พาโล อัลโต้ จับมือ สกมช เปิดแผนยุทธศาสตร์ความปลอดภัยระบบคลาวด์ของประเทศไทย

พาโล อัลโต้ เน็ตเวิร์กส์ ร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ประกาศเปิดตัวแผนงานเชิงกลยุทธ์เพื่อรักษาความปลอดภัยบนคลาวด์ในประเทศไทย หลังจากการประเมินสถานะความปลอดภัยบนคลาวด์ของพาโล อัลโต้ เน็ตเวิร์กส์  (Cloud Security Posture Assessment: SPA)

โดยการประเมินได้พิจารณาจากมาตรการและความพร้อมด้านความปลอดภัยบนคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง และสนับสนุนการจัดทำโรดแมปให้กับประเทศไทย ซึ่งจะเป็นรากฐานสำคัญในการปฎิบัติตามกรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Thailand’s National Cloud Security Framework) ที่ สกมช. ได้ประกาศเผยแพร่มาตั้งแต่ปี 2568 (ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567) และเร่งยกระดับความสามารถในการป้องกันเชิงรุกของภาครัฐอย่างยั่งยืน

สำหรับประเทศไทย ภาครัฐกำลังส่งเสริมและผลักดันนโยบาย Cloud First Policy อย่างจริงจัง เพื่อบูรณาการใช้งานเทคโนโลยีคลาวด์ในหน่วยงานภาครัฐทุกแห่ง รวมถึงองค์กรและภาคเอกชนที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญของประเทศ เพื่อรองรับการเปลี่ยนผ่านสู่ดิจิทัลของประเทศ อย่างไรก็ตามเมื่อโครงสร้างพื้นฐานของคลาวด์เติบโตขึ้นตามการเติบโตของ AI ข้อมูลบนคลาวด์ได้ตกเป็นเป้าหมายสำคัญของการโจมตีจากแฮกเกอร์ โดยรายงานสถานะความปลอดภัยบนคลาวด์ประจำปี 2568  (State of Cloud Security Report) ของพาโล อัลโต้ เน็ตเวิร์กส์ ระบุว่า 99% ขององค์กรเคยเผชิญกับการโจมตีต่อระบบ AI อย่างน้อยหนึ่งครั้งในช่วงปีที่ผ่านมา

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า “ภายใต้นโยบาย ‘Cloud First’ ของประเทศไทย ความมั่นคงปลอดภัยไม่ได้เป็นแค่ทางเลือก แต่เป็นรากฐานที่สำคัญต่อการพัฒนาเศรษฐกิจและสังคมดิจิทัล  ผลการประเมินในครั้งนี้ทำให้เราเห็นจุดแข็งและจุดอ่อนได้อย่างชัดเจน เพื่อเป็นแนวทางให้เราเร่งแก้ไขปรับปรุงต่อไป ภายใต้ความร่วมมือกับผู้เชี่ยวชาญระดับโลกอย่าง พาโล อัลโต้ เน็ตเวิร์กส์ ได้ช่วยให้เราสามารถปรับเปลี่ยนการทำงานจากการตั้งรับไปสู่การป้องกันในเชิงรุก เพื่อให้มั่นใจว่าบริการดิจิทัลของภาครัฐจะมีความเสถียร ปลอดภัย และพร้อมสำหรับอนาคต”

สำหรับผลการประเมินความพร้อมด้านความมั่นคงปลอดภัยบนระบบคลาวด์ของหน่วยงานภาครัฐ 13 แห่ง พบว่า หน่วยงานภาครัฐมีระดับความพร้อมที่แตกต่างกันดังนี้

●     ในด้านการวางแผนเชิงกลยุทธ์หน่วยงานภาครัฐทั้ง 13 แห่งสามารถทำได้ดี โดยมีคะแนนเฉลี่ยที่ประมาณ 84% ในหัวข้อกลยุทธ์คลาวด์ (Cloud Strategy) และ 82% ในศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operations)

●     Cloud Security Posture บนไพรเวทคลาวด์เป็นอีกหนึ่งหัวข้อที่ทำคะแนนอยู่ในระดับสูง คือ 77% 

●     ผลการประเมินชี้ให้เห็นว่ายังมีโอกาสอีกมากสำหรับการพัฒนาในด้านความปลอดภัยระหว่างการทำงานของระบบคลาวด์ (Cloud Runtime) และความปลอดภัยของแอปพลิเคชันบนคลาวด์ (Cloud Application Security) นอกจากนี้ยังพบว่า 70% ของหน่วยงานยังได้รับผลกระทบจากการตั้งค่าระบบผิดพลาด และข้อจำกัดในการบริหารจัดการแบบรวมศูนย์

●     ผลการประเมินยังระบุว่า 60% ของหน่วยงานภาครัฐยังขาดการเชื่อมโยงข้อมูลภัยคุกคามกับศูนย์ปฏิบัติการความปลอดภัย (SOC) ทำให้การตอบสนองต่อภัยคุกคามทำได้ล่าช้า โดยเฉพาะภัยคุกคามที่ขับเคลื่อนด้วย AI ขณะที่การป้องกันส่วนใหญ่ยังเป็นการตั้งรับ (Reactive) มากกว่าเป็นการป้องกันในเชิงรุก (Proactive)

โดย 13 หน่วยงานดังกล่าว มีทั้งหน่วยโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII: Critical Information Infrastructure) และหน่วยงานที่ไม่ได้อยู่ในกลุ่ม CII แต่มีข้อมูลที่เกี่ยวข้องกับประชาชนจำนวนมาก ซึ่งการประเมินครั้งนี้ พบว่าควรจะมีการต่อยอดด้านการให้ความรู้เชิงปฏิบัติด้วย

ดร.ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและเวียดนาม พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า เรื่องความปลอดภัยไซเบอร์เป็นเรื่องที่ต้องทำงานร่วมกันอย่างใกล้ชิดระหว่างภาครัฐและเอกชน เพื่อเปลี่ยนการป้องกันแบบตั้งรับไปสู่การบริหารจัดการความปลอดภัยไซเบอร์เชิงรุกด้วย AI ผลประเมินความพร้อมในครั้งนี้ชี้ให้เห็นว่า แม้เราจะมีนโยบายที่ชัดเจน แต่ในสภาพแวดล้อมของการปฏิบัติงานจริง ยังจำเป็นที่จะต้องได้รับการส่งเสริมสนับสนุนให้มีความเข้มแข็งเพิ่มขึ้น การสนับสนุนการจัดทำโรดแมปนี้ทำให้เราสามารถรวบรวมเครื่องมือป้องกันที่กระจัดกระจายไว้ภายใต้แพลตฟอร์มเดียวกัน โดยแผนงานใหม่นี้มุ่งเน้นการใช้ AI และระบบอัตโนมัติ (Automation) มาช่วยให้หน่วยงานเห็นภาพรวมของระบบคลาวด์ทั้งหมดและสามารถหยุดยั้งภัยคุกคามได้แบบเรียลไทม์ เพื่อปิดช่องว่างระหว่างนโยบายและการปฏิบัติจริงได้อย่างมีประสิทธิภาพ”

เพื่อให้สอดคล้องกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์และนโยบายคลาวด์เฟิร์สของประเทศพาโล อัลโต้ เน็ตเวิร์กส์ จึงร่วมมือกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อเร่งนำเทคโนโลยีคลาวด์และ AI มาเสริมความมั่นคงปลอดภัยในภาครัฐ ความร่วมมือนี้เป็นวางรากฐานเชิงกลยุทธ์เพื่อยกระดับการคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานใหม่  ช่วยให้หน่วยงานภาครัฐสามารถเปลี่ยนผ่านไปสู่โครงสร้างพื้นฐานดิจิทัลที่มีความยืดหยุ่นได้อย่างปลอดภัย ผ่านความร่วมมือใน 4 ด้านหลัก ได้แก่ การนำมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์มาปฏิบัติและกำกับให้เป็นไปตามข้อกำหนด การคุ้มครองข้อมูลและการปฏิบัติตามมาตรฐานการกำกับดูแล การฝึกอบรมและพัฒนาศักยภาพบุคลากร และการขับเคลื่อนความร่วมมือด้านความปลอดภัยไซเบอร์ระหว่างภาครัฐและเอกชน


โรดแมปสู่ความยั่งยืนของระบบคลาวด์ 

ผลการประเมินในครั้งนี้แสดงให้เห็นว่า การประเมินที่ครอบคลุมในทุกด้านของCloud SPA มีความสำคัญอย่างยิ่งในการระบุถึง จุดแข็งและจุดอ่อนที่สำคัญในด้านความปลอดภัยของระบบคลาวด์ของหน่วยงานภาครัฐ ซึ่งเป็นข้อมูลสำคัญที่นำไปสู่การสนับสนุนการวางโรดแมปของระบบคลาวด์ให้กับประเทศ ก่อนที่ “มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567” จะเริ่มมีผลบังคับใช้ในเดือนกันยายน 2569 นี้

เพื่อแก้ไขปัญหาดังกล่าวพาโล อัลโต้ เน็ตเวิร์กส์ ได้สนับสนุนการจัดทำโรดแมปของระบบคลาวด์ให้กับประเทศไทยที่อยู่ในระหว่างการจัดทำโดย สกมช. เพื่อผลักดันภาครัฐสู่การรักษาความมั่นคงปลอดภัยเชิงรุกที่ขับเคลื่อนด้วย AI:

ระยะที่ 1: การเตรียมความพร้อมและวางรากฐาน (Foundations & Readiness) – มุ่งเน้นการกำหนดมาตรฐานกลางและการใช้แพลตฟอร์มปกป้องแอปพลิเคชันบนคลาวด์ (CNAPP) และกำหนดการดำเนินงานขั้นต่ำเพื่อลดการตั้งค่าระบบคลาวด์ที่ผิดพลาด

ระยะที่ 2: การเฝ้าระวังและตอบสนองเชิงรุก (Proactive Surveillance & Response) – เชื่อมต่อระบบคลาวด์เข้ากับศูนย์ปฏิบัติการความปลอดภัย รวมถึงการพัฒนาคู่มือแนวทางปฏิบัติเพื่อรับมือกับเหตุฉุกเฉิน (Playbooks) และจัดตั้งคณะทำงาน เพื่อขับเคลื่อนความร่วมมือและการแลกเปลี่ยนองค์ความรู้

ระยะที่ 3: ความยั่งยืนและกรอบการกำกับ (Sustainability & Regulation) – จัดตั้งศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัย AI และคลาวด์ (CoE) จัดตั้งทีมตอบสนองเหตุฉุกเฉินด้านคลาวด์ Cloud CERT รวมถึงการปรับปรุงมาตรฐานการจัดซื้อจัดจ้างให้บูรณาการข้อกำหนดด้านความปลอดภัยเป็นส่วนหนึ่งในการพิจารณา


 ดร.ธัชพล กล่าวเสริมถึงแผนต่อยอดโครงการความมั่นคงปลอดภัยคลาวด์ ภายหลังจากโครงการนำร่องด้านการรักษาความมั่นคงปลอดภัยบนระบบคลาวด์ดังกล่าว โดยระบุถึงแนวทางการต่อยอดโครงการอย่างเป็นรูปธรรมในหลายมิติ เพื่อยกระดับมาตรฐานการดูแลข้อมูลและระบบสารสนเทศของประเทศให้มีประสิทธิภาพยิ่งขึ้น โดยมีประเด็นสำคัญดังนี้

1. การเร่งสร้างทักษะและบุคลากรผู้เชี่ยวชาญ (Upskilling & Awareness) โครงการได้ขยายผลไปสู่การสร้างความตระหนักรู้และทักษะที่จำเป็น โดยร่วมมือกับสถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล (TDGA) ภายใต้สำนักงานพัฒนารัฐบาลดิจิทัล (DGA) ในการจัดอบรมซึ่งปัจจุบันมีการดำเนินการไปแล้ว 2 รุ่นและมีผู้สนใจเข้าร่วมจนเต็มจำนวน การอบรมนี้มุ่งเน้นไปที่ทักษะสำคัญด้าน Cloud Security ภายใต้มาตรฐานที่เรียกว่า CnAP เพื่อให้บุคลากรมีความพร้อมในการรับมือกับความเสี่ยงจากการตั้งค่าระบบผิดพลาด (Config) ซึ่งเป็นสาเหตุหลักของปัญหาข้อมูลรั่วไหลในปัจจุบัน

2. การพัฒนาระบบรวมศูนย์เฝ้าระวังระดับกระทรวง (Central Assessment) สำหรับการต่อยอดในระดับโครงสร้างองค์กร ดร.ธัชพล ได้นำเสนอแนวคิดใหม่ที่เรียกว่า “Central Assessment” หรือการรวมศูนย์เพื่อช่วยดูแลด้านความมั่นคงปลอดภัย โดยมีแผนที่จะร่วมมือกับแต่ละกระทรวงที่มีกรมในสังกัดจำนวนมาก เพื่อสร้างระบบในลักษณะเดียวกับ ThaiCERT แต่ย่อส่วนลงมาอยู่ในระดับกระทรวง แนวทางนี้จะช่วยให้เกิดการแชร์ทักษะ (Skill Sharing) และทรัพยากรในการเฝ้าระวังภัยคุกคามบนระบบคลาวด์ร่วมกันอย่างมีประสิทธิภาพ

3. การบูรณาการร่วมกับหน่วยงานกำกับดูแล (Regulators) โครงการมีเป้าหมายขยายผลไปยังกลุ่มหน่วยงานกำกับดูแลสำคัญของประเทศ อาทิ:

• ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.)  สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

4. เปลี่ยนจาก “นโยบาย” เป็น “แนวทางปฏิบัติจริง” (From Policy to How-to) จุดเด่นของการต่อยอดโครงการนี้คือการก้าวข้ามขีดจำกัดของเรกูเลเตอร์ทั่วไปที่มักออกเพียงแค่กรอบนโยบาย (Policy Framework) แต่ขาดแนวทางปฏิบัติ โดยโครงการจะนำเอาแนวทางปฏิบัติ (Cloud Guidelines) และวิธีการแก้ไขปัญหาจริงที่ถอดรหัสมาจากพระราชบัญญัติ มาจัดทำเป็นคู่มือการทำงานหรือ “How-to” เพื่อให้หน่วยงานต่าง ๆ สามารถนำไปประยุกต์ใช้และลงมือปฏิบัติจริงได้ทันที ซึ่งเป็นสิ่งที่ได้รับความสนใจและตอบรับอย่างดีจากหน่วยงานที่เข้าร่วม

ทั้งนี้ การต่อยอดทั้งหมดจะดำเนินการควบคู่ไปกับการบังคับใช้กฎหมายลำดับรองภายใต้ พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ที่จะมีผลบังคับใช้ในเดือนกันยายนนี้ โดยมุ่งเน้นไปที่หน่วยงานรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) เป็นหลัก โดยในช่วงแรกได้ตั้งเป้าหมายที่จะเข้าตรวจสอบออดิต (Audit) อย่างละเอียดใน 5 หน่วยงานนำร่อง เพื่อเป็นการเรียนรู้ร่วมกันก่อนจะขยายผลไปยัง 100 หน่วยงานเป้าหมายต่อไป