คนทำงานด้าน Cybersecurity เขาทำอะไรกัน ?

คนทั่วๆ ไปอาจจะไม่รู้จัก หรือไม่รู้เลยว่ามีอาชีพประเภทนี้อยู่ในองค์กรต่างๆ ด้วย หรือบางองค์กรก็อาจจะไม่มีตำแหน่งงานประเภทนี้อยู่เลยด้วยซ้ำ บางคนอาจจะคุ้นหูอยู่บ้าง แต่ไม่รู้ว่าพวกเขามีบทบาทหน้าที่อะไร ทำอะไรกันบ้างในแต่ละวัน บางคนรู้สึกอุ่นใจว่าองค์กรมีทีมงานนี้คอยดูแลป้องกันภัยไซเบอร์ให้ มีเหตุการณ์อะไรเกิดขึ้นก็จะมีคนพร้อมให้คำปรึกษาและช่วยเหลือ บางคนพอพูดถึงชื่อทีมนี้ทีไรร้องยี้ทุกที เพราะมองว่าเป็นตัวขัดขวางความเร็วในการทำงาน ด้วยมาตรการควบคุมด้านความปลอดภัยต่างๆ ที่ตั้งขึ้นมา สรุปแล้วทีม Cybersecurity เขาทำงานอะไรกันแน่นะ ?

พูดถึงงานด้าน IT คนทั่วไปส่วนใหญ่มักจะนึกถึงงานออกแบบ เขียนโปรแกรม พัฒนาระบบ ทดสอบคุณภาพระบบ (Programmer, Business Analyst, Software Engineer, Software Quality Engineer) งานด้านโครงสร้างพื้นฐาน (IT Infrastructure) ที่คอยดูแลเครื่องแม่ข่าย (System Engineer) ดูแลเครือข่ายเน็ตเวิร์ค (Network Engineer) ในศูนย์คอมพิวเตอร์ (Data Center) งาน Support และแก้ปัญหาการใช้งานอุปกรณ์ต่างๆ รวมถึงการใช้งานคอมพิวเตอร์สำหรับพนักงานในองค์กร (Desktop Management, IT Helpdesk) หรือสายอาชีพที่เกี่ยวข้องกับ Data ไม่ว่าจะเป็น Data Architect, Data Engineer, Data Scientist ที่ช่วงหลังเป็นที่นิยมเป็นอย่างมาก น้อยคนนักที่จะนึกถึงงานด้าน Cybersecurity

จริงๆ แล้วงานด้าน Cybersecurity มีมานานมาก แต่เป็นที่รู้จักอยู่ในวงแคบ เช่นธุรกิจที่เน้นเรื่องความปลอดภัยเป็นหลัก อย่างแวดวงธนาคารหรือแวดวงโทรคมนาคม ที่ส่วนมากจะมีทีม Cybersecurity แยกออกมาชัดเจน สมัยก่อน ทีมนี้อาจจะถูกเรียกว่า IT Security บางที่ก็เรียก Information Security พอยุคสมัยเปลี่ยน ชื่อก็อาจจะเปลี่ยนไปบ้าง แต่จิตวิญญาณของทีมนี้ยังคงเหมือนเดิมคือการบริหารจัดการ ป้องกัน ตรวจจับและรับมือภัยไซเบอร์ให้กับองค์กร

หลายคนอ่านตามมาถึงตรงนี้ อาจจะสงสัยว่าแล้วภัยไซเบอร์คืออะไร ผมเชื่อว่าทุกคนจะคุ้นเคยกับคำว่า “Hack” และเข้าใจว่า “Hacker” คือโจรที่พยายามลักลอบเข้ามาทำอันตรายต่อระบบคอมพิวเตอร์ขององค์กร บางคนอาจจะเคยได้ยินข่าวว่ามี Hacker แอบขโมยรหัสผ่าน LINE หรือ Facebook และปลอมตัวเป็นเหยื่อไปขอยืมเงินเพื่อนๆ

Hacker บางคนอาจจะใช้ Ransomware (โปรแกรมประสงค์ร้ายชนิดหนึ่งที่ Hacker ใช้ในการเรียกค่าไถ่จากเหยื่อ) ไปโจมตีระบบคอมพิวเตอร์ขององค์กร ทำให้คอมพิวเตอร์ในองค์กรนั้นๆ ไม่สามารถใช้งานได้ ถ้าหากจะทำให้ระบบกลับมาใช้งานได้ องค์กรต้องยอมจ่ายเงินให้กับ Hacker เพื่อแลกกับข้อมูลหรือระบบที่ถูกทำลายไปกลับคืนมา หรือแม้กระทั่งการเจาะเข้าฐานข้อมูลสำคัญขององค์กร และนำข้อมูลไปขาย ไปเรียกค่าไถ่ หรือเปิดเผยในอินเตอร์เน็ต ซึ่งล้วนแต่สร้างความเสียหายและความน่าเชื่อถือให้กับองค์กรทั้งสิ้น เราคงปฏิเสธไม่ได้ว่าปัจจุบันธุรกิจจะอยู่ได้ต้องเกิดจากความไว้วางใจของลูกค้า ถึงแม้ว่าองค์กรจะมีผลิตภัณฑ์หรือบริการที่ดีเลิศแค่ไหน หากองค์กรนั้นขาดความน่าเชื่อถือ องค์กรนั้นๆ ก็จะหาย และตายจากไปในไม่ช้า

ภัยไซเบอร์ที่ใกล้ตัวและพบบ่อยมากอันดับต้นๆ คือภัยจากการถูกโจมตีด้วยวิธีการที่เรียกว่า Phishing (ฟิชชิ่ง) Hacker จะใช้วิธีการส่ง Phishing Email (ฟิชชิ่ง อีเมล) ไปหาเหยื่อ เพื่อหลอกขอข้อมูล เช่น รหัสผู้ใช้งาน (Username) รหัสผ่าน (Password) หรือข้อมูลส่วนตัวอื่นๆ เช่นเลขบัตรประชาชน วัน เดือน ปีเกิด เพื่อนำไปใช้เข้าระบบต่างๆ ของเหยื่อ อาทิเช่น ระบบ Online Banking หรือบัญชี Social Media เพื่อสร้างความเสียหาย อีกรูปแบบของการโจมตีแบบ Phishing คือ การหลอกให้เหยื่อเปิดไฟล์แนบใน Phishing Email เพื่อทำการติดตั้ง Malware (โปรแกรมประสงค์ร้าย) สำหรับขโมยข้อมูลหรือสร้างความเสียหายกับเครื่องคอมพิวเตอร์ของเหยื่อได้โดยง่าย

นี่คือตัวอย่างแค่บางส่วนของภัยไซเบอร์ จริงๆ แล้วยังมีอีกมากมาย ใกล้ตัวมากขึ้น รุนแรง น่ากลัวกว่าที่ใครหลายๆ คนคิด และเกิดขึ้นได้กับองค์กรในทุกธุรกิจ ปัจจุบันความเสี่ยงด้านไซเบอร์กลายเป็นความเสี่ยงที่องค์กรทั่วโลกให้ความสำคัญลำดับต้นๆ เมื่อเทียบกับความเสี่ยงด้านอื่นๆ ทีม Cybersecurity จึงมีบทบาทสำคัญมากๆ สำหรับองค์กรในการป้องกันและรับมือภัยไซเบอร์ให้ทันท่วงที เพื่อช่วยสนับสนุนให้ธุรกิจวิ่งไปข้างหน้าได้อย่างมั่นคง ปลอดภัย และมีความน่าเชื่อถืออย่างยั่งยืน

ทีม Cybersecurity เป็นการรวมตัวกันของคนที่มีทักษะเฉพาะทาง มี Passion ในการทำงาน และมีเป้าหมายสำคัญคือช่วยกันป้องกันระบบและเครือข่ายขององค์กรให้มีความปลอดภัยสูงสุด สามารถรับมือตอบสนองกับภัยไซเบอร์ได้อย่างทันท่วงที เพื่อลดผลกระทบและความเสียหายให้น้อยที่สุด ทั้งนี้ต้องยอมรับว่าในปัจจุบันไม่มีเครื่องมือใดๆ ในโลกที่ซื้อมาติดตั้งแล้วจะรับรองได้ว่าองค์กรจะไม่ถูกแฮก ดังนั้นการตรวจจับและตอบสนองต่อเหตุการณ์ได้อย่างฉับไวจึงจำเป็นไม่แพ้กับการป้องกัน

อุปลักษณะนิสัยคนทำงานสายอาชีพ Cybersecurity มีหลากหลาย บางคนชอบแนวการจัดการ คิด วางแผน ทำโครงการเพื่อสร้างขีดความสามารถในการป้องกันและรับมือภัยไซเบอร์ให้กับองค์กร บางคนชอบออกแบบระบบให้มีความปลอดภัย บางคนชอบประเมินความเสี่ยง และเป็นที่ปรึกษาคอยหา Solution หรือมาตรการในการลดความเสี่ยง เพื่อที่จะทำให้ระบบงานต่างๆ ที่ให้บริการลูกค้า หรือแม้แต่พนักงานในองค์กรใช้งานมีความปลอดภัยในระดับที่ยอมรับได้

หรืองานแนวบู๊ล้างผลาญก็มี อย่างการเจาะระบบ บางคนเห็นช่องโหว่เป็นไม่ได้ ต้องลองยิงทดสอบใน Labs เพื่อศึกษาว่าช่องโหว่นั้นเป็นอย่างไร เจาะเข้ายากไหม และจะปิดช่องโหว่ได้อย่างไรบ้าง บางคนชอบแงะแกะเกาเวลาเจอ Malware ก็จะนำมาวิเคราะห์ (Malware Analysis) พฤติกรรมว่า Malware มาจากไหน มีพฤติกรรมอย่างไร กระจายตัวด้วยวิธีไหน บางคนชอบไล่ล่า (Threat Hunting) เพื่อตรวจสอบว่าเกิดภัยไซเบอร์ที่น่าสงสัยในองค์กรแล้วหรือไม่ เหมือนหน่วยลาดตระเวนตามชายแดน จนไปถึงการพิสูจน์หลักฐานหลังเกิดเหตุ (Forensic)

จะเห็นได้ว่างาน Cybersecurity มีทั้งฝั่งวางแผน (Governance) การรับมือเชิงรุก (Offensive) การรับมือเชิงรับ (Defensive) ผมชอบเปรียบเปรยงานด้าน Cybersecurity ว่าต้องมีทั้งฝ่ายบุ๋นและฝ่ายบู๊ ประสานงานกันให้กลมเกลียว จะขาดฝ่ายใดฝ่ายหนึ่งไม่ได้

Cybersecurity ฝ่ายบุ๋น

ชีวิตประจำวันของฝ่ายบุ๋นหลักๆ คือ วางนโยบาย วางกลยุทธ์ วางมาตรฐานด้านความปลอดภัยเทคโนโลยีสารสนเทศ ประเมินความสามารถในการระบุความเสี่ยง การป้องกัน การตรวจจับ การตอบสนองต่อเหตุการณ์ขององค์กรต่อภัยไซเบอร์ว่าเป็นอย่างไร มีส่วนไหนต้องเพิ่มขีดความสามารถโดยด่วน ส่วนไหนรอได้ วางเป็น Roadmap ให้ชัดเจนและมีการทบทวนเป็นประจำ

นอกจากนี้ ฝ่ายบุ๋นจะทำงานใกล้ชิดกับ IT หน่วยงานอื่นๆ ไม่ว่าจะเป็น Developer, Infrastructure และ Business Unit เพื่อคอยเป็นที่ปรึกษา แนะนำว่าระบบงานต่างๆ (Application) โครงสร้างพื้นฐาน (Infrastructure) และกระบวนการทำงานที่ดีต้องมี Security Control อย่างไร โดยต้องคงไว้ซึ่งความสมดุลย์ระหว่างความปลอดภัยและความง่ายในการใช้งาน เราจะเข้าไปมีส่วนร่วมตั้งแต่ขั้นตอนการออกแบบ พัฒนา จนกระทั่งถูกนำไปใช้งานจริง

อีกหนึ่งงานสำคัญที่ฝ่ายบุ๋นรับผิดชอบคือการสร้าง Security Awareness ให้กับพนักงานทั้งองค์กรเข้าใจและตระหนักถึงความสำคัญ เนื่องจาก People (คน) นับว่าเป็นจุดอ่อนที่ต้องระวังที่สุดสำหรับภัยไซเบอร์ Hacker ส่วนใหญ่เมื่อพยายามบุกรุกระบบในจุดต่างๆ แล้วเจาะเข้ามาไม่สำเร็จ จะหันไปโจมตีที่คนแทน วิธีการที่เป็นที่นิยมของ Hacker คือใช้วิธีการ Phishing อย่างที่กล่าวไปข้างต้น เพื่อเป็นช่องทางเข้าสู่เครือข่ายขององค์กร ขยายผลในการโจมตีต่อไป

องค์กรมีหน้าที่ปิดช่องโหว่ทั้งหมดเท่าที่จะทำได้เพื่อป้องกันการถูกโจมตี แต่ Hacker ต้องการแค่ช่องโหว่เพียงช่องเดียวในการบุกรุกเข้ามาสร้างความเสียหายให้กับองค์กร ทีม Cybersecurity โดยลำพัง แม้มีเป็นกองทัพก็ไม่มีทางเพียงพอ หากพนักงานในองค์กรขาดความตระหนัก และพร้อมเปิดประตูต้อนรับ Hacker เข้ามาตลอดเวลา Security Awareness จึงเป็นสิ่งที่ขาดไม่ได้จริงๆ และต้องทำอย่างต่อเนื่องให้กลายเป็นวัฒนธรรมขององค์กร

Cybersecurity ฝ่ายบู๊

ทีนี้ลองข้ามมาดูฝ่ายบู๊บ้าง ฝ่ายบู๊หลักๆ แบ่งเป็น 2 กลุ่ม คือ กลุ่มรับมือเชิงรุก (Offensive) และกลุ่มรับมือเชิงรับ (Defensive)

กลุ่ม Offensive มีหน้าที่ค้นหาช่องโหว่ในระบบ และเครือข่ายต่างๆ ขององค์กร ไม่ว่าจะด้วยวิธีการ Penetration Testing, Red Teaming, Vulnerability Scanning รวมถึงการติดตามข่าวสาร และวิเคราะห์ Threat Intelligence Feed ต่างๆ แนะนำวิธีการในการปิดช่องโหว่ที่ตรวจพบ และติดตามจนช่องโหว่เหล่านั้นถูกปิด หรือมีการจัดการควบคุม ลดความเสี่ยงได้อย่างเหมาะสม

กลุ่ม Defensive มีหน้าที่เฝ้าระวัง Security Alert ที่ได้รับมาจากอุปกรณ์รักษาความปลอดภัยไซเบอร์ต่างๆ ตลอด 24 ช.ม. 7 วัน อย่างใกล้ชิด เพื่อตรวจจับว่ามีใครพยายามบุกรุกเข้ามาในเครือข่ายขององค์กรหรือไม่ มีเหตุการณ์ผิดปกติทางด้านความปลอดภัย (Security Incident) หรือเปล่า ถ้าพบเหตุการณ์ผิดปกติก็ต้องวิเคราะห์ระดับความรุนแรงว่าเหตุการณ์นั้นมีความรุนแรงมากน้อยแค่ไหน เพื่อจะได้จัดลำดับความเร่งด่วนในการจัดการได้เหมาะสม โดยมีพี่ๆ ที่มีประสบการณ์คอยช่วยเหลือและรับมือกับเหตุการณ์ที่ถูกยืนยันว่าเป็น Security Incident ซึ่งพี่กลุ่มนี้มักจะถูกเรียกว่าเป็น Tier 2 Security Analyst หรือ Incident Responder ซึ่งทำหน้าที่รับมือจัดการ Security Incident ตั้งแต่ระงับเหตุ ควบคุมสถานการณ์ และแก้ไขเหตุการณ์ โดยเป้าหมายคือทำให้บริการต่างๆ ขององค์กรสามารถให้บริการได้อย่างต่อเนื่อง หรือกลับมาให้บริการได้ตามปกติโดยเร็ว

นอกจากการเฝ้า Security Alert ต่างๆ และจัดการ Incident จนจบแล้ว ฝ่ายรับมือบางองค์กรยังทำหน้าที่แบบเชิงรุกด้วย คือการทำ Threat Hunting โดยหากพบเหตุการณ์น่าสงสัย ก็จะไล่ล่าหาดูว่าจริงๆ แล้วมีอะไรเกิดขึ้นในระบบเครือข่ายหรือไม่ หากฝันร้ายเกิดขึ้น ระบบโดน Hack ทางฝ่ายรับมือก็จะต้องมีหน้าที่พิสูจน์หลักฐาน (Forensic) เพื่อยืนยันขอบเขตความเสียหาย และสืบหาต้นเหตุของปัญหาที่แท้จริง เพื่อจะได้รวบรวมเป็นบทเรียน (Lessons Learned) สำหรับการป้องกันที่มีประสิทธิภาพที่ดีขึ้นต่อไป

ที่กล่าวมาข้างต้น เป็นหน้าที่สำคัญๆ และชีวิตประจำวันส่วนหนึ่งของทีมงาน Cybersecurity แต่ละองค์กรอาจจะมีการแบ่งทีม หรือความรับผิดชอบต่างกันไป ขึ้นอยู่กับโครงสร้างการกำกับดูแล (Governance Structure) ของแต่ละองค์กร

แล้วคนแบบไหนที่เหมาะกับงานด้าน Cybersecurity ?

ส่วนตัวผมคิดว่างาน Cybersecurity ไม่ได้เหมาะกับทุกคน แม้ว่าคุณจะมีความรู้ ทักษะในการเจาะระบบ หรือมีความรู้ทางเทคนิคด้าน Cybersecurity เป็นอย่างดี แต่ถ้าคุณไม่มี Mindset เรื่อง Sense of Urgency และ Integrity (ความซื่อสัตย์) ในการทำงาน คุณจะไม่เหมาะกับสายอาชีพนี้เลย

งานสายอาชีพนี้เรามีหน้าที่ป้องกันภัยไซเบอร์ให้กับองค์กร ให้เดินไปข้างหน้าได้อย่างมั่นคงและยั่งยืน เปรียบเสมือนตำรวจหรือทหารที่คอยรักษาความสงบของบ้านเมือง หากประเทศเรากำลังถูกผู้ก่อการร้ายโจมตี สร้างความเสียหายในคืนวันเสาร์ คุณคิดว่าตำรวจหรือทหารจะรอให้ถึงเช้าวันจันทร์แล้วค่อยเข้าไปจัดการไหม? เมื่อมีเหตุการณ์เกิดขึ้นในองค์กรที่เกี่ยวข้องกับ Cybersecurity ไม่ว่าเวลาไหนก็ตาม ทีม Cybersecurity มีหน้าที่ต้องเข้าใจถึงความเร่งด่วน อะไรรอได้ อะไรรอไม่ได้ และพร้อมเข้าจัดการในทันที หรือในระยะเวลาที่เหมาะสม และจัดการให้จบ หาต้นตอให้เจอ ไม่ทำงานแบบปะผุ อันนี้คือ Mindset ที่สำคัญ

คนที่ทำงานด้าน Cybersecurity เราต้องมีความชัดเจน ตรงไปตรงมา มี Integrity สูง ไม่กลัวที่จะยกมือและบอกผู้บริหารในองค์กรว่าเราพบปัญหา หากพบว่าระบบมีความเสี่ยง มีช่องโหว่ มี Incident เราต้องพร้อมที่จะรายงานว่าเราพบปัญหาและต้องจัดการตามหน้าที่ หากคุณมีทัศนคติกลัวงานหนัก เลยเลือกที่จะไม่รายงานปัญหาบางอย่าง เอาตัวเองสบาย และกลบปัญหาเอาไว้ Mindset แบบนี้อันตรายต่อองค์กรที่สุด ไม่เหมาะต่อการทำงานในสายงาน Cybersecurity เป็นอย่างยิ่ง เพราะปัญหาที่ถูกกลบไว้ก็เปรียบเสมือนระเบิดเวลาดีๆ นี่เอง