Matana Wiboonyasake

เทคโนโลยีของ Access Control ที่มีโอกาสเติบโตขึ้นเรื่อยๆ ในอีก 3-4 ปีข้างหน้า โดยเราได้รวบรวม 4 ตัวอย่างไว้ในบทความนี้ว่าจะมีอะไรเกิดขึ้นบ้าง     1.ระบบควบคุมการเข้าถึงแบบเคลื่อนที่ (Mobile Access Control)    ในปัจจุบัน สมาร์ทโฟนกลายเป็นอีกปัจจัยหนึ่งที่ใช้ในการดำรงชีวิต ไม่ว่าจะเดินทางไปไหนคนส่วนใหญ่ก็มักจะพกสมาร์ทโฟนไปด้วยทุกที่ เนื่องจากไม่ได้มีเพียงฟังก์ชันการโทรเข้า-โทรออกอย่างเดียว แต่ยังสามารถดาวน์โหลดแอปพลิเคชันต่าง ๆ ไว้ใช้ประโยชน์อย่างอื่นได้อีกด้วย จึงเป็นไปได้ว่าในอนาคตจะมีการใช้สมาร์ทโฟนในรูปแบบของ Mobile Access Control มากขึ้น เช่น การนำมาใช้แทน Key Card ในการเข้า-ออกอาคารหรือสถานที่สำคัญ เพราะสมาร์ทโฟนเป็นสิ่งที่พกพาได้สะดวกและช่วยเพิ่มให้มีความปลอดภัยได้เนื่องจากสามารถเก็บข้อมูลของผู้ใช้เพื่อนำมายืนยันตัวตน    2.ระบบควบคุมการเข้าถึงผ่าน Cloud (Cloud-Based Access Control)    Cloud เป็นอีกหนึ่งธุรกิจที่เติบโตอย่างมาก เนื่องจากทำให้ผู้ใช้สามารถเข้าถึงข้อมูลจากที่ใดก็ได้และช่วยเพิ่มความสะดวกรวดเร็วในการทำงาน แต่สิ่งที่จะมาพร้อมกับการเติบโตของ Cloud ก็คือภัยคุกคามรูปแบบใหม่ที่มุ่งโจมตีข้อมูลใน Cloud โดยเฉพาะ ดังนั้นผู้ให้บริการจึงจำเป็นต้องมีระบบรักษาความมั่นคงปลอดภัยเพื่อสร้างความมั่นใจให้องค์กรที่จะมาใช้บริการ Cloud โดยกระบวนการหนึ่งที่สำคัญคือ การยืนยันตัวตนของผู้ที่มาเชื่อมต่อให้รู้แน่ชัดว่าคือพนักงานภายในองค์กรหรือผู้ที่มีสิทธิ์เข้าถึงจริง ๆ ซึ่งก็เป็นบทบาทของเทคโนโลยี Cloud-Based Access Control ที่มีหน้าที่คัดกรองบุคคลที่เข้ามาเชื่อมต่อ เทคโนโลยีชนิดนี้จึงยังมีโอกาสที่จะพัฒนาต่อไป ตราบใดที่ธุรกิจ Cloud ยังคงเติบโตอยู่   3.การยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication)   

แม้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็น พ.ร.บ. ที่ทำให้ฝ่าย IT Admin และทุกๆองค์กรต้องมีมาตราการป้องกันข้อมูลรั่วไหลและต้องหาเครื่องมือคุณภาพมาช่วยเพิ่มความสามารถในการควบคุมได้อย่างมั่นใจว่าทุกข้อมูลในบริษัทถูกควบคุมและมีการตรวจสอบการเข้าถึง-การใช้ข้อมูลอย่างใกล้ชิด   หน้าที่ของ IT Admin ต้องทำอะไรบ้าง?   1.Personal Data Discovery – สำรวจค้นหาข้อมูลส่วนบุคคล สำรวจค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้ในไฟล์เอกสาร รูปภาพ ฐานข้อมูล อีเมล และในระบบ File System ไม่ว่าจะเป็น ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล วันเกิด เลขบัตรประชาชน เลขบัตรเครดิต หรือข้อมูลส่วนบุคคลอื่นๆ พร้อมจัดเก็บและจำแนกประเภทของข้อมูลเพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร นอกจากนี้ยังต้องสามารถตั้งค่าปกปิดหรือแทนที่ข้อมูลส่วนบุคคลนั้นๆ ในไฟล์บางประเภทเพื่อไม่ให้อ่านหรือเห็นได้ตามปกติ รวมถึงสามารถสแกนไฟล์เอกสารหรือรูปภาพในระบบไฟล์หรืออีเมลที่แพร่กระจายภายในองค์กรหรือส่งออกไปภายนอกได้ และสามารถทำงานรองรับระบบปฏิบัติการต่างๆเช่น Windows, macOS, Linux, FreeBDS, AIX, HPUX และ Solaris ได้อีกด้วย     เครื่องมือต่างๆที่ควรมี  Operating Systems: Microsoft Windows for Server or for Workstation, macOS,

ไมโครซอฟท์เองในฐานะบริษัทระดับโลก ก็จำเป็นต้องปฏิบัติตาม GDPR เช่นกัน ทำให้โซลูชันของไมโครซอฟท์เองอย่าง Microsoft 365 รองรับ GDPR มาตั้งแต่แรก เมื่อ PDPA มีความใกล้เคียงกับ GDPR มาก การปรับ Microsoft 365 ให้เข้ากันได้กับ PDPA จึงทำได้แทบจะทันที จากผลสำรวจของทางไมโครซอฟท์ได้ระบุว่า การเปลี่ยนมาใช้งาน Microsoft 365

หลังจากการระบาดระลอกใหม่ของเชื้อไวรัสโควิด-19 คนทำงานก็กลับมาสู่การทำงานแบบ Work From Home อีกครั้ง ถึงแม้สิ่งเหล่านี้จะไม่ใช่เรื่องใหม่ แต่ถือเป็นเรื่องสำคัญที่ทุกคนต้องปรับตัว พัฒนาความรู้ และสรรหาเครื่องมือใหม่ๆ มาช่วยให้เราทำงานได้เก่งขึ้นกว่าเดิม ต้องทำงานสะดวก รวดเร็ว ยืดหยุ่น และทำงานไปพร้อมกับทีมอย่างมีประสิทธิภาพเพราะทักษะเหล่านี้ พวกเราคงต้องอยู่และพัฒนาเพื่อใช้กันต่อไปในอนาคต จนในท้ายที่สุดเราเองอาจลืมวิธีการทำงานแบบเดิมๆ ไปเลย จากบทเรียนครั้งที่แล้ว สิ่งสำคัญที่ต้องเน้นย้ำตั้งแต่ตอนนี้ คือ เราต้องพร้อมตั้งแต่เครื่องมือการทำงานร่วมกัน อุปกรณ์และการติดต่อสื่อสารที่ทำได้เสมือนทำงานด้วยกันที่ออฟฟิศ ต้องเข้าถึงข้อมูล ไฟล์

ผู้เชี่ยวชาญด้านความปลอดภัยให้นิยามไว้ว่า Ransomware คือ มัลแวร์ประเภทหนึ่งที่มีลักษณะการทำงานแตกต่างกับมัลแวร์ประเภทอื่น ๆ กล่าวคือ ถูกออกแบบมาเพื่อทำการเข้ารหัสหรือล็อกไฟล์และป้องกันไม่ให้ผู้ใช้งานสามารถเปิดไฟล์ใดๆได้ ทำให้ผู้ใช้งานหรือเหยี่อจะต้องยินยอมจ่ายเงินเป็นค่าไถ่ เพื่อถอดรหัสให้สามารถใช้งานได้ดังเดิม จึงได้ชื่อว่าเป็น “มัลแวร์เรียกค่าไถ่” และด้วยการที่เป็นมัลแวร์โจมตีในรูปแบบที่แตกต่างจากทั่วไป จึงทำให้ผู้ใช้งานส่วนใหญ่ยังเข้าใจผิดกันอีกเล็กน้อย ได้แก่    1. แฮกเกอร์จะเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่อย่างเดียว  ปัจจุบันพฤติกรรมการโจมตีนั้นเปลี่ยนไป ในระยะหลังพบว่ามีรายงานการโจมตี และขโมยข้อมูลของเหยื่อก่อน จากนั้นจึงเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ โดยใช้ข้อมูลที่ขโมยแนบมาพร้อมกับคำขู่ว่าจะโพสข้อมูลลงบนโลกออนไลน์หากไม่ได้รับการชำระเงินภายในเวลาที่กำหนด ซึ่งพบว่าได้ผลดีมากเพราะโอกาสที่เหยื่อจะยินยอมจ่ายค่าไถ่สูงกว่าการเข้ารหัสในรูปแบบเดิม    2. แฮกเกอร์เข้าโจมตีระบบภายในเวลาไม่กี่วัน ในปัจจุบันมักจะมีข่าวเกี่ยวกับการถูกโจมตีด้วย ransomware นั้นเกิดขึ้นอย่างรวดเร็ว และมักจะแพร่กระจายออก ทำให้เหยื่อ หรือผู้ใช้งานทั่วไปที่ตามข่าวสาร เข้าใจว่าการถูกโจมตีด้วย ransomware ใช้เวลาไม่กี่วัน แต่ในความเป็นจริงการโจมตีแต่ละครั้งแฮกเกอร์จะใช้ระยะเวลาเป็นสัปดาห์หรือมากกว่า 1 เดือน เพื่อแฝงตัวเข้ามาในระบบ เก็บข้อมูลก่อนลงมือปล่อย ransomware

ปัจจุบัน Internet of Things (IoT) หรือเทคโนโลยีเชื่อมต่ออุปกรณ์อิเล็กทรอนิกส์ใด ๆ กับอินเทอร์เน็ตกำลังถูกใช้งานอย่างแพร่หลาย แต่ภายหลังจากการรวบรวมการใช้งานและข้อมูลต่างๆที่ได้จากอุปกรณ์ IoT เหล่านี้กลับให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรม ความสนใจ และความชอบของผู้ใช้ที่สามารถสร้างคุณค่ามากมายให้แก่ธุรกิจ จนได้สมญานามว่าเป็น Internet of Behaviors (IoB) แน่นอนว่าเรายังอยู่แค่ในช่วงเริ่มต้น แต่นักวิเคราะห์เริ่มมองเห็นความเป็นไปได้มากมายในการใช้ IoB มาขยายโอกาสและความเป็นไปได้อีกสารพัดทั้งในด้านธุรกิจการเงิน ส่วนบุคคล สถานที่ทำงาน และอื่น ๆ