"สงครามไซเบอร์" และภัยคุกคามในยุคอินเทอร์เน็ตแห่งสรรพสิ่ง

 

          ความมั่นคงปลอดภัยทางเครือข่ายเป็นเรื่องที่ทุกประเทศให้ความสำคัญ การเชื่อมต่อแบบออนไลน์ที่แพร่หลายทำให้ทุกหน่วยงานจำเป็นต้องสร้างกลไกปกป้องระบบ โดยมีหลักการสำคัญคือ 1.ข้อมูลปกปิดที่ส่งผ่านหรือที่เก็บรักษาไว้ต้องเป็นความลับเฉพาะ ผู้ที่เกี่ยวข้องเท่านั้นที่สามารถเข้าถึงได้ 2.ข้อมูลที่ใช้และแลกเปลี่ยนระหว่างกันต้องมีความถูกต้องครบถ้วน โดยไม่ถูกแก้ไขให้ผิดไปจากเดิม 3.ระบบสามารถให้บริการได้ตลอดเวลา

          หลักพื้นฐานข้างต้นจึงประกอบไปด้วย 3 ประเด็นหลักคือ ความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และ 3 ความพร้อมในการใช้งาน (Availability)

          ปัจจุบัน “ภัยคุกคามทางเครือข่ายออนไลน์” สำหรับประเทศไทยก่อให้เกิดปัญหาความมั่นคงปลอดภัยหลายด้าน ภัยคุกคามหลักคือ การโจมตีทางไซเบอร์ที่จะส่งผลให้บริการขัดข้อง การโจมตีมีทั้งอาศัยโปรแกรมมัลแวร์ที่ติดกระจายตัวในคอมพิวเตอร์หรืออุปกรณ์ไอโอที (IoT: Internet Of Things) เช่น อุปกรณ์ “อัจฉริยะ” (Smart) ทั้งหลาย ไม่ว่าจะเป็นสมาร์ทโฟน สมาร์ททีวี ตัวควบคุมอุปกรณ์ไฟฟ้าภายในบ้าน รวมถึง “ไวไฟเราเตอร์” และกล้องซีซีทีวีที่เชื่อมต่ออินเทอร์เน็ตได้ การเจาะเข้าระบบเพื่อลักลอบเอาข้อมูลไปใช้ การล่อลวงแบบฟิชชิงที่ส่งเมลปลอมแปลงแล้วใช้ข้อมูลเพื่อถ่ายโอนเงินจากบัญชี หรือแรนซัมแวร์ที่เข้ารหัสไฟล์ในเครื่องคอมพิวเตอร์ แม้แต่การขู่กรรโชกเอาทรัพย์สินเพื่อแลกกับข้อมูลของเราที่ถูกขโมยไป

 

 

          ปัญหาอุปสรรคด้านความมั่นคงปลอดภัยของไทยมีอะไรบ้าง ?

 

          หากไล่เรียงลำดับของปัญหาก็มีหลายเรื่อง ได้แก่ 1.ด้านบุคลากร ไทยขาดแคลนบุคลากรทั้งจำนวนและคุณภาพ ถึงแม้ว่าเกือบทุกหน่วยงานจะมีเจ้าหน้าที่ดูแลด้านความมั่นคงปลอดภัย แต่เจ้าหน้าที่กลุ่มนี้มักไม่ได้จบมาจากสายงานความมั่นคงปลอดภัยโดยตรง แต่เป็นเจ้าหน้าที่ซึ่งมีทักษะพื้นฐานการดูแลระบบให้ทำงานได้ถูกต้องและมีประสิทธิภาพ หรืออาจผ่านหลักสูตรการฝึกอบรมด้านความมั่นคงปลออดภัยเบื้องต้น ซึ่งไม่เพียงพอรับมือปัญหาที่ใหญ่และซับซ้อนได้ ความจริงแล้วปัญหาขาดแคลนเรื่องบุคลากรยังลึกไปถึงเจ้าหน้าที่ไอทีพื้นฐานด้วย

          2.ด้านการลงทุนระบบรักษาความปลอดภัย ต้องใช้ซอฟต์แวร์และฮาร์ดแวร์เทคโนโลยีขั้นสูงตามขนาดระบบและข้อมูลที่ต้องปกป้อง และส่วนใหญ่เป็นผลิตภัณฑ์จากต่างประเทศ การลงทุนจึงมีค่าใช้จ่ายสูง ยิ่งหน่วยงานที่งบประมาณจำกัดด้านไอที ยิ่งพบปัญหาการลงทุนที่ไม่เพียงพอ หรือไม่เข้ากับขนาดของระบบที่มีอยู่

 

 

          3.ด้านความตระหนักในปัญหา กิจกรรมสร้างความตระหนักด้านความมั่นคงปลอดภัยมีค่อนข้างแพร่หลาย มีการจัดการอบรมในหน่วยงานหรือจัดในระดับประเทศ ทำให้รับรู้และตระหนักในปัญหา แต่ขาดผลที่เป็นรูปธรรมชัดเจนในการนำไปแก้ไขทำให้ระบบรักษาความปลอดภัยรัดกุมและมีประสิทธิภาพอย่างแท้จริง

          เปรียบเทียบภาครัฐกับภาคเอกชน ฝ่ายไหนน่าเป็นห่วงมากกว่า ?

          ขณะนี้ “เทคโนโลยีคลาวด์” เปรียบเสมือนเป็นสาธารณูปโภค ผู้ให้บริการคลาวด์ครอบคลุมทั้งภาครัฐและภาคเอกชนจึงไม่มีความแตกต่างกัน​ การประเมินปัญหาอาจต้องแยกเป็นกลุ่มธุรกิจประกอบการ เพราะแต่ละกลุ่มจะมีประเด็นปัญหาและความเสี่ยงแตกต่างกัน เช่นกลุ่มสาธารณูปโภคจัดเป็นกลุ่มโครงสร้างพื้นฐานเช่น ระบบไฟฟ้า ระบบประปา ระบบขนส่ง ระบบสื่อสารโทรคมนาคม ต้องเฝ้าระวังไม่ให้ถูกโจมตีทางไซเบอร์จนทำให้ทำงานขัดข้อง กลุ่มสถาบันการเงินต้องป้องกันเรื่องการรั่วไหลของข้อมูล หรือกลุ่มโรงพยาบาลที่ต้องระวังเรื่องข้อมูลผู้ป่วย เป็นต้น

 

 

          รัฐบาลควรมีมาตรการจัดการระยะสั้นและยาวอย่างไร ?

          ปัญหาภัยคุกคามทางไซเบอร์หรือเครือข่ายออนไลน์ทั้ง 3 ด้าน ไม่อาจแก้ไขได้โดยวิธีเชิงเทคนิคโดดๆ เช่นขาดคนก็เพิ่มคน ขาดงบประมาณก็เพิ่มเงิน ขาดความตระหนักก็จัดกิจกรรม การแก้ปัญหาไม่ใช่เพียงแค่มีกฎหมาย มีแผนงานหรือมีมาตรการครอบคลุม “แต่ไม่ได้ลงมือปฏิบัติจริงจัง" ปัจจุบันภาครัฐมีทั้งแผนพัฒนารัฐบาลดิจิทัลที่ครอบคลุมเรื่องความมั่นคงปลอดภัยและมีแนวทางการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ขาดอยู่แต่เพียงการนำไปปฏิบัติอย่างจริงจังและต่อเนื่อง

          แต่ไม่ได้หมายความว่าไม่มีใครทำ หน่วยงานรัฐและเอกชนหลายแห่งมีการจัดกิจกรรม สัมมนา บรรยาย ฝึกอบรม จัดแข่งขัน ฯลฯ เพียงแต่พลังขับเคลื่อนยังไม่มากพอที่จะยกระดับสมรรถนะความมั่นคงปลอดภัยตามมาตรฐานสากล

 

 

          สิ่งที่ภาครัฐควรทำอย่างเร่งด่วนใน “แผนระยะสั้น” คือระบุโจทย์ปัญหาที่ต้องแก้ไขออกมาเป็นโจทย์แต่ละข้อ โดยไม่ต้องเสียเวลาไปทำแผนใหม่ สามารถนำแผนหรือยุทธศาสตร์เดิมออกมาแยกแยะรายละเอียด และจัดลำดับความสำคัญของโจทย์แต่ละข้อ โดยเปิดเชิญชวนให้นักวิจัยทั้งภาครัฐและภาคเอกชนช่วยกันเสนอแนวทางแก้ปัญหาหรือจัดทำเป็นรูปแบบโครงการ โจทย์หนึ่งๆ ที่มีแนวทางหลายแบบอาจมีผู้ทำโครงการมากกว่าหนึ่งโครงการก็ได้ โดยเฉพาะงานที่มีลักษณะการพัฒนาระบบหรือผลิตภัณฑ์

          รัฐควรทำตัวเป็นผู้สนับสนุนโดยจัดสรรงบประมาณให้ และสร้างความร่วมมือกับภาคเอกชน (Public Private Partnership :PPP) เพื่อสร้างฐานความรู้และความเชี่ยวชาญให้เกิดจากคนไทย ไม่ใช่คิดเพียงแค่การซื้อผลิตภัณฑ์จากต่างประเทศอย่างเดียว หากแผนเร่งด่วน “ระยะสั้น” รีบจัดทำภายใน 1-2 ปีนี้ คาดว่าจะมีเห็นผลที่ดีขึ้นอย่างชัดเจน

 

 

          ในขณะเดียวกันงานเร่งด่วนในทางปฏิบัติที่ควรทำก่อนทุกหน่วยงานโดยไม่ต้องรอนโยบายคือ การตรวจประเมินระบบความมั่นคงปลอดภัยพื้นฐานของหน่วยงานว่าทำตามข้อกำหนดพื้นฐานครบถ้วนแล้วหรือยัง “Security Standard Practice” คือเรื่องที่ต้องมีก่อนอื่นใด
ส่วน “แผนระยะยาว” คือการสร้างบุคลากรที่มีคุณภาพให้พอเพียง เช่น 1.สนับสนุนให้มีหลักสูตรเฉพาะทางความมั่นคงปลอดภัยแบบประกาศนียบัตรระยะสั้นใน 1 ปี และ 2.สนับสนุนให้สถาบันการศึกษาสร้างหลักสูตรการศึกษาต่อเนื่องเพื่อเพิ่มความรู้ให้ผู้จบการศึกษาไปแล้ว สถาบันการศึกษาเองต้องเห็นความสำคัญช่วยกันสร้างเสริมนักศึกษาให้มีความรู้พื้นฐานและทักษะด้านนี้ โดยบรรจุเป็นเนื้อหาสำหรับนักศึกษาในชั้นปีแรกๆ

          ตัวอย่างมาตรฐานความมั่นคงปลอดภัยของต่างประเทศ

 

          โลกไซเบอร์ในปัจจุบันเป็นโลกไร้พรมแดน มาตรฐานใดก็ตามที่ผูกติดอยู่กับประเทศหนึ่งๆ หากไม่มีแนวปฏิบัติที่เป็นสากลก็ยากที่จะนำไปใช้ได้ผลจริงหรือได้รับการยอมรับในวงกว้าง ประเทศไทยเองก็รับเอามาตรฐานโลกด้านความมั่นคงปลอดภัยมาใช้ปฏิบัติหลายเรื่อง ตัวอย่างของมาตรฐานเหล่านี้ก็เช่น “อนุกรม ISO 27000” ซึ่งมีย่อยหลายมาตรฐาน ตัวอย่างเช่น

          ISO 27001 กรอบดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการนำไปปฏิบัติ
​          ISO 27017 วิธีควบคุมการรักษาความมั่นคงปลอดภัยในบริการคลาวด์
          ISO 27018 ข้อปฏิบัติดูแลและปกป้องข้อมูลส่วนบุุคลในบริการคลาวด์สาธารณะ

          นอกจากนี้ก็มีมาตรฐานอื่นเช่น CSA-STAR ควบคุมความมั่นคงปลอดภัยของระบบคลาวด์ และ PCI DSS สำหรับการรับชำระเงินด้วยบัตรเครดิต

 

 

          กรณีปัญหาการรั่วไหลข้อมูลลูกค้า “ทรู”

          กรณีนี้เกิดขึ้นจาก “ช่องทางเปิดสาธารณะ” ให้เข้าถึงข้อมูลชุดหนึ่งของลูกค้าได้ และค้นพบโดยนายไนแอล เมอริแกน ซึ่งได้แจ้งเหตุให้ต้นทางทราบ เมอริแกนอยู่ในกลุ่ม White Hat ที่ช่วยตรวจหรือหาช่องโหว่และแจ้งเตือน โดยไม่ได้เปิดเผยวิธีเข้าถึง ระหว่างที่สิทธิ์ยังถูกเปิดอยู่ ระบบ Amazon S3 (Simple Storage Service) เป็นระบบจำกัดสิทธิ์เข้าถึงข้อมูลแต่แรกเริ่ม ไม่มีรายงานหรือการชี้ชัดใดๆ ว่าระบบถูกเจาะ จึงอนุมานได้ว่ากรณีนี้เกิดจากการเปิดสิทธิ์เป็นสาธารณะ ส่วนจะด้วยเหตุผลใดนั้นควรทำให้ความจริงเรื่องนี้ให้กระจ่าง ไม่ใช่เพื่อหาตัวผู้ผิดหรือการลงโทษ แต่เพื่อเป็นบทเรียนที่ต้องระมัดระวังต่อไปในอนาคต

          ประเด็นสำคัญของปัญหานี้คือ กระบวนการแก้ไขปัญหาล่าช้าหน่วยงานต่างๆ ควรนำไปเป็นบทเรียนทบทวนและปรับปรุงกระบวนการรับแจ้งและตอบโต้ปัญหาแบบยกเครื่องใหม่หมด ทุกประเทศมีหน่วยงาน CERT (Computer Emergency Response Team) เพื่อช่วยแจ้งเตือนและประสานงาน ประเทศไทยมี “ไทยเซิร์ต” ThaiCERT หรือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย  จึงควรต้องผลักดันให้เป็นที่รู้จักในระดับนานาชาติมากขึ้น เพื่อเป็นผู้ประสานงานอีกช่องทางหนึ่ง

          ข้อมูลบัตรประชาชนที่หลุดออกไป มีสิ่งน่าเป็นห่วงและถือเป็นเรื่องสำคัญ ระบบยืนยันตัวตนเข้าทำธุรกรรมหรือตรวจสอบข้อมูลผ่านเว็บทั้งภาครัฐและภาคเอกชนหลายระบบ ใช้เพียงชื่อและรหัส 13 หลัก หรือผูกกับหมายเลขโทรศัพท์เคลื่อนที่ ข้อมูลบัตรที่รั่วไหลจึงอาจเป็นต้นทางที่ทำให้ข้อมูลอื่นๆ รั่วไหลตามมาอีกได้