Negative Attitude ถือเป็นเรื่องที่ใครๆ ก็ไม่ควรมี และนี่คือ 7 ทัศนคติเชิงลบ ที่เดี๋ยวนี้เราไม่ควรมีกับเรื่อง ความปลอดภัยไซเบอร์
เข้าใจได้ว่าผู้บริหารที่ดูแลเรื่องความปลอดภัยไซเบอร์ อาจมองลบบ้างในบางครั้ง นั่นเป็นเรื่องที่ว่ากันไปตามเนื้องาน แต่มุมมองเชิงลบเหล่านี้ ถ้าแก้ไขได้ ก็จะทำให้เกิดผลลัพธ์เชิงบวกมากขึ้น
งานรักษาความปลอดภัยไซเบอร์ เป็นงานที่ทำให้คนที่ดูแลหมดไฟกันได้ง่ายๆ เหมือนกัน เพราะเป็นงานที่มีความกดดันสูง และความต้องการผู้เชี่ยวชาญด้านความปลอดภัยก็สูงขึ้นเรื่อยๆ ด้วยเหตุผลต่างๆ นาๆ แต่สิ่งสำคัญคือเราเปลี่ยนมุมมองวิธีคิดเกี่ยวกับการรักษาความปลอดภัยได้ และเมื่อเปลี่ยนแล้ว ก็จะนำไปสู่ความสำเร็จสำหรับทุกคนได้เช่นกัน
ทำไมมุมมองถึงเป็นเรื่องสำคัญ
จริงอยู่ว่าความปลอดภัยไซเบอร์ เป็นเรื่องทางเทคนิคและเป็นเรื่องวิทยาศาสตร์หนักๆ แต่ในอีกมุม ก็เป็นเรื่องของการต่อสู้ระหว่างมนุษย์ด้วยกันเองโดยอาศัยจิตวิทยาและศีลธรรมเป็นตัวขับเคลื่อน สิ่งสำคัญสำหรับมืออาชีพด้านการรักษาความปลอดภัยจึงอยู่ที่สภาพความพร้อมของจิตใจ ในการรับผลกระทบทั้งในแง่การตั้งสมมุติฐานในเรื่องความปลอดภัยและบทบาททางธุรกิจที่อุตสาหกรรมส่วนใหญ่ยึดถือและคาดหวัง
ฉะนั้น การเปลี่ยนมุมมองทัศนคติในการรักษาความปลอดภัยไซเบอร์ จึงเป็นสิ่งจำเป็น ช่วยให้มีแรงกายแรงใจเพื่อไปต่อ บวกกับการสร้างความเชื่อที่สนับสนุนให้เกิดสภาพแวดล้อมความปลอดภัยที่แข็งแกร่งขึ้น เรามาดูมุมมอง 7 ประการที่ควรเปลี่ยนกัน
Negative Attitude แรกอย่าไปคิดว่าทำเสร็จแล้วคือ จุดหมายปลายทาง
บางทีความเชื่อผิดๆ ที่แฝงมากับการรักษาความปลอดภัยไซเบอร์ คือการที่เราคิดว่าเราสามารถรักษาความปลอดภัยได้สำเร็จและเป็นงานที่ทำให้จบได้ นั่นคือการคิดแบบไม่คิดอะไรมาก แต่ถ้าคิดให้ดีๆ จะเห็นว่าการทำให้ธุรกิจบนดิจิทัลปลอดภัยนั้น เป็นเรื่องที่ต้องทำต่อเนื่อง แต่คนทำงานมักแอบคิดเข้าข้างตัวเองว่า พอทำงานเสร็จส่วนหนึ่งแล้ว น่าจะผ่อนคลายได้สักช่วงแหละ
หากเผลอไปยึดเอาความคิดที่ว่า ความพยายามในการรักษาความปลอดภัยมีจุดสิ้นสุด กลับจะกลายเป็นการสร้างความเครียดโดยไม่จำเป็น เพราะเมื่อเราคิดว่ามันควรมีจุดสิ้นสุด แต่กลายเป็นว่ายังมีเรื่องอื่นๆ ให้ทำต่ออีกมากมาย มันก็จะทำให้เรารู้สึกท้อใจและผิดหวัง เมื่อคิดว่างานไม่เคยเสร็จสิ้นซะที ซึ่งเรื่องจริงก็คือ มันเป็นธรรมชาติของการรักษาความปลอดภัย ตราบใดที่ความก้าวหน้ายังคงพัฒนาต่อไป แฮกเกอร์ ก็จะพัฒนาขึ้นไปเรื่อยๆ ภัยคุกคามจึงไม่มีวันจบสิ้น
การยอมรับว่าการรักษาความปลอดภัยคือการเดินทาง เป็นงานที่ต้องทำต่อเนื่องไปเรื่อยๆ จะช่วยให้เราปรับตัวปรับใจรับความจริงได้ และทำให้ไม่เครียดมากนัก เมื่อคิดว่านี่คือธรรมชาติของงานที่หยุดพักไม่ได้แม้เราจะคิดว่าทำงานเสร็จแล้วก็ตาม เมื่อเข้าใจธรรมชาติ ความกดดันและสิ้นหวังก็จะลดลง ในทางกลับกัน เราต้องเรียกพลังและแรงใจกลับมา ด้วยการมองว่ามันคือการผจญภัยที่ต้องมีการขึ้นเขาลงห้วยบ้าง บางครั้งยาก บางคราวง่าย แต่ก็ยังพอมีเวลาให้ได้นั่งพักระหว่างเดินทางบ้าง เพื่อให้มีแรงก้าวต่อไป
เรื่องติดลบที่สอง นี่ไม่ใช่เฉพาะเรื่องของมืออาชีพ
เรามักจะคิดว่า มืออาชีพด้านความปลอดภัยคือผู้ที่ต้องรับผิดชอบเรื่องการรักษาความปลอดภัย ซึ่งเป็นเรื่องไม่ถูกต้องและทำให้เกิดผลกระทบที่ไม่ควรเกิดใน 2 ประการด้วยกัน ประการแรกคือทำให้คนอื่นๆ รู้สึกว่าการรักษาความปลอดภัยไม่ใช่เรื่องที่ตัวเองต้องรับผิดชอบ ประการที่สองคือ ทำให้คนที่ดูแลเรื่องความปลอดภัยรู้สึกว่าถูกโดดเดี่ยว ราวกับว่าตัวเองต้องจัดการงานที่ยิ่งใหญ่นี้เพียงลำพัง
นักพัฒนาซอฟต์แวร์ควรคิดถึงเรื่องความปลอดภัยตลอดทุกขั้นตอนของการพัฒนาตลอดจนการนำไปใช้งาน ไม่ควรละเลยหรือรอจนกว่าจะมีการใช้งาน คนอื่นๆ ก็ควรคิดในลักษณะเดียวกัน พร้อมตระหนักอยู่ตลอดเวลาว่าทุกคนต้องพร้อมใจร่วมกันจับตาดูฟิชชิ่งและการโจมตีรูปแบบอื่นๆ ด้วยเช่นกัน ไม่ใช่ปล่อยให้เป็นหน้าที่ของมืออาชีพเพียงอย่างเดียว
แน่นอนว่า ผู้เชี่ยวชาญด้านความปลอดภัยจะเป็นผู้นำทางและชี้แนะในเรื่องเหล่านี้ได้ แต่ท้ายที่สุดแล้วการรักษาความปลอดภัยถือเป็นความรับผิดชอบของทุกคน และพนักงานทุกคนควรรู้สึกว่าตัวเองมีศักยภาพในการร่วมปกป้ององค์กรในภาพรวม โดยให้มองว่าทุกคนต้องรับผิดชอบในการดูแลความปลอดภัย เพราะการร่วมมือ ร่วมแรงร่วมใจจะช่วยสร้างชุมชนที่แข็งแกร่งยิ่งขึ้น
สาม อย่าเพิ่งคิดว่ามันจะยากขึ้นทุกวัน เพราะมันยากอยู่แล้วทุกวัน
ไม่มีอะไรน่าท้อใจไปกว่างานที่ไม่มีวันจบสิ้นซึ่งมีแต่จะยากขึ้นเรื่อยๆ บางครั้งการรักษาความปลอดภัยขององค์กรอาจดูคล้ายการเข็นครกขึ้นภูเขา ซึ่งบางวันครกก็อาจจะมีขนาดใหญ่ขึ้นบ้าง เนื่องจากอาชญากรมีความซับซ้อนมากขึ้น ใช้เครื่องมือเก่งขึ้นและจัดการได้ดีขึ้น รวมถึงระบบโครงสร้างพื้นฐานดิจิทัลที่ต้องปกป้องก็ขยายตัวมากขึ้น ซับซ้อนขึ้น และเชื่อมโยงกันมากขึ้น
ความจริงแล้ว การต่อสู้ระหว่างโลกด้านสว่างกับด้านมืดนั้นเกิดขึ้นเรื่อยๆ คนดีบางครั้งก็ได้เปรียบ บางครั้งก็เสียเปรียบ แนวคิดทั้งหมดของแรนซัมแวร์คือตัวอย่างที่เห็นได้ชัด ในช่วงหนึ่ง อาชญากรดูเหมือนจะเป็นผู้รุก แต่อุตสาหกรรมก็พัฒนาเพื่อตอบรับและโต้กลับด้วยผลลัพธ์ที่วัดได้ แน่นอนว่าสถานการณ์แบบนี้ก็ยังคงสลับไปสลับมาอยู่เรื่อยๆ แต่โดยทั่วไปแล้วเราจะอยู่ในฐานที่มั่นคงกว่า
การยอมรับธรรมชาติที่เป็นวัฏจักร จะทำให้เรามีทัศนคติในการรับมือกับภัยคุกคามที่เพิ่มขึ้นได้ดี พร้อมหาจุดที่เหมาะสมในการลดระดับความตื่นตัวลงเมื่อสถานการณ์เริ่มคลี่คลาย แต่ก็ยังคงต้องเฝ้าระวังอยู่ตลอด แม้จะไม่ถึงขนาดที่ต้องเตรียมพร้อมสูงสุด ในระดับ Defcon-1 ก็ตาม ทั้งนี้ การรักษาสมดุลของสภาพจิตใจคือกุญแจสำคัญสู่ความสำเร็จในระยะยาว
สี่ เรื่องนี้ไม่ใช่เรื่องขายของที่เอามาใช้
การรักษาความปลอดภัยในบางครั้งถูกมองว่าเป็นฟังก์ชั่นเดี่ยวแบบสแตนอโลน หรือเป็นผลิตภัณฑ์เสริมที่เอามาติดตั้งไว้ในระบบโครงสร้าง หรือเป็นเหมือนผลิตภัณฑ์ที่พัฒนาแยกต่างหากและส่งมอบเพื่อใช้งาน นี่เป็นมุมมองที่มีมายาวนานในการพัฒนาซอฟต์แวร์ และเป็นมุมมองที่คล้ายกับที่คนเคยมองเรื่องคุณภาพ ว่าเป็นตัวแปรที่ให้ผลลัพธ์แตกต่างและแยกจากผลิตภัณฑ์
อริสโตเติล พูดประโยคเด็ดไว้ว่า “คุณภาพไม่ใช่การกระทำ แต่เป็นนิสัย” เช่นเดียวกัน การรักษาความปลอดภัยไม่ใช่ผลิตภัณฑ์สำเร็จรูป แต่เป็นวินัยที่ต้องทำต่อเนื่อง ให้มองว่าการรักษาความปลอดภัยเป็นแนวทางปฏิบัติที่ต้องปรับปรุงและฝึกฝนอย่างต่อเนื่อง เพื่อจะได้มีแรงทำต่อ เช่นเดียวกับการที่มนุษย์แข็งแรงขึ้นเพราะออกกำลังกายอย่างสม่ำเสมอและควบคุมอาหารทุกวัน นั่นคือความปลอดภัย ถ้าเราอยากเก่งกีตาร์หรือศิลปะป้องกันตัว เราต้องฝึกฝนอยู่เรื่อยๆ ซึ่งก็ยังคงมีอะไรให้พัฒนาต่อได้อีกเรื่อยๆ เรื่องการรักษาความปลอดภัยก็เช่นกัน
การรักษาความปลอดภัยไม่ควรถูกนำมาใช้แบบใช้ผลิตภัณฑ์ แต่เป็นสิ่งที่ควรทำเป็นนิสัย ผลิตภัณฑ์และเครื่องมือเป็นแค่ตัวช่วยเท่านั้น สิ่งที่เรากำลังสร้างเพื่อให้เกิดความปลอดภัย คือเรื่องของวัฒนธรรม ทัศนคติ และการตระหนักรู้ พูดสั้นๆ ก็คือ การรักษาความปลอดภัยคือสิ่งที่เราต้องปฏิบัติทุกวัน ทั้งส่วนตัวและส่วนองค์กร
ใช่มันมีการก่ออาชญากรรม แต่ก็ใช่ว่าถูกขับเคลื่อนด้วยสิ่งเหล่านั้น
บางครั้งรู้สึกเหมือนเรากำลังเล่นไล่จับกับอาชญากร เหมือนอาชญากรคือผู้คุมเกม เราต้องวิ่งดับไฟที่กำลังลุกไหม้หรือหาวิธีใหม่ๆ เพื่อรับมือกับการที่แฮกเกอร์พยายามหาทางเจาะระบบอยู่เรื่อยๆ เมื่อเราคิดว่าการรักษาความปลอดภัยเป็นแค่การตอบโต้กิจกรรมของอาชญากร เราจะรู้สึกว่าเสียอำนาจและโกรธเคือง
ความจริงแล้วคนทำธุรกิจต่างหากที่ควรเป็นผู้คุมเกม เพราะองค์กรมีคุณค่าและมีความคิดสร้างสรรค์อยู่ จึงกลายเป็นเป้าหมายที่เย้ายวนต่อการหาผลประโยชน์ในทางที่ผิด เราไม่ควรประเมินอาชญากรไซเบอร์ต่ำไป เพราะจริงๆ แล้ว อาชญากรเหล่านี้สามารถโจมตีได้ฉลาดมาก ซึ่งเราต้องรับมือกับเรื่องนี้อย่างจริงจัง
แต่คุณค่าจะมีอยู่ในธุรกิจที่ถูกกฎหมายเท่านั้น อาชญากรคือกาฝาก เห็นได้ชัดว่าการรักษาความปลอดภัยขับเคลื่อนโดยธุรกิจ เพราะหากไม่มีธุรกิจ อาชญากรทางไซเบอร์ก็ไม่มีอะไรจะกิน ผู้เชี่ยวชาญด้านความปลอดภัยคือผู้พิทักษ์องค์กรที่ชอบด้วยกฎหมาย ส่วนอาชญากรก็เหมือนหัวขโมยจากภายนอกที่พยายามฉกฉวยทุกวิถีทางที่ทำได้ เราสามารถรับมือด้วยการดำเนินการเชิงรุก เช่น การสแกนเพื่อค้นหาการเจาะระบบ
อย่ามั่นใจว่าทำได้ 100%
ปัจจัยที่วัดผลได้เป็นสิ่งสำคัญที่ช่วยให้รักษาความปลอดภัยได้ดี ตัวชี้วัดต่างๆ เช่น เวลาเฉลี่ยในการตรวจจับ (mean time to detect , MTTD) ช่วยให้เราติดตามสถานการณ์และประเมินประสิทธิภาพของโปรแกรมได้ ประเด็นคือตัวชี้วัดควรดำเนินไปในทิศทางบวกเสมอ หรืออย่างน้อยก็ให้ใกล้เคียงจุดที่สมบูรณ์
ตัวชี้วัดถือเป็นคบเพลิงนำทางมากกว่าเป้าหมายที่สามารถบรรลุได้ กุญแจสำคัญคือการทำตามขั้นตอนเพื่อให้ทุกอย่างดำเนินไปในทิศทางที่ถูกต้อง และนำข้อมูลมาใช้ดำเนินการเมื่อเห็นถึงปัญหา ความปลอดภัยจึงต้องการการยอมรับอย่างตรงไปตรงมาในการวัดผล ในการติดตามเรื่อง KPI เราควรมองว่าเป็นการมอนิเตอร์แดชบอร์ด เพื่อเฝ้าระวังระบบสร้างภูมิคุ้มกันขององค์กร ซึ่งการประเมินอย่างตรงไปตรงมาคือสิ่งสำคัญ
มันคือหน้าที่ ไม่ต้องขอบคุณแม้จะชื่นชมก็ตาม
แนวคิดแบบเก่าก็คือ เราจะสังเกตุเห็นระบบรักษาความปลอดภัยก็ต่อเมื่อมันทำงานล้มเหลว ที่แย่กว่านั้นก็คือ ระบบรักษาความปลอดภัยบางครั้งถูกมองว่าเป็นสิ่งเลวร้ายที่จำเป็นต้องมี เพราะมันเป็นตัวถ่วงนวัตกรรมและเป็นอุปสรรคขัดขวางการทำงาน ถ้าทุกคนแค่ลืมเรื่องการรักษาความปลอดภัย อาจทำให้งานได้เร็วขึ้นมากเหมือนกับเวลาที่เรามุ่งมั่นในการสร้างซอฟต์แวร์ ถ้าเราลืมเรื่องคุณภาพและความพึงพอใจของลูกค้า ก็จะทำทุกอย่างได้เร็วขึ้น เรื่องนี้เลยฟังดูไร้สาระ เพราะยังไงก็ตามการคำนึงถึงความปลอดภัยในทุกขั้นตอนการพัฒนาคือเรื่องจำเป็น
เมื่อเกิดความผิดปกติและพบช่องโหว่ร้ายแรง คนมักจะโวยวายว่า เรื่องนี้เกิดขึ้นได้ยังไง ใครเป็นผู้ดูแลที่ต้องรับผิดชอบ แต่ในเวลาที่ทุกอย่างดำเนินไปด้วยดี เรากลับหลงลืมคนที่ดูแลได้ดี และทำเหมือนว่าสิ่งนี้คือหน้าที่ที่ต้องทำอยู่แล้ว เราควรเปลี่ยนความคิด ไม่ใช่สนใจการรักษาความปลอดภัยเฉพาะในเวลาที่มันทำงานล้มเหลวเท่านั้น แต่ควรให้การชื่นชม และมองว่าการรักษาความปลอดภัยช่วยให้ทุกคนทำงานได้ราบรื่นภายใต้เงื่อนไขที่ดีที่สุดเท่าที่จะเป็นไปได้
หากเราสามารถเปลี่ยนความคิดในแง่ลบแบบเดิมๆ ได้ ก็จะช่วยให้การรักษาความปลอดภัยปรับปรุงไปในทางที่ดีขึ้น อย่างน้อยก็ช่วยให้ทำงานได้สะดวก ง่ายและปลอดภัยขึ้น
บทความอ้างอิงจาก CSO Online : 7 cybersecurity mindsets that undermine practitioners and how to avoid them
