การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ? ข้อมูลและความเป็นส่วนตัวของเราบน Cloud ยังคงปลอดภัยและเป็นส่วนตัวอยู่หรือไม่?

ในยุคนี้ บริการคลาวด์มาแรงและมีบทบาทต่อวิถีชีวิตของเราอย่างมาก ทุกๆ ท่านซึ่งทำงาน หาข้อมูลความรู้ หาข้อมูลบันเทิง และอื่นๆ ผ่าน Internet ต้องเคยใช้บริการคลาวด์อย่างน้อย 1 บริการแน่นอน Cloud computing เป็นเทคโนโลยีมาแรงติดต่อกัน 6 ปี และยังคงความแรงต่อเนื่อง เพราะสามารถช่วยลดต้นทุน และช่วยย่นระยะเวลาในการสร้างระบบคอมพิวเตอร์ขององค์กรไม่ว่าจะเป็นองค์กรใหญ่หรือเล็ก บริการ Cloud computing แบ่งเป็น 3 กลุ่มหลัก ดังนี้

c01

ไม่ว่าจะมองในมุมขององค์กรที่จัดทำคลาวด์ส่วนตัว (Private Cloud) หรือใช้บริการคลาวด์สารณะ (Public Cloud) จากผู้ให้บริการต่างๆ หรือมองในมุมของผู้ให้บริการคลาวด์ (Cloud Provider) ต่างจำเป็นต้องจัดทำบริการคลาวด์ให้มีเสถียรภาพสูงทั้งด้านประสิทธิภาพและความปลอดภัย เพื่อให้ผู้ใช้บริการมั่นใจในบริการคลาวด์ องค์กรระดับโลก อาทิ EuroCloud Star Audit (ECSA), Cloud Security Alliance (CSA), International Organization for Standardization (ISO) ได้จัดทำมาตรฐานเพื่อให้ผู้ให้บริการคลาวด์ใช้เป็นแนวทางในการบริหารจัดการ และเป็นเครื่องหมายยืนยันให้ผู้ใช้บริการเกิดความมั่นใจและไว้วางใจ โดยแต่ละหน่วยงานได้ออกมาตรฐานที่มีจุดเด่นต่างกันไป หากท่านเป็นผู้ให้บริการและต้องการนำไปพิจารณาเพื่อรับรองมาตรฐานบริการคลาวด์ของตนเอง หรือหากท่านเป็นผู้ใช้บริการและต้องการเลือกใช้บริการคลาวด์จากผู้ให้บริการต่างๆ ก็ควรทำความเข้าใจมาตรฐานแต่ละตัวเอาไว้ก่อน ดังนี้

1. EuroCloud Star Audit (ECSA)

c02

เป็นมาตรฐานที่เริ่มก่อตั้งขึ้นจากกลุ่มประเทศยุโรป โดยจะตรวจสอบผู้ให้บริการคลาวด์
(Cloud Provider) ในทุกๆ ด้าน ไม่ว่าจะเป็นในด้านรายละเอียดของผู้ให้บริการ, ข้อมูลทางการเงิน, การดำเนินงานโครงสร้างพื้นฐาน Data Center, กระบวนการปฏิบัติงานในการให้บริการคลาวด์, ข้อตกลงการให้บริการ (Service Level Agreement: SLA), การรักษาความปลอดภัย และความเป็นส่วนตัวของข้อมูล (Information Security and Data Privacy),สัญญาและกฎหมายที่เกี่ยวข้อง จนถึงการตรวจสอบแอพลิเคชัน (IaaS, PaaS, SaaS) ด้วยการให้การรับรองบริการคลาวด์ของ ECSA จะแบ่งเป็น Star level โดยให้การรับรองที่ระดับ 3, 4 และ 5-Star ซึ่งหากผู้ให้บริการนั้นๆ ได้ผ่านการรับรองมาตรฐาน ISO 20000, ISO 27001 และ ISO 22301 อยู่แล้ว จะเพิ่มความได้เปรียบในการขอการรับรอง ECSA การรับรองการให้บริการคลาวด์ของ ECSA ระดับ 3, 4, 5-Star สามารถอธิบายได้ดังนี้
• ECSA 3-Star: Practice for Readiness เป็นระดับที่มีความพร้อมในด้าน;
o การรักษาความปลอดภัยและการรักษาความเป็นส่วนตัวของข้อมูล
o การปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง
o มีการจัดทำนโยบายและกระบวนการในการให้บริการลูกค้า
o มีการรับประกันการให้บริการ และ สามารถตรวจสอบได้
• ECSA 4-Star: Maturity of ITSM เป็นระดับบูรณาการของกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ ในด้าน;
o ระบบบริหารจัดการความปลอดภัยและการจัดการข้อมูลตาม ISO 27001
o ระบบการสำรองข้อมูล (Backup)
o ระบบการบริหารจัดการบริการที่มีคุณภาพ
o การควบคุมการเข้าถึงข้อมูล (Access Management) และ กลไกในการเข้ารหัส
• ECSA 5-Star: Resilience & Continuity เป็นระดับที่มีความยืดหยุ่นและต่อเนื่องของการให้บริการเทคโนโลยีสารสนเทศ ดังนี้;
o มีระบบบริหารความต่อเนื่องทางธุรกิจพร้อมจัดทำการทดสอบแผน (Business Continuity Management System)
o มี Data Center อย่างน้อย 2 แห่ง (Advanced DC Redundancy)
o มีระบบการให้บริการเทคโนโลยีสารสนเทศที่มีเสถียรภาพสูง: High Availability >99.9%
o มีการจัดทำ Penetration Testing
o มีความยืดหยุ่นในการให้บริการ และ มีรูปแบบในการจัดการด้านราคาการให้บริการที่เหมาะสม
ขณะนี้ในประเทศไทยยังไม่มีผู้ให้บริการที่ได้รับการรับรองจาก ECSA แต่ในกลุ่มประเทศยุโรปและไต้หวันมี
ผู้ให้บริการคลาวด์ที่ได้รับการรับรอง ECSA จำนวนมากแล้ว
2. Cloud Security Alliance (CSA) – Security, Trust & Assurance Registry (STAR)

c03

หรือเรียกย่อๆ ว่า CSA-STAR เป็นมาตรฐานความปลอดภัยบนระบบคลาวด์ซึ่งเป็นส่วนเสริมเพิ่มเติมมาจากมาตรฐานความปลอดภัยของ ISO 27001 โดยมาตรฐาน CSA-STAR มุ่งเน้นที่ความปลอดภัยของการให้บริการคลาวด์เป็นหลัก สำหรับในส่วนของการปฏิบัติตาม กฎหมายข้อบังคับที่เกี่ยวข้อง หรือในส่วนของการรักษาความเป็นส่วนตัวของข้อมูลเป็นเพียงส่วนประกอบ ในการขอการรับรอง CSA-STAR นั้น ผู้ให้บริการคลาวด์ต้องจัดทำ ISO 27001 และใช้ Cloud Control Matrix (CCM) เพิ่มเติม การให้การรับรอง CSA-STAR แบ่งออกเป็น 3 ระดับ ดังนี้
• STAR Self-Assessment เปิดเผยผลลัพธ์การประเมินด้วยตนเองจากแบบสอบถาม CSA Consensus Assessment Initiative Questionnaire (CAIQ) และ / หรือ Cloud Control Matrix (CCM)
• STAR Certification ผ่านการตรวจสอบและประเมินโดยผู้ตรวจสอบภายนอก (3rd Party) โดยใช้ Cloud Control Matrix (CCM) และ ISO 27001
• STAR Continuous ผ่านการตรวจสอบและประเมินความปลอดภัยบนระบบคลาวด์ของตนอย่างต่อเนื่อง โดยใช้ Cloud Trust Protocol (CTP) (CSA กำลังพัฒนาโปรโตคอลนี้อยู่)
ในปัจจุบัน มีบริษัทมากมายจากทั่วโลกที่ได้รับการรับรองมาตรฐาน CSA-STAR

3. ISO 27017 / ISO 27018

c04

เป็นแนวทางปฏิบัติ (Code of Practice) จากมาตรฐาน ISO 27001 ซึ่งเกี่ยวกับการให้บริการคลาวด์ โดยเน้นในเรื่องต่างกันดังนี้

ISO 27017: Cloud Security
• เป็นข้อมูลแนวทางปฏิบัติ ในการจัดการความปลอดภัยของการให้บริการคลาวด์ ซึ่งเป็นส่วนเสริมเพิ่มเติมจาก ISO 27002 โดยมีการเพิ่ม Cloud Computing Service Set เพื่อสร้างและรักษาความสัมพันธ์ในการทำงานร่วมกันระหว่างผู้ใช้บริการคลาวด์และผู้ให้บริการคลาวด์ในเรื่องการจัดการความปลอดภัยของข้อมูล
• มีการควบคุมการเข้าถึงข้อมูลของลูกค้าบริการคลาวด์ใน Virtual Environment ที่ใช้ร่วมกัน ผู้ใช้บริการต้องได้รับความคุ้มครองและแบ่งแยกอย่างชัดเจนจากผู้ใช้บริการรายอื่นๆ และจากผู้ซึ่งไม่ได้รับอนุญาตให้เข้าถึง
• Operation Logs และ Logs การเข้าสู่ระบบบริการคลาวด์ ต้องมีระบบการจัดการที่ถูกต้องเหมาะสม สามารถเรียกดูได้และเก็บรักษาไว้อย่างถูกต้องปลอดภัย
• ในด้านของความเสี่ยงที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลบนคลาวด์
o มีระบบจัดการ Information Security Incident และตอบสนองต่อผู้ใช้บริการอย่างเหมาะสม
o มีข้อตกลงเพื่อรับประกันการบริการระหว่างผู้ให้บริการกับผู้รับบริการ (SLA) ที่เหมาะสมในเรื่องของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่เก็บไว้ในระบบของผู้ให้บริการ
ISO 27018: Cloud Privacy
• เป็นข้อมูลแนวทางปฏิบัติ สำหรับการปกป้องรักษาข้อมูลสำหรับการให้บริการคลาวด์สารณะ (Public Cloud) ในเรื่องของการปกป้องข้อมูล (Data Protection) โดยมีการกล่าวถึง Personal Identifiable Information (PII) ซึ่งหมายถึง ข้อมูลส่วนบุคคลต่างๆ ที่สามารถเชื่อมโยงถึงบุคคลใดบุลคลหนึ่งได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ หรือ อีเมล์ เป็นต้น
• ผู้ให้บริการ Public Cloud ถือเป็น PII Processors หมายถึง ผู้ทำหน้าที่ดำเนินการประมวลผลข้อมูลส่วนบุคคล (PII) ในนามของ PII Controller หรือปฏิบัติตามคำแนะนำของ PII Controller
• PII Controller มีหน้าที่รับผิดชอบในการเก็บรวบรวม ควบคุมการใช้ และการเปิดเผยข้อมูลส่วนบุคคล โดยต้องจัดทำนโยบายการปกป้องข้อมูลส่วนบุคคล เช่น ข้อมูลอะไรบ้างที่มีการเก็บรวบรวม ใช้ข้อมูลของผู้ใช้งานอย่างไร เพื่ออะไร ส่งต่อข้อมูลของผู้ใช้งานกับใครบ้าง เจ้าของข้อมูลจะสามารถควบคุมและเข้าถึงข้อมูลของตนเองได้อย่างไร และมีการปกป้องข้อมูลอย่างไร
• เจ้าของข้อมูลต้องมีการยืนยันการรับรู้เกี่ยวกับการรวบรวมข้อมูลและการใช้งานข้อมูลดังกล่าวข้างต้น เจ้าของข้อมูลมีสิทธิ์ที่จะบอกรับ ยกเลิกและร้องเรียนหากมีการละเมิดสิทธิ์ เป็นต้น

ดังนั้น หากท่านต้องการใช้บริการคลาวด์ก็ควรพิจารณาถึงการได้รับการรับรองมาตรฐานต่างๆ ข้างต้นของผู้ให้บริการ เพื่อประกอบการตัดสินใจ เนื่องจาก หากผู้ให้บริการหยุดให้บริการ ท่านอาจต้องเสี่ยงต่อการสูญเสียข้อมูลและ
แอปพลิเคชันเหล่านั้นไป อีกทั้งการพิจารณาเรื่องความปลอดภัยของการดูแลข้อมูล เรื่องของการรักษาข้อมูลส่วนบุคคล ก็เป็นสิ่งสำคัญที่ควรพิจารณาเช่นกัน สำหรับผู้ให้บริการคลาวด์ควรพิจารณาการได้การรับรองมาตรฐานต่างๆ ข้างต้น เพื่อสร้างความมั่นใจให้ผู้ใช้บริการ โดยเริ่มต้นเตรียมการ 2 ทางเลือกหลัก ดังนี้
ทางเลือกที่ 1: หากท่านต้องการได้รับการรับรองบริการคลาวด์แบบครบวงจร ควรเริ่มจากการได้รับการรับรอง
ISO 27001 และ ISO 20000 จากนั้นจึงจัดทำ ISO 27017 และ ISO 27018 เพื่อขอการรับรอง ECSA

ทางเลือกที่ 2: หากท่านต้องการเน้นในด้านความปลอดภัยของบริการคลาวด์ ควรเริ่มจากการได้รับการรับรอง
ISO 27001 จากนั้นจึงจัดทำ CCM เพื่อขอการรับรอง CSA-STAR

โดยท่านสามารถติดต่อ ขอรายละเอียดหรือคำแนะนำเพิ่มเติมในการจัดทำมาตรฐานต่างๆ ได้ที่ ACinfotec ซึ่งเป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC (Governance, Risk management and Compliance) แบบครบวงจร