Public Data At Risk: Cyber Threats To The Networked Government

Preview:

Citation preview

ชอเรอง ความเสยงของขอมลทเปดเผยสสาธารณะ: ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ

เขยนโดย บรษท TRPC

แปลโดย ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (ไทยเซรต) สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) (สพธอ.) กระทรวงเทคโนโลยสารสนเทศและการสอสาร

พมพครงท1 กนยายน 2558

พมพจำานวน 1,000 เลม

©2015ElectronicTransactionsDevelopmentAgency(PublicOrganization).Allrightsreserved.

จดพมพและเผยแพรโดย

ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย(ไทยเซรต)(ThailandComputerEmergencyResponseTeam:ThaiCERT)

สำานกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)(สพธอ.)ElectronicTransactionsDevelopmentAgency(PublicOrganization)(ETDA)

อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310

โทรศพท : 0 2123 1212 | โทรสาร : 0 2120 1200

อเมล : office@thaicert.or.th

เวบไซตไทยเซรต : www.thaicert.or.th เวบไซต สพธอ. : www.etda.or.th เวบไซตกระทรวงฯ : www.mict.go.th

สารบญ

บทสรปผบรหาร ..................................................................................................6

บทท 1: การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ ................................12

โครงสรางพนฐานรฐบาลอเลกทรอนกส ............................................................13

บรการออนไลนภาครฐ .....................................................................................15

ระบบสาธารณปโภคและระบบการปองกนประเทศ .........................................16

บทท 2: ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ ..............18

เอกสารและขอมลสาธารณะ ............................................................................19

ขอมลสาธารณะทออนไหว ...............................................................................21

การสอสารผานชองทางอเลกทรอนกส การจดเกบเอกสาร และขอมลอเมลทมการรบสง .............................................................................23

ขอมลความมนคงของชาต .................................................................................26

บทท 3: การใชจายดานเทคโนโลยสารสนเทศภาครฐ .......................................30

กระบวนการจดซอทเกยวของกบกบเทคโนโลยสารสนเทศภาครฐ ....................33

การใชจายดานเทคโนโลยสารสนเทศ สำาหรบการดแลระบบสารสนเทศของภาครฐ ....................................................34

การใชจายดานเทคโนโลยสารสนเทศสำาหรบการดแลเวบไซด และบรการออนไลนภาครฐ ...............................................................................35

บทท 4: ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ .................38

การกอการรายดานเทคโนโลยสารสนเทศและ ภยคกคามตอโครงสรางพนฐานทสำาคญของรฐ ..................................................39

การจารกรรมขอมลทเปนความลบหรอขอมล ทสำาคญตออธปไตยของประเทศ ........................................................................40

การโจมตแบบ Denial of Service ตอโครงสรางพนฐานสำาคญของรฐ ...........41

การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ ............................................44

Advanced Persistent Threats .....................................................................46

บทท 5: แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภย ดานเทคโนโลยสารสนเทศของรฐ .......................................................................52

การสรางความตระหนกและการใหความรแกสาธารณะ ..................................55

แผนการเตรยมความพรอมในการจดการภยคกคาม .........................................58

การปองกนระบบเครอขายจากภยคกคาม .........................................................60

การตอบสนองตอภยคกคาม ..............................................................................62

การลดผลกระทบอนเกดจากภยคกคาม ............................................................63

รายการตรวจสอบสำาหรบแผนความมนคงปลอดภยดานเทคโนโลย สารสนเทศของรฐ ..............................................................................................65

บทสรป ..............................................................................................................68

รายการอางอง ...................................................................................................70

6 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทสรปผบรหาร

“รฐสามารถเออประโยชนใหกบสงคมไดดขน ถารฐสามารถใชประโยชนจากเทคโนโลยสารสนเทศและการเชอมตอเครอขายอนเทอรเนตไดอยางเหมาะสม อกทงยงเปดโอกาสใหรฐสามารถสอสารกบประชาชนของตวเองหรอประชาคมโลก” ตวอยางการใชเทคโนโลยสารสนเทศทเออประโยชนใหรฐได เชน การรวบรวมและใชประโยชนจากขอมลทมมากขน การลดขนตอนกระบวนการ การลดการใชกระดาษ ทงนเพอเพมประสทธภาพและประสทธผลในการใหบรการภาครฐตอประชาชน รวมไปถงการเพมประสทธภาพกระบวนการภายในของภาครฐเอง

อยางไรกตามการใชประโยชนจากเทคโนโลยสารสนเทศทเพมขนกทำาใหรฐมความเสยงกบภยคกคามรายแรงเพมขน ทงตอความมนคงของชาต โครงสรางพนฐาน ขอมล และความสมพนธระหวางประเทศ ทงนการระบและจดการภยคกคามเหลานเปนเรองสำาคญตอการสรางยทธศาสตรทแขงแกรงและยดหยน (robust and resilient) ในดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบการทำางานผานเครอขายอนเทอรเนต

ในหลายประเทศ รฐจดใหมเจาหนาทระดบสงเขามาดแลงานเทคโนโลยสารสนเทศ (เทยบเคยบกบ CTO/CIO : Chief Technology Officer/Chief Information Officer ในองคกรเอกชน) เพอทจะเขาใจและจดการเรองเทคโนโลยสารสนเทศ จากการวจยพบวาประเทศทมความพรอมในการจดการภยคกคามดานเทคโนโลยสารสนเทศ จะจดการเรองนแบบองครวม โดยมกจกรรมตวอยาง เชน

• จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERTs - Computer Emergency Response Teams)

• ใหความรความเขาใจกบเจาหนาทรฐและประชาชนโดยทวไป

• มกระบวนการจดซอจดจางทมนคงปลอดภย (เพอลดความเสยหายจาก ภยคกคามประเภทมลแวร/ไวรส)

7

หนงสอฉบบนมงใหกรอบการทำางานแกเจาหนาทรฐทไมไดมพนความรทางดานเทคโนโลยสารสนเทศ เชน เจาหนาทดานประชาสมพนธ เจาหนาทจากงานจดซอ จดจาง ฯลฯ ใหสามารถเขาใจและอภปรายประเดนเหลานรวมกนกบเจาหนาทรฐททำางานดานเทคโนโลยสารสนเทศ ในขณะท CTO หรอ CIO สามารถใชเปนเครองมอขอความสนบสนนในวงกวางจากหนวยงานตาง ๆ ของรฐเพอหาแนวทางในการจดการและตอบสนองอยางเหมาะสมกบภยคกคามดานเทคโนโลยสารสนเทศตอรฐ

ภายในเลมแบงเปน 5 หวขอหลก เรมจาก การใชงานเทคโนโลยสารสนเทศภาครฐ ขอมลทมการจดเกบและบรหารโดยภาครฐ การใชจายภาครฐทเกยวของกบเทคโนโลยสารสนเทศ ภยคกคามดานเทคโนโลยสารสนเทศทรฐกำาลงพบในปจจบน โดยมการเสนอแนวทางทภาครฐสามารถพฒนานโยบายดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ เพอปองกนภยภยคกคามทเกดขนจากการใชเครอขายอนเทอรเนต รวมทงรายการตรวจสอบ (Checklist) ทชวยใหสามารถประเมนความพรอมในการรกษาความมนคงปลอดภยจากภยคกคามทเกดขนจากการใชเครอขายอนเทอรเนต

บทท 1: การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ

• การพฒนาระบบเทคโนโลยสารสนเทศเพอใชงานในภาครฐและบรการออนไลนภาครฐ มบทบาทสำาคญในเชงบวกทสามารถเพมการมสวนรวมกบประชาชน ทงนประเทศสหรฐอเมรกา เกาหลใต และสงคโปร ไดรบการจดใหเปนประเทศทเปนผนำาดานน

• ระบบสาธารณปโภคและระบบการปองกนประเทศมการใชงานผานเครอขายเทคโนโลยสารสนเทศมากขน

• ถาภาครฐไมมการจดการในการใชเทคโนโลยสารสนเทศอยางเหมาะสม รฐและประชาชนอาจจะประสบปญหาดานความเปนสวนตว การจารกรรมขอมล และการขาดความปลอดภยในการใชบรการสาธารณะ

8 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท 2: ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ

• ขอมลสาธารณะและขอมลสวนตวปรมาณมากจดเกบและใหเขาถงได ผานระบบเทคโนโลยสารสนเทศของภาครฐ ทงนยงพบวา นอกเหนอจาก ขอมลสาธารณะทมการเผยแพรผานชองทางบรการออนไลนของภาครฐ ขอมลทออนไหวบางประเภท เชน เลขประจำาตวประชาชน ขอมลภาษ อเมลทใชในการสอสารภายในรฐบาล และขอมลดานความมนคงปลอดภยทเปนความลบ

• ขอมลในแตละระดบชนความลบ ตองการความปลอดภยและการปองกนทตางกน ดงนนรฐจงจำาเปนตองดำาเนนการอยางเหมาะสมในการจดเกบและเขาถงขอมลเพอสรางความนาเชอถอของขอมล

• การโจมตทางระบบเทคโนโลยสารสนเทศในหลายปทผานมา มงไปทขอมล ทภาครฐจดเกบ เชน ขอมลบตรประจำาตวประชาชน ซงเหตการณดงกลาวทำาใหความเชอมนกบภาครฐของประชาชนลดลง และภาครฐเองกตองเสย คาใชจายจำานวนมากในการจดการเรองดงกลาว

บทท 3: การใชจายดานเทคโนโลยสารสนเทศภาครฐ

• ประเทศในแถบอเมรกาเหนอ ยโรปตะวนตก และออสเตรเลย ถอเปนผนำาในการใชทรพยากรและการใชจายเพอสรางความมนคงปลอดภยทางเทคโนโลยสารสนเทศบนเครอขายอนเทอรเนต ประเทศในแถบอาวเปอรเซยและในเอเชย มการใชจายในดานนเชนกน หลงจากทพบการโจมตทางระบบเทคโนโลยสารสนเทศบนเครอขายอนเทอรเนต

• การใชจายดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบบรการออนไลนของภาครฐมกจะเนนไปทการตรวจหาและตอบสนองตอภยคกคาม การแกไขปญหาขอมลรวไหล รวมทงการจดการเวบไซตและบรการออนไลนภาครฐ

9

บทท 4: ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ

• ภยคกคามดานเทคโนโลยสารสนเทศตอรฐมจำานวนมากและสรางผลกระทบ ในหลายระดบ ตวอยางภยคกคามทางดานเทคโนโลยสารสนเทศทพบไดทวไป ไดแก การกอการรายทางเทคโนโลยสารสนเทศและการคกคามตอโครงสราง พนฐานทสำาคญของรฐ การจารกรรมขอมลทเปนความลบหรอขอมลทสำาคญตออธปไตยของประเทศ การโจมตแบบ Denial of Service ตอโครงสรางพนฐานสำาคญของรฐ การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ การโจมตแบบตอเนองขนสง

• สาเหตสำาคญทเพมความเสยง เปดโอกาสใหมลแวรบกรกเขามาในระบบเทคโนโลยสารสนเทศของรฐ และใชระบบทำาการตาง ๆ อนไมพงประสงฆ ไดแก การใชซอฟตแวรละเมดลขสทธในหนวยงานภาครฐ การขาดการจดการทด และการจดซอจดจางทหละหลวม

บทท 5: แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ

• ยทธศาสตรความมนคงดานเทคโนโลยสารสนเทศทด ควรมการจดการแบบ องครวม และมความสามารถในการรบมอกบการโจมตในแงมมตาง ๆ โดยคำานงถงวธการทงในเรองปองกน-ตอบสนอง-ลดผลกระทบ

• แผนดำาเนนการทมประสทธผลในการสรางกลยทธ ควรมขนตอนทจะ

- เพมความตระหนก และยกระดบของความเขาใจในหมประชาชนทวไป ดวยการใหความรแกเจาของธรกจ นกเรยน และหนวยงานของรฐ ในเรองภยคกคามทมอย รวมทงวธปกปองเครอขายของตนจากการโจมต

10 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

- สรางความพรอม ดวยการสรางศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ทคอยประสานงานเพอจดการภยคกคาม รวมถงแบงปนความรและทกษะ

- ปองกนการโจมต ผานการสรางและการดแลรกษาเครอขายคอมพวเตอรใหมความมนคงปลอดภย รวมไปถงการจดซอทมประสทธภาพ

- ตอบสนองอยางมประสทธผลตอการโจมต โดยใหอำานาจแกผออกกฎหมาย ผมอำานาจควบคม ผจดทำานโยบาย โดยมระเบยบขอบงคบทด และการใชเครองมอทสามารถตอสกบการโจมตทางเทคโนโลยสารสนเทศ

- บรรเทาความเสยหาย เพอเรยกคนความเชอมนของประชาชนและผมสวนเกยวของ ผานการสอสารทมประสทธภาพ กระบวนการรววทไดจดทำาไว และการสรางพนธมตรกบภาคเอกชน รฐบาลประเทศอน และองคกรระหวางประเทศ

รปท 1 แผนด�ำเนนกำรเพอสรำงยทธศำสตรควำมมนคงปลอดภย ดำนเทคโนโลยสำรสนเทศ

การสราง

ความตระหนก

การจดการสถานการณฉกเฉน

การปองกน

ความมนคงปลอดภย

ตอภยคก

คาม

การตอบ

สนอง

อนเกดจากภยคกคาม

การลดผลกระทบ

11

12 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท1:การพงพาการใชเทคโนโลยสารสนเทศของภาครฐ

ในปจจบน รฐตองรบผดชอบตอขอมลทเพมมากขนกวาในอดต ขอมลทมความหลากหลายมการจดเกบในระบบสารสนเทศทมการพฒนาอยางรวดเรว -ระบบ ทภาครฐใชกลาสมยและอาจเปนจดเสยงตอภยคกคามความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

โครงสรางพนฐาน

• การเชอมตอบรอดแบนดระดบชาต (National Broadband Connectivity)

• การเพมประสทธภาพในการบรหารจดการ (Management Optimization)

• ระบบบรการสาธารณะ (Public Management Systems)

บรการออนไลนภาครฐ

• ระบบชำาระภาษออนไลน (e-Taxes)ระบบการออก ใบอนญาต และการชำาระคาปรบ

• ระบบการลงคะแนนเสยงเลอกตงทางอเลกทรอนกส

• ระบบประกวดราคาสาธารณะ

• ระบบเพอใหบรการสาธารณะ

• อเมลสำาหรบประชาชน

ระบบสาธารณปโภคและโครงสรางพนฐานสารสนเทศทส�คญ

• ไฟฟา

• ประปา

• โทรคมนาคม

• พลงงาน เชน นำามน LPG NGV

• สอ เชน ชองสญญาณโทรทศน วทย

13

ในป 2556 เฉพาะหนวยงานรฐบาลกลางสหรฐฯ (US Federal Agencies) มการจดเกบขอมลราว 1.6 Petabytes และคาดวาจะเพมเปน 2.6 Petabytes กอนป 25591 โดยสำานกงานความมนคงแหงชาตของสหรฐอเมรกา (National Security Agency of the USA) กำาลงกอสราง Data Center ซงคาดวาจะเกบขอมลไดระหวาง 1 Exabyte - 1 Yottabyte

2 แนวโนมทปรบเปลยนกำรจดกำรเอกสำรและขอมลสำธำรณะในภำครฐ ในชวงหลง ๆ น คอ นโยบำย

“รฐบำลโปรงใส” (Open Government) และ “กำรใชเทคโนโลย Cloud” (Cloud Initiative) โดยสงท

ตำมมำกบแนวโนมเหลำนคอระดบควำมเสยงเรองควำมมนคงปลอดภยทเพมขนตอภำครฐ

ในทกระดบชนของหนวยงานรฐพงพาการใชงานขอมลทมคณภาพมากขน โดยสงไปยงหนวยงานตาง ๆ เพอใหบรการทมคณภาพ ทำาใหซอฟตแวรกลายเปนปจจยสำาคญทหนวยงานรฐตองใช เพอเพมประสทธภาพใหกบระบบ กระบวนการและการแลกเปลยนขอมล

โครงสรางพนฐานรฐบาลอเลกทรอนกส

ตงแตปลายทศวรรษ 1990 ประเทศสวนใหญไดประกาศนโยบายรฐบาลอเลกทรอนกสหรอไดกำาหนดแนวทางสการเปนรฐบาลอเลกทรอนกส ยงผลใหเกดการพฒนาอยางมากตอการบรหารรฐกจในทกระดบ สำานกงานเศรษฐกจและกจการสงคมแหงสหประชาชาต2 (the United Nations Department of Economics) ไดประกาศหลกการ เบองหลงแนวคดรฐบาลอเลกทรอนกส คอ เพอปรบปรงการทำางานภายในของภาครฐ โดยลดคาใชจายและลดเวลาในการทำาธรกรรม ทำาใหการใชกระบวนการทำางานและการใชทรพยากรมประสทธผล หรออกนยหนงคอ เพอ สงเสรมการประสานงานและการเชอมตอระหวางระบบทเกยวของกนกบผลลพธของการพฒนา ในบรบทซงสะทอนความสำาคญและความเปนสากลของการพฒนา เหลาน มงานวจยจำานวนมากทสำารวจความพรอมของรฐบาลอเลกทรอนกสเพอประเมน

14 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

การพฒนาโครงสรางพนฐานทเกยวของ นอกจากการเชอมตอบรอดแบนด การพฒนาบคลากร การสงเสรมการใชบรการออนไลนภาครฐ รวมถงตวชวดอน ๆ เชน การเพมประสทธภาพในการบรหาร (Management Optimization) เชน การเพมประสทธภาพระบบและเครอขาย ระบบบรหารจดการงบประมาณ การปฏรปการบรหารรฐกจโดยใชเทคโนโลยสารสนเทศ ฯลฯ และระบบทใหบรการ เชน ระบบประกวดราคาทางอเลกทรอนกส ระบบชำาระภาษออนไลน (e-Taxes) ระบบลงคะแนนเสยงทางอเลกทรอนกส ฯลฯ)3 สหรฐอเมรกา สงคโปร และเกาหลใต ไดรบการจดอนดบในเรองการพฒนารฐบาลอเลกทรอนกสในแตละปในลำาดบตน ๆ เสมอ

เวบของรฐบาลสหรฐอเมรกา (www.USA.gov) ทำใหประชาชนเขาถงขอมลและบรการทมองหาไดโดยตรง เวบนเชอมโยงไปยงหนวยงานทกแหง รวมทงหนวยงานของแตละมลรฐ หนวยงานสวนทองถน และกลมชาตพนธตาง ๆ  ตงแตป 2553 คณลกษณะทเปนการเพมคณคา ไดแก 1. สามารถเขาถงผานโทรศพทเคลอนท 2.สามารถแจงเตอนเนอหาทผเยยมชมสามารถลงทะเบยนได 3. สนทนาสดกบตวแทนของรฐ รฐบาลสหรฐฯ ยงจดใหมเวบไซตทเปนภาษาสเปน (www.GobiernoUSA.gov) ซงรวบรวมเวบไซตของหนวยงานภาครฐทงหมดทเปนภาษาสเปนเพอใหเขาถงงาย

รปท 2 สหรฐอเมรกำ ประเทศทเปนผน�ำ ในกำรพฒนำรฐบำลอเลกทรอนกส ป 2557

15

บรการออนไลนภาครฐ

ถาการสรางโครงสรางพนฐานรฐบาลอเลกทรอนกสเพอปรบปรงประสทธภาพและประสทธผลของการใหบรการภาครฐ เปนงานดานหนงของการทำางานภาครฐทตองเชอมโยงกบองคกรตาง ๆ (Networked Government) งานอกดานหนงทมความกาวหนาในหลายประเทศ คอ การใหบรการออนไลนภาครฐ หลายประเทศกำาลงเปลยนจากการจดรปแบบองคกรแบบกระจายศนยไปสรปแบบการรวมศนยโดยใหทกภาคสวนของรฐบรณาการเขาหากน เพอใหประชาชนสามารถเขาถงบรการทงหมดทรฐใหบรการเปนจดเดยว โดยไมตองคำานงวาเปนหนวยงานใดทใหบรการ ในบางประเทศ แนวทางแบบรฐทเชอมตอเปนหนงเดยวน ชวยสรางระบบทโปรงใส ทำาใหเกดการพฒนาประสทธภาพและประสทธผลของรฐ

ขณะทรฐเพมบรการออนไลนใหม ๆ และใหประชาชนมสวนรวมมากขน รฐกลบตองเผชญปญหาเกยวกบการสรางบรการใหม ๆ การรวมบรการ และการเปดเผยขอมลภาครฐ การทตองเชอมโยงระบบทแตกตางกนและระบบระหวางหนวยงานทำาใหเจาหนาทของรฐทรบผดชอบในการพฒนาระบบหรอพฒนาบรการออนไลน จำาเปนตองคำานงถง 3 ปจจยสำาคญ ไดแก Open Platforms, Interconnection, Interoperability ซงสงนยงทวความสำาคญเมอภาครฐถกกดดนใหเปดเผยขอมลเพอความโปรงใส

แนวโนม 2 อยางทเปลยนวธจดการเอกสารและขอมลสาธารณะในภาครฐ เมอไมกปมานคอนโยบาย “รฐบาลโปรงใส” (Open Government) และ “การใชเทคโนโลย Cloud” (Cloud Initiative) รฐบาลสหรฐฯ อางวาโครงการ “รฐบาลโปรงใส” ของตนทำาให “ประชาชนเขาถงขอมลของหนวยงานสำาคญกวา 390,000 ชดขอมล ในหวขอตาง ๆ เชน ความปลอดภยของรถยนต การเดนทางทางอากาศ คณภาพอากาศ ความปลอดภยในสถานททำางาน ความปลอดภยในการใชยา โภชนาการ อาชญากรรม โรคอวน การจางงาน และสาธารณสข”4 รฐบาลสหรฐฯ ยงไดรเรมโครงการทจะบงคบใหหนวยงานของรฐยายระบบทมผลกระทบนอยถง

Open Platforms, Interconnection, Interoperability เปนสำมประเดนส�ำคญทเจำหนำท

ของรฐตองใหควำมสนใจในกำรพฒนำระบบ

16 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

ปานกลางไปส Cloud ภายในป 2558 ซงการเปลยนแปลงเหลานสงผลแงมมหนงคอระดบความเสยงดานความมนคงปลอดภยทสงขน

ระบบสาธารณปโภคและระบบการปองกนประเทศ

ระบบสาธารณปโภคตาง ๆ เชน ไฟฟา ประปา และ โทรคมนาคม (หรอเรยกวาโครงสรางพนฐานทสำาคญ) หรอโครงสรางพนฐานสารสนเทศทสำาคญ (Critical Information Infrastructure - CII) เปนระบบสำาคญทเรมเชอมตอกนขนเรอย ๆ ผานเครอขาย

ระบบสอสารโทรคมนาคมและระบบสาธารณปโภค กตองพงพาเทคโนโลยสารสนเทศมากยงขนดวย เชน ระบบบรหารจดการ (Management Software) ซอฟตแวรเรยกเกบเงน (Billing Software) และโปรแกรมสำาเรจรป (Package Software) รวมถงระบบ SCADA (Supervisory Control and Data Acquisition) ซงใชควบคมโรงไฟฟาและโรงผลตสาธารณปโภคตาง ๆ แบบ Real time

จากสถานการณแบบนไดเพมความกงวลตอความมนคงปลอดภย รฐจงลงทนในเครอขายใหมความมนคงปลอดภยอยางเชน GSI (Government Secure Intranet) และ GCmail (Government Connect Mail) แตดวยความสามารถทจำากด ระบบดงกลาวมกมการใชเฉพาะการสอสารระหวางรฐกบหนวยงานภายนอกและคคา5

17

18 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท2:ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศ

ประเภทของขอมลทรฐจดเกบในระบบเทคโนโลยสารสนเทศสามารถแบงไดเปน 3 ประเภท ไดแก

1. ขอมลภายใน (Intrinsic Data) – ขอมลทสราง รวบรวม จดเกบ โดยรฐ

2. ขอมลทเกยวของกบการทำาธรกรรมกบภาครฐ (Commercial Data) – ขอมลทเกดจากการทำาธรกรรมและการสอสารระหวางภาครฐและภาคเอกชน

3. ขอมลสวนบคคลของภาคประชาชน (Personal Data) – ขอมลทภาคประชาชนสงใหรฐตามกฎระเบยบขอบงคบหรอเพอประโยชนสาธารณะ

ทงนวธการจดเกบขอมลสารสนเทศทมการประมวลผลและจดเกบโดยรฐ เชน จดเกบโดยจำากดการเขาถงหรอใหเขาถงบนเครอขายเปด (Open Network) หรอบน Cloud ขนอยกบชนความลบของขอมล (Information Classification) การเผยแพรขอมลสารสนเทศของภาครฐทไมเปนความลบทงบรการทมคาใชจายและไมมคาใชจาย

19

เอกสารและขอมลสาธารณะ

ขอมลสาธารณะทออนไหว (Sensitive Information)

ขอมลความมนคงของชาตและการปองกนประเทศขอมลภายใน

(Intrinsic Data)

ขอมลทสราง รวบรวม จดเกบ โดยรฐ

ขอมลทเกยวของกบการท�ธรกรรมกบภาครฐ (Commercial Data)

ขอมลทเกดจากการทำาธรกรรมและการสอสาร

ระหวางภาครฐและ ภาคเอกชน

ขอมลสวนบคคล ของภาคประชาชน (Personal Data)

ขอมลทภาคประชาชน

สงใหรฐตามกฎระเบยบ

ขอบงคบหรอเพอประโยชน

สาธารณะ

เอกสารและขอมลสาธารณะ

รฐเกบและควบคมคลงขอมลทเกยวของกบขอมลของประชาชนและการทำางานของประเทศ ขอมลจำานวนมากซงเดมเคยเกบในรปกระดาษ ไดมการแปลงเปนขอมลในระบบเทคโนโลยสารสนเทศ เนองจากการผลกดนเรองรฐบาลอเลกทรอนกสในชวง ครสตทศวรรษ 1990 และ 2000 ทงน ประเภทของขอมล ระดบการเขาถง และความถกตองของขอมล มความแตกตางกนขนกบแตละประเทศ

โดยทวไป รฐพยายามเผยแพรขอมลมากขนเรอย ๆ ใหสาธารณชนโดยไมคดคาใชจาย (หรอคดนอยมาก) ขอมลดงกลาวมกจดใหเปนของสาธารณะ และมการเผยแพรขอมลในรปแบบเอกสารของรฐ (Public Record) เชน ฐานขอมลของ

• กฎหมายประเภทตาง ๆ – เชน กฎหมายของนวซแลนด (www.legislation.govt.nz)

ประเภทของขอมลทจดเกบบนระบบของรฐ

20 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

• หนงสอและเอกสารในหองสมดสาธารณะ – เชน คณะกรรมการหองสมดแหงชาตของสงคโปร (www.nlb.gov.sg)

• สถตอาชญากรรม – เชน ฐานขอมลสถตอาชญากรรมของ FBI สหรฐอเมรกา (www.fbi.gov/about- us/cjis/ucr/ucr)

• ระบบจดซอจดจางออนไลนของรฐบาล – เชน ระบบ GeBiz ของสงคโปร (www.gebiz.gov.sg)

หนวยงานรฐมการเชอมตอกนมากขนและสรางเอกสารจำานวนมาก ทำาให ฐานขอมลของภาครฐตกเปนเปาของการจารกรรมขอมล ในป 2555 หนวยงานรฐหลายแหงในยเครน เบลเยยม โปรตเกส โรมาเนย สาธารณรฐเชก และไอรแลนด ตกเปนเปาของการโจมตโดยมลแวรทชอ ‘MiniDuke’ ซงโจมตโดยใชชองโหวของเอกสาร PDF6 ไฟลเอกสารซง “ดเหมอนเอกสารของรฐบาล” และม “เนอหาทเขยนไวอยางด” โดยแตงเรองขนมาเปนขอมลสทธมนษยชนและนโยบายตางประเทศ ไดฝงมลแวรไว ซงจะทำางานเมอเปดเอกสาร ทำานองเดยวกน การโจมตทญปนทำาใหเอกสารกวา 3,000 รายการรวไหลจากหนวยงานรฐ ซงเปนผลมาจากมลแวรทตดมากบเอกสาร PDF เชนกน7

WikiLeaks และ การเปดโปงของสโนวเดน

WikiLeaks.org เปนเวบไซตทจดทะเบยนโดย Julian Assange ชาวออสเตรเลยในป 2542 และเรมดำาเนนการจรงจงในป 2549 เพอเปน “ระบบทเปดเผยเอกสารจำานวนมากทตดตามไมไดซงเลดลอดออกมาใหสาธารณชนวเคราะห” (Uncensorable system for untraceable mass document leaking and public analysis) เอกสารลบของรฐบาลไดมการรายงานและ เผยแพรผานความรวมมอกบสอมวลชนหลายแหง โดยเฉพาะอยางยงหนงสอพมพ The Guardian ซงรวมถงเอกสารทรฐถอวาเปนการทำาลายความมงคงของชาตอยางใหญหลวง

21

เอกสารลบสำาคญชนแรกทหลดมาส WikiLeaks นนมาจาก Chelsea Manning (ชอเดม Bradley Manning) ทหารแหงกองทพบกสหรฐฯ ทประจำาการในอรกในฐานะนกวเคราะหขาวกรอง เธอถกตดสนจำาคก 35 ปจากความผด

ในเดอนมถนายน 2556 Edward Snowden ผเชยวชาญคอมพวเตอรซงเคยทำางานกบสำานกงานขาวกรองกลาง (CIA) หนวยขาวกรองกลาโหม (DIA) และสำานกงานความมนคงแหงชาต (NSA) ไดปลอยเอกสารลบหลายพนชน การเปดโปงหลกนนเปนเรองเกยวกบโครงการสอดแนมระดบโลกโดย NSA ซงรวมถงการดกฟงโทรศพท การสอดแนมขอมลบนอนเทอรเนต และบนทกตำาแหนงทอยของประชาชน ผกำาหนดนโยบายหลายคนเรยกการเปดโปงนวาเปนความปราชยครงใหญทสดของงานขาวกรองนบตงแตสงครามโลกครงท 2

ขอมลสาธารณะทออนไหว

ขอมลสาธารณะจำานวนมากทรฐเปนผดแลเปนเรองออนไหว (Sensitive Public Data) ขอมลนอาจไดแก ชอ วนเกด หมายเลขโทรศพท หมายเลขประจำาตวผเสยภาษ หมายเลขประจำาตวประชาชน หมายเลขหนงสอเดนทาง รายละเอยดสขภาพ/การแพทย ระเบยนคนเขาเมอง เปนตน

ตวอยางบรการของรฐซงบรการจดการขอมลดงกลาว ไดแก

1. ทะเบยนราษฎรหรอรายชอผมสทธเลอกตง – เชน ทะเบยนบตรประชาชนและผมสทธเลอกตงของบงกลาเทศ (www.nidw.gov.bd)

2. การเขาเมอง ใบขอวซาและทองเทยว – เชน ใบขอวซาประเทศจนสำาหรบพลเมองฮองกง

3. ระบบชำาระภาษออนไลน เชน e-Tax Online ของออสเตรเลย (www.ato.gov.au)

22 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

4. การขอใบอนญาตประกอบธรกจ – เชน ใบอนญาตออนไลนสำาหรบประกอบธรกจในมลรฐวอชงตน (www.bls.dor.wa.gov)

ประเดนสำาคญประการหนงคอ ขอมลรฐซงดเหมอนไมมความสำาคญ เมอนำามาปะตดปะตอจากฐานขอมลตาง ๆ กอาจใชบงชหรอระบตวบคคลได ตวอยางทพบทวไปเปนขอมลทสงผลกระทบตอบคคลหรอองคกร เชน ขอมลผเสยภาษ ขอมลประกนสงคม เวชระเบยน และขอมลทางพนธกรรม8 รายการของขอมลทออนไหวอาจรวมถงขอมลทเกยวของกบการสบสวนอาชญากรรม ขอมลทางการเงน และแผนเตรยมความพรอมฉกเฉน9 ประเดนนกลายเปนปญหาทเกดขนจรงในเดอนเมษายน 2557 เมอมการพบชองโหวทชอ Heartbleed ซงถงจะไมสามารถประมาณไดวามการใชชองโหวนเขาถงขอมลสวนบคคลไปกครง แตเหตการณทเกดขนเพยงไมกครงกแสดงความรายแรงของสถานการณน ตวอยางเชน ในแคนาดา หมายเลขประกนสงคม 900 หมายเลข ถกขโมยจากสำานกงานสรรพากรในชวงเวลา 6 ชวโมงโดยบคคลหรอกลมบคคลทใชชองโหวจาก Heartbleed10

ในสงคโปร ประชาชนใชระบบทเรยกวา SingPass เพอเขาถงบรการออนไลนราว 340 บรการ มการตรวจพบการเขาถงขอมลสวนบคคลโดยไมไดรบอนญาตในระบบ SingPass กวา 1,500 บญชในป 2557 โดยสวนหนงมจดประสงคเพอใบอนญาตทำางาน (Work Permit) ปลอม 11

การประมวลผลและจดเกบขอมลสาธารณะทออนไหว มระดบของความมนคงปลอดภยตางกนไปในแตละประเทศหรอแมกระทงภายในประเทศ เชน รฐแอลเบอรตา ในแคนาดา บงคบใหการเขาถงขอมลทออนไหวทงหมดตองไดรบอนญาตและตรวจสอบตวตนของผใชวาถกตอง12 ขณะทมลรฐนอรทแคโรไลนา ในสหรฐอเมรกา ไมจำากดการเขาถงขอมลทออนไหวเวนแตมกฎหมายประกาศวาตองปกปด13

23

การสอสารผานชองทางอเลกทรอนกส การจดเกบเอกสาร และขอมลอเมลทมการรบสง

รฐบาลสมยใหมไดปรบปรงชองทางสอสารไปสชองทางอเลกทรอนกสมากขน เชน การใชอเมลหรอการแลกเปลยนขอมลทางอเลกทรอนกส ทำาใหมปรมาณขอมลในการสอสารกนเพมมากขน ซงขอมลสอสารจำานวนมากของเจาหนาทในภาครฐถอวาเปนขอมลลบ ถกจำากดการเขาถง บางครงกมเนอหานาอบอาย รฐยงเปนเจาของเอกสารจำานวนมาก เชน เอกสารนำาเสนอ (Slide Deck) เอกสารแสดงการคำานวณ (Spreadsheet) และเอกสารอน ๆ ทมขอมลภายในทออนไหว

ขอมลทรฐบรหารจดการมปรมาณทเพมขนแบบกาวกระโดด ซงเพมโอกาสเกดความเสยหาย ถาอเมลสวนตวของเจาหนาทหรอของหนวยงานภาครฐถกเผยแพรโดยไมไดรบอนญาต เชน กรณของ WikiLeaks หรอการเปดโปง NSA โดย Snowden ผลทตามมาคอความเสยหายรายแรงตอหนวยงานของรฐทเกยวของ

ความเสยงดงกลาวยงเพมขน เมอองคกรตางๆ รวมทงหนวยงานของรฐ เขาส ยคของการ “นำาอปกรณสวนตวมาทำางาน” (Bring Your Own Device - BYOD) มากขน พรอม ๆ กบความแพรหลายของอปกรณทใชเขาถงขอมลทหลากหลาย เชน โทรศพทเคลอนท แทบเลต และอปกรณอจฉรยะอน ๆ เชน นาฬกา และแวนตา ครงหนง Blackberry เคยเปนอปกรณสอสารทใชกนแพรหลายทสดสำาหรบแลกเปลยนขอมลทหามโดยรฐ ในป 2555 CESG ขององกฤษ ไดอนมตใหใช iPhone เพอรบสงอเมลทมเนอหาออนไหว14

ทงนการเปดโปงเรองท NSA พยายามดกฟงโทรศพทของ Angela Markel นายกรฐมนตรของเยอรมน ทำาใหมการออกมาตรฐานความมนคงปลอดภยของโทรศพท เคลอนทและแทบเลต เพมมากขน ปจจบน Blackberry ผลตโทรศพททมนคงปลอดภยทสด ซงมการเขารหสลบและจำาหนายแกเจาหนาทของรฐเทานน ในโลกทกำาลงพฒนาโดยเฉพาะในเอเชย สถานการณนยงซบซอนไปอก เมอเจาหนาทของรฐจำานวนมากยงใชอเมลสาธารณะในการสอสารแบบทางการ ตวอยางเชน ทการประชมของคณะ

24 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

กรรมาธการเศรษฐกจและสงคมแหงสหประชาชาตสำาหรบเอเชยและแปซฟก (UN-ESCAP) ป 2555 ในกรงเทพฯ เจาหนาท 20 ประเทศ จาก 33 ประเทศในเอเชยระบทอยอเมลซงเปนของ Gmail, Hotmail หรอ Yahoo ในแบบฟอรมขอมลการตดตอ15

เมออเมลสวนตวของเจำหนำทในภำครฐ ถกเผยแพรโดยแหลงทไมไดรบอนญำต เชน กรณ

ของ WikiLeaks หรอกำรเปดโปง NSA โดย Snowden ผลทตำมมำคอควำมเสยหำยรำยแรง

ตอหนวยงำนของรฐทเกยวของ

ภยคกคามทางดานเทคโนโลยสารสนเทศมงไปทขอมล ความมนคงระดบสงของชาต

มกราคม 2554 – รฐบาลแคนาดารายงานวามการโจมตหนวยงานของรฐ ซงรวมถงสำานกวจยและพฒนากลาโหมของแคนาดา การโจมตนทำาใหกระทรวงการคลงและกรรมาธการธนารกษ ซงเปนหนวยงานหลกดานเศรษฐกจของแคนาดาตองระงบการเชอมตออนเทอรเนต

กนยายน 2555 – ในฟลปปนส เวบไซตของหนวยงานหลกดานพาณชย องคกรพลเรอน และรฐบาล ถกโจมตในวงกวาง อนเปนการตอบโตตอพระราชบญญตคอมพวเตอรซงเปนประเดนรอนในขณะนน

ความเสยงอกประการหนงจากสมารตโฟน แทบเลต และอปกรณอน ๆ ทรฐบาลนำามาใชคอ เรองการดาวนโหลดแอปพลเคชน เชน Juniper Research ไดเตอนวา “การดาวนโหลดแอปพลเคชนจะยงเพมความเสยงตอเครอขายบรษทและรฐเนองจากแอปพลเคชนทไมไดดาวนโหลดจากแหลงทนาเชอถอ เชน Play StoreหรอAppStore อาจมมลแวรหรอสปายแวรแฝงอยซงสามารถขโมยอเมล SMSประวตการโทรศพทรายชอลกคาและขอมลอนๆ ขององคกรแอปพลเคชนทมมลแวรสามารถใชอปกรณเผยแพรโทรจนและไวรสเขาสเครอขายองคกร หรออาจท�าใหขอมลขององคกรรวไหล”16

25

ตลาคม 2555 - บรษท Kaspersky ของรสเซยคนพบปฏบตการ “Red October” โจมตคอมพวเตอรทวโลกมาตงแตป 2550 หรอกอนหนา มลแวรทใชโจมตไดขโมยขอมลจากสถานทต บรษทวจย ทตงทางทหาร หนวยงานดานพลงงาน โรงไฟฟานวเคลยร และโครงสรางพนฐานสำาคญอน ๆ

มกราคม 2556 – กลมแฮกเกอร “Anonymous” เจาะระบบและแกไขเวบไซตของหนวยงานภาครฐกวา 12 แหง

เมษายน 2556 – กระทรวงกลาโหมสหรฐฯ รายงานตอรฐสภาวากองทพจนไดเตรยมการโจมตทางคอมพวเตอรบนเครอขายอนเทอรเนตตอรฐบาลสหรฐฯ และผรบเหมาของกระทรวงกลาโหม การโจมตนไดขโมยขอมล เพยงพอทจะใหเหนภาพของเครอขายกลาโหม การสงกำาลงบำารง และสมรรถนะทางทหาร ซงอาจใชเพอชงความไดเปรยบในชวงวกฤต ในเดอนกรกฎาคม 2557 แฮกเกอรชาวจนไดเจาะเครอขายของสำานกงานบรหารบคลากรของสหรฐฯ และขโมยขอมลผสมครนบพนรายทอนญาตเขาถงขอมลลบ

ตลาคม 2556 –กลมแฮกเกอร “Anonymous” ไดเจาะระบบเวบไซตของมลนธชมชน PAP และสภาเมององโมเกยวในสงคโปร เพอระบายความไมพอใจตอเหตการณตาง ๆ ในประเทศ ตอมาในเดอนเดยวกน แฮกเกอร 2 รายเจาะเขาเวบไซตของทำาเนยบประธานาธบดสงคโปร โดยอาศยชองโหว แลวแทรกโคดอนตรายในเวบไซต

26 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

ขอมลความมนคงของชาต

“คนไมดจะไปทนนไมมละแวกบานไหนทปลอดภยเราทกคนตางเปนเพอนบาน”[ทางออนไลน]17 James B. Comey คำาใหการของผอำานวยการ FBI ตอรฐสภาทวอชงตน ด.ซ. ในกรณการโจมตทางคอมพวเตอร (14 พฤศจกายน 2556)

ขอมลทสำาคญทสดของรฐคอขอมลทเกยวกบความมนคงของชาต ซงรวมถงประเดนตาง ๆ ตงแตขาวกรองทางทหาร การปองกนภยฝายพลเรอน การเตรยมพรอมรบสถานการณฉกเฉน/ภยพบต ไปจนถงการปกปองโครงสรางพนฐานทสำาคญ และแผนเคลอนยายกำาลงพล

ประเดนนยงซบซอนขนเมอมการใชขอมลรวมกน ระหวางผรบเหมาของกระทรวงกลาโหมและหนวยงานภายนอกอนๆ การโจมตทางคอมพวเตอรหลายครงเกดขนโดยมงเปาไปทหนวยงานภายนอกเพอเขาถงขอมลสำาคญดานความมนคงของชาต

ปจจบนทกประเทศในเอเชยมโอกาสถกโจมตอยางมกลยทธและถกบกรกไดโดยไมมขอยกเวน ซงสงนเปนความทาทายตอการรกษาความมนคงปลอดภยของรฐ

ภาคเอกชนเองกตองรบมอกบการโจมตทางคอมพวเตอรบนเครอขายอนเทอรเนตเชนกน รานคาปลก Target18 และรานเคหะภณฑ Home Depot19 ตางตกเปนเหยอของการโจมตทางคอมพวเตอรครงใหญ คาดวามขอมลบตรเครดตและบตรเดบตรวไหลไปราว 100 ลานบญช20

ยงระบบเทคโนโลยสารสนเทศมความซบซอนมากขนเทาใด โอกาสทจะเกดภยคกคามตอระบบเทคโนโลยสารสนเทศกจะมมากขนไปดวย ทงยงจะลดทอนความมนคงปลอดภยในการปองกนภยคกคาม ซงอาจเปดชองโหวใหอาชญากรคอมพวเตอรเขามาฉวยประโยชนได การรกษาความมนคงปลอดภยทางคอมพวเตอรโดยรฐ จงควรมงเนนทการปองกนหวงโซอปทานทางเทคโนโลยสารสนเทศ (IT Supply Chain) และ การเพมเรองการรกษาความมนคงปลอดภยทางคอมพวเตอรในการจดซอระบบเทคโนโลยสนเทศของภาครฐ (เพมการมสวนรวมจากเจาหนาทรฐ) โดยรวมเปนสวนหนงของมาตรการเพอรกษาความมนคงปลอดภย

27

28 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

29

30 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท3:การใชจายดานเทคโนโลยสารสนเทศภาครฐ

จากงานวจยของ Gartner หนวยงานของรฐบาลทวโลกจะใชจายเงน 4.495 แสนลานเหรยญสหรฐกบโครงการทางดานเทคโนโลยสารสนเทศในป 2556 ซงลดลง 0.1% จากป 255521 ขณะทการใชจายดานเทคโนโลยสารสนเทศของประเทศสหรฐอเมรกาไดชะลอลงในป 2556 แตในชวงป 2544 ถง 2555 คาใชจายดานเทคโนโลยสารสนเทศของรฐบาลสหรฐฯ ไดเพมจาก 4.6 หมนลานเหรยญสหรฐ ไปเปน 8.1 หมนลานเหรยญสหรฐ ซงเพมเกอบสองเทาภายในหนงทศวรรษ22

ทกรฐบาลไมใชจะชะลอการใชจายดานเทคโนโลยสารสนเทศได การใชจายเงนดานเทคโนโลยสารสนเทศของภาครฐในออสเตรเลยคาดวาจะเตบโต 2.2% ตอป จนถง 1.07 หมนลานเหรยญออสเตรเลยกอนป 255023 การลงทนสวนใหญจะเปนดานซอฟตแวร24 นวซแลนดคาดวารายจายประเภทเดยวกนนจะเตบโต 1.4% จนถงมากกวา 1.6 พนลานเหรยญนวซแลนด25 แนวโนมของการเตบโตดานเทคโนโลยสารสนเทศในภาครฐเหนไดจากการใชจายในเทคโนโลยอปกรณเคลอนท การปรบปรงเทคโนโลยสารสนเทศใหทนสมย และการใชเทคโนโลย Cloud26 คาดวาทวโลกจะมการใชจายดานโครงสรางพนฐานบรการ Cloud สาธารณะถงเกอบ 1.08 แสนลานเหรยญกอนป 256027

เมอการใชจายของภาครฐสามารถตรวจสอบไดมากขน สงคมกใหความสนใจมากขนวามการ ใชจายไปกบทรพยากรใดบาง โดยเฉพาะเมอ งบประมาณเทคโนโลยสารสนเทศมมลคาหลายพนลาน การเหนความสำาคญของความมนคงปลอดภยทางเทคโนโลยสารสนเทศนนสะทอนใหเหนจาก งบประมาณทจดสรรโดยประเทศทพฒนาแลวเปนผนำาในเรองน ในป 2557 กระทรวงกลาโหมสหรฐฯ

 

รปท 3 กำรใชจำยดำน IT Cloud Service ทวโลก

แยกตำมประเภท28

31

ตงงบประมาณสำาหรบศนยบญชาการคอมพวเตอรมลคาถง 447 ลานเหรยญ และเพมอก 792 ลานเหรยญในการสรางทมดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบกระทรวงความมนคงแหงมาตภม (U.S. Department of Homeland Security)29 รฐบาลองกฤษใชเงน 650 ลานปอนดเพอรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศระหวางป 2554 ถง 255830 แตอยางไรกด เมอเปรยบเทยบกบรฐบาลประเทศอน เชน อนเดย ตงงบประมาณ 7.76 ลานเหรยญสหรฐสำาหรบการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศในป 255631

งบประมาณหรอการใชจายเหลานมความเขาใจมากขนวา บางอยางตองเนนเรองปญหาความมนคงปลอดภยทางเทคโนโลยสารสนเทศ โดยเฉพาะอยางยงนบตงแตมการโจมตทรฐอยเบองหลงหรอรฐตกเปนเปาหมายมากขน32 ประเทศไทยกำาลงตนตววาความมนคงปลอดภยทางเทคโนโลยสารสนเทศของประเทศอยในระดบ “วกฤต”33 ในทำานองเดยวกนการโจมตทางเทคโนโลยสารสนเทศตอทตงสำาคญในซาอดอาระเบยและกาตารเมอป 2555/2556 ไดปลกใหภมภาคนตนตวกบภยดงกลาว สหรฐอาหรบเอมเรตส ซาอดอาระเบย และประเทศอนในภมภาคกำาลงมงลงทนอยางหนกในเรองการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศ34

อยางไรกตาม ความพยายามของรฐในขณะนทจะจดการกบความมนคงปลอดภยทางเทคโนโลยสารสนเทศใหทนการณนนยงไมเพยงพอ ตวอยางความพยายามของภาครฐในเรองน

1. สงคโปรประกาศจดตงหนวยงานดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศเมอเดอนเมษายน 2558 (http://www.channelnewsasia.com/news/singapore/government-to-set-up/1618658.html)

2. เจาหนาทของอนโดนเซยหารอกนในเดอนธนวาคม 2557 เพอจดตงองคกรระดบชาตเพอตอสกบการโจมตทางเทคโนโลยสารสนเทศ (http://www.futuregov.asia/articles/5924-indonesia-plans-to-set-up- nation-al-cyber-security-agency)

32 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

3. ประเทศไทยไดผานความเหนชอบตอรางพระราชบญญตรกษาความมนคงปลอดภยไซเบอร เมอเดอนมกราคม 2558 (http://tech.thaivisa.com/gen-prayut-defends-controversial-new-cyber-laws-thailand/3438/)

4. อนเดยไดเผยแพรนโยบายความมนคงปลอดภยทางเทคโนโลยสารสนเทศฉบบแรกเมอเดอนกรกฎาคม 2556 (http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies- ncsss/NationalCyberSecurityPolicyINDIA.pdf)

5. นายกรฐมนตรออสเตรเลยประกาศแผนความมนคงปลอดภยทางเทคโนโลยสารสนเทศซงเปนสวนหนงของแผนกลยทธความมนคงปลอดภยแหงชาต เมอเดอนมกราคม 2556 (www.abc.net.au/unleashed/4484508.html)

นอกจากการใชจายทเฉพาะเจาะจงกบมาตรการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศแลว การจดซอจดจางทคำานงถงความมนคงปลอดภยทางเทคโนโลยสารสนเทศของรฐบาลกเปนอกหนงปจจยหนงทมกถกมองขามในการสรางรฐบาลทมความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ในการใชจายดานเทคโนโลยสารสนเทศอนประกอบดวย การจดซอจดจางโครงสรางพนฐานทางเทคโนโลยสารสนเทศ การสนบสนนและบรหารดานเทคโนโลยสารสนเทศ รวมถงการบรหารจดการบรการออนไลนและเวบไซต มกมจดออน เชน การใชซอฟตแวรทไมมลขสทธหรอซอมาจากบรษททไมนาเชอถอ รวมถงการใชงานซอฟตแวรทไมไดอปเดตซงเกดขนเนองจากความไมร

ปญหำทเกดขนกบผรบผดชอบดำนกำรจดซอในเอเชย คอ คอมพวเตอรทตดมลแวรมเพมขนและกำรขำด

ประสบกำรณในกำรจดกำรกบภยคกคำม (และ) องคกรสวนใหญไมระมดระวงอยำงเพยงพอ

ตอกำรโจมตประเภท Advanced Persistent Threat

33

กระบวนการจดซอทเกยวของกบระบบเทคโนโลยสารสนเทศภาครฐ

ประสทธภาพ (Productivity) ความยงยน (Sustainability) และความคมคา (Cost-Effeciency) เปนสามองคประกอบสำาคญในการจดซอโครงสรางพนฐานดานเทคโนโลยสารสนเทศ โดยเฉพาะอยางยงในประเทศทมโครงการดานเทคโนโลยสารสนเทศจำานวนมาก35 อยางไรกตาม การเตรยมพรอมเปนสงสำาคญตอการรกษาความมนคงปลอดภย ภายในป 2563 คาดวาจะมการกนงบประมาณดานเทคโนโลยสารสนเทศไว 75% เพอการตรวจหาและตอบสนองตอภยคกคามทางเทคโนโลยสารสนเทศ ซงเพมขนจากป 2555 โดยตงไวไมถง 10%36 ปญหา 2 ประการทเกดขนกบการจดซอในเอเชย คอ จำานวนคอมพวเตอรทตดมลแวรมเพมขน และการขาดประสบการณในการรบมอกบภยคกคาม

ทงนการสำารวจในระดบนานาชาตโดย ISACA พบวา สวนใหญของผเชยวชาญดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ยงไมเคยรบมอกบการโจมตประเภทภยคกคามตอเนองขนสง (Advanced Persistent Threat - APT) จรง ๆ มเพยง 21.6% ของผตอบแบบสอบถามทเคยโดนโจมตแบบ APT37 ในขณะทองคกรสวนใหญยงไมระมดระวงอยางเพยงพอตอภยคกคามแบบ APT ดไดจาก 81.8% ของผตอบแบบสอบถามไมเคยปรบปรงสญญากบผขายเพอจดหาการปองกนตอภย APT รวมถงผตอบแบบสอบถามสวนหนงไมเคยจดการฝกอบรมเพอเพมความตระหนกตอ APT ใหแกพนกงาน

Cloud กบความมนคงปลอดภยทางเทคโนโลยสารสนเทศ

หลายประเทศตดสนใจทจะหนไปใช Cloud เชน สหรฐอเมรกา องกฤษ และออสเตรเลย ทประกาศนโยบาย “Cloud First” โดยผลตภณฑท เกยวของกบ Cloud จะไดรบการพจารณากอน เมอมการจดซอผลตภณฑและบรการดานเทคโนโลยสารสนเทศโดยรฐบาล

Cloud ถอวาปลอดภยกวาระบบเทคโนโลยสารสนเทศอนทตดตงในองคกรดวยเหตผลหลายประการ:

34 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

1. การจดการขอมลสวนตวและการเขาถง (Identity & Access Management) Cloud สามารถจดการไดวาใครควรเขาถงขอมลใดบาง และสามารถตดตามการเขาถงขอมลหากระบบความมนคงปลอดภยถกบกรก

2. ความมนคงปลอดภยทางกายภาพ (Physical Security) – Cloud จะชวยปกปองและกคนขอมลซงบรหารจดการโดยผใหบรการ Cloud ซงทำาไดดกวาบรหารจดการดวยตนเอง

3. การบรหารจดการและการรกษาความมนคงปลอดภยททนสมย (Up-to-date Security and Maintenance) – ผเชยวชาญดานความมนคงปลอดภยของผใหบรการ Cloud จะดแลและทำาหนาทปรบปรงความมนคงปลอดภย โดยถอเปนสวนหนงของบรการ

การใชจายดานเทคโนโลยสารสนเทศส�หรบการดแลระบบสารสนเทศของภาครฐ

ทวโลกใชเงนราว 4 แสนลานเหรยญสหรฐไปกบการแกไขระบบจากปญหาขอมลถกขโมย เงนเหลานจะใชอยางเปนประโยชนมากกวาถานำาไปพฒนาเพอเพมผลผลต ทงนคาใชจายดานเทคโนโลยสารสนเทศเพอจดการมลแวรนนสงมากสำาหรบภาคเอกชนและภาครฐ มการโจมตกลมธรกจขนาดเลกในองกฤษเพมขน 10% ในป 2556 คาดวาคาใชจายนจะเพมเปน 6% ของเงนทนหมนเวยนของกจการ38 ธรกจขนาดเลกเกอบ 60% ประสบปญหาการบกรกความมนคงปลอดภยทางเทคโนโลยสารสนเทศทเกยวของกบพนกงาน โดยรวมแลว การบกรกระบบรกษาความมนคงปลอดภยกอใหเกดคาใชจาย 54-100 ลานเหรยญสหรฐ ในองกฤษ คาดวามประชาชนกวา 800 ลานคนทไดรบผลกระทบจากการขโมยขอมลและการจารกรรมทางคอมพวเตอรในป 255639

35

การใชจายดานเทคโนโลยสารสนเทศส� หรบการดแลเวบไซตและบรการออนไลนภาครฐ

ไมวาประเทศใด รฐมกเปนองคกรทมเวบไซตมากทสดในการใหบรการประชาชน การอปเกรด และการหมนตรวจสอบหาจดบกพรองของการรกษาความมนคงปลอดภยทมคาใชจายสงมาก ทางแกปญหาวธหนงคอนำาเวบไซตและบรการทงหลายมารวมกนไวทจดเดยว (Single Portal) ตวอยางเชน รฐบาลองกฤษอางวาสามารถประหยดเงนไดราว 42 ลานปอนด จากการยายเวบไซตตาง ๆ มาไวท gov.uk กอนเรมโครงการน รายงานของ Digital Britain ระบวาประเทศองกฤษมเวบไซตทใหบรการประชาชนราว 4,000 เวบไซต40

ในอนเดยซงมเวบไซตของรฐบาลมากกวา 303 ลานไซต ซงถกเจาะระบบเปนจำานวนมากทกป และมแนวโนมเพมขนตงแตป 2553 การดำาเนนการเชงปองกนทรฐใชคอม “การตรวจสอบเวบไซตใหมทกแหงของรฐบาลรวมทงแอปพลเคชน กอนทจะนำาขนใหบรการ”41 การอปเดตซอฟตแวรและการใชบรการจากผใหบรการทมชอเสยงจะชวยบรรเทาปญหาความมนคงปลอดภย แตคาใชจายในการจดการและระดบความรนแรงของการบกรกกจะยงเพมขนทกป

36 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

37

38 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท4:ประเภทของภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ

ขอมลและระบบขอมลทเชอมตอกนนำามาซงภยคกคามความมนคงปลอดภยซงนบวนมแตจะเพมขน ไมวาจะเปนโคดทเปนอนตราย (Malicious Code) มลแวร และ ซอฟตแวรทไมพงประสงค เชน ไวรส โทรจน โปรแกรมดกการพมพ (Keystroke- Capturing) Authentication Backdoors และสปายแวร ทพบในซอฟตแวรทมลขสทธไมถกตอง เวบไซต หรอเครอขายแบบเพยร-ท-เพยร (P2P)

สำาหรบคนสวนใหญ ผลจากการตดมลแวรหรอถกบกรก มกจะทำาใหคอมพวเตอรทำางานชาลง มโฆษณานารำาคาญโผลขนมา และอาจโดนขโมยขอมลสวนตว แตสำาหรบรฐบาลและภาคเอกชน ผลทตามมานนรายแรงกวามาก การใชซอฟตแวรทมลขสทธไมถกตอง ทำาใหหนวยงานของรฐตกอยในความเสยงทจะถกเจาะระบบ จารกรรมขอมล หรอตกเปนเปาของการกอการรายทางเทคโนโลยสารสนเทศ เพราะแฮกเกอรสามารถใชมลแวรเพอควบคมโครงสรางพนฐานทสำาคญและขอมลทสำาคญได

การกอการรายทางเทคโนโลยสารสนเทศและการคกคามตอโครงสรางพนฐานทสำคญของรฐ

การโจมตแบบDenial of Service ตอโครงสรางพนฐานสำคญทสำคญของรฐ

การจารกรรมขอมลในชนความลบ

หรอขอมลทสำคญตอ

อธปไตยของประเทศ

การจารกรรมทางดานเทคโนโลยสาร

สนเทศตอรฐ Cyber Espionage

การโจมตแบบ

ตอเนองขนสง

Advanced

Persistent Threats

ระบบรฐทมโครงสรางแบบเครอขาย

ขอมลสาธารณะทละเอยดออน

ขอมลสาธารณะ

ขอมลความมนคงของชาต

การสอสารผานชองทางอเลกทรอนกส

รปท 4 ภยคกคำมควำมมนคงปลอดภย ระบบเทคโนโลยสำรสนเทศของภำครฐ

39

การกอการรายดานเทคโนโลยสารสนเทศและภยคกคามตอโครงสรางพนฐานทส�คญของรฐ (Cyber Terrorism and Threats to Critical Infrastructure)

การกอการรายทางเทคโนโลยสารสนเทศ ไดแก การโจมตระบบเทคโนโลยสารสนเทศโดยมงสรางความเสยหายตอโครงสรางพนฐานทสำาคญ เชน ระบบปองกนภยการบน ระบบไฟฟา ระบบสาธารณปโภค หรอภาคพลงงาน เชน โรงไฟฟานวเคลยร โรงกลนนำามนและแกส ฯลฯ นอกจากนยงรวมถงภยคกคามของการโจมตระบบเทคโนโลยสารสนเทศทพงเปาไปทประชาชนสวนใหญ เพอสรางความตนตระหนกในวงกวาง สรางความสญเสยทางการเงน หรอทำาลายระบบการรกษาความมนคงปลอดภย

ซอฟตแวรและมลแวรทใชในการกอการรายเรมซบซอนขนเรอย ๆ และรฐบาลสวนใหญกำาลงเตรยมพรอมรบมอการโจมตครงตอไปทจะสงผลกระทบมากขน เรอย ๆ ตวอยางเชน ผใหบรการนำาประปาในแคลฟอรเนยพบวากลมแฮกเกอรสามารถควบคมระบบนำาประปาและสามารถสงเพมสารเคมเพอบำาบดนำา

ในสถานการณทำานองเดยวกนน โปรแกรม Stuxnet ไดรบการออกแบบมาเพอโจมตการทำางานของอปกรณอเลกทรอนกส (Electromechanical) ถกมองวาเปนจดพลกผนของการโจมตทางระบบเทคโนโลยสารสนเทศ โปรแกรมตวนไดรบการ คนพบเมอป 2553 Kaspersky Labs เรยกมนวา “ตนแบบของอาวธทางระบบเทคโนโลยสารสนเทศททำางานไดอยางนากลว ซงจะนำาไปสการแขงขนสรางอาวธแบบใหมในโลก”42 มรายงานวา Stuxnet ทำาใหเครองแยกยเรเนยม หนงในหาของอหรานสญเสยการควบคม43

40 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

การจารกรรมขอมลทเปนความลบหรอขอมลทส�คญตออธปไตยของประเทศ (Theft of Confidential or Sovereign Data)

วตถประสงคของการโจมตทางเทคโนโลยสารสนเทศสวนใหญ คอ เพอลวงขอมลลบ ขโมยความลบทางการคา หรอหาทางชงความไดเปรยบเหนอบรษทคแขง องคกร หรอรฐบาลอน หลายปทผานมามเหตการณการจารกรรมขอมลเพมขนอยางมาก องคกรจำานวนนอยทสามารถปองกนตวไดแบบครอบคลม44 ตวอยางทสมมาศกษาจากคดดงในชวงป 2554-2557 แสดงใหเหนวาการถกเจาะระบบโดยแฮกเกอร แผวงกวางออกไปเพยงใด เหยอมทงรานคาปลก (Zappos ของ Amazon) บรษทการตลาด (Epsilon) เกมออนไลน (Sony) ธนาคาร (Citigroup) หนวยงานภาครฐตาง ๆ (กระทรวงกลาโหมของสหรฐฯ, รฐบาลแคนาดา) ผรบเหมาของกองทพ (Lockheed Martin) เวบไซตเครอขายสงคม (RockYou) ผใหบรการ Cloud (Gmail ของ Google) และแมกระทงบรษทดานความมนคงปลอดภย (RSA ของ EMC, Stratfor, Symantec) กรณทเกดขนเมอเรว ๆ นอเมลประสงครายฉบบหนงถกสงไปถงเจาหนาทกรมสรรพากรของเซาทแคโรไลนา จนนำาไปสการขโมยหมายเลขประกนสงคม 1.9 ลานหมายเลข ขอมลการคนภาษ 3.8 ลานรายการ และรายละเอยดบญชธนาคาร 3.3 บญชทวมลรฐ45

การโจมต eBay ซงเปนบรษทยกษใหญดานพาณชยอเลกทรอนกสในป 2557 สงผลใหขอมล เชน ทอยอเมล รหสผานทเขารหสไว วนเกด และทอยทางไปรษณย ถกขโมย จนทาง eBay ตองขอใหผใช 145 ลานรายของตนเปลยนรหสผานหลงถกโจมต46 เดอนกนยายนปเดยวกน รานเคหะภณฑ Home Depot รายงานวาระบบชำาระเงนของบรษทถกโจมต ทำาใหบตรเครดตและบตรเดบตของลกคากวา 56 ลานใบตองตกอยในความเสยง

จำานวนครงและชนดของการบกรกระบบรกษาความมนคงปลอดภยสงผลตอธรกจทกประเภท ในป 2555 บรษทขนาดกลางและเลกตางประสบปญหาซงเดมจะพบแตในบรษทใหญๆ เทานน เชน 87% ของธรกจขนาดเลกในองกฤษถกเจาะระบบในป 255547

41

การโจมตแบบ Denial of Service ตอโครงสรางพนฐานส�คญ ของรฐ (Denial of Service Attacks on Key Government Infrastructure)

การโจมตแบบ Denial of Service (DoS) คอ การทำาใหบรการหรอเซรฟเวอรไมสามารถเขาถงได การขโมยขอมลเพอใชเขาสระบบคอมพวเตอรตาง ๆ หรอการเจาะระบบเครอขายนน เปนขนแรกของการโจมตแบบ DoS จากนนกใชคอมพวเตอรทเขาถงแลวเปนฐานในการโจมตเวบไซตเปาหมาย โดยทำาการรองขอเขาเวบไซตเปนจำานวนมาก จนกระทงระบบลมหรอทำาใหผใชคนอนไมสามารถเขาเวบไซตนน

วธนสามารถทำาเปนแบบอตโนมต และขยายไปสการโจมตแบบกระจายกำาลง (Distributed DoS หรอ DDoS) โดยใชซอฟตแวรทเรยกวา “Botnets” เพอควบคมคอมพวเตอรจำานวนมากในคราวเดยว ซงการควบคมคอมพวเตอรจำานวนมากเหลานน Botnets ไมจำาเปนตองอาศยทกษะขนสงทางเทคโนโลยสารสนเทศ โดยสามารถหาซอไดในราคา 100 ถง 200 เหรยญสหรฐตอคอมพวเตอรทถกควบคมโดย Botnets 1,000 เครอง การโจมตแบบ DoS ไดรบความนยมสง โดยมระบบเทคโนโลยสารสนเทศของรฐบาลและสถาบนการเงนเปนเปาหมายยอดนยม การศกษาชนหนงรายงานวาแคป 2556 ปเดยว DoS เพมสงขน 8 เทาเมอเทยบกบปกอนหนา48

การโจมตเหลานเปนโฉมหนาใหมของการจโจมทเปดฉากขนทเอสโตเนย ในป 2550 และทจอรเจย ในป2551 การโจมตเอสโตเนยเมอเดอนเมษายน 2550 ทำาให เวบไซตของรฐสภาลม บรการของรฐและธนาคารหยดชะงก เครอขายตองออฟไลน การทำางานของรฐบาลและสอมวลชนถกขดขวางเพราะการโจมตแบบ DoS หลายระลอก49 สำาหรบประเทศซงธรกรรมทางการเงน 90% ทำาผานอนเทอรเนต และการยนภาษ 70% ทำาดวยระบบอเลกทรอนกสนน ผลกระทบทเกดขนทำาใหประเทศอยในสภาพงอยเปลย อกตวอยางหนงคอการโจมตกลบแบบ DoS ซงทำาใหเกดความตงเครยดระหวางฟลปปนสกบไตหวน เมอตนป 2556 จากเหตการณยงชาวประมงไตหวน ทำาให “นกเคลอนไหวแฮกเกอร” ชาวไตหวน ระดมโจมตแบบ DoS ใสเวบไซต ของรฐบาลฟลปปนสและสรางความเสยหายทางเศรษฐกจโดยตรง50

42 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

แผนแมบทและกฎหมายการรกษาความมนคงปลอดภย ดานเทคโนโลยสารสนเทศในเอเชย

หลายประเทศในเอเชยมแผนการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศหรอมกฎหมายทเกยวของอยแลว โดยมบางสวนอยระหวางกระบวนการพจราณา ดงน

อนโดนเซย กำาลงจดตงหนวยงานเพอตอสกบการโจมตทางเทคโนโลยสารสนเทศ ตามคำาแนะนำาของรฐมนตรกระทรวงคมนาคมและสารสนเทศ กบรฐมนตรกระทรวงความรวมมอทางการเมอง กฎหมายและกจการความมนคงเมอเดอนมกราคม 2558 กฎหมายทเกยวของ ไดแก พ.ร.บ. ขอมลและธรกรรมอเลกทรอนกส54

มาเลเซย มนโยบายความมนคงปลอดภยไซเบอรแหงชาต ซงเปน รปรางเมอป 2548 โดยประสานงานผานกระทรวงวทยาศาสตร เทคโนโลยและนวตกรรม (MOSTI) องคกร Cyber Security Malaysia เปดตวเมอเดอนสงหาคม 2550 GCERT MAMPU กอตงในป 2544 โดยกรอบนโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐบาล เพอรบประกนความตอเนองของการจดการเทคโนโลยสารสนเทศและการสอสาร และ

ทามกลางการขยายตวของภยคกคามจากการโจมตแบบ DoS นน แอปพลเคชนทใชเทคโนโลยอจฉรยะมความกาวหนาไปมาก และการถอกำาเนดของ “Internet of Things” ทำาใหมอปกรณอจฉรยะตาง ๆ ทม IP เพมมากขน ซงอาจกลายเปน Botnet หรอเปนแพลตฟอรมใหมสำาหรบการระดมกำาลงโจมต51 ภยคกคามใหมนคอการหาชองทางการโจมตเพอเขาควบคมระบบประมวลผลของอปกรณเหลานไดดวยตวเอง52

ปจจบน ระบบทนาเปนหวงอยางยงในการถกโจมต คอ ระบบ SCADA (Super-visory Control and Data Acquisition) ซงรฐนยมใชควบคมอปกรณของโรงงานสาธารณปโภคและโครงสรางพนฐาน ตวอยางเชน ระบบ SCADA ในควนสแลนด ออสเตรเลย ถกเจาะระบบ สงผลให “นำาเสยจากทอไหลทวมสวนสาธารณะและลงคลองกนนำา”53

43

เกยวของกบหนวยงาน CERT อก 55 หนวยงาน กฎหมายทเกยวของ ไดแก พ.ร.บ. การสอสารและมลตมเดย 2541 พ.ร.บ. การคมครองขอมลสวนบคคล 2553 พ.ร.บ. อาชญากรรมคอมพวเตอร 254055

เมยนมา ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรของเมยนมา (MMCERT) และสมาพนธคอมพวเตอรเมยนมา (MCF) กำาลงทำางานรวมกนเพอปฏรปหนวยงาน CERT ของประเทศเพอปรบปรงความมนคงปลอดภยดานเทคโนโลยสารสนเทศ สภาไอซทสหรฐฯ-เมยนมา จดตงขนดวยรวมมอกบ USAID และกำาลงจดทำาแผนแหงชาต56

ฟลปปนส สำานกงานความมนคงทางเทคโนโลยสารสนเทศแหงชาตดแลการดำาเนนงานตามแผนความมนคงดานเทคโนโลยสารสนเทศป 2551 กฎหมายทเกยวของ ไดแก พ.ร.บ. ปองกนอาชญากรรมคอมพวเตอรป 2555 (RA 10175 - ยกเลกจนกวาจะมการเปลยนแปลง) พ.ร.บ. ความเปนสวนตวของขอมลป 2555 (RA 10173) พ.ร.บ. พาณชยอเลกทรอนกสป 2543 (RA 8792)57

สงคโปร มแผนแมบทดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศทยาวนาน ไดแก Infocomm Security Masterplan I (2548-2550), II (2551-2555), National Cyber Security Masterplan 2561 (NCSM2018) กฎหมายทเกยวของ ไดแก พ.ร.บ. การใชงานคอมพวเตอรโดยมชอบและความมนคงทางทางเทคโนโลยสารสนเทศ พ.ร.บ. ธรกรรมอเลกทรอนกส พ.ร.บ. การคมครองขอมลสวนบคคล ความมนคงปลอดภยทางคอมพวเตอรบนโลกไซเบอรมการประสานงานโดยสำานกเลขาธการประสานงานความมนคงแหงชาต ภายใตสำานกนายกรฐมนตร58

ไทย เนองจากสถานการณทางการเมองทผนผวนของประเทศไทย การ ทบทวน พ.ร.บ. วาดวยการกระทำาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 จงชะงกงน กฎหมายทเกยวของ ไดแก พ.ร.บ. คมครองผบรโภค 2545 ประมวลกฎหมายอาญามาตรา 269/1-7 พ.ร.บ. ธรกรรมทางอเลกทรอนกส

44 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

การจารกรรมทางดานเทคโนโลยสารสนเทศตอรฐ (Cyber Espionage)

การจารกรรมทางเทคโนโลยสารสนเทศ คอ การขโมยความลบทเกบในรปแบบ ดจทล ซงอาจอยบนคอมพวเตอรหรอในเครอขาย59 การโจมตเพอจารกรรมมทงใชวธทอาศยเทคโนโลยงาย ๆ และใชเทคโนโลยทซบซอน ตงแตการขโมยขอมลสวนบคคลไปจนถงความลบของประเทศ ในป 2556 บรษทดานความมนคงปลอดภยในแคลฟอรเนยใหขอมลทเปดเผยไดวามแฮกเกอรชาวจน เรมโจมตองคกร 141 แหงในอตสาหกรรม 20 ชนดทางเทคโนโลยสารสนเทศ เปาหมายมทงหนวยงานของรฐบาลและบรษทเอกชน ตงแตกระทรวงกลาโหมไปจนถงสำานกขาว New York Times เหตการณนทำาใหสหรฐฯ ฟองดำาเนนคดแฮกเกอรชาวจน 5 คน ซงเชอวาอย เบองหลงการขโมยความลบทางการคา

อกตวอยางหนงของการจารกรรมทางเทคโนโลยสารสนเทศในฟนแลนด มรายงานวารฐบาลตกเปนเหยอของการจารกรรมทางเทคโนโลยสารสนเทศมานาน โดยลกลอบเขาถงเอกสารนโยบายตางประเทศ เอกสารเหลานเชอกนวาทำาใหฟนแลนดพลาดทาในการเจรจาระหวางประเทศ60

2544 ประมวลกฎหมายแพงและพาณชย พ.ร.บ. การประกอบธรกจขอมลเครดต และ พ.ร.บ. คมครองขอมลสวนบคคล (ราง)

เวยดนาม ปจจบนกำาลงจดตงศนยเทคโนโลยเครอขายแหงชาต และมกฎหมายทเกยวของกบความมนคงปลอดภยทางเทคโนโลยสารสนเทศ 3 ฉบบ คอ กฎหมายดานโทรคมนาคม ดานเทคโนโลยสารสนเทศ และดานธรกรรมอเลกทรอนกส

45

รปท

5 ภย

คกคำ

มตอค

วำมม

นคงป

ลอดภ

ย ทำ

งเทค

โนโล

ยสำร

สนเท

ศและ

กำรจ

ำรกร

รมตอ

บคคล

หรอร

ตวอย

าง 1

. การ

ใช W

iFi โ

ดยไม

ไดรบ

อนญ

าต

2. บ

ญช

Face

book

โดนแ

ฮก

3. เ

วบไซ

ต DB

S ปล

อม

'DB

Sonl

ine.

com

' (25

47)

4. ก

ลม A

nony

mou

s แก

ไข

เวบ

ไซตข

อง M

PAA

ละกร

ะทรว

งกลา

โหม

(255

5)

5. W

ikile

aks

6. ก

ารโจ

รกรร

มขอม

ล Go

ogle

ประ

เทศจ

น (2

553)

'Goo

gle

Auro

ra'

7. ค

วามพ

ยายา

มขโม

ยเทค

โนโล

ยของ

Loc

khee

d M

artin

(255

4)

8. ป

ฏบตก

าร 'T

itan

Rain

' (25

46-2

551)

,

ไวร

ส 'F

lam

e' (2

552-

2555

)

9.

นตยส

าร 'I

nspi

re‘

10. ก

ารโจ

มตเอ

สโตเ

นย (2

550)

11. '

Stux

net'

(255

3)

12. ว

กฤตก

ารณ

ระหว

าง

รสเ

ซย-จ

อรเจ

ย (2

551)

ระดบ

ของ

เทคโ

นโลย

สง ตำ

ขอบเ

ขตเป

าหมา

ยระ

ดบบค

คลระ

ดบรฐ

การโ

จรกร

รมขอ

มลทา

งธรก

‘กลม

นกเค

ลอนไ

หวแฮ

กเกอ

ร’(H

ackt

ivis

m)

การเ

ขาถง

โดย

ไมได

รบอน

ญาต

++

+

+บล

อกขอ

งกล

มหวร

นแรง

มลแว

รทเน

นเป

าหมา

ยเฉพ

าะ

การโ

จมตแ

บบ

DDO

S อย

างตอ

เนองกา

รโจม

ตเสร

มจา

กการ

ใชอา

วธกา

รจาร

กรรม

ขอมล

(ผ

รบเห

มา ง

านรฐ

บาล)

ภยคก

คาม

ตอเน

องขน

สง

การห

ลอกล

วงแบ

บ Ph

ishi

ng

การข

โมยข

อมล

สวนบ

คคล

‘แอบ

ใชฟ

ร’

อาชญ

ากรร

มคอม

พวเ

ตอร

การจ

ารกร

รมทา

งเทค

โนโล

ยสาร

สนเท

ศ+

ความ

ขดแย

งทาง

เทคโ

นโลย

สารส

นเทศ

46 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

Advanced Persistent Threats

Advanced Persistent Threats (APT) เปนภยคกคามประเภทใหม ทมกมงเนนการโจรกรรมทรพยสนทางปญญา ซงมเปาหมายแนชด มความตอเนอง รจกหลบซอน และใชเทคนคขนสง61

จากการสำารวจโดย ISACA ซงเปนองคกรเอนจโอดานการกำากบดแลไอทพบวา 67.6% ของผเชยวชาญดานความมนคงปลอดภยทตอบแบบสอบถาม คนเคยวา APT คออะไรและมองวาเปนภยคกคามรายแรงตอความมนคงของชาตและเศรษฐกจ แตอก 53.4% เชอวา APT ไมตางอะไรจากภยคกคามเดม ๆ 62 โปรแกรมสอดแนมตระกล NetTraveler ทเปนอนตรายไดเรมทำางานตงแตป 2547 แตไมคอยแสดงพฤตกรรมไมพงประสงค จนกระทงป 2553-2556 NetTraveler ถกใชโดยแฮกเกอร เพอเจาะระบบคอมพวเตอรสำาคญ ๆ กวา 350 เครองใน 40 ประเทศ ในป 2553 Google รายงานวาทางบรษทเองรวมทงบรษทอน ๆ หลายสบแหงตกเปนเหยอของการโจมตแบบ APT ซงมทมาจากประเทศจน และนำาไปสการจารกรรมทรพยสนทางปญญาจาก Google

47

มลแวร

มลแวร (Malware) คอ ซอฟตแวรทเจตนาสรางความเสยหายตอคอมพวเตอรหรอทำาใหระบบคอมพวเตอรใชงานไมได มกพบในซอฟตแวรทมลขสทธไมถกตอง โปรแกรมเหลานสรางโอกาสใหแฮกเกอรดวยการฝง โปรแกรมอนตรายลงในคอมพวเตอรเพอขโมยขอมลหรอบางครงเพอควบคมคอมพวเตอรประเภทของมลแวร ไดแก

• สปายแวร (Spyware) คอ ซอฟตแวรทตดตงตวเองลงในคอมพวเตอร และแอบรวบรวมขอมลเกยวกบการใชอนเทอรเนต รหสผาน ฯลฯ เชน สปายแวร iBryte สามารถตดตามพฤตกรรมการทองเวบ รวบรวมขอมลสวนบคคล แลวสงกลบไปใหผโจมต

• Tracking Cookies คอ ไฟลขอมลทเวบเบราวเซอรเกบในคอมพวเตอรของผใช ซงถกใชเพอตดตามกจกรรมทางออนไลนของผใช

• แอดแวร (Adware) คอ แพกเกจซอฟตแวรซงแสดงโฆษณาอตโนมตเพอสรางรายไดใหเจาของแอดแวร

• โทรจน (Trojan) คอ โปรแกรมหรอขอมลทดเหมอนไมมอนตราย แตซอนโคดโปรแกรมทมงรายหรอเปนอนตรายอยขางใน

• ไวรส (Virus) คอ โปรแกรมซอฟตแวรทสามารถจำาลองตวเองและมกกอใหเกดความเสยหายกบไฟลหรอโปรแกรมอนบนเครองคอมพวเตอร

• คยลอกเกอร (Keylogger) คอ โปรแกรมซงบนทกการกดแปนพมพบนคอมพวเตอร ขอมลทบนทกนอาจมรหสผาน ซงเกบไวเพอใหแฮกเกอรในภายหลง โปรแกรมดงกลาวนไมตองอาศยความรพเศษแตอยางใด

48 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

สามารถหาซอไดในราคา 25 เหรยญสหรฐ และสามารถใสในซอฟตแวรทไมมใบอนญาตการใชงาน

ปจจบนการสรางมลแวรมาถงจดสงสดของอตสาหกรรม โดยม มลแวรทสรางใหม ราว 250,000 ตว และแพรกระจายในเวบไซต 30,000 แหงในแตละวน รฐบาลสหรฐฯ จดอนดบใหความเสยงดานการรกษา ความมนคงปลอดภยทางเทคโนโลยสารสนเทศอยเหนอการโจมตโดยผกอการราย โดยเพมความระแวดระวงตอภยคกคามดานเทคโนโลยสารสนเทศ ทเตรยมการและประสานงานกนเปนอยางด

49

50 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

51

52 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทท5:แผนดำาเนนการในการสรางยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ

ทกสงคมและทกรฐตางเสยงตอการถกโจมตผานทางเครอขายอนเทอรเนตมากขน เนองจากเครอขายทเชอมตอกนมมากขน การม ‘Internet of Things’ เชน คอมพวเตอร ตวเชอมตอ (sensor) รวมทง ขอมลปรมาณมากทสงผานอปกรณทเชอมตอดงกลาว

นกวเคราะหไดประเมนจดออนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศไวใน 3 ระดบ ดงน (1) การโจมตระดบสงตอโครงสรางพนฐานขอมลทสำาคญ (Critical Information Infrastructure) ซงอาจทำาใหกจการบางสวนของประเทศหยดชะงก และมกเกดขนโดยผกอการรายหรอการทำาสงครามทางเทคโนโลยสารสนเทศทม จดประสงคทางการเมอง (2) อาชญากรรมทางคอมพวเตอรทเรมตงแตการ จารกรรมขอมลในระดบภาคอตสาหกรรมไปจนถงการขโมยและการฉอโกงทาง การคา (3) การโจมตทพงเปาทบคคล เชน การฉอโกงทรพยและการขโมยขอมลตวตน

การโจมตระดบสงตอโครงสรางพนฐานขอมลทสำคญ (Critical Information Infrastructure)

อาชญากรรมคอมพวเตอรทพงเปาทหนวยงานภาคเอกชน (Industrial Cybercrime)

อาชญากรรมคอมพวเตอรทพงเปาทบคคล (Cybercrime Targeted on Individuals)

รปท 6 เปำหมำยของภยคกคำมทำงเทคโนโลยสำรสนเทศ

53

ท งน ท า งออกและกระบวนการตอบสนองตอภยคกคามดานเทคโนโลยสารสนเทศทดควรจดทำาในแบบองครวม ระบสถานการณสมมตตาง ๆ เพอพฒนากลยทธการรกษาความมนคงปลอดภยทแขงแกรง ซงมแผนดำาเนนการ 5 ขนเพอเสรมสรางความพรอม การเฝาระวง การตอบสนอง และการกคนเพอกลบสสถานการณเดมเมอตองเผชญกบภยคกคามและการโจมตทหลกเลยงไมได โดยสนบสนนการใชกลยทธแบบ “กอน ระหวาง และหลงเกดเหต” เนองจากเปนเรองสำาคญสำาหรบหนวย

งานของรฐในทกระดบ ตงแตการจดซอเทคโนโลยสารสนเทศ การดแลและ อปเกรดซอฟตแวร ไปจนถงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ฯลฯ เพอใหเกดความตระหนกรและตงมนทจะปกปองโครงสรางพนฐานและประชาชนจากภยคกคามทอนตรายทสดอยางหนงในโลกยคใหม

หนงสอฉบบนหวงจะใหคำาแนะนำาเกยวกบประเดนตาง ๆ ไดแก การระบชองโหววามอะไรบางและการกำาหนดระดบของความเสยง ยงมนยสำาคญมากแปลวายงมโอกาสตกเปนเปาไดมาก (ความเสยงประเภทท 1) แตไมจำาเปนวาจะตองจะถกโจมตไดงายขน (ความเสยงประเภทท 2) ระดบความสำาคญของเปาหมายยงนอยกอาจถกโจมตไดมากทสดเนองจากถกโจมตไดงาย การวางกลยทธตองคำานงถงอาชญากรรมคอมพวเตอรประเภท

รปท 7 องคประกอบของนโยบำยควำมมนคงปลอดภยทำงเทคโนโลยสำรสนเทศ

54 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

ตาง ๆ ทกระทำาโดยองคกรอาชญากรรมทตางกน การจารกรรมทางเทคโนโลยสารสนเทศ ในภาคอตสาหกรรมมความเรงดวนและมวธการทเฉพาะตว ผกอการรายและรฐบาลจะมงไปทเปาหมายทมมลคาสง เชน โครงสรางพนฐาน หรอหนวยงานทมความสำาคญตอสาธารณะมาก เชน บรการออนไลนภาครฐ ในขณะทเปาหมายซงเปนโครงสราง พนฐานทสำาคญเปนจดหลกทตองใหการรกษาความมนคงปลอดภยในระดบชาต

55

การสรางความตระหนกและการใหความรแกสาธารณะ

ความรบผดชอบในการรกษาความมนคงปลอดภยของอนเทอรเนตและเครอขายเปนหนาทของทก ภาคสวนในสงคม ทงนผใชเทคโนโลยสารสนเทศทกคนมสวนในการปองกนภยคกคามและการโจมตทางเทคโนโลยสารสนเทศ รวมไปถงการโจมตเครอขาย

และอปกรณตาง ๆ กระบวนการปองกน ควรเขมแขงพอทจะตอสกบภยคกคามและการโจมตทางไซเบอร ดวยความรวมมอระหวางภาครฐ ผบรโภค ธรกจขนาดกลางและยอม (SMB) ธรกจขนาดใหญ ผรบเหมา ผคาระบบรกษาความมนคงปลอดภย อตสาหกรรมเทคโนโลยสารสนเทศ และชมชนนกวจยความมนคงปลอดภยทางเทคโนโลยสารสนเทศ จะทำาใหเครอขายและเครองมอตาง ๆ เกดความมนคงปลอดภยเพยงพอทจะรบมอภยคกคามได

ในขณะทอาชญากรรมคอมพวเตอรทเกดขนจากการใชเทคโนโลยสารสนเทศ ชองโหวขององคกร ระบบเทคโนโลยสารสนเทศทใช และความผดพลาดของบคลากร ไดแก แนวปฏบตในการใชอนเทอรเนต การจดซอจดจางเทคโนโลยสารสนเทศ การนำาอปกรณสวนตวมาใชในททำางาน และการกำาหนดคณลกษณะเทคโนโลยสารสนเทศ ทงนการแกปญหา/กรอบการทำางานของการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศทไมไดครอบคลมประเดนเหลาน ทำาใหการลดความเสยงตออาชญากรรมทางคอมพวเตอรเปนไปไดยาก

รฐจงควรเรมดำาเนนการและใหทนสนบสนนโครงการทจะเพมความตระหนก ใหกบผมสวนไดสวนเสยในดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ดานแนวปฏบตดานเทคโนโลยสารสนเทศ และดานการบรหารความเสยง โดยเฉพาะอยางยงภายในหนวยงานของรฐ ทงในระดบประเทศและระดบทองถน การยกระดบความตระหนกนควรเนนเปนพเศษทการใชผลตภณฑซอฟตแวรและแอปพลเคชนทถกกฎหมาย เปนของแท และทนสมย รวมทงแนวปฏบตในการใชอนเทอรเนตทมนคงปลอดภย และการใชซอฟตแวรแอนตไวรสทเสรมการปองกนมลแวร โดยเฉพาะ

56 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

อยางยงในธรกจขนาดกลางและยอม ซงอาจตกเปนเหยอของอาชญากรรมทางเทคโนโลยสารสนเทศไดงายเนองจากขาดความใสใจตอความมนคงปลอดภยทางไซเบอรและมระบบเทคโนโลยสารสนเทศทไมมนคงปลอดภย

เจาหนาทฝายจดซอทดแลการจดซออปกรณและระบบเทคโนโลยสารสนเทศของรฐและผรบเหมาของหนวยงานรฐ ควรปฏบตตามกฎระเบยบและการตรวจสอบอยางเครงครดตามมาตรฐานของความมนคงปลอดภย ซงจะลดผลกระทบจากมลแวรและภยคกคามอน ๆ ทจะเขามาทางหวงโซอปทาน (Supply Chain) เทคโนโลยสารสนเทศ และทำาใหเครอขายของรฐและขอมลสาธารณะตกอยในอนตราย ดงนนจงควรมการกำาหนดแนวทางปฏบตทดในการจดซอ การดแลรกษาและอปเกรดซอฟตแวรทมลขสทธถกตอง และมการตรวจสอบเปนระยะเพอลดความเสยงทเกดขนจากการจดซอระบบเทคโนโลยสารสนเทศทไมมลขสทธ

โรงเรยนและมหาวทยาลยควรพฒนาหลกสตรทเพมเนอหาในเรองการใชเทคโนโลยสารสนเทศและความมนคงปลอดภยทางระบบเทคโนโลยสารสนเทศ ซงเปนขนตอนสำาคญในการใหความรแกเดกวยเรยนและวยรนใหรจกใชเทคโนโลยสารสนเทศอยางรบผดชอบและมนคงปลอดภย พรอมกนน ผมหนาทปฏบตงานระบบเทคโนโลยสารสนเทศทงภาครฐและภาคเอกชนควรไดรบการฝกอบรมระดบผเชยวชาญเพอบรหารจดการความเสยงทเกยวของกบงานทรบผดชอบ เชน ยทธศาสตรความมนคงปลอดภยทางไซเบอรของออสเตรยป 2556 ไดรวม “Human Sensor Program” ซงจดอบรมแกผดแลระบบเทคโนโลยสารสนเทศใหสงเกตสงทเกดขนเพอตรวจหาความผดปกตในระบบเทคโนโลยสารสนเทศและรายงานตอเจาหนาทความมนคงปลอดภย

57

คำาแนะนำา

• จดใหมโครงการใชเทคโนโลยสารสนเทศอยางมนคงปลอดภย (Cyber Wellness Program) สำาหรบประชาชน กลมธรกจขนาดใหญ กลาง และเลก

• จดฝกอบรมเรองการใชเทคโนโลยสารสนเทศอยางมนคงปลอดภย รวมทงการใชเครองมอแอนตไวรส ใหหนวยงานของรฐเปนประจำา

• มแนวปฏบตทเครงครดในการตรวจสอบผจำาหนายอปกรณและระบบเทคโนโลยสารสนเทศเพอใหมนใจวาระบบการจดซอมความนาเชอถอและมนคงปลอดภย เพอจะไดซอฟตแวรทมลขสทธถกตองและอปเดตใหทนสมยตลอดเวลา

• ปรบปรงโครงการสรางความตระหนกในเรองความมนคงปลอดภยทางเทคโนโลยสารสนเทศและจดฝกอบรมอยางสมำาเสมอ

• ปรบปรงและบรรจในหลกสตรระดบโรงเรยนและมหาวทยาลย เพอใหความรพนฐานในเรองการใชเทคโนโลยสารสนเทศและบรการออนไลน

58 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

แผนการเตรยมความพรอมในการจดการภยคกคาม

การเตรยมความพรอมเปนเรองสำาคญทหนวยงานของรฐตองรวมมออยางใกลชดและแลกเปลยนขอมลในระดบประเทศ ระดบภมภาค และระดบนานาชาต กระทรวงและผมหนาทควบคมกฎระเบยบ จำาเปนตองมสวนรวมในกระบวนการวางแผนกลยทธทาง

เทคโนโลยสารสนเทศระดบชาต เชน ในมอรเชยส กระทรวงสารสนเทศและการสอสาร โดยการสนบสนนจากธนาคารเพอการพฒนาแอฟรกาไดพฒนาแนวทางแบบองครวมทเปนแผนยทธศาสตรแหงชาตดานความมนคงทางเทคโนโลยสารสนเทศสำาหรบป 2550-2554 และมการปรบปรงสำาหรบป 2554-255763 จากนนมการจดตงหนวยปราบอาชญากรรมคอมพวเตอรของตำารวจในป 2543 และศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT) ในป 2551 แผนทจดทำาขนระบชดเจนวาตองเสรมความมนคงปลอดภยทางเทคโนโลยสารสนเทศดานใดบาง ซงถอเปนกาวแรกของการลดความเสยง นอกจากนไดมการวางโครงสรางกลไกความ รวมมอทจำาเปนระหวางหนวยงานตาง ๆ

การจดตง CERT เปนกาวสำาคญอกกาวหนง และเปนแนวปฏบตทดตอมาสำาหรบหลายประเทศ สงสำาคญคอทมเหลานตองบรณาการความรและความชำานาญจากหนวยงานตาง ๆ ของรฐ หวใจสำาคญคอการแบงปนขอมล/ขาวกรองอยางมประสทธผลและรวมมอกนโดยใชความสามารถทแตละหนวยมในการตอบสนองเหตการณอยางสอดคลองกน เชน US-CERT เปนทมปฏบตการตลอด 24 ชวโมงของกระทรวงความมนคงแหงมาตภม64 ในแอฟรกาตะวนออกมการจดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรในป 2551 ขององคกรประชาคมแอฟรกาตะวนออก (EACO) ซงประเทศสมาชก ไดแก บรนด เคนยา รวนดา แทนซาเนย และยกนดา โดยมภารกจคอการจดตง CERT แหงชาตในประเทศสมาชกแตละประเทศ

59

ผเชยวชาญปญหาอาชญากรรมคอมพวเตอรระดบชาตควรกระจายอยตามกระทรวงและหนวยงานตาง ๆ ททำาหนาทบงคบใชกฎหมาย ตลอดจนในภาคเอกชน บรษทดานความมนคงปลอดภย และบรษทโทรคมนาคม ดงนนจงเปนสงสำาคญทแผนกลยทธระดบชาตตองปรบวธแบงปนขอมลใหมประสทธภาพสงสด รวมทงทำาใหการตอบสนองตอขาวกรองดานภยคกคามดานเทคโนโลยสารสนเทศทนเหตการณ

คำาแนะนำา

• มแผนแหงชาตเรองความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เพอใหทกฝายทเกยวของในภาครฐมแนวทางในการดำาเนนงาน ทตรงกน

• มหนวยงานทรบผดชอบในการประสานความพรอมดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและมระเบยบขนตอนในการ ปองกนภย

• มหนวยงานเดยวทรบผดชอบในการประสานงานเพอการตอบสนองภยคกคามไซเบอรเมอเกดการโจมตระดบรฐ

• จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT)

• สรางหรอรวมเปนพนธมตรกบเครอขาย CERT เพอแบงปนขอมล/ขาวกรอง ฝกการระดมกำาลงและเผชญเหตการณจำาลองการโจมต

• ตดตอและเชอมโยงผใหบรการโครงสรางพนฐานทสำาคญ (สาธารณปโภค เชน พลงงาน นำา เครอขาย) เขาดวยกน เพอสรางความสมพนธท ราบรนและการตอบสนองทฉบไวระหวางถกโจมต

60 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

การปองกนระบบเครอขายจากภยคกคาม

เราสามารถปองกนการโจมตทางเทคโนโลยสารสนเทศไดดวยการปฏบตตามแนวปฏบตทด เชน การตดตง Firewall การใสใจกบการปรบปรงเรองความมนคงปลอดภยใหทนสมย ตรวจสอบการตดตงซอฟตแวรของผใชในองคกร ใชเครองมอตรวจจบมลแวร

ททนสมย และยดมนในหลกปฏบตและนโยบายดานความมนคงปลอดภย เชน เปดใชงานเฉพาะแอปพลเคชนในบญชรายชอซอฟตแวรทมนคงปลอดภย และเปดใช แอปพลเคชนดานความมนคงปลอดภยของเวบเบราวเซอรกเปนอกสวนหนงทสามารถชวยปองกนภยคกคามดานเทคโนโลยสารสนเทศได แตวธปองกนทดทสดคอใชแตซอฟตแวรทมลขสทธถกตองและเปนชดทเปนปจจบนทสด ซงหมายความวาการจดซอคอมพวเตอรและซอฟตแวรตองมาจากแหลงทนาเชอถอ ใชซอฟตแวรทมลขสทธถกตองและทำาตามขนตอนการลงทะเบยนเปดใชงานเพอรบประโยชนจากบรการชวยเหลอได

การจดซอทไมมคณภาพอาจนำามาซงมลแวรทไมพงประสงคหรอซอฟตแวรทลาสมยเขาสระบบได ซงเปนการกระทำาผดตอระบบการรกษาความมนคงปลอดภยทางเทคโนโลยสารสนเทศของหนวยงาน สำาหรบภาครฐ ซอฟตแวรทฝาฝนลขสทธและซอฟตแวรทไมพงประสงคอาจมาจากผจดจำาหนายโดยไมรตว อาจจะทำาใหเครอขายเวบไซตหรอคอมพวเตอรใชการหรอใหบรการไมได หรอเลวรายไปกวานน วธหนงในการรบมอคอ จดใหมมาตรฐานขนตำาของความมนคงปลอดภยทผคาหรอหนวยงานธรกจทขายสนคาใหกบหนวยงานของรฐตองปฏบตตาม รฐบาลองกฤษไดจดทำามาตรฐานความปลอดภย “cyber kite mark” ตามใบรบรอง ISO27001:2005 ซงคคาจำาเปนตองมเพอใชในการประมลงานของรฐ ยทธศาสตรความมนคงปลอดภยดานคอมพวเตอรแหงชาตของอนเดยสนบสนนใหใชผลตภณฑทางเทคโนโลยสารสนเทศทถกตองและผานการรบรอง รวมทงกำาหนดใหมการพฒนาแอปพลเคชนและซอฟตแวรทมนคงปลอดภยตามแนวทางปฏบตทดระดบสากล

61

ขอมลจาก BSA ระบวาการใชซอฟตแวรทมลขสทธไมถกตอง เพมโอกาสใหผใชตองเจอกบปญหามลแวรมากถงหนงในสามโดยเฉลย และเมอนำาอตราการใชซอฟตแวร ทมลขสทธไมถกตองมาคำานวนรวมดวยแลว ปรากฎวา หนวยงานภาครฐมโอกาสพบ มลแวรจากการตดตงซอฟตแวรในคอมพวเตอร 1 เครองจากทก ๆ 9 เครอง อยางไรกด การจดการกบปญหานสามารถทำาไดดวยขนตอนงาย ๆ แตเขมงวด การวจยพบวามพซ 5% เทานนทใช Windows รนปจจบน ผใชอยางนอย 40% ไมอปเดต ระบบของตนอยางสมำาเสมอแมจะไดรบคำาเตอนกตาม และม 25% ทขามขนตอนการ อปเดตซอฟตแวรอน ๆ ดวย ในหนวยงานของรฐมรายงานวา 10% ของผจดการและผบรหารดานเทคโนโลยสารสนเทศปดการอปเดตอตโนมต มราว 33% ทไมตรวจสอบเครองของผใชเพอหาซอฟตแวรทผใชตดตงเอง

การใชซอฟตแวรทถกตองตามลขสทธนนมประโยชนตอเศรษฐกจอยางมาก การใชซอฟตแวรทมลขสทธถกตองเพมขน 1% ในเอเชยแปซฟก จะเพมมลคาทางเศรษฐกจ 1.87 หมนลานเหรยญในภมภาค เมอเทยบกบการใชซอฟตแวรทมลขสทธไมถกตองทมมลคา 6 พนลานเหรยญ ซงความแตกตาง 1.27 หมนลานเหรยญนมนยสำาคญยง และการใชซอฟตแวรทมลขสทธการใชงานถกตองเพมขน 1% จะเพมมลคาเศรษฐกจโลกไดราว 7.3 หมนลานเหรยญ เมอเทยบกบมลคาการใชซอฟตแวรทมลขสทธไมถกตอง 2 หมนลานเหรยญ คดเปนความแตกตางมากถง 5.3 หมนลานเหรยญ

คำาแนะนำา:

• มนโยบายการจดซอ (เชน รายการผลตภณฑทมนคงปลอดภย) สำาหรบ ซอฟตแวร และมการปองกนมลแวรสำาหรบการจดซอของภาครฐ

• พฒนาแนวปฏบตทดในการจดซอสำาหรบภาคเอกชน ผใหบรการอนเทอรเนต กลมธรกจขนาดใหญ กลาง และเลก

• พฒนา จดทำา และบงคบใชมาตรฐานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบผจดจำาหนายผลตภณฑทางเทคโนโลยสารสนเทศใหภาครฐ รวมทงโครงการสำาคญระดบชาต

• พจารณาการใชงานบน Cloud ทระดบความมนคงปลอดภยสง

62 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

การตอบสนองตอภยคกคาม

แมจะมการปองกนอยางดเพยงใด กยงคงพบชองโหวใหถกใชโจมต CERT เปน กองกำาลงแนวหนา ทสามารถตอบสนองและปกปองเครอขายและโครงสรางพนฐาน เพอปองกนความเสยหาย และเพอใหการตอบสนองผทำาหนาทปองกนทงหลายมประสทธภาพมากขน CERT และหนวยงานท

เกยวของจงควรซอมรบมอภยคกคามเปนประจำา โดยมการฝกรวมและจำาลองเหตการณเพอทดสอบความสามารถในการรบมอภยคกคามระดบโลกในปจจบน

การดำาเนนการทงหลายเพอใหสอดคลองกน รฐควรมแนวนโยบายทางกฎหมายเพอใหรฐและผมบทบาททงหลายสามารถดำาเนนคดและเรยกรองการชดเชยจากการโจมตความมนคงปลอดภยทางเทคโนโลยสารสนเทศ กฎระเบยบควรสมดลระหวางการจงใจกบการบงคบเพอใหหนวยงานสามารถรบมอตอการโจมตและภยคกคามเมอเกดขน

สดทาย ควรตดตง ใชงาน และอปเดตซอฟตแวรทสามารถจดการมลแวรและ ภยคกคามอน ๆ เชน ยทธศาสตรความมนคงปลอดภยไซเบอรของรฐบาลองกฤษระบวาภยคกคามทวไปทางเทคโนโลยสารสนเทศสามารถปองกนไดดวย ‘แนวปฏบตการใชงานเทคโนโลยสารสนเทศอยางมนคงปลอดภย’ (cyber hygiene) โดยคาดวา 80% ของการโจมตททำาสำาเรจสามารถปองกนไดดวยแนวปฏบตทดแบบงาย ๆ เชน หมนอปเดตซอฟตแวรแอนตไวรส

63

คำาแนะนำา:

• จดตงแนวทางดานกฎหมายทงระดบประเทศ ระดบภมภาค และระดบสากลเพอเรยกรองคาเสยหายเมอถกโจมต

• พฒนาแนวทางปฏบตทด และมมาตรฐานในการอปเกรดและอปเดต ซอฟตแวรทใชในภาครฐ ทงนควรมกำาหนดแลวเสรจและสามารถใชไดจรงภายในระยะเวลาทกำาหนด

การลดผลกระทบอนเกดจากภยคกคาม

ผลกระทบทางเศรษฐกจและสงคมจากการโจมตทางเทคโนโลยสารสนเทศททำาสำาเรจนนอาจรายแรงมาก ในกรณดงกลาว มาตรการทเดดขาดเปนสงสำาคญเพอฟนฟความมนใจและสรางโครงสรางพนฐานทมนคงปลอดภยอกครง เชนเดยวกบการบรรเทาความเสยหายในระยะกลางและระยะยาว เชน การโจมต

สายการบนแหงชาตอาจทำาลายความเชอมนของสาธารณชนจนไมกลาใชบรการเปนเวลาหลายป ซงจะทำาใหอตสาหกรรมนเสยหายหนก การจดการสถานการณวกฤตทไดผลและยทธศาสตรการสอสารในยามวกฤต ตองเนนเรองการสรางความเชอมน และการมมาตรการชดเชยทชดเจน เปนสองปจจยสำาคญของการจดการดงกลาว

รฐบาลควรมและปฏบตตามกระบวนการสำาหรบการสบสวน การประเมน และการใหคำาปรกษา เพอตรวจหาจดออนของระบบ และเพอฟนฟความเชอมนควร รบฟงความเหนทงจากสาธารณชนและพนธมตร เพอพจารณาวากระบวนการปฏบต ทมเพยงพอหรอไม เพอจะไดปรบปรงการรบมอภยคกคามและการโจมตโดยรวม

64 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

คำาแนะนำา:

• จดตงทมดจทลฟอเรนสกส ซงจะทำางานรวมกบ CERT ภาคเอกชน และตำารวจ เพอสบสวนการโจมต

• พฒนาหรอเขารวมกบเครอขายความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐอนหรอองคกรระหวางประเทศอน เพอแลกเปลยนขอมล ขาวกรอง และสรางแนวรวม

จากลกษณะของภยคกคามและการโจมตในระดบโลก การเปนพนธมตรกบรฐบาลอนและองคกรระหวางประเทศนนคอชองทางทสำาคญในการแบงปนขอมลและสราง แนวรวมเพอตอสกบสงทจะเกดในอนาคต เวทสนทนา เชน Japan-US Cyber Dialogue เปนกจกรรมทสำาคญเพอแบงปนแนวปฏบต กรณศกษา และแนวทางทเปนประโยชนจากการแลกเปลยนประสบการณและความเชยวชาญ

65

รายการตรวจสอบส�หรบแผนความมนคงปลอดภยดานเทคโนโลยสารสนเทศของรฐ

รฐบาลควรพจารณาเรองดงตอไปน เมอสรางแผนความมนคงปลอดภยดานเทคโนโลยสารสนเทศของภาครฐ

1. การสรางความตระหนกและการใหความรแกสาธารณะ

1.1. เตรยมโปรแกรมสรางความตระหนก สำาหรบประชาชน กลมธรกจขนาดใหญ กลาง และเลก

1.2. จดฝกอบรมอยางสมำาเสมอในเรองการใชเทคโนโลยสารสนเทศแก เจาหนาทรฐ และการบงคบใช ซอฟตแวรทอปเกรดและมาจากแหลงท นาเชอถอ แนวทางการใชอนเทอรเนตอยางมนคงปลอดภย และการใช แอนตไวรสเพอปองกนมลแวร

1.3. มแนวปฏบตทเครงครดในการตรวจสอบผจำาหนายอปกรณและระบบเทคโนโลยสารสนเทศ เพอใหเปนไปตามมาตรฐานความมนคงปลอดภยดานตาง ๆ เชน ความมนคงปลอดภยของขอมลสาธารณะ และความมนคงของชาต

1.4. ปรบปรงหลกสตรการสรางความตระหนกในเรองความมนคงปลอดภยทางเทคโนโลยสารสนเทศและจดฝกอบรมอยางสมำาเสมอ

1.5. ปรบปรงและบรรจหลกสตรสรางความตระหนกในหลกสตรระดบโรงเรยนและมหาวทยาลย เพอเปนความรพนฐานในเรองการใชอนเทอรเนตและคอมพวเตอรอยางมนคงปลอดภย

66 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

2. การเตรยมความพรอมในการจดการภยคกคามยามวกฤต

2.1. มแผนเรองความมนคงปลอดภยทางทางเทคโนโลยสารสนเทศ ใหทกฝายทเกยวของ (ไอซท กฎหมาย ตำารวจ วทยาศาสตรและเทคโนโลย อตสาหกรรม) มแนวทางทตรงกน

2.2. มหนวยงานทรบผดชอบในการประสานเพอเตรยมความพรอมดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการปองกน

2.3. มหนวยงานเดยวทรบผดชอบในการประสานงานเพอจดการภยคกคามเมอเกดการโจมตระดบรฐ

2.4. จดตงศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร (CERT)

2.5. สรางหรอรวมเปนพนธมตรกบเครอขาย CERT เพอแบงปนขอมล/ขาวกรอง และการซอมรบมอภยคกคาม

2.6. ระบและตดตอผใหบรการโครงสรางพนฐานทสำาคญ (สาธารณปโภค เชน พลงงาน นำา เครอขาย) เพอสรางเครอขายประสานงานและตอบสนองทฉบไวเมอถกโจมต

3. การปองกนภยคกคาม

3.1. มนโยบายดานความมนคงปลอดภยสำาหรบการจดซอ เมอจดซอซอฟตแวรของแท ไดรบการอปเดต และจดซอแอนตไวรสทนาเชอถอเพอปองกนมลแวร

3.2. พฒนาแนวปฏบตทดในการจดซอสำาหรบภาคเอกชน ผใหบรการอนเทอรเนต กลมธรกจขนาดใหญ กลาง และเลก

67

3.3.พฒนา จดทำา และบงคบใชมาตรฐานความมนคงปลอดภยทางเทคโนโลยสารสนเทศสำาหรบผจดจำาหนายผลตภณฑทางเทคโนโลยสารสนเทศให ภาครฐ รวมทงโครงการสำาคญระดบชาต

3.4.พจารณาการใชงานบน Cloud เพอความมนคงปลอดภย

4. การตอบสนองตอภยคกคาม

4.1. จดตงแนวทางดานกฎหมายทงระดบประเทศ ระดบภมภาค และระดบสากลเพอเรยกรองการชดเชยหลงการโจมต

4.2. พฒนาแนวทางปฏบตทด มการกำาหนดระยะเวลาและมาตรฐานในการอปเกรดและอปเดตซอฟตแวรทใชในภาครฐเปนประจำา

5. การลดผลกระทบอนเกดจากภยคกคาม

5.1. จดตงทมดจทลฟอเรนสกส ซงจะทำางานรวมกบ CERT ภาคเอกชน และตำารวจ เพอสบสวนการโจมต

5.2. พฒนาหรอเขารวมกบเครอขายความมนคงดานเทคโนโลยสารสนเทศของรฐอนหรอองคกรระหวางประเทศอน เพอแลกเปลยนขอมล ขาวกรอง และสรางแนวรวม

68 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

บทสรป

แมการโจมตความมนคงปลอดภยทางคอมพวเตอรจะรนแรงและอาจสราง ความเสยหายรายแรงตอรฐและตอโครงสรางพนฐานทสำาคญ แตทรพยากรทประเทศใชเพอสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศยงถกกวาคาใชจายดานการทหารหรอการปองกนภยแบบเดมมากนก ความลงเลทจะเพมคาใชจายและทมเททรพยากรในดานนจะสงผลเสยตอความมนคงของประเทศ และเปนทมาของจดออนในยทธศาสตรการปองกนในภาพรวม บวกกบขอเทจจรงทวาการฟนตวจากการโจมตทางคอมพวเตอรมคาใชจายสงกวาการวางมาตรการทถกตองเพอปองกนไมใหเกดขนตงแตแรก ยงไปกวานน เรายงไมไดพจารณาถงผลกระทบทวดปรมาณไมได เชน การสญเสยความเชอมนตอรฐบาล และผลกระทบตอสงคมและอตสาหกรรมในระยะยาว

แมแตในประเทศทจดสรรทรพยากรจำานวนมากขนเพอความมนคงปลอดภยทางเทคโนโลยสารสนเทศ ความมงมนดงกลาวยงเปนแคเศษเสยวของคาใชจายพนฐานทางทหาร เมออนเทอรเนตและการเชอมตอเครอขาย กลายเปนสอหลกในการทำางานของรฐและชองทางในการเชอมตอกบภาคอตสาหกรรมและสงคม จงจำาเปนอยางยงทนโยบายและมาตรการตองมาบรรจบกนในโลกของความเปนจรง

ปจจบนชาตอตสาหกรรมในโลกตะวนตกไดนำาหนาในเรองยทธศาสตรความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ซงเพงจะใหความสำาคญเมอ 2-3 ปทแลว65 และเนองจากลกษณะเฉพาะของภยคกคาม รฐบาลของชาตในเอเชยจงไมสามารถใชทางแกปญหาแบบเดยวกบโลกตะวนตก

การรบมอและลดความเสยหายจากภยคกคามดานเทคโนโลยสารสนเทศตอรฐถอเปนวาระเรงดวน และตองใชแนวทางของนโยบายความมนคงปลอดภยทางเทคโนโลยสารสนเทศแบบองครวมในภาครฐทงหมดเพอสรางศกยภาพ หวงวาดวยขอมล พนฐานทหนงสอฉบบนมใหเจาหนาทของรฐจากทกสวนทเกยวของกบเทคโนโลยสารสนเทศจะมความเขาใจทตรงกนถงภยคกคามทรฐบาลตองเผชญ ทงยงใหแผน

69

ดำาเนนการดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศ รวมทงรายการตรวจสอบ (Checklist) ซงเจาหนาทของรฐสามารถใชประเมนความมนคงปลอดภยในองคกรของตน เพอระบไดวาความเสยงดานใดบางทตองจดการและตองการทรพยากรเพมเตม

70 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

รายการอางอง

1 www.dc.tw.ubm-us.com/i/149381/1

2 United Nations E-Government Survey 2012, “E-Government for the People”, unpan1.un.org/intradoc/groups/public/documents/un/unpan048065.pdf

3 WASEDA – IAC 10th International E-Government Ranking 2014

4 www.whitehouse.gov/sites/default/files/us_national_action_plan_final_2.pdf

5 www.egress.com/local-central-government/

6 http://bit.ly/1ovVd96

7 http://japandailypress.com/malware-identified-in-hacking-inci-dent-over-government-documents-0420850

8 http://www.alrc.gov.au/publications/6.%20The%20Privacy%20Act%3A%20Some%20Important%20Definitions/sensitive-information

9 http://www.secureit.com/resources/WP_Data_Class_and_Protect.pdf

10 http://globalnews.ca/news/1269168/900-sin-numbers-stolen-due-to-heartbleed-bug-canada-revenue-agency

71

11 www.straitstimes.com/news/singapore/more-singapore-stories/story/three-breached-singpass-accounts-used-apply-fraudulent-w

12 www.rimp.gov.ab.ca/publications/pdf/infosecurityclassification.pdf

13 www.records.ncdcr.gov/erecords/faq.html

14 www.computerweekly.com/news/2240170360/Departments-given-go-ahead-to-use-iPhones-for-sensitive-data

15 www.thejakartaglobe.com/international/across-asia-officials-e-mails-may-be-vulnerable/

16 www.computerweekly.com/news/2240170360/Departments-given-go-ahead-to-use-iPhones-for-sensitive-data

17 www.rt.com/usa/fbi-cyber-attack-threat-739/

18 http://www.reuters.com/article/2013/12/19/us-target-breach-idUS-BRE9BH1GX20131219

19 http://www.ft.com/intl/cms/s/0/7f9a2b26-3f74-11e4-984b-00144feabdc0.html#axzz3E2b6V9lG

20 http://www.reuters.com/article/2014/09/18/us-home-depot-dat-aprotection-idUSKBN0HD2J420140918

21 www.computerweekly.com/news/2240186339/Worldwide-gov-ernment-IT-spending-to-remain-flat-in-2013-says-Gartner

72 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

22 www.oversight.house.gov/release/video-why-the-waste-in-it-spending/

23 www.itnews.com.au/News/347092,govt-it-spending-to-outrank-world-average.aspx

24 http://www.computerweekly.com/news/2240186339/Worldwide-government-IT-spending-to-remain-flat-in-2013-says-Gartner

25 http://cio.co.nz/cio.nsf/news/new-zealand-bucks-flat-govern-ment-it-spending-trend

26 http://www.bloomberg.com/news/2013-06-18/gartner-revises-2013-government-it-spending-outlook-to-0-1-drop.html

27 http://www.idc.com/getdoc.jsp?containerId=prUS24298013

28 http://www.idc.com/getdoc.jsp?containerId=prUS24298013

29 http://www.informationweek.com/government/cyber-security/budget-bill-boosts-cyber-security-spending/d/d-id/1113494

30 http://www.nao.org.uk/wp-content/uploads/2013/03/Cyber-se-curity-Full-report.pdf

31 http://thediplomat.com/2014/06/india-scrambles-on-cyber-se-curity/

32 http://www.govtech.com/security/Seven-Cyber-security-Predic-tions-for-2013.html

73

33 http://www.zdnet.com/th/thailand-cyber-security-state-in-cri-sis-7000008126/

34 http://www.defensenews.com/article/20140224/DE-FREG04/302240015/UAE-Double-Security-Budget-Focus-Cyber

35 http://ovum.com/2012/02/28/the-shape-of-uk-public-sector-procurement-in-2012/

36 http://gcn.com/blogs/pulse/2013/06/gartner-mobile-big-data-advanced-targeted-attacks-shape-threat-landscape.aspx?admgarea=TC_SecCybersSec

37 http://www.futuregov.asia/articles/2013/may/02/glob-al-study-shows-low-understanding-new-security-/

38 http://www.guardian.co.uk/media-network/media-net-work-blog/2013/jun/06/cost-security-breach-business

39 http://www.telegraph.co.uk/technology/internet-securi-ty/10886640/Cyber-crime-costs-global-economy-445-bn-annually.html

40 http://www.v3.co.uk/v3-uk/news/2272215/government-touts-gbp10bn-savings-as-it-spending-streamlined

41 http://articles.timesofindia.indiatimes.com/2013-05-07/securi-ty/39089484_1_government-websites-cyber-security-nic

42 www.kaspersky.com/news?id=207576183

74 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

43 www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all&_r=0

44 www.americanbar.org/publications/law_practice_today_home/law_practice_today_archive/march12/network-risk-insurance-privacy-se-curity-exposures-and-solutions-for-law-firms.html

45 http://investigations.nbcnews.com/_news/2012/11/20/15313720-one-email-exposes-millions-of-people-to-data-theft-in-south-carolina-cyberattack

46 http://bgr.com/2014/05/27/ebay-hack-145-million-accounts-compromised/

47 http://data.gov.uk/dataset/information-security-breaches-survey

48 http://www.zdnet.com/ddos-attacks-rise-as-companies-fail-to-address-dns-security-7000025712/

49 http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia

50 http://www.rappler.com/nation/29045-hackers-deface-philip-pine-government-sites-taiwan

51 http://gcn.com/blogs/cybereye/2013/05/how-hackers-turn-in-ternet-of-things-into-weapon.aspx

52 http://www.nytimes.com/2013/05/13/us/cyberat-tacks-on-rise-against-us-corporations.html?pagewanted=all&_r=0

75

53 http://www.theaustralian.com.au/australian-it/it-business/hack-ers-tap-into-local-essential-services/story-e6frganx-1226444141880

54 http://www.thejakartapost.com/news/2015/01/07/govt-set-na-tional-cyber-agency.html#sthash.f9OifJ51.dpuf

55 http://nitc.kkmm.gov.my/index.php/national-ict-policies/nation-al-cyber-security-policy-ncsp and http://asia.marsh.com/Portals/59/Documents/Cybercrime%20in%20Asia%20A%20Changing%20Regulato-ry%20Environment.pdf

56 http://elevenmyanmar.com/index.php?option=com_con-tent&view=article&id=3539:myanmar-to-reform-national-cyber-securi-ty-team&catid=44&Itemid=384 and http://photos.state.gov/libraries/burma/895/pdf/20141219USMyanmarICTCouncil.pdf

57 https://www.itu.int/ITU-D/asp/CMS/Events/2010/NGN-Philippines/S5-Philippines_cybersecurity.pdf

58 http://www.ida.gov.sg/Collaboration-and-Initiatives/Initiatives/Store/National-Cyber-Security-Masterplan-2018

59 http://lexicon.ft.com/Term?term=cyber-espionage

60 http://online.wsj.com/articles/finland-victim-of-long-term-cy-berespionage-1404309676

61 http://www.zdnet.com/microsoft-us-government-is-an-ad-vanced-persistent-threat-7000024019/

76 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

62 http://www.futuregov.asia/articles/2013/may/02/gloal-study-shows-low-understanding-new-security-/

63 www.gov.mu/portal/goc/telecomit/file/ICTplan.pdf

64 www.us-cert.gov/

65 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/na-tional-cyber-security-strategies-ncsss/national-cyber-security-strate-gies-in-the-world

77

78 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT

TRPC เปนบรษททปรกษาและวจยซงมประสบการณกวา 25 ปในอตสาหกรรมโทรคมนาคม เทคโนโลยสารสนเทศและการสอสารในเอเชยแปซฟก ซงใหบรการ คำาปรกษาเฉพาะดาน การวจยและบรการฝกอบรม โดยเนนประเดนดานกฎระเบยบและกลยทธทางธรกจ มเครอขายผเชยวชาญและมออาชพทางอตสาหกรรมทครอบคลมทวภมภาค

งานวจยของ TRPC เนนเรองเศรษฐกจของโทรคมนาคมและเทคโนโลยสารสนเทศ และประเดนเกยวกบนโยบายและกฎระเบยบทเกยวของกบการพฒนาโครงสราง พนฐานขอมลระดบชาต โดยมงทภมภาคเอเชยตะวนออกเฉยงใตและเอเชย ตะวนออก ทงประเทศทโครงสรางพนฐานดานไอซทพฒนาไปมากแลว เชน เกาหลใต ญปน ฮองกง และประเทศทโตเรวและอตสาหกรรมไอซทกำาลงมาแรง เชน อนโดนเซย เวยดนาม

http://www.trpc.biz

TRPC ขอขอบคณบรษท Microsoft ทสนบสนนการวจยทจำาเปนตอการศกษาน อยางไรกด TRPC ยงคงรบผดชอบแตผเดยวตอความถกตองของขอมลและความเหนทแสดงในรายงานน ซงไมไดเปนตวแทนความเหนของ Microsoft

79

80 ความเสยงของขอมลทเปดเผยสสาธารณะ ภยคกคามดานเทคโนโลยสารสนเทศตอภาครฐ PUBLIC DATA AT RISK : CYBER THREATS TO THE NETWORKED GOVERNMENT