เมื่อ สิทธิ์ในการเข้าถึง อาจกลายเป็นช่องโหว่ของระบบ บทเรียนเรื่อง Insider Threat ที่หลายองค์กรต้องเผชิญ
facebook Iconx Iconline Icon

สังคม

เมื่อ "สิทธิ์ในการเข้าถึง" อาจกลายเป็นช่องโหว่ของระบบ บทเรียนเรื่อง Insider Threat ที่หลายองค์กรต้องเผชิญ

Clock Icon

26 มิถุนายน 2569

จากกรณีการตรวจพบทุจริตในการสอบที่กำลังเป็นประเด็นในสังคม หลายคนจึงตั้งคำถามว่า
เหตุใดการทุจริตจึงเกิดขึ้นได้ แม้กระบวนการสอบจะมีมาตรการควบคุมและการตรวจสอบในหลายขั้นตอน

แม้ว่าข้อเท็จจริงของคดียังอยู่ระหว่างการตรวจสอบ แต่ในมุมของการออกแบบระบบสารสนเทศ เหตุการณ์ลักษณะนี้สะท้อนความท้าทายที่องค์กรจำนวนมากต้องเผชิญ นั่นคือ การป้องกันไม่ให้ผู้ที่มีสิทธิ์เข้าถึงข้อมูลหรือระบบตามหน้าที่ ใช้สิทธิ์นั้นในทางที่ไม่เป็นไปตามวัตถุประสงค์

ในแวดวงเทคโนโลยีและความมั่นคงปลอดภัยไซเบอร์ ความเสี่ยงประเภทนี้เรียกว่า Insider Threat หรือความเสี่ยงจากบุคคลภายใน ซึ่งเป็นเหตุผลที่องค์กรจำนวนมากออกแบบระบบให้มีมาตรการป้องกันและตรวจสอบการใช้งานอย่างรัดกุม โดยมี 2 หลักการสำคัญที่ได้รับการยอมรับและนำมาใช้กันอย่างแพร่หลาย

⚫️ Least Privilege : ให้สิทธิ์เท่าที่จำเป็น

หลักการนี้กำหนดให้ผู้ใช้งานแต่ละคนได้รับสิทธิ์เข้าถึงข้อมูลและฟังก์ชันของระบบ เท่าที่จำเป็นต่อการปฏิบัติหน้าที่ เท่านั้น เพื่อลดโอกาสในการเข้าถึงหรือแก้ไขข้อมูลที่ไม่เกี่ยวข้องกับงาน

[ตัวอย่างเช่น] หากเจ้าหน้าที่มีหน้าที่จัดเก็บกระดาษคำตอบ ระบบอาจออกแบบให้สามารถบันทึกหรือจัดการข้อมูลเฉพาะส่วนที่เกี่ยวข้อง แต่ไม่สามารถแก้ไขข้อมูลคะแนนหรือผลสอบได้โดยตรง แนวทางนี้ช่วยลดความเสี่ยงจากการใช้สิทธิ์เกินขอบเขต และทำให้การควบคุมการเข้าถึงมีความรัดกุมมากขึ้น

⚫️ Separation of Duties : แยกหน้าที่เพื่อให้ตรวจสอบกันได้

อีกหลักการสำคัญคือการแยกหน้าที่ในกระบวนการที่มีความอ่อนไหว เพื่อไม่ให้บุคคลเพียงคนเดียวสามารถดำเนินการได้ครบทุกขั้นตอน โดยแต่ละบทบาทสามารถตรวจสอบหรือถ่วงดุลการทำงาน
ของกันและกัน

[ตัวอย่างเช่น] ผู้ควบคุมการสอบ ผู้รับผิดชอบจัดเก็บกระดาษคำตอบ ผู้ตรวจข้อสอบ และผู้รับรองผล อาจถูกกำหนดให้เป็นคนละบุคคลหรือคนละบทบาท พร้อมมีการบันทึกและตรวจสอบการดำเนินงานในแต่ละขั้นตอน แนวทางนี้ช่วยลดความเสี่ยงจากการใช้อำนาจโดยลำพัง และเพิ่มโอกาสในการตรวจพบความผิดปกติหากเกิดขึ้น

ประเด็นนี้แตกต่างจากการพูดถึงเทคโนโลยีอย่าง Blockchain หรือ AI ซึ่งมักถูกกล่าวถึงในฐานะเครื่องมือช่วยป้องกันหรือตรวจจับความผิดปกติของข้อมูล เพราะหลักการ Least Privilege และ Separation of Duties ให้ความสำคัญกับการออกแบบสิทธิ์การเข้าถึงและกระบวนการทำงานตั้งแต่ต้น เพื่อลดโอกาสที่บุคคลเพียงคนเดียวจะสามารถควบคุมหรือเปลี่ยนแปลงข้อมูลในหลายขั้นตอนของกระบวนการได้

สำหรับกรณีการสอบที่กำลังเป็นข่าว ข้อเท็จจริงยังอยู่ระหว่างการตรวจสอบ และยังไม่มีการเปิดเผยรายละเอียดของโครงสร้างระบบหรือกระบวนการทั้งหมดต่อสาธารณะ จึงยังไม่อาจสรุปได้ว่ามีการออกแบบการกำหนดสิทธิ์หรือการแบ่งหน้าที่ในลักษณะใด

ซึ่งประเด็นที่หน่วยงานกำลังตรวจสอบ ทั้งการเข้าถึงข้อมูล กระดาษคำตอบ ระบบคอมพิวเตอร์ และข้อมูลคะแนน ล้วนเป็นส่วนที่หลักการทั้งสองถูกพัฒนาขึ้นเพื่อช่วยลดความเสี่ยง

เหตุการณ์ลักษณะนี้จึงสะท้อนว่า ความน่าเชื่อถือของระบบไม่ได้ขึ้นอยู่กับการมีเทคโนโลยีเพียงอย่างเดียว แต่ขึ้นอยู่กับการออกแบบกระบวนการทำงานให้มีการจำกัดสิทธิ์ แบ่งหน้าที่ และเปิดให้ตรวจสอบกันได้ในทุกขั้นตอน เพราะระบบที่ดีไม่เพียงช่วยตรวจจับความผิดปกติเมื่อเกิดขึ้น แต่ควรลดโอกาสไม่ให้ความผิดปกติเกิดขึ้นได้ตั้งแต่แรก

แท็กที่เกี่ยวข้อง

โกงสอบท้องถิ่นInsiderThreatGovTechLeastPrivilegeSeparationOfDutiesไอทีเทคโนโลยีTechMovement

ข่าวที่เกี่ยวข้อง

สวทช_ปั้น_New_Growth_Engine_ดัน_SMEs_ยกระดับเศรษฐกิจไทยสู่ยุคนวัตกรรม
ไทยสังคม

สวทช. ปั้น New Growth Engine ดัน SMEs ยกระดับเศรษฐกิจไทยสู่ยุคนวัตกรรม

กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (อว.) ภายใต้การนำของ ศ. ดร.ยศชนัน วงศ์สวัสดิ์ ได้กำหนดทิศทางเชิงกลยุทธ์เพื่อผลักดันประเทศไทยสู่ "เครื่องยนต์เศรษฐกิจใหม่" (New Growth Engine) โดยปรับบทบาทของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) จากเดิมที่ดำเนินกิจกรรมขนานไปกับภาคเอกชน ให้หันมาทำหน้าที่เป็น "พี่เลี้ยง" ที่คอยหนุนเสริมอุตสาหกรรม

clock2 ชั่วโมงที่แล้ว
รัฐบาลจับมือ_Meta_ติวเข้มเกษตรกร_SMEs_ไทย_ใช้_AI_ช่วยขาย_โดยไม่ง้อพ่อค้าคนกลาง_ฟรี_2_000_ราย
ไทยสังคม

รัฐบาลจับมือ Meta ติวเข้มเกษตรกร - SMEs ไทย ใช้ AI ช่วยขาย โดยไม่ง้อพ่อค้าคนกลาง ฟรี 2,000 ราย!

clock8 ชั่วโมงที่แล้ว
เมื่อเว็บพนันไม่ได้ขาย_เงินรางวัล_แต่ขาย_ความหวังครั้งต่อไป
ไทยสังคม

เมื่อเว็บพนันไม่ได้ขาย "เงินรางวัล" แต่ขาย "ความหวังครั้งต่อไป"

clock1 วันที่แล้ว