เอเชียแปซิฟิก (APAC) ถือเป็นภูมิภาคแนวหน้าในการใช้ IoT โดยคาดว่าค่าใช้จ่ายดังกล่าวจะแตะระดับ 437,000 ล้านดอลลาร์ภายในปี 2568 ในขณะที่ตลาด IoT ของไทยมีมูลค่าราว 90,680 ล้านบาท ตามข้อมูลการสำรวจเมื่อปี 2564 ของสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (DEPA) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม การเติบโตดังกล่าวเกิดจากภาครัฐและเอกชนที่ทุ่มการลงทุนในโครงการด้านการเปลี่ยนแปลงสู่ดิจิทัล
อุปกรณ์ IoT ถือเป็นเสาหลักสำคัญของการทำดิจิทัลทรานสฟอร์เมชันซึ่งครอบคลุมการใช้งานหลากหลายด้าน ตัวอย่างเช่น เซนเซอร์ตรวจจับแสง เครื่องปรับอากาศในอาคารอัจฉริยะ ไปจนถึงหุ่นยนต์อัตโนมัติในระบบอุตสาหกรรม อย่างไรก็ดี อุปกรณ์อัจฉริยะจำนวนมากไม่ได้รับการออกแบบถึงระบบรักษาความปลอดภัยตั้งแต่ขั้นตอนการออกแบบ หรือมีช่องโหว่ในรหัสโปรแกรมที่ใช้ในซัพพลายเชนของผู้ผลิตโดยที่ไม่มีใครรู้ตัว ช่องโหว่ความปลอดภัยดังกล่าวเมื่อผนวกกับเรื่องจำนวนอุปกรณ์ IoT ที่เพิ่มขึ้นอย่างรวดเร็ว ทำให้องค์กรต่างๆ จำเป็นต้องเร่งทบทวนมาตรการด้านความปลอดภัยเกี่ยวกับอุปกรณ์ IoT เหล่านี้ที่อยู่บนเครือข่ายของตนเอง
ดังนั้น เมื่อบริษัทเดินหน้าลงทุนในด้านการเปลี่ยนแปลงสู่ดิจิทัล ก็ควรให้ความสำคัญในระดับเดียวกันกับเรื่องความปลอดภัยของอุปกรณ์และเทคโนโลยีที่นำมาใช้ในการดำเนินงานแต่ละวันด้วย
สิ่งที่ควรพิจารณาในด้านความปลอดภัยเกี่ยวกับอุปกรณ์ IoT มีอะไรบ้าง และเราจะจัดการกับเรื่องดังกล่าวได้อย่างไรบ้าง
ข้อจำกัดด้านความปลอดภัยในอุปกรณ์ IoT
สิ่งสำคัญที่ควรทราบก็คือ การตรวจพบภัยคุกคามจากอุปกรณ์ IoT มักขึ้นอยู่กับการอัปเดตฐานข้อมูลที่รวบรวมข้อมูลอุปกรณ์ที่ตกเป็นเป้าหมาย ตัวอย่างเช่น อุปกรณ์ IoT บางประเภทไม่มีพื้นที่จัดเก็บข้อมูล หรือพลังในการประมวลผลที่เพียงพอต่อการรองรับการจัดเก็บบันทึกระบบ หรือการเข้ารหัสเพื่อปกป้องข้อมูลที่อ่อนไหวระหว่างการประมวลผล ซึ่งอาจจะทำให้ข้อมูลเหล่านั้นตกอยู่ในความเสี่ยง ดังนั้น ธุรกิจต่างๆ จึงไม่สามารถตรวจพบและปกป้ององค์กรได้อย่างมั่นใจจากความเสี่ยงที่เกิดขึ้นจากอุปกรณ์ IoT ที่ไม่รู้จักและไม่สามารถจัดการได้
อีกทั้งความเสี่ยงดังกล่าวยังเพิ่มขึ้นในระบบการทำงานจากที่บ้านอีกด้วย โดยรายงานความปลอดภัยด้าน IoT ประจำปี 2564 ของพาโล อัลโต้ เน็ตเวิร์กส์ พบว่า ผู้ตอบแบบสอบถามราว 80% ในเอเชียแปซิฟิก (รวมประเทศญี่ปุ่น) ซึ่งมีอุปกรณ์ IoT เชื่อมต่อกับเครือข่ายขององค์กร รายงานว่า มีอุปกรณ์ IoT ที่ไม่เกี่ยวข้องกับงานธุรกิจเชื่อมต่อกับระบบเครือข่ายขององค์กรเพิ่มมากขึ้น โดยอุปกรณ์เหล่านี้ มีทั้งอุปกรณ์ที่บ้าน อุปกรณ์สวมใส่ทางการแพทย์ หรือแม้แต่เครื่องเล่นเกมคอนโซล
ข้อจำกัดทางฮาร์ดแวร์ในการควบคุมความปลอดภัยในอุปกรณ์ IoT พร้อมด้วยการทำงานจากทางไกลที่เพิ่มขึ้น ถือเป็นปัจจัยสำคัญที่ทำให้หน่วยงานกำกับดูแลจำเป็นต้องหันมาให้ความสำคัญในการปกป้องความปลอดภัยไซเบอร์ให้กับอุปกรณ์ IoT ทั่วทั้งภูมิภาค
หน่วยงานกำกับดูแลและการวางแนวทาง
สำหรับการรับมือกับการเติบโตของเทคโนโลยี IoT ในภูมิภาคเอเชียแปซิฟิก หน่วยงานกำกับดูแลจึงได้จัดทำข้อกำหนดและมาตรฐานความปลอดภัยด้าน IoT สำหรับองค์กรและผู้ใช้
ประเทศไทยมีกฎหมายและการกำกับดูแลด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูลซึ่งเกี่ยวข้องกับอุปกรณ์ไอที ได้แก่
● พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) (พีดีพีเอ) ซึ่งมีผลบังคับใช้ในเดือนมิถุนายน 2565 หลังจากที่เลื่อนการใช้งานมา 2 ปี อันเนื่องมาจากสถานการณ์โรคระบาด
● พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (2019) ซึ่งมีบทบาทสำคัญในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อย่างทันท่วงที
การปฏิบัติตามข้อบังคับในประเทศสำหรับระบบคลาวด์
การทำดิจิทัลทรานสฟอร์เมชันเป็นปัจจัยที่เร่งการใช้งาน IoT ในภูมิภาคเอเชียแปซิฟิกและทำให้องค์กรวางใจที่จะใช้อุปกรณ์เหล่านี้เพื่อการดำเนินงานทางธุรกิจที่สำคัญ
ขณะเดียวกันบริษัทต่างๆ ก็ยังต้องรับมือกับข้อบังคับในประเทศที่เพิ่มขึ้นเกี่ยวกับการใช้งานและการจัดการกับอุปกรณ์ IoT และข้อมูลต่างๆ นโยบายภาครัฐอาจกำหนดแนวทางการเก็บรวบรวมและเก็บรักษาข้อมูล และอาจจำกัดการถ่ายโอนข้อมูลข้ามประเทศเพื่อป้องกันไม่ให้เกิดช่องโหว่ในการเข้าถึงข้อมูลของประชาชน
ดังนั้น ทุกวันนี้เราจึงเห็นธุรกิจหลายแห่งที่ใช้บริการระบบคลาวด์หลากหลายรูปแบบเพื่อจัดเก็บข้อมูลในสถานที่ต่างๆ ทั่วโลก ขณะเดียวกันบริษัทระดับภูมิภาคที่พึ่งพาบริการระบบคลาวด์เพื่อให้บริการและรองรับการทำงานจากทางไกลก็ต้องเผชิญกับความท้าทายในการปฏิบัติตามข้อบังคับของประเทศต่างๆ แทนที่จะใช้เซิร์ฟเวอร์ภายในเพื่อจัดเก็บข้อมูลในแต่ละพื้นที่ บริษัทต่างๆ กลับใช้โซลูชันคลาวด์โฮสติงในประเทศของตนเอง เพื่อใช้ประโยชน์จากระบบคลาวด์ ขณะเดียวกันก็เป็นไปตามข้อบังคับเรื่องข้อมูลของแต่ละประเทศด้วย โซลูชันคลาวด์โฮสติงที่พัฒนาขึ้นโดยยึดหลักความปลอดภัยและการปฏิบัติตามข้อบังคับจะทำให้ธุรกิจต่างๆ บรรลุเป้าหมายในการจัดเก็บข้อมูลโดยที่ยังคงปกป้องเครือข่ายขององค์กรให้ปลอดภัย
ธุรกิจต้องขยับตัวเชิงรุก
นอกจากการปฏิบัติตามมาตรฐานข้อบังคับ องค์กรต่างๆ ยังต้องรอบคอบในการปกป้องระบบเครือข่ายในเชิงรุกโดยเฉพาะในยุคเศรษฐกิจดิจิทัลเช่นในปัจจุบัน
สิ่งจำเป็นก่อนที่จะนำมาตรการความปลอดภัยเหล่านี้ไปใช้ให้ได้ประสิทธิภาพก็คือ การทราบถึงและเข้าใจตัวตนและลักษณะของอุปกรณ์ที่เชื่อมต่อกับเครือข่ายทั้งหมด แนวทางซีโรทรัสต์เพื่อความปลอดภัยด้าน IoT ในระดับเครือข่ายถือเป็นสิ่งจำเป็นที่จะทำให้องค์กรสามารถขจัดจุดบอดที่อันตรายในระบบ นั่นหมายถึง องค์กรจะต้องรับรู้ถึงอุปกรณ์ IoT ทั้งหมดที่มีอยู่ ต้องดำเนินมาตรการติดตามอุปกรณ์และความเสี่ยงอย่างต่อเนื่อง และต้องจัดทำนโยบายรักษาความปลอดภัยพร้อมด้วยมาตรการบังคับที่ใช้ป้องกันการโจมตีทางไซเบอร์
อีกทั้งองค์กรยังสามารถยกระดับมาตรการเชิงป้องกันให้ดียิ่งขึ้นด้วยเทคโนโลยีแมชีนเลิร์นนิง (ML) ที่ใช้ตรวจสอบอัตลักษณ์อุปกรณ์ ตรวจจับโค้ดอันตรายที่ถูกดัดแปลงได้ในเชิงรุก และสามารถป้องกันการโจมตีได้โดยอัตโนมัติ เมื่อคนร้ายใช้วิธีการที่ล้ำหน้ายิ่งขึ้น องค์กรก็ยิ่งจำเป็นต้องใช้ความสามารถของ ML เพื่อคอยระวังภัยได้ตลอดเวลา
ความปลอดภัยด้าน IoT ถือเป็นความรับผิดชอบของทุกคน
ทั้งภาครัฐและเอกชันต่างมีบทบาทสำคัญในการดูแลความปลอดภัยด้าน IoT เพราะความแพร่หลายของอุปกรณ์ IoT หมายถึงจำนวนการใช้อุปกรณ์ดังกล่าวจะเติบโตขึ้นในทุกอุตสาหกรรม และถือเป็นความรับผิดชอบของทุกคนที่จะต้องปกป้องตนเองและองค์กรจากวายร้ายไซเบอร์:
● หน่วยงานกำกับดูแลต้องจัดวางรากฐานข้อบังคับและมาตรฐานด้านระบบรักษาความปลอดภัยไซเบอร์ที่สามารถนำไปใช้ได้ในวงกว้าง
● โซลูชันคลาวด์โฮสติงต้องมีระบบควบคุมความปลอดภัยในตัวเพื่อให้องค์กรบรรลุความต้องการด้านการจัดเก็บข้อมูล ขณะเดียวกันก็ได้รับประโยชน์จากระบบคลาวด์อย่างเต็มที่
● องค์กรจำเป็นต้องดำเนินมาตรการซีโรทรัสต์เชิงรุกเพื่อกำจัดจุดบอดด้านอุปกรณ์ IoT ในระบบ และใช้เทคโนโลยี ML เพื่อป้องกันการโจมตีโดยบัติโนมัติ
บทความโดย : ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและอินโดจีน – พาโล อัลโต้ เน็ตเวิร์กส์
ที่มา : ความปลอดภัยไซเบอร์ของอุปกรณ์ IoT บนแพลตฟอร์มคลาวด์ในไทยและเอเชียแปซิฟิก – Enterprise IT Pro