ช่วงหลังๆ มานี้ ประเด็นเรื่อง "ความปลอดภัย" ของโลกไอทีกลายเป็นเรื่องใหญ่กว่าในอดีตมาก ความซับซ้อนของภัยคุกคามไซเบอร์เพิ่มขึ้นหลายเท่า และมาตรการป้องกันภัยเองก็พัฒนาขึ้นจาก "แอนตี้ไวรัส" เพียงอย่างเดียวมาเป็นชุดเครื่องมือหลายๆ อย่างทำงานประสานกันแทน
เมื่อพูดถึงบริษัทด้านความปลอดภัยของโลกไอที แบรนด์แรกๆ ที่คนทั่วไปนึกถึงมักเป็น Norton ผลิตภัณฑ์จากบริษัท Symantec ซึ่งเป็นบริษัทด้านความปลอดภัยรายใหญ่ของโลก มีประวัติความเป็นมายาวนาน
ผมมีโอกาสสัมภาษณ์ คุณประมุท ศรีวิเชียร ผู้จัดการประจำประเทศไทย Symantec Thailand ซึ่งจะมาเล่าสถานการณ์ของความปลอดภัยไซเบอร์ที่เปลี่ยนแปลงไป และอธิบายว่าจริงๆ แล้ว Symantec มีสินค้าและผลิตภัณฑ์อื่นๆ นอกเหนือจาก Norton อีกมาก
คนส่วนใหญ่มักคิดถึง Norton แต่จริงๆ แล้ว Symantec ทำธุรกิจเกี่ยวกับการบริหารจัดการข้อมูล มีผลิตภัณฑ์ทั้งฝั่งคอนซูเมอร์คือ Norton และฝั่งองค์กร ซึ่งมีทั้งเรื่องความปลอดภัยโดยตรง และสินค้าอื่นๆ ที่เกี่ยวข้องกับข้อมูลโดยเฉพาะการแบ็คอัพ ปัจจุบันรายได้หลักของ Symantec มาจากฝั่งองค์กร ซึ่งในประเทศไทยก็เป็นไปในทิศทางนี้
ผลิตภัณฑ์ฝั่งองค์กรของ Symantec แบ่งได้เป็น 4 กลุ่มใหญ่ๆ คือ
Endpoint เป็นผลิตภัณฑ์หลักด้านความปลอดภัยของ Symantec โดยชื่อ "Endpoint" หมายถึง endpoint device หรืออุปกรณ์ปลายทางที่ผู้ใช้ใช้งานอยู่ จะเป็นอะไรก็ได้ พีซี แท็บเล็ต สมาร์ทโฟน แต่เป้าหมายคือคุ้มครองอุปกรณ์ปลายทางที่อยู่กับผู้ใช้โดยตรง
แนวคิดของ Endpoint คืออุปกรณ์เหล่านี้เป็นเครื่องมือพื้นฐานที่ภาคธุรกิจใช้งาน การป้องกันที่ตัวอุปกรณ์ปลายทางโดยตรง จะช่วยลดความเสี่ยงในทุกๆ ด้าน ไม่ว่าจะเป็นมัลแวร์ การโจมตี หรือการขโมยข้อมูล ซึ่งผลลัพธ์คือช่วยลดความเสี่ยงของธุรกิจจากปัญหาข้อมูลรั่วไหล หรืออุปกรณ์ใช้งานไม่ได้จนธุรกิจเสียหาย
Symantec ทำธุรกิจมานาน ฐานผู้ใช้งาน Norton ถือว่าเยอะที่สุดในโลกคือ 145 ล้านเครื่อง ส่วนระบบระวังภัยของบริษัทคือ Global Intelligence Network ก็ตามแทร็คข้อมูลเรื่องภัยคุกคามไปทั่วโลก มีเซ็นเซอร์รับข้อมูลกว่า 250,000 จุดใน 200 ประเทศ และคอยสกัดกั้นการโจมตีออนไลน์วันละ 1.5 พันล้าน transaction
Symantec ออกรายงานสรุปสถานการณ์ภัยคุกคามบนอินเทอร์เน็ต (Internet Security Threat Report) ปีละครั้ง ข้อมูลของปี 2012 ยังไม่ออก แต่ถ้าตัวเลขของปี 2011 ภัยคุกคามเพิ่มขึ้นจากปี 2010 ถึง 81% และลูกค้าฝั่งองค์กรเองก็มีข้อมูลว่า 71% รับรู้ว่าหน่วยงานของตัวเองโดนโจมตี ถ้านับเป็นจำนวนไวรัสที่เกิดใหม่ คิดตาม signature (รูปแบบของไวรัส) มีเกิดขึ้นใหม่ถึง 400 แบบ ดังนั้นวิธีการจัดการกับความปลอดภัยจึงต้องเปลี่ยนไป
เดิมทีการตรวจจับไวรัสใช้วิธีตรวจสอบแบบ fingerprint matching ที่ไม่ค่อยมีประสิทธิภาพมากนัก เราก็นำประสบการณ์และข้อมูลทั้งหมดมาประมวลผลและวิเคราะห์ กลายเป็น cloud-based reputation ตรวจสอบรูปแบบไวรัสที่ไม่เป็นแพทเทิร์นได้ ประสิทธิภาพของการสแกนก็ดีขึ้นตามมา
แต่นอกจากการป้องกันที่ตัวอุปกรณ์แล้ว ก็ต้องป้องกันตัวข้อมูลด้วย ในปี 2011 สถิติระบุว่ามีการขโมยข้อมูลส่วนบุคคล (identity theft) มากถึง 232 ล้าน record ถือเป็นความสูญเสียทางธุรกิจอย่างมาก ตรงนี้ Symantec มีผลิตภัณฑ์พวก data lost prevention และ encryption ลดความเสี่ยงของข้อมูลเมื่ออุปกรณ์สูญหาย
นอกจากนี้ยังมีบริการเกี่ยวกับการรับประกันคุณภาพ-มาตรฐานด้านความปลอดภัยให้องค์กร เมืองไทยเดิมทีไม่ค่อยมีระเบียบเรื่อง policy/standard ด้านความปลอดภัยมากนัก แต่การเกิดขึ้นของ พ.ร.บ. คอมพิวเตอร์ฯ ก็ช่วยให้คนตื่นตัวกันมากขึ้น เริ่มเก็บ log กันมากขึ้น อย่างไรก็ตามการเก็บ log อย่างเดียวไม่พอ เพราะต้องพัฒนาเป็นการวิเคราะห์ความสัมพันธ์ (correlation) ตรวจสอบพฤติกรรมด้านความปลอดภัย หาจุดโหว่หรือภัยคุกคามภายในองค์กรด้วย
เรื่องมาตรฐานความปลอดภัยเป็นสิ่งสำคัญมากถ้าต้องทำธุรกรรมกับบริษัทต่างชาติ ยิ่งถ้าเกิดมีประชาคมอาเซียนขึ้นมาก็ยิ่งแล้วใหญ่ องค์กรก็ต้องหามาตรฐานด้านความปลอดภัยให้คู่ค้าเชื่อมั่นด้วย มาตรฐานที่ใช้กันแพร่หลายก็อย่างเช่น ISO 27001 แต่ในบางธุรกิจอย่างการเงินหรือสาธารณสุข ก็มีมาตรฐานเฉพาะของตัวเองอย่าง HIPAA ของสหรัฐ
ภัยคุกคามต่อกลุ่มลูกค้า SME เพิ่มขึ้นเยอะมาก เพราะความพร้อมด้านความปลอดภัยน้อยกว่าองค์กรใหญ่มาก แฮ็กเกอร์เองก็รู้จุดนี้เลยหันมาโจมตี SME กันเพิ่มขึ้น และใช้ SME เป็นบ็อตเน็ต เป็นฐานการโจมตีไปยังหน่วยงานอื่นๆ ด้วย
Symantec เองก็เริ่มเน้นตลาดกลุ่มนี้ โดยมีสินค้ากลุ่มที่เรียกว่า Endpoint Protection SBE (Small Business Edition) ซึ่งรุ่นล่าสุด 2013 สามารถเลือกได้ว่าจะใช้งานแบบติดตั้งภายในองค์กร (on premise) หรือผ่านกลุ่มเมฆก็ได้
ผลิตภัณฑ์อีกกลุ่มที่กำลังมาแรงคือ อุปกรณ์สำเร็จรูป (appliance) สำหรับการแบ็คอัพข้อมูล ซี่งมีชื่อเรียกว่า Purpose-Built Backup Appliance หรือ PBBA ตรงนี้จะเข้ามาช่วยแก้ปัญหาเรื่องระยะเวลาที่อุปกรณ์แบ็คอัพทำการแบ็คอัพ (backup window) ที่มักจะนานจนผู้ใช้ไม่สะดวกตามดูแล ตรงนี้อุปกรณ์อัตโนมัติเข้ามาช่วยได้
ลูกค้าไทยตื่นตัวเรื่องความปลอดภัยมากขึ้นอย่างเห็นได้ชัด โดยเฉพาะการลงทุนเรื่องความปลอดภัยของอุปกรณ์ปลายทาง (endpoint)
สินค้ากลุ่ม Endpoint Protection ที่ขายแบบ volume licensing ให้องค์กรมียอดขายเพิ่มสูงมาก เรามีทั้งแบบขายเป็นจำนวน license และแบบใช้งานผ่านกลุ่มเมฆ เครื่องมือทั้งหมดในชุดมีตั้งแต่แอนตี้ไวรัส การควบคุมอุปกรณ์จากระยะไกล การควบคุมแอพในอุปกรณ์ ไปจนถึงการป้องกันเกตย์เวย์และเซิร์ฟเวอร์ขององค์กรขนาดใหญ่
เรามีกิจกรรมร่วมกับหน่วยงานภาครัฐในไทย เช่น สำนักงานรัฐบาลอิเล็กทรอนิกส์ องค์การมหาชน (สรอ) และ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ) ถ้าเป็นภาคเอกชนขนาดใหญ่จะสนใจเรื่อง compliance กับมาตรฐาน และตอนนี้ภาคการเงินไทยก็สนใจเรื่อง identity protection กับ data lost prevention มากขึ้น เพราะกระทบกับลูกค้าของภาคการเงินโดยตรง
วิดีโอของ Symantec กรณีศึกษาลูกค้าการบินไทย
องค์กรบางแห่งเรียกนโยบายอุปกรณ์พกพา เช่น BYOD (bring your own device) ว่าเป็นการปฎิวัติในเชิงบริหารจัดการเลย เพราะมันเข้ามาเปลี่ยนแนวคิดเรื่องการบริหารจัดการเยอะมาก จากเดิมที่ควบคุมชนิดและประเภทของอุปกรณ์ในองค์กรได้ ก็กลายเป็นว่าทำไม่ได้แล้ว
กลายเป็นว่าตอนนี้เรามีอุปกรณ์ 2 ประเภทใหญ่ๆ ในองค์กร คือ
อุปกรณ์ที่องค์กรควบคุมได้เรียกว่า managed device ส่วนอุปกรณ์ของพนักงานที่ควบคุมไม่ได้เรียก unmanaged แนวคิดคือองค์กรต้องเข้ามาควบคุมการใช้งานอุปกรณ์ของพนักงาน โดยต้องกำหนดระดับการเข้าถึงว่า ถ้าเป็นอุปกรณ์ของพนักงานเองจะเข้าถึงข้อมูลองค์กรระดับไหนได้บ้าง หรือถ้าติดตั้งระบบควบคุมก็เข้าถึงข้อมูลได้มากขึ้น แบบเดียวกับที่โน้ตบุ๊กใช้วิธีการลง software agent ในเครื่องไว้บริการจัดการ ซึ่งอุปกรณ์พกพาก็ควรมีแบบเดียวกัน
ตรงนี้พนักงานอาจรู้สึกว่าเป็นเครื่องส่วนตัวของฉัน ไม่อยากให้องค์กรเข้ามายุ่ง แต่ก็แน่นอนว่าถ้าคุณอยากใช้อุปกรณ์นี้เชื่อมต่อกับเครือข่ายภายในองค์กร ก็ต้องยอมเสียสิทธิ์บางส่วน นโยบาย BYOD เป็นเรื่องดี มีผลสำรวจว่าพนักงานรู้สึกมีอิสรภาพมากขึ้น ผลงานก็ออกมาดี แต่ก็ต้องมีการบริหารจัดการอุปกรณ์ที่หลากลาย ตรงนี้ผลิตภัณฑ์ของเราเข้ามาช่วยอำนวยความสะดวกได้
ผลิตภัณฑ์ด้านอุปกรณ์พกพาของ Symantec ในปัจจุบัน สามารถควบคุมการเข้าถึงได้หลายระดับ เช่น แบบมาตรฐานก็ถ้าพนักงานลาออก สามารถ remote wipe ข้อมูลภายในเครื่องได้ หรือสามารถกำหนดว่าถ้าดาวน์โหลดไฟล์จากในองค์กรไปดูในเครื่อง ก็ห้ามเขียนลง SD card ในเครื่อง เป็นต้น
Symantec เพิ่งประกาศยุทธศาสตร์ใหม่ขององค์กรเมื่อไม่นานมานี้ โดยจะมีผลในเดือนเมษายนนี้ ตามปีงบประมาณ 2014 ที่จะเริ่มในเดือนเมษายน
ยุทธศาสตร์ใหม่ของ Symantec เป็นผลมาจากซีอีโอคนใหม่ Steve Bennett ที่เพิ่งมารับตำแหน่งเมื่อเดือนกรกฎาคม 2012 โดยเขามีประสบการณ์บริการจาก GE และ Intuit มาก่อน แถมยังเคยเป็นบอร์ดและประธานบอร์ดของบริษัทมาก่อน มีความเข้าใจธุรกิจของ Symantec เป็นอย่างดี จึงนำประสบการณ์ใหม่ๆ มาปรับปรุงโครงสร้างของบริษัท และที่ผ่านมาผลงานของเขาก็ดี ผลประกอบการดีขึ้น จ่ายปันผล นักวิเคราะห์ก็ให้ความเชื่อมั่น
ยุทธศาสตร์ใหม่จัดกลุ่มธุรกิจใหม่เป็น 3 กลุ่ม ได้แก่
แนวทางการทำตลาดของ Symantec จะสนใจตลาดแนวดิ่ง (vertical business) อย่างพวกโทรคมนาคมหรือหน่วยงานภาครัฐมากขึ้น และปรับช่องทางการขายใหม่ ฝั่งองค์กรมีทีมงานขายของตัวเอง และรวมทีมขายของตลาดคอนซูเมอร์กับ SME เข้าด้วยกัน ประสบการณ์การใช้งานและการสนับสนุนหลังขายต้องทำให้ดีขึ้น
สายงานนี้เป็นสายงานที่เติบโตสูงมาก เพราะลูกค้าธุรกิจต้องการคนที่มีพื้นฐานด้านความปลอดภัยที่ดีมาทำงาน แรงงานด้านนี้ขาดแคลนมาก และผลการตอบแทนดี
ผู้ที่สนใจวิชาชีพด้านนี้ต้องพัฒนาตัวเอง ต้องผ่าน certification ด้านความปลอดภัย เช่น CISSP เพื่อให้ได้รับการยอมรับจากนายจ้าง ปัจจุบันบริษัทในไทยมีที่ผ่านมาตรฐาน ISO 27001 น้อย ไม่น่าจะถึงร้อยบริษัท ดังนั้นตลาดนี้ยังโตได้อีกมาก