ใครเห็นได้บ้าง — Confidentiality#

คำถามแรกที่ยามต้องถามทุกครั้งที่เจอของในเซฟคือ “ของชิ้นนี้ใครเห็นได้บ้าง” ฟังเผินๆ ดูเหมือนคำถามเด็กๆ แต่จริงๆ มันคือคำถามที่บริษัทไทยตอบไม่ได้กันเยอะที่สุด

เริ่มจาก analogy ง่ายๆ ก่อน ลองนึกถึงตู้เซฟในบ้านคุณ ในตู้เซฟมีโฉนดที่ดิน ทองคำ พินัยกรรม คำถามคือ “ของพวกนี้ใครเห็นได้บ้าง?” คำตอบในใจคุณน่าจะเป็น “เห็นได้แค่ผมคนเดียว” หรือ “ผมกับภรรยา” แต่ลองคิดให้ครบจริงๆ ใครรู้รหัสตู้เซฟ? ลูกที่โตแล้วรู้ไหม? คนทำความสะอาดที่บ้านเคยเห็นคุณเปิดตู้เซฟไหม? ช่างไฟที่มาซ่อมเดือนที่แล้วผ่านห้องเก็บเซฟใช่ไหม? พอนั่งไล่จริงๆ มันยาวกว่าที่คิด

ในโลกดิจิทัล “ใครเห็นได้บ้าง” ยิ่งซับซ้อนกว่า ฐานข้อมูลลูกค้าของบริษัทคุณตอนนี้มีใครเข้าถึงได้บ้าง? แอดมินหลัก 1 คน ทีม IT 3 คน ฝ่ายขายที่ดูได้บางส่วน บริษัทที่ทำ marketing automation ที่คุณต่อ API ให้ ฟรีแลนซ์ที่เขียน script ดึงข้อมูลให้เดือนที่แล้วและคุณยังไม่ revoke access backup ที่สำรองไว้ใน Google Drive ส่วนตัวของอดีตพนักงาน ตอบจริงๆ บริษัทไทยส่วนใหญ่จะเริ่มเหงื่อแตกตั้งแต่ข้อ 4

นี่คือสิ่งที่วงการเรียกว่า Confidentiality แปลตรงตัวคือ “ความลับ” แต่ใน security ความหมายชัดกว่านั้นคือ “สิทธิ์ในการรู้” Confidentiality บอกว่าข้อมูลแต่ละชิ้นควรเห็นได้เฉพาะคนที่ “ควรเห็น” เท่านั้น ไม่ใช่ทุกคนในบริษัท ไม่ใช่ทุกคนใน vendor ที่ทำงานด้วย ไม่ใช่ทุก script ที่เคยเขียนต่อกัน

เคสจริงที่เห็นชัดที่สุดของ Confidentiality ที่ตาย คือเคส Equifax ที่เราคุยกันใน EP ที่แล้ว 147 ล้าน records ของชาวอเมริกัน หลุดออกไปอยู่ในมือคนที่ “ไม่ควรเห็น” ของในเซฟยังครบทุกชิ้น ไม่มีใครแก้ตัวเลข ไม่มีใครลบทิ้ง แต่ “สิทธิ์ในการรู้” พัง Equifax สูญเสียทันที 700 ล้านดอลลาร์เพราะสาเหตุเดียว ของลับมีคนที่ไม่ควรรู้เห็น

ในเมืองของคุณเอง Confidentiality พังในรูปแบบไหนได้บ้าง? เยอะกว่าที่คิด

• ข้อมูลลูกค้าหลุด ฐาน customer database โดน dump ออกไปขายใน Telegram คนที่ซื้อไปจะรู้เบอร์โทร ที่อยู่ ประวัติการซื้อของลูกค้าคุณทั้งหมด → โทรหลอกลูกค้าคุณว่า “เป็นเจ้าหน้าที่บริษัท ขอ OTP เพื่อยืนยันคำสั่งซื้อล่าสุด”
• แชทธุรกิจหลุด LINE OA หรือ LINE กลุ่มภายในของผู้บริหารโดนเข้าถึง คู่แข่งรู้ราคาที่คุณคุยกับลูกค้ารายใหญ่ → ตัดราคาในการเสนองาน round ถัดไป
• Medical records หลุด ข้อมูลคนไข้ของโรงพยาบาลรั่ว → คนที่ได้ข้อมูลไปสามารถ blackmail ผู้ป่วย HIV / โรคจิตเวช / โรคติดต่อทางเพศได้ เคสในไทยเคยเกิดจริงในปี 2024
• Source code หลุด code ของผลิตภัณฑ์หลักของบริษัทโดน leak → คู่แข่ง reverse engineer ออกมา clone ของขาย / โจรหา vulnerability ในนั้นแล้วโจมตีกลับ
• เลขบัตรเครดิตหลุด POS ของร้านโดนแฮก → ลูกค้าทุกคนที่รูดบัตรในช่วงนั้นโดน fraud ภายในไม่กี่สัปดาห์ → ร้านโดนฟ้องร้อง + โดน Visa/Mastercard เพิกถอนสิทธิ์รับบัตร

ทุกเคสมี pattern เดียวกัน “ข้อมูลยังครบทุกชิ้น แค่มันอยู่ในมือคนที่ไม่ควรรู้”

แล้วเราจะปกป้อง Confidentiality ยังไง? วงการมีเครื่องมือหลายตัว เดี๋ยวจะคุยลึกใน Part 2-3 ของซีรีส์นี้ แต่ถ้าจะสรุปสั้นๆ ตอนนี้ สองตัวหลักคือ Encryption (การเข้ารหัสข้อมูล) กับ Access Control (การควบคุมสิทธิ์เข้าถึง) Encryption คือใส่ของในกล่องล็อก ถ้ามีคนขโมยกล่องไปแต่ไม่มีกุญแจ ก็เปิดอ่านไม่ได้ Access Control คือกฎว่าใครได้กุญแจกล่องไหน

มุมผู้บริหาร: ลองนั่งทำ exercise นี้ list ของลับ 5 อย่างที่ถ้ารั่วบริษัทเสียหายหนักที่สุด (ฐานลูกค้า / สูตรลับ / สัญญา / ข้อมูล HR / แชทผู้บริหาร) ทีนี้ตอบแต่ละข้อให้ครบ “ตอนนี้ใครเห็นมันได้บ้าง ทั้งคนภายใน vendor freelancer อดีตพนักงาน ระบบที่ต่อ API เข้ามา?” ถ้าคุณ list ออกมาแล้วเหงื่อแตกตั้งแต่ของลับชิ้นที่ 2 ปกติครับ บริษัทส่วนใหญ่เหงื่อแตกตั้งแต่ชิ้นแรก และนี่คือเหตุผลที่ลูกค้าฟ้องร้องตาม PDPA (พรบ.คุ้มครองข้อมูลส่วนบุคคล) ในไทยกำลังเพิ่มขึ้นทุกปี ค่าปรับสูงสุดต่อกรณีคือ 5 ล้านบาท + ค่าเสียหายให้เจ้าของข้อมูลแต่ละราย

ของยังครบ แต่ถ้ามีคนแอบแก้ล่ะ — Integrity#

โอเค สมมติว่ายามของคุณตอบคำถามแรกได้ดี Confidentiality แน่นหนา ของในเซฟไม่มีใครเห็นนอกจากเจ้าของ คำถามที่สองที่ยามที่ดีต้องถามต่อคือ “ของในเซฟที่ผมเห็นอยู่ตอนนี้ มันคือของเดิมที่เจ้าของฝากไว้ใช่ไหม?”

ฟังดูแปลกๆ ใช่ไหมครับ ของก็อยู่ในเซฟ ใครจะเข้ามาแก้ของได้ แต่ลองนึกภาพดู สมมติคุณมีตู้เซฟในสำนักงาน เก็บสมุดบัญชีบริษัท ของในเซฟครบทุกเล่ม ตู้เซฟล็อกอยู่ Confidentiality โอเค แต่ถ้ามีคนแอบเข้ามาตอนกลางคืน เปิดเซฟด้วยรหัสที่ขโมยมา ไม่เอาอะไรออก แค่ “แก้ตัวเลขในสมุดบัญชี” จากกำไร 10 ล้านเป็น 1 ล้าน ตอนเช้ามาตู้เซฟยังล็อก สมุดยังครบทุกเล่ม จำนวนหน้าครบ แต่บริษัทคุณพัง

นี่คือ Integrity “ของที่เราเห็นตอนนี้ เท่ากับของที่ถูกบันทึกตอนสร้างไหม?” ในภาษาคนคือ “ความน่าเชื่อถือของข้อมูลว่ายังเป็นของจริงไม่ได้ถูกปลอม” ของจะ “หาย” หรือ “รั่ว” ไม่ใช่ประเด็น ของจะ “เปลี่ยน” ต่างหากคือประเด็น

ผมขอเล่าเคสที่ดังที่สุดของวงการเรื่อง Integrity คือ Stuxnet ปี 2010

Stuxnet เป็นมัลแวร์ที่อเมริกาและอิสราเอลร่วมกันสร้างขึ้นมา (ไม่มีรัฐบาลไหนรับเป็นทางการ แต่ทุกคนในวงการรู้) เพื่อโจมตี โรงไฟฟ้านิวเคลียร์ Natanz ของอิหร่าน โรง Natanz มีเครื่องที่เรียกว่า centrifuge (เครื่องเหวี่ยงแยกแร่ยูเรเนียม หมุนเร็วมากเพื่อแยกไอโซโทปสำหรับทำเชื้อเพลิงนิวเคลียร์) หลายพันตัว centrifuge พวกนี้ถูกควบคุมด้วยคอมพิวเตอร์อุตสาหกรรมชื่อ PLC (Programmable Logic Controller คือคอมเล็กที่ใช้คุมเครื่องจักรในโรงงาน) ของยี่ห้อ Siemens

Stuxnet ทำอะไร? มันไม่ได้ทำลาย PLC ไม่ได้ขโมยข้อมูล ไม่ได้เรียกค่าไถ่ มันทำสิ่งเดียวคือ เปลี่ยนค่าความเร็วของ centrifuge แบบลับๆ ตอนคนงานในโรงไฟฟ้ามองหน้าจอ ค่าทุกตัวขึ้น “ปกติ” ทั้งความเร็วปกติ อุณหภูมิปกติ ความดันปกติ แต่ของจริงในโรงงาน centrifuge ปั่นเกินความเร็วที่รับได้ ค่อยๆ พัง พังทีละตัวสองตัว ใช้เวลาเป็นเดือนๆ คนงานคิดว่า “centrifuge ของเรามีปัญหา quality ของ vendor” ทั้งที่จริงๆ Stuxnet กำลังทำลายโรงงานอยู่อย่างเงียบๆ

จุดที่น่ากลัวที่สุดของ Stuxnet ไม่ใช่ที่มันทำให้ centrifuge พัง แต่ที่มันทำให้ “สิ่งที่คนงานเห็นบนหน้าจอ” ไม่ตรงกับ “สิ่งที่เกิดจริงในโรงงาน” นี่คือ Integrity ตายในเวอร์ชันรุนแรงที่สุด ข้อมูลที่ผู้บริหารใช้ตัดสินใจกับความจริงสองคนละทาง

ในธุรกิจคุณ Integrity พังในรูปแบบไหนได้บ้าง? ใกล้ตัวกว่าที่คิด

• Bank account ถูกแก้ยอด ถ้าโจรเข้าระบบ core banking ได้แล้วแก้ยอดในบัญชีลูกค้าจาก 1 ล้าน เป็น 1,000 บาท เงินไม่ได้ “หาย” ไปไหน (Confidentiality ไม่ได้รั่ว) แต่ “ยอดที่ระบบจำได้” ผิดไปแล้ว ลูกค้าจะมาทวง ธนาคารจะต้องพิสูจน์ กระบวนการพิสูจน์ใช้เวลาหลายเดือน ความเชื่อมั่นพัง
• BEC — Business Email Compromise เคสนี้เกิดในไทยทุกเดือน โจรแฮกอีเมลของผู้บริหารบริษัทคู่ค้า → รอจังหวะที่บริษัทคุณกำลังจะโอนเงินค่าสินค้าตามใบ invoice ปกติ → แอบส่งอีเมลปลอมมาแทรกบอกว่า “เปลี่ยนเลขบัญชีปลายทางใหม่ บัญชีเดิมโดนอายัด ใช้เลขนี้แทน” ลูกค้าโอนเงินตามใบที่คิดว่าเป็นของจริง เงินเข้าบัญชีโจร ตัวเลขในระบบบัญชีของคุณ “ดูปกติ” invoice ครบ การโอนครบ แต่ปลายทางผิด เพราะ Integrity ของอีเมล + ใบ invoice ถูกแก้ระหว่างทาง
• สัญญา PDF ถูกสลับ บริษัทคุณเซ็นสัญญากับลูกค้าวงเงิน 10 ล้าน ลูกค้าเก็บ PDF เวอร์ชันหนึ่ง บริษัทคุณเก็บ PDF เวอร์ชันหนึ่ง วันที่เกิดข้อพิพาท เปิดเทียบกัน เลขในสัญญาคนละตัว เพราะมีคนใน (หรือคนนอกที่เข้าระบบไฟล์ได้) แก้ตัวเลขในเวอร์ชันของฝ่ายใดฝ่ายหนึ่งหลังเซ็น แพ้คดีก็ได้ ต้องจ่ายตามเลขที่ผิดก็ได้
• Log ถูกลบ โจรเข้าระบบของบริษัทคุณแล้ว ก่อนออกไปลบ log ที่บันทึกว่าเขาเข้ามา ตอนทีม IT มาตรวจสอบ “เมื่อวานมีใครเข้าระบบบ้าง” log บอกว่า “ไม่มี” Integrity ของ log ตาย → forensic ตามไม่เจอ → ไม่รู้ว่าโดนอะไรไป → ไม่รู้ต้องป้องกันยังไงรอบหน้า

จะเห็นว่า Integrity เป็น “ขาที่ผู้บริหารไทยให้ความสำคัญน้อยที่สุด” ในบรรดา 3 ขา เพราะมัน abstract กว่า Confidentiality (ของหลุดเห็นชัด) และเร็วกว่า Availability (ระบบล่มเห็นชัดเช่นกัน) แต่ในทางกฎหมายและทางบัญชี Integrity ที่พังคือเรื่องใหญ่ที่สุด เพราะข้อมูลที่ใช้ตัดสินใจคือผิด → ทุก decision ที่ตามมาผิดหมด

แล้วเราปกป้อง Integrity ยังไง? เครื่องมือหลักของวงการคือ Hashing (การคำนวณลายนิ้วมือดิจิทัลของข้อมูล) + Digital Signature (ลายเซ็นดิจิทัลที่เซ็นด้วยกุญแจส่วนตัวของผู้ส่ง) + Checksum (เลขสรุปที่ใช้ตรวจว่าไฟล์ยังเหมือนเดิม) ทั้งหมดนี้คือ “ตราประทับ” ทางคณิตศาสตร์ที่ถ้ามีคนแก้ของแม้แต่ byte เดียว ตราจะเปลี่ยน เดี๋ยวเราจะลงลึกใน Part 3 — Data

มุมผู้บริหาร: ลองถามทีมการเงินของคุณ 2 คำถาม

1. “งบการเงินที่เราใช้รายงานบอร์ดเดือนนี้ เราตรวจสอบยังไงว่าไม่มีใครแก้ตัวเลขระหว่างที่เก็บในระบบกับตอน export ออกมา?”
2. “ถ้ามีคนแก้เลขในระบบหลังบ้านของเรา เราจะรู้ภายในกี่วัน?”

ถ้าทั้งสองคำตอบคือ “ไม่รู้” หรือ “เชื่อใจระบบ” แปลว่า Integrity ของบริษัทคุณตอนนี้ขึ้นกับ “ความเชื่อ” ไม่ใช่ “การตรวจสอบ” ในยุคที่ทุกคดี white-collar crime ในไทยเริ่มมีกระบวนการดิจิทัลเข้ามาเกี่ยวข้อง นี่คือความเสี่ยงทางกฎหมายของผู้บริหารโดยตรง

ใช้ได้ตอนต้องใช้ไหม — Availability#

โอเค ยามคุณเก่งมาก Confidentiality แน่น Integrity แน่น คำถามที่สามที่ยามที่ดีต้องตอบให้ได้คือคำถามที่ดูธรรมดาที่สุดแต่ทำเงินหายเร็วที่สุด “ของในเซฟตอนเจ้าของอยากใช้ มันใช้ได้ไหม?”

ลองนึกภาพง่ายๆ คุณมีรถสปอร์ตคันโปรด ทะเบียนสวย ราคาแพง คุณเก็บไว้ในโรงรถบ้านเดี่ยวที่ติดกล้อง CCTV ลึกซึ้ง มีระบบ alarm ขั้นเทพ ไม่มีใครขโมยได้ (Confidentiality ดี) คันรถยังเหมือนเดิม ไม่มีใครแอบเปลี่ยนสีหรือ swap เครื่อง (Integrity ดี) คืนวันเสาร์คุณอยากออกไปเที่ยวกับครอบครัว เปิดโรงรถ ขึ้นรถ กุญแจหายไปไหนก็ไม่รู้ รถยังอยู่ในโรงรถ แต่ใช้ไม่ได้

นี่คือ Availability “ตอนเจ้าของอยากใช้ มันต้องใช้ได้” ฟังดูธรรมดาที่สุดในบรรดา 3 ขา แต่ในทางธุรกิจมันแปลตรงเป็นเงินที่ไหลออกต่อวินาที ทุกวินาทีที่ระบบของคุณ down = เงินที่หาย + ลูกค้าที่หนีไปคู่แข่ง

เคสที่ดังที่สุดของ Availability ที่ตายในประวัติศาสตร์ cybersecurity คือ Maersk โดน NotPetya ปี 2017

Maersk เป็นบริษัทเดินเรือสินค้าระดับโลก ใหญ่ที่สุดในโลก ตู้คอนเทนเนอร์ที่บรรทุกสินค้าทั่วโลกประมาณ 1 ใน 5 ตู้ อยู่บนเรือของ Maersk มิถุนายน 2017 บริษัทบัญชีเล็กๆ ในยูเครนชื่อ M.E.Doc ปล่อย update ของ tax accounting software ออกมาตามรอบปกติ แต่ update ตัวนั้นถูกฝัง malware ชื่อ NotPetya เข้าไป (เดียวกับ pattern ของ SolarWinds ที่เราคุยใน EP ก่อนหน้านี้ supply chain attack) บริษัทไหนในยูเครนที่ใช้ M.E.Doc → ติด NotPetya ทันที หนึ่งในนั้นคือสาขายูเครนของ Maersk

NotPetya ทำงานยังไง? มัน “เข้ารหัสไฟล์ทุกไฟล์” ในเครื่องที่ติดเชื้อ แล้วเขียนทับ Master Boot Record (ส่วนของฮาร์ดดิสก์ที่ใช้บูตเครื่อง) เพื่อให้เครื่องเปิดไม่ติด ดูผิวเผินเหมือน ransomware แต่ NotPetya ไม่มีกุญแจถอดรหัส ไม่มีวิธีจ่ายค่าไถ่จริง มันถูกออกแบบให้ ทำลายอย่างเดียว และมันแพร่กระจายในเครือข่ายภายในได้ด้วยตัวเอง (worm) พอติดในสาขายูเครน → ลามไปสาขาทั่วโลกผ่าน internal network ของ Maersk ภายในไม่กี่ชั่วโมง

ภายในเช้าวันเดียว Maersk มีคอมพิวเตอร์ใช้งานได้ 0 เครื่อง ทั่วโลก ระบบจองตู้สินค้า down ระบบ tracking down ระบบ payroll down อีเมลภายใน down เครื่องที่ท่าเรือ Rotterdam, Mumbai, Los Angeles down ทั้งหมด คนงานท่าเรือเปลี่ยนไปจดเลขตู้คอนเทนเนอร์ด้วย กระดาษ + ปากกา กลับมาเหมือนยุค 1970s

ที่น่าทึ่ง — และที่ทำให้เคสนี้กลายเป็นตำราในวงการ — คือ Maersk รอดมาได้เพราะ “ฟลุก” ของเดียว มี domain controller (เครื่องที่เก็บบัญชีรหัสผ่านพนักงานทั้งบริษัท) ตัวหนึ่งที่อยู่ในประเทศกานา วันที่ NotPetya ระบาด เครื่องนั้นบังเอิญ ไฟดับเพราะระบบไฟฟ้าในกานาไม่เสถียร ทำให้ไม่ได้ online ตอนที่ worm ระบาด เครื่องนั้นเครื่องเดียวรอด เป็นต้นแบบให้ rebuild ทั้งระบบของ Maersk ขึ้นมาใหม่

Maersk ใช้เวลา 10 วันเต็มกว่าจะกลับมาทำงานได้บางส่วน ค่าเสียหายประเมินที่ 300 ล้านดอลลาร์ และนั่นยังไม่นับ “ลูกค้าที่หนีไปบริษัทเดินเรือคู่แข่ง” ในช่วงนั้น ของในระบบของ Maersk ไม่ได้ “รั่ว” (Confidentiality ครบ) ไม่ได้ “ถูกแก้” (Integrity ครบ — มันถูกเข้ารหัสเฉยๆ) แต่ ใช้ไม่ได้ 10 วัน นั่นคือ Availability ตายในเวอร์ชันสมบูรณ์ที่สุด

Availability พังในธุรกิจคุณได้หลายรูปแบบ

• DDoS attack (Distributed Denial of Service โจมตีให้เว็บล่มโดยส่ง traffic ปลอมเข้ามาเป็นล้านครั้งพร้อมกัน) เว็บร้านค้าออนไลน์ของคุณโดน DDoS วันที่จัด flash sale → ลูกค้าจริงเข้าไม่ได้ → ยอดขายตก + ภาพลักษณ์เสีย โจรอาจเป็นคู่แข่งจ้างมาก็ได้ ราคา DDoS รายชั่วโมงในตลาดมืดประมาณ 50-100 ดอลลาร์ ถูกกว่าค่าโฆษณา Facebook 1 วันของคู่แข่งคุณ
• Ransomware เคสเดียวกับ Maersk แต่เล็กกว่า ไฟล์งานทุกตัวในบริษัทถูกเข้ารหัสล็อก งานเดินต่อไม่ได้ ลูกค้าโทรเข้ามาก็ตอบไม่ได้เพราะข้อมูลลูกค้าเข้าไม่ได้ โรงพยาบาลในไทยเคยโดน ransomware ในปี 2024-2025 ระบบนัดหมาย + เวชระเบียนล่ม ต้องส่งคนไข้ฉุกเฉินไปโรงพยาบาลอื่น
• ไฟดับ data center เคสที่บริษัทไทยเจอบ่อย โดยเฉพาะที่พึ่ง data center ผู้ให้บริการเดียว ไฟดับยาว 8 ชั่วโมง = ระบบ down 8 ชั่วโมง = ลูกค้าโทรมาบ่นทั้งวัน หรือเคส cloud provider ล่ม AWS Azure GCP ก็ล่มได้ครับ ปีละ 1-2 ครั้งเป็นเรื่องปกติ
• Vendor หยุดให้บริการ บริษัทคุณใช้ SaaS ตัวหนึ่งที่บริษัท vendor นั้นล้มละลาย → บริการดับ → ข้อมูลที่ค้างใน SaaS นั้นเข้าไม่ได้

เครื่องมือป้องกัน Availability หลักๆ คือ Backup + Redundancy + DDoS Protection Backup คือสำเนาของของในเซฟที่เก็บไว้ในที่อื่น เครื่องหลักล่ม → ใช้สำเนาแทนได้ Redundancy คือมีของเหมือนกันหลายตัว ตัวหนึ่งล่ม อีกตัวรับงานต่อทันที DDoS Protection คือป้อมรับนักท่องเที่ยว 10 ล้านคนพร้อมกัน กรอง traffic ปลอมก่อนถึงเว็บจริง

มุมผู้บริหาร: ถามตัวเองข้อเดียว “ถ้าระบบ X ของบริษัท down 24 ชั่วโมงตั้งแต่ตอนนี้ บริษัทเสียเงินกี่บาท + ลูกค้าหนีกี่ราย?” ทำ exercise นี้กับระบบสำคัญทุกตัว (เว็บขายของ / mobile banking / ระบบ POS / LINE OA / Facebook page) ตัวเลขที่ออกมาคือ “งบประมาณสูงสุดที่ควรจ่ายต่อปีเพื่อกัน down 24 ชั่วโมง” ถ้าระบบเว็บขายของคุณ down 1 วัน = เสีย 2 ล้าน แปลว่าจ่ายค่า backup + redundancy ปีละ 500,000 บาท คือกำไรชัดๆ ผู้บริหารส่วนใหญ่ยังตั้งงบ security เป็น ”% ของรายได้” ซึ่งผิดทาง ที่ถูกคือตั้งจาก “เงินที่เสียถ้าระบบล่ม”

3 ขาขัดกันเอง — ทำไมต้องเลือก ไม่ใช่เอาทั้งหมด#

อ่านมาถึงตรงนี้ ผู้อ่านหลายคนน่าจะคิดว่า “งั้นก็ทำให้ทั้ง 3 ขาสูงสุดเลยสิ ปลอดภัยที่สุด” ฟังดูสมเหตุสมผล แต่ความจริงเศร้ากว่านั้น 3 ขาของ CIA ขัดกันโดยธรรมชาติ ถ้าคุณดัน 1 ขาให้สุด อีก 2 ขาจะตกลง

ลองคิดเป็น 3 ฉาก

• ฉากที่ 1 — Confidentiality สุดทาง อยากให้ของไม่หลุดเลย? ง่ายมาก ปิดระบบไม่ให้ใครเข้า ตัด internet ตัด VPN ตัด USB port encrypt ทุกไฟล์ด้วยรหัสที่ไม่มีใครรู้รวมถึง admin ผลคือ Confidentiality 100% เพราะไม่มีใครเข้าได้ แต่ Availability = 0 เพราะพนักงานคุณเองก็ใช้ระบบไม่ได้ ลูกค้าซื้อของไม่ได้ บริษัทเจ๊ง
• ฉากที่ 2 — Availability สุดทาง อยากให้ทุกคนเข้าระบบได้ทุกเวลาไม่มีสะดุด? ง่ายมาก เปิดทุก port ไม่ต้อง login ไม่ต้อง 2FA ทุก endpoint ใช้ password เดียวกัน “1234” เพื่อเข้าได้เร็ว ผลคือ Availability 100% เพราะใครก็ใช้ได้ทันที แต่ Confidentiality = 0 เพราะรวมถึงโจรด้วย และ Integrity = 0 เพราะใครก็แก้ของได้
• ฉากที่ 3 — Integrity สุดทาง อยากให้ของไม่ถูกแก้โดยไม่ได้รับอนุญาตเลย? ทุก transaction ต้องผ่าน manual approval จากผู้บริหารระดับสูง 3 คนแบบเซ็นลายเซ็นจริง ก่อนบันทึกลงระบบ ผลคือ Integrity 100% แต่ Availability พังย่อยยับ โอน 1 บาทต้องรอ 2 วัน ขายของ 1 ชิ้นต้องรอ 1 สัปดาห์ ลูกค้าหนีหมด

3 ฉากนี้บอกอะไรเรา? บอกว่า CIA ไม่ใช่ checklist ที่ติ๊กให้ครบ มันคือ trade-off ที่ต้องเลือก หน้าที่ของผู้บริหารไม่ใช่ “ทำให้ทั้ง 3 ขาเต็ม 100” (เป็นไปไม่ได้) แต่คือ เลือก 2 จาก 3 ขาที่ธุรกิจของตัวเองต้องการสูงสุด แล้วลงทุนตามนั้น

ผมขอยกตัวอย่างธุรกิจต่างแบบกับ priority CIA ที่ต่างกัน

• ธนาคาร: Integrity > Confidentiality > Availability สำหรับธนาคาร ของที่สำคัญที่สุดคือ “ตัวเลขในบัญชีลูกค้าต้องไม่ผิด” ถ้าตัวเลขผิดแม้บาทเดียวคือเรื่องใหญ่ที่สุด Confidentiality สำคัญรองลงมา (ห้ามข้อมูลลูกค้ารั่ว) Availability สำคัญที่สุดเป็นอันดับ 3 เพราะถ้า ATM ใช้ไม่ได้ 30 นาทีลูกค้ายังพอรับได้ แต่ถ้ายอดในบัญชีแสดงผิดต่อให้แค่ 1 วินาทีลูกค้าเสียศรัทธาถาวร
• โรงพยาบาลฉุกเฉิน: Availability > Integrity > Confidentiality ในห้อง ER ของที่สำคัญที่สุดคือ “ระบบต้องใช้ได้ตลอด” ถ้าระบบเวชระเบียนล่ม 5 นาทีก็มีคนไข้ตายได้ Integrity สำคัญรองลงมา (ห้ามใบสั่งยาผิดตัว) Confidentiality สำคัญแต่ไม่ที่สุด ระหว่างให้หมอเข้าถึงประวัติคนไข้ไม่ได้ vs มีคนอ่านประวัติได้บางส่วนแบบไม่ควร เลือกอย่างหลังเสมอ นี่คือเหตุผลที่ระบบโรงพยาบาลฉุกเฉินมัก “เปิดกว้าง” กว่าธนาคารโดยตั้งใจ
• หน่วยข่าวกรอง: Confidentiality > Integrity > Availability ของที่สำคัญที่สุดคือ “ความลับห้ามรั่ว ถึงจะแลกกับระบบใช้ไม่ได้ก็เอา” Integrity สำคัญรอง ข้อมูลผิดอันตรายแต่ไม่เท่าข้อมูลรั่ว Availability สำคัญสุดท้าย เพราะดีกว่าระบบล่มดีกว่ามีใครเข้ามาขโมยความลับ นี่คือเหตุผลที่ระบบของ NSA หรือ CIA “ปิดสุดทาง” ไม่ใช่เพราะเขางบไม่พอ แต่เพราะเขาตั้งใจให้ปิด
• ร้านอาหารออนไลน์ + delivery: Availability > Confidentiality > Integrity ถ้าคุณเปิดร้าน online แล้วเว็บล่ม 1 ชั่วโมงตอนมื้อกลางวัน ลูกค้าหิว เปิด Foodpanda ของคู่แข่งใน 30 วินาที ไม่กลับมา Availability คือทุกอย่าง Confidentiality สำคัญรอง (ข้อมูลลูกค้าห้ามรั่ว) Integrity สำคัญสุดท้าย เพราะถ้ายอดในระบบผิดเล็กน้อย ยังแก้ทีหลังได้

จะเห็นว่าคำตอบของ CIA priority ขึ้นกับ ลักษณะของธุรกิจ ไม่ใช่ทุกธุรกิจตอบเหมือนกัน ผู้บริหารที่ตอบไม่ได้ว่า “ธุรกิจของผมเน้น 2 ใน 3 ตัวไหน” คือผู้บริหารที่ไม่รู้ว่าตัวเองกำลังป้องกันอะไรอยู่ และมักจะลงทุนผิดทาง

ผมขอเสริม เคล็ดในห้องประชุม ที่ใช้ได้จริง ทุกครั้งที่ vendor มาขายของให้คุณ ถามคำถามนี้ “ของที่คุณขายนี้ช่วยเสริม C, I หรือ A?” ถ้า vendor ตอบได้ทันที + ชัด เป็น vendor ที่รู้ของจริง คุยต่อได้ ถ้า vendor ตอบ “เสริมทั้งสามตัว” ผมการันตีว่าเขาขายของไม่จำเป็น เพราะของที่เสริมทั้งสามตัวพร้อมกันแบบไม่ trade-off ไม่มีในโลก ถ้า vendor ตอบไม่ได้เลย เขาเป็น sales ที่ไม่เข้าใจของตัวเอง อย่าซื้อ

มุมผู้บริหาร: ก่อน meeting ครั้งหน้าที่ทีม IT จะมาขออนุมัติงบ security ลองให้พวกเขาตอบ exercise สั้นๆ ก่อน เขียนคำตอบสั้นๆ “ธุรกิจของบริษัทเรา priority CIA คือลำดับไหน (เรียง 3 ตัวจากมากไปน้อย) และเพราะอะไร” ถ้าทีม IT เขียนคนละลำดับกัน → ทีมไม่ได้ align กับ business ถ้าทีม IT ตอบไม่ตรงกับที่ผู้บริหารคิด → คุณเองต้องตัดสิน ถ้าทุกคนตอบ “I = C = A ทั้งสามเท่ากัน” เขาไม่เข้าใจ business จริง คำถามนี้ใช้เวลา 10 นาที แต่จัดทิศทาง investment security ของทั้งบริษัทได้ทั้งปี

เมื่อ CIA ตอบไม่ครบ — Parkerian Hexad ที่หลายคนยังไม่เคยได้ยิน#

ก่อนจะปิด EP นี้ผมอยากแถมเรื่องหนึ่งที่หลายคอร์ส security เริ่มต้นไม่ได้สอน แต่ถ้าคุณเข้าห้องประชุมระดับ board หรือคุยกับ auditor ระดับสากล จะเจอบ่อย

ลองคิดถึงเคส ransomware ที่ผมเล่าใน Availability ดู สมมติบริษัทคุณโดน ransomware ไฟล์ทุกไฟล์ถูกเข้ารหัสล็อก ทีนี้มาตอบ CIA 3 คำถามดู

• Confidentiality? ยังครบ ของถูกเข้ารหัสล็อกอยู่ ไม่มีใครอ่านได้ รวมถึงโจรเอง (ถ้าโจรไม่ได้ copy ออกไป)
• Integrity? ยังครบ ของไม่ได้ถูก “แก้” มันแค่ “ถูกเข้ารหัส” ข้อมูลข้างในยังคงเดิม
• Availability? เอ๊ะ ทางทฤษฎีของยังอยู่ในเครื่อง ไม่ได้หายไปไหน เพียงแต่ “เข้าไม่ได้”

ถ้าตอบตรงๆ ตาม CIA จะดูเหมือนทุกขาผ่าน แต่ในความเป็นจริงบริษัทคุณ ใช้ไม่ได้เลย CIA เริ่มอธิบายเคสนี้ได้ไม่ครบ ปี 2002 มีผู้เชี่ยวชาญ security ชื่อ Donn Parker เสนอเพิ่มอีก 3 ขาเข้าไปเรียกว่า Parkerian Hexad (Hexad = 6 ขา) เพื่ออธิบายเคสที่ CIA ตอบไม่หมด

3 ขาเพิ่มของ Parkerian Hexad คือ:

• Possession / Control — ใครเป็นคนคุมสำเนา? ลองนึกภาพ โจรขโมยฐานข้อมูลของคุณออกไป แต่ยังอ่านไม่ได้เพราะ encrypt อยู่ ในมุม Confidentiality “ของยังไม่รั่ว” แต่ในมุม Possession “ของอยู่ในมือโจรแล้ว ไม่ใช่ในมือคุณคนเดียว” ความแตกต่างสำคัญตรงไหน? ตรงที่ถ้าโจรรอ 5 ปีให้คอมพิวเตอร์ใหม่แรงพอ encrypt ของเก่าอาจถูกถอดได้ หรือถ้าคีย์ encryption รั่วในอนาคต โจรยังมี copy อยู่ พร้อมเปิดทันที Possession ตายหมายความว่า “ของไม่ใช่ของคุณคนเดียวแล้ว”
• Authenticity — ของจริงหรือปลอม? ลองนึกถึง email spoofing โจรส่งอีเมลปลอมที่ดูเหมือนมาจาก CEO บอกฝ่ายการเงินให้โอนเงิน 5 ล้าน อีเมลนั้นไม่ได้ถูก “แก้” (Integrity ครบ มันเป็นเมลใหม่) ไม่ได้ “หลุด” (Confidentiality ครบ) ระบบ “ใช้ได้” (Availability ครบ) แต่ มันไม่ได้มาจากคนที่อ้างว่ามาจาก Authenticity ตาย ในยุค deepfake ที่ผมเล่าใน EP.01 Authenticity เป็นขาที่ถูกโจมตีบ่อยที่สุดในเคสจริงตอนนี้
• Utility — ใช้ประโยชน์ได้จริงไหม? กลับมาที่ ransomware ข้อมูลยังครบ ไม่ถูกแก้ อยู่ในเครื่องเดิม แต่ใช้ไม่ได้เพราะอยู่ในรูปที่อ่านไม่ออก Utility = 0 หรืออีกเคส backup ที่บริษัทคุณทำทุกวัน ตอนสำคัญต้อง restore กลับมา restore แล้ว file เปิดไม่ออกเพราะ format เก่าเกินไป ขั้นตอน restore ผิด หรือกุญแจ decrypt หาย ของในเซฟครบ แต่เอาออกมาใช้ไม่ได้

ถ้าให้สรุปสั้นๆ CIA ถาม “ข้อมูลปลอดภัยไหม” Parkerian ถามต่อ “และมีประโยชน์จริงๆ ไหม” ในวงการ certification ระดับสากล (CISSP, CISA, ISACA) จะเจอ Parkerian Hexad บ่อย เพราะมันจัดการกับเคส modern attack ได้ดีกว่า CIA ดั้งเดิม

ผู้บริหารที่ไม่ใช่ IT ไม่ต้องท่องชื่อ 6 ตัว แค่จำว่า CIA คือพื้นฐาน, Parkerian คือส่วนเสริมที่ใช้ครอบเคสที่ CIA หลุด และเวลา vendor มาขาย “ของป้องกัน ransomware” ลองถามต่อว่า “แล้วของคุณช่วยเรื่อง Utility ของ backup ของเราด้วยไหม? เพราะ ransomware ทำให้ Utility ตาย ไม่ใช่ Availability ตรงๆ” ถ้า vendor งง = เขาไม่เข้าใจ ransomware จริง

สรุป — 3 คำถามที่กรองทุก control#

ถ้าให้สรุป EP นี้เป็นภาพเดียว ในเมืองที่ของมีค่ามากขึ้นทุกวัน ยามที่ดีไม่ใช่ยามที่ใส่ชุดสวยที่สุด ไม่ใช่ยามที่ถือปืนแพงที่สุด แต่คือยามที่ตอบ 3 คำถามได้ทุกครั้งที่เดินผ่านของในเซฟ ใครเห็นได้บ้าง / ของถูกแก้โดยไม่ได้รับอนุญาตไหม / ใช้ได้ตอนต้องใช้ไหม 3 คำถามนี้คือ CIA Triad เครื่องมือคิดที่ใช้กรองทุก decision เรื่อง security ตั้งแต่ password ของพนักงานยันสัญญา vendor ระดับชาติ

Confidentiality ถามว่าใครมีสิทธิ์รู้ Equifax ทำให้เห็นว่าเมื่อขานี้ตาย 147 ล้าน records ของชาวอเมริกันหลุด 700 ล้านดอลลาร์ระเหย Integrity ถามว่าของยังเหมือนเดิมไหม Stuxnet ทำให้เห็นว่าเมื่อขานี้ตาย โรงงานนิวเคลียร์พังโดยที่หน้าจอบอกว่า “ปกติ” Availability ถามว่าใช้ได้ไหมตอนต้องใช้ Maersk + NotPetya ทำให้เห็นว่าเมื่อขานี้ตาย บริษัทเดินเรือใหญ่ที่สุดในโลกกลับไปใช้กระดาษกับปากกา 10 วัน

และที่สำคัญที่สุด 3 ขานี้ขัดกันโดยธรรมชาติ คุณเลือก 2 ใน 3 ได้ ไม่ใช่ทั้งสาม ธุรกิจของคุณเน้นขาไหน ขึ้นกับว่าคุณทำอะไร ธนาคารเน้น Integrity, โรงพยาบาลฉุกเฉินเน้น Availability, หน่วยข่าวกรองเน้น Confidentiality, ร้านอาหาร online เน้น Availability ไม่มีคำตอบ “ถูก” สำหรับทุกธุรกิจ มีแต่คำตอบที่ “ใช่สำหรับคุณ”