Page 1

CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-1-

โครงการอบรมการป้องกันความปลอดภัยข๎อมูลทางคอมพิวเตอร์ (CDIC 2008) ครั้งที่ 8 วันที่ 25-26 พฤศจิกายน พ.ศ. 2551

ปาฐกถาเปิดงาน โดย โฮเวิรด ์ ชมิดท์ ประธานเจ๎าหน๎าที่บริหาร The Information Security Forum ถอดความภาษาอังกฤษโดย ดร.รอม หิรัญพฤกษ์

(หมายเหตุผแ ู๎ ปล เนื่องจากผู๎พูดแยกประเด็นและแสดงความสัมพันธ์ชัดเจนระหวําง security กับ safety คาแปลจึง ระบุตามศัพท์บัญญัติวํา ความมัน ่ คง และ ความปลอดภัย ตามลาดับเพื่อไมํให๎สับสนเวลาอําน) (เกริ่นนา..อารัมภบท) …

วัฒนธรรมความมั่นคง … วันนี้ หากผมติดตั้งเครื่องกระตุ๎นหัวใจ ผมคงไมํต๎องการที่จะเชื่อมตํอเข๎ากับเครือขํายอินเทอร์เน็ต ปัญหาด๎านความมั่นคงนั้นแยํเกินกวําที่จะไว๎ใจห๎ชีวิตของผมขึ้นกับอุปกรณ์ที่ต๎องตํอกับเครือขําย อะไรลํะที่จะต๎อง เปลี่ยนแปลง? เมื่อเรามองไปยังอนาคตของความมั่นคงทางอินเทอร์เน็ตที่จะมีอุปกรณ์ตํออยูํนับพันล๎านชิ้น สิ่งแรกที่เราทา ก็คือเราต๎องสร๎าง “วัฒนธรรมความมั่นคง” ในการประชุมองค์การเพื่อความรํวมมือทางเศรษฐกิจและการพัฒนา (OECD) ตลอดยี่สิบปีที่ผํานมา ประเด็นหลักก็คือ “เราจะสร๎างวัฒนธรรมความมั่นคงอยํางไรเมื่อเป็นเรื่อง อินเทอร์เน็ต?” แล๎วคาวํา “วัฒนธรรม” หมายถึงอะไร? คาวํา “วัฒนธรรมองค์กร” แปลวําอะไร? ผมขอยกตัวอยํางหนึ่ง: เพิ่งสิบปีมานี้เองที่เศรษฐกิจทั่วโลกแข็งแรงมาก มีวัฒนธรรมองค์กรในบริษัท เทคโนโลยีหลายแหํงที่บอกวําเรามีเงิน ที่สามารถจับจํายได๎อยํางเสรี ที่หากวําเราต๎องการเครื่องคอมพิวเตอร์สัก เครื่อง เราก็ซื้อมาเลย ที่หากวําเครื่องคอมพิวเตอร์ใช๎ไปแล๎วสักหกเดือน เราก็จะซื้อคอมพิวเตอร์ใหมํ – นั่นเป็น วัฒนธรรมขณะนั้น ในสภาพเศรษฐกิจปัจจุบัน วัฒนธรรมคือเราจะเก็บเทคโนโลยีไว๎ได๎นานเทําที่จะทาได๎ เราไมํ ซื้อคอมพิวเตอร์เครื่องใหมํเพียงเพราะวํามีฮาร์ดไดรฟ์ทจ ี่ ุได๎มากขึ้นหรือเพราะมีการเชื่อมตํอแบบไร๎สาย (WiFi) ที่ เร็วขึ้น วัฒนธรรมของการใช๎จํายในโลกไอซีทีได๎เปลี่ยนแปลงไป แตํสิ่งที่ไมํเปลี่ยนก็คือวัฒนธรรมด๎านความ มั่นคง แตํดั้งเดิมเราถือวํา วัฒนธรรมความมั่นคงไอซีที ก็คือ มันไมํใชํความรับผิดชอบของฉัน เรามีบุคลากรความ มัน ่ คงที่เป็นมืออาชีพที่รับผิดชอบเรื่องนั้น ไมํใชํความรับผิดชอบของบรรดาผู๎ใช๎งาน ลูกค๎า ผู๎บริหาร หรือฝ่าย บริหาร เป็นงานของมืออาชีพด๎านความมั่นคงเพียงเทํานั้น ซึ่งคนพวกนี้มีประกาศนียบัตรวิชาชีพอยําง CISSP หรือ SSCP และเป็นคนพวกที่กาลังปฏิบัติงานอยูํในวงการไอซีที เรามาลองนึกถึงการขับรถ จากมุมของผู๎โดยสาร แล๎วความรับผิดชอบที่จะรักษาความปลอดภัยนั้นอยูํกับผู๎ขับรถ ในโลกไอซีที ผู๎ขับรถก็คือผู๎ใช๎งาน (end-user) ผู๎ ขับรถคือผู๎วางนิ้วอยูํบนแป้นคีย์บอร์ด พิมพ์ข๎อความ คลิ๊กเมาส์ เปิดไฟล์แนบตําง ๆ นั่นแหลํะคือผู๎ขับ เชํนกับกรณี รถยนต์ ผู๎เป็นมืออาชีพเป็นผู๎ใสํระบบความปลอดภัยให๎กับรถ มีทั้งเข็มขัดนิรภัย ถุงลมนิรภัย ห๎ามล๎อที่ทางานได๎ดี แตํการควบคุมระบบนั้นอยูํมือของผู๎ใช๎งาน (end-user) ดังนั้น เมื่อพูดถึงการเปลีย ่ นแปลงวัฒนธรรม จึงต๎องเกิดมาจากทุกระดับ และการเปลี่ยนแปลงทาง วัฒนธรรมนั้น จาต๎องเกิดในสามสํวนหลัก ได๎แกํ สํวนแรก คือ วัฒนธรรมของผูใ ๎ ช๎งาน ซึ่งต๎องเข๎าใจวําระบบไอซีทไ ี มํใชํของเลํน ใชํลํะ เราสามารถใช๎เลํน เกมได๎และพวกเราสํวนมากก็ใช๎เครื่องพีซีเพื่อเลํนเกม ตรวจผลฟุตบอล ค๎นหาสิ่งตํางๆในโลกของขําวสาร สํวนทีส ่ อง ก็คือวําเราจาเป็นต๎องเปลี่ยนแปลงวัฒนธรรมของผูบ ๎ ริหาร ซึ่งได๎แกํ CEOs, CFOs, COOs ซึ่ง ล๎วนเป็นบุคคลที่ชี้นาทางขององค์กร หนทางเดียวที่เราจะสามารถทาการเปลี่ยนแปลงวัฒนธรรมนี้ได๎ ก็โดยที่

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-2-

CEO จะต๎องบอกทุกคนในบริษัทวํา “ความมัน ่ คงสาคัญเป็นลาดับแรกสาหรับเรา” สิ่งนีจ ้ ะต๎องเป็นสํวนหนึ่งของ วัฒนธรรมองค์กร ผมเป็นประธานเจ๎าหน๎าที่บริหารขององค์กร The Information Security Forum (ISF) ซึ่งมีตัวแทนจาก บริษัทนานาชาติกวําสามร๎อยแหํงทั่วโลก ISF ทาวิจัยด๎านความมั่นคง ซึ่งรวมถึง ความเสี่ยง การปฏิบัติตาม ข๎อกาหนด และเทคโนโลยีหลากหลาย บริษัทที่เป็นสมาชิกตํางก็สร๎างวัฒนธรรมความมั่นคงในองค์กรตนเองขึ้น เป็นสํวนหนึ่งของความมุํงมั่นตํอเรื่องการรักษาความมั่นคง สํวนทีส ่ าม คือ ระบบไอซีทีเอง เมื่อมองไปยังสิ่งที่เราทาในวันนี้ ไอซีทีเป็นทุกอยํางที่เราทา ตั้งแตํอุปกรณ์ พกพา อุปกรณ์ตั้งโต๏ะ เครื่องแมํขําย จนถึงดาวเทียม จะเห็นวํามืออาชีพด๎านไอซีทีไมํจาต๎องเป็นผู๎เชี่ยวชาญด๎าน ความมั่นคง แตํเรากาลังเห็นการเปลี่ยนแปลง เราเห็นกลุํมคนที่เป็นผู๎จัดการฐานข๎อมูล หรือ สถาปนิกเครือขําย หรือผู๎จัดการระบบ คนเหลํานี้เป็นที่ต๎องการไมํเพียงเพราะทักษะเชิงเทคนิคสาหรับหน๎าที่งานเฉพาะอยําง แตํเพราะ ความเข๎าใจงานด๎านความมั่นคง ในหลายประเทศขณะนี้ เรากาลังเห็นมืออาชีพด๎านไอซีทีที่กาลังแสวงหาไมํเพียง แคํใบประกาศนียบัตรวิชาชีพ อยําง MCSE, CNE, CAN แตํรวมถึง CISSP ด๎วย เพราะเป็นที่ตระหนักกันแล๎ววํา เพื่อที่จะให๎การดาเนินงานระบบไอซีทีประสบผลสาเร็จ มั่นคง มีความยืดหยุํน - คุณต๎องเข๎าใจเรื่องความมั่นคง อัน จะเป็นสํวนหนึ่งของอนาคตอยํางแนํนอน

ความมัน ่ คงบนเครือขํายอินเทอร์เน็ต เพื่อนของผม วินซ์ เซิฟ (Vince Cerf) – เจ๎าพํออินเทอร์เน็ต- ได๎สนทนากับผมเมื่อเร็ว ๆ นี้ ณ กรุง ลอนดอนวํา ถ๎าหากพวกเราได๎รู๎กัน -ตั้งแตํยี่สิบห๎าปีกํอน - วําอินเทอร์เน็ตจะเป็นไปในปัจจุบัน เราก็คงจะทาอะไร แตกตํางไป หากแตํเราก็ไมํรู๎ อินเทอร์เน็ตในเวลานั้นเป็นเพียงแคํสื่อกลางที่จะสื่อสาร ที่จะแบํงปันใช๎ข๎อมูล ผู๎คน ทั่วไปไมํได๎นึกถึงเรื่องความมั่นคง ไมํได๎นึกถึงเรื่องอาชญากรรมประเภทขโมยสิ่งแสดงตัวตน (identity theft) หรือ พวกโรคจิตชอบเด็กที่ใช๎อินเทอร์เน็ตปลํอยรูปภาพเด็กไปในระบบคอมพิวเตอร์ทั่วโลก เราแคํคานึงแตํเรื่อง ความสามารถที่จะสื่อสาร ในมุมนั้นอินเทอร์เน็ตประสบผลสาเร็จ เดี๋ยวนี้เราสามารถสื่อสารได๎หลายๆชํองทาง จาก ทุกที่ทั่วโลก ทุกเวลา ด๎วยอุปกรณ์อะไรก็ได๎ แตํอะไรคือสิ่งที่ขาดไป? เรากาลังขาดสถาปัตยกรรมความมัน ่ คง ดังนั้นหากมองไปอนาคต เราจาต๎องทาให๎มีความมั่นคงมากขึ้น คาตอบไมํใชํที่จะทาในสิ่งเดิม ๆ ที่เราทามาตลอด แตํต๎องเรียนรู๎จากข๎อผิดพลาดเหลํานั้น ผมจะขอยกตัวอยํางในโลกยุคไร๎สาย ผมได๎ไปรํวมงานประชุมนานาชาติในปีนี้สองแหํง โดยไมํได๎นา เครื่องคอมพิวเตอร์แล็ปท๏อปไปด๎วย ผมมีโทรศัพท์พกพา 2 เครื่อง เครื่องหนึ่งสาหรับใช๎ e-mail อีกเครื่องหนึ่ง สาหรับใช๎ทํองเว็บ จองตั๋วเครื่องบิน จองโรงแรม และตรวจสอบยอดเงินบัญชีธนาคาร ผมไมํจาเป็นต๎องใช๎เครื่อง แล็ปท๏อป เวลานี้ผมมีความสามารถเดียวกันกับที่มีในเครื่องพีซีมาอยูํในเครื่องโทรศัพท์ แตํอะไรลํะที่ผมไมํมี? ผม ไมํมีซอฟต์แวร์ป้องกันไวรัส ป้องกันสปายแวร์ ผมไมํมีใครที่จะเป็นผู๎ตรวจสอบวําซอฟต์แวร์ที่ผมกาลังดาวน์โหลด เข๎าเครื่องโทรศัพท์ได๎ผํานการรับรอง ให๎มั่นใจวําไมํใชํซอฟต์แวร์มุํงร๎าย (malware) - ยังไมํมีในวันนี้- ยังเป็นเรื่อง วันข๎างหน๎า ปัจจุบันนี้เมื่อมองไปที่ความซับซ๎อนของระบบไอซีทีและสภาพแวดล๎อม จะเห็นวําเราไมํสามารถสร๎าง สภาพแวดล๎อมที่เราได๎รับการปกป้องโดยเพียงการใช๎ไฟร์วอลล์ ไฟร์วอลล์ชํวยเราได๎ระดับหนึ่ง แตํวันนี้พวกเรา จานวนมากก็ทางานอยูํนอกไฟร์วอลล์นั้น ดังนั้นเราจาต๎องออกแบบสถาปัตยกรรมระบบไอซีทย ี ุคหน๎าที่มีความ มั่นคงใสํมาแล๎วตั้งแตํเริม ่ สิ่งนี้จะไมํใชํเรื่องที่จะได๎มาฟรี แตํถ๎าไมํทาก็จะยิ่งสิ้นเปลืองคําใช๎จํายมากกวํา

GRC – การกากับดูแล ความเสีย ่ ง และการปฏิบต ั ต ิ ามข๎อกาหนด ขณะนี้เรากาลังมองเห็นภาวะเศรษฐกิจถดถอยทั่วโลก เมื่อผมได๎พบกับเจ๎าหน๎าที่รัฐบาลในหลายประเทศ และได๎สนทนากันเรื่องไอซีที วําจะมีอะไรที่เราสามารถทาเพื่อชํวยภาวะเศรษฐกิจได๎ มีการสนทนาถึงการปรับ โครงสร๎างพื้นฐานอินเทอร์เน็ตขึ้นใหมํ เรื่องการลงทุนในระบบไอซีทีให๎มีความมั่นคงยิ่งขึ้น ผมได๎พูดถึง Windows95, Windows98, ยุคแรกๆของ MacOS และ Linux ถ๎ามองที่คุณลักษณะด๎านความมั่นคงของ

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-3-

ระบบปฏิบัติการเหลํานั้นเมื่อสามปีกํอน เทียบกับสิ่งที่เรามีอยูํในปัจจุบัน จะเห็นวําเราดีขึ้นมาก และสามารถจะทาได๎ ดียิ่งขึ้นอีกในวันพรุํงนี้ หนทางหนึ่งอันจะนามาซึ่งความมั่นคงที่ดีขึ้นทาได๎ผํานความสัมพันธ์กบ ั ผูร๎ บ ั งานภายนอก (outsourcing relationships) บริษัทข๎ามชาติขนาดใหญํหลายแหํง ทาได๎ดีมากในเรื่อง GRC (Governance, Risk, and Compliance) ทางทีจ ่ ะชํวยพวกเราทั้งหมดจากวิธีที่บริษัทพวกนั้นทางานรํวมกับพันธมิตรธุรกิจ คือการสร๎าง วัฒนธรรมความมั่นคงให๎เกิดกับพันธมิตธุรกิจด๎วย โดยบอกวําหากคุณต๎องการทาธุรกิจกับผม คุณต๎องทาความ มั่นคงในระดับเดียวกับผม เพราะหากวําความมั่นคงของผมอยูํในระดับสูง แตํคุณอยูํในระดับต่า ทุกสิ่งทุกอยํางก็จะ ไหลลงมาสูํระดับต่า เหมือนเชํนเรือในคลอง เมื่อระดับน้าสูงขึ้น เรือทุกลาก็ลอยสูงขึ้นพร๎อม ๆ กัน ดังนั้น องค์กร ธุรกิจขนาดใหญํสามารถใช๎ความสัมพันธ์กับผู๎รับงานภายนอก เพื่อที่จะทาให๎บรรดาพันธมิตรธุรกิจทาความมั่นคง ให๎ดีขึ้น ด๎วยเหตุนี้ผมหมายถึงงานประยุกต์ (applications) ที่ดีขึ้น สถาปัตยกรรมของงานประยุกต์ที่ดีขึ้น อยําลืมวําเราไมํมีไฟร์วอลล์ที่ทางานอยูํนอกขอบเขตของระบบคอมพิวเตอร์ การได๎ความมั่นคงที่ดีขึ้น ไมํใชํเรื่องงํายสาหรับองค์กรธุรกิจขนาดกลางและขนาดเล็ก (SMEs) ผมหมายถึงทั้งธุรกิจเอสเอ็มอีภายในประเทศ และธุรกิจที่เชื่อมโยงทั่วโลก บริษัทสหรัฐที่เคยมีขนาดพันล๎านดอลลาร์ในวันนี้เหลือเงินเพียงร๎อยล๎านดอลลาร์ บริษัทที่เคยมีมูลคําสองล๎านดอลลําร์ในตอนนี้เหลือมูลคําเแคํห๎าแสนดอลลําร์ ดังนั้นการลงทุนในไอซีทีดูทําจะ น๎อยลง (กวําที่เคยเป็น) อยํางไรก็ตามเราจาเป็นต๎องลงทุนตํอเนื่องในด๎านความมั่นคง (security) และความ ปลอดภัย (safety) เพราะวําหากเราไมํทา ทรัพยากรจานวนน๎อยที่มีอยูํตอนนี้จะยิ่งเผชิญ ความเสี่ยงมากขึ้นอีก ตัวอยํางที่ผมมักจะใช๎คือเรื่องคลังสินค๎าขนาดใหญํแหํงหนึ่ง ซึ่งมีคําใช๎จํายทุก ๆ เดือน ในการวําจ๎าง เจ๎าหน๎าที่รักษาความปลอดภัยเพื่อที่จะปกป้องทรัพย์สินในนั้น มีคําใช๎จํายทุกเดือนสาหรับระบบความมั่นคง อิเล็กทรอนิกส์ แตํแม๎ในสภาวะวิกฤติเศรษฐกิจ เราก็ไมํได๎ยกเลิกระบบความมั่นคง เพราะเราตระหนักวําความ เสียหายที่จะเกิดจากการไมํทาความมัน ่ คงนั้นมากมายยิ่งกวําการทาความมั่นคงอยํางถูกต๎อง เราจึงต๎องเรียนรู๎ที่จะ ทาให๎ถูกต๎อง

กฎหมายไซเบอร์และกฎระเบียบภาครัฐ แล๎วมีอะไรอีกในอนาคต? สิ่งหนึ่งก็คือกฎระเบียบภาครัฐ ในบางประเทศ –ผมจะขอใช๎ประเทศ สหรัฐอเมริกาเป็นกรณีตัวอยําง- ความคิดเรื่องการออกกฎหมายกากับควบคุมสภาวะแวดล๎อมทางไอซีทีเป็นสิ่งท๎า ทาย เพราะวําบางครั้งมติของรัฐทีจ ่ ะบัญญัติข๎อบังคับในเรื่องใดโดยเฉพาะเจาะจง กลับกลายเป็นการทาร๎ายสภาวะ แวดล๎อมโดยรวมด๎านนวัตกรรม ยกตัวอยํางเชํน เมื่อไมํกี่ปีมานี้ ในสหรัฐอเมริกา มีการพิจารณาบัญญัติกฎหมายให๎การใสํ spyware ใน ระบบคอมพิวเตอร์เป็นเรื่องผิดกฎหมาย ตอนนี้ผมคิดวําเราทุกคนเห็นด๎วยวําเป็นสิ่งที่ดีที่จะหยุดยั้ง spyware แตํ ปัญหาก็คือเรื่องวิธีการเขียนเป็นกฎหมาย ซึ่งระบุวําเมื่อใดก็ตามที่มีใครติดสํวนซอฟต์แวร์ไปในระบบคอมพิวเตอร์ โดยที่เจ๎าของไมํรู๎เรื่อง-ถือวําเป็น spyware ดังนั้นการแพทช์อุดชํองโหวํของระบบหรือปรับปรุงข๎อมูลตํอต๎านไวรัส ก็จะเป็นความผิดตามกฎหมายใหมํนี้ ปัญหาคือยังไมํมีการปรึกษารํวมกันอยํางเพียงพอกับมืออาชีพด๎านไอซีทีที่จะทาความเข๎าใจอยํางถํองแท๎ ถึงผลกระทบจากกฎหมายที่จะมีตํอการทางานของระบบไอซีทีที่มน ั่ คง เราพบเรื่องแบบนี้หลายครั้งหลายหนทั่วโลก เจตนาดีที่จะออกกฎระเบียบหรือกฎหมายเพื่อทาให๎ความมั่นคงดีขึ้นสาหรับระบบไอซีที กลับกลายเป็นการทาให๎ ยากยิ่งขึ้น แล๎วกฎหมายแบบไหนที่เราต๎องการ? สิ่งแรกเราต๎องทาความเข๎าใจคือวําจะยังมีอาชญากรรมในโลกอยูํ เสมอ ดังนั้นกฎหมายจะชํวยได๎คือชํวยการบังคับใช๎กฎหมายในด๎านการสืบสวน ดาเนินคดี และทาให๎อาชญากร ต๎องมารับความผิดตํอการกระทา กวําสิบปีมาแล๎วเรามีสภาแหํง ยุโรปเรื่องสนธิสัญญาอาชญากรรมไซเบอร์ (Council of Europe Cybercrime Treaty) ซึ่งมีหลายประเทศที่เกี่ยวข๎องในไอซีทีได๎รํวมลงนาม ซึ่งชํวยประสาน วิธีนิยามความเป็นอาชญากรในระดับนานาชาติ สนธิสัญญาเชํนนี้นี้ชํวยให๎สามารถบังคับใช๎กฎหมายข๎ามพรมแดน ทาให๎นาอาชญากรสูํกระบวนการยุติธรรมในประเทศที่เกิดเหตุ สนธิสัญญาคล๎ายกันนี้กาลังเกิดขึ้นในประเทศ

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-4-

อินเดีย ไทย สหรัฐอาหรับเอมิเรทส์ เยอรมนี ทั่วโลกต๎องทางานรํวมกันเพื่อเสริมความสามารถในการสืบสวน อาชญากรรม

บทบาทหลักของบุคลากรมืออาชีพด๎านความมัน ่ คง คือ การป้องกันอาชญากรรม เราจะไมํมีทางมีเจ๎าหน๎าที่ตารวจที่ได๎รับการอบรมเชิงเทคนิคอยํางเพียงพอที่จะหยุดยั้งอาชญากรรมไซ เบอร์ นี่คือจุดที่มืออาชีพด๎านความมั่นคงจะก๎าวเข๎ามาเพื่อทา-การป้องกันอาชญากรรม ไมํแตกตํางจากการป้องกัน อาชญากรรมที่เราเห็นปกป้องบ๎าน ธุรกิจ สนามบิน โรงแรม และศูนย์ประชุม เมื่อผมแบกกระเป๋าคอมพิวเตอร์ลง รถไฟฟ้าใต๎ดิน เจ๎าหน๎าที่รักษาความปลอดภัยก็ตรวจค๎นกระเป๋าเพื่อให๎แนํใจวําผมจะไมํมีสิ่งที่เป็นอันตราย นั่นคือ การป้องกัน สิ่งเดียวกันนี้ก็ใช๎เมื่อเราสร๎างระบบคอมพิวเตอร์เพื่อที่ให๎แนํใจวําเราสามารถลดจานวนเหยื่อ อาชญากรรมไซเบอร์ ไมํวําจะเป็นการขโมยสิ่งแสดงตัวตน (identity theft) การโกงบัตรเครดิต หรือการเจาะระบบ การใช๎แนวปฏิบัติที่ดีที่สุด (best practices)จะทาให๎เราสามารถลดจานวนครั้งที่อาชญากรรมจะกระทบวิธีทาธุรกิจ ไอซีที เมื่อจานวนอาชญากรรมประเภทนี้ลดลง เจ๎าหน๎าที่ตารวจและเจ๎าพนักงานบังคับใช๎กฎหมายก็จะสามารถ เน๎นไปที่อาชญากรรมที่กระทบตํอวิถีชีวิตและวัฒนธรรมตํอไป เมื่อเร็ว ๆนี้ตอนผมอยูํในประเทศอียิปต์ ผมรํวมประชุมกับเจ๎าหน๎าที่รัฐบาลที่กาลังพิจารณาเทคโนโลยีที่ จาเป็นตํอการฝึกอบรมเจ๎าหน๎าที่ตารวจ ผมหวนคิดไปถึงชํวงวันเวลาที่ผมเป็นเจ๎าหน๎าที่ตารวจคนหนึ่งในเมืองเล็ก ๆ แถบตะวันตกเฉียงใต๎ของสหรัฐ เรามีเจ๎าหน๎าที่ตารวจจานวนสองนายที่ผํานการฝึกอบรมการตรวจเก็ บพิสูจน์ หลักฐานทางคอมพิวเตอร์ (computer forensics) เรามีเกือบสามแสนคดีในเมือง มีชํวงหนึ่งเรามีอาชญากรรมทาง คอมพิวเตอร์ถึง 51 คดี ที่เราทั้งคูํต๎องใช๎เวลามากกวําหนึ่งปีเพื่อที่จะสะสางทั้งหมดได๎ ไมํมีทางที่จะมีผู๎บังคับใช๎ กฎหมายอยํางเพียงพอที่จะรับมือกับเหตุอาชญากรรมทั้งหมดนั่น ดังนั้นเมื่อมองการโจมตีระบบไอซีทีของเรา ผม มักจะถูกถามวํา “เวลาใดดีทส ี่ ด ุ ที่จะพบกับตารวจ?” เพื่อทาให๎พวกเขาเข๎าใจสถานการณ์ถ๎าคุณตกเป็นเหยื่อของ อาชญากรรมคอมพิวเตอร์ คาตอบงํายมาก คุณพบตารวจกํอนที่จะมีอะไรเกิดขึ้น คุณทาให๎แนํใจวําพวกเขาเข๎าใจ การทางานของธุรกิจของพวกคุณและคุณเข๎าใจวําพวกเขาต๎องการอะไร ตั้งแตํเรื่องการเก็บรวบรวมหลักฐาน ไปถึง การนาอาชญากรเข๎าสูํระบบศาล เรามีการจัดสัมมนาหลายครั้งทั่วโลก เพื่อนามืออาชีพด๎านความมั่นคงกับมืออาชีพด๎านการบังคับใช๎ กฎหมายมาพบกัน เพื่อให๎พวกเขาสามารถเข๎าใจทั้งวิธีการป้องกันอาชญากรรม ทั้งผู๎ที่จะรายงานเมื่ออะไรเกิดขึ้น ทั้งเข๎าใจถึงสิ่งที่คุณจะคาดหวังให๎เจ๎าหน๎าที่ทา ผมบอกให๎คุณเชื่อได๎เลยวําไมํใชํทุกคดีจะสามารถสืบสวนได๎ มีคดี พวกนี้มากมายเกินจะทาได๎ แตํชัดเจนวําเราจาเป็นต๎องพยายามให๎รัฐบาลของเราสนับสนุนผู๎บังคับใช๎กฎหมายและ เจ๎าหน๎าที่อื่น ๆที่ดูแลความมั่นคงของเรา

อาชญากรไซเบอร์นานาชาติ อาชญากรนานาชาติไมํจาต๎องเกํงทางเทคนิคเสมอไป ในดูไบเมื่อสัปดาห์ที่แล๎ว ผมถูกถามวํา “แบบฉบับ ทั่วไปของอาชญากรไซเบอร์ในปัจจุบันมีอะไรบอกเป็นเค๎าให๎สังเกตได๎บ๎าง?” ผู๎คนเคยคิดวําเป็นพวกหนุํมสาวที่ใช๎ เวลาจมอยูํกับคอมพิวเตอร์ที่เป็นเพื่อนคนเดียว แตํนี่ไมํจริงอีกตํอไป ปัจจุบันเรามององค์กรอาชญากรรม (organized crime)เป็นอาชญากรคอมพิวเตอร์ มันเป็นเรื่องของเงิน เป็นการขโมยข๎อมูล เพราะวันนี้ ข๎อมูลก็คือ ทอง เงิน และ เพชรในโลกของเรา ของมีมูลคําอยูํที่ไหน ที่นั่นก็จะมีอาชญากรมารุกราน ตอนนี้อาชญากรกาลังทาที่วําอยํางไร? บางรายเป็นการขโมยสิ่งแสดงตัวตน ผําน e-mail หลอกลวง (phishing e-mails) ซึ่งกาลังทาได๎ซับซ๎อนและนําเชื่อมากยิ่งขึ้น ทุกครั้งที่มีวิกฤติร๎ายแรงทั่วโลก ไมํวําจะเป็น แผํนดินไหวในอัฟกานิสถาน พายุเฮอริเคนในสหรัฐ พายุไต๎ฝุ่นในเอเชียตะวันออกเฉียงใต๎ โดยทันทีอาชญากรไซ เบอร์จะสํง e-mail ที่พยายามจะเรียกความสงสารจากคุณผู๎ต๎องการชํวยคนที่กาลังประสบภัย ธรรมชาติ อาชญากร กาลังจ๎องที่จะขโมยเงินของคุณทุกเมื่อมีเหตุเชํนนี้เกิดขึ้น ดังนั้นมีอะไรบ๎างเป็นสิ่งดีที่เราได๎สามารถทาเพื่อที่ลดอาชญากรรมไซเบอร์? ลองคิดดูวํา ระบบ e-mail สํวนใหญํทางานอยํางไร ไมํวําจะเป็นระบบ e-mail ของที่ทางานที่ทางานผํานอินเทอร์เน็ตเซอร์ฟเวอร์ หรือ web-

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-5-

based อยํางเชํน G-mail, Yahoo, MSN Live ระบบเหลํานี้มีตัวกรองและตัวบล็อกซึ่งติดตั้งไว๎เพื่อชํวยลดกลุํม mail ที่ดูเหมือนจะเป็นมัลแวร์ ซึ่งรวมถึง phishing e-mails ที่เข๎ามาในระบบ e-mail ซึ่ง e-mail สํวนใหญจะถูก บล็อกไว๎กํอนที่จะเข๎าสูํระบบ e-mail ด๎วยซ้า แตํถ๎า e-mail พวกนั้นเข๎ามาในระบบได๎ เราก็มีเทคโนโลยีที่จะกัน mail พวกนั้นไปไว๎ที่โฟล์เดอร์ junk mail หรือโฟล์เดอร์ชื่ออะไรก็ตามสาหรับเก็บ e-mail ที่นําสงสัย ดังนั้นเพื่อที่จะ เข๎าถึง e-mail เหลํานี้ เราต๎องจงใจที่จะเปิด e-mail เหลํานี้เอง แล๎วถ๎าเกิด mail พวกนี้หลุดไปอยูํกลํองรับ e-mail in box ? ผู๎ใช๎ e-mail สมัยใหมํสํวนใหญํก็มีเทคโนโลยีที่จะปิดกั้น links (ที่ตํอไปที่อื่น) ดังนั้น ถ๎าหากคุณได๎รับ e-mail ที่ดูเป็นทางการ ถามหารหัสผํานตอนที่คุณพยายามที่จะคลิ๊กไปยัง link ซึ่ง โดยสํวนมากจะไมํทางานเนื่องจากเทคโนโลยีที่เราใช๎ปกป้องพวกคุณ แตํแม๎วําคุณคลิ๊กไปยัง link นั้นแล๎วก็ตาม จุดสุดท๎ายที่เรามีป้องกันตัวเองจากการโกงบัตรเครดิต การขโมยสิ่งแสดงตัวตน และ phishing e-mails ก็คือตัว web browser เอง ทุก web browser ในปัจจุบันนี้เชํน Safari, Firefox, Mozilla, IE, Opera ล๎วนมีเทคโนโลยี ป้องกันฟิชชิง (anti-phishing) ถ๎ามันถูกเปิดให๎ทางาน ดังนี้ถ๎ามี links ที่นําสงสัยเครื่องก็จะเตือนคุณ เดี๋ยวนี้ยาก ขึ้นที่ผู๎ใช๎จะกลายเป็นเหยื่อ ขณะที่อาชญากรมีการจัดการดีขึ้น เราก็ต๎องยิ่งมีการจัดการดีขึ้นเชํนกัน เราต๎อง ปลํอยเทคโนโลยีที่ดีขึ้นมาใช๎ เราต๎องให๎ความรู๎และการฝึกอบรมมากขึ้น เราต๎องเปลี่ยนวัฒนธรรมไปสูํวัฒนธรรม ความมั่นคง(security) และความปลอดภัย (safety)

อนาคตของความมัน ่ คงทางอินเทอร์เน็ต (internet security) และ IPv6 ผมอยากจะพูดถึงเทคโนโลยีที่กาลังจะมาในอนาคตอันใกล๎ ผมได๎กลําวถึงอุปกรณ์ประเภทพกพา (mobile)ไปแล๎ว ภายในสามถึงห๎าปีจากนี้ จะมีอุปกรณ์มากกวําสองพันล๎านชิ้นที่เชื่อมตํอกับเครือขํายอินเทอร์เน็ต เมื่อเราเริ่มมองที่จานวนอุปกรณ์และ IPv6 ที่กาลังจะมาถึงนั้น วินซ์ เซิฟ กับผมได๎สนทนากันที่ลอนดอนถึง ความก๎าวหน๎าของ IPv6 ซึ่งไมํคํอยคืบหน๎ามากเทําที่เราหวัง เมื่อสมัยที่ผมเป็นที่ปรึกษาด๎านความมั่นคงไซเบอร์ ของทาเนียบขาว (ในปลายปี 2009 เขากลับมาเป็นที่ปรึกษาของประธานาธิบดีโอบามา) เราเขียนยุทธศาสตร์ชาติที่จะ สร๎างความมั่นคงให๎อาณาเขตไซเบอร์ (cyberspace) เห็นได๎ชัดวํายุทธศาสตร์ชาตินั้นครอบคลุมระดับนานาชาติ แตํเราทาไปในนามของประธานาธิปดีสหรัฐอเมริกา มีข๎อความทํอนเล็กๆที่พูดถึงการนา IPv6 มาใช๎ นั่นไมํได๎ หมายความจะวําจะมีความมั่นคงมากขึ้น แตํข๎อเดํนของ IPv6 ทาให๎ทาความมั่นคงได๎ดีขึ้น โดยมี secure DNS, secure PGP, IP sec เป็นองค์ประกอบของ IPv6 เหลํานี้คือสิ่งที่ควรถูกรวมอยูํด๎วยเมื่อเราสร๎างระบบยุคตํ อไป ปัญหาใหญํที่ วินซ์ เซิฟ คาดไว๎ก็คือ ในปี 2010 ถึง 2011 เราจะหมดพื้นที่ (address) ใน IPv4 นี่จะเป็นประเด็น ปัญหาสากลคล๎ายกับ Y2K ถ๎าหากเราไมํนา IPv6 ออกมาใช๎โดยเร็ว ดังนั้น เมื่อเรามองอนาคตของอุปกรณ์หลากหลายและนัยผูกพันกับสังคมที่ใช๎ IP (IP-enabled society, IP = Internet Protocol) รวมถึงอุปกรณ์ที่อกับอินเทอร์เน็ตได๎เชํน กล๎องวิดีโอ เครื่องกระตุ๎นหัวใจ ตู๎เย็น หรืออุปกรณ์

เคลื่อนที่ ผู๎พัฒนาเทคโนโลยีเหลํานั้นจาเป็นต๎องพบมืออาชีพด๎านความมั่นคงและต๎องเข๎าใจความเสี่ยงของทุก อยํางที่กาลังทา ไมํเพียงจะต๎องเข๎าใจความเสี่ยงแตํจะต๎องสร๎างมาตรการควบคุมที่จะชํวยบรรเทาความเสี่ยงใน บรรดาอุปกรณ์ที่เปิดใช๎ผําน IP ในอนาคต สิ่งตํอไปในอนาคตที่เราต๎องสนใจใกล๎ชิดก็คือแอปพลิเคชัน (application, งานประยุกต์) แอปพลิเคชันคือสิ่งที่ทาให๎ระบบของเราสาเร็จผล ความสามารถที่จะทาธุรกรรม ธนาคารทางออนไลน์ หรือเข๎าถึง on-line video เหลํานี้คือสิ่งที่ทาให๎งานเกิดขึ้นได๎ แตํหลังจากสามสิบกวําปีของ การพัฒนาแอปพลิเคชันสาหรับระบบคอมพิวเตอร์ เราก็ยังทาไมํพอที่จะชํวยลดชํองโหวํ(vulnerabilityหรือจุดอํอน)ใน แอปพลิเคชัน

ความมัน ่ คง (Security)เป็นปัญหาด๎านความปลอดภัย (Safety Problem) ไมํใชํปญ ั หาด๎าน คุณภาพ (Quality Problem) รายงานของบริษัทการ์ตเนอร์ (บริษัทวิจัยและที่ปรึกษาด๎านไอที)เมื่อเร็ว ๆ นี้ (ปี 2008) คาดวํามากกวํา 70% ของการโจมตีระบบไอซีทีที่เป็นผลสาเร็จนั้น เป็นผลมาจากชํองโหวํในแอปพลิเคชันซึ่งไมํควรจะมีอยูํ และเมื่อ ค๎นพบแล๎วก็ควรที่จะถูกแก๎ไข ในระบบของกระทรวงกลาโหมของสหรัฐเมื่อสองสามปีกํอนพบวํา 87% ของการบุก

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-6-

รุกที่เป็นผลสาเร็จมาจากชํองโหวํในแอปพลิเคชัน ซึ่งมีการออกแพทช์ (patch) เพื่ออุดชํองโหวํนั้นแล๎วมานานกวํา หกเดือน แตํยังไมํได๎ทา เมื่อเราอุดชํองโหวํระบบ มันอาจจะสร๎างปัญหามากขึ้นซึ่งเราไมํเข๎าใจตอนนั้น ดังนี้ทาง แก๎ปัญหาก็คือ เราต๎องวิเคราะห์ชด ุ คาสั่งต๎นฉบับ (source code analysis) ความมั่นคงไมํใชํปัญหาด๎านคุณภาพ แตํเป็นปัญหาด๎านความปลอดภัย ความคิดที่วําเราสอนให๎ผู๎คนเขียน โปรแกรมแอปพลิเคชันและมีคนอื่นจากฝ่ายควบคุมคุณภาพมาตรวจสอบ พบปัญหาแล๎วแก๎ไข เป็นความคิดแบบเกํา ในโลกปัจจุบันเราจาเป็นต๎องสร๎างความมั่นคงไว๎ในระบบจากที่เริ่มต๎นแรกสุด เราจาต๎องเข๎าใจวําเมื่อนาแอปพลิเค ชันออกใช๎งานแล๎วจะต๎องไมํมีปัญหความมั่นคงและชํองโหวํ

ข๎อเรียกร๎องเพือ ่ ให๎ดาเนินการ อะไรคือสิ่งที่เราจาเป็นต๎องทาเพื่อที่จะทางานได๎ดียิ่งขึ้น? มีข๎อเรียกร๎องบางประการที่เจาะจงจริงๆ เพื่อให๎ ดาเนินการที่เราจาเป็นต๎องครอบคลุม ได๎แกํ ประการแรก สิ่งที่ทากํอนอื่นคือ เราต๎องปรับปรุงคุณภาพซอฟต์แวร์ (software quality)โดยเฉพาะเรื่อง การประกันคุณภาพ(quality assurance)ของซอฟต์แวร์ธุรกิจ ใครคนใดก็สามารถดาวน์โหลดชุดคาสั่งต๎นฉบับ (source code) จากไลบรารีที่มีอยูํในปัจจุบันและยังคงใช๎ชุดคาสั่ง (code) ที่มีชํองโหวํนั้นตํอไปได๎ เราจาเป็นต๎อง สอนโปรแกรมเมอร์รุํนใหมํให๎รู๎ถึงวิธีเขียนโปรแกรมให๎มีความมั่นคง ประการทีส ่ อง ข๎อคือเราต๎องลงทุนในการฝึกอบรมและการสร๎างความตระหนัก เราต๎องเปลี่ยนวัฒนธรรม เราต๎องพัฒนาแผนงานการศึกษาที่ดี ไมํเพียงในภาคธุรกิจแตํรวมถึงในสถานศึกษา เราสอนเด็กๆ ถึงวิธีข๎ามถนน อยํางปลอดภัย วิธีระวังภัยจากคนแปลกหน๎า วิธีทาตัวหํางไกลยาเสพติด นอกจากนี้ เรายังจาเป็นต๎องสอนเด็ก ๆ ถึง วิธีทางานออนไลน์อยํางปลอดภัยและการมีจริยธรรมที่จะไมํกํออาชญากรรมออนไลน์ ประการทีส ่ าม เราต๎องนาแนวปฏิบัตท ิ ด ี่ ส ี ด ุ มาใช๎ (best practices) ใครก็ตามสามารถดาวน์โหลด มาตรฐานของแนวปฏิบัติที่ดีสุดได๎จาก www.securityforum.org โดยไมํเสียคําใช๎จําย เรารู๎วิธีที่จะทาให๎ระบบไอซี ทีมีความมั่นคง เราทามันอยูํทุกวัน แตํวําไมํทุกคนที่มีความรู๎แบบนี้ ไมํใชํทุกคนจะมีความสามารถเทํากันหรือจะรู๎วิธี ทาอยํางถูกต๎อง แตํโดยการใช๎แนวปฏิบัติที่ดีสุด ทุกคนจะสามารถปรับปรุงสถานการณ์ของตนเองให๎ดีขึ้นได๎ ประการทีส ่ ี่ เราจาต๎องมีการอภิปรายสาธารณะในเรือ ่ งสิทธิสว ํ นบุคคล (privacy), ในเรือ ่ งการกาหนด ความเป็นเจ๎าของสิง่ แสดงตัวตน (identification ownership) สิทธิสํวนบุคคลมีสองสํวนคือ การปกป้องข๎อมูล และความเป็นเจ๎าของ หากปราศจากความมั่นคง จะไมํมีการปกป้องข๎อมูล แล๎วก็จะไมํมีสิทธิสํวนบุคคล แตํอีกสํวน หนึ่งคือ ใครเป็นเจ๎าของสารสนเทศทีเ่ ป็นสํวนตัวของผม? เมื่อผมไปซื้อเครื่องโทรศัพท์เคลื่อนที่ในสหรัฐ ผมต๎องให๎ ข๎อมูลเกี่ยวกับตัวเองที่มากเกินความจาเป็น ซึ่งอาจนาไปสูํการขโมยสิ่งแสดงตัวตน (identity theft) แล๎วคนพวกนั้น ก็จะเก็บสารสนเทศ (information)ของผมเป็นเวลาหลายปี ใครจะรู๎วําพวกนั้นปกป้องข๎อมูลอยํางไร เราต๎องการให๎ มีการอภิปรายสาธารณะถึงเรื่องวิธีการที่เราจะปกป้องสิทธิสํวนบุคคล พร๎อมกับที่จะต๎องแนํใจวําบังคับใช๎กฎหมาย ได๎ด๎วย ประการที่หา๎ เราต๎องทาให๎แนํใจวําเราพูดถึงแผนงานด๎านความมัน ่ คงทีซ ่ บ ั ซ๎อน โดยเกีย ่ วพันกับ คน (People), กระบวนการและนโยบาย (Process & Policy), และเทคโนโลยี (Technology) เทคโนโลยีเอง ไมํได๎แก๎ปัญหาใด การฝึกอบรมคนเป็นสิ่งสาคัญยิ่งยวด ประกาศนียบัตรรับรองก็เป็นสิ่งสาคัญ การที่มีนโยบายและ แนวปฏิบัติที่ดีสุดซึ่งไมํอยูํแคํบนกระดาษ แตํถูกนามาทาให๎มีผลโดยบังคับใช๎ด๎วยเทคโนโลยีก็ถือเป็นสิ่งสาคัญ

ACIS Professional Center Co., Ltd.


CDIC 2008 Keynote Speech: Howard Schmidt, CEO of The Information Security Forum

-7-

ประการที่หก เรื่องสุดท๎ายของข๎อเรียกร๎องเพื่อให๎ดาเนินการนี้ ก็คือ เราจาเป็นต๎องออกแบบและสร๎างความ มั่นคงให๎กับระบบในอนาคต นัน ่ คืองานของเราที่ต๎องทาให๎แนํใจวําเราออกแบบ (architect)ได๎ถูกต๎อง มิฉะนั้นแล๎ว เราจะต๎องจํายคําเสียหายอีกหลายปีตํอๆไป

บทสํงท๎าย ปิดท๎ายนี้ คาถามสุดท๎ายของผมถึงพวกคุณซึ่งเป็นสิ่งที่ผมขอร๎องผู๎ฟังทุกครั้งที่ผมได๎รับเกียรติมาพูดด๎วย ก็ คือ เราสามารถทาเองได๎ให๎อาณาเขตไซเบอร์สว ํ นของเรามีความมัน ่ คง เราสามารถชํวยเพื่อนบ๎าน เพื่อน ๆ ครอบครัว และธุรกิจของพวกเราได๎ เราสามารถทาความมั่นคงให๎เกิดในสํวนของเราแตํละคน เราไมํตอ ๎ งแก๎ปัญหา ทั้งโลก แตํถ๎าเราแก๎ปัญหาสํวนของเราได๎ แตํละสํวนประกอบเข๎าด๎วยกันได๎ เราก็จะมีความมัน ่ คงในระดับโลก จะ เป็นการทาให๎สภาวะแวดล๎อมปลอดภัยขึ้นสาหรับธุรกิจ การบันเทิง และการสื่อสารอันเป็นสิ่งสาคัญ ยิ่งยวดในสังคม ปัจจุบัน ทํานสุภาพสตรีและสุภาพบุรุษทั้งหลาย ขอบคุณอยํางมากสาหรับเกียรติและสิทธิพิเศษที่ให๎ ผมกลับมาที่นี่ ในวันนี้ ผมขออานวยพรให๎การเสวนาของพวกทํานตลอดสองสามวันจากนี้ประสบผลสาเร็จด๎วยดี ขอบคุณอยําง มากครับ

------------------------------------------------

ACIS Professional Center Co., Ltd.

http://www.acisonline.net/doc/CDIC2008-Howard_Schmidt-Abridged-(Thai-version)  

http://www.acisonline.net/doc/CDIC2008-Howard_Schmidt-Abridged-(Thai-version).pdf

Read more
Read more
Similar to
Popular now
Just for you