“กล้อง CCTV ในประเทศสหราชอาณาจักรมีอยู่กว่า 6 ล้านตัว แต่เราจะเชื่อในสิ่งที่เรามองเห็นผ่านกล้องนั้นได้จริงหรือ” เพราะสิ่งที่เรามองเห็นอาจเป็นเรื่องลวงก็ได้ นี่คือสิ่งที่ภาพยนตร์แนวสืบสวนฆาตกรรมของช่อง BBC One เรื่อง The Capture ได้สื่อให้ผู้ชมคิดถึงมุมมองที่แตกต่างออกไปเดิม
จากตัวอย่างของภาพยนตร์ดังกล่าว การโจรกรรมข้อมูลระบุตัวตนด้วยเทคโนโลยีมัลติมีเดียเสมือนจริงหรือดีปเฟก (Deepfake Technology) ได้กลายเป็นปัญหาในศตวรรษที่ 21 ไปแล้ว ทำให้เกิดการคุกคามความมั่นคงของชาติ ทำลายรากฐานของรัฐและความไว้วางใจ ผู้คนจึงหันมาตั้งข้อสงสัยว่าสิ่งที่เห็นนั้นแท้จริงแล้วเชื่อถือได้หรือไม่
ปัจจุบัน เราจำเป็นต้องรู้ถึงความสำคัญของความปลอดภัยทางไซเบอร์และภัยคุกคามจากการโจมตีทางไซเบอร์บนคอมพิวเตอร์ สมาร์ทโฟน และอุปกรณ์อื่นๆ เรามักได้รับการเตือนอยู่เสมอว่าอย่าเปิดเผยรหัสผ่านและให้ระวังอีเมลฟิชชิ่งและอีเมลสแปมที่พยายามหลอกล่อให้เราเปิดเผยข้อมูลส่วนบุคคล เช่น วันเดือนปีเกิด รายละเอียดธนาคาร ประกันสังคม หรือข้อมูลทางการแพทย์ เป็นต้น
เมื่อเราเข้าสู่ยุคของการปฏิวัติอุตสาหกรรมครั้งที่ 4 ทำให้เรามองเห็นและตระหนักถึงความเสี่ยงและภัยคุกคามดังกล่าวซึ่งเกิดขึ้นจากเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วและซับซ้อนมากขึ้น
แนวโน้มของความเสี่ยงเกี่ยวกับภัยคุกคามทางไซเบอร์ได้รับการยืนยันจากรายงาน Global Cybersecurity Outlook 2022, ซึ่งระบุว่าต้นทุนอาชญากรรมทางไซเบอร์ทั่วโลกจะสูงถึง 10.5 ล้านล้านเหรียญสหรัฐต่อปีภายในปี 2568 (ค.ศ.2025)
การรักษาความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องใหม่แต่อย่างใด ในโลกที่เชื่อมต่อถึงกันมากขึ้น เรามีความเสี่ยงจากการโจมตีทางไซเบอร์มากขึ้นสำหรับผู้คน องค์กร บริการ และระบบ เมื่อเทคโนโลยีเติบโตขึ้นอย่างซับซ้อน อาชญากรไซเบอร์ก็เก่งกาจมากขึ้นเช่นกัน ความไม่แน่นอนเหล่านั้นมีอยู่มากมาย การสร้างความไว้วางใจในความปลอดภัยทางไซเบอร์จึงควรอยู่ในระดับสูงสุด ซึ่งในการสร้างความมั่นใจว่าระบบขององค์กรจะมีความมั่นคงปลอดภัย ไอเอสโอได้นำมาพิจารณาจัดทำอยู่ในข้อกำหนดสำหรับมาตรฐานสากล 2 ฉบับอย่างครอบคลุม ได้แก่ ISO/IEC 15408 และ ISO/IEC 18045
ในส่วนของตลาดเทคโนโลยีเองก็ให้ความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์ตามข้อกำหนดเช่นกัน มิเกล บานอน ผู้เชี่ยวชาญด้านการประเมินและรับรองความปลอดภัยทางไซเบอร์ และผู้ประสานงานของคณะทำงานด้านการประเมินความปลอดภัย การทดสอบ และข้อกำหนดจำเพาะ ได้กล่าวไว้ว่าการดำเนินงานภายใต้การดูแลร่วมกันขององค์การระหว่างประเทศว่าด้วยการมาตรฐาน หรือไอเอสโอ (International Organization for Standardization) และคณะกรรมการแห่งชาติว่าด้วยมาตรฐานเทคนิคทางไฟฟ้าระหว่างประเทศ หรือไออีซี (International Electrotechnical Commission) ได้ทำงานร่วมกันจนกระทั่งเป็นส่วนหนึ่งของกันและกัน
การทำงานของทั้งสององค์กรร่วมกันทำให้สามารถนำมาตรฐาน 2 ฉบับนี้ขึ้นมาใช้ร่วมกันได้ คือ ISO/IEC 15408, Information security, cybersecurity and privacy protection – Evaluation criteria for IT security – Part 1: Introduction and general model ซึ่งกำหนดเกณฑ์การประเมินสำหรับความปลอดภัยด้านเทคโนโลยีสารสนเทศ และ ISO/IEC 18045, Information technology – cybersecurity and privacy protection – Evaluation criteria for IT security – Methodology for IT security evaluation ซึ่งกำหนดวิธีการสำหรับการประเมินความปลอดภัยด้านเทคโนโลยีสารสนเทศ
ในการนำมาตรฐานทั้ง 2 ฉบับไปใช้งานจริง มิเกล บานอนกล่าวว่า มาตรฐานทั้งสองฉบับเป็นสิ่งเดียวกัน เปรียบเสมือนคันเร่งของจักรยานที่ต้องมีควบคู่ไปกับตัวจักรยานโดยไม่อาจขาดสิ่งหนึ่งสิ่งใดไปได้ ซึ่งคณะกรรมการวิชาการไอเอสโอได้ทำการปรับปรุงแก้ไขเมื่อไม่นานมานี้เพื่อให้ผู้ใช้งานสามารถนำไปจัดการข้อมูลและใช้แนวทางแบบองค์รวม มีความทันสมัย สามารถตอบสนองต่อเทคโนโลยีและความต้องการในการใช้งานที่ซับซ้อนมากขึ้นโดยมรากฐานที่สำคัญคือเทคโนโลยีมีความปลอดภัย
ในสหภาพยุโรป ก็ได้ออกกฎหมายใหม่เพื่อเสริมสร้างระบบความปลอดภัยทางไซเบอร์ และกำลังจะมีโครงการรับรองตามมาตรฐาน ISO/IEC 15408 ด้วย มิเกล บานอนชี้ให้เห็นว่าการใช้มาตรฐานเพื่อความมั่นคงปลอดภัยได้ส่งผลดีต่อผลิตภัณฑ์ในตลาดดังจะเห็นได้ว่าผลิตภัณฑ์ที่ปฏิบัติตามมาตรฐาน เช่น ระบบปฏิบัติการหรืออุปกรณ์เครือข่าย มีการพัฒนาและปรับปรุงจนถึงขั้นที่แฮ็กเกอร์ต้องกำหนดเป้าหมายไปที่ผลิตภัณฑ์ที่สามารถโจมตีได้ง่ายกว่า หากผลิตภัณฑ์ไม่ได้รับการรับรองตามมาตรฐาน ก็จะกลายเป็นจุดอ่อนให้แฮ็กเกอร์เข้าโจมตีได้ง่าย
มาตรฐานทั้ง 2 ฉบับดังกล่าวจะช่วยสร้างความยืดหยุ่นทางไซเบอร์ขององค์กรรวมทั้งสร้างความเชื่อมั่นในเทคโนโลยียุคดิจิทัลที่มีข้อมูลไม่ถูกต้องรวมทั้งข่าวปลอมมากมายรวมอยู่ด้วย โดยความไว้วางใจจะเกิดขึ้นหลังจากผลิตภัณฑ์ได้รับการตรวจประเมินอย่างเข้มงวด เป็นอิสระ และมีความเป็นกลางจนกระทั่งได้รับการรับรอง ไอเอสโอเชื่อมั่นว่ามาตรฐานดังกล่าวจะมีส่วนช่วยให้โลกของเราก้าวข้ามความท้าทายที่ยิ่งใหญ่สำหรับความเชื่อมั่นในเทคโนโลยียุคดิจิทัลไปได้ในที่สุด
ที่มา: https://www.iso.org/contents/news/2022/11/incorporate-cyber-resilience.html
MASCIInnoversity เคยนำเสนอบทความ เรื่อง “สร้างความเชื่อมั่นในความโปร่งใสขององค์กรด้วยคู่มือ ISO 37001” มาแล้วซึ่งเป็นเรื่องเกี่ยวกับมาตรฐานระบบการจัดการต่อต้านการติดสินบนที่ไอเอสโอพัฒนาขึ้นมาเนื่องจากตระหนักถึงความสำคัญของปัญหาคอรัปชั่นในระดับโลกซึ่งทวีความรุนแรงและซับซ้อนมากขึ้นตามภาคเศรษฐกิจ เพื่อให้แนวทางการปฏิบัติที่ดีเพื่อต่อต้านการคอร์รัปชั่น
ตัวอย่างเช่น การประกาศนโยบายการต่อต้านการให้และรับสินบน มีความมุ่งมั่น การควบคุมและการฝึกอบรมบุคลากร รวมทั้งมีการประเมินความเสี่ยง การตรวจสอบวิเคราะห์สถานะธุรกิจ การควบคุมทางการเงิน การค้า และการทำสัญญา มีการรายงาน การเฝ้าติดตาม การสืบสวน และการทบทวน รวมถึงมีการแก้ไขปรับปรุงพัฒนาอย่างต่อเนื่อง อันเป็นการส่งเสริมให้มีการจัดการลดความเสี่ยงด้านการทุจริตติดสินบนจากกิจกรรมต่าง ๆ ของหน่วยงาน
นอกจากนี้ ความโปร่งใสขององค์กรส่วนหนึ่งต้องเกิดจากธรรมาภิบาลซึ่งเกี่ยวข้องกับการแสดงความรับผิดชอบและส่งเสริมวัฒนธรรมของการแสดงความคิดเห็นอย่างเปิดเผยและตรงไปตรงมา เพื่อจัดการกับความสำคัญของการมีวิธีการที่ปลอดภัยและมีประสิทธิภาพซึ่งพนักงานสามารถรายงานข้อกังวลเกี่ยวกับการกระทำผิดได้ ดังนั้น ไอเอสโอจึงได้พัฒนาและเผยแพร่มาตรฐานใหม่ล่าสุดเพื่อเป็นแนวทางสำหรับการจัดการการแจ้งเบาะแส
เมื่อปลายเดือนกรกฎาคม 2564 ไอเอสโอได้เผยแพร่มาตรฐานที่มีชื่อว่า ISO 37002, Whistleblowing management systems – Guidelines ซึ่งเป็นมาตรฐานระบบการจัดการการแจ้งเบาะแสซึ่งให้แนวทางสำหรับการนำไปใช้ การจัดการ การประเมิน การบำรุงรักษา และปรับปรุงระบบการจัดการที่แข็งแกร่งและมีประสิทธิภาพสำหรับการแจ้งเบาะแส ซึ่งสามารถใช้ได้กับองค์กรทุกประเภท ทุกขนาด รวมทั้ง SMEs และองค์กรที่ดำเนินงานระหว่างประเทศ
มาตรฐานดังกล่าวใช้หลักการ 3 ประการ คือ ความไว้วางใจ ความเป็นกลาง และการคุ้มครอง ซึ่งครอบคลุมการระบุและการรายงานข้อกังวล ตลอดจนวิธีประเมินและจัดการข้อกังวลดังกล่าว การใช้งานตามมาตรฐานนี้ไม่เพียงแต่จะช่วยลดหรือป้องกันการสูญเสียที่อาจเกิดขึ้นเท่านั้น แต่ยังช่วยให้มั่นใจว่าสอดคล้องกับนโยบายขององค์กรและภาระผูกพันทางกฎหมายและทางสังคมด้วย
วิม แวนเดอ เคอคโฮฟ ผู้ประสานงานของคณะทำงานไอเอสโอที่พัฒนามาตรฐานกล่าวว่า การนำมาตรฐาน ISO 37002 ไปใช้จะช่วยสร้างความไว้วางใจระหว่างองค์กรและผู้มีส่วนได้ส่วนเสีย โดยทำให้มีการป้องกันการทุจริตที่แข็งแกร่งอีกชั้นหนึ่ง
เขากล่าวว่าธรรมาภิบาลและความโปร่งใสจำเป็นต้องทำให้พนักงานเกิดความรู้สึกมั่นใจในการรายงานข้อกังวลใด ๆ ของการกระทำผิดโดยไม่ต้องกลัวว่าจะมีผลเสียตามมา
ดังนั้น การจัดการกระบวนการดังกล่าวอย่างมีประสิทธิภาพจึงเป็นสิ่งสำคัญ ซึ่งมาตรฐานใหม่ ISO 37002 สามารถช่วยได้โดยการให้คำแนะนำเกี่ยวกับระบบการจัดการการแจ้งเบาะแสที่แข็งแกร่งและมีประสิทธิภาพ และวิธีดำเนินการในวิธีที่ดีที่สุดที่เป็นไปได้
ISO 37002 ได้รับการพัฒนาโดยคณะกรรมการวิชาการของไอเอสโอ ISO/TC 309, Governance of Organization โดยมีเลขานุการคือ BSI ซึ่งเป็นสถาบันมาตรฐานแห่งชาติของประเทศสหราชอาณาจักร
ผู้สนใจสามารถศึกษาได้จากห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรมหรือสั่งซื้อได้จากเว็บไซต์ของไอเอสโอ ISO Store