Experiences Sharing from RSA Conference 2008

จากที่ได้ไปงานสัมนาที่ SW park เมื่อวันอังคารที่ผ่านมา เรื่อง Experiences Sharing from RSA Conference 2008 งานนี้ผู้พูดหลักได้แก่ ดร.กิตติ โฆษะวิสุทธิ์ VP ของธนาคารกรุงเทพ และหลังเบรคเป็นเสวนา ซึ่งมีดร.กิตติ ดร.ปริญญา คุณเทอดศักดิ์ (ผอ.ด้านไอทีของการเคหะ) และมี chair ชื่อคุณพรศักดิ์

พูดถึงเรืองเนื้อหาส่วนของดร.กิตติพูดก่อนแล้วกัน อ.กิตติพูดถึงเนื้อหาส่วนใหญ่ของงานสัมนาที่จัดขึ้นในซานฟรานซิสโก ชื่อ RSA และมีหลายเซสชั่นและมีการจัดกิจกรรมอื่นๆด้วยเป็นต้นว่า Cryptographer Panel, Exposition ,Security smackdown รวมทั้งจัดงานนิทรรศการต่างๆ เกี่ยวกับเทคโนโลยีทาง security อีกด้วย ในงานสัมนาในครั้งนี้มีธีมของงานคือ อลัน ทัวริ่ง (Alan Turing)
เริ่มต้นของเนื้อหานั้นเน้นที่การป้องกันรักษาความปลอดภัยในปัจจุบันนั้นต้องป้องกันใน information เนื่องจากการโจมตีนั้นเริ่มเปลี่ยนเป้าหมายจากโจมตีที่ infrastructure แล้ว และข้อมูลส่วนใหญ่อยู่บนอุปกรณ์ไร้สาย Mobile
- Thinking Security เป็นเหมือนประเด็นหลักที่อ.ได้บรรยายถึง แต่ก็เป็นเรื่องที่พวกเรารู้กันอยู่แล้ว แต่ไม่แน่ใจว่าผู้ฟังคนอื่นจะเข้าใจหรือไม่ กล่าวคือ อ.ชี้ให้เห็นว่าจริงๆแล้ว Security มันไม่ใช่ Technology มันไม่ใช่พวกไฟร์วอลล์ IDS IPS ต่างๆ แต่หากเป็นเพียงส่วนนึงเท่านั้น แต่ที่สำคัญอยู่ที่ บุคคลากรและกระบวนการมากกว่า เพราะฉะนั้น security จะเกิดได้ก็ต้องเกิดจากความเชื่อมั่นใน Process และ People ไม่ใช่เชื่อมันใน Technology ถ้าหากเชื่อมั่นใน Technology จะทำให้เกิดช่องว่างทางความรู้หรือ Knowledge gap ดังนั้นการ Thinking Security คือการมุ่งเน้นคิดป้องกันหรือเตรียมตัวป้องกัน หรือทำให้เกิดความปลอดภัย เช่นการทำ Risk management เป็นต้น
- Security & Privacy สองคำนี้ในบางมุมก็มีความหมายไปในทิศทางเดียวกัน คือ  ถ้ามี privacy ก็จะมี Security ด้วย เช่นการรักษาข้อมูลส่วนตัวของเรา ก็จัดได้ว่าเป็น Security แต่ผมว่าลองมองกลับกัน ถ้าหากต้องการมี Security ก็อาจจะต้องเสียความเป็น privacy ไปด้วย เช่นในกรณีของ 911 การที่อเมริกาเก็บข้อมูลการสนทนาทางโทรศัพท์ของคนทั้งประเทศจัดได้ว่าเป็นการละเมิด privacy แต่ก็จัดได้ว่าเพื่อเป็นการใช้ตรวจสอบความปลอดภัย จำต้องทำดังกล่าว หรือการเก็บล็อกก็เช่นเดียวกัน และในเรื่องนี้เองจะไปโยงกับ Identity Management การบริหารจัดการการระบุตัวตน ซึ่งก็อาจจะใช้การระบุอยู่ 2 แบบ คือ Personal, Situation หรือ Role เป็นการระบุตัวตนโดยขึ้นอยู่กับว่า ณ เวลานั้นทำอะไร ใช้นามใครในการออกตัว เช่นถ้าเราไปขายของ ก็จะใช้นามของบริษัท โดยที่บางครั้งเป็นตัวแทน และไม่ได้บอกว่าตัวเองชื่ออะไร เป็นต้น นอกจากนี้การระบุตัวตนแบบนี้เป็นการเลือกใช้การระบุตัวตนตามสถานการณ์ที่เป็นอยู่ ณ เวลานั้น
- IDS & IPS ก็แค่กล่าวถึงความแตกต่างระหว่างสองสิ่งนี้
- Ajax Technology เป็นการกล่าวถึงเว็บแอพพลิเคชั่นยุคต่อไปที่ต้องให้ความสนใจเกี่ยวกับ Security เป็นอาจมีแนวโน้มนั่นเอง

จากนั้นเป็นงานเสวนา ซึ่งเริ่มด้วย อ.ปริญญา แนะนำแนวโน้มเทคโนโลยีที่กล่าวถึงในปีก่อนและปีนี้เที่ยบกัน โดยอ.ปริญญานั้นเน้นโฆษณางานสัมนาของตัวเองที่จะจัดปลายปี CIDIC และแฟนพันธุ์แท้มากันตรึม ในปีนี้เทคโนโลยีที่น่าสนใจที่อ.ปริญญาได้กล่าวไว้ คือ
1.GRC = การรวมของ Governace Risk และ Compliance
2.การป้องกันเว็บแอพต่างๆ เช่นป้องกันที่โค้ด หรือ Web App firewall
3.SIEM
4.Google Like เป็นการนำเอาความสามารถของกูเกิลมาในค้นหาเอกสารภายในออฟฟิศ ซึ่งกูเกิลมาขาย box ที่เหมือนเซิร์ฟเวอร์
5.Vulner. Watching Service
6.University and Government Agency Involement
7.PKI
8.Patch + Vulner scanning + Desktop management
9.การทำ Data Privacy เช่นพวก DLP (Data Loss Protection), DRM (Digital Right Management) เป็นต้น การทำ Wireless IPS
10.Web scanner
นอกจากนี้ยังพูดเน้นให้เห็นถึงเป้าหมายทางธุรกิจกับไอทีมีความสัมพันธ์กันอย่างไร และ BS25999 ที่มาใหม่และเน้นที่ BCM (Business Continuity Management)

หมายเหตุ ในการไปสัมนาในครั้งนี้ ทำให้ผมค่อนข้างมั่นใจว่าคนไทยส่วนใหญ่ยังคิดว่า Security คือ Technology อยู่ เนื่องจากการอธิบายความสัมพันธ์ของอ.กิตติในตอนแรกนั้น มีเพียงส่วนเล็กๆที่เข้าใจ และคนส่วนใหญ่จะเงียบเหมือนเวลาอ.ที่มหาวิทยาลัยสอนแล้วเราเรียนไม่รู้เรื่อง และพวกเขาอาจจะผิดหวังเพราะเจอเนื้อหาที่ยากเช่นนี้ก็เป็นได้