ไคเซ็นกับการป้องกันภัยคุกคามทางไซเบอร์ | ทนุสิทธิ์ สกุณวัฒน์
ในการต่อสู้กับภัยไซเบอร์ฝั่งเราจะต้องสมบูรณ์แบบ พลาดไม่ได้แม้แต่ก้าวเดียว ส่วนฝั่งแฮกเกอร์สามารถทดลองหาช่องโจมตีเจาะระบบเราไปได้เรื่อย ๆ ขอเพียงสักหนึ่งครั้งที่ทำสำเร็จ สามารถหลุดเข้ามาในระบบเราได้แล้ว แฮกเกอร์ก็จะสามารถสร้างความเสียหายให้กับเราได้
คำถามคือในโลกยุคปัจจุบันที่ระบบเทคโนโลยีสารสนเทศมีความซับซ้อน ช่องทางที่แฮกเกอร์โจมตี (attack surface) มีมากมาย แถมเหล่าบรรดาแฮกเกอร์ก็มีความเก่งกาจยิ่ง อีกทั้งการโจมตีด้วย social engineering ไปที่มนุษย์อันเป็นจุดอ่อนที่สุดก็มักประสบผลสำเร็จเสมอ
แล้วเราจะสร้างระบบป้องกันภัยไซเบอร์ที่สมบูรณ์แบบได้จริงหรือไม่ ปรัชญาไคเซ็น (KAIZEN, continuous improvement) คือการปรับปรุงอย่างต่อเนื่อง จะสามารถทำให้เราขยับเข้าไกล้เป้าหมายในการเสริมสร้างความแข็งแกร่งในการป้องกันภัยไซเบอร์ได้หรือไม่ อย่างไร
ไคเซ็น เป็นศัพท์ภาษาญี่ปุ่นมาจาก 2 คำคือ Kai แปลว่าการเปลี่ยนแปลง ส่วน Zen แปลว่า ดี ไคเซ็นจึงมีความหมายว่า “การเปลี่ยนแปลงที่ดี” หรือเป็น “การปรับปรุงอย่างต่อเนื่อง” นั่นเอง
หลาย ๆ องค์กรโดยเฉพาะระบบการผลิตมีการใช้ไคเซ็นกับกระบวนการทำงานและด้านอื่น ๆ ขององค์กรให้มีประสิทธิภาพ ประสิทธิผลเพิ่มขึ้นอยู่แล้ว
การนำไคเซ็นมาประยุกต์ใช้กับการป้องกันภัยไซเบอร์ก็น่าจะทำให้มีความแข็งแกร่งเพิ่มขึ้น และลดความเสี่ยงได้เช่นเดียวกัน โดยเฉพาะหลักคิดของไคเซ็นที่สนับสุนให้ “พนักงานทุกคน” มีส่วนร่วมในการปรับปรุงสิ่งที่ตัวเองรับผิดชอบให้ดีขึ้นทุกวัน วันละเล็กน้อย
หลักปรัชญาไคเซ็นข้างต้นสอดคล้องกับหลักคิด "subtle nudges” การสะกิดเบา ๆ ผ่านกระบวนการสร้างการตระหนักรู้และการเรียนรู้อย่างสม่ำเสมอ
เพื่อสร้างวัฒนธรรมองค์กรด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Security Culture) ที่สามารถลดความเสี่ยงจากการถูกโจมตีด้วย social engineering
นอกจากนี้ไคเซ็นยังจะสามารถนำไปใช้กับด้านอื่น ๆ เช่น การปรับปรุงแนวปฏิบัติที่ดีที่สุดของการป้องกันภัยไซเบอร์ (CIS Control) ให้เข้มข้นยิ่งขึ้น
และด้านสุดท้ายคือนำไปใช้กับการปรับปรุงด้านเทคโนโลยีการป้องกันภัยไซเบอร์ อันเป็นการปรับปรุงคลอบคลุมทั้ง 3 ด้านหลัก คือ คน กระบวนการ และเทคโนโลยี (People, Process, & Technology) นั่นเอง
ในปัจจุบันเราเน้นหลักการ secure by design โดยแนวทาง Zero Trust ที่จอห์น คินเดอร์เวค สมัยทำงานอยู่ที่ Forrester Research ได้นำเสนอแนวคิดดังกล่าวไว้ตั้งแต่ปี พ.ศ. 2553
หลักการคร่าว ๆ ของ Zero Trust ก็คือจะไม่ไว้วางใจในสิ่งใด และจะต้องมีการตรวจสอบเสมอ (Never Trust, Always Verify)
ดังนั้น ผู้ใช้งานระบบทุกคน ไม่ว่าจะเชื่อมต่อจากภายในหรือภายนอกโครงข่ายสื่อสารขององค์กร จะต้องได้รับการระบุตัวตนที่ถูกต้อง มีการตรวจสอบสิทธิการเข้าถึงและสิทธิการใช้งานระบบ และมีตรวจสอบค่าความปลอดภัยและระดับความเสี่ยงทุกครั้งก่อนจะเปิดให้ใช้งานระบบตามสิทธิที่มีอยู่ได้
ทั้งนี้การปรับปรุงระบบแบบดังเดิมมาเป็นแนวทาง Zero Trust ด้วยวิธีการของไคเซ็นดูเหมือนจะสอดคล้องและเข้ากับได้ดี หากดูจากเอกสารของ NIST SP 800-207 Zero Trust Architecture ที่ให้แนวทางในการปรับไปสู่ Zero Trust ไว้ว่า
“การปรับไปสู่ Zero Trust Architecture, ZTA เป็นเสมือนการเดินทางมากกว่าการปรับเปลี่ยนโครงสร้างพื้นฐานและกระบวนการทั้งหมดในทันทีเพียงครั้งเดียว
องค์กรควรหาวิธีค่อย ๆ ดำเนินการเพิ่มเติมเป็นลำดับสำหรับหลักการ Zero Trust การปรับเปลี่ยนกระบวนการ และการหาเทคโนโลยีที่เหมาะสม เพื่อให้สามารถป้องกันสินทรัพย์ข้อมูล (Data Assets) ที่มีมูลค่าสูงสุดเป็นลำดับแรก
โดยองค์กรส่วนใหญ่อาจจะมีระบบผสมผสานระหว่าง ZTA กับระบบเดิมไปสักช่วงเวลาหนึ่ง และมีแผนการลงทุนปรับระบบเทคโนโลยีสารสนเทศให้ทันสมัย (IT Modernization) เป็นแกนความคิดริเริ่มหลัก ทั้งนี้แผนงานที่วางไว้ควรจะเป็นลักษณะทีละเล็กทีละน้อย (small scale workflow migrations)”
หวังว่าบทความนี้ที่ใช้ความคิดแบบผสมผสานศาสตร์ต่าง ๆ ตามแนวทาง “พหุวิทยาการ (Multidisciplinary Concept)” เพื่อให้บรรลุเป้าหมายขององค์กรในโลกยุค VUCA/BANI ในปัจจุบัน อาจจะเป็นจุดเริ่มต้นให้ท่านได้ศึกษาลงรายละเอียดในประเด็นสำคัญ ๆ เพิ่มเติมในลำดับต่อไป
ด้วยปรัชญาของไคเซ็น เมื่อนำมาประยุกต์ใช้กับความมั่นคงปลอดภัยทางไซเบอร์ให้เป็นส่วนหนึ่งของการทำงานของทุกคน ทำให้การทำงานกลายเป็นแบบเชิงรุกในการลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ให้ต่ำลง
หากท่านลองค้นหาคำว่า Kaizen & Cybersecurity ก็อาจจะแปลกใจที่เรื่องราวให้ติดตามอยู่ไม่น้อย