นับถอยหลัง 16 เดือน เช็กบิลหน่วยงานรัฐทำมาตรฐานความปลอดภัยคลาวด์

และการจากนโยบายของภาครัฐที่ยังคงเดินหน้านโยบายการใช้คลาวด์เป็นหลัก (Cloud First Policy)
อย่างต่อเนื่อง โดยนโยบายดังกล่าวได้รับการออกแบบมาเพื่อผลักดันและรวบรวมการใช้งานเทคโนโลยีระบบคลาวด์ในหน่วยงานภาครัฐทุกหน่วยงานอย่างเป็นระบบ เพื่อสนับสนุนการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัล หรือการทำดิจิทัลทรานส์ฟอร์เมชั่นแห่งชาติ (Nation’s Digital Transformation) ให้เกิดผลสัมฤทธิ์อย่างเป็นรูปธรรม ซึ่งในเดือนมิถุนายน พ.ศ. 2567 ที่ผ่านมา คณะรัฐมนตรีได้มีมติเห็นชอบให้จัดตั้ง คณะกรรมการนโยบายคลาวด์เฟิร์ส (Cloud-First Policy Committee) ขึ้น โดยมีหน้าที่กำกับดูแลและขับเคลื่อนการเปลี่ยนผ่านดังกล่าวไปสู่การเป็นรัฐบาลดิจิทัลอย่างเต็มรูปแบบ 

“ความร่วมมือกับพาโลฯ ครั้งนี้ เป็นการตอกย้ำความมุ่งมั่นของ สกมช. ในการสร้างอนาคตดิจิทัลที่ปลอดภัยยิ่งขึ้นให้กับประเทศไทย และเป็นการดำเนินการตอบรับกับมาตรฐานความปลอดภัยไซเบอร์ที่เปลี่ยนแปลงไป หน่วยงานภาครัฐจะได้รับความรู้และความเชี่ยวชาญที่จำเป็นในการรับมือกับภัยคุกคามใหม่ ๆ และสามารถปฏิบัติตามกฎระเบียบที่กำลังจะมีผลบังคับใช้ได้”

นายปิยะ จิตต์นิมิตร ผู้จัดการประจำประเทศไทย พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า “ความร่วมมือกับ สกมช. ในครั้งนี้ ถือเป็นก้าวสำคัญในการสร้างโครงสร้างพื้นฐานทางดิจิทัลที่ปลอดภัยและมีความยืดหยุ่นยิ่งขึ้นสำหรับประเทศไทย นโยบายการใช้คลาวด์เป็นหลัก (Cloud First Policy) ถือเป็นอีกหนึ่งก้าวสำคัญ ของการนำระบบคลาวด์มาใช้ทั่วโลก รวมถึงประเทศไทยด้วย โครงการคลาวด์เฟิร์สสะท้อนให้เห็นถึงการพึ่งพาบริการคลาวด์ที่เพิ่มมากขึ้น ทั้งในส่วนของการจัดเก็บข้อมูล และภาคบริการของรัฐบาล เมื่อการใช้งานคลาวด์เติบโตขึ้น โดยเฉพาะในยุคของ AI การรักษาความปลอดภัยให้กับสภาพแวดล้อมเหล่านี้จึงมีความสำคัญ พาโล อัลโต้ เน็ตเวิร์กส์ มุ่งมั่นในการสนับสนุนนโยบายคลาวด์เฟิร์สอย่างเต็มที่ ด้วยโซลูชั่นด้านความปลอดภัยบนคลาวด์ที่แข็งแกร่งและครอบคลุม เพื่อให้องค์กรต่าง ๆ สามารถเดินหน้าสู่การเปลี่ยนผ่านครั้งนี้ได้อย่างมั่นใจ”

กรอบความร่วมมือในครั้งนี้ครอบคลุมประเด็นหลัก 4 ด้าน ดังต่อไปนี้

1.การดำเนินงานและการปฏิบัติตามกรอบความมั่นคงปลอดภัยคลาวด์แห่งชาติ (National Cloud Security Framework) มีการนำโซลูชั่นด้านความมั่นคงปลอดภัยบนระบบคลาวด์มาใช้งานให้สอดคล้องกับมาตรฐานความมั่นคงปลอดภัยบนคลาวด์แห่งชาติ (พ.ศ. 2567) ควบคู่กับการจัดตั้งศูนย์ความเป็นเลิศด้านคลาวด์ (Cloud Center of Excellence-Cloud COE) เพื่อส่งเสริมและพัฒนาแนวทางปฏิบัติที่เป็นเลิศด้านความมั่นคงปลอดภัยบนคลาวด์ (Cloud Security Best Practices) นอกจากนี้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และบริษัท พาโล อัลโต้ เน็ตเวิร์กส์ มีแผนจัดกิจกรรมเชิงปฏิบัติการด้านความมั่นคงปลอดภัยบนคลาวด์สำหรับหน่วยงานภาครัฐ เพื่อยกระดับความรู้ ความเข้าใจ และศักยภาพในการดำเนินงานด้านดังกล่าวอย่างเป็นระบบ

2.ความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามข้อบังคับ พาโล อัลโต้ เน็ตเวิร์กส์ จะดำเนินการประเมินระดับความมั่นคงปลอดภัยไซเบอร์ (Security Posture Assessments-SPA) ให้แก่หน่วยงานภาครัฐและภาคเอกชน เพื่อวิเคราะห์ความเสี่ยงและปรับปรุงมาตรการด้านความมั่นคงปลอดภัยบนระบบคลาวด์ให้มีประสิทธิภาพยิ่งขึ้น ทั้งนี้ บริษัท และ สกมช. จะร่วมกันประเมินความพร้อมในการปฏิบัติตามมาตรฐานและข้อกำหนด (Cloud Compliance Readiness Assessment) เพื่อสนับสนุนให้องค์กรต่าง ๆ สามารถปฏิบัติตามข้อบังคับของภาครัฐได้อย่างครบถ้วน และส่งเสริมความสอดคล้องกับกฎระเบียบที่เกี่ยวข้องในทุกภาคอุตสาหกรรม

3.การฝึกอบรมและพัฒนาศักยภาพให้กับบุคลากร ดำเนินการจัดกิจกรรมเวิร์กช็อปเพื่อถ่ายทอดองค์ความรู้และเสริมสร้างทักษะด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้เชี่ยวชาญจากหลากหลายภาคส่วน รวมถึงการฝึกอบรมเฉพาะทางสำหรับเจ้าหน้าที่ภาครัฐ และผู้ปฏิบัติงานที่รับผิดชอบการดูแลระบบคลาวด์โดยตรง พร้อมกันนี้จะมีการพัฒนาโครงการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness Program) สำหรับบุคลากรทั้งในภาครัฐ และภาคเอกชน เพื่อส่งเสริมวัฒนธรรมด้านความมั่นคงปลอดภัยในระดับองค์กรอย่างยั่งยืน

4.ความร่วมมือด้านความปลอดภัยทางไซเบอร์ระหว่างภาครัฐและเอกชน ความร่วมมือในครั้งนี้มีเป้าหมายเพื่อเสริมสร้างความร่วมมือระหว่างภาครัฐและภาคเอกชนให้มีความใกล้ชิดและเข้มแข็งยิ่งขึ้น โดยมุ่งหวังที่จะผลักดันให้เกิดแนวคิดริเริ่มใหม่ ๆ ที่จะสนับสนุนการพัฒนา ด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยให้มีความพร้อมรับมือกับภัยคุกคามในยุคดิจิทัลอย่างรอบด้านและยั่งยืน

เข้าสู่ยุคการรักษาความปลอดภัยบนคลาวด์ในยุค AI

การใช้ Generative AI เข้ามาช่วยงานช่วยเร่งการพัฒนาซอฟต์แวร์ และทำให้การส่งมอบซอฟต์แวร์
เสร็จเร็วขึ้น ซึ่งทำให้เกิดความตึงเครียดในการรักษาความปลอดภัยไซเบอร์บนคลาวด์ องค์กรต่าง ๆ ต้องเข้าใจว่าการที่ AI สร้างซอฟต์แวร์ขึ้นมา แต่ไม่ได้หมายความว่าซอฟต์แวร์นั้นจะปลอดภัย องค์กรต่าง ๆ พึ่งพาโอเพ่นซอร์ซของเธิร์ดพาร์ตี้ (Third Party) จำนวนมากสำหรับการเขียนโค้ดที่ขับเคลื่อนด้วย AI

แต่กลับไม่ได้ดูในรายละเอียดว่า LLM หรือ Large Language Model นั้น ได้รับการฝึกฝนจากแหล่งไหน และมีความปลอดภัยหรือไม่ GenAI ช่วยให้สามารถพัฒนาได้เร็วขึ้นและมีประสิทธิภาพ แต่ก็มีความเสี่ยงมากเช่นเดียวกันในช่วงเริ่มต้นของโค้ดที่สร้างโดย AI การนำ AI มาใช้จะสร้างข้อมูลจำนวนมหาศาลที่องค์กรส่วนใหญ่ยังไม่มีแผนป้องกัน ข้อมูลและ AI ทำงานควบคู่กัน องค์กรต่าง ๆ จำเป็นต้องกำหนดว่าจะป้องกันข้อมูลที่มีความสำคัญอย่างไร ไม่ว่าข้อมูลเหล่านั้น จะอยู่ที่ใด องค์กรต่าง ๆ ต้องสามารถตอบคำถาม 3 ข้อนี้ได้ ได้แก่

1. มีข้อมูลใดบ้างที่จะเก็บไว้บนคลาวด์

2. บุคคลใดหรือกลุ่มใดบ้างในองค์กรที่สามารถเรียกใช้ข้อมูลที่สำคัญที่สุดได้

3. องค์กรจะป้องกันไม่ให้ข้อมูลสำคัญรั่วไหลออกไปได้อย่างไร

คำถามสำคัญ คือ การใช้ข้อมูลที่มีอยู่ การเรียกใช้งาน และการปกป้องข้อมูลบนสภาพแวดล้อมคลาวด์จะต้องได้รับการแก้ไข

แนวทางด้านความปลอดภัยบนคลาวด์ในปี 2568

เพื่อปกป้องสภาพแวดล้อมคลาวด์อย่างมีประสิทธิภาพ ในปี 2568 พาโล อัลโต้ เน็ตเวิร์กส์ ให้คำแนะนำ 5 ข้อสำคัญ ดังนี้

1.การใช้แพลตฟอร์มแบบรวมศูนย์ (Platformization) เพื่อเร่งการทำงาน ประสานงานอย่างเป็นระบบ และลดความซับซ้อน การใช้แพลตฟอร์มบริหารจัดการด้านความปลอดภัยแบบรวมศูนย์ (Centralized Security Management Platform) ช่วยให้สามารถดูแลความปลอดภัยตั้งแต่ต้นทางถึงปลายทาง (End to End) ทั้งแอปพลิเคชั่นและข้อมูล เพิ่มประสิทธิภาพในการตรวจสอบ ควบคุม และทำงานอัตโนมัติในสถาปัตยกรรมคลาวด์ที่หลากหลาย

2.การรักษาความปลอดภัยในการนำ AI มาใช้งาน (Securing AI Adoption) เมื่อการพัฒนาซอฟต์แวร์ถูกเร่งด้วย AI ย่อมก่อให้เกิดความเสี่ยงใหม่ ๆ เช่น การกำหนดค่าที่ผิดพลาด (Misconfiguration), ต้องวางมาตรการควบคุมการใช้ AI อย่างรัดกุม รวมถึงปกป้องห่วงโซ่อุปทานซอฟต์แวร์ (software supply chains) และรักษาความปลอดภัยสภาพแวดล้อมในการพัฒนาโปรแกรม (secure development environment)

3.การรักษาความปลอดภัยข้อมูลด้วยระบบอัจฉริยะ (Intelligent Data Security) การเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบข้อมูลมีความจำเป็นในการปกป้องข้อมูลสำคัญ การค้นหาและการจำแนกข้อมูลโดยอัตโนมัติควบคู่ไปกับการนำระบบบริหารจัดการความปลอดภัยของข้อมูล หรือ Data Security Posture Management (DSPM) จะช่วยให้สามารถจัดการข้อมูลปริมาณมากได้อย่างมีประสิทธิภาพ

4.การปรับกระบวนการ DevOps ให้มีประสิทธิภาพ (Streamlining DevOps Pipelines) การลดคอขวดในกระบวนการ DevOps โดยแนวคิด “Secure by Design” มาใช้ตั้งแต่ขั้นตอนการออกแบบ จะช่วยให้การพัฒนาแอปพลิเคชั่นดำเนินไปได้อย่างปลอดภัยและต่อเนื่อง

5.การสร้างวัฒนธรรม DevSecOps (Building a DevSecOps Culture) การส่งเสริมความร่วมมือระหว่างทีมพัฒนา (Dev) และทีมความปลอดภัย (Sec) จะช่วยให้องค์กรสามารถปกป้องผลลัพธ์ทางธุรกิจได้อย่างรอบด้าน

​