CIA Triad: Confidentiality, Integrity, Availability — 3 หลักการพื้นฐานของ Cyber Security

ถ้าคุณเคยแดงคำว่า CIA Triad ในวงการ Cyber Security — นี่ไม่ได้เกี่ยวกับหน่วยข่ายกรรมการเงิน แต่เป็น 3 หลักการสำคัญที่สุดของการดูแลค่วามปลอดภัยข้อมูลและระบบไอที ที่องค์กรทั้งโลกนำมาเป็นมาตรฐานกลางความปลอดภัย

CIA Triad คืออะไร?

CIA Triad คือกรอบความคิดที่ประกอบด้วย 3 หลักการหลัก ใช้เป็นแนวทางการออกแบบระบบความปลอดภัย ตัดสินใจนโยบาย และประเมินความเสียง:

  • C — Confidentiality (ความลับหรือความเป็นส่วนตัว)
  • I — Integrity (ความถูกต้องและครบถ้วนของข้อมูล)
  • A — Availability (ความพร้อมใช้งาน)

C — Confidentiality ความลับหรือความเป็นส่วนตัว

Confidentiality หมายถึงการป้องกันไม่ใหม่บรรดาลุกคนที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลได้ ตัวอย่างในชีวิจริย:

  • เว็บธนาคารเข้ารหัสคือรหัสผู้สังคมโดยได้เฉพาะเจ้ากองค์เล่นนั้น
  • สัญญาจ้างอ่านและกมไม่ได้รูเงี่ยแต่วับ และฟณ์เจ้าเท่านั้น
  • ข้อมูลลูกค้าไม่ถูกเปิดเผยต่อสาธารณหรือคู่แข่ง

เครื่องมือสร้าง Confidentiality: การเข้ารหัสข้อมูล (Encryption), การควบคุมสิทธิ์การเข้าถึง (Access Control), MFA, และ Zero Trust

ภัยคูกคามที่ละเมิด Confidentiality: Data Breach, Phishing, Insider Threat, Eavesdropping

I — Integrity ความถูกต้องและครบถ้วนของข้อมูล

Integrity หมายถึงการมั่นใจว่าข้อมูลไม่ถูกแก้ไขโดยไม่ได้รับอนุญาต ตัวอย่าง:

  • ยอดเงินในสลิปต้องตรงกับเงินจริง ไม่ถูกเปลี่ยนแปลงระหว่างทาง
  • ผลการเลือกตังจากระบบ e-Voting ต้องไม่ถูกแก้ไขหลังปิดการลงคะแนน
  • ผลผลิตทางการแพทย์ต้องไม่ถูกผู้อื่นแก้ไขยา

เครื่องมือสร้าง Integrity: Hash Functions (MD5, SHA-256), Digital Signatures, Checksums, Version Control, และ Audit Logs

ภัยคูกคามที่ละเมิด Integrity: Man-in-the-Middle Attack, SQL Injection, Malware ที่แก้ไขไฟล์

A — Availability ความพร้อมใช้งาน

Availability หมายถึงการมั่นใจว่าระบบและข้อมูลพร้อมใช้งานสำหรผู้อนุญาตทุกเมื่อต้องการ ตัวอย่าง:

  • ระบบธนาคารออนไลน์ต้องทำงานได้ 24/7 ไม่ล่มในช่วงเวลาทางการทำสางภสะคุณ
  • ระบบ Hospital ต้องเข้าถึงประวัติผู้ป่วยได้ตลอดเวลา
  • Cloud Server ต้องรันได้สม่ำเสมอไม่ Downtime

เครื่องมือสร้าง Availability: Load Balancing, Redundancy, Backup & Recovery, DDoS Protection, และ Uptime Monitoring

ภัยคูกคามที่ละเมิด Availability: DDoS Attack, Ransomware, Hardware Failure, และ Natural Disaster

CIA Triad ใช้ในชีวิจริยสคืตึงไป?

สถานการณ์ C I A อธิบาย
ธนาคารออนไลน์ ต้องครบทั้ง 3 หลัก
ระบบ โรงพยาบาล Availability สำคัญมาก
สื่อสังคมออนไลน์ ✔️ Confidentiality สำคัญสุด
ระบบ e-Commerce ครบทุกด้าน

ความขัดแย้งระหว่าง CIA

ในความเป็นจริง การเพิ่มหลักการหนึ่งอาจดทำให้อีกหลักการลดลง:

  • Confidentiality vs Availability: การเข้ารหัสทุกไฟล์ทำใหใช้งานช้าลง ( u0eb5u0eaa u0ea2) Availability)
  • Integrity vs Availability: การตรวจสอบ Hash ทุก Transaction ทำให้ระบบช้าลง

การออกแบบระบบความปลอดภัยที่ดีคือการหาจุดสมดุล (balance) ที่เหมาะกับความต้องการของระบบนั้นๆ

สรุป

CIA Triad คือรากฐานของการคิดเรื่องความปลอดภัยทุกอย่าง ไม่ว่าจะเป็นการเลือกเครื่องมือความปลอดภัย ออกแบบนโยบาย หรือประเมินความเสียง การถามตัวเองเต่นชิมหน่อย “ระบบนี้ผ่าน CIA Triad ครบหรือไม่?” จะช่วยใหม่คุณหาจุดป่อยอ่อนของระบบได้อย่างเป็นระบบ