อธิปไตยไซเบอร์ – เรากำลังถูกคุกคามอยู่หรือไม่

อธิปไตยไซเบอร์เป็นประเด็นที่ CIO และเหล่าผู้บริหารขององค์กรเริ่มให้ความสนใจเป็นอย่างมาก โดยเฉพาะเมื่อธุรกิจก้าวสู่ยุคการทำ Cloud Transformation ข้อมูล แอปพลิเคชัน และการปฏิบัติงานด้านไซเบอร์ต่างย้ายไปอยู่บน Cloud มากขึ้น เราจะมั่นใจได้อย่างไรว่าองค์กรจะสามารถควบคุมอธิปไตยไซเบอร์ขอตนเองได้และจะไม่ถูกรุกล้ำ พบคำตอบได้ในบทความนี้

อธิปไตยไซเบอร์คืออะไร

World Economic Forum ให้คำจำกัดความของ อธิปไตยไซเบอร์ (Digital Sovereignty) ไว้ว่า “การมีความสามารถในการกำหนดชะตากรรมด้านดิจิทัลด้วยตัวของเราเอง ไม่ว่าจะเป็นข้อมูล ฮาร์ดแวร์ หรือซอฟต์แวร์ที่เราสร้างหรือใช้งานอยู่”

อธิปไตยไซเบอร์เป็นปัญหาระดับไหน ส่งผลกระทบต่อองค์กรอย่างไร

กล่าวได้ว่า อธิปไตยไซเบอร์เป็นปัญหาระดับชาติ World Economic Forum ประมาณการไว้ว่า มากกว่า 92% ของข้อมูลในโลกตะวันตกถูกเก็บไว้ในเซิร์ฟเวอร์ที่บริษัทจากสหรัฐฯ เป็นผู้ถือครอง ความกังวลที่จะถูกต่างชาติรุกล้ำข้อมูลภายในทำให้สหภาพยุโรปต้องออกกฎหมาย GDPR มาควบคุมความเป็นส่วนบุคคล อย่างไรก็ตาม ความกังวลเรื่องอธิปไตยไซเบอร์นี้ได้ทะลุถึงขีดสุดเมื่อเกิดกรณี Schrems II ขึ้นในปี 2020 ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินให้ EU-US Privacy Shield ซึ่งเป็นมาตรฐานที่บริษัทข้ามชาติใช้รับส่งข้อมูลระหว่างสหภาพยุโรปและสหรัฐฯ อย่างมั่นคงปลอดภัยเป็นโมฆะ เนื่องจากเสี่ยงถูกกฎหมายด้านความมั่นคงของสหรัฐฯ เปิดช่องให้องค์กรและหน่วยงานรัฐสามารถเข้าถึงข้อมูลเหล่านั้นได้ ก่อให้เกิดการรุกล้ำอธิปไตยไซเบอร์ของสหภาพยุโรปและขัดต่อ GDPR คาดการณ์ว่ากรณี Schrems II นี้ส่งผลกระทบมากกว่า 5,000 องค์กรและการค้าระหว่างภูมิภาคที่ทำรายได้ต่อปีสูงถึง 43 ล้านล้านบาท

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับกรณี Schrems II ได้ที่นี่

เมื่อเข้าสู่ยุคของ Cloud อธิปไตยไซเบอร์จึงกลายเป็นประเด็นร้อนสำหรับเหล่า CIO ที่ต้องวางกลยุทธ์ การกำกับดูแล และการบริหารจัดการความเสี่ยง ความท้าทายด้านอธิปไตยไซเบอร์ไม่ใช่แค่เรื่องสถานที่ในการจัดเก็บข้อมูลเพียงอย่างเดียว แต่รวมไปถึงเรื่องที่ใครจะมีสิทธิ์เข้าถึงข้อมูลเหล่านั้นได้บ้าง และจะเข้าถึงข้อมูลอย่างถูกกฎหมายอย่างไร เนื่องจากแม้จะอยู่นอกสหภาพยุโรป แต่การเข้าถึงข้อมูลส่วนบุคคลก็ต้องปฏิบัติตามกฎหมาย GDPR เช่นกัน ด้วยเหตุนี้ บริษัทจำเป็นต้องระบุและนำมาตรการเสริมที่จำเป็นเข้ามาใช้เพื่อปกป้องข้อมูลตามอำนาจอธิปไตยในระดับเดียวกับประเทศต้นทาง อย่างไรก็ตาม การสร้างอธิปไตยไซเบอร์บน Cloud นั้นเป็นเรื่องที่พูดง่ายแต่ทำยาก สาเหตุมาจากการที่องค์กรส่วนใหม่นิยมใช้บริการบุคคลที่ 3 ในการจัดเก็บและวิเคราะห์ข้อมูลเพื่อสร้างความได้เปรียบให้ธุรกิจของตน ซึ่งข้อมูลเหล่านั้นมักเป็นข้อมูลที่ต้องได้รับการคุ้มครองตามกฎหมาย

ข้อมูล ซอฟต์แวร์ และการปฏิบัติงานไซเบอร์ – 3 องค์ประกอบหลักของอธิปไตยไซเบอร์

การสร้างอธิปไตยไซเบอร์บน Cloud ประกอบด้วย 3 ส่วนหลัก คือ ข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์

1. อธิปไตยของข้อมูล

อธิปไตยของข้อมูล คือ การรักษามาตรการควบคุมทางด้านการเข้ารหัสและการเข้าถึงข้อมูลให้ดำเนินต่อไปได้ เพื่อให้มั่นใจว่าข้อมูลสำคัญจะไม่ตกไปอยู่ในมือบุคคลภายนอกที่ไม่ได้ขออนุญาต ซึ่งนำไปสู่การละเมิดกฎระเบียบและข้อบังคับขององค์กร

2. อธิปไตยของซอฟต์แวร์

อธิปไตยของซอฟต์แวร์ คือ การรัน Workload โดยไม่ต้องยึดติดกับซอฟต์แวร์ของผู้ให้บริการ ทำให้องค์กรมีอิสระในการจัดเก็บและรัน Workload ที่ไหนก็ได้ตามความต้องการ ช่วยให้ได้ประสิทธิภาพ ความยืดหยุ่น และความทนทานถึงขีดสุด

3. อธิปไตยของการปฏิบัติงานด้านไซเบอร์

อธิปไตยของการปฏิบัติงานด้านไซเบอร์ คือ การทำให้องค์กรสามารถติดตามและควบคุมการปฏิบัติงานต่างๆ ของผู้ให้บริการได้ เพื่อให้มั่นใจว่าผู้ไม่ประสงดีหรือโปรเซสแปลกปลอมไม่สามารถเข้าถึง หรือขัดขวางไม่ให้องค์กรเข้าถึงข้อมูลอันมีค่าขององค์กรได้ กรณีที่พบบ่อย คือ การเข้าถึงข้อมูลโดยผู้ที่ได้รับสิทธิ์สูงเกินความจำเป็นหรือการถูก Ransomware โจมตี

แนวทางสู่อธิปไตยไซเบอร์บน Cloud ต้องยึดตามความเสี่ยง

การยึดตามความเสี่ยงเป็นแนวทางที่ดีที่สุดเมื่อต้องตัดสินใจเลือกระบบจัดการกุญแจเข้ารหัส (Key Management System) สำหรับการจัดเก็บข้อมูลบน Cloud แต่ละประเภท โดยแบ่งแนวทางออกเป็น 4 ระดับ ดังนี้

Native encryption

สำหรับข้อมูลบน Cloud ที่ส่วนใหญ่ไม่ได้เป็นข้อมูลสำคัญ การใช้ระบบจัดการกุญแจเข้ารหัสของระบบ Cloud เอง (ที่ลูกค้าไม่มีสิทธิ์ควบคุมใดๆ ) เป็นเรื่องที่ยอมรับได้

BYOK

โมเดล Bring Your Own Key (BYOK) ช่วยให้ลูกค้าสามารถควบคุมกุญแจเข้ารหัสได้ในระดับหนึ่ง คือ สามารถสร้างและบริหารจัดการกุญแจเข้ารหัสก่อนที่จะส่งเข้าไปเก็บไว้ในระบบบน Cloud ได้ หลังจากนั้นจะเป็นหน้าที่ของผู้ให้บริการระบบ Cloud ในการจัดการกุญแจเข้ารหัสเหล่านั้น

HYOK

โมเดล Hold Your Own Key (HYOK) ช่วยให้ลูกค้าสามารถควบคุมกุญแจเข้ารหัสได้มากขึ้น เนื่องจากลูกค้าเป็นผู้สร้างและเก็บกุญแจสำหรับเข้ารหัสข้อมูลบน Cloud ไว้ในการดูแลของตนเอง

BYOE

Bring Your Own Encryption (BYOE) ช่วยให้ลูกค้าระบบ Cloud สามารถควบคุมอธิปไตยไซเบอร์ได้มากที่สุด ด้วยการใช้ซอฟต์แวร์สำหรับเข้ารหัสข้อมูลและบริหารจัดการกุญแจสำหรับเข้ารหัสข้อมูลบน Cloud ทั้งหมดด้วยตนเอง โมเดลนี้ยังช่วยให้ลูกค้าโยกย้ายข้อมูลและเปลี่ยนไปใช้ระบบ Cloud รายอื่นได้ง่ายและรวดเร็ว

สร้างอธิปไตยไซเบอร์บน Cloud ด้วยโซลูชันจาก Thales

Thales สามารถช่วยลูกค้าให้สามารถควบคุมอธิปไตยไซเบอร์บน Cloud ได้ ไม่ว่าลูกค้าจะย้ายระบบขึ้นสู่ Cloud แบบไหนก็ตาม โดยครอบคลุมทั้งอธิปไตยของข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์ ดังนี้

1. อธิปไตยของข้อมูล

ให้บริการโซลูชันการจัดการกุญแจเข้ารหัสที่ลูกค้าเป็นผู้ถือครองด้วยตนเอง ทำให้มั่นใจว่าผู้ให้บริการระบบ Cloud จะไม่สามารถเข้าถึงได้โดยมิชอบ แม้จะได้รับหมายศาลก็ตาม จำเป็นต้องได้รับอนุญาตจากลูกค้าซึ่งเป็นเจ้าของข้อมูลก่อนเสมอ

2. อธิปไตยของซอฟต์แวร์

โซลูชันการจัดการกุญแจเข้ารหัสช่วยให้ลูกค้าสามารถรวมศูนย์การบริหารจัดการกุญแจสำหรับเข้ารหัสข้อมูลบน Multi-cloud ไว้ในที่เดียวได้ ลดภาระและความผิดพลาดที่อาจเกิดขึ้นจากความแตกต่างของซอฟต์แวร์ของระบบ Cloud แต่ละราย ทั้งยังสร้างความสอดคล้องของนโยบายที่เกี่ยวข้องกับการเข้ารหัสข้อมูลและช่วยให้ดำเนินงานโดยอัตโนมัติได้ง่ายอีกด้วย

3. อธิปไตยของการปฏิบัติงานด้านไซเบอร์

ช่วยลดความเสี่ยงการถูกเจาะระบบเพื่อขโมยข้อมูลและข้อมูลรั่วไหลสู่ภายนอกผ่านการตรวจสอบประเด็นดังต่อไปนี้

  • ข้อมูลสำคัญถูกจัดเก็บอยู่ที่ไหน
  • ข้อมูลเหล่านั้นถูกเข้ารหัสอย่างไร
  • กุญแจสำหรับเข้ารหัสข้อมูลถูกจัดเก็บและบริหารจัดการอย่างไร
  • ใครสามารถเข้าถึงกุญแจเข้ารหัสและแอปพลิเคชันได้บ้าง

เหล่านี้ ทำให้มั่นใจว่า ผู้ใช้ที่ไม่มีสิทธิ์จะไม่สามารถเข้าถึงข้อมูลสำคัญที่ถูกจัดเก็บบน Cloud ได้ เว้นแต่จะมีเหตุผลที่เหมาะสมเพียงพอ ซึ่งผู้ใช้เหล่านั้นยังรวมไปถึงพนักงานของผู้ให้บริการระบบ Cloud หรือผู้ใช้ระดับสูงอย่าง Database Admin และ System Admin ด้วย

ดาวน์โหลด eBook: ปกป้องอธิปไตยไซเบอร์กับ Thales

Thales Group ผู้ให้บริการด้านการบิน อวกาส การขนส่ง การป้องกันประเทศ และความมั่นคงปลอดภัย ได้จัดทำ eBook เรื่อง “ปกป้องอธิปไตยไซเบอร์กับ Thales – เราจะปกป้องอธิปไตยข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์ได้อย่างไร” สำหรับให้ผู้ที่สนใจด้านอธิปไตยไซเบอร์ดาวน์โหลดไปศึกษาได้ฟรี

eBook ฉบับนี้มีความยาวรวมทั้งสิ้น 21 หน้า ประกอบด้วยเนื้อหาดังต่อไปนี้

  • อธิปไตยไซเบอร์ (Digital Sovereignty) คืออะไร
  • ปัญหาและผลกระทบจากการละเมิดอธิปไตยไซเบอร์
  • รู้จักกับ 3 องค์ประกอบหลักและตัวอย่างของอธิปไตยไซเบอร์
  • 4 แนวทางตามความเสี่ยงเพื่อสร้างอธิปไตยไซเบอร์
  • การย้ายระบบขึ้นสู่ Cloud ให้คงไว้ซึ่งอธิปไตยไซเบอร์ พร้อมกรณีศึกษาจากบริษัทชั้นนำ
  • ประเมินความเสี่ยง ป้องกัน และควบคุมอธิปไตยไซเบอร์ด้วยโซลูชันจาก Thales

กรอกข้อมูลเพื่อดาวน์โหลด eBook (PDF) ฉบับเต็มได้ฟรีด้านขวามือ

สนใจโซลูชันและบริการของ Thales สามารถสอบถามรายละเอียดเพิ่มเติม หรือทดสอบการใช้งานได้ที่บริษัท Bangkok System & Software Co.,Ltd. โดยติดต่อ

Ms.Aditi Verma (Product Manager – Thales)
อีเมล: aditi@bangkoksystem.com
โทร: 061-390-6262
เว็บไซต์: https://www.bangkoksystem.com/

Facebook: https://www.facebook.com/bangkoksystems