สตง.สหรัฐอเมริกากับการพัฒนาการตรวจสอบความปลอดภัยทางไซเบอร์ (Cybersecurity Audit)

สุทธิ สุนทรานุรักษ์

เมื่อวันที่ 15 มิถุนายน 2567 ผู้เขียนเจอแก๊งค์ Call Center โทรมาวุ่นวายกับชีวิตโดยใช้วิธีการโอนเงินเข้าบัญชีผู้เขียน จำนวน 50 บาท และโทรมาบอกว่าโอนผิดบัญชี ขอให้โอนกลับ

ผู้เขียนตัดสายทิ้งและรู้แล้วว่าเป็นมิจฉาชีพ หลังจากนั้นคนกลุ่มนี้ระดมโทรหาผู้เขียนอย่างบ้าคลั่ง สลับกันเปลี่ยนเบอร์ พร้อมส่งข้อความทางไลน์มาคุกคาม แถมพยายามขอเป็นเพื่อนทาง Facebook

ผู้เขียนตัดสินใจแจ้งความที่สถานีตำรวจ เพื่อลงบันทึกประจำวันไว้เป็นหลักฐาน…ระหว่างที่คุยกับคุณตำรวจได้บอกว่าช่วงเดือนที่ผ่านมา มีคนมาแจ้งความลักษณะนี้ทุกวัน ส่วนใหญ่ผู้เสียหายเป็นผู้สูงอายุ

ผู้เขียนคิดว่าภัยลักษณะนี้เป็นภัยคุกคามความมั่นคงทั้งทางเศรษฐกิจและสังคมที่ร้ายแรงมากแล้ว

วันนี้คงต้องช่วยกันสื่อสารความรู้ที่มีประโยชน์ “คนละไม้คนละมือ” เพื่อป้องกันมารสังคมเหล่านี้ไม่ให้มีช่องทางทำร้ายสุจริตชน

ในฐานะผู้ตรวจสอบภาครัฐ ผู้เขียน พบว่า บทบาทขององค์กรตรวจเงินแผ่นดินในต่างประเทศเริ่มสนใจตรวจสอบประเด็น Cybersecurity มากขึ้น

ปัจจุบัน สตง.สหรัฐอเมริกา (GAO) ให้ความสำคัญกับการตรวจสอบเรื่อง Cybersecurity…ล่าสุดเมื่อปีกลาย(2023) GAO เพิ่งเผยแพร่คู่มือการตรวจสอบ Cybersecurity ออกมา เรียกว่า The GAO Cybersecurity Program Audit Guide ชื่อย่อ คือ CPAG

เหตุผลที่ GAO สนใจเรื่องความปลอดภัยทางไซเบอร์

GAO ตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์มานานแล้ว โดยเริ่มแรกระบุให้ “ความปลอดภัยทางข้อมูล” เป็นจุดที่มีความเสี่ยงสูงของรัฐบาลสหรัฐตั้งแต่ปี 1997 ซึ่ง GAO จัดให้เป็น High Risk Area

ในศตวรรษที่ 21 เราจะเห็นว่าข้อมูลต่าง ๆ ถูกเชื่อมต่อผ่านระบบเพิ่มขึ้นเรื่อย ๆ ขณะที่เทคนิคการโจมตีทางไซเบอร์ (Cyber Attack) มีความซับซ้อนมากขึ้นเช่นกัน

…จนกระทั่งวันนี้ Cyber Attack ได้กลายเป็นภัยคุกคามที่ทุกประเทศกังวล

ความเร่งด่วนในการจัดการกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นทำให้ GAO พัฒนา “คู่มือการตรวจสอบโปรแกรมความปลอดภัยทางไซเบอร์” (Cybersecurity Program Audit Guide หรือ CPAG) ขึ้นมา

เป้าหมาย CPAG เพื่อใช้เป็นเครื่องมือให้ผู้วิเคราะห์ระบบและผู้ตรวจสอบประเมินโปรแกรมและระบบความปลอดภัยทางไซเบอร์ของหน่วยงานต่าง ๆ โดยระบุจุดอ่อนและพัฒนาข้อเสนอแนะในการแก้ไขที่เหมาะสม

CPAG ยังช่วยลดความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้น โดย CPAG เน้นไปที่การจัดการความท้าทายหลัก ๆ ด้านความปลอดภัยทางไซเบอร์ 4 ประการ และออกแบบตัวอย่างคำถามที่ผู้ตรวจสอบควรพิจารณาในการประเมินความเสี่ยง

ผู้เขียนขออนุญาตสรุปสั้น ๆ ดังนี้

ความท้าทายหลักด้านความปลอดภัยทางไซเบอร์ของหน่วยงานรัฐ

หน่วยงานรัฐมีชุดข้อมูลทุกอย่างของประชาชนและภาคธุรกิจ ดังนั้น ข้อมูลจึงมีค่าราว”ทองคำ” ในยุค Data Driven อย่างไรก็ดี คำถาม คือ หน่วยงานรัฐจัดการข้อมูลเหล่านี้ได้ปลอดภัยมากน้อยเพียงใด

ความท้าทายหลัก 4 ด้านนี้ GAO นำมาใช้เป็น Criteria ในการตรวจสอบเรื่อง Cybersecurity กล่าวคือ

1. หน่วยรับตรวจจัดทำกลยุทธ์ความปลอดภัยทางไซเบอร์ที่ครอบคลุมและกำกับดูแลได้อย่างมีประสิทธิภาพหรือไม่ อย่างไร

2. หน่วยรับตรวจรักษาความปลอดภัยของระบบและข้อมูลที่ตัวเองกุมอยู่ได้ดีหรือไม่ อย่างไร

3. หน่วยรับตรวจปกป้องโครงสร้างพื้นฐานที่สำคัญทางไซเบอร์ได้หรือไม่

4. หน่วยรับตรวจต้องปกป้องความเป็นส่วนตัวและข้อมูลที่สำคัญ

…เฉพาะประเด็นสุดท้าย ผู้เขียนมีคำถามตัวโต ๆ ถึงหน่วยงานรัฐที่ดูแลเรื่องข้อมูลความเป็นส่วนตัวของประชาชน …เพราะสองปีมานี้ พวกเราคนไทยทุกคนดูเหมือนมีความเสี่ยงที่จะถูกปล้น” กลางโทรศัพท์” จากเหล่ามิจฉาชีพได้ตลอดเวลา

ตัวอย่างคำถามการประเมินความเสี่ยงที่ผู้ตรวจสอบอาจพิจารณา

การประเมินความเสี่ยงนับเป็นขั้นตอนสำคัญที่ผู้ตรวจสอบต้องดำเนินการเพื่อระบุความเสี่ยงต่าง ๆ ที่อาจมีผลกระทบต่อระบบและข้อมูลขององค์กร

GAO วางกรอบคำถามที่ผู้ตรวจสอบอาจพิจารณามีดังนี้

1. การระบุความเสี่ยงและภัยคุกคาม:

2. การประเมินผลกระทบและความเป็นไปได้:

3. การจัดการช่องโหว่:

4. การตอบสนองต่อความเสี่ยง:

– หน่วยรับตรวจพิจารณาแนวทางการตอบสนองต่อความเสี่ยง (เช่น การยอมรับ, การลดทอน, การหลีกเลี่ยง) และมีการระบุลำดับความสำคัญในการตอบสนองหรือไม่?

5. การติดตามและการเฝ้าระวัง:

กล่าวโดยสรุป GAO นำ CPAG มาใช้เป็นแนวทางการตรวจสอบเรื่อง Cybersecurity เพื่อช่วยให้หน่วยงานสามารถจัดการกับความท้าทายหลักด้านความปลอดภัยทางไซเบอร์ และประเมินความเสี่ยงต่าง ๆ ได้อย่างมีประสิทธิภาพ ส่งผลให้สามารถปรับปรุงความปลอดภัยทางไซเบอร์ขององค์กรได้อย่างต่อเนื่อง

กล่าวมาถึงตรงนี้ ทำให้อดคิดไม่ได้ว่า ข้อมูลเราที่อยู่ในระบบพร้อมเพย์นั้นปลอดภัยจริงหรือไม่ อย่างไร