องอยู่บนเงื่อนไขของการกระทำและเจตนา  ด้านภาคธุรกิจชูการตรวจสอบภายในองค์กร อุดช่องโหว่ระบบได้ดี ทุกฝ่ายเห็นพ้องควรมีคนกลางรับเรื่อง

ผู้ร่วมพูดคุยจากภาครัฐและเอกชนในวันนี้ ล้วนเป็นกูรูสาย Cybersecurity ทั้งจากสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) นำโดย พ.ต.อ.ญาณพล ยั่งยืน นายกสมาคม TISA พร้อมด้วย นายปริญญา หอมเอนก กรรมการสมาคม TISA นอกจากนี้ยังมีกูรูหนุ่มไฟแรง ดร.ภูมิ ภูมิรัตน นักวิชาการอิสระ อดีตอาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ทางด้านผู้กำกับดูแลในภาคธนาคารคือ นายวิษณุ ชวนเกษม จากธนาคารแห่งประเทศไทย รวมถึงมีตัวแทนจากภาคธนาคาร ดร.กิตติ โฆษะวิสุทธิ์ จากธนาคารกรุงเทพ จำกัด (มหาชน) นางสาวภรณี หรูวรรธนะ จากธนาคารกสิกรไทย และตัวแทนจากภาคโทรคมนาคม ได้แก่ นายภิญโญ ตรีเพชราภรณ์ จากบริษัท ดีลอยท์ ทู้ช โธมัทสุ ไชยยศ ที่ปรึกษา จำกัด โดยมีสองกูรูไซเบอร์นายนรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล และ นายสุรชัย ฉัตรเฉลิมพันธุ์ รับหน้าที่ผู้ดำเนินรายการ

ในเรื่องการตรวจสอบช่องโหว่ระบบสารสนเทศของผู้อื่นนั้น ในภาคธุรกิจส่วนใหญ่มีความเห็นว่าไม่สามารถทำได้โดยพลการ ต้องมีการยินยอมจากผู้ที่ได้รับการตรวจ และต้องมีระบบตรวจสอบที่ดีบนภารกิจที่ชัดเจน โดยมีการกำหนดขอบเขต กำหนดเป้าหมาย และทำความเข้าใจเบื้องต้นร่วมกันก่อน ทั้งตัวผู้ที่ขอตรวจสอบและตัวผู้ได้รับการตรวจสอบ แต่ด้านผู้เชี่ยวชาญ Cyber Security และนักวิชาการเห็นว่า ทุกคนสามารถตรวจสอบช่องโหว่ได้ หากทำไปเพื่อปกป้องความปลอดภัยของตนเองหรือกระทำไปโดยมิได้มีเจตนาร้ายต่อระบบ อย่างไรก็ตามพบว่ามีหลายกรณีที่แจ้งเข้ามาเพื่อเรียกค่าใช้จ่ายจากเจ้าของระบบ รวมถึงบางครั้งเป็นการแจ้งข้อมูลเท็จอีกด้วย ดังนั้น การ Scan Port ตามแนวทางการทำงานทั่ว ๆ ไปนั้น ไม่น่าจะผิด แต่ทั้งนี้ ต้องดูเจตนาและพฤติการณ์ในการเข้าถึงระบบ ด้านภาคธนาคารชูการป้องกันและสร้างระบบตรวจสอบภายในองค์กร ด้วยการสร้างวัฒนธรรมองค์กรให้บุคลากรตระหนักรู้ว่าต้องแจ้งเรื่องทันทีหากพบสิ่งผิดปกติของระบบ ที่อาจนำมาซึ่งภัยคุกคามต่อองค์กร

สำหรับภัยคุกคามด้านไซเบอร์ถือเป็นภัยรายวันที่ไม่อาจหลีกเลี่ยงได้ในยุคปัจจุบัน การแก้ปัญหาอย่างมีประสิทธิภาพต้องเริ่มที่ต้นเหตุ คือ อุดช่องโหว่ของระบบให้ปลอดภัยที่สุด สำหรับกรณีที่ผู้ใช้บริการพบช่องโหว่ของผู้ให้บริการ ควรแจ้งให้ผู้ดูแลระบบนั้น ๆ ทราบ พร้อมกำหนดระยะเวลาในการแก้ไข หากไม่มีการแก้ไขจะต้องดำเนินการแจ้งให้หน่วยงานที่เกี่ยวข้องและน่าเชื่อถือดูแลต่อไป ทั้งนี้ภาคธุรกิจควรกำกับดูแลภายในรวมถึงเปิดช่องทางรับแจ้งในระดับองค์กรเพื่อแก้ไขปัญหาอย่างทันท่วงที ส่วนผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ เห็นพ้องควรมีหน่วยงานกลางสำหรับรับแจ้งในระดับของรัฐ เพื่อสนับสนุนการดำเนินงานให้ความช่วยเหลือ อีกทั้งช่วยหาทางเพิ่มการป้องกัน  

ผู้ร่วมพูดคุยในเวที  Open Forum ของ ICT Law Center ครั้งนี้ อยากเสนอให้ผู้มีส่วนได้เสีย ไม่ว่าจะเป็นกลุ่มวิชาชีพหรือภาคธุรกิจ มารวมตัวกัน เพื่อแชร์ข้อมูลและประสบการณ์ จนเกิดเป็นความร่วมมือระหว่างภาคเอกชนกับภาครัฐ เพื่อรับมือ Cyber Attack ที่รุนแรง และน่าจะเป็นกลไกหนึ่งที่เพิ่มเติมในร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ที่กำลังพิจารณาอยู่ในชั้นกฤษฎีกา

นางสุรางคณา วายุภาพ ผู้อำนวยการ ETDA ในฐานะหน่วยงานกลางน้อมรับแนวคิดในการผนึกความร่วมมือของกลุ่มวิชาชีพ กลุ่มภาคธุรกิจ และสมาคมต่าง ๆ เพื่อเป็นการแบ่งปันข้อมูล ประสบการณ์ รวมถึงเป็นกลไกในการประสานความร่วมมือกับภาครัฐเมื่อเกิดการจู่โจมทางไซเบอร์ที่รุนแรง พร้อมรับเป็นตัวแทนหารือเกี่ยวกับแนวความร่วมมือดังกล่าวกับสำนักงานเลขานุการคณะกรรมการร่วม 3 สถาบันภาคเอกชน (สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย และสมาคมธนาคารไทย) และทุกองค์กรที่กำกับดูแล เพื่อประสานการทำงานร่วมกัน โดยได้ฝากทิ้งท้ายถึงความสำคัญในการสร้างการเรียนรู้ร่วมกัน และการสร้างวัฒนธรรมด้าน Security ให้แทรกอยู่ในทุกคนและทุกหน่วยงานทั้งรัฐและเอกชน  รวมทั้งข้อควรปฏิบัติเมื่อเกิดเหตุการณ์หรือมีความผิดปกติต้องดำเนินการอย่างไร เช่น การรายงานเหตุการณ์ ขอบเขตของการรายงานควรจำกัดแต่ไหน เพียงใด รวมทั้งการแชร์ข้อมูลระหว่างกันเมื่อพบช่องโหว่และร่วมกันแก้ไขปัญหากันก่อน เพื่อลดภาระของหน่วยงานของรัฐและเป็นการขจัดความระแวงที่ประชาชนมีต่อรัฐด้วย

 

สำหรับผู้ที่สนใจประเด็นต่าง ๆ ในแวดวงเศรษฐกิจดิจิทัล สามารถติดตามความเคลื่อนไหวได้ทาง http://www.etda.or.th และhttp://ictlawcenter.etda.or.th

ข่าวที่เกี่ยวข้อง

ICT LAW CENTER  ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.

    * ท่านมีความพึงพอใจในช่องทางการเข้าถึงข้อมูลเกี่ยวกับร่างกฎหมาย/คู่มือ/แนวปฏิบัติ ที่ สพธอ. จัดเตรียมไว้ มากน้อยเพียงใด