รับมือ 'ภัยไซเบอร์' กับความท้าทายด้านบุคลากร
"บุคลากร" ส่วนสำคัญของทางออกในการรับมือภัยไซเบอร์ แต่วันนี้ยังคงเป็นโจทย์สำคัญที่ต้องเร่งแก้ เนื่องจากไทยและทั่วโลกยังขาดแคลนบุคลากรอย่างหนักที่จะมารับมือกับภัยคุกคามนี้
โจทย์ใหญ่ของการรับมือกับภัยคุกคามทางไซเบอร์คือ “บุคลากร” ทั้งด้านความรู้ความสามารถในระดับต่างๆ และด้านจำนวนที่ยังมีไม่เพียงพอ จนถึงขั้นที่เรียกว่าขาดแคลนอย่างหนัก ซึ่งไม่ใช่เป็นปัญหาเฉพาะประเทศไทยเท่านั้น แต่เป็นปัญหาระดับโลกเลยทีเดียว
จากรายงานผลสำรวจทั่วโลกของ ISACA ปี 2563 พบว่ามีความก้าวหน้าเพียงเล็กน้อยกับการแก้ปัญหาความท้ายทายด้านกำลังคน ทั้งในด้านการสรรหาและด้านการรักษาพนักงานให้คงอยู่กับองค์กร (ซึ่งยากยิ่งกว่าการสรรหาเสียอีก)
ตัวอย่างเช่น องค์กรประมาณ 62% จัดตั้งทีมงานด้านความมั่นคงปลอดภัยไซเบอร์น้อยกว่าที่ควรจะเป็น และกว่า 52% ถึงแม้ว่าจะมีตำแหน่งงาน แต่ก็ไม่สามารถหาบุคลากรมาลงได้ ที่วิ่งสวนทางเลยคือจำนวนการโจมตีที่เพิ่มขึ้นและความสลับซับซ้อนที่ยากต่อการป้องกันและยากต่อตรวจจับก็สูงขึ้นด้วย สรุปความท้ายทายคือ 1.ภาระงานเยอะและยาก 2.กำลังคนไม่เพียงพอ และ 3.ความรู้ความชำนาญยังไม่ถึงขั้น
ทางออกในการแก้ปัญหานี้สำหรับประเทศไทยพอแยกได้เป็น 3 แนวทาง คือ
1.เพิ่มจำนวนบุคลากรและเสริมสร้างความรู้และทักษะให้เข้มแข็ง เป็นการแก้ปัญหาแบบกำปั้นทุบดิน ข่าวดีคือแทบจะทุกมหาวิทยาลัยของไทยทั้งระดับปริญญาโทและตรี เปิดหลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ อย่างไรก็ดี แนวทางนี้ต้องใช้เวลาและเงินลงทุนสูง ที่น่าจะต้องเสริมให้มากขึ้นคือการทำให้อาชีพนี้เป็นอาชีพในฝัน มีเกียรติยศมีศักดิ์ศรี เพราะเขาเหล่านั้นเป็นผู้ปกป้ององค์กร ปกป้องประเทศชาติจากภัยคุกคามทางไซเบอร์ และแน่นอนที่รายได้ต้องดีพอสมควร เพื่อชักจูงบุคลากรให้หันมาทำอาชีพนี้เพิ่มมากขึ้น
2.ใช้เทคโนโลยีการป้องกันแบบอัตโนมัติ เป็นแนวโน้มสำคัญของฝ่ายผู้ผลิตอุปกรณ์ ซอฟต์แวร์และเทคโนโลยีในการรับมือกับภัยคุกคามทางไซเบอร์ เช่น การนำระบบประสานการจัดการด้านความปลอดภัยและการตอบสนองแบบอัตโนมัติ (SOAR-Security Orchestration, Automation and Response) มาประยุกต์ใช้ เป็นต้น ทั้งนี้เพื่อช่วยลดภาระงานบางด้านลง เป็นการบรรเทาปัญหาการขาดแคลนบุคลากรลงไปได้บ้าง
อย่างไรก็ดี ระบบอัตโนมัติเหล่านี้ก็ยังจำเป็นต้องใช้คนในการทำงานอยู่ดี เพราะภัยคุกคามหรือแฮกเกอร์ที่เก่งกาจอาจหลุดรอดจากระบบอัตโนมัติเหล่านั้นได้ หรือเป็นกรณีที่พนักงานโดยขโมยอัตลักษณ์ (Identity) ทำให้แฮกเกอร์สวมรอยเข้ามาเป็น Insider ซึ่งระบบอัตโนมัติอาจจะเอาไม่อยู่
3.พึ่งพาผู้ชำนาญการจากภายนอก (Outsourcing) ในปัจจุบันประเทศไทยมีผู้ให้บริการด้านระบบการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่เรียกว่า MSSP-Managed Security Services Provider อยู่พอสมควร แน่นอนที่เราต้องเลือกผู้ให้บริการที่ (ควรจะ) มีทรัพยากรบุคคลที่มีความรู้ความชำนาญระดับสูงและมีความน่าเชื่อถือ โดยเฉพาะทีมงานไล่ล่า (Threat Hunter) อย่างไรก็ดี เรายังคงต้องมีทีมงานไซเบอร์คอยประสานงานร่วมด้วย และที่สำคัญอย่างยิ่งคือ การแก้ไขและกู้คืนฟื้นฟูระบบจากการถูกโจมตี ซึ่ง MSSP ส่วนใหญ่มักจะไม่ (สามารถ) ให้บริการ Recovery/Remediation นี้ เพราะมีความซับซ้อนสูงและต้องการคนที่รู้ระบบงานภายในองค์กรเป็นอย่างดีมาดำเนินการ
เราอาจจะสงสัยว่าฝ่ายป้องกันรับมือกับภัยคุกคามทางไซเบอร์มีปัญหาขาดแคลนบุคลากร แล้วฝ่ายโจมตีหรือพวกแฮกเกอร์หาคนจากไหนกัน เพราะฝั่งโจมตีก็ต้องใช้คนที่มีความรู้ความสามารถเช่นเดียวกัน อีกทั้งยังโชคร้ายที่มีเครื่องมือการเจาะระบบหลุดจากฝั่งป้องกันไปสู่ตลาดมืดซ้ำเติมเข้าไปอีก
ที่น่ากลัวที่สุดคือ กลุ่มนักรบไซเบอร์ (state-sponsored APT group) เพราะได้เงินทุนจากรัฐบาลสนับสนุนในการพัฒนาความรู้ความสามารถ ซึ่งบางส่วนอาจผันแปรตัวเองไปเป็นกลุ่มอาชญากรไซเบอร์ไป หรือการใช้ทรัพยากรร่วมกันของฝ่ายบุกรุก เช่น RaaS-Ransomware as a Service เป็นต้น ถือเป็นความท้ายทายของมนุษย์ที่คนเก่งๆ แต่ไปยืนอยู่ด้านมืดยังคงมีอยู่ตลอดเวลา
สำหรับการพัฒนาบุคลากรด้านความปลอดภัยไซเบอร์แบบครบวงจร หากเราไม่ต้องการสร้างวงล้อขึ้นมาใหม่ (do not reinvent the wheel) แล้ว เราก็สามารถนำ NICE Cybersecurity Workforce Framework (NIST Special Publication 800-181) มาใช้เป็นแนวทาง 1.สำหรับองค์กรผู้จ้างงาน 2.สำหรับพนักงานเอง 3.สำหรับสถานศึกษา สถานฝึกอบรม และ 4.สำหรับผู้ให้บริการ (ผู้ผลิต) เทคโนโลยีการป้องกันภัยไซเบอร์
เพื่อกำหนดคุณสมบัติเบื้องต้นของบุคลากร สรรหา พัฒนา และรักษาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสมกับบริบทต่างๆ ของหน่วยงานนั้นๆ ต่อไป เป็นการพัฒนาศักยภาพในการต่อสู้กับภัยคุกคามไซเบอร์ในทุกระดับอย่างเต็มความสามารถและอย่างยั่งยืน