ความปลอดภัยไซเบอร์ของอุปกรณ์ IoT บนแพลตฟอร์มคลาวด์ในไทยและเอเชียแปซิฟิก

 

เอเชียแปซิฟิก (APAC) ถือเป็นภูมิภาคแนวหน้าในการใช้ IoT โดยคาดว่าค่าใช้จ่ายดังกล่าวจะแตะระดับ 437,000 ล้านดอลลาร์ภายในปี 2568 ในขณะที่ตลาด IoT ของไทยมีมูลค่าราว 90,680 ล้านบาท ตามข้อมูลการสำรวจเมื่อปี 2564 ของสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (DEPA) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม การเติบโตดังกล่าวเกิดจากภาครัฐและเอกชนที่ทุ่มการลงทุนในโครงการด้านการเปลี่ยนแปลงสู่ดิจิทัล

อุปกรณ์ IoT ถือเป็นเสาหลักสำคัญของการทำดิจิทัลทรานสฟอร์เมชันซึ่งครอบคลุมการใช้งานหลากหลายด้าน ตัวอย่างเช่น เซนเซอร์ตรวจจับแสง เครื่องปรับอากาศในอาคารอัจฉริยะ ไปจนถึงหุ่นยนต์อัตโนมัติในระบบอุตสาหกรรม อย่างไรก็ดี อุปกรณ์อัจฉริยะจำนวนมากไม่ได้รับการออกแบบถึงระบบรักษาความปลอดภัยตั้งแต่ขั้นตอนการออกแบบ หรือมีช่องโหว่ในรหัสโปรแกรมที่ใช้ในซัพพลายเชนของผู้ผลิตโดยที่ไม่มีใครรู้ตัว ช่องโหว่ความปลอดภัยดังกล่าวเมื่อผนวกกับเรื่องจำนวนอุปกรณ์ IoT ที่เพิ่มขึ้นอย่างรวดเร็ว ทำให้องค์กรต่างๆ จำเป็นต้องเร่งทบทวนมาตรการด้านความปลอดภัยเกี่ยวกับอุปกรณ์ IoT เหล่านี้ที่อยู่บนเครือข่ายของตนเอง

ดังนั้น เมื่อบริษัทเดินหน้าลงทุนในด้านการเปลี่ยนแปลงสู่ดิจิทัล ก็ควรให้ความสำคัญในระดับเดียวกันกับเรื่องความปลอดภัยของอุปกรณ์และเทคโนโลยีที่นำมาใช้ในการดำเนินงานแต่ละวันด้วย

สิ่งที่ควรพิจารณาในด้านความปลอดภัยเกี่ยวกับอุปกรณ์ IoT มีอะไรบ้าง และเราจะจัดการกับเรื่องดังกล่าวได้อย่างไรบ้าง

ข้อจำกัดด้านความปลอดภัยในอุปกรณ์ IoT
สิ่งสำคัญที่ควรทราบก็คือ การตรวจพบภัยคุกคามจากอุปกรณ์ IoT มักขึ้นอยู่กับการอัปเดตฐานข้อมูลที่รวบรวมข้อมูลอุปกรณ์ที่ตกเป็นเป้าหมาย ตัวอย่างเช่น อุปกรณ์ IoT บางประเภทไม่มีพื้นที่จัดเก็บข้อมูล หรือพลังในการประมวลผลที่เพียงพอต่อการรองรับการจัดเก็บบันทึกระบบ หรือการเข้ารหัสเพื่อปกป้องข้อมูลที่อ่อนไหวระหว่างการประมวลผล ซึ่งอาจจะทำให้ข้อมูลเหล่านั้นตกอยู่ในความเสี่ยง ดังนั้น ธุรกิจต่างๆ จึงไม่สามารถตรวจพบและปกป้ององค์กรได้อย่างมั่นใจจากความเสี่ยงที่เกิดขึ้นจากอุปกรณ์ IoT ที่ไม่รู้จักและไม่สามารถจัดการได้

อีกทั้งความเสี่ยงดังกล่าวยังเพิ่มขึ้นในระบบการทำงานจากที่บ้านอีกด้วย โดยรายงานความปลอดภัยด้าน IoT ประจำปี 2564 ของพาโล อัลโต้ เน็ตเวิร์กส์ พบว่า ผู้ตอบแบบสอบถามราว 80% ในเอเชียแปซิฟิก (รวมประเทศญี่ปุ่น) ซึ่งมีอุปกรณ์ IoT เชื่อมต่อกับเครือข่ายขององค์กร รายงานว่า มีอุปกรณ์ IoT ที่ไม่เกี่ยวข้องกับงานธุรกิจเชื่อมต่อกับระบบเครือข่ายขององค์กรเพิ่มมากขึ้น โดยอุปกรณ์เหล่านี้ มีทั้งอุปกรณ์ที่บ้าน อุปกรณ์สวมใส่ทางการแพทย์ หรือแม้แต่เครื่องเล่นเกมคอนโซล

ข้อจำกัดทางฮาร์ดแวร์ในการควบคุมความปลอดภัยในอุปกรณ์ IoT พร้อมด้วยการทำงานจากทางไกลที่เพิ่มขึ้น ถือเป็นปัจจัยสำคัญที่ทำให้หน่วยงานกำกับดูแลจำเป็นต้องหันมาให้ความสำคัญในการปกป้องความปลอดภัยไซเบอร์ให้กับอุปกรณ์ IoT ทั่วทั้งภูมิภาค

หน่วยงานกำกับดูแลและการวางแนวทาง
สำหรับการรับมือกับการเติบโตของเทคโนโลยี IoT ในภูมิภาคเอเชียแปซิฟิก หน่วยงานกำกับดูแลจึงได้จัดทำข้อกำหนดและมาตรฐานความปลอดภัยด้าน IoT สำหรับองค์กรและผู้ใช้

ประเทศไทยมีกฎหมายและการกำกับดูแลด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูลซึ่งเกี่ยวข้องกับอุปกรณ์ไอที ได้แก่

● พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) (พีดีพีเอ) ซึ่งมีผลบังคับใช้ในเดือนมิถุนายน 2565 หลังจากที่เลื่อนการใช้งานมา 2 ปี อันเนื่องมาจากสถานการณ์โรคระบาด

● พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (2019) ซึ่งมีบทบาทสำคัญในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อย่างทันท่วงที

การปฏิบัติตามข้อบังคับในประเทศสำหรับระบบคลาวด์
การทำดิจิทัลทรานสฟอร์เมชันเป็นปัจจัยที่เร่งการใช้งาน IoT ในภูมิภาคเอเชียแปซิฟิกและทำให้องค์กรวางใจที่จะใช้อุปกรณ์เหล่านี้เพื่อการดำเนินงานทางธุรกิจที่สำคัญ

ขณะเดียวกันบริษัทต่างๆ ก็ยังต้องรับมือกับข้อบังคับในประเทศที่เพิ่มขึ้นเกี่ยวกับการใช้งานและการจัดการกับอุปกรณ์ IoT และข้อมูลต่างๆ นโยบายภาครัฐอาจกำหนดแนวทางการเก็บรวบรวมและเก็บรักษาข้อมูล และอาจจำกัดการถ่ายโอนข้อมูลข้ามประเทศเพื่อป้องกันไม่ให้เกิดช่องโหว่ในการเข้าถึงข้อมูลของประชาชน

ดังนั้น ทุกวันนี้เราจึงเห็นธุรกิจหลายแห่งที่ใช้บริการระบบคลาวด์หลากหลายรูปแบบเพื่อจัดเก็บข้อมูลในสถานที่ต่างๆ ทั่วโลก ขณะเดียวกันบริษัทระดับภูมิภาคที่พึ่งพาบริการระบบคลาวด์เพื่อให้บริการและรองรับการทำงานจากทางไกลก็ต้องเผชิญกับความท้าทายในการปฏิบัติตามข้อบังคับของประเทศต่างๆ แทนที่จะใช้เซิร์ฟเวอร์ภายในเพื่อจัดเก็บข้อมูลในแต่ละพื้นที่ บริษัทต่างๆ กลับใช้โซลูชันคลาวด์โฮสติงในประเทศของตนเอง เพื่อใช้ประโยชน์จากระบบคลาวด์ ขณะเดียวกันก็เป็นไปตามข้อบังคับเรื่องข้อมูลของแต่ละประเทศด้วย โซลูชันคลาวด์โฮสติงที่พัฒนาขึ้นโดยยึดหลักความปลอดภัยและการปฏิบัติตามข้อบังคับจะทำให้ธุรกิจต่างๆ บรรลุเป้าหมายในการจัดเก็บข้อมูลโดยที่ยังคงปกป้องเครือข่ายขององค์กรให้ปลอดภัย

ธุรกิจต้องขยับตัวเชิงรุก
นอกจากการปฏิบัติตามมาตรฐานข้อบังคับ องค์กรต่างๆ ยังต้องรอบคอบในการปกป้องระบบเครือข่ายในเชิงรุกโดยเฉพาะในยุคเศรษฐกิจดิจิทัลเช่นในปัจจุบัน

สิ่งจำเป็นก่อนที่จะนำมาตรการความปลอดภัยเหล่านี้ไปใช้ให้ได้ประสิทธิภาพก็คือ การทราบถึงและเข้าใจตัวตนและลักษณะของอุปกรณ์ที่เชื่อมต่อกับเครือข่ายทั้งหมด แนวทางซีโรทรัสต์เพื่อความปลอดภัยด้าน IoT ในระดับเครือข่ายถือเป็นสิ่งจำเป็นที่จะทำให้องค์กรสามารถขจัดจุดบอดที่อันตรายในระบบ นั่นหมายถึง องค์กรจะต้องรับรู้ถึงอุปกรณ์ IoT ทั้งหมดที่มีอยู่ ต้องดำเนินมาตรการติดตามอุปกรณ์และความเสี่ยงอย่างต่อเนื่อง และต้องจัดทำนโยบายรักษาความปลอดภัยพร้อมด้วยมาตรการบังคับที่ใช้ป้องกันการโจมตีทางไซเบอร์

อีกทั้งองค์กรยังสามารถยกระดับมาตรการเชิงป้องกันให้ดียิ่งขึ้นด้วยเทคโนโลยีแมชีนเลิร์นนิง (ML) ที่ใช้ตรวจสอบอัตลักษณ์อุปกรณ์ ตรวจจับโค้ดอันตรายที่ถูกดัดแปลงได้ในเชิงรุก และสามารถป้องกันการโจมตีได้โดยอัตโนมัติ เมื่อคนร้ายใช้วิธีการที่ล้ำหน้ายิ่งขึ้น องค์กรก็ยิ่งจำเป็นต้องใช้ความสามารถของ ML เพื่อคอยระวังภัยได้ตลอดเวลา

ความปลอดภัยด้าน IoT ถือเป็นความรับผิดชอบของทุกคน
ทั้งภาครัฐและเอกชันต่างมีบทบาทสำคัญในการดูแลความปลอดภัยด้าน IoT เพราะความแพร่หลายของอุปกรณ์ IoT หมายถึงจำนวนการใช้อุปกรณ์ดังกล่าวจะเติบโตขึ้นในทุกอุตสาหกรรม และถือเป็นความรับผิดชอบของทุกคนที่จะต้องปกป้องตนเองและองค์กรจากวายร้ายไซเบอร์:

● หน่วยงานกำกับดูแลต้องจัดวางรากฐานข้อบังคับและมาตรฐานด้านระบบรักษาความปลอดภัยไซเบอร์ที่สามารถนำไปใช้ได้ในวงกว้าง

● โซลูชันคลาวด์โฮสติงต้องมีระบบควบคุมความปลอดภัยในตัวเพื่อให้องค์กรบรรลุความต้องการด้านการจัดเก็บข้อมูล ขณะเดียวกันก็ได้รับประโยชน์จากระบบคลาวด์อย่างเต็มที่

● องค์กรจำเป็นต้องดำเนินมาตรการซีโรทรัสต์เชิงรุกเพื่อกำจัดจุดบอดด้านอุปกรณ์ IoT ในระบบ และใช้เทคโนโลยี ML เพื่อป้องกันการโจมตีโดยบัติโนมัติ

บทความโดย : ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและอินโดจีน – พาโล อัลโต้ เน็ตเวิร์กส์

ที่มา : ความปลอดภัยไซเบอร์ของอุปกรณ์ IoT บนแพลตฟอร์มคลาวด์ในไทยและเอเชียแปซิฟิก – Enterprise IT Pro

Leave a Reply

Your email address will not be published. Required fields are marked *