วิกฤตการณ์แรนซัมแวร์ (ransomware) หรือมัลแวร์เรียกค่าไถ่ WannaCry และ Petya ที่ระบาดไปทั่วโลกในช่วงต้นปีและกลางปีที่ผ่านมา ได้มอบบทเรียนราคาแพงให้ทุกฝ่ายต้องตระหนักถึงความจริงที่ว่า กรอบของภัยคุกคามทางไซเบอร์ไม่ได้จำกัดแค่ในเรื่องการโจรกรรมข้อมูลของธนาคารหรือการโจมตีความมั่นคงของรัฐบาลอีกต่อไป แต่ส่งผลกระทบใหญ่หลวงไปยังองค์กรธุรกิจต่างๆ และผู้ใช้คอมพิวเตอร์ทั้งโลกได้อย่างคาดไม่ถึง
ตัวอย่างที่เห็นได้ชัดคือ ยักษ์ใหญ่แห่งวงการโฆษณา WPP เจ้าของเอเจนซีชื่อดังระดับโลกอย่าง JWT, Ogilvy & Mather และ Grey ซึ่งไม่มีวี่แววว่าจะตกเป็นเป้าหมายของการโจมตี กลับถูกแรนซัมแวร์เล่นงานในเดือนมิถุนายนที่ผ่านมา จนต้องสั่งปิดบริษัทชั่วคราว
ขณะเดียวกันบริษัท A.P. Moller-Maersak กลุ่มบริษัทน้ำมันและเดินเรือของประเทศเดนมาร์ก หนึ่งในบริษัทขนส่งรายใหญ่ที่สุดในโลกถูก Petya โจมตีระบบไอที ส่งผลให้ทุกหน่วยย่อยของบริษัทได้รับผลกระทบตามไปด้วย ตั้งแต่การขนส่งสินค้าทางตู้คอนเทนเนอร์ การท่าเรือ รวมทั้งการผลิตน้ำมันและก๊าซ ทั้งในนิวยอร์ก นิวเจอร์ซีย์ รอตเตอร์ดัมและมุมไบ ล่าช้าตามไปด้วย
กรณีเหล่านี้ล้วนแต่สะท้อนให้เห็นถึงปัญหาความปลอดภัยบนโลกไซเบอร์ที่ไม่ได้อยู่ไกลตัวเราอีกต่อไป…
หน่วยงานองค์กรและผู้ใช้งานทั่วไปควรทำอย่างไร เมื่อภัยบนโลกไซเบอร์ใกล้ตัวกว่าที่คิด?
จากงานสัมมนาวันสื่อสารแห่งชาติประจำปี 2560 จัดขึ้นโดยกสทช. เมื่อวันที่ 4 ส.ค. 2560 ริชาร์ด คลาร์ก (Richard Clarke) ที่ปรึกษาด้านการจัดการความเสี่ยงและความปลอดภัยในโลกไซเบอร์ได้แสดงปาฐกถาพิเศษในหัวข้อ ‘Cyber Security: Challenges and Opportunities in the Digital Economy’ จากประสบการณ์การทำงานให้คำปรึกษากับประธานาธิบดีสหรัฐอเมริกาติดต่อกันหลายสมัย นับตั้งแต่บิล คลินตัน จนถึงบารัก โอบามา
ริชาร์ดชี้ว่า ปัจจุบันผู้บริหารระดับสูงของบริษัทชั้นนำน้อยคนนักที่จะตระหนักถึงภัยคุกคามเหล่านี้ เพราะมักเชื่อว่าไม่มีทางจะเกิดขึ้นกับบริษัทของตัวเอง มองว่าตัวเองเป็นธุรกิจขนาดเล็กจึงไม่น่าจะตกเป็นเป้าหมายของกลุ่มอาชญากรทางไซเบอร์ หรือไม่ก็เชื่อว่าปัญหาดังกล่าวไม่ใช่เรื่องใหญ่โต กว่าบริษัทเหล่านั้นจะรู้ตัวว่าได้รับความเสียหายก็ผ่านไปแล้วเฉลี่ยราว 205 วัน โดยได้รับแจ้งจากรัฐบาล
เขาย้ำว่า ถึงเวลาแล้วที่ทุกฝ่ายจะต้องตระหนักว่าภัยคุกคามทางไซเบอร์กำลังยิ่งทวีความซับซ้อนรุนแรงขึ้นทุกขณะ และจะจุดชนวนไปสู่การพลิกโฉมหรือ Disruption ครั้งใหม่ที่ยากเกินคาดเดา
และนี่คือวิธีรับมือกับความเสี่ยง 12 ประการที่ภาคธุรกิจควรรู้ เพื่อรับมือกับภัยคุกคามความมั่นคงปลอดภัยและความท้าทายใหม่ทางไซเบอร์
1. สร้างความรู้ความเข้าใจด้านความมั่นคงไซเบอร์ให้กับคณะกรรมการและผู้บริหาร บริษัทส่วนใหญ่ขาดบุคลากรระดับผู้บริหารที่มีความรู้ความเชี่ยวชาญด้านไอที ผู้บริหารบางคนไม่ได้ตระหนักถึงความสำคัญของเรื่องนี้ เพราะกลัวการใช้คำศัพท์ที่เข้าใจยาก ที่แย่กว่านั้นคือ ผู้เชี่ยวชาญเองก็ไม่ได้ให้ความรู้กับคณะกรรมการและผู้บริหารอย่างเพียงพอ
2. แก้ไขวิธีการสื่อสารและการรับมือกับปัญหาในเชิงโครงสร้างธุรกิจ โดยปกติผู้รับผิดชอบด้านความมั่นคงปลอดภัยทางไซเบอร์ขององค์กรธุรกิจหรือ Chief Cyber Security Officer จะต้องรายงานปัญหาที่เกิดขึ้นให้ผู้บริหารทราบ ซึ่งแน่นอนว่าผู้บริหารน้อยรายจะเข้าใจปัญหาและภัยคุกคามที่เกิดขึ้นจริงๆ ดังนั้น ควรมีรูปแบบการสื่อสารที่ง่ายและชัดเจน เพื่อที่จะรับมือและดำเนินการแก้ไขได้ทันท่วงที
3. จัดสรรงบประมาณอย่างเหมาะสม เนื่องจากบริษัทส่วนใหญ่ไม่ได้ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์เท่าที่ควร ส่วนมากคิดเป็นร้อยละ 3-5 ของงบประมาณไอทีเท่านั้น ซึ่งแทบเป็นไปไม่ได้เลยที่จะรักษาความปลอดภัยได้จริง ขณะที่บริษัทที่มีความมั่นคงปลอดภัยสูงจะลงทุนกับ Cyber Security สูงถึงร้อยละ 8-10 ของงบประมาณไอทีทั้งหมดของบริษัท
4. ผลิตและฝึกฝนบุคลากรเฉพาะทาง ปัจจุบันหลายประเทศทั่วโลกกำลังต้องการบุคลากรที่เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์มากถึง 100,000 ตำแหน่ง ไม่ว่าจะเป็นสหรัฐอเมริกา จีน หรือประเทศไทย เนื่องจากภาครัฐและเอกชนยังไม่มีการฝึกอบรมและผลิตบุคลากรด้านนี้โดยตรง อีกทั้งยังเป็นอาชีพที่ต้องอาศัยการฝึกฝนและมีประสบการณ์การทำงานหลายปี ทำให้หลายบริษัทอาจตกอยู่ในภาวะความเสี่ยง
5. เลิกใช้อุปกรณ์ล้าสมัย บริษัทส่วนใหญ่ยังใช้อุปกรณ์ฮาร์ดแวร์และโปรแกรมซอฟต์แวร์ที่โบราณ มีระบบปฏิบัติการบนเครื่องคอมพิวเตอร์เวอร์ชันเก่าจำนวนไม่น้อยที่ไม่ได้รับการอัพเดตแพตช์ หรือเวอร์ชันจนไร้คุณสมบัติป้องกันตัวเองและตกเป็นเป้าหมายโจมตีของอาชญากรบนโลกไซเบอร์
6. แก้ไขปัญหาเครือข่ายคอมพิวเตอร์แบบแบนราบ เครือข่ายคอมพิวเตอร์ในองค์กรที่มีรูปแบบแบนราบไม่ได้มีการแบ่ง Segment ออกเป็นส่วนๆ หรือสร้าง Firewall ภายในบริษัท จะส่งผลให้องค์กรเหล่านั้นถูกเจาะข้อมูลได้ง่ายขึ้น
จากผลการสำรวจเมื่อไม่นานมานี้พบว่า 22% คือสัดส่วนของอุปกรณ์ที่เชื่อมต่อเข้ากับเครือข่ายและระบบของบริษัทในรูปแบบ ‘Shadow IT’ โดยที่บริษัทไม่สามารถระบุตำแหน่งและข้อมูลของอุปกรณ์เหล่านั้นได้ ตัวอย่างที่เห็นได้ชัดคือ อุปกรณ์ส่วนตัวของพนักงานในหน่วยงานอย่างโทรศัพท์หรือแท็บเล็ต
7. สร้างการเข้ารหัสข้อมูล (Encryption) หลายบริษัทเลือกจะมองข้ามเรื่องนี้ไป หรือไม่ก็เข้ารหัสเฉพาะส่วนของอีเมลเท่านั้น เพราะมองว่าการเข้ารหัสข้อมูลเป็นเรื่องยุ่งยากน่าเบื่อ เหมือนกับเมื่อ 10 ปีก่อน อย่างไรก็ดี การเข้ารหัสถือเป็นการรักษาความปลอดภัยของข้อมูลขั้นพื้นฐาน เพื่อป้องกันไม่ให้แฮกเกอร์เจาะระบบหรือโจรกรรมข้อมูลได้อย่างง่ายดาย ที่สำคัญ ปัจจุบันมีโปรแกรมเข้ารหัสที่ใช้งานง่ายและรวดเร็ว
8. ยกเลิกยุทธศาสตร์เชิงรับที่ล้าสมัย ริชาร์ดมองว่า ทุกวันนี้บริษัทจำนวนมากยังคงรับมือกับภัยคุกคามทางไซเบอร์ด้วยยุทธศาสตร์เชิงรับ Parameter Defence Strategy ที่เปรียบได้กับการขุดคูน้ำรอบปราสาทเพื่อป้องกันศัตรูในศึกสงคราม อย่างไรก็ตาม นี่เป็นเทคโนโลยีในยุค 1990 ซึ่งใช้ไม่ได้ผลอีกต่อไปในยุคสมัยที่ทุกคนสามารถดึงข้อมูลจากระบบคลาวด์มาใช้ผ่านโทรศัพท์มือถือได้ในเสี้ยววินาที
9. วางแผนรับมือการโจมตีอย่างเป็นระบบและรัดกุม หลายบริษัทส่วนใหญ่ได้รับความเสียหายใหญ่หลวงจากการโจมตีทางไซเบอร์ เพราะขาดการวางแผนอย่างรัดกุมและเป็นระบบ บุคลากรทุกตำแหน่งควรฝึกฝนและรู้บทบาทของตัวเองล่วงหน้าเพื่อดำเนินการแก้ไขสถานการณ์อย่างรวดเร็ว โดยเฉพาะคณะผู้บริหารทั้งหมด ตั้งแต่ซีอีโอว่าควรตัดสินใจอย่างไร หากเกิดกรณีข้อมูลของบริษัทรั่วไหล ซีไอโอ (CIO) จะจัดการข้อมูลองค์กรอย่างไร หัวหน้าฝ่ายประชาสัมพันธ์จะแถลงข่าวอย่างไรโดยไม่ส่งผลกระทบต่อภาพลักษณ์หรือความเชื่อมั่นระหว่างผู้ถือหุ้น หรือทำงานร่วมกับนักนิติวิทยาศาสตร์อย่างไรในการเปิดเผยข้อมูลหรือเก็บอุปกรณ์ใดเป็นหลักฐานบ้าง
10. ดำเนินการฝึกซ้อมตามแผนที่วางไว้ ริชาร์ดเปรียบเทียบว่า ทีมกีฬาไม่ว่าจะสโมสรฟุตบอลหรือบาสเกตบอลล้วนแล้วแต่ต้องเล่นตามแผนการของทีมทั้งนั้น เช่นเดียวกับหน่วยงานและองค์กรต่างๆ ที่ควรหมั่นฝึกซ้อมแผนการรับมือภัยคุกคามบนโลกไซเบอร์อยู่เสมอ โดยที่ผู้บริหารในทุกๆ แผนกจะต้องเข้ามามีส่วนร่วม ซึ่งบริษัทที่มีความเสี่ยงจะถูกโจมตีบนโลกไซเบอร์มากที่สุดคือบริษัทที่ไม่เคยฝึกรับมือกับวิกฤตการณ์มาก่อน
11. เตรียมแผนสำรองเสมอ นอกจากการวางแผนที่รัดกุมและฝึกซ้อมอย่างสม่ำเสมอแล้ว บริษัทและหน่วยงานทั้งหลายควรจะมีแผนสำรองเผื่อไว้ใช้ในสถานการณ์ที่คาดไม่ถึงด้วย
12. ประสานงานและร่วมมือกันภายในภาคธุรกิจของตัวเอง ริชาร์ดแนะนำว่า บริษัทหรือหน่วยงานต่างๆ ควรจะประสานงานร่วมกันในภาคธุรกิจของตนและให้ความร่วมมือกับหน่วยงานรัฐ ตัวอย่างที่ง่ายที่สุดก็คือ ธนาคารแต่ละแห่งควรแลกเปลี่ยนข้อมูลระหว่างกัน เช่น แชร์ข้อมูลว่าซอฟต์แวร์ใดใช้งานได้ดีหรือไม่ดีอย่างไร ผู้ใช้งาน IP Address รายใดที่สุ่มเสี่ยงเป็นอาชญากรไซเบอร์หรือผู้ก่อการร้าย
หลังจากนั้นควรมีบริษัทตัวแทนที่ไม่สังกัดกับภาครัฐเข้ามาทำหน้าที่ตรวจสอบความมั่นคงและความปลอดภัยของระบบภายในองค์กรแต่ละแห่ง เพื่อประเมินและให้คะแนนเปรียบเทียบระหว่างบริษัท
ริชาร์ดยังมองว่า การควบคุมภัยคุกคามไซเบอร์ที่ดีที่สุดคือการดูแลตัวเองและดูแลซึ่งกันและกันระหว่างหน่วยงาน เพราะเมื่อเกิดปัญหาตามมาภายหลัง รัฐบาลจะเข้ามากำกับดูแลพร้อมบทลงโทษที่เข้มงวด ไม่ว่าจะในประเทศใดก็ตาม
ระวัง! ก่อการร้าย เกาหลีเหนือมีความมั่นคงในโลกไซเบอร์สูงกว่าอเมริกา
ในช่วงการสัมภาษณ์แบบถาม-ตอบ ดำเนินการโดย สุทธิชัย หยุ่น ริชาร์ดได้แสดงทรรศนะที่ชวนฉุกคิดไว้ในหลายประเด็น เช่น ความเชื่อที่ว่าการก่อการร้ายในอนาคตอาจไม่ใช่รูปแบบการสร้างความเสียหายในเชิงกายภาพอีกต่อไป เพราะวิกฤตการณ์ในยุคศตวรรษที่ 21 จะมาในรูปแบบการโจรกรรมข้อมูลสำคัญ เช่น ‘เงิน’ ทำให้ธุรกิจชะงักตัวหรือเรียกค่าไถ่บนโลกไซเบอร์แทน และกรณีที่สงครามโลกครั้งที่ 3 จำเป็นจะต้องเกิดขึ้นจริงๆ ก็จะมีเรื่องความมั่นคงบนโลกไซเบอร์เข้ามาเกี่ยวข้องแน่นอน ดังนั้น วิธีที่ดีที่สุดคือการพร้อมตั้งรับกับภัยคุกคามดังกล่าว
เช่นเดียวกับการปลูกฝังความเชื่อที่ว่า ไม่ควรให้บุคลากรในหน่วยงานแต่ละแห่งล่วงรู้ข้อมูลในทุกภาคส่วนจนเกินขอบเขต เพราะอาจจะทำให้เกิดเหตุการณ์ ‘เอ็ดเวิร์ด สโนว์เดน’ ซ้ำรอย ซึ่งริชาร์ดมองว่า สโนว์เดนเป็นผู้ที่สร้างความเสียหายให้กับหลายๆ ประเทศจากการเปิดเผยข้อมูลความมั่นคงบนวิกิลีกส์ (WikiLeaks)
ขณะที่ประเทศสหรัฐอเมริกาเองก็มีสิทธิจะตกเป็นเป้าโจมตีได้ง่าย เนื่องจากต้องพึ่งพาระบบเครือข่ายจากหลายๆ แห่ง ตรงข้ามกับเกาหลีเหนือที่มีความมั่นคงในโลกไซเบอร์สูง เพราะมีเครือข่ายที่เป็นเอกเทศ ไม่ได้เชื่อมต่อหรือต้องพึ่งพากับเครือข่ายใดๆ ที่สำคัญยังไม่เคยมีใครเห็นแสนยานุภาพด้านการรักษาความมั่งคงปลอดภัยทางไซเบอร์ของเกาหลีเหนือมาก่อน ซึ่งปกปิดการเข้าถึงข้อมูลมาโดยตลอด
3 มาตรการป้องกันภัยโลกไซเบอร์ที่ไทยควรให้ความสำคัญ
หนึ่งในประเด็นที่เราพบว่ามีความน่าสนใจและใกล้ตัวกับคนไทยจำนวนไม่น้อยคือคำถามของสุทธิชัยว่า
“แนวทางใดที่คุณจะแนะนำให้รัฐบาลไทยดำเนินการเพื่อสร้างความปลอดภัยบนโลกไซเบอร์?” และอดีตที่ปรึกษาด้านการจัดการความเสี่ยงและความปลอดภัยในโลกไซเบอร์ของทำเนียบขาวก็ได้ให้คำแนะนำกับรัฐบาลไทยว่า ควรจะดำเนินแนวทางตามมาตรการสำคัญ 3 ข้อเพื่อป้องกันภัยคุกคามจากอาชญากรทางไซเบอร์ดังนี้
ข้อแรก รัฐบาลไทยควรจะให้ความสำคัญในการพัฒนานักเรียนและบุคลากรเฉพาะทางด้านความมั่นคงบนโลกไซเบอร์ (Cybersecurity Program) โดยแนะนำว่า ประเทศไทยควรผลิตบุคลากรด้านนี้ให้มีจำนวนไม่ต่ำกว่า 1,000 คน ไม่ช้าก็เร็ว
ข้อถัดมาคือ การจัดตั้งศูนย์กลางการแลกเปลี่ยนข้อมูลเฉพาะด้านความปลอดภัยบนโลกไซเบอร์ระหว่างหน่วยงานรัฐบาลกับภาคองค์กรเอกชนแต่ละแห่ง
และข้อสุดท้ายคือ การทุ่มงบประมาณลงทุนด้านความปลอดภัยบนโลกไซเบอร์ด้วยเม็ดเงินมหาศาล
“ไม่มีประเทศไหนที่ไม่เสี่ยงถูกโจมตี…” ริชาร์ดกล่าวปิดท้ายว่า ถ้าหากไม่เตรียมตัวรับมือความเสี่ยงตั้งแต่วันนี้ เราอาจเป็นฝ่ายสูญเสียทุกทางในท้ายที่สุด เพราะโลกของเรากำลังขับเคลื่อนไปตามฟันเฟืองของระบบเศรษฐกิจใหม่ (New Economy) ที่ซึ่งอุปกรณ์กว่า 5,000 ล้านเครื่องได้เชื่อมต่อกันผ่านเครือข่ายอินเทอร์เน็ต แต่ในอนาคต โลกของอินเทอร์เน็ตออฟธิงส์ (Internet of Things) จะใหญ่ขึ้นกว่าเดิมหลายเท่า เพราะเราจะมีอุปกรณ์ที่เชื่อมต่อกันมากถึง 30,000 ล้านเครื่อง ซึ่งนั่นหมายถึงความเสี่ยงที่เพิ่มตามมาเป็นเท่าทวีคูณ
“การโจมตีเกิดขึ้นได้ทุกเมื่อและจะทำให้หลายบริษัทหยุดชะงัก เราต้องจริงจังและขยับตัวรวดเร็วมากขึ้น
“ทุกประเทศจะต้องเตรียมตัว เพราะเป็นเรื่องยากที่จะรู้ว่าใครคือศัตรูที่แท้จริง”
นี่คือตัวอย่างของภัยคุกคามรูปแบบใหม่ที่จะเข้ามาท้าทายเราในศตวรรษที่ 21 และการตื่นตัวเตรียมพร้อมก็ถือเป็นสัญญาณที่ดี อย่างไรก็ตาม ทุกฝ่ายควรจะพิจารณาทบทวนและตั้งคำถามอยู่เสมอว่า การดูแลรักษาความมั่นคงปลอดภัยของชาตินั้นจะไม่เข้าข่ายคุกคามสิทธิ เสรีภาพ และความเป็นส่วนตัวของพลเมือง
เพราะทุกอย่างมีราคาที่ต้องจ่ายเสมอ
อ้างอิง: