‘กลาโหมสหรัฐ’ ปรับมาตรฐาน ‘ความปลอดภัย’ ไซเบอร์ครั้งใหญ่
ต้องยอมรับว่าประเทศยักษ์ใหญ่อย่างสหรัฐตกเป็นเป้าหมายในการโจมตีทางไซเบอร์ทั้งภาครัฐและเอกชนอย่างต่อเนื่อง
หลายองค์กร “รอด” เพราะมีระบบการตรวจจับและการป้องกันที่รัดกุม แต่ก็มีองค์กรอีกจำนวนไม่น้อยที่ต้องตกเป็นเหยื่อในรูปแบบต่างๆ ไม่ว่าจะเป็น แรนซัมแวร์ ฟิชชิง มัลแวร์ เป็นต้น
ล่าสุดกระทรวงกลาโหมสหรัฐฯ จัดให้มีการประเมินเกี่ยวกับการป้องกันความปลอดภัยทางไซเบอร์ของผู้รับเหมาที่ดำเนินงานให้กับทางกระทรวงผ่านโปรแกรม Cybersecurity Maturity Model Certification (CMMC) เวอร์ชันล่าสุด
เพื่อตรวจสอบผู้รับเหมาหลายพันรายที่ติดต่อกับทางหน่วยงานและทำให้เกิดความสอดคล้องในมาตรการการป้องกันที่มีอยู่สำหรับข้อมูลสัญญาของรัฐบาลกลาง (FCI) และข้อมูลที่ไม่ได้จัดประเภทภายในรัฐบาลกลาง (CUI) นอกจากนี้ยังเป็นการปกป้องข้อมูลนั้นๆ ให้อยู่ในระดับที่เท่ากับความเสี่ยงจากภัยคุกคามความปลอดภัยทางไซเบอร์
รัฐบาลสหรัฐฯ เปิดตัว CMMC เวอร์ชันแรกประกอบด้วย มาตรฐานความปลอดภัยทางไซเบอร์ขั้นสูง 5 ระดับในเดือนมกราคม 2020 ซึ่งเป็นช่วงเวลาไม่นานหลังจากการโจมตีห่วงโซ่อุปทานของ SolarWinds ซึ่งส่งผลกระทบต่อผู้รับเหมาด้านการป้องกันของรัฐบาลกลางเกือบ 40 ราย
โดย CMMC จะทำหน้าที่ควบคุมหน่วยงานหรือบุคคลที่ทำให้ข้อมูลหรือระบบของสหรัฐฯ ตกอยู่ในความเสี่ยงโดยการจงใจบิดเบือนแนวทางปฏิบัติหรือโปรโตคอลด้านความปลอดภัยทางไซเบอร์ หรือจงใจละเมิดภาระผูกพันในการตรวจสอบและการละเมิดความปลอดภัยทางไซเบอร์
และต่อมามีการอัพเดทเวอร์ชัน 2.0 ในเดือนพ.ย. 2564 ที่ลดกฎเหลือ 3 ระดับเพื่อปรับปรุงและลดความซับซ้อนของกระบวนการสำหรับธุรกิจขนาดเล็กและขนาดกลาง (SME)
ในช่วงปลายปี 2566 ยังมีการเสนอแก้ไขกฎซึ่งเปลี่ยนแปลงสาระสำคัญเกี่ยวกับระดับและประเภทของการประเมินที่แตกต่างจากสถานะที่กำหนดไว้เพื่อช่วยให้ผู้รับเหมาของกระทรวงกลาโหมสามารถประเมินการปฏิบัติตามข้อกำหนดด้วยตนเองได้และเพิ่มความมั่นใจให้กับกระทรวงว่า ผู้รับเหมาด้านการป้องกันสามารถปกป้อง FCI และ CUI ได้อย่างเพียงพอและสอดคล้องกับความเสี่ยง โดยแบ่งเป็น
- ระดับ 1 เป็นการประเมินตนเองสำหรับการป้องกันขั้นพื้นฐานของ FCI
- ระดับ 2 ต้องการการคุ้มครองทั่วไปของ CUI ผ่านการประเมินโดยบุคคลที่สามหรือการประเมินตนเองที่ CMMC ระดับ 2
- ระดับ 3 ต้องการการปกป้อง CUI ในระดับที่สูงกว่าความเสี่ยงจากภัยคุกคามถาวรขั้นสูง (APT Advanced Persistent Threat) ผ่านการประเมินโดยศูนย์ประเมินความปลอดภัยทางไซเบอร์ทางด้านอุตสาหกรรมกลาโหม
สำหรับประเทศไทย ปัญหาการโจมตีห่วงโซอุปทานเกิดขึ้นอย่างต่อเนื่อง เนื่องจากองค์กรไม่มีกฏเกณฑ์ในการเชื่อมต่อที่ถูกต้องและเหมาะสม อีกทั้งในบางองค์กรมีการเชื่อมต่อ API ที่ไม่ได้มาตรฐานและไม่มีหน่วยงานกลางเข้ามาควบคุมดูแลอย่างเข้มงวด
โดยเฉพาะหน่วยงานราชการที่มีการเชื่อมต่ออุปกรณ์กันเอง จะต้องระมัดระวังมากเป็นพิเศษเพราะไม่มีทีมตัวกลางที่ดูแลความปลอดภัยทางไซเบอร์ให้เหมือนอย่างในสหรัฐฯ ที่มีพัฒนาและอัพเดทเวอร์ชั่นทุกๆ ปี
อย่างไรก็ตาม หน่วยงานความมั่นคงของไทยก็เริ่มจัดตั้งศูนย์ไซเบอร์ของกองทัพขึ้นมาแล้ว ผมก็หวังว่าศูนย์ไซเบอร์นี้จะมีการเชื่อมต่อทุกภาคส่วน
โดยเฉพาะอย่างยิ่งระบบโครงสร้างพื้นฐานที่สำคัญของประเทศ และต้องสร้างความตระหนักรู้ให้กับเจ้าหน้าที่ได้ทราบถึงความเสี่ยงและอันตรายจากการถูกโจมตีทางไซเบอร์ครับ