ย้อนกลับไปช่วงต้นปีที่ผ่านมา เกิดเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ในประเทศไทย มีข้อมูลรั่วไหลมากกว่า  20 ล้านชุด หลุดบน Dark Web เหตุการณ์ครั้งนั้นไม่เพียงก่อให้เกิดการพูดถึงมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพของหน่วยงานรัฐ หากยังนำมาสู่การเรียกร้องให้รัฐเร่งในเรื่องมาตรฐานของระบบคลาวด์ นำมาสู่ Cloud Security หรือ มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ 

(อ่านบทความที่เกี่ยวข้อง)

• อีกแล้ว! ข้อมูลคนไทยรั่วเกือบ 20 ล้านราย สส.จี้ รัฐต้องเร่ง Cloud First Policy
• องค์กรไทยควรทำอย่างไร เมื่อภัยไซเบอร์ยังน่าห่วง 

รายละเอียดของ Cloud Security

ร่างมาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ (Cloud Security) ได้ผ่านการพิจารณาโดยคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เมื่อวันที่ 31 กรกฎาคม 2567 ล่าสุดได้มีการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 10 กันยายนที่ผ่านมา มีผลบังคับใช้เมื่อพ้นกำหนดสองปี นับตั้งแต่วันที่ประกาศในราชกิจจานุเบกษา

สรุปข้อกำหนด ประกาศ : มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ ได้ดังนี้ 

• ประกาศดังกล่าวบังคับใช้กับหน่วยงาน GOV, REG, CII (GOV ย่อมาจาก Government, REG ย่อมาจาก Regulator, CII ย่อมาจาก Critical Information Infrastructure) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงผู้ให้บริการคลาวด์ กับหน่วยงานดังกล่าวด้วย
• กำหนดมาตรฐานสำหรับผู้ใช้บริการคลาวด์ ร่วมกับผู้ให้บริการคลาวด์สาธารณะ (Public Cloud Service Provider) เฉพาะที่ต้องได้รับการรับรองให้เป็นผู้ให้บริการคลาวด์ที่ผ่านเกณฑ์ของ GOV, REG, CII ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยใช้มาตรฐานการรับรองผู้ใช้บริการคลาวด์ที่ผ่านการรับรองแล้ว
• ผู้ให้บริการคลาวด์และหน่วยงานที่ประกอบด้วยหน่วยงาน GOV, REG, CII จะต้องปฏิบัติตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงผู้ตรวจสอบภายนอกด้านความมั่นคงปลอดภัยไซเบอร์และหน่วยงานให้บริการตรวจรับรอง (Certify Body)

โครงสร้างมาตรฐานกำหนดไว้ 2 ส่วนหลัก คือ 

1. การกำกับดูแลด้านความมั่นคงปลอดภัยระบบคลาวด์ (Cloud Security Governance)

• นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policies)
• โครงสร้างองค์กรด้านความมั่นคงปลอดภัยสารสนเทศ (Organization of Information Security)
• การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ (Compliance)

2. การปฏิบัติและการรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์ (Cloud Infrastructure Security and Operation)

• การบริหารทรัพยากรมนุษย์ (Human Resource Security)
• การจัดการทรัพย์สิน (Asset Management)
• การควบคุมการเข้าถึง (Access Control)
• การเข้ารหัส (Cryptography)
• การรักษาความปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and Environment Security)
• การรักษาความมั่นคงปลอดภัยการปฏิบัติการ (Operations Security)
• การรักษาความมั่นคงปลอดภัยเครือข่าย (Communication Security)
• การจัดหา การพัฒนา และการบำรุงรักษา (System Acquisition, Development, and Maintenance)
• การจัดการผู้ให้บริการภายนอก (Supplier Relationships)
• การจัดการเหตุคุกคามทางสารสนเทศ (Information Security Incident Management)

อ่านรายละเอียดเพิ่มเติมได้ที่ : มาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์

นโยบายคลาวด์ในต่างประเทศ

• สหรัฐฯ มี Federal Cloud Computing Strategy (Cloud Smart) เป็นการปรับปรุงจาก Cloud First Policy ของปี 2010 ประกาศใช้ในปี 2011 พัฒนาขึ้นเพื่อเพิ่มประสิทธิภาพการทำงานของ ระบบไอทีภาครัฐ โดยเน้นไปที่การเพิ่มความปลอดภัย (Security), ประสิทธิภาพ (Efficiency), และการดูแลข้อมูล (Data Management) ของระบบคลาวด์
• สหภาพยุโรปมีนโยบาย Cloud First เช่นกัน แต่สิ่งที่เพิ่มมา คือ มีการผลักดันโครงการคลาวด์ภายใต้กรอบงาน European Open Science Cloud (EOSC) เพื่อสนับสนุนการวิจัยและนวัตกรรม โดยให้ความสำคัญกับการแลกเปลี่ยนข้อมูลวิทยาศาสตร์ และการร่วมมือระหว่างประเทศสมาชิก
• อังกฤษ มี Government Cloud Strategy (G-Cloud) มุ่งเน้นการใช้บริการคลาวด์เพื่อประหยัดงบประมาณ และเพิ่มประสิทธิภาพการทำงานของภาครัฐ โดยสร้าง Digital Marketplace ให้กับภาครัฐในการเลือกใช้บริการจากผู้ให้บริการคลาวด์ที่ผ่านการรับรอง
• สิงคโปร์ มี Government Commercial Cloud (GCC) หรือ แผนกลยุทธ์คลาวด์ เพื่อให้หน่วยงานรัฐสามารถใช้ประโยชน์จากโซลูชันคลาวด์สาธารณะที่มีคุณภาพ โดยส่งเสริมความยืดหยุ่น ให้เกิดการปฏิบัติที่รวดเร็ว และลดต้นทุนในการบริหารจัดการไอที

ที่มา : ร่างมาตรฐานความปลอดภัยไซเบอร์บนระบบคลาวด์ , European Commission, U.S. Department of the Interior, Government Cloud Strategy UK, Tech Gov Singapore,