World Economic Forum ให้คำจำกัดความของ อธิปไตยไซเบอร์ (Digital Sovereignty) ไว้ว่า “การมีความสามารถในการกำหนดชะตากรรมด้านดิจิทัลด้วยตัวของเราเอง ไม่ว่าจะเป็นข้อมูล ฮาร์ดแวร์ หรือซอฟต์แวร์ที่เราสร้างหรือใช้งานอยู่”
กล่าวได้ว่า อธิปไตยไซเบอร์เป็นปัญหาระดับชาติ World Economic Forum ประมาณการไว้ว่า มากกว่า 92% ของข้อมูลในโลกตะวันตกถูกเก็บไว้ในเซิร์ฟเวอร์ที่บริษัทจากสหรัฐฯ เป็นผู้ถือครอง ความกังวลที่จะถูกต่างชาติรุกล้ำข้อมูลภายในทำให้สหภาพยุโรปต้องออกกฎหมาย GDPR มาควบคุมความเป็นส่วนบุคคล อย่างไรก็ตาม ความกังวลเรื่องอธิปไตยไซเบอร์นี้ได้ทะลุถึงขีดสุดเมื่อเกิดกรณี Schrems II ขึ้นในปี 2020 ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินให้ EU-US Privacy Shield ซึ่งเป็นมาตรฐานที่บริษัทข้ามชาติใช้รับส่งข้อมูลระหว่างสหภาพยุโรปและสหรัฐฯ อย่างมั่นคงปลอดภัยเป็นโมฆะ เนื่องจากเสี่ยงถูกกฎหมายด้านความมั่นคงของสหรัฐฯ เปิดช่องให้องค์กรและหน่วยงานรัฐสามารถเข้าถึงข้อมูลเหล่านั้นได้ ก่อให้เกิดการรุกล้ำอธิปไตยไซเบอร์ของสหภาพยุโรปและขัดต่อ GDPR คาดการณ์ว่ากรณี Schrems II นี้ส่งผลกระทบมากกว่า 5,000 องค์กรและการค้าระหว่างภูมิภาคที่ทำรายได้ต่อปีสูงถึง 43 ล้านล้านบาท
อ่านรายละเอียดเพิ่มเติมเกี่ยวกับกรณี Schrems II ได้ที่นี่
เมื่อเข้าสู่ยุคของ Cloud อธิปไตยไซเบอร์จึงกลายเป็นประเด็นร้อนสำหรับเหล่า CIO ที่ต้องวางกลยุทธ์ การกำกับดูแล และการบริหารจัดการความเสี่ยง ความท้าทายด้านอธิปไตยไซเบอร์ไม่ใช่แค่เรื่องสถานที่ในการจัดเก็บข้อมูลเพียงอย่างเดียว แต่รวมไปถึงเรื่องที่ใครจะมีสิทธิ์เข้าถึงข้อมูลเหล่านั้นได้บ้าง และจะเข้าถึงข้อมูลอย่างถูกกฎหมายอย่างไร เนื่องจากแม้จะอยู่นอกสหภาพยุโรป แต่การเข้าถึงข้อมูลส่วนบุคคลก็ต้องปฏิบัติตามกฎหมาย GDPR เช่นกัน ด้วยเหตุนี้ บริษัทจำเป็นต้องระบุและนำมาตรการเสริมที่จำเป็นเข้ามาใช้เพื่อปกป้องข้อมูลตามอำนาจอธิปไตยในระดับเดียวกับประเทศต้นทาง อย่างไรก็ตาม การสร้างอธิปไตยไซเบอร์บน Cloud นั้นเป็นเรื่องที่พูดง่ายแต่ทำยาก สาเหตุมาจากการที่องค์กรส่วนใหม่นิยมใช้บริการบุคคลที่ 3 ในการจัดเก็บและวิเคราะห์ข้อมูลเพื่อสร้างความได้เปรียบให้ธุรกิจของตน ซึ่งข้อมูลเหล่านั้นมักเป็นข้อมูลที่ต้องได้รับการคุ้มครองตามกฎหมาย
การสร้างอธิปไตยไซเบอร์บน Cloud ประกอบด้วย 3 ส่วนหลัก คือ ข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์
1. อธิปไตยของข้อมูล
อธิปไตยของข้อมูล คือ การรักษามาตรการควบคุมทางด้านการเข้ารหัสและการเข้าถึงข้อมูลให้ดำเนินต่อไปได้ เพื่อให้มั่นใจว่าข้อมูลสำคัญจะไม่ตกไปอยู่ในมือบุคคลภายนอกที่ไม่ได้ขออนุญาต ซึ่งนำไปสู่การละเมิดกฎระเบียบและข้อบังคับขององค์กร
2. อธิปไตยของซอฟต์แวร์
อธิปไตยของซอฟต์แวร์ คือ การรัน Workload โดยไม่ต้องยึดติดกับซอฟต์แวร์ของผู้ให้บริการ ทำให้องค์กรมีอิสระในการจัดเก็บและรัน Workload ที่ไหนก็ได้ตามความต้องการ ช่วยให้ได้ประสิทธิภาพ ความยืดหยุ่น และความทนทานถึงขีดสุด
3. อธิปไตยของการปฏิบัติงานด้านไซเบอร์
อธิปไตยของการปฏิบัติงานด้านไซเบอร์ คือ การทำให้องค์กรสามารถติดตามและควบคุมการปฏิบัติงานต่างๆ ของผู้ให้บริการได้ เพื่อให้มั่นใจว่าผู้ไม่ประสงดีหรือโปรเซสแปลกปลอมไม่สามารถเข้าถึง หรือขัดขวางไม่ให้องค์กรเข้าถึงข้อมูลอันมีค่าขององค์กรได้ กรณีที่พบบ่อย คือ การเข้าถึงข้อมูลโดยผู้ที่ได้รับสิทธิ์สูงเกินความจำเป็นหรือการถูก Ransomware โจมตี
การยึดตามความเสี่ยงเป็นแนวทางที่ดีที่สุดเมื่อต้องตัดสินใจเลือกระบบจัดการกุญแจเข้ารหัส (Key Management System) สำหรับการจัดเก็บข้อมูลบน Cloud แต่ละประเภท โดยแบ่งแนวทางออกเป็น 4 ระดับ ดังนี้
Native encryption
สำหรับข้อมูลบน Cloud ที่ส่วนใหญ่ไม่ได้เป็นข้อมูลสำคัญ การใช้ระบบจัดการกุญแจเข้ารหัสของระบบ Cloud เอง (ที่ลูกค้าไม่มีสิทธิ์ควบคุมใดๆ ) เป็นเรื่องที่ยอมรับได้
BYOK
โมเดล Bring Your Own Key (BYOK) ช่วยให้ลูกค้าสามารถควบคุมกุญแจเข้ารหัสได้ในระดับหนึ่ง คือ สามารถสร้างและบริหารจัดการกุญแจเข้ารหัสก่อนที่จะส่งเข้าไปเก็บไว้ในระบบบน Cloud ได้ หลังจากนั้นจะเป็นหน้าที่ของผู้ให้บริการระบบ Cloud ในการจัดการกุญแจเข้ารหัสเหล่านั้น
HYOK
โมเดล Hold Your Own Key (HYOK) ช่วยให้ลูกค้าสามารถควบคุมกุญแจเข้ารหัสได้มากขึ้น เนื่องจากลูกค้าเป็นผู้สร้างและเก็บกุญแจสำหรับเข้ารหัสข้อมูลบน Cloud ไว้ในการดูแลของตนเอง
BYOE
Bring Your Own Encryption (BYOE) ช่วยให้ลูกค้าระบบ Cloud สามารถควบคุมอธิปไตยไซเบอร์ได้มากที่สุด ด้วยการใช้ซอฟต์แวร์สำหรับเข้ารหัสข้อมูลและบริหารจัดการกุญแจสำหรับเข้ารหัสข้อมูลบน Cloud ทั้งหมดด้วยตนเอง โมเดลนี้ยังช่วยให้ลูกค้าโยกย้ายข้อมูลและเปลี่ยนไปใช้ระบบ Cloud รายอื่นได้ง่ายและรวดเร็ว
Thales สามารถช่วยลูกค้าให้สามารถควบคุมอธิปไตยไซเบอร์บน Cloud ได้ ไม่ว่าลูกค้าจะย้ายระบบขึ้นสู่ Cloud แบบไหนก็ตาม โดยครอบคลุมทั้งอธิปไตยของข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์ ดังนี้
1. อธิปไตยของข้อมูล
ให้บริการโซลูชันการจัดการกุญแจเข้ารหัสที่ลูกค้าเป็นผู้ถือครองด้วยตนเอง ทำให้มั่นใจว่าผู้ให้บริการระบบ Cloud จะไม่สามารถเข้าถึงได้โดยมิชอบ แม้จะได้รับหมายศาลก็ตาม จำเป็นต้องได้รับอนุญาตจากลูกค้าซึ่งเป็นเจ้าของข้อมูลก่อนเสมอ
2. อธิปไตยของซอฟต์แวร์
โซลูชันการจัดการกุญแจเข้ารหัสช่วยให้ลูกค้าสามารถรวมศูนย์การบริหารจัดการกุญแจสำหรับเข้ารหัสข้อมูลบน Multi-cloud ไว้ในที่เดียวได้ ลดภาระและความผิดพลาดที่อาจเกิดขึ้นจากความแตกต่างของซอฟต์แวร์ของระบบ Cloud แต่ละราย ทั้งยังสร้างความสอดคล้องของนโยบายที่เกี่ยวข้องกับการเข้ารหัสข้อมูลและช่วยให้ดำเนินงานโดยอัตโนมัติได้ง่ายอีกด้วย
3. อธิปไตยของการปฏิบัติงานด้านไซเบอร์
ช่วยลดความเสี่ยงการถูกเจาะระบบเพื่อขโมยข้อมูลและข้อมูลรั่วไหลสู่ภายนอกผ่านการตรวจสอบประเด็นดังต่อไปนี้
- ข้อมูลสำคัญถูกจัดเก็บอยู่ที่ไหน
- ข้อมูลเหล่านั้นถูกเข้ารหัสอย่างไร
- กุญแจสำหรับเข้ารหัสข้อมูลถูกจัดเก็บและบริหารจัดการอย่างไร
- ใครสามารถเข้าถึงกุญแจเข้ารหัสและแอปพลิเคชันได้บ้าง
เหล่านี้ ทำให้มั่นใจว่า ผู้ใช้ที่ไม่มีสิทธิ์จะไม่สามารถเข้าถึงข้อมูลสำคัญที่ถูกจัดเก็บบน Cloud ได้ เว้นแต่จะมีเหตุผลที่เหมาะสมเพียงพอ ซึ่งผู้ใช้เหล่านั้นยังรวมไปถึงพนักงานของผู้ให้บริการระบบ Cloud หรือผู้ใช้ระดับสูงอย่าง Database Admin และ System Admin ด้วย
Thales Group ผู้ให้บริการด้านการบิน อวกาส การขนส่ง การป้องกันประเทศ และความมั่นคงปลอดภัย ได้จัดทำ eBook เรื่อง “ปกป้องอธิปไตยไซเบอร์กับ Thales – เราจะปกป้องอธิปไตยข้อมูล ซอฟต์แวร์ และการปฏิบัติงานด้านไซเบอร์ได้อย่างไร” สำหรับให้ผู้ที่สนใจด้านอธิปไตยไซเบอร์ดาวน์โหลดไปศึกษาได้ฟรี
eBook ฉบับนี้มีความยาวรวมทั้งสิ้น 21 หน้า ประกอบด้วยเนื้อหาดังต่อไปนี้
- อธิปไตยไซเบอร์ (Digital Sovereignty) คืออะไร
- ปัญหาและผลกระทบจากการละเมิดอธิปไตยไซเบอร์
- รู้จักกับ 3 องค์ประกอบหลักและตัวอย่างของอธิปไตยไซเบอร์
- 4 แนวทางตามความเสี่ยงเพื่อสร้างอธิปไตยไซเบอร์
- การย้ายระบบขึ้นสู่ Cloud ให้คงไว้ซึ่งอธิปไตยไซเบอร์ พร้อมกรณีศึกษาจากบริษัทชั้นนำ
- ประเมินความเสี่ยง ป้องกัน และควบคุมอธิปไตยไซเบอร์ด้วยโซลูชันจาก Thales
กรอกข้อมูลเพื่อดาวน์โหลด eBook (PDF) ฉบับเต็มได้ฟรีด้านขวามือ