Access control

การควบคุมการเข้าถึง (Access control)

แต่จะเกิดอะไรขึ้นหากบุคคลที่ขอเข้าถึงข้อมูลส่วนบุคคลไม่ใช่บุคคลที่ตนอ้างอ้างว่าเป็น? 

โดยทั่วไป มีสองสิ่งที่คุณต้องพิจารณาเมื่อถูกขอให้ให้ข้อมูลส่วนบุคคลของใครบางคน: ตัวตนของบุคคลที่ขอข้อมูล และพวกเขามีสิทธิ์ในการเข้าถึงข้อมูลนั้นหรือไม่ พบได้ในระบบรักษาความปลอดภัย เช่น ประตูที่เข้ารหัสด้วยรหัสผ่าน, ประตูที่ควบคุมด้วยรีโมท, บัตรผ่าน, ระบบไบโอเมตริก, เครื่องตรวจจับการเคลื่อนไหว เป็นต้น

การควบคุมการเข้าถึงซึ่งเป็นส่วนประกอบสำคัญของการรักษาความปลอดภัยข้อมูล ช่วยให้สามารถควบคุมการเคลื่อนไหวในบริเวณสถานที่ หรือเครือข่ายได้อย่างคล่องตัว กล่าวอีกนัยหนึ่ง การควบคุมการเข้าถึงจะจำกัดพื้นที่ที่ผู้คนสามารถและไม่สามารถเข้าได้ ไม่ว่าจะเป็นห้องหรือคอมพิวเตอร์ ย้อนกลับไปในสมัยก่อน ระบบควบคุมการเข้าออกที่ง่ายที่สุด คือ การใช้ระบบล็อคและกุญแจแบบมาตรฐาน แต่ในปัจจุบัน ระบบควบคุมการเข้าออกมักจะใช้เพียง "บัตรเข้าออก" (Access card) ที่ให้สิทธิ์คุณเข้าไปยังพื้นที่ปลอดภัย ในบทความนี้ เราจะมาดูวิธีที่ดีที่สุดในการจัดการ, ตรวจสอบ และติดตามว่าใครสามารถเข้าถึงประตูได้

การเจาะลึกด้านความปลอดภัย

เมื่อต้องควบคุมการเข้าถึงข้อมูลส่วนตัวขององค์กร ต้องมีจัดการทั้งการเข้าถึงทางกายภาพ (Physical) และทางตรรกะ (Logical)

การเข้าถึงทางกายภาพ (Physical access) หมายถึง อาคาร, อุปกรณ์, และเอกสาร ในขณะที่

การเข้าถึงทางตรรกะ (Logical access) หมายถึง การเข้าถึงคอมพิวเตอร์ หรือระบบ เทคโนโลยีที่ใช้จัดการ 

แต่ละเทคโนโลยีนั้นค่อนข้างแตกต่างกัน การควบคุมการเข้าถึงทางกายภาพใช้กุญแจและบัตรผ่านในการอนุญาตให้เข้าไปในพื้นที่ที่ปลอดภัย ในขณะที่การควบคุมการเข้าถึงทางตรรกะใช้โปรแกรมรหัสผ่านขั้นสูงและคุณลักษณะด้านความปลอดภัยทางไบโอเมตริก

แทนที่จะจัดการผู้ใช้และสิทธิ์การเข้าถึงภายในแต่ละแอปพลิเคชัน โซลูชันการจัดการข้อมูลระบุตัวตนและการเข้าถึง (IAM) ได้นำเสนอวิธีการจัดการข้อมูลประจำตัวแบบรวมศูนย์และมีประสิทธิภาพมากขึ้น และควบคุมระดับการเข้าถึงของผู้ใช้แต่ละราย ไปยังระบบที่กำหนด เนื่องจากอุปกรณ์ปลายทางมีการแพร่หลายทั่วทั้งองค์กร โดยได้รับแรงหนุนจากนโยบายอุปกรณ์ที่นำมาเอง (Bring-your-own-device, BYOD) และการขยายการใช้อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตออฟธิงส์ (IoT) จึงจำเป็นต้องมีการควบคุมที่มากขึ้น โซลูชันนี้ คือ การควบคุมการเข้าถึงเครือข่าย (NAC) ซึ่งจัดเตรียมวิธีการฝังนโยบายการควบคุมการเข้าถึงและความปลอดภัยปลายทางภายในโครงสร้างพื้นฐานเครือข่ายขององค์กร ซึ่งหมายความว่าเมื่อผู้ใช้พยายามเชื่อมต่อกับเครือข่าย ระบบ NAC จะรักษาการเชื่อมต่อไว้ขณะที่ดำเนินการประเมินความเสี่ยง

เหตุใดจึงต้องใช้การควบคุมการเข้าถึง

เนื่องจากมีข้อมูลสำคัญจำนวนมากที่จัดเก็บในรูปแบบอิเล็กทรอนิกส์ ความจำเป็นในการปกป้องทรัพย์สินข้อมูลจึงมีมากขึ้นในปัจจุบันภัยคุกคามทางไซเบอร์พัฒนาขึ้นทุกวัน จำเป็นต้องมีมาตรการความปลอดภัยที่เข้มงวดยิ่งขึ้น และการใช้คีย์และรหัสผ่านง่ายๆ ไม่สามารถทำได้อีกต่อไป สิ่งที่จำเป็นในตอนนี้ คือ ระบบควบคุมการเข้าถึงที่แข็งแกร่งซึ่งสามารถช่วยรักษาความปลอดภัยของข้อมูลทางกายภาพและข้อมูลที่เป็นความลับ, ลดค่าใช้จ่ายด้านการดูแลระบบ, และรักษาความปลอดภัยให้กับลูกค้าและพนักงานขององค์กร

การควบคุมการเข้าถึงยังช่วยให้องค์กรต่างๆ ปฏิบัติตามข้อกำหนดด้านการปฏิบัติตามกฎระเบียบ เช่น PCI DSS (มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน) และ HIPAA (พระราชบัญญัติการโอนย้ายและความรับผิดชอบด้านการประกันสุขภาพ) ในอีกระดับหนึ่ง มาตรฐาน ISO/IEC27001 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ยังกำหนดให้ฝ่ายบริหารต้องตรวจประเมินและลดความเสี่ยง รวมถึงช่องโหว่ขององค์กร และความเสี่ยงทางไซเบอร์ทั้งหมดด้วย

การควบคุมการเข้าถึงทำงานอย่างไร

การปกป้องข้อมูลระบุตัวตน เป็นหน้าที่หลักของการบริหารจัดการตัวตน (Identity management, IdM) ซึ่งมีหน้าที่ ควบคุมการเข้าถึงหลาย ๆ ด้านเพื่อให้ชัดเจนว่ามีการให้สิทธิ์การเข้าถึงประเภทใดและใครเป็นผู้ได้รับสิทธิ์นี้ ดังนั้น การบริหารจัดการตัวตน (Identity management, IdM) จะแยกความแตกต่างระหว่างการควบคุมการเข้าถึงทรัพยากรภายในโดเมนและการควบคุมการเข้าถึงการกำหนดค่า IdM เอง

เพื่อให้กฎการควบคุมการเข้าถึง ง่ายต่อการนำไปใช้ การบริหารจัดการตัวตน (IdM) จะแบ่งคำจำกัดความ การควบคุมการเข้าถึงออกเป็น 3 ประเภทพื้นฐาน:

• กฎบริการตนเอง (Self-service rules) ซึ่งกำหนดการดำเนินการที่ผู้ใช้สามารถดำเนินการกับรายการส่วนตัวของตนเองได้

• กฎการมอบหมาย (Delegation rules) ซึ่งอนุญาตให้กลุ่มผู้ใช้เฉพาะดำเนินการเขียน/แก้ไขแอตทริบิวต์เฉพาะสำหรับผู้ใช้ในกลุ่มผู้ใช้อื่น

• กฎตามบทบาท (Role-based rules) ซึ่งสร้างกลุ่มควบคุมการเข้าถึงพิเศษที่มีอำนาจกว้างขวางกว่ามากเหนือเอนทิตีทุกประเภท

การควบคุมการเข้าถึงประเภทต่างๆ

กฎทั้งหมดเหล่านี้ถูกรวมเข้าไว้ในระบบควบคุมการเข้าถึงที่หลากหลาย ซึ่งจะกำหนดว่าสิทธิ์การเข้าถึงจะได้รับการกำหนดและควบคุมอย่างไรภายในองค์กร ซึ่งรวมถึง:

• การควบคุมการเข้าถึงตามดุลพินิจ (Discretionary access control, DAC): ด้วยโมเดล DAC เจ้าของข้อมูลจะตัดสินใจให้สิทธิ์การเข้าถึงตามกฎที่พวกเขากำหนด DAC เป็นประเภทการควบคุมการเข้าถึงที่มีข้อจำกัดน้อยที่สุด และด้วยเหตุนี้จึงแนะนำน้อยที่สุด สำหรับความปลอดภัยทางการค้าและธุรกิจ

• การควบคุมการเข้าถึงตามบังคับ (Mandatory access control, MAC): MAC ได้รับการพัฒนาโดยใช้โมเดลที่ไม่ใช่ดุลพินิจ โดยบุคคลหนึ่งคน (เช่น CSO) มีอำนาจในการตัดสินใจเพียงผู้เดียวในการอนุญาตการเข้าถึงและการรับรองความปลอดภัย หัวข้อและวัตถุประสงค์ของ MAC จะได้รับการกำหนดการจัดการตามป้ายกำกับ เช่น "ข้อมูลลับ", "ความลับ" และ "ความลับสูงสุด" การควบคุมการเข้าถึงประเภทนี้เหมาะที่สุดสำหรับองค์กรที่ต้องการความปลอดภัยและความลับสูง

• การควบคุมการเข้าถึงตามบทบาท (Role-based access control, RBAC): ภายใต้รูปแบบนี้ การเข้าถึงจะได้รับการอนุญาตตามหน้าที่ของบุคคลและทรัพยากรที่จำเป็นในการปฏิบัติหน้าที่ หลักการรักษาความปลอดภัยที่สำคัญ เช่น "สิทธิ์ขั้นต่ำ" และ "การแยกสิทธิ์" จะถูกนำมาใช้เพื่อให้ผู้ใช้ได้รับสิทธิ์การเข้าถึงขั้นต่ำที่จำเป็นในการปฏิบัติหน้าที่ของตน RBAC เป็นระบบควบคุมการเข้าถึงที่ใช้งานง่าย ซึ่งช่วยให้ผู้ดูแลระบบสามารถจัดกลุ่มผู้ใช้และปรับเปลี่ยนสิทธิ์จากฐานข้อมูลส่วนกลางได้

• การควบคุมการเข้าถึงตามคุณลักษณะ (Attribute-based access control, ABAC): แตกต่างจากวิธีการควบคุมการเข้าถึงตามบทบาทอย่าง RBAC, ABAC เป็นกลยุทธ์ที่ซับซ้อนซึ่งกำหนดหรือปฏิเสธการเข้าถึงให้กับผู้ใช้ตามชุดคุณลักษณะที่กำหนดโดยเจ้าของหรือผู้ดูแลระบบ แม้ว่าจะซับซ้อนกว่า RBAC แต่ให้ความยืดหยุ่นแก่ผู้ดูแลระบบในการตัดสินใจตามบริบทและระดับความเสี่ยงที่เปลี่ยนแปลงไป

• การควบคุมการเข้าถึงตามกฎ (Rule-based access control, RuBAC): RuBAC เกี่ยวข้องกับการกำหนดกฎที่ควบคุมการเข้าถึงทรัพยากร ซึ่งมักจะขึ้นอยู่กับเงื่อนไข เช่น "เฉพาะผู้ใช้ในแผนกการเงินเท่านั้นที่สามารถเข้าถึงข้อมูลทางการเงินได้"

การเลือกซอฟต์แวร์ที่เหมาะสม

เราจะรู้ได้อย่างไรว่าระบบควบคุมการเข้าถึงระบบใดเหมาะกับองค์กรของเรามากที่สุด ระบบควบคุมการเข้าถึงเครือข่ายเป็นกลุ่มตลาดที่เติบโตอย่างรวดเร็วซึ่งมีซอฟต์แวร์ควบคุมการเข้าถึงหลายประเภท บางซอฟต์แวร์เชื่อมต่อโดยตรงกับแผงควบคุม, บางซอฟต์แวร์ไม่ใช้แผงควบคุม, หรือ บางซอฟต์แวร์ใช้เซิร์ฟเวอร์ แต่บางซอฟต์แวร์ไม่มี, ซอฟต์แวร์ที่เลือกจะขึ้นอยู่กับขนาดขององค์กร, จำนวนอุปกรณ์ที่ใช้งาน และระดับการป้องกันที่จำเป็น

หากแยกย่อยแบบง่ายๆ ในปัจจุบันมีซอฟต์แวร์ควบคุมการเข้าถึง 3 ประเภท ได้แก่ แบบใช้เซิร์ฟเวอร์, แบบฝังตัว และแบบโฮสต์ โดยแต่ละประเภทมีคุณสมบัติและแอปพลิเคชันเฉพาะของตัวเอง

• การควบคุมการเข้าถึงบนเซิร์ฟเวอร์ (Server-based access control): มักพบในองค์กรขนาดใหญ่ ซึ่งเป็นระบบควบคุมการเข้าถึงภายในสถานที่ซึ่งอาศัยเซิร์ฟเวอร์ในพื้นที่ในการโฮสต์และเรียกใช้ซอฟต์แวร์ ระบบควบคุมการเข้าถึงบนเครือข่ายท้องถิ่นจะมีให้ใช้งานในสถานที่เท่านั้น และไม่มีความยืดหยุ่นในการเข้าถึงจากระยะไกล  เซิร์ฟเวอร์อยู่บนเครือข่ายปิดที่สามารถเข้าถึงได้โดยอุปกรณ์อื่นภายในเครือข่ายนั้นเท่านั้น แม้ว่าจะปลอดภัยมาก แต่ก็อาจไม่สะดวกเนื่องจากต้องมีทีมไอทีเต็มรูปแบบในการซื้อและต่ออายุใบอนุญาตซอฟต์แวร์และบำรุงรักษาเซิร์ฟเวอร์

• การควบคุมการเข้าถึงบนเว็บ (Web-based access control): เรียกอีกอย่างว่าการควบคุมการเข้าถึงแบบฝังตัว โซลูชันบนเบราว์เซอร์รวมถึงแอปพลิเคชันบนเว็บ แอปพลิเคชันจะทำงานได้โดยไม่ต้องใช้การเข้าถึงอินเทอร์เน็ต แอปพลิเคชันเชื่อมต่อกับ LAN (เครือข่ายพื้นที่ท้องถิ่น) และสามารถเข้าถึงได้จากอุปกรณ์ใดก็ได้ภายใน LAN อย่างไรก็ตาม การมีการเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้ก็ยังถือเป็นวิธีที่ดีที่สุด เนื่องจากระบบควบคุมการเข้าถึงประเภทนี้ช่วยให้สามารถเขียนโปรแกรมและบำรุงรักษาจากเบราว์เซอร์อินเทอร์เน็ตใดก็ได้ จึงไม่ต้องติดตั้งซอฟต์แวร์ราคาแพงในสถานที่

• การควบคุมการเข้าถึงบนคลาวด์ (Cloud-based access control): แตกต่างจากการควบคุมการเข้าถึงอีกสองประเภท ซอฟต์แวร์บนคลาวด์จะโฮสต์โดยศูนย์ข้อมูลระยะไกล (โดยปกติจะจัดการโดยบุคคลที่สาม) และเข้าถึงได้ผ่านซอฟต์แวร์และแอปมือถือ  ภายใต้แนวทางนี้ สามารถควบคุมเครือข่ายพื้นที่ทั้งหมด รวมถึงอาคารหลายหลัง, จากแผงควบคุมผู้ดูแลระบบเดียว (admin panel) เนื่องจากระบบซิงค์บนคลาวด์ จึงจำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ตเพื่อตรวจสอบแผงควบคุมผู้ดูแลระบบและอัปเดตหรือเปลี่ยนแปลง, ระบบควบคุมการเข้าถึงบนคลาวด์ช่วยเพิ่มความปลอดภัยและความสามารถในการปรับขนาดของการดำเนินงานของคุณ ขณะเดียวกันก็ลดต้นทุนค่าใช้จ่ายและค่าธรรมเนียมการดำเนินการด้วย

สำหรับ Identity and Access Management Solution ที่มีการใช้งานอย่างแพร่หลายในปัจจุบัน สามารถดูรายละเอียดได้ในบทความตาม Link ด้านล่าง

การจัดการตัวตน: สิ่งที่คุณต้องรู้ (Identity Management: What you need to know)

มาตรฐานที่เกี่ยวข้องกับ Threat intelligence ประกอบไปด้วย

• ISO/IEC 27001:2022 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ 

• ISO/IEC 27002:2022 การควบคุมความปลอดภัยของข้อมูล

• ISO/IEC 29146 เทคนิคด้านความปลอดภัย — กรอบการทำงานสำหรับการจัดการการเข้าถึง

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านไอที เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO27701, ISO27001, BCP หรืออื่น ๆ  โทร. 084-1147666

#Cybersecurity, #AccessControl, #ISMS, #ISO27001, #IAM, #IdM