ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ ( ข่าวเก่า ) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการ ละเมิดระเบียบของรัฐบาลกลาง
แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ
กรณี Clinton ไม่ใช่แค่เอาอุปกรณ์ส่วนตัวมาใช้ แต่สร้างระบบใหม่ใช้คู่ขนาน
กระแสเรื่องของการนำเอาอุปกรณ์ส่วนตัวมาใช้ในที่ทำงาน (BYOD: Bring Your Own Device) เป็นเรื่องที่องค์กรหลายแห่งต้องเจอ และอาจจะคุ้นชินไปแล้วในปัจจุบัน รวมไปถึงการพัฒนาด้านซอฟต์แวร์บริหารอุปกรณ์เคลื่อนที่ (MDM: Mobile Device Management) ที่ดีขึ้นมาก ก็ทำให้องค์กรต่างๆ สามารถจัดการกับข้อมูลบนเครื่องส่วนตัวพนักงานเหล่านี้ได้
อย่างไรก็ตาม กรณีของ Clinton มีความแตกต่างออกไปจากปกติ เพราะมีการตั้งอีเมลเซิร์ฟเวอร์ของตัวเองขึ้นมาต่างหาก โดยจ้างเจ้าหน้าที่ของกระทรวงการต่างประเทศสหรัฐฯ เป็นการนอกเวลา เพื่อให้ติดตั้งระบบดังกล่าว โดยเธอระบุเมื่อการแถลงข่าวตอนสิ้นปีที่แล้วว่า ทำไปเพราะ “ความสะดวก” ในการทำงาน และบอกว่าระบบของเธอมีความปลอดภัย และได้รับการดูแลจากหน่วยงานรักษาความปลอดภัยและความลับของสหรัฐ (USSS: United States Secret Services)
กรณีดังกล่าวนี้ทำให้เกิดกระแสวิจารณ์เป็นวงกว้างจากสาธารณะและผู้เชี่ยวชาญ ถึงการใช้อีเมลส่วนตัวที่ไม่ได้ความปลอดภัยตามเกณฑ์ที่รัฐบาลกำหนด แต่ที่สำคัญที่สุดคือการออกรายงานถึงสภาคองเกรสโดยผู้ตรวจการของกระทรวงการต่างประเทศของสหรัฐฯ ที่ระบุว่า Clinton ละเมิดกฎของรัฐบาลกลาง ซึ่งรวมไปถึงการสื่อสารอื่นๆ ที่ไม่จำกัดแต่เพียงอีเมลเท่านั้น แต่ยังมีทั้ง การสนทนาทางโทรศัพท์หรือส่งเอกสารผ่านโทรสารแบบไม่ปลอดภัย ด้วย
ที่เรื่อง Clinton เป็นเรื่องใหญ่มากในอเมริกา ส่วนหนึ่งมีประเด็นเรื่องของการเลือกตั้งประธานาธิบดีเข้ามาเกี่ยว (ที่หลายคนมองว่าเรื่องนี้เป็น “เผือกร้อน” สำหรับเธอ ที่มาได้ไม่ถูกจังหวะ) แต่เรื่องสำคัญกว่านั้นคือข้อมูลนโยบายทางการทูตที่สำคัญ ขณะเธอเป็นรัฐมนตรีนั้น ตกอยู่ในความเสี่ยงด้านความปลอดภัย แม้เธอจะออกมาระบุว่า ยินดีที่จะเปิดเผยข้อมูลข้อมูลดังกล่าวต่อสาธารณะเพราะเธอเชื่อว่าไม่ได้ใช้ติดต่อเรื่องสำคัญ (ซึ่งในบางกรณีก็ไม่จริง เพราะมีคำสั่งขอให้ศาลดึงเอาข้อมูลอ่อนไหวบางอย่างออกไปจากการเปิดเผย)
Shadow IT ปัญหาที่เกิดขึ้นได้กับทุกที่ทุกองค์กร
กรณีของ Clinton นั้นแม้จะเป็นกรณีซึ่งโด่งดัง (ส่วนหนึ่งเพราะคนทำเป็นนักการเมืองที่มีคนรู้จักในสหรัฐอเมริกา) แต่สิ่งที่ต้องตระหนักคือ เรื่องเหล่านี้เกิดขึ้นได้กับ ทุกองค์กร ใน ทุกที่ ไม่จำเป็นว่าต้องเป็นหน่วยงานภาครัฐเสมอไป แม้เราจะเห็นตัวอย่างจากภาคเอกชนน้อยกว่าที่อื่นๆ (จากประสบการณ์ส่วนตัว การติดต่อหน่วยงานราชการบางแห่งยังคงใช้อีเมลภายนอกองค์กร ติดต่อเรื่องสำคัญ)
สภาพการสร้างโครงสร้างไอทีที่ไม่ได้รับอนุญาตหรือระบบที่ใช้งานกันอย่างลับๆ ในองค์กรดังกล่าว มีภาษาที่เรียกกันอย่างเป็นทางการว่า “Shadow IT” หรือ “ระบบไอทีเงา” ซึ่งมักจะเป็นการใช้ระบบไอทีภายนอก โดยที่บริษัทหรือฝ่ายไอทีขององค์กรไม่รู้ ตัวอย่างที่ง่ายที่สุดคือการติดตั้ง Wi-Fi Access Point ของตัวเอง ซึ่งอาจจะใช้มาตรฐานการรักษาความปลอดภัยไม่ตรงกันองค์กร (เช่น องค์กรบังคับใช้ WPA 2 + RADIUS แต่ access point ตัวนั้นอาจจะใช้แค่ WEP) หรือการใช้แอพส่งข้อความทันใจติดต่อเรื่องงาน แทนที่จะเป็นระบบงานซึ่งองค์กรกำหนดมาให้ใช้งานเอง
ปัญหา Shadow IT ลักษณะนี้เกิดขึ้นได้จากสองปัจจัย ปัจจัยแบบแรกคือการที่ผู้บริหารหรือเจ้าหน้าที่ต้องการระบบที่ใช้งานได้ง่ายและไม่ยุ่งยาก อาการแบบนี้มักจะเกิดกับผู้บริหารในองค์กร ซึ่งเคยชินกับวิธีที่ตัวเองต้องทำงาน และฝ่ายปฏิบัติมักยากที่จะปฏิเสธ (ว่าง่ายๆ คือไม่อยากขัดใจเจ้านาย เพราะอาจด้วยการกลัวถูกปลด ไม่ได้ขึ้นเงินเดือน หรือแม้กระทั่งไม่ได้งบประมาณในปีถัดไป) ส่วนอีกปัจจัยคือระบบไอทีองค์กรนั้นไม่เอื้อให้กับการคิดค้นหรือการพัฒนา ตัวอย่างเช่น องค์กรอาจจะอนุมัติให้พนักงานใช้เทคโนโลยีชุดเก่า แต่ระบบใหม่ที่ดีกว่ายังไม่ได้รับการอนุมัติ ทำให้พนักงานตัดสินใจเปิด “ทางลัด” ใช้บริการเหล่านี้อย่างลับๆ โดยไม่ได้รับอนุญาตจากฝ่ายไอทีองค์กร
จากตัวเลข ผลการสำรวจของ RSA เมื่อปี 2007 ก็พบว่าลักษณะของการใช้ช่องทางที่ไม่ได้รับอนุมัติจากองค์กรในการสื่อสารนั้นมีอยู่สูงมาก ตัวอย่างเช่นในองค์กรขนาดใหญ่ มีคนที่ส่งข้อมูลจากหน่วยงานเข้าอีเมลส่วนตัวเพื่อเอาไปทำงานต่อที่บ้านอยู่ที่ 61% (นับรวมทั้งทำประจำและทำในบางครั้ง) ตัวเลขผลสำรวจนี้บอกอย่างชัดเจนว่า ในหลายครั้งพนักงานเองก็เลือกจะมองข้ามความปลอดภัยและระบบงานขององค์กรที่มีการป้องกันความลับหรือข้อมูลรั่วไหล เพื่อเน้นไปที่ความสะดวกเป็นหลัก
ข้อดีและข้อเสียของ Shadow IT
คำถามที่ตามมาก็คือ แล้วตกลง Shadow IT มีข้อดีและข้อเสียอย่างไรบ้าง?
หากพิจารณาข้อเสีย สิ่งแรกที่เราเห็นได้อย่างชัดเจนคือข้อมูลที่เป็นความลับบางอย่าง มีสิทธิรั่วไหลไปยังบุคคลภายนอกได้ ตัวอย่างเช่นหากบุคลากรทางการแพทย์ตัดสินใจส่งเวชระเบียนอิเล็กทรอนิกส์ (EMR: Electronic Medical Record) เข้าอีเมลของตัวเอง ข้อมูลของคนไข้ก็มีสิทธิถูกอ่าน ไม่ก็ถูกเก็บไว้กับคนอื่น ละเมิดทั้งข้อมูลส่วนตัวและความลับของคนไข้ สิ่งต่อมาที่เห็นได้ชัดคือ ต่อให้ระบบที่พนักงานคนนั้นใช้จะมีความปลอดภัยมาก แต่ก็ไม่มีอะไรรับรองได้ว่า ข้อมูลเหล่านั้นจะถูกจัดการตามมาตรฐานองค์กร (มั่นใจได้อย่างไรว่าการเข้ารหัสที่ใช้ได้มาตรฐาน? หลังพนักงานพ้นสภาพ ข้อมูลชุดนั้นจะถูกจัดการอย่างไร ฯลฯ) และสุดท้ายคือการเปิดช่องโหว่ให้กับระบบไอทีขององค์กร โดยเฉพาะอย่างยิ่งในกรณีที่เป็นอุปกรณ์หรือสายฮาร์ดแวร์อย่างเช่นหากติดตั้ง Access Point เองแล้วเกิดทำระบบการเข้ารหัสต่ำ ย่อมเป็นช่องทางทำให้เกิดการโจมตีเครือข่ายขององค์กรได้ง่ายมาก
อย่างไรก็ตาม Shadow IT ก็มีส่วนที่ทำให้เกิดแนวทางในการทำงานแบบใหม่ๆ ในองค์กร ซึ่งทำให้การติดต่อประสานงานดีขึ้น และอาจสร้างแนวทางใหม่ๆ ให้กับองค์กรได้ ตัวอย่างเช่น การใช้งานระบบติดต่อสื่อสารงานใหม่ๆ อย่างเช่นบริการแนว Slack ก็เป็นหนึ่งในช่องทางที่ทำให้องค์กรทำงานได้สะดวกขึ้น และอาจเริ่มต้นจากแผนกเล็กๆ ที่ไม่ชอบการติดต่อประสานในแบบเดิมๆ นั่นเอง (ในบ้านเราก็เป็นการใช้ LINE คุยงานกัน)
แนวทางในการแก้ไขปัญหา
การแก้ไขปัญหาเรื่องของ Shadow IT ไม่ใช่เรื่องง่ายและไม่ใช่เรื่องที่ยาก ที่กล่าวเช่นนี้เพราะ Shadow IT มักจะสังเกตได้ไม่ชัดเจนนัก ยกเว้นจะต้องติดตามระบบต่างๆ อย่างใกล้ชิด (ซึ่งก็ทำได้ยากมาก ในกรณีของอีเมลก็คงไม่มีใครไปนั่ง monitor อีเมลที่ส่งออกจากบริษัทเป็นรายฉบับ) ซึ่งทำให้มันเป็นเรื่องยาก แต่เมื่อรู้ปัญหาแล้ว ฝ่ายบริหารไอทีที่เกี่ยวข้องก็ควรเข้าไปรีบแก้ไขปัญหา
แนวทางหนึ่งที่ Russ Banham ผู้สื่อข่าวสายธุรกิจ เสนอแนวทาง เอาไว้คือการที่ผู้บริหารฝ่ายไอทีจะต้องเข้าไปพูดคุย ทำความเข้าใจกับฝ่ายที่ใช้เทคโนโลยีซึ่งไม่ได้รับอนุญาตจากองค์กร พร้อมกับหาทางออกร่วมกันว่าจะทำอย่างไรให้เทคโนโลยีในองค์กร ตอบสนองความต้องการได้ (ว่าง่ายๆ คือดึงเข้ามาอยู่ในการดูแลให้ได้) ส่วน Andrew Froehlich ประธานฝ่ายสถาปัตยกรรมเครือข่ายของ West Gate Networks เสนอ ว่าระบบไอทีและนโยบายขององค์กรจะต้องยืดหยุ่นและพร้อมปรับตัวเข้ากับเทคโนโลยีใหม่ๆ แต่ยังต้องยืนยันในกฎระเบียบและข้อห้ามต่างๆ อย่างเคร่งครัดและชัดเจนเอาไว้ รวมถึงฝ่ายไอทีต้องทำงานกับแผนกอื่นๆ ให้มากขึ้น เพื่อตัดปัญหาการสร้าง Shadow IT ในองค์กร ส่วนในกรณีที่จำเป็นจริงๆ (เช่น ระบบภายในล่ม) อาจจะอนุมัติให้มีได้ แต่ต้องให้สั้นที่สุดและมีแนวทางในการจัดการที่ชัดเจน
อย่างไรก็ตาม ในปัจจุบันหลายบริษัทอย่างเช่น Cisco หรือ NTT Communications ก็มีผลิตภัณฑ์ที่ช่วยจัดการกับการรั่วไหลข้อมูล รวมถึงวิเคราะห์ความเสี่ยงของ Shadow IT ภายในองค์กรจากการใช้งานระบบไอทีในองค์กรด้วย
บทสรุป: จะแก้ Shadow IT ได้ ต้องมีแนวทางที่ชัดเจน
ปัญหาของ Shadow IT ภายในองค์กร ถือเป็นเรื่องที่มีความสำคัญในเชิงของการบริหารองค์กร โดยเฉพาะอย่างยิ่งกับข้อมูลที่อ่อนไหวหรือเป็นความลับกับองค์กร ซึ่งไม่ใช่จะเกิดเฉพาะกับกรณีสำคัญๆ (high-profile case) อย่างที่ได้ยกตัวอย่างไปในตอนต้นเท่านั้น แต่เกิดขึ้นได้กับทุกหน่วยงานไม่ว่าจะใหญ่หรือเล็ก
สิ่งสำคัญที่จะช่วยแก้ไขปัญหา Shadow IT ในองค์กรได้ นอกจากจะต้องปรับนโยบายและเปลี่ยนแนวทางให้ยืดหยุ่นกว่าเดิมแล้ว ยังจะต้องมีการสร้างความเข้าใจให้กับทั้งองค์กร เพื่อลดความเสี่ยงที่จะเกิดสถานการณ์แบบนี้ทั้งในปัจจุบันและอนาคต ไม่เช่นนั้นเราอาจจะได้เห็นกรณีลักษณะเดียวกับของ Clinton ไปเรื่อยๆ อีกในอนาคต
Comments
USSS นี่ คนไทยจะรู้จักกันในชื่อ 'หน่วยสืบราชการลับ' มากกว่าหรือเปล่าครับ? ก็คือพวก detail ที่ขึ้นตรงต่อ president, president-elect, the cabinet
ปล. ทำไม บุคลากรทางการศึกษา หรือ อาจารย์มหาลัยเมืองไทยถึงไม่ค่อยใช้ email ที่เป็น domain ของมหาลัยกันนะ มันมีปัญหาด้านความน่าเชื่อถือมาก ๆ เลยนะครับ เวลาติดต่อมาที่ต่างประเทศเนี่ย
ระบบมันแย่กว่ามั้งครับ ซึ่งผมก็ว่าเป็นอย่างนั้นจริงๆ
เช่น ไม่ได้รับอีเมล บางทีดีเลย์มากๆก็มีครับ
+1
ส่งมา...ไม่ได้รับ
ส่งไป...ไปไม่ถึงส่งช้า...กว่าจะมาหรือไปก็เลย deadline
comment ไป ... อาการหาย ... ซักพักกลับมาเป็นอีก ...
ระบบมันแย่และความน่าเชื่อถือต่ำ...จนเรียกว่าใช้งานจริงได้ยากเลย
แล้วถ้าบริษัทเปลี่ยนไปใช้บริการของ Gmail แต่เอา domain บริษัทไปผูกไว้แบบนี้จะมีความปลอดภัยพอมั้ยครับเพราะที่ผมเคยทำงานมา บางคณะของมหาลัย หรือบางบริษัทก็ใช้วิธีนี้
ผมเห็นหลาย ๆ ที่ ในปัจจุบัน ก็เปลี่ยนไปใช้ Googl Apps หรือ Office for School กันเยอะ แล้วนะครับ แต่ก็ยังคงชินกับการส่งอีเมลด้วยเมลส่วนตัวกันอยู่
หน่วยสืบราชการลับของสหรัฐ ปกติในความเข้าใจทั่วไปคือ CIA ด้วยครับ เพื่อไม่ให้สับสนเลยพยายามแปลให้แตกต่างกัน แต่วงเล็บคำดั้งเดิมไว้
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
เค้าเรียก "ตำรวจลับ" ครับ เอาไว้อารักขาผู้นำของประเทศ
เคยใช้สมัยเรียน
UI แย่ , ให้ที่น้อย , ไม่มีการประชาสัมพันธ์ดีเท่าที่ควร
จริงๆ ไม่แค่ทางการศึกษาหรอกครับ ราชการที่ผมเจอ มาก็ Gmail , Hotmail ,yahoo กันด้วย ฮ่าๆ
พฤติกรรมคุ้นๆเหมือน Coin ในเรื่อง Mockingjay (เห็นฝรั่งชอบเทียบแกบ่อยๆ)
ย่อหน้าที่ 2อนุญาต ไม่ใช่ อนุญาติ ครับ
ขอบคุณสำหรับบทความนี้ครับ ได้ทราบข้อดี ข้อเสีย และคำแนะนำ
เหมือนที่หน่วยงานในไทยเปิดตัวโปรแกรมคล้ายๆ LINE ขึ้นมาสินะเพราะตอนนี้ใช้ไลน์ติดต่อราชการกันเป็นว่าเล่น
ถ้าจะยกตัวอย่างบ้านเราใกล้ๆเลยก็คือ รฟท.นั่นแหละ ใช่ Line ติดต่อกันแทบจะแทนที่โทรเลขละ
ประเทศไทยก็ LINE เลย
Skype ในเครื่องไม่สั่นสักที
อีเมล์ติดต่อราชการไทยก็ gmail ทั้งนั้นแหละครับ ระบบ e-mail ราชการมันเน่ามาก