อาการเจ็บป่วยทางร่างกายเมื่อป่วยก็ต้องรักษา แล้วสุขภาพ IT อย่างระบบคอมพิวเตอร์ที่ดูไม่มีชีวิตล่ะ จะเช็คได้อย่างไร หมอประเภทใดจึงจะรักษาได้ วันนี้เรามีมาบอกกันครับ
สุขภาพไอที คือ สภาวะของระบบคอมพิวเตอร์และระบบเครือข่าย โดยถ้าสุขภาพดีก็จะสามารถประมวลผล ปฏิบัติงานได้ตามปกติ ไม่มีความเสี่ยงที่จะโดนภัยคุกคาม แต่ถ้าสุขภาพไม่ดีก็จะมีช่องโหว่โจมตีจุดอ่อนของระบบสารสนเทศและระบบเครือข่ายได้ ดังนั้นหากไม่มีการตรวจประเมินสุขภาพ IT อย่างต่อเนื่องก็อาจจะเกิดเหตุการณ์ที่ไม่คาดคิด เช่น ผู้ไม่ประสงค์ดีเจาะช่องโหว่จนทำให้ระบบคอมพิวเตอร์หรือระบบเครือข่ายทำงานผิดพลาด หยุดการทำงาน แก้ไขเปลี่ยนแปลงข้อมูล หรือขโมยข้อมูลที่สำคัญออกไปได้ ส่งผลให้ธุรกิจเสียหายทั้งการเงินหรือชื่อเสียงได้
สำหรับการตรวจสุขภาพ IT ก็คือการประเมินความเสี่ยงระบบ IT (IT Risk assessment) ที่ควรทำทุกปี เพื่อให้รู้ว่าตอนนี้มีอาการอะไรที่สุ่มเสี่ยงหรือไม่ แบ่งเป็น 2 ลักษณะ คือ
การค้นหาช่องโหว่ หรือ VA (Vulnerability Assessment) คือ การตรวจระบบปฏิบัติการ (OS) ซอฟต์แวร์ หรืออุปกรณ์ Network/Security ว่ามีช่องโหว่ใดบ้างและมีระดับความรุนแรงเท่าใด เพื่อให้ผู้ดูแลระบบประเมินความเสี่ยงว่ามีโอกาสถูกเจาะระบบจากผู้ไม่ประสงค์ดีมากน้อยเพียงใด และทำการแก้ไขเพื่อปิดช่องโหว่นั้น
การเจาะช่องโหว่ หรือ Pen-Test (Penetration Testing) คือ การทดสอบเจาะระบบ เหมือนกับการดำเนินการโดย Hacker เพื่อประเมินความปลอดภัย ความยากง่ายของการเจาะ ระยะเวลา และผลกระทบจากการโดนโจมตี
เริ่มตรวจอย่างไรดี
หลายคนคงอยากรู้ว่าแล้วเราควรตรวจอะไรบ้าง ถึงจะเรียกว่าปลอดภัย ดังนั้น ควรเริ่มจากระบบที่สำคัญมากที่สุดต่อธุรกิจก่อน หรือระบบที่สามารถเข้าถึงได้ง่ายจาก Internet เพราะถือเป็นความเสี่ยงที่น่าจะโดน Hacker ทั่วโลกสแกนจากภายนอกได้ง่ายหรือมีแรงจูงใจหวังผลทางธุรกิจมากที่สุด ซึ่งควรประเมินความเสี่ยงอย่างน้อยทุกปี แต่หากทำทุกเดือนก็จะยิ่งเป็นการตรวจพบช่องโหว่ได้เร็วขึ้น เนื่องจากปัจจุบันนี้มีช่องโหว่ออกมามากมาย เช่น ช่องโหว่ของ Microsoft ที่มีการประกาศทุกเดือน หรือช่องโหว่ของซอฟต์แวร์ที่ใช้กันบ่อยอย่าง Java, Adobe Flash ที่ใช้ในการรันคำสั่งหรือการดูวิดีโอบนเว็บไซต์ ที่มีการประกาศช่องโหว่แล้วแจ้งให้ผู้ดูแลระบบปิดช่องโหว่หรือ Patch กันแทบทุกวัน
ใครบ้างที่ควรตรวจ
- สถาบันการเงิน จะมีธนาคารแห่งประเทศไทย (ธปท.) หรือ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ที่จะมีข้อกำหนดให้ปฏิบัติตามในการทำ VA หรือ Pentest อย่างน้อยปีละ 1 ครั้งกับระบบที่สำคัญ
- หน่วยงานภาครัฐ จะมีข้อกำหนดจากพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์
- หน่วยงานอื่นๆ ทั้งภาครัฐหรือเอกชน ที่กำลังขอใบรับรองด้านความมั่นคงปลอดภัยระบบสารสนเทศของ ISO27001:ISMS ก็จะมีข้อกำหนดให้ต้องทำอย่างน้อยปีละ 1 ครั้ง
ทำได้ด้วยตนเองหรือจ้างดีกว่ากัน
การตัดสินใจทำเองหรือจ้างนั้นคงต้องขึ้นอยู่กับความพร้อมของทีมงานและงบประมาณรวมถึงระยะเวลา ซึ่งหากบริษัทไม่มีทีมงานผู้เชี่ยวชาญหรือซอฟต์แวร์ในการค้นหาหรือเจาะช่องโหว่ซึ่งมีราคาสูง การเลือกจ้างบริษัทภายนอกที่มีความพร้อมในการทำ VA และ Pentest จะดีกว่า
สุขภาพของ IT เป็นเรื่องที่สำคัญต่อการดำเนินธุรกิจอย่างต่อเนื่องให้มีความปลอดภัย ดังนั้น วันนี้ควรตรวจสุขภาพ IT ของคุณแล้วแก้ไขปิดจุดเสี่ยงก่อนจะสายแล้วรึยัง?