28 พฤษภาคม 2569
การปลุกให้ตื่น
ในช่วงเวลาเพียงหนึ่งปี เหตุการณ์ทางไซเบอร์ที่มีความสำคัญระดับประเทศซึ่งมุ่งเป้าไปที่ภาคสาธารณะของสหราชอาณาจักรเพิ่มขึ้นมากกว่าสองเท่า – จาก 89 เป็น 204 เหตุการณ์ การโจมตี Synnovis หยุดการตรวจเลือดทั่วโรงพยาบาลในลอนดอน, บังคับให้ยกเลิกการนัดหมายกว่า 10,000 ครั้งและกระบวนการผ่าตัดเลือกกว่า 1,700 ครั้ง, และมีส่วนทำให้ผู้ป่วยเสียชีวิตหนึ่งราย. การละเมิดของหน่วยงานช่วยเหลือทางกฎหมาย ข้อมูลส่วนบุคคลที่ละเอียดอ่อนถูกบุกรุก. การโจมตีด้วยแรนซัมแวร์ต่อหอสมุดบริติช ทำลายสถาบันทางวัฒนธรรมที่สำคัญที่สุดแห่งหนึ่งของประเทศอย่างย่อยยับ การอัปเดตซอฟต์แวร์ของ CrowdStrike ที่ไม่ได้มีเจตนาร้ายทำให้บริการหลายพันรายการหยุดทำงานในชั่วข้ามคืน
นี่ไม่ใช่ความเสี่ยงที่นามธรรม แต่เป็นความล้มเหลวที่มีผลกระทบต่อประชาชนในทันที การประเมินของรัฐบาลสหราชอาณาจักรเองก็เปิดเผยอย่างตรงไปตรงมาว่า สิ่งที่พบคือแนวทางด้านความมั่นคงปลอดภัยทางไซเบอร์ที่กระจัดกระจาย ซึ่งต้องการการปฏิรูปอย่างรากฐานและการดำเนินการโดยทันที
สิ่งที่แผนไซเบอร์ของสหราชอาณาจักรเปลี่ยนแปลงจริง ๆ
รัฐบาลสหราชอาณาจักรได้เผยแพร่ แผนปฏิบัติการไซเบอร์ของรัฐบาล, ได้รับการสนับสนุนจากเงินลงทุนกลางจำนวน 210 ล้านปอนด์. พัฒนาโดยกระทรวงวิทยาศาสตร์ นวัตกรรม และเทคโนโลยี (DSIT), แทนที่แบบจำลองที่เชื่อมโยงอย่างหลวม ๆ และนำโดยคำแนะนำ ด้วยสิ่งที่รวมศูนย์และมีการชี้นำมากขึ้น.
ที่ใจกลางของมันคือสิ่งใหม่ หน่วยงานไซเบอร์ของรัฐบาล (GCU) รับผิดชอบในการกำหนดมาตรฐาน ประสานงานการจัดการความเสี่ยง และบังคับใช้ความก้าวหน้าที่สามารถวัดได้ระหว่างแผนกต่างๆ รายงานการทบทวนสถานะของรัฐบาลดิจิทัล ได้ทำการประเมินอย่างชัดเจนแล้ว: ความเสี่ยงทางไซเบอร์ต่อรัฐบาลอยู่ในระดับวิกฤตสูงมาก, 28% ของทรัพย์สินดิจิทัลทำงานบนเทคโนโลยีเก่า, และเป้าหมายความยืดหยุ่นเดิมในปี 2030 ไม่สามารถบรรลุได้อีกต่อไป
แผนจะดำเนินการในสามระยะ:
- ระยะที่ 1 (ภายในเดือนเมษายน 2570) สร้างรากฐาน: จัดตั้ง GCU ดำเนินการกรอบความรับผิดชอบ และเผยแพร่แผนการตอบสนองต่อเหตุการณ์
- ระยะที่ 2 (2027–2029) ขยายขนาดโมเดลด้วยการตัดสินใจที่ขับเคลื่อนด้วยข้อมูลและบริการสนับสนุนส่วนกลาง
- ระยะที่ 3 (ตั้งแต่เดือนเมษายน 2582) เปลี่ยนไปสู่การปรับปรุงอย่างต่อเนื่องและการประกันความมั่นคงของห่วงโซ่อุปทานเชิงรุก
ขณะนี้ หน่วยงานและซัพพลายเออร์จะต้องแสดงให้เห็นถึงการปฏิบัติตามกรอบการรับรองที่มีโครงสร้างอย่างเป็นระบบ – โดยเฉพาะอย่างยิ่ง GovAssure และ กรอบการประเมินความเสี่ยงทางไซเบอร์ของ NCSC (CAF) – และนำมาใช้ ปลอดภัยด้วยการออกแบบ หลักการ
การตรวจสอบตัวตนที่เหมาะสม
คำนำของรัฐมนตรีได้กำหนดทิศทางโดยระบุว่าการตรวจสอบตัวตนควบคู่กับการดูแลสุขภาพและสวัสดิการเป็นส่วนหนึ่งของ "โครงสร้างพื้นฐานที่สำคัญของชีวิตชาวอังกฤษยุคใหม่" แต่สิ่งที่สำคัญที่สุดสำหรับผู้ให้บริการตัวตนคือสิ่งที่เกิดขึ้นในบทปฏิบัติการ
ประการแรก, การควบคุมตัวตนและการเข้าถึงเป็นผลลัพธ์หลักภายใต้ กรอบการประเมินไซเบอร์ – มาตรฐานที่ทุกแผนกจะถูกประเมินผ่าน GovAssure ในขณะนี้ หลักการ B2 กำหนดให้แผนกต่างๆ แสดงให้เห็นว่าผู้ใช้ที่เข้าถึงบริการได้รับการ "ตรวจสอบยืนยัน ตรวจสอบตัวตน และอนุญาตอย่างเหมาะสม" ไม่มีข้อผิดพลาด: นี่เป็นข้อกำหนดการรับรองที่สามารถวัดผลได้พร้อมการกำกับดูแลจากส่วนกลาง
สอง, แผนระบุอย่างชัดเจนว่าการตรวจสอบสิทธิ์แบบเก่าเป็นช่องโหว่เชิงระบบ มรดกทางเทคโนโลยีไม่ได้เป็นเพียงเซิร์ฟเวอร์เก่าเท่านั้น – มันรวมถึง รหัสผ่าน, โทเค็นฮาร์ดแวร์, และวิธีการตรวจสอบความรู้ ที่ยังคงเป็นรากฐานของโครงสร้างพื้นฐานด้านอัตลักษณ์ของรัฐบาลอยู่มาก ภารกิจในการแทนที่ระบบที่เปราะบางนั้นมีความเกี่ยวข้องโดยตรงในที่นี้
ประการที่สาม สิ่งใหม่ แบบจำลองความรับผิดชอบในห่วงโซ่อุปทาน ผู้ให้บริการระบุตัวตนที่ให้บริการแก่รัฐบาลจะต้องเผชิญกับการตรวจสอบที่เข้มงวดมากขึ้น ผู้ให้บริการที่จัดส่งบริการในขนาดใหญ่ อาจถูกกำหนดให้เป็น "ผู้ให้บริการเชิงกลยุทธ์" ซึ่งต้องปฏิบัติตามการเป็นพันธมิตรอย่างเป็นทางการกับ GCU และมีความคาดหวังในการรับรองโดยตรง
ผลกระทบที่เกิดขึ้นร่วมกันนั้นมีความสำคัญ: กลไกการรับประกันและการจัดซื้อจัดจ้างในปัจจุบันทำให้การหาเหตุผลสนับสนุนโซลูชันด้านอัตลักษณ์ที่อ่อนแอทำได้ยากขึ้น และทำให้การนำเสนอเหตุผลเพื่อเลือกใช้ระบบที่ทันสมัย การยืนยันตัวตนที่ต้านทานการหลอกลวง. สำหรับผู้ให้บริการยืนยันตัวตน นั่นคือการเปลี่ยนแปลงที่มีความหมายมากกว่าคำพูดเพียงคำเดียวในคำนำ
ความยืดหยุ่น + ความปลอดภัย: การรับมือกับภัยคุกคามที่ไม่หยุดนิ่ง
แผนนี้ได้กำหนดเป้าหมายอย่างต่อเนื่องว่าเป็น "ความมั่นคงปลอดภัยทางไซเบอร์และความยืดหยุ่น" โดยถือว่าทั้งสองสิ่งมีความสำคัญเท่าเทียมกัน แต่การเน้นย้ำเรื่องความยืดหยุ่นนั้นมีความโดดเด่น และสะท้อนถึงสิ่งที่แผนนี้เรียกว่า "การเปลี่ยนแปลงทางวัฒนธรรมและการดำเนินงานในวิธีที่รัฐบาลมองความยืดหยุ่น" ในทางปฏิบัติ นั่นหมายความว่า รัฐบาลไม่ได้ถามเพียงแค่ว่า "เราสามารถหยุดการโจมตีได้หรือไม่?" แต่รวมถึง "เราสามารถให้บริการดำเนินต่อไปได้และได้รับความไว้วางใจเมื่อเกิดปัญหาหรือไม่?"
สิ่งนี้มีความหมายเฉพาะเจาะจงต่ออัตลักษณ์ พิจารณาสองสถานการณ์:
- ประการแรกคือความล้มเหลวในการให้บริการ เหตุการณ์ที่ไม่เจตนาร้าย เช่นการหยุดทำงานของ CrowdStrikeถูกกล่าวถึงควบคู่กับการโจมตีด้วยแรนซัมแวร์และการโจมตีจากรัฐชาติ เนื่องจากผลลัพธ์สุดท้ายสำหรับประชาชนเหมือนกัน: บริการหยุดชะงัก ความไว้วางใจลดลง ระบบระบุตัวตนที่ไม่สามารถแสดงให้เห็นถึงสถาปัตยกรรมแบบกระจาย ความซ้ำซ้อน และการกู้คืนอย่างรวดเร็ว กลายเป็นจุดล้มเหลวเดียวที่แผนการโจมตีมุ่งเป้าอย่างชัดเจน
- ประการที่สองคือการละเมิดอัตลักษณ์ การโจมตีในปัจจุบันมุ่งเป้าไปที่ความไว้วางใจของมนุษย์มากกว่าโครงสร้างพื้นฐานโดยตรง ตัวอย่างเช่น เจ้าหน้าที่การเงินอาจได้รับวิดีโอคอลที่ดูน่าเชื่อถือซึ่งปรากฏว่ามาจากเจ้าหน้าที่ระดับสูงที่ขออำนาจอนุมัติการชำระเงินฉุกเฉิน การตรวจสอบความรู้ การจดจำผู้โทร และการยืนยันตัวตนแบบดั้งเดิมอาจดูถูกต้องทั้งหมด ความล้มเหลวในที่นี้ไม่ใช่การป้องกันที่ขอบเขต แต่เป็นความไม่สามารถในการยืนยันว่าบุคคลที่อยู่เบื้องหลังการโต้ตอบนั้นเป็นบุคคลที่แท้จริงตามที่อ้าง นั่นคือช่องว่างด้านความยืดหยุ่น ไม่ใช่แค่ช่องว่างด้านความปลอดภัยเท่านั้น
สำหรับทีมจัดซื้อจัดจ้าง นี่เป็นการปรับกรอบเกณฑ์การประเมินใหม่ คำถามไม่ได้เป็นเพียงแค่ "สิ่งนี้ปลอดภัยหรือไม่?" แต่เป็น "จะเกิดอะไรขึ้นเมื่อมีสิ่งผิดพลาด — และเรายังสามารถไว้วางใจผู้ที่เรากำลังติดต่ออยู่ได้หรือไม่?" ระบบบริหารจัดการข้อมูลประจำตัวที่สามารถแสดงให้เห็นถึงการเฝ้าระวังภัยคุกคามอย่างต่อเนื่องและการฟื้นฟูอย่างรวดเร็วจะมีความเหมาะสมมากกว่าในการตอบสนองต่อความคาดหวังของแผน เมื่อเทียบกับเครื่องมือรุ่นเก่าที่แผนระบุไว้อย่างชัดเจนว่ามีความเสี่ยง
สิ่งที่แผนไซเบอร์ของสหราชอาณาจักรไม่ได้ทำ
ควรมีความชัดเจนเกี่ยวกับขอบเขต แผนนี้คือ โดยรัฐบาล เพื่อรัฐบาล. มันไม่ได้กำหนดข้อกำหนดใหม่สำหรับภาคเอกชนหรือโครงสร้างพื้นฐานที่สำคัญระดับชาติโดยตรง – นั่นเป็นหน้าที่ของ พระราชบัญญัติความมั่นคงทางไซเบอร์และความยืดหยุ่น, ได้เสนอในรัฐสภาในวันเดียวกัน. ร่างพระราชบัญญัตินี้ขยายภาระผูกพันด้านความยืดหยุ่นไปยังผู้ให้บริการแก่รัฐบาลในด้านพลังงาน, น้ำ, การดูแลสุขภาพ, และศูนย์ข้อมูล, แต่ผลกระทบที่สมบูรณ์จะชัดเจนขึ้นเมื่อร่างพระราชบัญญัตินี้ก้าวหน้าไป.
นักวิเคราะห์ในอุตสาหกรรมหลายท่านได้ตั้งข้อสงสัยเช่นกันว่าจำนวนเงิน 210 ล้านปอนด์นั้นเพียงพอหรือไม่เมื่อพิจารณาจากขนาดของความท้าทาย กลยุทธ์ปี 2021 ได้จัดสรรเงินจำนวน 2.6 พันล้านปอนด์ และปัญหายังคงมีอยู่
ในทางปฏิบัติ: แผนไซเบอร์ของสหราชอาณาจักรมีความหมายต่อคุณอย่างไร?
แม้จะมีข้อควรระวังเหล่านั้น ทิศทางก็ชัดเจนอย่างไม่ต้องสงสัย — และไม่ใช่แค่สำหรับหน่วยงานรัฐบาลเท่านั้น องค์กรใดก็ตามที่อยู่ในห่วงโซ่อุปทานของภาครัฐจะรู้สึกถึงผลกระทบ สามการเปลี่ยนแปลงที่โดดเด่นคือ
มาตรฐานแบบรวมศูนย์เปลี่ยนแปลงรูปแบบการซื้อ การที่หน่วยงานไซเบอร์ของรัฐบาลกำหนดมาตรฐานข้ามหน่วยงานสร้างเงื่อนไขสำหรับการให้บริการร่วมกันและโครงสร้างพื้นฐานด้านอัตลักษณ์แบบ "สร้างครั้งเดียว ใช้หลายครั้ง" ยุคของการจัดซื้อจัดจ้างแบบแยกส่วนตามหน่วยงานกำลังจะสิ้นสุดลง
หลักฐานการรับรองกลายเป็นข้อกำหนดเบื้องต้นในการจัดซื้อจัดจ้างการเปลี่ยนแปลงไปสู่การปฏิบัติตามมาตรฐาน GovAssure และ CAF หมายความว่าทีมจัดซื้อจัดจ้างจะคาดหวังให้ผู้ขายจัดเตรียมเอกสารรับรองที่ผ่านการกำหนดไว้ล่วงหน้าและแสดงให้เห็นถึงความสอดคล้องกับมาตรฐานการรับรองที่ได้รับการยอมรับในระดับสากลมากขึ้น สิ่งนี้ควรนำมาพิจารณาในการวางแผนตั้งแต่เนิ่นๆ ไม่ใช่ในขั้นตอนการเจรจาสัญญา
กำหนดเวลาการเปลี่ยนระบบเดิมกำลังเข้มงวดมากขึ้น ด้วยวิธีการยืนยันตัวตนที่เปราะบางซึ่งถูกระบุ อย่างชัดเจนว่าเป็นช่องโหว่เชิงระบบ องค์กรที่ยังคงพึ่งพารหัสผ่าน โทเค็นฮาร์ดแวร์หรือการยืนยันตัวตนที่อาศัยความรู้ควรเริ่มวางแผนเส้นทางเปลี่ยนผ่านตั้งแต่ตอนนี้ ไม่ใช่รอให้ข้อบังคับในระยะที่ 2 มีผลบังคับใช้ การเปลี่ยนระบบเดิมเป็นเรื่องที่หลีกเลี่ยงไม่ได้แล้ว ไม่ใช่แค่คำแนะนำเท่านั้นหน่วยงานที่กำลังเปลี่ยนวิธีการยืนยันตัวตนที่เปราะบางจะมองหาพันธมิตรที่สามารถเร่งการเปลี่ยนผ่านที่ปลอดภัยในขณะที่ลดความเสี่ยงในการดำเนินงานได้มากขึ้น ระบบระบุตัวตนที่สามารถแสดงให้เห็นถึงความต้านทานต่อการโจมตีแบบฟิชชิง, ความยืดหยุ่นในการดำเนินงาน,และการตรวจสอบภัยคุกคามอย่างมีความเคลื่อนไหวจะสอดคล้องกับข้อกำหนดการโยกย้ายข้อมูลเหล่านี้ได้ดีขึ้น
มองไปข้างหน้า
แผนปฏิบัติการไซเบอร์ของรัฐบาลทำสิ่งที่กลยุทธ์ก่อนหน้านี้ไม่ได้ทำ: มันฝังการตรวจสอบยืนยันตัวตนไว้ในกรอบการรับประกันหลักของรัฐบาล, เชื่อมโยงประสิทธิภาพทางไซเบอร์กับความยืดหยุ่นแทนที่จะเป็นเพียงการปฏิบัติตามกฎ, และสร้างกลไกการบังคับใช้ที่รวมศูนย์พร้อมความรับผิดชอบที่แท้จริง
แผนนี้สะท้อนถึงการเปลี่ยนแปลงในความคิดของรัฐบาลในวงกว้าง: ความยืดหยุ่นทางไซเบอร์ไม่ได้ถูกวัดเพียงแค่ว่าผู้โจมตีถูกกันออกไปหรือไม่ แต่ยังรวมถึงว่าบริการที่สำคัญยังคงน่าเชื่อถือได้หรือไม่ในระหว่างที่เกิดการขัดขวาง ในสภาพแวดล้อมเช่นนี้ ระบบตัวตนกลายเป็นโครงสร้างพื้นฐานทางการปฏิบัติการ ไม่ใช่เพียงแค่ชั้นการตรวจสอบสิทธิ์
สำหรับผู้ที่กำลังวางแผนวงจรการจัดซื้อครั้งต่อไป — ไม่ว่าจะเป็นภายในรัฐบาลหรือในห่วงโซ่อุปทาน — คำถามไม่ใช่ว่าจะปรับปรุงการยืนยันตัวตนให้ทันสมัยหรือไม่ แต่เป็นว่าจะทำได้อย่างรวดเร็วเพียงใด
ความพยายามด้านนโยบายจะดำเนินต่อไป โดยเฉพาะอย่างยิ่งกับการก้าวหน้าของร่างพระราชบัญญัติความมั่นคงปลอดภัยทางไซเบอร์และความยืดหยุ่น และการจัดตั้ง GCU เอง เราจะติดตามทั้งสองอย่างอย่างใกล้ชิด
สำรวจผลงานล่าสุดของเรา รายงานข่าวกรองภัยคุกคามปี 2026 เพื่อความเข้าใจในภูมิทัศน์ของภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ หรือ ติดต่อ เพื่อหารือเกี่ยวกับวิธีที่องค์กรของคุณสามารถปรับให้สอดคล้องกับกรอบการรับรองใหม่
คำถามที่พบบ่อยเกี่ยวกับแผนไซเบอร์ของสหราชอาณาจักร
ถาม: แผนปฏิบัติการไซเบอร์ของสหราชอาณาจักรมีความหมายต่อการตรวจสอบยืนยันตัวตนอย่างไร?
ตอบ: แผนดังกล่าวทำให้การควบคุมตัวตน และการเข้าถึง (Identity and Access Control) เป็นผลลัพธ์หลักของการรับรองภายใต้กรอบการประเมินความเสี่ยงทางไซเบอร์ (Cyber Assessment Framework: CAF) หน่วยงานต่างๆ ต้องแสดงให้เห็นว่าผู้ใช้ได้รับการตรวจสอบยืนยันตัวตน การพิสูจน์ตัวตน และการอนุญาตอย่างเหมาะสม ผ่านการประเมินของ GovAssure และวิธีการพิสูจน์ตัวตนแบบเดิม เช่น รหัสผ่านและโทเค็นฮาร์ดแวร์ ถูกระบุอย่างชัดเจนว่าเป็นช่องโหว่เชิงระบบที่ต้องได้รับการเปลี่ยนแปลง
ถาม: GovAssure คืออะไรและมีผลกระทบต่อผู้จัดหาสินค้าและบริการให้กับรัฐบาลอย่างไรบ้าง?
A: GovAssure คือกรอบการประกันความมั่นคงปลอดภัยทางไซเบอร์ของรัฐบาลสหราชอาณาจักร ซึ่งใช้ประเมินหน่วยงานต่าง ๆ ตามกรอบการประเมินไซเบอร์ของ NCSC ภายใต้แผนปฏิบัติการไซเบอร์ปี 2026 หน่วยงานหลักของรัฐบาลต้องรับรองห่วงโซ่อุปทานของตนตามมาตรฐานเหล่านี้ให้แล้วเสร็จ 90% ภายในระยะที่ 2 (ปี 2027–2029) ผู้ให้บริการที่จัดหาบริการด้านอัตลักษณ์ในระดับใหญ่ อาจได้รับการกำหนดให้เป็น "ผู้ให้บริการเชิงกลยุทธ์" ซึ่งต้องมีความร่วมมืออย่างเป็นทางการกับหน่วยงานไซเบอร์ของรัฐบาล
