Report rsa-conference 2017

Analytic,
Intelligence
& Response

2
เผยแพร่เมื่อวันที่ 20 มีนาคม 2560
Executive Summary
เกาะติดเทรนด์ Cybersecurity โลก ที่ RSA Conference 2017
“หากใครอยากทราบเทรนด์แฟชั่นของโลกแต่ละปี คงทราบกันดีว่าต้องไปเกาะติดขอบรันเวย์ที่ Paris Fashion Week
แล้วถ้าเป็นโลกของ Cybersecurity ล่ะ คาตอบคงอยู่ที่งาน RSA Conference สุดยอดงานด้าน Cybersecurity
อันเป็นจุดรวมตัวของสุดยอดกูรู Cybersecurity ของโลก”
จากความสาคัญของเวที RSA Conference ETDA จึงไม่พลาดที่จะเข้าร่วมงานนี้ เพื่ออัปเดต Cybersecurity
Trend ที่เกิดขึ้นในงานนี้ แล้วนามาสิ่งที่ได้รับมาแชร์ความรู้ ประสบการณ์ แลกเปลี่ยนมุมมองและความคิดเห็น เพื่อ
นามาต่อยอดให้เกิดประโยชน์ในการทางานด้าน Cybersecurity สาหรับคนในสังคมและประเทศไทยต่อไป
RSA Conference สุดยอดอย่างไร
RSA Conference คืองานประชุมประจาปี ที่จัดกันมาตั้งแต่ ค.ศ. 1991 เป็นการประชุมเรื่อง “Cryptography,
Standards & Public Policy” ชื่อของงาน RSA มาจากตัวย่อของนามสกุลนัก Cryptographer ที่มีชื่อเสียงโด่งดัง 3
คน ผู้ซึ่งสามารถคิดอัลกอริทึมในการเข้ารหัสข้อมูลที่สาคัญเมื่อ ค.ศ. 1977 ได้แก่ รอน ริเวสต์ (Ron Rivest), อาดี
ชามีร์ (Adi Shamir) และเล็น เอเดิลแมน (Len Adleman) จากมหาวิทยาลัย MIT ซึ่งในปีนี้ทั้งรอนและอาดีก็มาร่วม
เสวนาในช่วง Keynote: The Cryptographer’s Panel ด้วย จึงเป็นที่มาให้ชาว Cybersecurity ทั่วโลกเห็น
ความสาคัญที่จะนามาสู่การเปลี่ยนแปลง และเทรนด์ของการดาเนินงานด้าน Security ของทั่วโลก
งาน RSA Conference แบ่งเป็น 2 ส่วนหลัก คือการสัมมนาวิชาการด้าน Security และการจัดงานออกบูธนิทรรศ
การสินค้าด้าน Security โดยปี 2017 ที่ผ่านมานั้น มีผู้เข้าร่วมงานกว่า 45,000 คน มารวมตัวกันแลกเปลี่ยนความคิด
เห็น Trend ของ Security สอคคล้องกับแนวทางที่ว่า Where the world talks security
RSA Conference 2017: POWER OF OPPORTUNITY
RSA Conference ในปี 2017 ธีมของงานคือ POWER OF OPPORTUNITY โดยจัดขึ้น 5 วัน ระหว่างวันที่ 13-17
กุมภาพันธ์ ณ หอประชุม MOSCONE CENTER นครซานฟรานซิสโก ประเทศสหรัฐอเมริกา โดยสามารถติดตาม
ข้อมูลและความคืบหน้าได้ที่ https://www.rsaconference.com/events/us17
ดังคาว่า UNITY ที่เป็นธีมของงาน ปีนี้จึงได้มุ่งเน้นเพื่อให้เกิดแนวร่วมทางานร่วมกัน บรรยากาศของการเปิดงานในห้อง
ประชุมใหญ่ที่จุกว่า 6,000 คนได้นั้น เริ่มด้วยแสง สี เสียง ผ่านจอภาพทรงโค้งขนาดใหญ่ 3 จอ และการแสดงของศิลปิน
ฮิปฮอปที่ใช้เครื่องดนตรีคลาสสิกชื่อดังอย่าง Black Violins เป็นวงเปิดตัว สอดแทรกด้วยข้อความที่สะท้อนให้ทุกคน
ตระหนักถึงภัยคุกคามไซเบอร์ต่าง ๆ ซึ่งช่วยปลุกเร้าพลังของทุกคนในงานให้รวมใจเป็นหนึ่ง และมุ่งความสนใจไปบน
เวทีที่จุดเดียวกัน โดยใช้ลูกเล่นบน Wristband ที่แจกให้ผู้เข้าร่วมงานทุกคน คอยกระตุ้นการมีส่วนร่วม และมีดารา
นักแสดงฮอลลีวู้ดชื่อดังอย่าง John Lithgow เป็นผู้กล่าวเปิดบนเวทีอย่างสนุกสนาน

3
What Ripples Will You Create?
ในปีนี้มีแขกรับเชิญบรรยายในช่วง Keynote สาคัญ เช่น Brad Smith (President and Chief Legal Officer,
Microsoft), Christopher Young (Senior Vice President and General Manager, Intel Security), Michael
McCaul (Chairman, House Homeland Security Committee), Eric Schmidt (Executive Chairman
Alphabet Inc) และมีผู้ที่มีชื่อเสียงโด่งดัง เช่น Dame Stella Rimington (อดีต Director General, MI5)
ผู้บรรยายหลายคนใช้คาว่า “Ripple Effect” ซึ่งหมายถึง การกระทาของทุกคนล้วนก่อให้เกิดผลและร่องรอย
ตามมา นั่นคือ “คลื่น” ที่ส่งผลกระทบต่อบุคคลอื่นด้วย
Dr.Zulfikar Ramzan, Chief Technology Officer, RSA เป็น Keynote Speaker คนแรกที่ได้พูดถึง Ripples
หรือคลื่นของการเปลี่ยนแปลง โดยกล่าวว่า ทุกคนเป็นส่วนหนึ่งของการเปลี่ยนแปลงที่เกิดขึ้นในโลกนี้ได้ เพราะยุคนี้
อินเทอร์เน็ตเป็นส่วนหนึ่งของการใช้ชีวิตแล้ว ดังนั้น จึงขอให้ทุกคนได้มีส่วนร่วมในการที่จะรับมือเรื่อง Cybersecurity
นี้ เพราะคนทั่วโลกคาดหวังว่า กว่าสี่หมื่นคนที่มาประชุมกันที่ RSA นี้เป็นคนที่รู้เรื่อง Cybersecurity มากที่สุดแล้ว
ดังนั้น ขอให้ทุกคนถามตัวเองว่า เมื่อเสร็จสิ้นการประชุม RSA แล้ว เมื่อคุณกลับไปทางาน คุณจะสร้างการเปลี่ยนแปลง
ได้อย่างไร ดังที่ RSA 3 คน ได้เคยทาการเปลี่ยนแปลงแล้วในโลกของ Cybersecurity และขอให้ทุกคนถามตัวเอง
ว่า What Ripples Will You Create?
นอกจาก เวที Keynote แล้ว RSA ยังแบ่งการสัมมนาตาม Track กลุ่มเรื่องต่าง ๆ ซึ่งแบ่งได้เป็นกลุ่มใหญ่ ดังนี้
เรื่องฮอตของกลุ่ม Fintech และ New Technologies
 การพัฒนาเทคโนโลยีปัญญาประดิษฐ์ AI (Artificial Intelligence) ในรูปแบบ Machine Learning ที่นับวันจะมี
บทบาทเป็นเครื่องมืออัตโนมัติในการสนับสนุนการวิเคราะห์ภัยคุกคามไซเบอร์
 ความกังวลเรื่อง Cloud security ซึ่งปีนี้มีการอภิปรายมากกว่า 30 session โดยเฉพาะในประเด็นการประเมิน
บริการ การตรวจสอบ และแนวทางการรับมือกับปริมาณข้อมูลที่ต้องจัดเก็บจานวนมหาศาล
 การนาเทคโนโลยี Blockchain มาใช้ในยุค Fintech กับแนวโน้มภัยคุกคามรูปแบบใหม่
 Cryptography ที่ยังคงต้องอยู่กับเราต่อไป ซึ่งต้องมีการปรับปรุงความมั่นคงปลอดภัยสูงเพิ่มขึ้น มีการพูดถึง
Cryptographic protocols และอธิบาย Cryptographic สมัยใหม่
แวดวง Cyber Threats ไปกันถึงไหน
 ในปีที่ผ่านมาเกิดเหตุการณ์การโจมตีจากอุปกรณ์ IoT (Internet of Things) หลายครั้ง ส่งผลถึงเสถียรภาพของ
บริการอินเทอร์เน็ตของโลก มีวงเสวนาหลายเวทีว่า ใครจะต้องรับผิดชอบระหว่างรัฐบาลต้องออกกฎหมาย หรือ
ผู้ผลิตอุปกรณ์ต้องเพิ่มระดับความรับผิดชอบมากขึ้นอย่างไร
 เมื่อการโจรกรรมข้อมูลด้วย Ransomware สามารถสร้างรายได้ให้อาชญากรถึง 200 ล้านเหรียญสหรัฐในปี
2016 เราจะมีแนวทางในการรับมือกันอย่างไร

4
 แนวโน้มเหตุการณ์โจมตีที่มีลักษณะเป็น State Sponsor ที่เกิดบ่อยครั้ง มีการพูดถึง Stuxnet ที่เป็นจุดเริ่มต้น
ของการคุกคามที่มาจากระดับรัฐบาล ในวันนี้มีการกล่าวถึงการก่อกวนผลการเลือกตั้งของสหรัฐอเมริกา
 รูปแบบอาชญากรรมไซเบอร์ที่มุ่งเป้าหมายโจมตีสถาบันการเงินโดยตรง เช่น ATM และคอมพิวเตอร์ที่ควบคุมระบบ
SWIFT สร้างความเสียหายครั้งละหลายล้านบาท
อัปเดตกลุ่ม Laws and Privacy
 กฎหมาย Privacy เป็น Hot topic ที่มีการกล่าวถึงกันมากเมื่อประเทศและภูมิภาคมีการรวมตัวแสดงจุดยืนของ
ตนเอง หลัง EU ออกข้อบังคับเรื่องการรักษาข้อมูลส่วนบุคคล GDPR (General Data Protection
Regulation) เพื่อบังคับผู้ให้บริการให้แก่ประชากรใน EU จะส่งผลกระทบถึงผู้ให้บริการอย่างไร แล้วถ้ามีข้อบังคับ
จากประเทศอื่น ๆ ในลักษณะเดียวกันจะส่งผลกระทบอะไรบ้าง
 สหรัฐอเมริกาเตรียมปรับปรุงกรอบแนวทางการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ ที่จัดทาโดย
National Institute of Standards and Technology (NIST) สหรัฐอเมริกา ร่วมกับภาคเอกชน และใช้งาน
มาแล้วอย่างได้ผลมาหลายปี เพื่อเพิ่มแนวทางในการทา Benchmarking
ETDA พบ Microsoft และ Cisco
นอกจากนี้ ทีม ETDA ยังได้ประชุมแลกเปลี่ยนความคิดเห็นและรับฟังการบรรยายมุมมองด้านความมั่นคงปลอดภัยของ
ภาคธุรกิจ จากผู้บริหารและผู้เชี่ยวชาญจาก Microsoft และ Cisco โดยมีแนวคิดที่น่าสนใจ เช่น
 บริษัทยักษ์ใหญ่ที่มีสาขาอยู่ทั่วโลก ไม่ใช่แค่ขายสินค้าหรือบริการเทคโนโลยีเท่านั้น แต่ได้คานึงถึงประโยชน์สุขของ
คนทั่วโลก (Global Good) ด้วย โดยคานึงถึงความเชื่อมั่น (Trust) ความรับผิดชอบ (Responsibility) และความ
เป็นน้าหนึ่งใจเดียว (Inclusivity) กับภาคสังคม ดังนั้น Microsoft จึงให้ความสาคัญอย่างมากกับ CSR
(Corporate Social Responsibility)
 Microsoft แชร์ประสบการณ์ในการทา Cybersecurity Baseline เพื่อปกป้องดูแลระบบสารสนเทศโครงสร้าง
พื้นฐานสาคัญของประเทศ (Critical Information Infrastructure Protection: CIIP) ซึ่งสอดคล้องกับ
แนวทางปฏิบัติสากล ในลักษณะการทางานกับหลายภาคส่วนที่เป็น Multistakeholder ที่หลายประเทศได้เริ่ม
ไปแล้ว เช่น NIST ของสหรัฐอเมริกา ENISA ของกลุ่มประเทศยุโรป Japan Information Security Council ของ
ประเทศญี่ปุ่น ETDA จึงได้เชิญผู้เชี่ยวชาญ Microsoft มาร่วมเป็นคณะทางานในลักษณะ Multistakeholder
ร่วมกับผู้เชี่ยวชาญจากสถาบันการศึกษา และหน่วยงานโครงสร้างพื้นฐานสาคัญ ในการจัดทา Cybersecurity
Baseline Framework ของประเทศไทย
 Digital Crime Unit (DCU) ของ Microsoft เป็นหน่วยซึ่งรวบรวมข้อมูลการโจมตีไซเบอร์ที่เป็นภัยคุกคามจาก
ทั่วโลก เช่น ข้อมูลการติดมัลแวร์ (Cyber Threat Intelligent Protection: CTIP) เนื่องจาก ETDA ได้ลงนาม
ความร่วมมือโครงการ Microsoft Government Security Program (GSP) ดังนั้นจึงได้รับ CTIP ที่เกี่ยวกับ
ประเทศไทย ซึ่งเป็นประโยชน์กับไทยเซิร์ต ETDA ในการกาหนดกลยุทธ์ในการจัดการปัญหามัลแวร์ในประเทศ
ไทย

5
 ETDA จึงจะขยายความร่วมมือในโครงการ Microsoft GSP ด้าน Transparency เพื่อให้สามารถตรวจสอบผลิต
ภันฑ์ซอฟต์แวร์ Micorsoft อันเป็นการสร้างความเชื่อมั่นด้านความมั่นคงปลอดภัยให้หน่วยงานของรัฐ และ
โครงการนี้ยังเปิดอากสให้ผู้เข้าร่วมสามารถเข้าใช้งานศูนย์ความโปร่งใส Microsoft (Microsoft Transparency
Centers) ซึ่งสามารถเข้าตรวจสอบซอสโค๊ด (Source Code) ทั้งหมดของผลิตภัณฑ์ชั้นนาของ Microsfot ได้
 เข้าเยี่ยมชม Microsoft Cyber Defense Operations Centre (CDOC) ซึ่งเป็นศูนย์ประสานงานเพื่อรับมือ
ภัยคุกคาม และจัดการปัญหาต่าง ๆ ที่เกิดขึ้นกับการใช้งานผลิตภัณฑ์ของ Microsoft ทั้งที่อยู่ในระบบคลาวด์ และ
ที่เป็นซอฟต์แวร์สาเร็จรูป โดย CDOC ได้ดาเนินการจัดการปัญหาทางด้านความมั่นคงปลอดภัย ระบุ และแก้ปัญหา
จัดทารายงานเกี่ยวกับภัยคุกคามและข้อเสนอแนะให้แก่ส่วนงานและภาคธุรกิจที่เกี่ยวข้อง
 NIST สหรัฐอเมริกากาลังประชาพิจารณ์ NIST Security Framework ฉบับปรับปรุง ซึ่งเกิดขึ้นจากความ
ร่วมมือกับภาคเอกชนที่ร่วมให้ความคิดเห็นในกระบวนการร่างด้วย หลาย ๆ บริษัทรวมถึง Cisco และ
Microsoft ได้ให้ความคิดเห็นในการจัดทา Cybersecurity Framework จนเป็นที่ยอมรับและมีการใช้งาน ซึ่ง
แนวทางนี้น่าจะเป็นแนวทางที่ดีที่ ETDA สามารถเชิญผู้บริหารด้านความมั่นคงปลอดภัยภาคเอกชนร่วมเป็น
คณะทางานจัดทาร่างนโยบาย/แนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย และนา
แนวคิดการให้ภาคเอกชน/ภาคธุรกิจเข้ามามีส่วนร่วมในการจัดทากรอบนโยบาย/แผน/แนวปฏิบัติด้านการรักษา
ความมั่นคงปลอดภัยไซเบอร์ให้แก่หน่วยงานโครงสร้างพื้นฐานสาคัญของประเทศ
วันนี้ ETDA มีภารกิจสาคัญในการสนับสนุนธุรกรรมทางอิเล็กทรอนิกส์ การทาพาณิชย์อิเล็กทรอนิกส์ให้มั่นคงปลอดภัย
และน่าเชื่อถือ เราเรียนรู้ว่า ETDA อยู่ไม่ได้อยู่เพียงลาพัง จึงต้องพยายามถ่ายทอดความรู้ ประสบการณ์ที่ได้รับมาและ
ทา Knowledge management ให้ภาคส่วนต่าง ๆ เพื่อสร้างความคุ้มค่าให้ทุกภาคส่วนที่เกี่ยวข้องและกระจายต่อ
หน่วยงาน partner ได้รับรู้ เข้าใจและทางานร่วมกันได้ เราจึงต้องมีเครื่องมือที่จะช่วยสร้างความตระหนักโดยแปลงเรื่อง
ยากให้เป็นเรื่องง่าย ฝังใน DNA ของคนยุคดิจิทัล ให้รู้เท่าทันและไม่ตื่นตระหนกเพราะ “หน้าที่ดูแลโลกไซเบอร์ เป็น
หน้าที่ของเราทุกคน”

6
Table of Contents
Visit บริษัทไมโครซอฟต์ @ เมืองซีแอตเทิล สหรัฐอเมริกา..........................................................................................1
Visit บริษัทซิสโก้ @ เมืองซานโอเซ่ สหรัฐอเมริกา ....................................................................................................12
RSA Conference 2017 @ เมืองซานฟรานซิสโก สหรัฐอเมริกา...............................................................................15
Keynotes...................................................................................................................................................................16
Track ..........................................................................................................................................................................16
Achieving and Measuring Success with the Security Awareness Maturity Model..............................19
Security investigative journalist speaker out share insights on the 2016 cybersecurity headlines
and a look ahead of the threat landscape in 2017.................................................................................19
What is needed in the next generation cloud trusted platform? ........................................................20
Two Bytes to $951 m—Collaborate to Defend.........................................................................................21
Updating Surveillance Law on Government Access to Your Online Data..........................................22
Cybersecurity – It’s a Small-Town Problem..............................................................................................25
Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead.........................................26
Internet of Insecurity: Can Industry Solve it or Is Regulation Required?.............................................27
โอกาสสุดท้ายการใช้ DevOps.............................................................................................................................27
การโจมตีทางไซเบอร์ ระดับความรุนแรง และการแก้ปัญหา................................................................................28
ข้อบังคับและกฎหมายความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับ ซอฟต์แวร์ ..............................................................29
มุมมองอุปกรณ์ Internet of Thing : Iot ในการพัฒนาซอฟต์แวร์และภัยคุกคามทางไซเบอร์.............................30
เพิ่มประสิทธิภาพความตระหนักรู้เกี่ยวกับฟิชชิ่ง 300% ในเวลา 18 เดือน..........................................................31
แผนยุทธศาสตร์สาหรับการฝึกอบรมความตระหนักรู้ความมั่นคงปลอดภัยไซเบอร์..............................................32
พื้นที่ส่วนการจัดงานแสดง (Expo)..........................................................................................................................36
Exhibitor Name: Force Point.........................................................................................................................38
Exhibitor Name: Kaspersky............................................................................................................................39
Exhibitor Name: Cisco....................................................................................................................................40

7
Exhibitor Name: Crowdstrike Falcon...........................................................................................................41
Exhibitor Name: Carbon Black......................................................................................................................42
Exhibitor Name: Ping Identity.......................................................................................................................43
ภาคผนวก....................................................................................................................................................................44
Microsoft...............................................................................................................................................................44
Cybercrime legislation @ Microsoft.................................................................................................................44
Cybersecurity Baseline @ Microsoft................................................................................................................45
Digital Crime / Digital Crime Center Tour at DCU @ Microsoft..................................................................45
Cloud for Global Good @ Microsoft................................................................................................................46
Cisco ......................................................................................................................................................................47
Microsoft Delegates............................................................................................................................................48
ETDA Delegates ...................................................................................................................................................49

Visit
บริษัทไมโครซอฟต์
@ เมืองซีแอตเทิล สหรัฐอเมริกา
สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ ETDA ได้เยี่ยมชมบริษัท ไมโครซอฟต์
(Microsoft) ณ เมืองซีแอตเทิล รัฐวอชิงตัน สหรัฐอเมริกา โดยการเยี่ยมชม Microsoft ครั้งนี้เป็นหนึ่งในกิจกรรมที่
เกี่ยวข้องกับความร่วมมือด้านการพัฒนาความมั่นคงปลอดภัยด้านไซเบอร์ (Cybersecurity) ระหว่าง ETDA และ
Microsoft ในการนี้ Mrs. Jennifer Byrne, Chief Technology Officer (CTO) พร้อมด้วยเจ้าหน้าที่ Microsoft
ได้ต้อนรับ ETDA และบรรยายเกี่ยวกับประวัติ ภารกิจและอุดมการณ์ของ Microsoft บริษัทยักษ์ใหญ่ที่เป็นทั้ง
ผู้ผลิตและพัฒนาซอฟต์แวร์รวมถึงผลิตภัณฑ์ด้านไอทีมากมาย แต่มีแนวทางการดาเนินธุรกิจเพื่อให้เกิดประโยชน์สุข
ของคนทั่วโลก (Global Good) โดยคานึงถึง 3 ส่วน คือ
1. ความเชื่อมั่น (Trust) โดยการสร้างระบบ กลไก โครงการ และซอฟต์แวร์ที่มีความน่าเชื่อถือที่โปร่งใส
และตรวจสอบได้ เช่น โครงการ Government Security Program (GSP) เป็นต้น
2. ความรับผิดชอบ (Responsibility) โดยการสนับสนุนการวิจัยและพัฒนาด้วยเงินจานวนหลายพันล้าน
เหรียญสหรัฐ เพื่อเป็นส่วนหนึ่งของการรับผิดชอบต่อสังคม การพัฒนาให้เกิดสภาพแวดล้อมที่มั่นคงปลอดภัยในโลก
ไซเบอร์
3. ความเป็นน้าหนึ่งใจเดียว (Inclusive) โดยการเปิดโอกาสให้คนพิการ คนชราและผู้ด้อยโอกาสให้มี
โอกาสใช้ซอฟต์แวร์ที่มีประสิทธิภาพสูงผ่านการออกแบบที่คานึงถึงความเท่าเทียมกัน รวมถึงการรับพนักงานของ
Microsoft ที่จะไม่มีการกีดกันทางเชื้อชาติใด ๆ ดังนั้น การทางานของ Microsoft จึงมีความหลากหลายและ
ผสมผสานอย่างลงตัว
ดังนั้น ด้วยหนึ่งในอุดมการณ์ของ Microsoft ที่ต้องการให้เกิดความมั่นคงปลอดภัยในโลกไซเบอร์ เกิดการ
พัฒนาด้านนวัตกรรมอันจะนาไปสู่การพัฒนาต่อยอดต่อไปในอนาคต ภารกิจด้านอื่นอย่างด้านกฎหมายและด้าน
ความมั่นคงปลอดภัยจึงเป็นภารกิจจาเป็นที่ Microsoft ให้ความสาคัญเช่นกัน ในการนี้ ทีม Microsoft ได้นาเสนอ
และร่วมแลกเปลี่ยนความคิดเห็นกับ ETDA ในหัวข้อ ดังนี้
Cybercrime legislation @ Microsoft
นาย Gene Burrus, Assistant General Counsel, Trustworthy Computing ได้ถ่ายทอดความรู้
เกี่ยวกับวิวัฒนาการของการเกิดอาชญากรรมทางไซเบอร์ (Cybercrime) ที่หมายถึงการกระทาความผิดเกี่ยวกับ
ไซเบอร์ทั้งการเจาะระบบ ขัดขวางระบบ โจมตีระบบ ขโมยข้อมูล ปลอมแปลงตัวตน ฉ้อโกงทางออนไลน์ (fraud)
รวมทั้งการกระทาอื่นที่นาไปสู่การกระทาความผิดอื่นได้ เช่น การมีภาพอนาจารเด็ก (Child Pronography) เห็นได้
ว่า รูปแบบและลักษณะของการกระทาความผิดเปลี่ยนแปลงจากอดีตเป็นอย่างมาก โดยจากข้อมูลที่ Microsoft ได้
ทาการวิเคราะห์สามารถแบ่งช่วงเวลาและรูปแบบของการกระทาความผิดได้เป็น 3 ช่วง คือ

2
ช่วงที่ 1 ปี 2003 – 2004 ผู้กระทาความผิดอาจกระทาเพื่อความสนุกสนานระหว่างเพื่อนฝูงเท่านั้น
ช่วงที่ 2 ปี 2005 – ปัจจุบัน ผู้กระทาความผิดต้องการทาเพื่อเงิน และอาจส่งผลกระทบต่อผู้บริหารของ
หน่วยงาน หรือส่งผลกระทบระดับหน่วยงาน
ช่วงที่ 3 ปี 2012 เป็นต้นไป ผู้กระทาความผิดมีความประสงค์ให้มีผลกระทบระดับประเทศ เกิดความ
เสียหายอย่างมากและอย่างวงกว้าง เช่นนี้ เมื่อเทคโนโลยีเปลี่ยนแปลงอย่างรวดเร็ว ก็ย่อมส่งผลต่อรูปแบบการ
กระทาความผิดทางไซเบอร์มากขึ้น การตามหาผู้กระทาความผิดก็ยุ่งยากตามไปด้วย
ที่ผ่านมา Microsoft ได้ทาการสารวจผลเกี่ยวกับความตระหนักรู้ของแต่ละหน่วยงานและประเทศเกี่ยวกับ
ค่าเสียหาย/ความตระหนักรู้ของผู้บริหารเกี่ยวกับภัยคุกคามทางไซเบอร์ โดยมีผลการสารวจที่น่าสนใจทั้งจานวนเงิน
ที่สูญหายจากการเกิดภัยทางไซเบอร์ หน่วยงานต้องสูญเสียเงินจากการถูกโจมตีทางไซเบอร์จานวนกว่า 400 แสน
ล้านเหรียญสหรัฐต่อปี หน่วยงานอีกกว่าร้อยละ 71 ตอบว่า คิดว่าหน่วยงานตนเองเคยเสี่ยงต่อภัยคุกคาม ทั้งที่ความ
เป็นจริงแล้ว หน่วยงานทุกหน่วยงาน (100 %) ควรจะตระหนักให้ดีได้ว่า หน่วยงานของตนเองนั้นอาจตกอยู่ในความ
เสี่ยงต่อภัยคุกคามได้ด้วย นอกจากนี้ สถิติยังแสดงถึงข้อมูลที่น่าสนใจคือ Microsoft พบว่า ผู้กระทาความผิดหรือผู้
ไม่ประสงค์ดีสามารถแฝงตัวอยู่ในระบบคอมพิวเตอร์ของเหยื่อเป็นเวลากว่า 140 วันโดยที่เหยื่อที่เป็นเจ้าของเครื่อง
คอมพิวเตอร์/ระบบคอมพิวเตอร์ไม่ทันได้รู้ตัวด้วยซ้า เช่นนี้แสดงให้เห็นว่า เกือบทุกประเทศไม่มีความตระหนักเรื่อง
ความมั่นคงปลอดภัยในระดับที่เพียงพอ
เมื่อมีการกระทาความผิดทางไซเบอร์มาก ทาให้เกิดผู้เสียหายจานวนมาก ย่อมส่งผลกระทบต่อความ
เชื่อมั่นของผู้บริโภคหรือผู้ใช้งาน และเมื่อผู้บริโภค/ผู้ใช้งานไม่มีความเชื่อมั่นในโลกอินเทอร์เน็ต/โลกออนไลน์ ย่อม
ส่งผลต่อ Microsoft ซึ่งเป็นองค์กรชั้นนาด้านการผลิตและพัฒนาซอฟต์แวร์ และกระทบต่อธุรกิจของหน่วยงานอื่น
ที่เกี่ยวข้องด้วย เนื่องจาก เมื่อผู้บริโภคหรือผู้ใช้งานไม่มีความเชื่อมั่นในระบบออนไลน์แล้วก็จะไม่กล้าทาธุรกรรม
ทางออนไลน์ นวัตกรรมที่อาจจะมีการพัฒนาเรื่อย ๆ ก็จะหยุดชะงัก ดังนั้น Microsoft จึงให้ความสาคัญกับการ
จัดการอาชญากรรมทางไซเบอร์ ภัยคุกคามทางไซเบอร์ (Cyberthreats) ทั้ง Microsoft ดาเนินการเองและร่วมมือ
กับหน่วยงานอื่น ๆ ในการสารวจศึกษาวิจัยเกี่ยวกับภัยคุกคามทางไซเบอร์ นอกจากนี้ในส่วนของเนื้อหาทาง
ออนไลน์ (Online content) ที่เกี่ยวกับการกระทาความผิดทางกฎหมายมีจานวนมากขึ้น และถูกนาไปใช้ในการ
กระทาความผิดลักษณะอื่นด้วย เช่น รูปอนาจารเด็ก จึงเห็นได้ว่า Cybercrime มีขอบเขตที่หลากหลายและมีการ
กระทาความผิดที่เกิดขึ้นขยายหลายพื้นที่ และแพร่กระจายอย่างรวดเร็ว
นอกจากนี้ ปัญหาหนึ่งที่ทุกประเทศประสบ คือ การกาหนดนิยามและขอบเขตของ Cybercrime เนื่องจาก
Cybercrime กลายเป็นการกระทาความผิดที่มีลักษณะวงกว้าง หลายประเทศเป็นผู้ได้รับความเสียหาย จน
Cybercrime เกิดลักษณะ Global Crime ที่หลายประเทศต้องหาทางออกร่วมกัน ด้วยการทาให้กฎหมายมีความ
เป็นเอกภาพหรือสอดคล้องกัน (Legal Harmonization) ระหว่างหลายประเทศที่มีระบบกฎหมายแตกต่างกัน โดย
ในการทา Legal Harmonization จะต้องการเปรียบเทียบและร่วมพิจารณากฎระเบียบในระหว่างประเทศด้วย
อย่าง Budapest Convention on Cybercrime ที่มีการบังคับใช้ในประเทศสมาชิกมาเป็นเวลานานแล้ว จึงสมควร
พิจารณาปรับปรุงให้มีความทันสมัยมากขึ้น
ในการกาหนดกรอบกฎหมาย (Legal Framework) ต้องคานึงถึงปัจจัยที่เกี่ยวข้อง เช่น การคุ้มครอง
ประชาชน ความร่วมมือระหว่างหน่วยงานรัฐและข้ามพรมแดน โดยเมื่อไม่มานานมานี้มีกรณีตัวอย่างเกี่ยวกับเขต
อานาจศาล (Jurisdiction), ความเป็นส่วนตัว (Privacy) และความมั่นคงปลอดภัย (security) ที่ Microsoft ต่อสู้มา
โดยตลอด โดยในคดีนี้ Microsoft ได้รับหมายค้น (search warrant) จากศาลนิวยอร์กให้ค้นข้อมูลอีเมลของผู้ต้อง
สงสัยกระทาความผิดซึ่งข้อมูลอีเมลอยู่ใน Ireland แต่ Microsoft ไม่เห็นด้วยจึงไม่ยอมดาเนินการตามที่ได้หมาย

3
ศาล และไม่ยอมเปิดเผยข้อมูลของผู้ใช้งานที่อยู่ใน Ireland และได้ฟ้องรัฐบาลสหรัฐอเมริกากลับ เนื่องจากเห็นว่า
จะเป็นการละเมิดสิทธิมนุษยชนของผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลที่ข้อมูลอยู่ที่ Ireland (ข้อมูลคดี Microsoft v.
The U.S. Government)
สิ่งที่ท้าทายคือ การสร้างสมดุลระหว่างกรอบกฎหมายแบบเก่าและแบบใหม่ (Legal framework) เช่นการ
สามารถเข้าถึงได้ด้วยทางกายภาพ
ดังนั้น ในการทาแนวปฏิบัติที่ดี (best practice) ควรจะต้องมีการกาหนดกรอบอานาจหน้าที่ของผู้บังคับใช้
กฎหมายให้ชัดเจน ต้องพิจารณาความสมเหตุสมผลระหว่างความมีเหตุมีผล และการทางานร่วมกันระหว่าง
หน่วยงานรัฐและเอกชน
Microsoft แม้เป็นเอกชนแต่ก็ได้พยายามดาเนินงานจัดการกับปัญหาภัยคุกคามไซเบอร์ ผ่านกิจกรรมทั้ง
การสารวจ การศึกษา วิจัยวิเคราะห์ผล ตลอดจนการร่วมมือดาเนินโครงการต่าง ๆ อย่างไรก็ตาม ด้วยรูปแบบการ
กระทาความผิดทางไซเบอร์ผู้กระทาความผิดมีแรงจูงใจที่เปลี่ยนแปลงไป ผลกระทบจากการถูกโจมตีแผ่วงกว้าง
ร้ายแรงระดับประเทศ เหล่านี้ย่อมส่งผลต่อความเชื่อมั่นของผู้ใช้งาน ผู้บริโภค ซึ่งในท้ายสุดย่อมส่งผลกระทบต่อการ
สร้างสรรค์นวัตกรรมลดน้อยถอยลงไปเช่นกัน
Cybersecurity Baseline @ Microsoft
นาย Aaron Kleiner, Principal Security Strategist ได้ถ่ายทอดความรู้และประสบการณ์เกี่ยวกับการทา
Cybersecusrity Baseline ซึ่งเป็นสิ่งที่จาเป็นอย่างยิ่งในยุคปัจจุบันเนื่องจาก ปัญหาความมั่นคงปลอดภัยไซเบอร์
(Cybersecurity) ที่กระทบกับโครงสร้างพื้นฐานสาคัญของประเทศ (Critical Infrastructure) เช่น การโจมตีระบบ
การเงินการธนาคาร ระบบสาธารณูปโภค ประปา ไฟฟ้า ซึ่งเป็นเรื่องใหญ่และสาคัญทาให้การรับมือภัยคุกคามและ
การจัดการกับความเสี่ยงเป็นเรื่องที่ต้องมีการดาเนินงานอย่างเป็นระบบและมีประสิทธิภาพเพื่อปกป้องระบบ
โครงสร้างพื้นฐานสาคัญเหล่านี้ วิธีการที่เหมาะสมคือ การเริ่มต้นจากการกาหนด Cybersecurity Baseline
Cybersecurity Baseline เป็นแนวทางการจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์ที่วางแผนไว้แล้ว
เพื่อช่วยให้การจัดการความเสี่ยงจากภัยคุกคามไซเบอร์ขององค์กรและระหว่างองค์กรเป็นไปอย่างประสิทธิภาพ
ตาม 5 ขั้นตอนหลักคือ
(1) Identify การวิเคราะห์ว่าระบบงาน ทรัพย์สิน หรือข้อมูลใดบ้างที่มีความเสี่ยงและอาจส่งผล
กระทบต่อการทางาน หากเกิดสถานการณ์การโจมตี จัดลาดับความสาคัญในการดูแลรักษา
(2) Protect มาตรการป้องกันและรับมือเพื่อลดความเสียหายที่อาจจะเกิดขึ้น
(3) Detect กระบวนการตรวจสอบเหตุการณ์โจมตีที่เหมาะสมและทันเวลา
(4) Response กระบวนการรับมือสถานการณ์ฉุกเฉินเพื่อควบคุมสถานการณ์ จากัดความเสียหาย
วิเคราะห์สาเหตุและหาวิธีป้องกัน และ
(5) Recover การกู้คืนระบบให้กลับสู้สภาวะปกติและแก้ไขสาเหตุที่ทาให้เกิดปัญหาได้
โดย Cybersecurity Baseline ที่ดีควรจะมีแนวทางหลักการที่สอดคล้องกับประเทศอื่น ๆ ที่จัดทาและ
กาหนดเป็นแนวปฏิบัติที่เป็นไปตามหลักการสากล (International Best Practices) เช่น สถาบันมาตรฐานและ
เทคโนโลยีแห่งชาติ (National Institute Standards and Technology หรือ NIST) ของสหรัฐอเมริกา หน่วยงาน
ด้านความมั่นคงปลอดภัยทางไซเบอร์ของยุโรป (European Union Agency for Network and Information
Security หรือ ENISA) หรือหน่วยงานระดับประเทศอย่าง Information Security Policy Council of Japan ของ
ประเทศญี่ปุ่น เป็นต้น

4
การกาหนด Cybersecurity Baseline จะช่วยให้เกิดการจัดการความเสี่ยงด้านความมั่นคงปลอดภัย
ไซเบอร์ที่ดี โดยมีแนวปฏิบัติที่เป็นไปตามหลักการสากล (International Best Practices) ที่สรุปได้ 6 หัวข้อ ดังนี้
(1) ทางานร่วมกับทุกฝ่ายทั้งภาครัฐ ภาคการศึกษาและภาคเอกชนอื่น ๆ (Multistakeholders)
Best Practice ของการกาหนด Cybersecurity Baseline ที่ดีนั้นควรมี 2 ข้อคือ ข้อแรกนโยบาย
แบบเปิดเผย (Open Policy) ข้อสองการทาภายในกาหนดเวลา (Time Bound) ดังนั้น แนวทางปฏิบัติที่ดีต้องเน้น
ให้รัฐบาลทางานร่วมกับหน่วยงานอื่น ๆ ทั้งภาคการศึกษาและภาคเอกชนเน้นให้เกิดการแลกเปลี่ยนข้อมูลกันเป็น
(Open Policy) และมีการกาหนดระยะเวลาการทางานให้ชัดเจน (Time Bound) ดังตัวอย่างของ Cybersecurity
Framework ที่ภาครัฐของสหรัฐอเมริกาให้โอกาสทุกฝ่ายเข้าร่วมในการให้ความเห็น และกาหนดเวลากรอบการ
ทางานชัดเจน โดยมีหน่วยงานอย่าง NIST ควบคุมการทางานอย่างใกล้ชิด เพื่อให้เกิดการตัดสินใจและจัดการอย่าง
มีประสิทธิภาพผ่านคณะทางานที่รับฟังทุกฝ่าย โดยท้ายที่สุด NIST จะมีอานาจในการตัดสินที่จะเลือกแนวปฏิบัติที่ดี
ที่สุด
(2) สร้างสภาวะแวดล้อมให้เกิดการตัดสินใจที่สื่อสารด้วยภาษาเดียวกัน (Common Language)
Best Practice ของการจัดการภายในองค์กรและการสื่อสารกับหน่วยงานภายนอกที่ดีด้าน
Cybersecurity ควรกาหนดให้มีเอกสารที่ใช้อ้างอิง (single document or reference) เพื่อสื่อสารด้วยภาษา
เดียวกันและเข้าใจตรงกัน (Common Language)
(3) การจัดการความเสี่ยงอย่างมีประสิทธิภาพ (Risk Management)
Best Practice ในการกาหนด cybersecurity baseline การพิจารณาจะดูจากความเสี่ยงที่
อาจจะเกิดขึ้น และจัดเรียงตามลาดับความสาคัญของความเสี่ยง โดยเน้นให้เกิดการปกป้องระบบโครงสร้างพื้นฐาน
ที่สาคัญ (Critical Infrastructure) และปรับเข้ากับสถานการณ์ได้อย่างเหมาะสม ตัวอย่างกรณีสหรัฐอเมริกามี
โครงสร้างพื้นฐานที่สาคัญจานวน 16 ประเภทที่ต้องจัดการ แต่ Mr. Aaeron เน้นว่า ในการจัดการโครงสร้างพื้นฐาน
ที่สาคัญ (Critical Infrastructure) เรื่องน้าประปาและไฟฟ้าย่อมสาคัญกว่าระบบไอที (เช่น ระบบอีเมลล่ม) จึงต้อง
มีการวางแผนให้ระบบที่ไม่สามารถหาอะไรมาทดแทนได้ (อย่างประปาและไฟฟ้า) ต้องได้รับการดูแลในลาดับต้น
(4) กระตุ้นให้เกิดความคิดสร้างสรรค์และนวัตกรรมที่เหมาะสมกับองค์กรโดยเน้นที่ผลลัพธ์
(Outcome Base Approach)
Best Practice ที่เน้นตาม Outcome Base Approach จะเป็นทางเลือกที่ดีสาหรับองค์กรในการ
หาวิธีการจัดการและสร้างความเข้าใจว่าจะทาไปเพื่ออะไร จะได้ผลการทางานที่ดีกว่าการไปควบคุมโดยการกาหนด
ทุกขั้นตอนอย่างละเอียดว่าต้องทาอะไร
(5) ปรับปรุงอย่างต่อเนื่องเพื่อความก้าวหน้าและศึกษาข้อมูลจากแนวทางสากล ( international
best practices)
Best Practice ที่หน่วยงานปฏิบัติตามแนวทางสากลเช่น NIST, ENISA และ Information
Security Policy Council of Japan เพื่อให้เกิดการแลกเปลี่ยนข้อมูลและให้มีการทางานระหว่างประเทศโดย
ต่อเนื่องจากแนวทางที่อยากให้มีการทาให้กฎหมายเป็นเอกภาพหรือมีความสอดคล้องกัน (harmonized law) เช่น
Budapest Convention on Cybercrime เพื่อให้การทางานสะดวกในทางปฏิบัติภายใต้กฎหมายจึงควรมีแนว
ปฏิบัติที่แลกเปลี่ยนข้อมูลความรู้ได้เช่นกัน
(6) สนับสนุนให้องค์กรเจริญโดยดูแลลูกค้าและผลประโยชน์ขององค์กร ตามผลลัพธ์ที่ตั้งไว้ จากการ
จัดการความมั่นคงปลอดภัยไซเบอร์อย่างมีประสิทธิภาพ

5
Best Practice ในการบริหารจัดการ cybersecurity นั้น ควรให้เกิดความสมดุลของการดูแลธุรกิจ
ให้เจริญโดยเน้นที่ผลลัพธ์ในการทางานเพื่อดูแลลูกค้าและยังบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพได้
ดังนั้น Microsoft ให้ความสาคัญในการพัฒนาองค์ความรู้จึงได้จัดทาเป็นสื่อในรูปแบบต่าง ๆ รวมถึง
White Paper ที่เกี่ยวกับ Cybersecurity เพื่อเป็นเครื่องมือสื่อสารและให้ความรู้ในการศึกษาและใช้งานต่อ ดังนั้น
White Paper ของ Microsoft ที่เกี่ยวกับ Cybersecurity Baseline และแนวทางการสร้างความตระหนักให้
หน่วยงานที่เป็น Critical Infrastructure จึงน่าสนใจและน่าจะเป็นประโยชน์อย่างยิ่งต่อการนามาประยุกต์ใช้ในทาง
ปฏิบัติ
Digital Crime / Digital Crime Center Tour at DCU @ Microsoft
คุณ Niall O'Sullivan, SR Business Analytics, SPEC Digital Crimes Unit ได้นาทีม ETDA ไปยังศูนย์
Microsoft Digital Crimes Unit (DCU) ซึ่งเป็นศูนย์ที่ทาหน้าที่เกี่ยวกับการติดตาม ตรวจสอบ วิเคราะห์ผลและ
ติดต่อประสานงานกระบวนการทางกฎหมายทั้งในประเทศและต่างประเทศ โดยศูนย์ DCU นี้เป็นพื้นที่ควบคุมใน
การเข้าชมไม่สามารถถ่ายรูปหรือทาการบันทึกภาพได้ เนื่องจากมีข้อมูลที่ละเอียดอ่อน (sensitive) และสาคัญมาก
โดย DCU มีผู้เชี่ยวชาญทางด้าน Cybersecurity และอื่น ๆ ที่เกี่ยวข้องเพื่อช่วยกันทางานและยับยั้งภัยคุกคามทาง
ไซเบอร์ โดยศูนย์ DCU มีภารกิจ 3 ด้านคือ
1. การปกป้องเด็กและเยาวชน (Child Protection)
2. การจัดการการละเมิดลิขสิทธิ์ (Copyright infringement)
3. การจัดการอาชญากรรมที่เกิดจากมัลแวร์ (Malware Crimes)
โดยคุณ O'Sullivan ได้ถ่ายทอดตัวอย่างประสบการณ์การทางานของ DCU ที่ร่วมกับหน่วยงานอื่น ๆ เช่น
ปี 2013 ทางศูนย์ DCU ได้ร่วมมือกับ FBI, Europol และผู้เสียหาย เพื่อจัดการบอทเน็ตที่ชื่อว่า Zero Access โดย
ได้จัดการเซิร์ฟเวอร์ที่มีปัญหาได้ถึง 18 แห่ง และสามารถสืบหาพยานหลักฐานจนนาไปสู่การจับกุมตัวผู้ต้องสงสัยได้
นอกจากนี้ ศูนย์ DCU ได้พัฒนาเทคโนโลยี Photo DNA เพื่อมาทาใช้ในการตรวจสอบ ค้นหาและวิเคราะห์รูป
อนาจารของเด็กและเยาวชนในส่วนงานการปกป้องเด็กและเยาชน (Child Protection) อีกด้วย
ปัจจุบันศูนย์ DCU มีอัตรากาลังที่ประจาอยู่ที่เมือง Seattle ประมาณ 30 อัตราและกระจายอยู่ทั่วโลก
รวมแล้วประมาณ 100 อัตรา โดยประกอบด้วยบุคลากรที่มีความรู้ความสามารถหลากหลาย ทั้งทางด้านเทคนิค
ด้านวิเคราะห์ข้อมูล ด้านกฎหมาย ตลอดจนด้านการประสานงาน โดยศูนย์ DCU จะรวมรวบการโจมตีที่เป็นภัย
คุกคามที่มีลักษณะคล้ายคลึงกันและวิเคราะห์พฤติกรรมด้วยวิธีการต่าง ๆ เพื่อดาเนินการทางกฎหมายในคราวเดียว
โดยจะเป็นการชี้ให้เห็นถึงขนาดของปัญหาต่อพนักงานเจ้าหน้าที่ เพื่อให้เกิดการดาเนินการที่เป็นรูปธรรมในเชิง
กระบวนการยุติธรรม โดยมีตัวอย่างที่ปรากฏได้อย่างชัดเจนจากการที่ศูนย์ DCU ดาเนินการเพื่อขอระงับชื่อโดเมน
(Domain Name) ของเครื่องเซิร์ฟเวอร์ที่มีพฤติกรรมเป็นศูนย์ควบคุม (C2 Server) ของมัลแวร์ประเภทต่าง ๆ
เป็นต้น
ในการเข้าเยี่ยมชมศูนย์ DCU ครั้งนี้ มีข้อมูลที่แสดงผลตัวอย่างข้อมูลมัลแวร์ที่พบในประเทศไทย ปี 2017
ที่ทาการรวบรวมโดยศูนย์ DCU โดยชนิดของมัลแวร์ที่พบมากที่สุดในประเทศ คือ B106 ซึ่งเป็นมัลแวร์ที่จะทาการ
ขโมยข้อมูลความลับของผู้ใช้งาน ซึ่งจังหวัดที่พบการแพร่ระบาดของมัลแวร์มากที่สุด 3 จังหวัด คือ กรุงเทพ ภูเก็ต
และขอนแก่น
ดังนั้น จึงเป็นโจทย์ท้าทายสาหรับ ThaiCERT และ ETDA ว่าจะวิเคราะห์ปัญหาลงลึกในรายละเอียดและ
ลดปัญหาการระบาดของมัลแวร์ใน 3 จังหวัดที่มีการระบาดให้ลดลงเร็วที่สุด ได้อย่างไร

6
Cloud for Global Good (Digital inclusion) @ Microsoft
นาย Leonardo Ortiz Villacorta, Director, Field Empowerment, Philanthropies ได้ถ่ายทอด
ประสบการณ์การดาเนินงานของ Microsoft ที่มีพันธกิจด้านการมีส่วนร่วมในสังคม อาทิ การนานวัตกรรมทาง
เทคโนโลยีมาใช้ให้เกิดประโยชน์ในสังคม การฝึกทักษะด้านการใช้เทคโนโลยีให้กับเด็กและเยาวชน โดยเฉพาะกลุ่มที่
จะเป็นกลุ่มแรงงานหลักในตลาดแรงงาน ซึ่งการเสริมทักษะให้ตลาดแรงงานมีประสิทธิภาพในการขับเคลื่อน
เศรษฐกิจในอนาคต ตลอดจนการสนับสนุนองค์กรที่เกี่ยวข้องด้านสิทธิมนุษยชนสอดคล้องกับการรับผิดชอบ และ
การสร้างความตระหนักของสิทธิพื้นฐาน
โดยที่ผ่านมาในช่วงเดือนกันยายน 2559 – กุมภาพันธ์ 2560 Microsoft ได้มีส่วนร่วมในการสนับสนุนการ
ประเทศไทยผ่านงานที่โดดเด่น เช่น
 การเปิดเวทีพูดของเด็กและเยาวชน (2 Youth speak) การสนับสนุนอิสระทางความคิดเพื่อสร้าง
โอกาสความเข้าใจให้เด็ก เยาวชน และบุคคลไร้ความสามารถ ในการการศึกษาวิทยาการคอมพิวเตอร์
 โครงการ The hour of code สร้างประโยชน์ให้เยาวชนกว่า 1,256 คน รวมถึงประเทศไทยด้วย
ซึ่งประโยชน์ของโครงการดังกล่าวจะช่วยสนับสนุนบุคคลไร้ความสามารถ ผู้ลี้ภัย และนักโทษหญิง
 การร่วมกับกระทรวงแรงงาน ในการสร้างกาลังคน (M-Powered Thailand) เป็นรูปแบบ
ศูนย์บริการออนไลน์ (One stop online) ในการพัฒนาสายอาชีพกว่า 10,000 คน ต่อปี
 การสนับสนุน 42 NGO on the cloud ซึ่งมีเป้าหมายในปีนี้จะขยายกว่า 60 องค์กร
 การสนับสนุนเทคโนโลยี นวัตกรรมสมัยใหม่โดยไม่หวังผลกาไร ซึ่งได้มีการนาไปใช้กับกลุ่ม NGO
ของไทยแล้ว
ETDA เองก็ตระหนักว่า เด็กและเยาวชนปัจจุบันเป็นเด็กและเยาวชนที่เกิดในยุคเทคโนโลยีดิจทัล
จาเป็นต้องมีภูมิคุ้มกันและรู้เท่าทันการใช้อินเทอร์เน็ต สื่อสังคมออนไลน์จึงได้ดาเนินการจัดกิจกรรมโครงการ
School camp ที่มีวัตถุประสงค์เพื่อสร้างความตระหนักของเด็กและเยาวชนในการใช้อินเตอร์เน็ตความมั่นคง
ปลอดภัย ซึ่ง ETDA พิจารณาอาจจะนาเอาเทคโนโลยี “Minecraft” ซึ่งเป็นซอฟต์แวร์ที่ช่วยด้านการเสริมสร้างให้
เกิดการเรียนรู้ในเด็กและเยาวชน ที่มีเวอร์ชั่นภาษาไทยไว้พร้อมแล้วมาใช้ประกอบการทากิจกรรมให้มีประสิทธิภาพ
มากขึ้น
(อ้างอิงจาก https://studio.code.org/s/minecraft/stage/1/puzzle/1)

7
Corporate Identity @ Microsoft
นอกเหนือจากการถ่ายทอดให้ความรู้และประสบการณ์และการนาเยี่ยมชมห้องปฏิบัติการต่าง ๆ โดย
เจ้าหน้าที่ Microsoft แล้ว สิ่งที่ ETDA สังเกตเห็นได้จากการมาสถานที่ของ Microsoft ครั้งนี้คือ การเห็นอัตลักษณ์
ของ Microsoft อย่างชัดเจน ซึ่งอัตลักษณ์องค์กร (Corporate Identity หรือ CI) เป็นสิ่งที่ออกแบบมาเพื่อให้
สอดคล้องกับเป้าหมายทางธุรกิจหรือกลุ่มเป้าหมายทางธุรกิจโดยจะออกมาในลักษณะของแบรนด์และการใช้
เครื่องหมายการค้า สีขององค์กร ในการสร้างแบรนด์ให้กับสินค้านั้นจาเป็นต้องใช้อัตลักษณ์ในการสร้าง เพื่อให้
สามารถสื่อสารผ่าน 3 ช่องทางคือ ผ่านทางภาพ, ทางพฤติกรรม และ ผ่านการพูด ซึ่งสิ่งเหล่านี้จะนาไปสู่ขั้นตอน
ของการออกแบบเครื่องหมายการค้า เช่น การออกแบบ Logo และการออกแบบโปรไฟล์บริษัทต่อไป
Microsoft ได้กาหนดทิศทางของการสื่อสารในเรื่องของ CI ตามลักษณะของแผนก (Department) หรือ
เนื้อหาในการสื่อสาร ดังตัวอย่าง ต่อไปนี้
1. Cybercrime Presentation style
1.1 การใช้สีที่เรียบง่าย กาหนดสีที่สื่อถึง CI ของ Department ได้ในไม่กี่สี ซึ่งทาให้ผู้ชมสามารถจดจา
แหล่งที่มาของ CI ได้ในคราวต่อไป

8
1.2 การใช้ภาพในลักษณะของ Symbol icon ในการนาเสนอช่วยสร้างความรู้ความเข้าใจให้กับผู้ชมได้
มากกว่าการนาเสนอด้วย Text
1.3 การ Bold ตัวเลขสาคัญของเนื้อหา และมี Description ต่อท้าย ช่วยสร้างการน่าจดจาให้กับผู้ชม

9
2. Global Theme Presentation Style
2.1 ในส่วนของการสื่อสารในระดับ Global ทาง Microsoft ใช้ Theme หลักคือ Lifestyle people
เพื่อให้การสื่อสารของภาพสื่อออกมาในระดับ Global ที่เป็นสากล บ่งบอกได้อย่างชัดเจนถึงการผสมผสานไม่ปิดก้น
2.2 ในส่วนการใช้ภาพและคาบรรยายใต้ภาพ (caption) ที่กระชับทาให้การเข้าชมของผู้ชมใช้เวลา
เพียงไม่มาก และสามารถจับใจความสาคัญของเนื้อหาที่ต้องการสื่อได้อย่างชัดเจน

10
2.3 การใช้ภาพ ที่แสดงให้เห็น Real Life ของสิ่งที่องค์กรต้องการนาเสนอจริง ๆ ทาให้การสื่อสารทาได้
อย่างชัดเจน และเข้าถึงจิตใจของผู้ชมได้เป็นอย่างดี
2.4 การแทรกด้วยภาพกิจกรรมจริง เช่นงาน CSR ทาให้เกิด Impact ในระดับ Global อย่างชัดเจน

11
นอกจากนี้ในส่วนของการสื่อสารถึงผู้ชม (Approach) ทาง Microsoft ยังได้จัดให้มีเครื่องมือ Interactive
Touch Screen ขนาด 50 นิ้ว บริเวณโถงทางเข้าหน้าประชาสัมพันธ์เพื่อใช้ในการสื่อสารภารกิจของ Microsoft
เพื่อให้เข้าใจได้มากยิ่งขึ้นโดยใช้ concept การทางานในรูปแบบของ Surface ในการโต้ตอบกับผู้เข้าชมและเกม

12
Visit
บริษัทซิสโก้
@ เมืองซานโอเซ่ สหรัฐอเมริกา
ETDA ได้เข้าพบผู้บริหารและผู้เชี่ยวชาญบริษัท Cisco เพื่อแลกเปลี่ยนประสบการณ์และความคิดเห็น
เกี่ยวกับการเปลี่ยนแปลงเทคโนโลยีสารสนเทศและแนวทางที่ Cisco ได้ดาเนินการและให้บริการ
Mr.Eric Wenge, Director, Global Government Affairs, Cybersecurity and Privacy Policy ด้วย
ปริมาณการจัดเก็บข้อมูลทางดิจิทัลที่เพิ่มมากขึ้นทาให้โลกมีความเสี่ยงเพิ่มขึ้นต่อการถูกโจมตี จากการสารวจของ
Cisco พบว่าผู้เชี่ยวชาญส่วนใหญ่มีความกังวลกับการโจมตีทางไซเบอร์จาก อุปกรณ์เคลื่อนที่ (58%), ข้อมูลที่อยู่ใน
คลาวด์สาธารณะ (57%), พฤติกรรมของผู้ใช้งาน (57%), โครงสร้างพื้นฐานของคลาวด์ (57%) และปัจจัยสาคัญที่
ส่งผลกระทบต่อการปรับปรุงความมั่นคงปลอดภัยคือ งบประมาณ (35%), Compatibility issues (28%), การขาด
แคลนบุคลากรที่ได้รับการฝึกอบรม ( 25%) โดยมีตัวเลขที่น่าสนใจมากคือกว่าร้อยละ 40 ของ Security alerts ที่
ตรวจพบก็ไม่ได้ถูกตรวจสอบอย่างจริงจัง จึงเป็นที่มาของแนวคิดที่จะต้องทางานอย่างมีประสิทธิภาพโดยใช้หลักการ
Automated-Simple-Open ของ Cisco และความมั่นคงปลอดภัยต้องเป็นกระบวนการที่ทาอย่างต่อเนื่อง มีการ
ปรับปรุงเรื่อย ๆ โดยคานึงถึง People-Process-Technology
กรณีของสหรัฐอเมริกา กรอบแนวปฏิบัติความมั่นคงปลอดภัยไซเบอร์ของ NIST ไม่ได้เกิดขึ้นจากภาครัฐ
แต่เกิดขึ้นจากความร่วมมือกับภาคเอกชนที่ร่วมให้ความคิดเห็นในกระบวนการร่าง Cybersecurity framework
ด้วย โดยในส่วนของ Cisco ได้ร่วมให้ความคิดเห็นในการจัดทา Cybersecurity framework จนเป็นที่ยอมรับและ
มีการใช้งาน ปัจจุบันสหรัฐอเมริกากาลังต่อยอดในส่วนของการวัดระดับความพร้อมของหน่วยงาน เพื่อให้มี
มาตรฐานที่สามารถใช้ในการเปรียบเทียบข้ามหน่วยงาน (สถานะปัจจุบัน NIST ได้ประกาศร่าง Cybersecurity
framework เพื่อรับฟังความคิดเห็นจากสาธารณะ) ประเทศไทยสามารถนาแนวคิดของสหรัฐอเมริกามาใช้ในการ
ผลักดันการพัฒนานโยบายความมั่นคงปลอดภัยไซเบอร์โดยให้ภาคเอกชนได้มีส่วนร่วมอีกด้วย
จากประสบการณ์ของ Cisco ที่ได้ช่วย NIST ทากรอบแนวปฏิบัติความมั่นคงปลอดภัยไซเบอร์ จึงได้ให้
คาแนะนาว่าในภาพรวมของนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ระดับชาตินั้นมี 6 องค์ประกอบ ได้แก่
(1) การอภิบาล (Governance) (2) กฎหมายและระเบีบบ (Laws and Regulations) (3) โครงสร้างพื้นฐานสาคัญ
(Critical Infrastructure) (4) เครือข่ายของรัฐ (Government Networks) (5) ศักยภาพของบุคลากร (Human
Capacity) และ (6) การบังคับตามกฎหมายและความมั่นคงปลอดภัยทางไซเบอร์ของชาติ (Law Enforcement
and National Cybersecurity)
ข้อมูลผลการสารวจที่น่าสนใจจาก Cisco พบว่า งบประมาณด้านสารสนเทศของหน่วยงาน ส่วนมาก
ประมาณร้อยละ 75 ของงบประมาณทั้งหมดในด้านสารสนเทศเป็นค่าใช้จ่ายในการบารุงรักษาอุปกรณ์และระบบ
ซอฟต์แวร์ อุปกรณ์หรือระบบเหล่านี้บางส่วนมีส่วนประกอบของซอฟต์แวร์ที่ผู้ผลิตหยุดการแก้ไขปัญหาช่องโหว่ด้าน
ความมั่นคงปลอดภัยแล้ว ซึ่งถึงแม้ว่าระบบเหล่านี้จะได้รับการดูแลบารุงรักษาจากผู้ผลิต แต่ยังมีความเสี่ยงที่จะถูก

13
โจมตีกับช่องโหว่เหล่านี้อยู่ Cisco เห็นว่าหน่วยงานเองจึงจาเป็นวิเคราะห์ถึงความเสี่ยงของระบบและอุปกรณ์
เหล่านี้ และมีมาตรการในการยกเลิกหรือลดความเสี่ยงที่เกิดจากอุปกรณ์เหล่านี้อย่างจริงจัง
สหรัฐอเมริกามีหน่วยงานที่ดูแลการข่าวและความมั่นคงปลอดภัยหลายหน่วยงาน เช่น CIA, NSA, FBI และ
อื่น ๆ รวมกว่า 20 หน่วยงานซึ่งมีการแบ่งขอบเขตความรับผิดชอบ เช่น เรื่องภายในประเทศ เรื่องภายนอกประเทศ
และมิติอื่น ๆ ในภายหลังจึงพบว่ามีความจาเป็นที่จะต้องมีหน่วยงานกลางที่รวมข้อมูลการข่าวที่ได้รวบรวมมาด้วย
อย่าง Office of the Director of Intelligence
สหรัฐอเมริกาออกกฎหมายในการบังคับให้หน่วยงานของรัฐ คู่สัญญา และผู้ให้บริการระบบสารสนเทศ
ให้กับหน่วยงานของรัฐต่าง ๆ ต้องปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยของสารสนเทศของหน่วยงานของ
รัฐ (Federal Information Security Management Act หรือ FISMA) โดยมอบหมายให้สถาบันมาตรฐานและ
เทคโนโลยีแห่งชาติ (National Institute of Standard and Technology หรือ NIST) เป็นผู้พัฒนากรอบแนว
ปฏิบัติร่วมกับผู้เชี่ยวชาญในจากภาคอุตสาหกรรมด้านเทคโนโลยีในประเทศ
แนวปฏิบัติของ FISMA ใช้หลักการประเมินและควบคุมความเสี่ยงกับสินทรัพย์สารสนเทศสาคัญของ
หน่วยงาน รวมถึงกาหนดให้ผู้บริหารเทคโนโลยีสารสนเทศของหน่วยงานของรัฐมีภาระหน้าที่ต้องรายงานสถานภาพ
การดาเนินการตามมาตรการรักษาความมั่นคงปลอดภัยของสารสนเทศของหน่วยงานเป็นรายปีให้กับสานัก
งบประมาณ ซึ่งเจ้าหน้าที่ของสานักงบประมาณจะใช้ข้อมูลจากหน่วยงานในการจัดเตรียมรายงานให้กับสภา
Congress ต่อไป ทาง Cisco เห็นว่า FISMA เป็นเครื่องมือทางกฎหมายที่สาคัญที่รัฐบาลกลางใช้ในสารวจและ
ยกระดับความมั่นคงปลอดภัยสารสนเทศของหน่วยงานของรัฐและเพิ่มประสิทธิภาพในการใช้งบประมาณของรัฐใน
ด้านนี้ ซึ่งส่งผลให้เกิดการจัดตั้งโปรแกรม FedRAMP (Federal Risk and Authorization Management
Program) ในการประเมินความเสี่ยงและรับรองผู้ให้บริการ Cloud ที่ดาเนินการโดยรัฐบาลกลาง ซึ่งจะลดความ
ซ้าซ้อนที่จะเกิดขึ้นจากการดาเนินการตามมาตรการ FISMA ของหน่วยงานของรัฐต่าง ๆ ได้
Randy Jewell, Distinguished IT Engineer, Information Security อธิบายมุมมองความมั่นคงปลอดภัย
ว่า มีจุดศูนย์กลางที่จะต้องรู้ว่า Critical assets คืออะไร มีผู้ที่สนใจแบ่งเป็นกี่กลุ่ม เช่น National assets,
Political, Insider, Criminal ในฐานะที่เป็นผู้รับผิดชอบระบบเครือข่ายของ Cisco ให้ความเห็นเช่นเดียวกับ Eric
ว่า ด้วยปริมาณข้อมูลที่ส่งผ่านระบบเครือข่ายที่ต้องตรวจสอบวิเคราะห์และประเมินความเสี่ยง ปริมาณจาเป็นต้อง
ใช้เครื่องมืออัตโนมัติช่วย ซึ่ง Cisco ใช้ซอฟต์แวร์วิเคราะห์ข้อมูลขนาดใหญ่ (Splunk) มาเป็นเวลากว่า 10 ปี และ
ยกตัวอย่าง 95% ของอีเมลที่ส่งผ่านบริการอีเมลของ Cisco ถูก drop ด้วยเหตุผลที่เมื่อตรวจสอบแล้วพบว่า มีความ
เสี่ยง และจากลักษณะการทางานแบบรวมศูนย์ของระบบไอที Cisco ที่ต้องให้บริการสาขาของ Cisco รวมถึง partner
ที่อยู่ทั่วโลกทาให้ Randy ต้องมีบุคลากรช่วยทางาน Frontline 50 คน และ Investigator 25 คน และอื่น ๆ
โดยใช้เครื่องมืออัตโนมัติในการจัดการเมื่อพบภัยคุกคาม
จากประสบการณ์ของ Cisco ในการทางานร่วมกับรัฐบาลสหรัฐในการพัฒนากรอบแนวปฏิบัติด้านความ
มั่นคงปลอดภัยไซเบอร์ เป็นประโยชน์ต่อการพัฒนานโยบายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ
ไทย จึงเห็นควรจัดกิจกรรมร่วมกัน เช่น
(1) การเชิญผู้บริหารด้านความมั่นคงปลอดภัย Cisco ร่วมเป็นคณะทางานจัดทาร่างนโยบาย/แนวปฏิบัติ
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ประเทศไทย
(2) การนาแนวคิดการให้ภาคเอกชน/ภาคธุรกิจเข้ามามีส่วนร่วมมาประยุกต์ในการจัดทากรอบนโยบาย/
แผน/แนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสาคัญของประเทศ

14
(3) การขยายความร่วมมือของเครือข่าย ThaiCERT กับ Cisco CSIRT ครอบคลุมการรับมือและจัดการภัย
คุกคาม การแลกเปลี่ยนข้อมูลภัยคุกคาม และการพัฒนาทักษะของบุคลากรของ ThaiCERT ในการวิเคราะห์ภัย
คุกคาม เป็นต้น

15
RSA Conference 2017
@ เมืองซานฟรานซิสโก สหรัฐอเมริกา
RSA Conference เป็นงานประชุมประจาปีที่เป็นเวทีเกาะติดเทรนด์ Cybersecurity โลก ที่จัดอย่าง
ต่อเนื่องตั้งแต่ปี 1977 โดยรูปแบบงานแบ่งเป็น 2 ส่วน คือ ส่วนสัมมนาวิชาการ (Cybersecurity, Biz, Policy,
Law, Privacy) และ ส่วนนิทรรศการสินค้าด้าน Cybersecurity (Expo) งานที่มีผู้เข้าร่วมงานกว่า 45,000 คน
หลากหลาย background (IT Geek, , Startup, Businessman, Policy maker, Lawyer, NGO, ผู้ปกครอง,
เยาวชน, นักเรียนนักศึกษา) มารวมตัวกันแลกเปลี่ยนความคิดเห็น Trend ของ Security ซึ่งสอคคล้องกับ
แนวทาง “Where the world talks security”
RSA Conference แบ่งการสัมมนาตาม Track กลุ่มเรื่องต่าง ๆ ซึ่งแบ่งได้เป็นกลุ่มใหญ่ ดังนี้
เรื่องฮอตของกลุ่ม Fintech & New Technologies
 ความกังวลเรื่อง Cloud security ทั้งการประเมินบริการ การตรวจสอบ และแนวทางการรับมือ
กับปริมาณข้อมูลที่ต้องจัดเก็บจานวนมหาศาล
 การพัฒนาเทคโนโลยีปัญญาประดิษฐ์ (AI) เป็นเครื่องมือสนับสนุนการวิเคราะห์ภัยคุกคาม
ไซเบอร์
 การนา Blockchain มาใช้ในยุค Fintech กับแนวโน้มภัยคุกคามรูปแบบใหม่
 การปรับปรุง Cryptography ให้มีความมั่นคงปลอดภัยเพิ่มขึ้น Cryptographic protocols
และ Cryptographic สมัยใหม่
แวดวง Cyber Threats ไปถึงไหน
 การโจมตีจากอุปกรณ์ IoT ใครต้องรับผิดชอบ รัฐบาลหรือผู้ผลิตอุปกรณ์ ?
 แนวทางการรับมือ Ransomware
 แนวโน้มการโจมตีลักษณะ State Sponsor การพูดถึง Stuxnet ที่เป็นจุดเริ่มต้นของการคุกคาม
ที่มาจากระดับรัฐบาล การก่อกวนผลการเลือกตั้งของสหรัฐอเมริกาที่มีพูดแทบทุก session
 รูปแบบอาชญากรรมไซเบอร์ที่มุ่งเป้าหมายโจมตีสถาบันการเงินโดยตรง เช่น ATM และ
คอมพิวเตอร์ที่ควบคุมระบบ SWIFT
อัพเดตกลุ่ม Laws & Privacy
 การตื่นตัวของภาคธุรกิจในสหรัฐอเมริกาอันมีผลจากการออกกฎหมาย Privacy ของ EU “การ
รักษาข้อมูลส่วนบุคคล GDPR (General Data Protection Regulation)” ที่ให้ผู้ให้บริการแก่ประชากรใน EU
ต้องปรับเปลี่ยนหลักเกณฑ์อย่างไร

16
 ธุรกิจของสหรัฐอเมริกา เตรียมปรับปรุงกรอบแนวทางการบริหารจัดการความมั่นคงปลอดภัยไซ
เบอร์ ที่จัดทาโดย National Institute of Standards and Technology (NIST) สหรัฐอเมริกา ร่วมกับ
ภาคเอกชน และใช้งานมาแล้วอย่างได้ผลมาหลายปี เพื่อเพิ่มแนวทางในการทา Benchmarking
Keynotes
การปาฐกถาพิเศษในหัวข้อ “Planning for Chaos”
Dr. Zulfikar Ramzan, CTO RSA ได้กล่าวปาฐกถานาความสนใจของผู้เข้าร่วมงานสัมมนาใน Hall ด้วย
คาว่า “Ripple Effect” ซึ่งหมายถึง การกระทาของทุกคนล้วนก่อให้เกิดผลและร่องรอยตามมา นั่นคือ “คลื่น” ที่
ส่งผลกระทบต่อบุคคลอื่นด้วย โดยยกตัวอย่าง Ripple ที่เคยเกิดขึ้นแล้วยังคงส่งผลกระทบถึงปัจจุบัน นั่นคือ One
Ripple Creates Multiple Ripples Ripple เริ่มจาก 40 ปีที่แล้วจากรอน ริเวสต์ (Ron Rivest), อาดี
ชามีร์ (Adi Shamir) และเล็น เอเดิลแมน (Len Adleman) จาก 1 Ripple จาก RSA Algorithm1 จนทาให้คนกว่า
40,000 คนมารวมตัวกันในงาน RSA เพื่อสร้าง Ripples Effect ในวันนี้ซึ่งจะส่งผลกระทบถึงวันในอนาคตข้างหน้า
เราไม่ต้องวาดเส้นแต่ต้องวาดภาพความเชื่อมโยงความมั่นคงปลอดภัยที่ใช้ขับเคลื่อนธุรกิจ (Don’t Draw
Line but Draw Connection Business Driven Security) เพราะเราทุกคนต่างมีหน้าที่ในการป้องกันการโจมตี
ทางไซเบอร์ (Cyber Attack) ดังนั้น การเปลี่ยนแปลงต่าง ๆ ล้วนเชื่อมโยงกันจนเกิดเป็น Butterfly Effect ทั้งการ
การเลือกตั้งประธานาธิบดีสหรัฐอเมริกา การเรียงร้อง/การเปลี่ยนแปลงระบอบประชาธิปไตยในหลายประเทศ
ปัญหาที่เกิดจากความวุ่นวายที่เกิดขึ้นจากการโจมตี การเปลี่ยนแปลงชีวิตที่มีผลจากภัยพิบัติอย่างเหตุการณ์
แผ่นดินไหวที่ Fukushima Nuclear ซึ่งเป็น Ripple ที่ทาให้เกิดเหตุการณ์รถ Toyota Nissan มีราคาที่สูงขึ้น
โรคภัยตามมา ตลอดจนดผลกระทบทางจิตใจของประชาชน เป็นต้น ดังนั้น ทุกคนจึงควรสร้างสรรค์นวัตกรรมเพื่อ
รองรับเหตุการณ์ต่าง ๆ (Innovation invites exploitation) และต้องติดตามดูแล ทั้งต้องสร้างกลยุทธ์ความมั่นคง
ปลอดภัยที่ใช้เป็นความมั่นคงปลอดภัยขับเคลื่อน ธุรกิจ (Business Driven Security) โดยการทาตาม 3 ขั้นตอน
เพื่อจัดการความยุ่งเหยิง ดังนี้
(1) ปฏิบัติต่อความเสี่ยงอย่างวิทยาศาสตร์ ไม่ใช่ศาสตร์มืดแต่อย่างใดและการคาดการณ์เรื่องใน
อนาคตเป็นสิ่งที่ยาก (Treat Risk as a science not a dark art, Prediction is very difficult especially about
the future by Neil Bohr)
(2) วาดภาพเชื่อมโยงสิ่งที่สามารถควบคุมได้ (Simplify what you control) เพราะ Vendors
ควบคุมยากมากและอย่าคิดว่าจะใช้นโยบาย No Vendor Left Behind
(3) วางแผนเพื่อความยุ่งเหยิงที่เราไม่สามารถควบคุมได้ (Plan for the chaos you can’t control)
ทาการวางแผน Incident Response โดยอาศัยทุกปัจจัยที่ต้องช่วยกัน เช่น งบประมาณ ความร่วมมือ ความพร้อม
ใช้งาน ความมีอยู่ของทรัพยากร การส่งเสริมสนับสนุนการร่วมมือกันดาเนินงาน
ดังนั้น อาจเห็นได้ว่า ความยุ่งเหยิง (chaos) อาจสร้างช่วงเวลาที่มหัศจรรย์ก็เป็นได้ จึงเป็นคาถามที่ชวนคิด
ทิ้งท้ายได้กลับไปช่วยกันคิดหาคาตอบว่า เราจะสร้าง Ripple ที่สามารถเปลี่ยนแปลงอะไรในโลกใบนี้ได้หรือไม่
1 RSA Algorithm – ทฤษฎีเข้ารหัสที่ใช้ในปัจจุบันโดยใช้คู่คีย์

17
การปาฐกถาพิเศษในหัวข้อ “Protecting and Defending against Cyberthreats in Uncertain Times”
นาย Brad Smith, President of Microsoft ได้ปาฐกถาถึงวิธีการปกป้องและต่อสู่ต่อภัยคุกคามไซเบอร์
(Cyberthreats) โดยชวนให้ผู้เข้าร่วมงานสัมมนาใน Hall ร่วมกันคิดตาม ดังนี้
1. ปัญหาที่เกิดขึ้นมักต้องการทางออกใหม่ ๆ (A growing problem in need of new solutions)
มีการคาดการณ์ว่าในปี 2020 จะมีการสูญเสีย 3 ล้านล้านเหรียญสหรัฐ จาก cybersecurity การโจมตี
มีการเปลี่ยนแปลง โดยเปลี่ยนจากโจมตีระดับประเทศหรือ Nation State Attack เปลี่ยนมาเป็นระดับที่ใกล้ตัว
เช่น Sony Attack เป็นจุดเปลี่ยนของการโจมตี เพื่อ freedom of speech
2. Cyberattack เป็นสงคราวแบบใหม่ สนามรบไม่ได้เป็นแบบที่เราเข้าใจอีกต่อไป โลกไซเบอร์สามารถ
กลายเป็นสมรภูมิรบได้ตลอดเวลา ดังนั้น เราจึงเป็นพวกแรกที่มีหน้าที่เป็นผู้รับมือ ที่ต้องจัดการกับสงครามนี้ตั้งแต่
ต้น (the first responders)
“Cyberspace is US” พวกเราอยู่ในไซเบอร์ ไซเบอร์คือเรา ไม่ใช่เฉพาะรัฐบาล แต่เป็นของทุกคน ที่
เป็นเรื่องต่างจากอดีต ทาให้เกิดการเปลี่ยนแปลงให้ทุกคน เป็น first responder ไม่ใช่รัฐบาลเท่านั้น
3. เปลี่ยนจากการปกป้องราษฎรในเวลาสงครามเป็นต้องปกป้องราษฎรในเวลาที่โลกสงบสุขด้วย (From
protection civilians in time of war to attacking civilian in time of peace)
ในทุกบริษัทจะมีอย่างน้อย 1 คนในบริษัท ที่จะ click ทุกสิ่งบนหน้าจอ ดังนั้น phishing email2 เลยยัง
ได้ผลเป็นปัญหาขององค์กร ที่ทางบริษัท Microsoft ได้เข้ามาช่วยโดยการหาข้อมูลให้มากที่สุด Microsoft จึงได้ทา
การสแกนอีเมล 2 แสนล้านอีเมลเพื่อหามัลแวร์ และหาข้อมูลเพื่อที่จะป้องกันทุกคนได้
4. ข้อมูลจะเป็นส่วนที่แข็งแรงในการต่อสู้ (Data Strengthens our Defense) เพราะในการต่อสู้รับมือกับ
ภัยคุกคาม ข้อมูลเป็นสิ่งที่จาเป็น จึงต้องมี
(4.1) ทีมศึกษาข้อมูลที่ได้จาก cloud ของ Microsoft Review Data from Cloud Service
(4.2) ทีมไซเบอร์ที่จะหาทางแก้ปัญหา Cyber Defense Data Center
(4.3) ทีมที่จะทางานร่วมกับหน่วยงานกฎหมาย work with law enforcement
5. การใช้กฎหมายเพื่อขัดขวางการโจมตีรัฐ (Using law to disrupt nation state attacks)
ไมโครซอฟต์ มีการทางานร่วมกับ ฝ่ายบังคับใช้กฎหมาย (Law Enforcement) ที่ทาให้การโอนโดเมน
(domain) ที่มีปัญหามาใส่ฐานข้อมูลของ Microsoft เพื่อศึกษาข้อมูล
6. เรายังห่างไกลจากการประกาศชนะสงคราม (We are far away from declaring victory)
ดังนั้น พวกเราต้องการให้รัฐบาลทางานร่วมกัน เช่นกรณี Geneva Convention3 ที่ลงนามไปเมื่อวันที่
12 สิงหาคม 1949 ที่รัฐบาลมารวมตัวกันเพื่อป้องกันประชาชนในช่วงสงคราม แต่ตอนนี้เป็นการป้องกันในช่วงโจมตี
ในเวลาสงบสุข (Attack in Time of Peace) ดังนั้น พวกเราจาเป็นต้องมีการเวอร์ชั่นใหม่ที่เป็น Digital Geneva
Convention Version เพื่อให้รัฐบาลทางานร่วมกันได้
2 Phishing email - ฟิชชิ่งอีเมล
3 Geneva Convention – สนธิสัญญาเจนีวา

18
Tracks
Ransomware
ปัจจุบันนี้ ปัญหา Ransomware4 เป็นปัญหาที่พบได้ทั่วไป และมีผลกระทบอย่างแพร่หลาย โปรแกรม
Ransomware จะทาการเข้ารหัสไฟล์ของผู้ใช้งานและส่งใบเรียกเงินเพื่อแลกกับการถอดรหัสไฟล์นั้นๆ โดยการแพร่
ระบาดของโปรแกรม Ransomware เกิดขึ้นได้ทั้งในส่วนของคอมพิวเตอร์ส่วนบุคคล และเซิร์ฟเวอร์ โดยทั่วไปนั้น
การจัดการปัญหาเกี่ยวกับ Ransomware ใช้เวลาประมาณ 3 วันทาการ วิธีการโดยทั่วไปในการจัดการ
Ransomware ทาได้โดย 1) ทา Backup ไฟล์ เป็นประจา 2) ทาตามข้อกาหนด Cyber Hygiene5
ในหลายกรณีมีการจ่ายเงินเรียกค่าไถ่ จากโปรแกรม Ransomware โดยพิจารณาถึงความเร่งด่วน และ
กรอบระยะเวลาในการแก้ปัญหา โดยควบคู่ไปกับการเจรจาต่อรองในเรื่องของ ราคา ระยะเวลาในการจ่ายเงิน เพื่อ
แสวงหาข้อมูลที่ทาการ Backup ไว้ ในบางกรณีมีการเจรจาให้ลองถอดรหัสไฟล์ให้ดูก่อน เพื่อให้แน่ใจว่าภายหลัง
การจ่ายเงินไฟล์ดังกล่าวจะถูกกู้คืนกลับมาใช้งานได้ ภายหลังการกู้คืนระบบแล้ว มีความจาเป็นต้องเริ่มต้นติดตั้งและ
อัพเดทข้อมูลและซอฟต์แวร์ และระบบปฏิบัติการใหม่ทั้งหมดเพื่อป้องกันไม่ได้การติด ransomware แบบเดิม
เกิดขึ้นได้อีก นอกจากนี้ การหาข้อมูลในอินเทอร์เน็ต หรือกลุ่มที่รวมตัวกันเพื่อแก้ปัญหาก็อาจช่วยในการคืนไฟล์ที่
ติด ransomware ได้
ในปัจจุบันพบว่าค่าใช้จ่ายสาหรับ Ransomware มีตั้งแต่ 2,000 $ - 20 ล้าน$ โดยการจัดการ
Ransomware ในธุรกิจขนาดเล็ก และ ธุรกิจขนาดใหญ่ก็จะมีความแตกต่างกัน การลงทุนทางด้านความมั่นคง
ปลอดภัยไซเบอร์ขยายตัวขึ้นอย่างมาก โดยอยู่ในรูปแบบของ โครงสร้างพื้นฐาน และ สัญญาที่ปรึกษาส่วนบุคคล
เพื่อจัดการเกี่ยวกับปัญหา Ransomware ที่ได้กล่าวมาข้างต้น
ธุรกิจที่ได้รับผลกระทบมากที่สุดในปัจจุบันคือ ธุรกิจทางการแพทย์โดยข้อมูล เช่น ข้อมูลคนไข้ ข้อมูล
ตารางนัด เป็นต้น โดยโปรแกรม Ransomware จะทาการเข้ารหัสฐานข้อมูลที่จาเป็นในการใช้งาน อย่างไรก็ตามมี
ธุรกิจที่เกี่ยวข้องกับการจัดการ Ransomware คือ ธุรกิจประกันภัยคุกคามทางไซเบอร์โดย ธุรกิจนี้อาจครอบคลุม
ถึง ค่าใช้จ่ายในการเรียกค่าไถ่ไฟล์ และ ค่าความเสียหายที่เกิดจากการกู้คืนระบบ เป็นต้น
อนาคตของ Ransomware คาดว่าจะยังมีอยู่ และขยายความรุนแรงขึ้นเนื่องจาก อาชญากรหารายได้ง่าย
และการจับกุมยาก โดยในปัจจุบันมีเครื่องมือในการผลิต Ransomware สาหรับมือใหญ่ซึ่งไม่ได้ใช้ทักษะชั้นสูงแต่
อย่างได้ และทาให้ง่ายในการผลิต Ransomware สายพันธุ์ใหม่ๆ ในบทบาทของภาครัฐ และผู้บังคับใช้กฎหมาย
สามารถทาได้โดยการดูเส้นทางการเงินของอาชญากร ทั้งนี้ต้องอาศัยความร่วมมือจากการรายงานของทุกภาคส่วน
เพื่อช่วยกันสืบหาตัวผู้กระทาความผิด ในมุมของ CERT6 ก็ควรจะมีการให้ความรู้กับคนในองค์กรเพื่อให้มีความ
เข้าใจเกี่ยวกับ Ransomware และกระบวนการแพร่ระบาด อีกทั้งควรมีการปรับปรุงซอฟต์แวร์ต่าง ๆ ให้ทันสมัย
อยู่เสมอ เช่น เว็บบราวเซอร์ โปรแกรมปลั๊กอิน 7 ต่าง ๆ เป็นต้น
ในปัจจุบันการจัดการกับ Ransomware ที่เป็นปัญหาที่ทุกคนรับรู้ได้และเกิดขึ้นได้กับทุกคน
Ransomware ง่ายที่จะรับรู้ เพราะจะได้รับการติดต่อมาโดยตรงจากผู้ไม่ประสงค์ดีไม่ต้องค้นหา คาถามคือ ถ้าเจอ
ปัญหา Ransomware จะจ่ายเงินมั้ย และ จะจ่ายตอนไหนดี คาตอบที่เหมาะสมขึ้นอยู่กับว่า บุคคลหรือองค์กร มี
ระบบ Backup ข้อมูล และ สามารถทาให้ระบบทางานได้ภายในระยะเวลาที่กาหนดได้หรือไม่ หากไม่มีการรับมือที่
4 Ransomware – โปรแกรมไม่พึงประสงค์ที่ทาการเข้ารหัสข้อมูลและไม่ยอมถอดรหัสให้เพื่อแลกกับค่าไถ่
5 Cyber Hygiene – วิธีปฏิบัติเพื่อทาให้เกิดความมั่นคงปลอดภัยทางไซเบอร์ของบุคคล
6 CERT - ศูนย์ตอบสนองภัยคุกคามทางไซเบอร์ขององค์การ (Computer Emergency Response Team)
7 ปลั๊กอิน – โปรแกรมประยุกต์ขนาดเล็กช่วยสนับสนุนการทางานของโปรแกรมหลัก

19
เหมาะสม การจ่ายเงินเป็นทางออกที่ดีที่สุด โดยที่ผ่านมามีการก่อเหตุ Ransomware กับโรงพยาบาล รถไฟ
สาธารณะ ที่ทาให้ประชาชนเดือดร้อน และทาให้ต้องหาทางแก้ไขสถานการณ์ในระยะเวลาที่เร่งด่วน ดังนั้น การ
แก้ปัญหาเพื่อกู้คืนระบบอาจไม่ใช่ทางออกเดียว ดังนั้น จึงมีการให้บริการประกันภัยแบบใหม่ หรือ Cyber
insurance ที่เป็นทางออก ขนานไปกับการต่อรองเวลาที่ใช้และโฟกัสที่ควรทาไปพร้อมกัน คือ การทา backup
และดูแลระบบเพื่อป้องกันไม่ให้เกิดการโจมตี และ ตกอยู่ในสถานการณ์ดังกล่าวอีก ในปี 2017 ปัญหา
Ransomware คาดว่าจะยังเป็นปัญหาสาคัญอยู่ เพราะทาแล้วสาเร็จ Ransomware เริ่มมีการเปลี่ยนแปลงจาก
hijack data เป็น lock down operation เช่น กรณี Austrian Hotel ให้เปิดประตูห้องไม่ได้ และคาดว่าจะมี
เหตุการณ์เพิ่มขึ้นในส่วนของ Open source ดังนั้น ควรเตรียม Email Server DNS ให้พร้อมในการจัดการ เพื่อกู้
คืนข้อมูลและรับมือกับสถานการณ์ได้
IoT Adversaries
โลกปัจจุบันเป็นโลกที่อุปกรณ์ต่าง ๆ เชื่อมต่อกับอินเทอร์เน็ต และอุปกรณ์เป็นช่องโหว่ได้ อุปกรณ์ที่ขาย
ผ่านหน้าเว็บ ebay เช่น router ที่เป็นข่องโหว่ และ ยังขายอยู่ต่อไป มีตัวอย่างที่สามารถเข้าไปดูการเขียน
โปรแกรมที่ใส่ username และ password เป็น hard code และหากใครที่ทราบช่องโหว่นี้ สามารถโจมตีและยึด
ครองการเชื่อมต่อเครื่องใช้งานต่างๆในบ้านได้ ในปี 2020 มีการคาดการณ์ว่าจะมีอุปกรณ์ IoT 50 Billions Units
ดังนั้นหากมีช่องโหว่ในอุปกรณ์เหล่านี้ แม้เพียงแค่ 1% ยังเป็นเรื่องที่น่ากลัวและต้องร่วมมือในการสื่อสารเพื่อให้เกิด
การแก้ไข
Achieving and Measuring Success with the Security Awareness Maturity Model
Lab เป็นการเข้าร่วมกิจกรรมที่เป็นกลุ่มย่อย กลุ่มละ 5 คนเพื่อให้ความเห็นร่วมกันตามที่วิทยากรออกแบบ
คือการทาความเข้าใจว่า security awareness การสร้างความตระหนัก คือ การสร้างความเปลี่ยนแปลงทาง
พฤติกรรมของพนักงานในองค์กร 18 ความเสี่ยง และมี 9 ความเสี่ยง เท่านั้นที่จะสอนได้ จะมีการคัดเลือกได้อย่างไร
Security investigative journalist speaker out share insights on the 2016
cybersecurity headlines and a look ahead of the threat landscape in 2017
นักข่าวในสาย Cybersecurity จากนิตยสาร Wired หนังสือพิมพ์ New York Times สื่อ Reuters และ
The Daily Beast ร่วมอภิปรายประสบการณ์ในเรื่องการทาข่าวด้าน Cybersecurity ในปีที่ผ่านมาว่า มีแนวโน้ม
ของข่าวด้าน Cybersecurity ในลักษณะเกี่ยวข้องกับการโจมตีทางไซเบอร์ในระหว่างประเทศเพิ่มขึ้นตั้งแต่หลัง
เหตุการณ์เผยแพร่ข้อมูลของ Edward Snowden การโจมตีทางไซเบอร์ถูกใช้เป็นเครื่องมือในการโจรกรรมข้อมูลใน
กิจกรรมในระดับประเทศหลายเหตุการณ์ หรือพบว่ามีความพยายามในการเชื่อมโยงการโจมตีทางไซเบอร์ให้เป็น
การโจมตีที่ได้รับการสนับสนุนจากประเทศต่างๆมากขึ้น เช่น เหตุการณ์เลือกตั้งในสหรัฐอเมริกาในช่วงปลายปีที่
ผ่านมา ผู้เข้าร่วมอภิปรายให้ทัศนะว่า แม้ว่าข่าวจะเป็นเรื่องที่เกี่ยวข้องกับ Cyberspace แต่การรวบรวมข่าวสาร
จากแหล่งข่าว ยังคงเป็นในลักษณะเดิม โดยสื่อจะพบและพูดคุยกับแหล่งข่าวโดยตรง
นอกจากนั้น ยังพบการเพิ่มขึ้นของข่าวลือมากขึ้น ซึ่งหลายครั้งพบความผิดพลาดในการตรวจสอบข่าวสาร
ก่อนเผยแพร่ของสื่อรายใหญ่หลายราย นักข่าวจาเป็นต้องตรวจสอบความแม่นยาของข่าวจากแหล่งข่าวต่างๆ ก่อน
เผยแพร่มากขึ้น

20
นักข่าวสายข่าวด้าน Cybersecurity เหล่านี้มักจะตกเป็นเป้าหมายในการโจมตีทางไซเบอร์อยู่บ่อยครั้ง ซึ่ง
นักข่าวส่วนใหญ่จะมีความตระหนักถึงรูปแบบภัยคุกคามทางไซเบอร์ที่มีอยู่ในปัจจุบัน และสามารถดูแลเครื่องมือ
และอุปกรณ์ที่ตนเองใช้งานอยู่ได้เบื้องต้น
ส่วนแนวโน้มข่าว Cybersecurity ของปี 2017 ไม่มีผู้ร่วมอภิปรายให้ความเห็นว่าหรือคาดการณ์ในอนาคต
เนื่องจากเป็นรูปแบบการทางานของนักข่าวมักจะไม่เปิดเผยข่าวหรือเรื่องที่กาลังจัดเตรียมอยู่ก่อนที่จะเผยแพร่
ในช่วงซักถาม ผู้ฟังหลายท่านตั้งคาถามถึงความน่าเชื่อถือของการข่าวการโจมตีทางไซเบอร์ที่เป็น State
Sponsor ที่เกิดขึ้นในช่วงที่ผ่านมา เช่น ข่าวที่สหภาพการเลือกตั้งของสหรัฐอเมริกา การพบว่า Ransomware บาง
ชนิดมีชุดคาสั่งที่คล้ายกับมัลแวร์ที่เชื่อว่าเป็นการโจมตีของเกาหลีเหนือ เป็นต้น ซึ่งผู้อภิปรายส่วนใหญ่ไม่ได้ชี้ชัดว่า
เป็นไปตามข่าวที่มีการเผยแพร่หรือไม่
What is needed in the next generation cloud trusted platform?
ข้อเท็จจริง คือ ผู้ใช้งานอินเทอร์เน็ตมีแนวโน้มที่จะใช้บริการ Cloud สูงมากขึ้น โดยเฉพาะการเพิ่มขึ้นของ
หน่วยงานหรือองค์กรต่าง ๆ ที่เริ่มย้ายบริการจากระบบหรือเครื่องบริการของตนเอง ไปบนระบบ Cloud ของผู้
ให้บริการสาธารณะมากขึ้น ซึ่งสอดคล้องแนวโน้มที่ Google ได้คาดการณ์ไว้ว่าบริการในอนาคตจะอยู่ในรูปแบบ
Cloud ในรูปแบบใดรูปแบบหนึ่ง ด้วยเหตุนี้ Google จึงให้ความสาคัญในเรื่องการรักษาความมั่นคงปลอดภัยของ
บริการ Cloud (Cloud Trusted Platform) โดยจัดแบ่งโครงสร้างบริการ Cloudได้เป็น 9 ชั้น (Layer) จากชั้น
ล่างสุดคือ ระดับฮาร์ดแวร์ของระบบคอมพิวเตอร์ จนถึงชั้นบนสุด คือระดับผู้ใช้งาน (Users)
ความน่าเชื่อถือของบริการ Cloud จาเป็นต้องมีการรักษาความมั่นคงปลอดภัยในทุกชั้น ผู้บรรยายจาก
Google นาเสนอหลักการการรักษาความมั่นคงปลอดภัยของบริการในแต่ละชั้น เช่น ในส่วนของฮาร์ดแวร์ ให้
ออกแบบในลักษณะ Trusted Hardware Stack ใช้งานส่วนประกอบต่าง ๆ ที่ผ่านการตรวจสอบมาว่าไม่มีจุดอ่อน
หรือมีช่องทางลับให้ผู้ประสงค์ร้ายสามารถเข้าถึงได้ มีการตรวจถึงความครบถ้วนสมบูรณ์ (Integrity) ของ
Firmware ก่อนจะมีการเรียกใช้งาน และมีเฝ้าระวังและตรวจสอบการทางานของอุปกรณ์ทั้งได้ถึงในระดับ Chip
เพื่อให้แน่ใจว่าไม่มีการทางานใด ๆ ทีเกิดกว่ารูปแบบที่ได้ออกแบบไว้
ต่อไปเป็นส่วนของ Boot Layer เป็นการเรียกคาสั่งเพื่อเริ่มระบบปฏิบัติการ (โดยจะมีส่วนของ Storage
และ Network รวมอยู่ในชั้นนี้ด้วย) ยังคงใช้หลักการพิจารณาว่าต้องมีการรักษาความมั่นคงปลอดภัยให้กับ OS โดย
ตั้งสมมุติฐานว่า ชั้น Hardware หรือ Virtual Machine เป็นชั้นที่เชื่อถือไม่ได้ ดังนั้นเพื่อลดความเสี่ยงในชั้นระบบ

21
ปฏิบัติ การเรียกใช้ซอฟต์แวร์ภายใต้ระบบปฏิบัติการสาหรับการติดต่อกับส่วนประกอบฮาร์ดแวร์ต่าง ๆ ต้องเป็น
ซอฟต์แวร์เฉพาะที่ผ่านการตรวจสอบ เป็นที่รู้จัก และเท่าที่จาเป็น ให้ทาการตรวจสอบส่วนประกอบต่าง ๆ ภายใน
ระบบปฏิบัติการด้วยเทคนิค fuzzing (ส่งข้อมูลสุ่มเข้าไปในซอฟต์แวร์เพื่อหาจุดอ่อนของซอฟต์แวร์) และจาเป็นต้อง
ดาเนินการวิเคราะห์ปัญหาที่เกิดขึ้นเมื่อพบว่ามีการทางานผิดพลาดและส่วนประกอบหรือระบบปฏิบัติการหยุดการ
ทางานกระทันหัน (Crash) เนื่องจากข้อผิดพลาดเหล่านี้ส่วนหนึ่งอาจจะเกิดจากช่องโหว่ที่ยังไม่ถูกค้นพบ
ส่วนของแอปพลิเคชัน ซึ่งผู้บรรยายให้ความเห็นว่า นักพัฒนาจาเป็นต้องมีกลไกในการตรวจสอบความ
น่าเชื่อถือและความครบถ้วนสมบูรณ์ของชุดคาสั่งของซอฟต์แวร์ ซึ่งเทคนิคที่เป็นที่นิยมและมีระดับความน่าเชื่อถือ
สูง คือการใช้เทคนิคการเข้ารหัสลับข้อมูลในการทา Code Signing โดยชุดคาสั่งที่ผ่านการตรวจสอบและยืนยัน
ความครบถ้วนสมบูรณ์เท่านั้นที่จะถูกเรียกและทางาน นอกเหนือจากนั้นยังต้องมีการตรวจสอบสิทธิในการเข้าถึง
ข้อมูลของแอปพลิเคชันและผู้ใช้งานตามนโยบายที่กาหนดไว้ เพื่อให้แน่ใจว่าแอปพลิเคชันทางานอย่างถูกต้อง
ผู้บรรยายได้เสนอแนะการรักษาความมั่นคงปลอดภัยในชั้นแอปพลิเคชันนี้ในหลักการคล้ายกับชั้นระดับปฏิบัติการ
คือ ผู้พัฒนาต้องหมั่นตรวจสอบชุดคาสั่งอย่างสม่าเสมอเพื่อตรวจสอบช่องโหว่ของแอปพลิเคชัน ชุดคาสั่งจะถูกเรียก
และทางานเมื่อผ่านเป็นชุดคาสั่งที่น่าเชื่อถือ และให้มีกระบวนการในการเฝ้าระวังการทางานผิดพลาดแอปพลิเคชัน
และวิเคราะห์หาสาเหตุเพื่อแก้ไขจุดอ่อนและปรับปรุงความมั่นคงปลอดภัยของแอปพลิเคชัน
การสร้าง Trusted Cloud Platform ยังคงเป็นหัวข้อที่มีผู้ผลิตเสนอกลไกในการสร้างบริการ Cloud ให้มี
ความน่าเชื่อถือได้มากขึ้นใน Application Stack เช่น บริษัท Intel เสนอให้ใช้ Intel SGX (Software Guard
Extensions) ฮาร์ดแวร์ที่มีชุดคาสั่งพิเศษสาหรับแอปพลิเคชันในการทางานภายใต้พื้นที่หน่วยความจาพิเศษเพื่อ
ป้องกันแอปพลิเคชันที่มีสิทธิที่สูงกว่าในการเข้าถึงข้อมูลในหน่วยความจาพิเศษนี้ หรือ บริษัท AMD เสนอ Secure
Encrypted Virtualization โดยให้ทาการเข้ารหัสลับพื้นที่ข้อมูลของแอปพลิเคชันของผู้ใช้งานเพื่อป้องกันการ
เข้าถึงจากแอปพลิเคชันอื่นที่มีสิทธิสูงกว่า ซึ่งทั้งสองรูปแบบยังไม่ได้รับการรับรองให้เป็นกลไกมาตรฐานในการสร้าง
ความน่าเชื่อถือในปัจจุบัน
ประเด็นสุดท้ายที่ผู้บรรยายได้สรุปไว้ในการบรรยายการสร้างบริการบนคลาวด์ให้มีความน่าเชื่อถือ
ประกอบด้วย 4 ประการคือ
1. การตรวจสอบ (Eaxmine) ความมั่นคงปลอดภัยในมุมของฮาร์ดแวร์และซอฟต์แวร์ของบริการ Cloud
2. การสร้าง (Establish) กลไกในการรักษาความมั่นคงปลอดภัยให้กับบริการ Cloud โดยให้พิจารณาใน
รูปแบบ end-to-end จากข้อมูลในบริการ Cloud ถึงอุปกรณ์ต่างที่เกี่ยวข้อง
3. การสารวจ (Explore) เทคนิคในการพัฒนาแอปพลิเคชันที่ทางานภายใต้ Sandbox ซึ่งสามารถควบคุม
การติดต่อระหว่างแอปพลิเคชันกับระบบปฏิบัติการของเครื่องได้ รวมถึงเทคนิคในการแยกการเรียก
และสั่งงานของแอปพลิเคชันออกจากชุดคาสั่งของฮาร์ดแวร์
4. การยืนยันผล (Ensure) บริการคลาวด์สามารถให้บริการได้อย่างสอดคล้องกับนโยบายความมั่นคง
ปลอดภัยของข้อมูลที่ระบุไว้และมีการเฝ้าระวังและตรวจสอบการทางานอยู่เสมอ
Two Bytes to $951 m—Collaborate to Defend
ผู้เชี่ยวชาญด้านการวิเคราะห์ภัยคุกคาม บริษัท BAE และหัวหน้าทีมวิเคราะห์และเจาะระบบ (Red Team)
ขององค์กร SWIFT นาเสนอกรณีที่มัลแวร์โจมตีเครื่องคอมพิวเตอร์ของ ธนาคารกลางของประเทศบังคลาเทศ ที่
เชื่อมต่อกับระบบ SWIFT และทาการโจรกรรมเงินเป็นจานวน 81ล้านเหรียญ โดยสรุปสาระสาคัญจากการบรรยาย
ดังนี้

22
การโจรกรรมเงินจากบัญชีธนาคารกลางของประเทศบังคลาเทศ เป็นการโจมตีที่มีการเตรียมการมาเป็น
อย่างดี และเลือกเครื่องมือและเวลาในการดาเนินการในช่วงเวลาวันหยุดของประเทศบังคลาเทศ และวันหยุดยาว
ของประเทศฟิลิปปินส์ โดยบัญชีที่ใช้ในการรับโอนเงินที่เปิดไว้ที่ประเทศฟิลิปปินส์ถูกเปิดไว้เป็นระยะเวลา 9 เดือน
ก่อนการโจมตี
มัลแวร์ที่ใช้ในการโจมตีเครื่องคอมพิวเตอร์ที่บังคลาเทศ นักวิเคราะห์ของ BAE พบว่ามีส่วนของชุดคาสั่ง
เหมือนกับมัลแวร์ที่โจมตี Sony Picture Entertainment ที่เชื่อว่ามาจากประเทศเกาหลีเหนือ และคนร้ายเข้าใจ
หลักการทางานของ SWIFT software เป็นอย่างดี รวมถึงทราบว่ารูปแบบการการทางานของธนาคารกลางของ
ประเทศบังคลาเทศในการใช้งานระบบ SWIFT เช่น ทราบว่าเมื่อมีการทารายการผ่านระบบ SWIFT แล้วเครื่องจะ
ทาการพิมพ์เพื่อยืนยันคาสั่งออกมายังเครื่องพิมพ์ ซึ่งคนร้ายได้พัฒนามัลแวร์เพื่อระงับการสั่งพิมพ์ไปยังเครื่องพิมพ์
ได้8
คนร้ายสั่งการให้มัลแวร์ทาการโอนเงินในบัญชีของธนาคารกลางของประเทศบังคลาเทศจากธนาคารกลาง
กของสหรัฐอเมริกาที่มหานครนิวยอร์กว่า30 ครั้ง มูลค่ารวม ระเทศศรีล้านเหรียญสหรัฐอเมริกา โอนเงินไปป
ลังกาและประเทศฟิลิปปินส์ มีคาสั่งโอนเงินดาเนินการสาเร็จไปจานวน 5รายการไปที่ประเทศฟิลิปปินส์ และคาสั่ง
ระงับดาเนินการ โดยเงินถูกโอนเข้าบัญชีที่ประเทศฟิลิปปินส์ถูกคนร้ายขึ้นเงินสดในโอนเงินที่เหลือถูก Casio ใน
ประเทศฟิลิปปินส์
มัลแวร์ถูก Upload ขึ้นบริการวิเคราะห์มัลแวร์จากผู้ใช้งาน ซึ่งเชื่อว่าเป็นผู้ที่มีส่วนเกี่ยวข้องในการ
วิเคราะห์การโจมตีจากบังคลาเทศ ซึ่ง SWIFT ยืนยันว่าระบบของ SWIFT ที่ใช้ในการโอนเงินระหว่างประเทศ ไม่ได้
ถูกเจาะระบบแต่อย่างไร สาหรับในกรณีนี้มีสาเหตุเกิดจากเครื่องคอมพิวเตอร์ของธนาคารกลางในประเทศบังคลา
เทศติดมัลแวร์ แต่ยังไม่ได้มีการเปิดเผยว่าเครื่องคอมพิวเตอร์นี้ติดมัลแวร์ได้อย่างไร องค์กร SWIFT ตระหนักถึงภัย
คุกคามที่อาจจะเกิดกับเครื่องคอมพิวเตอร์ของสถาบันการเงินที่ต่อเชื่อมกับ
เครือข่าย SWIFT จึงได้ออกโครงการ SWIFT CSP (Customer Security Program Framework) เพื่อเป็น
ยกระดับดูแลและรักษาความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่าย SWIFT ของสมาชิก9
Updating Surveillance Law on Government Access to Your Online Data
กฎหมายที่อนุญาตให้หน่วยงานภาครัฐเข้าถึงข้อมูลส่วนบุคคลออนไลน์เป็นประเด็นสาคัญที่จะมีการหารือ
กันในรูปแบบเสวนาร่วมกับวิทยากรรับเชิญซึ่งมาจากภาคเอกชน อาจารย์มหาวิทยาลัย ซึ่งมีประสบการณ์เกี่ยวกับ
การใช้อานาจของรัฐเพื่อให้ได้มาซึ่งข้อมูลส่วนบุคคลที่อยู่ในโลกออนไลน์ สหรัฐอเมริกามีหลายหน่วยงานที่เป็น
หน่วยงานด้านการข่าวที่จะมีส่วนเกี่ยวข้องกับการขอข้อมูลผู้ใช้งานอินเทอร์เน็ตสองประเภทคือ (๑) หน่วยงานที่
ปฏิบัติงานภายในประเทศเช่น FBI ซึ่งจะขอข้อมูลของผู้ใช้งานที่อยู่ภายในประเทศ (ชาวอเมริกัน) และ(๒) หน่วยงาน
ที่ปฏิบัติงานต่างประเทศเช่น CIA ซึ่งจะขอข้อมูลชาวต่างชาติ ข้อมูลที่ร้องขอแบ่งออกได้เป็นสองลักษณะคือ (๑)
ข้อมูลอิเล็กทรอนิกส์ที่ผู้ให้บริการจัดเก็บไว้เป็น log และ (๒) การแอบดักรับข้อมูลที่อยู่ระหว่างการสื่อสาร ปัจจุบัน
ยังมีหลายข้อกังวลเช่น การขอติดตามข้อมูลอยู่ตลอดเวลา (tracking) ซึ่งไม่ได้เป็นการขอข้อมูลที่จัดเก็บไว้แล้วใน
รูปแบบอิเล็กทรอนิกส์ทั่วไป หรือการขอข้อมูลอีเมลที่มีโอกาสที่จะกระทบกับสิทธิของบุคคลอื่นที่กาลังสื่อสารกับผู้
8 ดูรายละเอียดเพิ่มเติมได้ที่ Customer Malware บังคลาเทศ upload malware ใน public analysis
http://baesystemsai.blogspot.com/ 2016/04/ two-bytes-to-951m.html
9 ดูรายละเอียดเพิ่มเติมได้ที่ https://www.SWIFT.com/mySWIFT/customer-security-programme-csp_

23
ต้องสงสัย รวมทั้งอาจกระทบสิทธิประชาชนชาวอเมริกันด้วยซึ่งตามรัฐธรรมนูญจะต้องได้รับการปกป้องความเป็น
ส่วนตัว จากประสบการณ์เคยมีกรณีผู้ให้บริการปฏิเสธการส่งข้อมูลของลูกค้าจนกว่าจะได้รับหมายศาลอย่างเป็น
ทางการ เช่น Google ไม่ยินยอมดาเนินการจนกว่าจะได้หมายศาล อ้างว่ามีความจาเป็นต้องขอให้มีหมายศาล
เพราะไม่สามารถบอกได้ว่าการส่งข้อมูลอีเมลของผู้ต้องสงสัยจะกระทบต่อสิทธิ์ของชาวอเมริกันที่อาจจะสื่อสารกับผู้
ต้องสงสัยหรือไม่ และผู้ที่ได้รับการร้องขอมักจะถามว่าจะสามารถตรวจสอบได้อย่างไรว่าคาร้องขอนั้นมาจาก
หน่วยงานรักษากฎหมายจริง ๆ และขอให้มีช่องทางสื่อสารเพื่อทาความเข้าใจกับหน่วยงานรักษากฎหมายที่ร้องขอ
ข้อมูลเพื่อความชัดเจนในการเตรียมข้อมูล
ในอนาคตการขอข้อมูลออนไลน์จะมีผลกระทบกับทั้งผู้ให้บริการและผู้ที่ใช้บริการ กฎหมายในปัจจุบันยังไม่
ชัดเจนในเรื่องของข้อมูลที่ผู้ให้บริการจัดเก็บในประเทศที่สาม ใครคือผู้ที่มีอานาจเข้าถึงข้อมูลเหล่านั้น หากศาลใน
อเมริกาสั่งให้บริษัทที่จดทะเบียนในอเมริกาส่งมอบข้อมูลที่บริษัทนั้นได้จัดเก็บไว้ในต่างประเทศจะมีแนวปฏิบัติ
อย่างไร ต้องยึดกฎหมายของประเทศใดในการดาเนินการ เป็นต้น ที่ผ่านมายังไม่มีกฎหมายนานาชาติที่ใช้บังคับให้
ผู้ให้บริการปฏิบัติ ช่องทางอื่นที่สามารถทาได้คือ Mutual Legal Assistance Treaty (MLAT10) ผ่านข่องทางการ
ทูต หรืออีกช่องทางคือ Bilateral Agreement ระหว่างสองประเทศที่มีระดับความเข้มข้นของกฎหมายใกล้เคียงกัน
ในอนาคตหากนานาชาติยังไม่สามารถแก้ปัญหาการขอข้อมูลข้ามประเทศ ก็อาจจะต้องเตรียมตัวรับมือกับแนวคิด
ใหม่เช่น จีนที่จะออกกฎหมายอนุญาตให้ดึงข้อมูลที่จัดเก็บไว้ในต่างประเทศได้เอง และในอนาคตเมื่อกลายเป็นยุค
ดิจิทัลอย่างสมบูรณ์ ข้อมูลที่จัดเก็บซึ่งเข้าข่ายข้อมูลส่วนบุคคลก็จะมีมากขึ้นตามไปด้วย จากเดิมที่หน่วยงานรักษา
กฎหมายสามารถร้องขอข้อมูลที่มีลักษณะเป็น Transactional records เท่านั้น แต่ปัจจุบันอุปกรณ์ต่าง ๆ มีการ
จัดเก็บข้อมูลอื่น ๆ อีกมาก เช่น อุณหภูมิห้อง มีใครอยู่บ้าน เปิดไฟกี่โมง เป็นต้น ที่ไม่ช้าก็คงจะมีการขอข้อมูล
ดังกล่าวเพิ่มขึ้นอีก ซึ่งข้อมูลเหล่านี้ถือว่าเป็นข้อมูลส่วนตัวที่ได้รับการคุ้มครองโดยรัฐธรรมนูญของสหรัฐอเมริกา
หรือไม่ ดังนั้นข้อมูลหลาย ๆ ประเภทนี้ยังไม่ชัดเจนว่ากฎหมายกาหนดไว้อย่างไร ผู้ให้บริการอาจจะถูกฟ้องร้องได้
หากมอบข้อมูลส่วนตัวเหล่านี้ ประสบการณ์ของสหรัฐอเมริกาเป็นตัวอย่างที่ประเทศไทยจะต้องเตรียมตัวไว้ด้วย
เพราะเราเป็นประเทศที่มีผู้บริโภคบริการออนไลน์จานวนมาก มีการจัดเก็บและแชร์ข้อมูลส่วนบุคคลออนไลน์
กว้างขวาง
EU DATA Privacy: what US Orgs need to do now to prepare for the GDPR
General Data Protection Regulation หรือ GDPR (Regulation (EU) 2016/679) เป็นระเบียบระดับ
กฎหมาย (regulation) ที่ยุโรปต้องการให้มีกฎเกณฑ์ที่คุ้มครองข้อมูลส่วนบุคคลที่เข้มแข็งและเป็นหนึ่งเดียว สาหรับ
ปัจเจกชน ที่อยู่ภายในสหภาพยุโรป
GDPR สาคัญ เพราะว่าต้องการทั้งความเข้าใจจาก IT และ security capability ใหม่ ซึ่งหมายถึงค่าใช้จ่าย
ที่เพิ่มขึ้นเพื่อจัดการความเสี่ยงที่ไม่สามารถโอนได้ ลองนึกเหตุการณ์ที่ภาคธุรกิจไม่สามารถโอนข้อมูลส่วนบุคคล
เนื่องจากไม่สามารถทาตามกฎหมาย GDPR นี้ได้ หากทาไม่ได้ก็เสี่ยงต่อเสียชื่อ ผิดกฎหมาย ถูกปรับ ถูกฟ้องร้องได้
EU สนใจเรื่อง data privacy มากเพราะ EU มอง data privacy ว่าเป็น Human right, Fundamental
Human right คิดโยงไปกับตอนสงครามโลกสอง
GDPR นี้ผ่านเมื่อเดือนพฤษภาคมปี 2016 และจะมีผลใช้บังคับทั่วทั้ง EU ใน เดือนพฤษภาคมปี 2018
เกี่ยวข้องกับ “personal data” ดังนั้น หน่วยงานต้องทาความเข้าใจว่า personal data across the organization
10 MLAT - ความร่วมมือทางอาญาระหว่างประเทศ

24
ให้คิดนิยามที่ “any data that interpreted identify and identify individually” เช่น IP Address ถือว่าเป็น
Personal Data หรือไม่ นอกจากนี้ GDPR Article 32 เป็นข้อที่สาคัญที่เกี่ยวกับ security ที่ต้องให้ความสาคัญ
Requirement for GDPR มีดังนี้
1. Territorial scope อาณาเขตที่ใช้บังคับสาหรับ GDPR
2. Explicit consent ต้องให้ความยินยอมอย่างชัดแจ้งการที่จะให้ คลิก ต้องให้ชัดเจนขึ้น เช่นนี้ เป็น ,
ประเด็นที่น่าสนใจ เกิดขึ้นแน่นอน ไม่มีใครที่ต้องการทาผิดแต่ว่าต้องให้เจ้าของข้อมูล
3. Age gate ต่ากว่า 16 ปีไม่สามารถให้ความยินยอมได้ ดังนั้น ต้องมีผู้ปกครองให้ความยินยอมด้วย
คล้าย)COPPA ของ อเมริกา)
4. Individual rights สิทธิขอให้ เปลี่ยนแปลงข้อมูลส่วนบุคคลของเราได้ ถ้าไม่ถูกต้อง right tobe
forgotten
5. Data portability เป็นสิ่งใหม่ที่เกิดขึ้นด้วย ที่สามารถขอให้ เอาข้อมูลส่วนบุคคลของเราที่อยู่หลายที่
รวมไปอยู่อีกที่หนึ่ง
6. Breach Notification ที่ต้องทาภายใน 72 ชั่วโมง ที่ต้องทาการแจ้งหากมีเหตุการณ์ data breachเมื่อ)
เทียบกับหลักเกณฑ์นี้ สาหรับบริษัทของอเมริกามีอยู่แล้ว
GDPR มีความหมายต่อ security and IT เพราะ มีหลักเกณฑ์เกี่ยวกับ Data breach การปฏิบัติเมื่อเกิด
เหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล ซึ่งเป็นสิ่งที่บริษัทในอเมริกาทาอยู่แล้ว แต่ว่าสิ่งที่ต้องเตรียมคือ การทาแผน
รองรับเมื่อเกิดเหตุการณ์ )incident response plan) นอกจากนี้ GDPR Article 32, 35 เป็นข้อที่สาคัญที่เกี่ยวกับ
security ที่ต้องให้ความสาคัญ
หากเราใช้บริการ Service provider, cloud ที่เก็บข้อมูลส่วนบุคคลของลุกค้าของเรา เหล่านี้ เราก็ต้อง
รับผิดชอบด้วย แนะนาว่า ให้องค์กร ควบคุม key ที่คสวบคุมข้อมูล นอกจากนี้มีระบบทดสอบเพื่อให้องค์กรมั่นใจ
ได้ว่าดาเนินการตามกฎหมาย )Testing : GDPR) มีให้ทดลองระบบของหน่วยงานด้วย โดยมีข้อ concern เกี่ยวกับ
privacy by design, conclusion เป็นเรื่อง high risk ที่ต้องคุยกับ privacy authority ไม่ใช่แค่การออกแบบ
เท่านั้น อย่างไรก็ตาม สิ่งดีของ GDPR ก็มี เช่น การให้ความยืดหยุ่นในบางเรื่อง เช่นกัน
ส่วนประเด็นการทาตามกฎ Right to be forgotten เมื่อเทียบกับ Google ที่ต้องรับเรื่อง 600,000
requests ที่ส่งเรื่องไปที่ Google เช่นนี้ บริษัทอย่างเราก็อาจได้รับ request แบบนี้เช่นกัน แล้วจะทาอย่างไรต่อไป
เช่นนี้ต้องเตรียมพร้อมและมี แผนรองรับ เพราะว่า เรื่องเหล่านี้ไม่สามารถหนีได้ เนื่องจากเป็นกฎหมาย แนวคิด
ของ Right to be forgotten ในกรณีองค์กรได้รับ request หากลูกจ้างขอให้ ลบออก เช่นนี้ จะทาได้อย่างไร ใน
เมื่อ องค์กรต้องคานึง เพราะ GDPR เกี่ยวข้องกับ Data processor – accountability ในข้อมูลด้วย
ดังนั้น หน่วยงานต้องเข้าใจเรื่อง personal data flow ทั้งในหน่วยงานเอง และระหว่างหน่วยงานกับ
หน่วยงานอื่นที่เราใช้บริการด้วย องค์กรต้องอย่าลืมที่จะพิจารณา “EU citizen” ด้วย ระบุระบบที่ใช้งาน, พัฒนา ,
ประเมินมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม พัฒนาและปรับใข้งาน
ตัวอย่าง Data Security and Privacy Best Practice
1. ต้องหา “ข้อมูลส่วนบุคคล” “ข้อมูลที่เป็น sensitive data” ในองค์กรมีอะไรบ้าง
2. เมื่อรู้แล้ว ควรใช้ risk management ในการปกป้องข้อมูลนั้น เพราะถือเป็นสินทรัยพ์อันมีค่าขององค์กร

25
3. “หมึกล่องหน” เครื่องมือที่ใช้ในการป้องกันข้อมูลส่วนบุคคล โดยเทียบกับเทคโนโลยีที่ใช้งาน data
obfuscation terminology เช่น การทา masking, การทา redaction (การใส่ *** เลขบางตัว), การใช้
tokenization หรือ การทา encryption เป็นต้น
4. เนื่องจากเรื่อง “ข้อมูล” เป็นเรื่องที่มีความสาคัญและเกี่ยวพันกับหลายส่วนงาน ดังนั้น ในการทางาน
ภายในองค์กร จึงต้องทางานร่วมกันอย่างใกล้ชิดทั้งกับแผนกกฎหมาย แผนก IT Security และ แผนกที่
ดูแล Privacy โดยเฉพาะ
5. Keep score องค์กรที่มีระบบปกป้องข้อมูลสาเร็จ มีการกาหนดชัดเจนที่ให้ผู้บริหารกาหนดนโยบายและ
แนวทางที่ชัดเจน เพื่อให้มีการทา privacy compliance และมีการใช้เครื่องมือที่ช่วยในการทางาน เช่น
risk dashboard
6. คนที่เกี่ยวข้องต้องมีจริยธรรม (ethics, moral principle)
7. Data privacy scouts : การทา security intelligence ซึ่งรวม incident response
Cybersecurity – It’s a Small-Town Problem
ภัยคุกคามความมั่นคงปลอดภัยส่งผลกระทบโดยตรงต่อภาคธุรกิจและหน่วยงานภาครัฐทุกขนาด ในขณะที่
ภาครัฐมักจะมีเครื่องมือ บุคลากร และเงินทุนสนับสนุนไม่เพียงพอที่จะสามารถรับมือกับภัยคุกคามได้ด้วยตนเอง
วันนี้วิทยากรจะแชร์ความคิดเห็นแนวทางในการรับมือกับภัยคุกคามไซเบอร์ ซึ่งแบ่งเป็นสองประเด็น ประเด็นแรก
คือภัยคุกคามไซเบอร์ในมุมมองของผู้ที่ได้รับผลกระทบจะเหมือนกันไม่ว่าจะเป็นใคร ประเด็นที่สองคือระดับความ
พร้อมของทรัพยากรที่จะใช้ในการรับมือกับภัยคุกคามดังกล่าว การเตรียมรับมือไม่ใช่แค่การแก้ปัญหาเฉพาะหน้า
แต่รวมถึงการวางแผนระยะยาว เช่น การเตรียมความพร้อมของบุคลากรในอนาคต การสร้างความตระหนักให้แก่
ประชาชน และการบริหารจัดการหน่วยงานที่มีระดับความพร้อมที่แตกต่างกัน
รัฐเวอร์จิเนียให้ความสาคัญ จัดตั้งคณะกรรมการพิจารณาเรื่องความมั่นคงปลอดภัยและจัดให้เป็น
ความสาคัญกับปัญหาภัยคุกคามไซเบอร์ในระดับที่สูงมาก ได้มีการดาเนินกิจกรรมต่อเนื่อง เช่น การกาหนดแผน ๕
ปี และการออกเอกสารคาแนะนาของรัฐ และ Governor ก็ได้บอกไว้แล้วว่าความมั่นคงไซเบอร์มีความสาคัญมาก
การวางแผนมีความสาคัญมากเพราเราไม่ต้องการที่จะอยู่ในโมดรับมือภัยคุกคามเชิงรับอยู่ตลอดเวลา เพราะเราไม่มี
แผนรับมือและแผนเชิงรุก โดยที่รัฐเวอร์จิเนียได้ปฏิบัติตาม NIST Framework ที่เป็นกรอบมาตรฐานที่หน่วยงานใช้
อ้างอิงและวางแผนให้สอดคล้องกัน และสามารถวัดความพร้อมของแต่ละหน่วยงาน/แต่ละรัฐเปรียบเทียบกัน
เพื่อให้สามารถวางแผนการปรับปรุงและลงทุนให้เหมาะสม ปัจจุบันมีหลายรัฐที่จะใช้ NISC Framework ก็จะต้อง
ติดตามผลสาเร็จต่อไป
ผู้เข้าร่วมฟังสัมมนาหลายคนก็ให้มุมมองปัญหาไซเบอร์เป็นความท้าทาย ส่วนใหญ่ก็ไม่มีความรู้และไม่เคย
ประสบกับภัยคุกคามไซเบอร์มาก่อน หน่วยงานเล็ก ๆ อาจจะไม่มีบุคลากรด้านไอทีโดยเฉพาะ เป็นเพียงอาสาสมัคร
ทางานชั่วคราว หน่วยงานเล็ก ๆ ที่ให้บริการที่ภาครัฐเคยเป็นผู้รับผิดชอบไม่ได้มีความตะหนักถึงความเสี่ยง ซึ่ง
จะต้องทาความเข้าใจว่าคนร้ายไม่ได้เลือกที่จะโจมตีหน่วยงานใหญ่หรือเล็ก ดังนั้นทุกคนมีโอกาสตกเป็นเป้าหมาย
เหมือนๆกัน และข้อคิดที่สาคัญอีกข้อหนึ่งคือจะต้องปรับทัศนคติจากการป้องกันเหตุ เป็นการควบคุมความเสี่ยงและ
สร้าง Resilience ให้กับสังคม สาหรับเมืองเล็ก ๆ ที่ยังขาดความพร้อมในการแก้ไขปัญหาไซเบอร์ด้วยตนเอง
สามารถเริ่มสร้างความพร้อมจากการจัดอบรม และสอนให้รู้ว่าเมื่อเกิดปัญหาประเภทใดจะต้องไปติดต่อขอความ
ช่วยเหลือจากหน่วยงานใดที่มีความเชี่ยวชาญในเรื่องนั้น ๆ เป็นต้น ตัวอย่างการแชร์ความรู้เช่น เมื่อประสบกับภัย
คุกคาม Ransomware จะดาเนินการอย่างไรดี วิธีเดียวที่ทาได้คือการสร้างความตระหนักอันตราย และแนะนาทุก

26
องค์กรหรือประชาชนต้องทาสารองข้อมูล (Backup) ตลอดเวลา หากใครประสบกับปัญหานี้ก็แนะนาให้แจ้งให้
หน่วยงานรับผิดชอบเช่น FBI ทราบเพื่อให้ประเทศเห็นภาพความรุนแรงของปัญหาอย่างแท้จริง
Cybersecurity Framework Draft Version 1.1: Success on the Road Ahead
หัวข้อนี้ได้รับความสนใจจากผู้เข้าร่วมงานสัมมนา เป็นการประชาพิจารณ์ระดมความเห็นเพื่อยกระดับการ
รักษาความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ (Enhancing National Cybersecurity) โดยจะนาผลลัพธ์ไป
นาเสนอต่อคณะทางานที่จัดตั้งโดยประธานาธิบดีเป็น Commission Report and Framework v1.1
ประมาณ 1 ปีก่อนประธานาธิบดีโอบามาได้จัดตั้งคณะทางาน 12 คน (1 คนจาก Republican, 1
Democrat, นักวิชาการ ,อกชนภาคเ,ภาครัฐ(คณะทางานได้รวบรวมรายการสิ่งที่ต้องการทามากมาย แต่ก็ต้อง
ยอมรับไม่มีอะไรที่จะเป็นตัวแก้แก้ปัญหาได้ทุกเรื่อง จากการสารวจของGardner ในปี 2015 มีหน่วยงานใช้ 30%
Framework แล้ว คาดว่าปัจจุบันน่าจะเพิ่มมากขึ้นเป็น 40-50% ในขณะที่ Framework ถูกใช้งานมาเป็นเวลา
ประมาณ 2 ปีเวอร์ชัน 1.0 ปัจจุบันกาลังจะปรับปรุงเป็นเวอร์ชั่น 1.1 ซึ่งกรอบนโยบายนี้ก็เกิดขึ้นจากความร่วมมือ
กับภาคเอกชนและผู้เกี่ยวข้อง สิ่งสาคัญคือหน่วยงานต่าง ๆ มีเอกสารอ้างอิงที่สามารถใช้อ้างอิงและกาหนดบทบาท
หน้าที่ของตนเองให้เหมาะสมตามหลักการ Identify, Detect, Protect, Respond, Recovery และความเชื่อมโยง
ระหว่างนโยบายนี้กับกระบวนการดาเนินธุรกิจของบริษัทที่นา Framework นี้มาใช้งาน
ผู้แทนจาก NIST อธิบายว่าในร่างเวอร์ชั่น 1.1 นี้ ไม่ใช่เป็นการทาใหม่ แต่เป็นการปรับปรุง 1.0 ให้สมบูรณ์
มีการเพิ่มเรื่อง Change risk management, Supply chain risk management, Identity management,
Authentication และ Taxonomy รวมทั้งได้มีการเพิ่มรายละเอียดการตรวจประเมิน Self-assessment
measure ทาให้สามารถวัดคุณภาพ/ระดับความสามารถของแต่ละหน่วยงานเมื่อมาเปรียบเทียบกัน สถานะของ
ร่าง 1.1 กาลังเผยแพร่ผ่านเว็บไซต์ NIST เพื่อรับความเห็นจนถึงเมษายน และจะทาให้เสร็จในฤดู Fall 2017 ผู้ที่
สนใจสามารถอ่านข้อมูลจากเว็บไซต์ซึ่งมีข้อมูลเพิ่มเติมที่อาจจะไม่ได้อยู่ใน framework
ประเด็นต่าง ๆ ที่ผู้เข้าร่วมการประชุมสอบถามได้แก่
1. แนวทางในการ Escalate ที่ยังไม่ชัดเจน (การยกระดับความรับผิดชอบ) และต้องไปติดต่อกับใคร
ควรจะมีการระบุผู้รับผิดชอบความเสียหายที่เกิดขึ้นไหม และมีแนวคิดอย่างไรในการระบุว่าใครรับผิดชอบ
2. Framework ไม่ได้ระบุว่าจะมีการบังคับทางกฎหมาย (แต่ก็ไม่ได้บอกว่าจะไม่มีในอนาคต)
3. Framework พูดถึงกระบวนการและทรัพย์สินที่ต้องมีการตรวจสอบและป้องกัน แต่ไม่ค่อยได้พูด
ถึงทรัพยากรคน ควรจะครอบคลุมการพัฒนาคนด้วย เพื่อให้ framework สมบูรณ์ เป็นการเพิ่ม การอบรมและ
สร้างความตระหนักในทุกระดับไม่ใช่แค่ผู้ประกอบอาชีพด้านความมั่นคงปลอดภัย แต่หมายรวมถึงประชาชนและ
ผู้บริโภคด้วย
4. การบังคับทางกฎหมาย NIST ไม่ใช่หน่วยงานกากับ ไม่มีอานาจบังคับให้หน่วยงานปฏิบัติ แต่
ปัจจุบันหน่วยงานต่างประเทศก็มีหลายแห่งที่นาเอากรอบนโยบายนี้ไปใช้งาน ปัจจุบัน NISCT ก็ได้หารือกับ
หน่วยงานต่างประเทศในลักษณะเช่นเดียวกันนี้ด้วย (ไม่มีสถิติ)

27
Internet of Insecurity: Can Industry Solve it or Is Regulation Required?
ปัญหา Security ในอุปกรณ์ IoT 11 ซึ่งมีแนวโน้มรุนแรงขึ้น ซึ่งผู้ฟังในห้องบรรยายเกินร้อยละ คิดว่า %90
รัฐควรมีบทบาทในการกากับดูแลผู้ผลิตและการใช้งานอุปกรณ์IoT ในระดับผู้บริโภค
ผู้เข้าร่วมอภิปรายเป็นนักเขียนและผู้เชี่ยวชาญด้านไซเบอร์ การปกป้องข้อมูลส่วนบุคคลและการเข้ารหัส
ลับข้อมูล Mr.Bruce Schineier และผู้บริหารเทคโนโลยีอินเทอร์เน็ต องค์กร Internet Society Mr.Olaf Kolkman
โดยมีเนื้อหาในการอภิปรายดังนี้
- ใครควรรับผิดชอบและผู้ผลิตสามารถแก้ปัญหานี้ได้เอง หรือจาเป็นต้องมีการกากับดูแลจากรัฐ
- อะไรเป็นแรงจูงใจกับผู้ผลิตอุปกรณ์ IoT ต้องรับผิดชอบปัญหา Security ในอุปกรณ์
- ความรับผิดชอบต่อปัญหา Security ของอุปกรณ์ IoT ซึ่งมีจานวนมาก และเป็นอุปกรณ์ที่มีการจาหน่าย
ให้กับผู้ใช้งานมานานแล้ว ทาให้เกิดปัญหากระจายในอินเทอร์เน็ตในทุกภูมิภาค
- การสร้างความตระหนักและให้ความรู้ถึงภัยและปัญหาจากอุปกรณ์ IoT ให้กับผู้ใช้งานและลูกค้ายังเป็น
ทางเลือกในการแก้ไขปัญหาหรือไม่
- การแก้ปัญหาควรจะเป็นความรับผิดชอบของผู้ผลิต หรือ ผู้ให้บริการ เช่น ISP ต่อ ลูกค้า ซึ่งอาจจะสร้าง
ต้นทุนให้กับผู้ผลิตและผู้ให้บริการ
- รูปแบบการ Self-regulation เพื่อร่วมกาหนด Code of Conduct ในด้าน Security เป็นทางเลือกใน
การแก้ไขปัญหาหรือไม่
การหาข้อสรุปและทางออกของการแก้ไขปัญหา IoT เหล่านี้จะมีความสาคัญขึ้นเรื่อยๆ เนื่องจากปัญหาของ
คอมพิวเตอร์ในอุปกรณ์ในยุค IoT เริ่มส่งผลกระทบกับเสถียรภาพของเครือข่ายอินเทอร์เน็ต อีกทั้งมีแนวโน้มส่งผล
ให้เกิดความไม่ปลอดภัยกับชีวิต เช่น รถไร้คนขับ ซึ่งอาจจะทาให้เกิดอุบัติเหตุ หรือ อุปกรณ์เครื่องครัว ซึ่งอาจจะทา
ให้เกิดอัคคีเพลิง เป็นต้น แต่ในขณะที่แรงจูงใจของผู้ผลิต IoT คือ การพัฒนาผลิตภัณฑ์ให้มี feature ใหม่ สามารถ
ผลิตได้รวดเร็วทันกับความต้องการของตลาด ในราคาถูก โดยส่วนใหญ่ยังไม่ได้ให้ความสนใจกับปัญหาเรื่อง
Security ของอุปกรณ์ ผู้อภิปรายและผู้ฟังส่วนใหญ่ จึงเห็นว่าการปล่อยให้กลไกตลาดส่งสัญญาให้ผู้ผลิตต้อง
รับผิดชอบดาเนินการปัญหาด้านไซเบอร์ อาจจะทาให้เกิดสภาพบังคับใช้แบบสมัครใจและไม่สามารถควบคุมความ
เสียหายที่เกิดจากปัญหานี้ได้จริง
โอกาสสุดท้ายการใช้ DevOps
ปัจจุบันนี้ซอฟต์แวร์อยู่เป็นพื้นฐานทางไอซีทีและอยู่ในอุปกรณ์ต่างๆ กระจายอยู่ทั่วไป ไม่ว่าจะเป็นเครื่อง
คอมพิวเตอร์ อุปกรณ์ไฟฟ้า โทรศัพท์มือถือ เป็นต้น ดังนั้น นักพัฒนาซอฟต์แวร์จาเป็นต้องมีความรับผิดชอบในเรื่อง
นี้ source code จาเป็นต้องสามารถนามาใช้งาน ออกแบบใหม่ และปรับปรุงช่องโหว่ได้ต่อเนื่อง ซึ่งการถูกโจมตีใน
รูปแบบใหม่ๆมักจะเกิดขึ้นอยู่เสมอและส่งผลทางกายภาพ เศรษฐกิจ และความมั่นคงของชาติ ซึ่งการพัฒนา
โปรแกรมที่ขาดความรับผิดชอบจะเป็นต้นเหตุของช่องโหว่ซึ่งนาไปสู่การโจมตีได้ในอนาคต ซึ่งเป็นเรื่องไม่ง่ายแต่
เป็นเรื่องจาเป็นสาหรับนักพัฒนาซอฟต์แวร์ที่ควรมีจรรยาบรรณในการพัฒนาซอฟต์แวร์
เปรียบเทียบเหตุการณ์แผ่นไหว2 แห่ง คือ เหตุการณ์แผ่นดินไหวที่ประเทศเฮติ ขนาด 7.0 ริกเตอร์ และ
เหตุการณ์แผ่นดินไหวที่ประเทศชิลีขนาด 8.8 ริกเตอร์ แม้เหตุการที่เฮติจะมีขนาดเล็กว่าแต่มีผู้เสียชีวิตมากกว่า
230,000 คนในขณะที่เหตุการณ์ที่ชิลีมีผู้เสียชีวิต 279 คน เนื่องจากโครงสร้างอาคารและสิ่งปลูกสร้างของประเทศ
11 IoT - อุปกรณ์ Internet of Thing

28
ชิลีมีการออกแบบมาเพื่อทนต่อแผ่นดินไหวในขณะที่ประเทศเฮติไม่ได้มีการออกแบบดังกล่าว ซึ่งการออกแบบและ
พัฒนาซอฟต์แวร์ที่คานึงถึงความปลอดภัยจะสามารถรับมือภัยที่จะเกิดขึ้นได้
วงจรการพัฒนาซอฟต์แวร์เป็นกลไกหลักเพื่อทาให้ได้ซอฟต์แวร์คุณภาพและปลอดภัย โดยมีการพัฒนา
วงจรดังกล่าวอย่างต่อเนื่องแบ่งได้เป็น 3 ตัวอย่างดังต่อไปนี้
1) วงจรการพัฒนารูปแบบเดิม(Traditional Lifecycle) ประกอบด้วยทั้งหมด 5 ขั้นตอนคือ (1)Plan
(2)Design (3)Build (4)Test (5)Deploy (6)Operate ระยะเวลาจะอยู่ระหว่าง เดือน ถึง ปี โดยสามารถสร้างและ
ปรับปรุงซอฟต์แวร์ได้ประมาณ 1-2 ครั้งต่อปี
2) วงจรการพัฒนาแบบอะไจย์ (Agile Dev) ปรับปรุงจากวงจรการพัฒนารูปแบบเดิม โดยเริ่มจากขั้นตอน
Plan โดยแยกขั้นตอน Design Build Test ออกเป็นวงจรย่อยและผ่านกระบวนการเรียนรู้ ก่อนที่จะนาไปใช้งาน
ระยะเวลาจะอยู่ระหว่าง วัน ถึง สัปดาห์โดยสามารถสร้างและปรับปรุงซอฟต์แวร์ได้ประมาณ 10-20 ครั้งต่อปี
3) วงจรการพัฒนารูปแบบใหม่(Modern Lifecycle) ปรับปรุงจากวงจรการพัฒนารูปแบบเดิม และ การ
พัฒนาแบบอะไจย์ โดยเริ่มจากขั้นตอน Plan และ แยกขั้นตอน Design Build Test Deploy และ Operate
ออกเป็นวงจรย่อยและผ่านกระบวนการเรียนรู้ ก่อนเริ่มวงจรย่อยอีกครั้ง ระยะเวลาจะอยู่ระหว่าง นาที ถึง ชั่วโมง
โดยสามารถสร้างและปรับปรุงซอฟต์แวร์ได้ประมาณ 100-200 ครั้งต่อปี
การโจมตีทางไซเบอร์ ระดับความรุนแรง และการแก้ปัญหา
การโจมตีทางไซเบอร์โดยวัตถุประสงค์ของการโจมตีของผู้มีส่วนเกี่ยวข้องเป็นเกณฑ์แบ่งออกได้เป็น 5
ระดับคือ

29
ระดับที่ 1 Lone Wolf เป็นการกระทาเพียงคนเดียว เพื่อฝึกฝน และเพื่อให้เป็นที่รู้จักของสังคม และ
จุดประสงค์หนึ่งๆ
ระดับที่ 2 Hacktivist เป็นการกระทาโดยกลุ่มบุคคล เพื่อแสดงออกเกี่ยวกับ เสรีภาพ การเมือง และเป็น
ช่องทางต่อรองกับนโยบายของฝ่ายปกครอง
ระดับที่ 3 Sub-National เป็นการกระทาโดยกลุ่มบุคคล เพื่อแสดงออกเกี่ยวกับ เสรีภาพ การเมือง และ
เป็นช่องทางต่อรองกับนโยบายของรัฐ หรือเขตการปกครอง
ระดับที่ 4 Organized Crime เป็นอาชญากรรมที่มีการดาเนินการอย่างเป็นระบบ โดยใช้กลุ่มแฮกเกอร์
โจรกรรมข้อมูล ล้วงความลับ แพร่กระจายมัลแวร์ เพื่อให้ได้เงิน สภาวะตลาด และเชื่อมโยงกับการฟอกเงิน ยาเสพ
ติด การค้าประเวณี การค้ามนุษย์ และการก่อการร้าย ซึ่งส่งผลร้ายแรงทางเศรษฐกิจในระดับชาติ
ระดับที่ 5 National State เป็นการโจรกรรมข้อมูลความลับทางราชการ และการโจมตีทางไซเบอร์ที่ส่งผล
กระทบในวงกว้างของประเทศและกลุ่มประเทศที่เป็นคู่ขัดแย้งกันในสงครามโลก และคู่ขัดแย้งทางเศรษฐกิจระดับ
ภูมิภาค ซึ่งส่งผลร้ายแรงทางความมั่นคงของประชาคมโลก และอาจนาไปสู่สงคราม
ในปัจจุบันความสามารถในการรับมือภัยคุกคามยังอยู่ในระดับต่า แต่ด้วยกิจกรรมการเสริมสร้างความรู้ การ
แลกเปลี่ยนข้อมูลข่าวสาร การจัดการภายใน และการออกกฎหมาย ระเบียบที่เกี่ยวข้อง อาจพอจะรับมือใน ระดับที่
1 ถึง ระดับที่ 3 ได้ในอนาคต ในกรณี ระดับที่ 4 และ ระดับที่ 5 จาเป็นต้องใช้ความพยายามและความร่วมมือจาก
นานาประเทศเพื่อแก้ปัญหาต่อไป
ข้อบังคับและกฎหมายความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับ ซอฟต์แวร์
การยกระดับการพัฒนาซอฟต์แวร์เพื่อให้มีความมั่นคงปลอดภัยนั้นสามารถแบ่งกลุ่มคนได้เป็น 5 ระดับคือ
ระดับ 1: Security People คือบุคคลที่มีความรู้ความเข้าใจและปฏิบัติตามระเบียบที่เกี่ยวข้องกับความ
ปลอดภัยอย่างเคร่งครัด

30
ระดับ 2: Security Interested คือบุคคลที่มีความรู้ความเข้าใจและแต่ยังไม่เข้าใจในการปฏิบัติให้เป็นไปตาม
ระเบียบที่เกี่ยวข้องกับความปลอดภัยที่เกี่ยวข้อง
ระดับ 3: Early Majority คือบุคคลที่มีความรู้ความเข้าใจเพียงบางส่วนและยังขาดความตระหนักรู้ทางด้าน
ความมั่นคงปลอดภัย แต่ยังไม่เข้าใจในการปฏิบัติให้เป็นไปตามระเบียบที่เกี่ยวข้องกับความปลอดภัยที่เกี่ยวข้อง
ระดับ 4: Force Compliance คือบุคคลขาดความตระหนักรู้ทางด้านความมั่นคงปลอดภัย จาเป็นต้องใช้
กฎหมาย กฎระเบียบที่เกี่ยวข้องเพื่อบังคับใช้
ระดับ 5: Probably never going to do it คือบุคคลที่ไม่สนใจในการปฏิบัติให้เป็นไปตามระเบียบที่เกี่ยวข้อง
กับความปลอดภัย ดังนั้นจึงจาเป็นต้องมีกฎหมาย กฎระเบียบที่เกี่ยวข้อง โดยสหรัฐอเมริกามีกฎหมายระเบียบ
แนวทางปฏิบัติที่ใช้เพื่อให้เกิดการยกระดับเรื่องความมั่นคงปลอดภัยเกี่ยวกับซอฟต์แวร์ เช่น H.R 5793 “Cyber
Supply Chain Management and Transparency Act of 2014”ที่เป็นกฎหมายที่กาหนดให้มีการระบุ
ส่วนประกอบซอฟต์แวร์ใดที่มีการซื้อขายจาเป็นต้องระบุในใบแจ้งหนี้ถึงคอมโพเนนท์ที่เป็นบุคคลภายนอกและ
Open source ที่ใช้งานในซอฟต์แวร์นั้น ๆ พร้อมระบุเวอร์ชั่นเพื่อความโปร่งใส
การลดความเสี่ยงและความปลอดภัย ซอฟต์แวร์ที่ผลิตจะไม่สามาระใช้คอมโพเนนท์ที่มีช่องโหว่ได้ เว้นแต่
ได้รับการแก้ไขช่องโหว่นั้นแล้ว
การปรับปรุงอย่างต่อเนื่อง ซอฟต์แวร์จะต้องมีการสร้างกลไกในการปรับปรุงเปลี่ยนแปลง หากพบช่องโหว่
หรือความผิดผลาดใหม่ ๆ
มุมมองอุปกรณ์ Internet of Thing : Iot ในการพัฒนาซอฟต์แวร์และภัยคุกคามทางไซเบอร์
อุปกรณ์ IoT เพิ่มจานวนและขยายตัวอย่างรวดเร็ว ภัยคุกคามทางไซเบอร์ก็จะมีความแตกต่างกันออกไป โดย
แบ่งหัวข้อการพิจารณาออกเป็น 5 ด้านดังนี้
1. ผู้ก่อการ (Adversaries) ผู้ก่อการแต่ละคนจะมีแรงบรรดาลใจและความสามารถที่แตกต่างกัน
2. ผลกระทบจากการโจมตี (Consequence of Failures) ชีวิตและทรัพย์สิน ความเสียหายเชิงกายภาพ
การตลาด ความเชื่อมั่น เสถียรภาพ และความมั่นคงแห่งชาติ
3. บริบทการจัดการ (Context & Environment) การดาเนินการจะแตกต่างกันออกไปแล้วแต่บริบทและ
สถานการณ์ การอพยพ การจากัดพื้นที่ และพื้นที่เผ้าระวังไม่อาจระบุให้ชัดเจนได้ และยากแก่กันอัพเดท
และเปลี่ยนแปลง
4. สินค้าที่หลากหลาย (Composition of Goods) มีชนิดของสินค้าที่หลากหลายและแตกต่างออกไป เช่น
ฮาร์ดแวร์ เฟิร์มแวร์ และซอฟต์แวร์ เป็นต้น
5. ขนาดทางเศรษฐกิจ (Economics) ผลกาไร ผู้ซื้อ นักลงทุนและราคาของสินค้ามีความแตกต่างกันออกไป
6. ขนาดของเวลา (Time Scales) มีความแตกต่างกันในเรื่องของ Time-to-Live (TTLs) รอบในการวิจัยและ
พัฒนา (R&D Cycle) และเวลาในการตอบสนอง
ด้วยมิติข้างต้นซึ่งเกี่ยวกับความแตกต่างของภัยคุกคามทางไซเบอร์ของอุปกรณ์ IoT จึงควรมีการดาเนินการด้าน
ความปลอดภัยที่ทาได้ในการออกแบบและพัฒนาซอฟต์แวร์ที่เกี่ยวข้องกับ IoT ทาได้โดยหลักการ 5 ข้อดังนี้
1. Safety By Design เพื่อป้องกันภัยคุกคาม
2. Third Party Collaboration เพื่อหาพันธมิตรในการจัดการภัยคุกคาม
3. Evidence Capture เพื่อสามารถเรียนรู้จากภัยคุกคาม
4. Security Updates เพื่อตอบสนองต่อภัยคุกคาม

31
5. Segmentation and Isolation เพื่อแบ่งแยก และจากัดความเสียหายที่เกิดจากภัยคุกคาม
เพิ่มประสิทธิภาพความตระหนักรู้เกี่ยวกับฟิชชิ่ง 300% ในเวลา 18 เดือน
บริษัท AECOM พบว่าภัยคุกคามส่วนใหญ่เริ่มจากฟิชชิ่ง ดังนั้นจึงมีการศึกษาโดยให้ความสาคัญกับการ
สร้างความรู้ความเข้าใจพื้นฐานเกี่ยวข้องกับฟิชชิ่ง โดยได้ทาการทดสอบหลายๆช่องทาง ซึ่งส่งผลให้มีการลดการ
click link ฟิชชิ่งได้มากกว่า 300 % ในเวลา 18 เดือน
บริษัทเริ่มต้นจากการส่งอีเมลฟิชชิ่งให้กับพนักงานผลปรากฏว่า มีการ click link มากกว่า 30 % ภายจาก
การอบรมและรณรงค์ในช่วงระยะเวลา 18 เดือนพบว่า การ click link ลดลงเหลือเพียง 6.7% โดยการรณรงค์เริ่ม
จากการประสานงานในทุกๆส่วน ไม่ว่าจะเป็น ส่วนผู้บริหาร ส่วนสื่อสารองค์กร ส่วนการตลาด ส่วนกราฟิก ส่วน
พัฒนาบุคลากร ส่วนงานไอที และอื่นๆ
การศึกษาพบว่าการรณรงค์เกี่ยวกับฟิชชิ่งได้ร่วมกับการรณรงค์ความตระหนักรู้อื่นๆได้ และไม่เพียงแต่การ
ให้ความรู้เท่านั้นควรจะมีความคาดหวังให้ผู้ใช้งานเปลี่ยนพฤติกรรมด้วย ทั้งนี้ต้องพยายามให้มีการพูดคุยในเรื่อง
ดังกล่าวอย่างเป็นประจาในหลายๆช่องทาง อีกทั้งรณรงค์ให้มีการตอบสนองเช่น การรายงานเมื่อพบอีเมลฟิชชิ่ง
เป็นต้น การดาเนินการสามารถแบ่งย่อยได้ดังนี้
การดาเนินงานรายเดือน
อีเมลฟิชชิ่งถูกส่งออกไปในบริษัทตามสาขาใน 150 ประเทศ ทั้งในภาษาอังกฤษ รัสเซีย และ ฝรั่งเศส โดย
ผ่านทางสื่อสารองค์กร ทันทีที่พนักงาน click ฟิชชิ่งเว็บไซต์ จะนาไปสู่เว็บไซต์เพื่อให้ความรู้โดยทันที ทั้งนี้จะมี
ช่องทางในการสื่อสารจาก CISO โดยทุกคนที่ click เว็บไซต์จะอยู่ในกลุ่มเมล (Email Group) โดยจะได้รับ
คาอธิบายเกี่ยวข้องกับความรู้ความเข้าใจฟิชชิ่งมีความสาคัญอย่างไร โดยให้มีการพัฒนาและอบรมของกลุ่มนี้อย่าง
ต่อเนื่อง และ BCC ถึงพนักงานโดยไม่ปรากฏชื่อ สาหรับพนักงานที่ click link ให้เข้าอบรมอย่างต่อเนื่อง โดยมีการ
สื่อสารด้วยโพสและข่าวโดย CISO และ Manager โดยให้เปลี่ยนรูปแบบใหม่ๆ เพื่อให้เกิดความน่าสนใจ ผ่านทางโช
เชียลเน็ตเวิร์คของบริษัท
การดาเนินงานรายไตรมาส
จัดทารายงานและส่งให้ผู้บริหารในแต่ละภาค โดยผู้บริหารจะได้รับการอธิบายจาก chief information
security officer หรือ CISO ก่อนได้รับรายงาน รูปแบบรายงานจะอยู่ในรูปการจัด 10 อันดับแรกของภูมิภาคที่มี
ปัญหาฟิชชิ่งมากที่สุด โดยแสดงผลของปัญหาฟิชชิ่งผ่านทางโชเชียลเน็ตเวิร์คของบริษัท ซึ่งในแต่ละส่วนภูมิภาคจะมี
การจัดให้มีโครงการ Train the trainer เพื่อเป็นกาลังเสริมให้กับพนักงาน IT ในภูมิภาคในการสร้างความตระหนัก
รู้เกี่ยวกับฟิชชิ่ง และให้มีการจัดทา Quarterly Business Review (QBR) ให้กับหัวหน้าส่วนงานไอทีเกี่ยวกับเรื่องฟิ
ชชิ่งโดยมีส่วนร่วมจากส่วนงานประเมินความเสี่ยง(Enterprise Risk Management) และส่วนงานตรวจสอบภายใน
(Internal Audit) นอกจากนี้ จัดให้มีโปรเตอร์ติดให้สานักงาน ให้พนักงานได้เข้าใจเกี่ยวกับฟิชชิ่ง
การดาเนินงานประจาปี
การจัดอบรมประจาปี โดยให้พนักงานทุกคนเข้าร่วม ซึ่งสามารถประสานกับ ส่วนงานบุคคล (HR) ให้
ช่วยเหลือในการสื่อสาร การจัดอบรมพนักงานไอทีเพื่อให้มีความรู้ความเข้าใจในการรับมือเมื่อเกิดเหตุการณ์ต่างๆ
ขึ้น และนาเสนอผลการดาเนินการในปีที่ผ่านมา เพื่อแสดงให้เห็นถึงผลการยกระดับความรู้ความเข้าใจในองค์กร
นอกจากนี้ CISO ควรมีบทบาทสาคัญในการให้ความรู้กับพนักงาน อีกทั้งจาเป็นต้องมีการอธิบายให้
ผู้บริหารให้เข้าใจถึงความสาคัญ การปรับหลักสูตรให้เหมาะสมกับกลุ่มเป้าหมายก็เป็นส่วนสาคัญที่ทาให้การอบรม

32
ประสบความสาเร็จ ข้อมูลที่ได้จากภูมิภาคและเป็นส่วนสาคัญในการแลกเปลี่ยนผลลัพธ์ และตัวอย่างให้กับภูมิภาค
อื่นๆ เพื่อให้เกิดการกระตุ้น ทั้งนี้ควรคานึงถึงความแตกต่างทางวัฒนธรรมองค์กรของแต่ละส่วนด้วย
แผนยุทธศาสตร์สาหรับการฝึกอบรมความตระหนักรู้ความมั่นคงปลอดภัยไซเบอร์
ในช่วงเวลาที่ผ่านมาเราให้ความสาคัญในการเพิ่มมาตรการต่างๆ ในซอฟต์แวร์ และระบบปฏิบัติการแต่
ส่วนสาคัญอีกส่วนหนึ่งในการรักษาความปลอดภัยก็คือความตระหนักรู้ทางความมั่นคงปลอดภัยของผู้ใช้งาน การ
จัดทาแผนยุทธศาสตร์จึงควรคานึงถึงกลุ่มเป้าหมายเป็นหลักซึ่งประกอบด้วย พนักงาน คู่สัญญา ฝ่ายไอที ผู้พัฒนา
ผู้จัดการ ฝ่ายบัญชี ฝ่ายบุคคล ซึ่งถือเป็นส่วนนึงของการยกระดับองค์ความรู้
แผนยุทธ์ศาสตร์ควรคานึงถึง องค์ความรู้ที่จะถ่ายทอดให้แต่ละกลุ่ม โดยไม่จาเป็นต้องมีเนื้อหามากเนื่อง
ด้วยข้อกาจัดทางเวลาและทรัพยากร เนื้อหาที่ไม่ยากจนเกินไปจะทาให้มีผู้สนใจเข้าร่วมได้มากกว่า ทั้งนี้ควร
จัดลาดับความสาคัญ ว่าเนื้อหาใดที่มีความเสี่ยงของแต่ละกลุ่ม และจัดให้มีการอบรมในหัวข้อนั้นๆก่อน ตัวอย่าง
เช่น การอบรมเรื่อง Phishing ควรให้ความสาคัญมากกว่า Tracking Cookies 12เป็นต้น
รูปแบบการนาเสนอควรทาเป็นภาพที่เข้าใจได้ง่าย และเห็นว่าแต่ละคนมีส่วนเกี่ยวข้องกับความปลอดภัยใน
องค์กรอย่างไร โดยสร้างการมีส่วนร่วม เช่น วันที่ 16 พฤษภาคม 2011 ศูนย์ควบคุมโรค (CDC) ได้ประกาศแผน
เตรียมการในเหตุการณ์ Zombie Apocalypse สร้างความสนใจและเพิ่มความตระหนักรู้เกี่ยวกับการควบคุม
โรคติดต่อได้อย่างรวดเร็ว เป็นต้น
รูปแบบการสื่อสารในการอบรมอาจเป็นทั้ง 2 รูปแบบ คือ แบบ Push และ แบบ Pull โดยจากการศึกษา
พบว่า แบบ Pull จะมีผลต่อการเพิ่มความตระหนักรู้มากกว่า เช่น การจัดฝึกอบรม บล็อกออนไลน์ (blog online)
การจัดบูธ เป็นต้น ทั้งที่การเข้าร่วมกิจกรรมอาจอยู่ได้ 2 รูปแบบ เช่นกันคือ จาเป็นต้องเข้าร่วมตามนโยบายเพื่อเป็น
การปรับพื้นฐาน และตามความสมัครใจกรณีคนที่สนใจในเนื้อหาเฉพาะ
การประเมินผลจาการฝึกอบรมควรวัดใน 2 มิติคือ การเป็นไปตามระเบียบ (Compliance) และ ผลกระทบ
(Impact) ในการวัดการยกระดับความรู้โดยอาจวัดในเรื่องที่มีความเสี่ยงสูง และการปฏิบัติ เช่น Phishing Website
การติดบัตร การใช้ Screen Lock เป็นต้น โดยประการให้พนักงานทราบล่วงหน้าเพื่อให้สามารถเข้าร่วมโปรแกรม
ได้ และไม่รู้สึกเหมือนถูกจับผิดหรือถูกประเมิน
12 Cookies – ข้อมูลในส่วนของผู้ใช้งานที่ถูกเก็บไว้ในเครื่องคอมพิวเตอร์ และเว็บบราวเซอร์

33
การเปลี่ยนนักพัฒนาซอฟต์แวร์ให้มีความเข้าใจในเรื่องความมั่นคงปลอดภัย
ซอฟต์แวร์กาลังเปลี่ยนแปลงโลกของเรา ในทุกๆที่ ซอฟต์แวร์ถูกใช้เป็นส่วนนึงของการทางาน ซึ่งถือเป็น
ความรับผิดชอบของนักพัฒนาซอฟต์แวร์ที่จะเขียนโค้ดที่มีคุณภาพ บารุงรักษา และทาความเข้าใจได้ วัตถุประสงค์
ของการเขียนซอฟต์แวร์ที่มีความปลอดภัยคือ มีความเร็ว ผลลัพธ์ที่ถูกต้อง และไม่หยุดการทางานของแอปพลิเคชัน
อย่างไรก็ตามจานวนพนักงานสายพัฒนาซอฟต์แวร์ 100 คน จะมีพนักงานสายอาชีพความปลอดภัยเฉลี่ยเพียง 1.61
คนเท่านั้น
การพัฒนาซอฟต์แวร์ที่มีความปลอดภัยมีความสาคัญมากเนื่องจากเพราะเปรียบเกราะป้องกันชั้นแรก
ดังนั้น วิธีการที่เหมาะสมคือควรทาให้นักพัฒนาซอฟต์แวร์มีแนวคิดเชิงความมั่นคงปลอดภัย แอปพลิเคชันที่มีความ
ปลอดภัยเป็นเรื่องของคนทุกคน โดยมีนักพัฒนาซอฟต์แวร์เป็นแกนสาคัญ โดยสามารถเพิ่มความเข้าใจให้กับ
นักพัฒนาโดยแบ่งเป็น 4 กลุ่มดังนี้
1) กลุ่มขาดความรู้พื้นฐาน
ลักษณะ กลุ่มนี้มีลักษณะปฏิเสธเนื่องจากไม่คุ้นเคยกับงานด้านความมั่นคง ไม่เข้าใจ และไม่ทราบ ไม่ตระหนัก
ถึงความสาคัญ
วิธีการพัฒนา ควรพัฒนาโดยการให้ความรู้ขั้นพื้นฐาน เกี่ยวกับการโจมตี กระบวนการทางความมั่นคงปลอดภัย
อย่างง่าย เรื่องเล่าที่เกี่ยวกับเรื่องความปลอดภัย เรื่องความเป็นส่วนตัว และนโยบายการรักษาความลับ พร้อมด้วย
ยกตัวอย่างเกี่ยวกับ กระบวนการทางธุรกิจที่มีความปลอดภัย โดยทุกๆคนเป็นส่วนนึงในเรื่องของความปลอดภัย
ทั้งสิ้น
2) กลุ่มปฏิเสธงานจากภาระงาน

34
ลักษณะ กลุ่มนี้มีลักษณะปฏิเสธเนื่องจากกลุ่มนี้มีลักษณะมีภาระงานมาก ฝ่ายบริหารไม่ได้จัดสรรเวลาสาหรับ
เรื่องความปลอดภัย ไม่มีงบประมาณเพียงพอสาหรับความปลอดภัย ไม่มีเวลาเพียงพอในการสร้างซอฟต์แวร์ที่มี
ความปลอดภัย
วิธีการพัฒนา ควรส่งเสริมให้มีการใช้ระบบที่เป็นอัตโนมัติ เช่น Plug-in ของ IDE ซึ่งสามารถตรวจสอบโค้ดได้
ในระหว่างการเขียนโปรแกรม เป็นต้น เพื่อทาให้นักพัฒนาเขียนโปรแกรมที่มีความปลอดภัยได้ง่ายขึ้น สาหรับฝ่าย
บริหารควรมีการให้ความรู้เกี่ยวกับความสาคัญทางด้านความมั่นคงปลอดภัย ซึ่งจะนาไปสู่การจัดสรรบุคลากร และ
งบประมาณ
3) กลุ่มไม่สนใจ
ลักษณะ กลุ่มนี้มีลักษณะปฏิเสธเนื่องจากความมั่นคงปลอดภัยเป็นเรื่องยากและสลับซับซ้อน เป็นความ
รับผิดชอบของส่วนอื่นไม่ใช้ของนักพัฒนา องค์กรไม่มีข้อมูลต้องการการรักษาความปลอดภัย หรือเป็นสิ่งที่ทากัน
มาเป็นประจาอย่างนี้ไม่ได้มีปัญหาอะไร
วิธีการพัฒนา ควรแสดงให้เห็นถึงความสาคัญโดยการบอกตัวเลขต่างๆ ในองค์กร ข้อมูลที่มีการโจรกรรมกัน
ในปัจจุบัน ข่าวสารทางด้านความมั่นคงปลอดภัยไซเบอร์ หรือการออกข้อบังคับเพื่อให้จาเป็นต้องปฏิบัติตาม
4) กลุ่มกระตือรือร้น
ลักษณะ กลุ่มนี้มีลักษณะพร้อมเรียนรู้ ต้องการศึกษาหาความรู้เพิ่มเติมเพื่อที่จะเป็นบุคลากรทางด้านความ
มั่นคงปลอดภัยเพื่อเป็นพนักงานประจาในอนาคต
วิธีการพัฒนา การพัฒนาทาได้โดยการจัดอบรม และกิจกรรมต่างๆ โดยเชิญผู้มีความรู้มาเป็นวิทยากร เพื่อ
ยกระดับความรู้ในหัวข้อต่างๆ ที่น่าสนใจ
พฤติกรรมด้านความมั่นคงปลอดภัยที่ควรไม่ซับซ้อน รู้จุดเริ่มต้นและสิ้นสุด และง่ายในการปฏิบัติตาม โดย
ไม่เพิ่มขั้นตอนในการทางาน โดยมีกระบวนการเรียนรู้อย่างต่อเนื่อง สาหรับนักพัฒนาจะเรียนรู้ด้วยการลงมือปฏิบัติ
ซึ่งในเรื่องของการเขียนโค้ดอย่างปลอดภัยก็มีเว็บไซต์ที่เข้าถึงได้เช่น “codebashing” “secure code warrior”
เป็นต้น ในสาคัญที่ขาดไม่ได้อีกสิ่งนึงก็คือสังคมที่แลกเปลี่ยนข้อมูลกันเพื่อทาให้เกิดการเรียนรู้
นึงถึงความมั่นคงปลอดภัยในการพัฒนาบริหารจะสามารถบริหารจัดการทรัพยากรได้ง่ายขึ้น โดยคาฝ่าย
ยควรมีการคานึงถึง โมเดลภัยคุกคซอฟต์แวร์ โด าม (Threat Modeling) เพื่อจาลองสถานะการณ์การเจาะระบบ
สาหรับซอฟต์แวร์ที่พัฒนาอยู่ อีกทั้งควรมีการทาโค้ดรีวิว (Code Review) เพื่อลดความผิดพลาดและเพิ่มความ
ปลอดภัยให้กับซอฟต์แวร์
การเปลี่ยนพฤติกรรมเกี่ยวกับความมั่นปลอดภัยไซเบอร์ในองค์กร
พฤติกรรมที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องสาคัญ ผู้ใช้งานถือเป็นหน้าด้านแรกที่จะพบ
กับภัยคุกคามทางไซเบอร์ ผู้ใช้งานสามารถติดไวรัสจากการใช้งานที่บ้านได้เช่นเดียวกับที่ทางาน พฤติกรรมที่เสี่ยงลง
ผลให้เกิดความเสียหายได้ทันที ซึ่งพฤติกรรมดังกล่าวไม่อาจแก้ไขได้โดยงานเหมือนการอัพเดทโปรแกรม
ข้อกาจัดในการมีพฤติกรรมที่ดีต่อด้านความมั่นคงปลอดภัยไซเบอร์นั้นมาจาก ผู้ใช้งานไม่มีความรู้ความ
เข้าใจเรื่องภัยคุกคาม ไม่ใช้เวลาเพื่อทาความเข้าใจนโยบายความปลอดภัย ไม่ทราบถึงมูลค่าของข้อมูล และไม่รู้ว่า
พฤติกรรมที่ดีนั้นควรจะต้องทาอย่างไรบ้าง

35
โดยการขับเคลื่อนพฤติกรรมองค์กรณ์นั้นทาได้โดยมีวิธการง่ายๆ เช่น จัดประเภทของข้อมูลที่ต้องการให้มี
ความปลอดภัย จัดโต๊ะและจอคอมพิวเตอร์ให้สะอาด ระมัดระวังเมื่อใช่งานสาธารณะและออนไลน์ เก็บรักษา
รหัสผ่าน ถ้ามีเหตุสงสัย รีบแจ้งผู้ดูแลระบบ คิดก่อนคลิ๊ก เป็นต้น
นอกจากนี้จะต้องทาความเข้าใจให้ผู้ใช้งาน และพนักงานรับรู้ด้วย การเอาใจใส่ การมีส่วนร่วม และทาให้
ง่าย โดยมีกลไกวัดและประเมินผลและมีแผนปฏิบัติที่ชัดเจน ภายในอาทิตย์หน้าจะมีการตรวจความพร้อมทางด้าน
ความตระหนักรู้ทางไซเบอน์ ภายในไตรมาสหน้าจะต้องมีความก้าวหน้าในการเปลี่ยนแปลงพฤติกรรม ภายในครึ่งปี
จะต้องมีกิจกรรมต่อเนื่องพร้อมการวัดผลและประเมินกิจกรรมที่จัดทาขึ้นเพื่อใช้ในการปรับปรุง

36
พื้นที่ส่วนการจัดงานแสดง (Expo)
พื้นที่ส่วนจัดแสดงงาน Expo เป็นส่วนที่บริษัทผู้นาด้านความปลอดภัยต่างๆ ได้นาเอา Solution และ technology
ด้านการรักษาความปลอดภัยล่าสุด เพื่อแสดงถึงศักยภาพว่า software หรือ Tools ของพวกเขาสามารถดูแล
องค์กร หรือข้อมูลสาคัญของคุณได้อย่างไร โดยพื้นที่จะแบ่งออกเป็นสองส่วนคือ North & South Expo
แผนผังโถงการจัดแสดงงาน Expo
พื้นที่ส่วนแสดงงานด้านอาคารทิศเหนือ North Expo Floorplan พื้นที่ส่วนแสดงงานด้านอาคารทิศใต้
South Expo Floorplan พื้นที่ส่วนจัดแสดงงานส่วน North จะเป็นโถงหลักของงาน Expo โดย Brand ใหญ่ๆจะ
จัดแสดงอยู่ที่นี่โดยส่วนใหญ่ โดย พื้นที่ส่วนจัดแสดงงานส่วน South จะเป็นโถงรองของงาน Expo แต่มีพื้นที่การ
แสดงที่ใหญ่กว่าโถง North และมีจานวนของ Exhibitor มากกว่าโถงในส่วนทิศเหนือ ถึงแม้ว่าพื้นที่ส่วนจัดแสดง
ด้าน South Expo จะไม่ได้มี Exhibitor Brand ที่มีชื่อเสียงมากเท่ากับโถงทางทิศเหนือ แต่มีหลายๆ brand ที่จัด
แสดงผลงานได้น่าสนใจอยู่มากมายหลาย brand

37
พื้นที่จัดแสดงส่วน North Expo
พื้นที่จัดแสดงส่วน South Expo

38
Exhibitor Name: Force Point
Highlight: Booth ของ Force Point ให้ Corporate Identity ที่ชัดเจนสื่อถึงความเป็นเทคโนโลยีที่นาสมัย และ
มีความเป็นตัวตนเองสูง รวมถึงการนาเอาเทคนิคทางด้าน Lighting มาใช้ทาให้พื้นที่จัดแสดงผลงานน่าสนใจ และดู
Life น่าสนใจ

39
Exhibitor Name: Kaspersky
Highlight: Booth ของ Kaspersky นาสายตาคนเข้า Booth ด้วยการจัดวาง Landmark ของ Cockpit รถแข่ง
F1 เพื่อสื่อให้ถึงความเป็นที่หนึ่งซึ่ง reflection กับ Brand ของตัวเอง โดยเปิดให้ผู้เข้าชมได้เข้ามาทดลองเล่นเกมส์
ในรูปแบบของ Virtual และนาเสนอ Product ของตัวเองด้วยไปในตัว ซึ่งเรียกคนเข้าชมได้เป็นอย่างดี

40
Exhibitor Name: Cisco
Highlight: Booth ของ Cisco ใช้รูปแบบ Booth ที่เรียบง่าย ดูโปร่ง โดยเน้นการนาเสนอที่ดู Corporate look
ซึ่งให้ความรู้สึกที่ Firm ของ Brand ที่แสดงความเป็นตัวตนที่ชัดเจน พร้อมข้อมูลสนับสนุนที่ทาให้ผู้เข้าชมรู้สึกได้ถึง
ความเชื่อมั่นของ brand ได้เป็นอย่างดี

41
Exhibitor Name: Crowdstrike Falcon
Highlight : Booth ของ Crowd strike ใช้โครงสร้างที่ไม่ซับซ้อน แต่มีสีสันที่ชัดเจน บ่งบอกถึง brand และความ
เป็นตัวตนเองได้อย่างชัดเจน จุดเด่นของ brand คือความชานาญทางด้าน UI ที่นามาประยุกต์ใช้กับ Software
monitoring โดยกาหนด Characters เฉพาะให้กับตัวละคร malware โดยผู้เข้าเยี่ยมชมสามารถ walkthrough
ได้จาก Demo area ที่แสดงผลงานได้อย่างน่าสนใจ โดยอีกพื้นที่ที่น่าสนใจสาหรับสินค้าที่แจกสาหรับผู้เข้าชมคือ
เสื้อยืดที่ customize มาจาก Characters ของตัว software โดยให้ผู้เข้าชมได้มีส่วนในการเลือกจาก interactive
screen

42
Exhibitor Name: Carbon Black
Highlight: Booth ของ Carbon Black เน้นพื้นที่กิจกรรมด้วย Interactive screen ขนาดใหญ่ที่นาเสนอโดยมี
กิจกรรมให้ผู้เล่นได้มีส่วนร่วมในการเล่ม Interactive Catching malware ได้โดยใช้อาวุธ Space Gunner เพื่อ
สะสมแต้มและแลกของรางวัลจากการเข้าเยี่ยมชม ซึ่งทาให้ผู้เข้าชม Booth เข้ามาเยี่ยมชมอยู่ตลอดเวลา

43
Exhibitor Name: Ping Identity
Highlight: Booth ของ Ping Identity ใช้รปุแบบที่เรียบง่าย โดยให้ Gimmick ของพื้นที่แสดงเปิดโล่งรอบ
ทิศทาง โดยใช้ รถ Van ซึ่งเป็นเสมือน Control Panel Area ในการนาเสนอและ storage ไปในตัว ซึ่งทาให้เกิด
จุดต่างที่โดดเด่น มองเห็นได้อย่างสะดุดตาเมื่อเทียบกับพื้นที่จัดแสดงโดยรอบ

44
ภาคผนวก
Microsoft
คณะ ETDA เข้าเยี่ยมชมบริษัท ไมโครซอฟต์ (Microsoft) ณ เมืองซีแอตเทิล รัฐวอชิงตัน สหรัฐอเมริกาเมื่อวันที่ 10
กุมภาพันธ์ 2560 ในการนี้ Mrs.Jennifer Byrne Chief Technology Officer (CTO) พร้อมด้วยเจ้าหน้าที่
Microsoft ได้กล่าวต้อนรับคณะ ETDA และอธิบายเบื้องต้นเกี่ยวกับประวัติภารกิจและอุดมการณ์ของ Microsoft
Cybercrime legislation @ Microsoft
Mr.Gene Burrus, Assistant General Counsel, Trustworthy Computing บรรยายถึงวิวัฒนาการของ
การเกิด Cybercrime และการกาหนดกรอบกฎหมาย (Legal Framework) โดยคานึงถึงปัจจัยที่เกี่ยวด้วย

45
Cybersecurity Baseline @Microsoft
Aaron Kleiner, Principal Security Strategist
Mr.Aaron Kleiner, Principal Security Strategist Cybersecurity Baseline ได้อธิบายถึงแนวทางการ
จัดการความเสี่ยงจากภัยคุกคามไซเบอร์ ขององค์กรและระหว่างองค์กรให้เป็นไปอย่างมีประสิทธิภาพตาม 5
ขั้นตอนหลักคือ Identify, Protect, Detect, Response และ Recover
Digital Crime / Digital Crime Center Tour at DCU @ Microsoft
Niall O'Sullivan SR Business Analytics SPEC Digital Crimes Unit
ศูนย์ Microsoft Digital Crimes Unit (DCU) เป็นศูนย์ติดต่อประสานงานกระบวนการทางกฎหมายทั้งใน
ประเทศและต่างประเทศ รวมถึงเป็นศูนย์รวบรวมผู้เชี่ยวชาญทางด้านไซเบอร์ซิเคียวริตี้ และอื่น ๆ ที่เกี่ยวข้องเพื่อ
ช่วยยับยั้งภัยคุกคามทางไซเบอร์

46
Cloud for Global Good
Leonardo Oritiz Villacorta (Director, field Empowerment, Philanthropies) กล่าวถึงโครงการ
บริษัทที่ได้มีส่วนร่วมและเข้าไปทาประโยชน์ให้สังคม อาทิ ไม่ว่าจะเป็นการให้อาสาสมัครกว่า 1000 คน จากทั่วโลก
การลงทุนนานวัตกรรมทางเทคโนโลยีมาใช้ให้เกิดประโยชน์ในสังคมในประเทศไทย พร้อมกับหารือความร่วมมือ
ระหว่างETDA ของ School camp ต่อไป
Cyber Defense Operation Centre Tour
เยี่ยมชมศูนย์ Microsoft Cyber Defense Operations Centre หรือ CDOC ซึ่งเป็นศูนย์ประสานงาน
เพื่อรับมือภัยคุกคาม และจัดการปัญหาต่างๆที่เกิดขึ้นกับการใช้งานผลิตภัณฑ์ของบริษัทไมโครซอฟต์ทั้งที่อยู่ใน
ระบบคลาวด์ และที่เป็นซอฟต์แวร์สาเร็จรูป โดย ศูนย์ CDOC ได้ดาเนินการจัดการปัญหาทางด้านความมั่นคง
ปลอดภัย ระบุและแก้ปัญหาทางความมั่นคงปลอดภัยไซเบอร์ จัดทารายงานเกี่ยวกับภัยคุกคามและข้อเสนอแนะ
ให้กับส่วนงานและภาคธุรกิจที่เกี่ยวข้อง

47
Visiting Cisco
พบผู้บริหารและผู้เชี่ยวชาญของ Cisco ซึ่งแชร์เรื่องการพัฒนา NIST Security Framework ร่วมกับ
รัฐบาลสหรัฐฯ อันจะเป็นประโยชน์ต่อการพัฒนานโยบายด้าน Cybersecurity ของประเทศไทย กับแนวคิดให้
ภาคเอกชน/ภาคธุรกิจเข้ามามีส่วนร่วม และยังเตรียมขยายความร่วมมือของเครือข่าย ThaiCERT กับ Cisco CSIRT
ครอบคลุมการรับมือและจัดการภัยคุกคาม การแลกเปลี่ยนข้อมูลภัยคุกคาม และการพัฒนาทักษะของบุคลากรของ
ThaiCERT ในการวิเคราะห์ภัยคุกคาม
RSA Conference
เวที RSA Conference 2017 เน้นด้าน Business Driven Security และ Keynote Speaker หลาย
คน ใช้คาว่า “Ripple Effect” ซึ่งหมายถึง การกระทาของทุกคนล้วนก่อให้เกิดผลและร่องรอยตามมา นั่นคือ
“คลื่น” ที่ส่งผลกระทบต่อบุคคลอื่นด้วย เช่นเดียวกับทีม ETDA ที่เข้าร่วมงานในครั้งนี้ ซึ่งตระหนักว่า เมื่อกลับไป
ทางาน หวังที่จะสร้างการเปลี่ยนแปลงแก่สังคมและประเทศไทยจากความรู้ที่ได้รับในงานครั้งนี้เช่นกัน

48
Microsoft Delegates
Jennifer Byrne, Chief Technology Officer
Gene Burrus, Assistant General Counsel,
Paul Nicholas, Senior Director, Trustworthy Computing
Aaron Kleiner, Principal Security Strategist
Niall O'Sullivan SR Business Analytics SPEC
Digital Crimes Unit
Leonardo Ortiz Villacorta, Director, Field
Empowerment, Philanthropies
Kellie Ann Chainier, GSP Principal Program
Manager

49
ETDA Delegates

50
หมายเหตุ เอกสารรายงานนี้ เป็นการจัดทาโดยการเก็บรวบรวมข้อมูลจากการประชุมสัมมนาและเยี่ยมชมสถานที่
หากท่านประสงค์จะนาไปใช้งานต่อ ขอให้โปรดพิจารณาความเหมาะสม และคานึงถึงหลักการใช้อย่างเป็นธรรม
(Fair use) ด้วย จะขอบคุณยิ่ง

51

Report rsa-conference 2017

More Related Content

What's hot (15)

Similar to Report rsa-conference 2017 (20)

Report rsa-conference 2017