วันพุธที่ 4 กันยายน พ.ศ. 2556

ภัยมืดจากไซเบอร์ จากภัยใกล้ตัวสู่ภัยองค์กร

ภัยมืดจากไซเบอร์ จากภัยใกล้ตัวสู่ภัยองค์กร
( Cyber Threats Face You to Organization )
โดย พันเอก ฤทธี  อินทราวุธ
รองผู้อำนวยการศูนย์เทคโนโลยีทางทหาร
นักศึกษาวิทยาลัยป้องกันราชอาณาจักร ๒๕๕๕

ปัจจุบันความเจริญก้าวหน้าด้านเทคโนโลยีสารสนเทศและการสื่อสาร ( ICT )  ประกอบกับกระแสความนิยมการใช้งานบนเครือข่ายอินเตอร์เน็ตจาก อุปกรณ์โทรศัพท์มือถือแบบสมาร์ทโฟน ( Smart Phones ) , อุปกรณ์แท็บเล็ต ( Tablet ) ทั้ง Tablet PC และ Tablet Computer เช่น iPad , Samsung Galaxy Tab , Samsung Galaxy Note , etc. ซึ่งอุปกรณ์คอมพิวเตอร์แบบพกพาดังกล่าว จะมีอุปกรณ์ 3G หรือ อุปกรณ์ไร้สาย ( Wifi ) สำหรับการเชื่อมต่ออินเตอร์เน็ตและระบบเครือข่ายภายใน เพื่ออำนวยความสะดวกในการใช้งานอย่างกว้างขวาง รวมถึงการใช้งานแอฟฟริเคชั่นบนเครือข่ายสังคมออนไลน์ ( Social Network ) อาทิเช่น Line , Facebook และ Twitter เป็นต้น ทำให้ภัยมืดที่มองไม่เห็นจากไซเบอร์ ( Cyber ) หรือระบบเครือข่ายอินเทอร์เน็ต เข้ามาใกล้ตัวมากขึ้นทุกเวลานาที ซึ่งเป็นไปตามพฤติกรรมและลักษณะการใช้งานอุปกรณ์คอมพิวเตอร์ ที่อยู่ในรูปแบบของอุปกรณ์โทรศัพท์มือถือแบบสมาร์ทโฟน หรืออุปกรณ์แท็บเล็ตดังกล่าว โดยผู้ใช้อุปกรณ์ดังกล่าวแทบไม่รู้สึกตัวว่ากำลังพกพาคอมพิวเตอร์ติดตามตัวอยู่ตลอดเวลา
ด้วยขีดความสามารถของโทรศัพท์มือถือแบบสมาร์ทโฟน หรืออุปกรณ์แท็บเล็ตเอง ประกอบกับความเร็วที่เพิ่มขึ้นของระบบเครือข่าย 3G/4G ทำให้ภัยมืดจากไซเบอร์ หรือระบบเครือข่ายอินเทอร์เน็ต สามารถเข้าถึงตัวเราได้อย่างรวดเร็วมากขึ้น ในยุคแห่ง Gen-Y เช่นนี้ พฤติกรรมการใช้งานอุปกรณ์พกพาต่างๆ ของผู้คนมีการเปลี่ยนแปลงไปอย่างสิ้นเชิง ยิ่งผู้ใช้งานอินเทอร์เน็ตด้วยความเร็วสูง โดยหากขาดความระมัดระวังในการใช้งานแล้ว มีโอกาสเกิดความผิดพลาดและสร้างความเสียหายต่อตนเอง หรือบุคคลอื่นๆ ค่อนข้างมาก เพราะลักษณะการใช้งานที่เป็นไปอย่างรวดเร็วทันใจ เมื่อ "Up ภาพ " หรือ "Post ข้อความ" อะไรเข้าสู่ระบบไปแล้วจะถูกเผยแพร่ทันทีทันใด ไม่สามารถที่จะย้อนเวลากลับคืนมาแก้ไข หรือดึงข้อมูลกลับคืนจากระบบเก็บข้อมูลของ Search Engine อันทันสมัยที่สามารถนำข้อมูลของเราไปปรากฏ และ เผยแพร่บนเครือข่ายอินเทอร์เน็ต หรืออาจจะมีใครบางคน Copy , Load , Save ข้อมูลดังกล่าวไว้ในอุปกรณ์ส่วนตัวไว้ ทำให้เรามีโอกาสเสียความเป็นส่วนตัว ( Personal Privacy ) ได้อย่างง่ายดาย และเทคโนโลยีใหม่ๆ ที่ถูกนำมาใช้กับ Location Aware Application เช่น Augmented Reality (AR) ก็มีผลกระทบกับความเป็นส่วนตัวของเรา รวมถึงการนำข้อมูลของเราที่เกิดจากความผิดพลาดดังกล่าว ไปโพสต์เผยแพร่ต่อบนเครือข่ายสังคมออนไลน์ แค่นี้ก็งานเข้าไม่รู้จบ
ความเป็นส่วนตัว (Privacy) ปัจจุบันกำลังเป็นปัญหาใหญ่ที่ทั่วโลกที่กำลังจับตามอง โดย คณะทำงานร่างมาตรฐาน ISO SC27 ได้ลงมติให้มีการพัฒนามาตรฐาน ( Personal Information Management System ; PIMS ) โดยนำมาใช้ร่วมกับมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ( Information Security Management System ; ISMS ) แสดงให้เห็นว่า คณะทำงานร่างมาตรฐาน ISO SC27 ในระดับนานาชาติยังเห็นถึง ความสำคัญของเรื่อง การป้องกันข้อมูลส่วนบุคคล ( Data Privacy Protection ) ดังนั้นเราคงต้องระมัดระวังเรื่อง ความเป็นส่วนตัว ( Privacy ) ให้มากขึ้น โดยเฉพาะบุคคลที่มีชื่อเสียง มีตำแหน่งหน้าที่การงานระดับสูง มีฐานะทางสังคม เพราะเป็นกระแสความเปลี่ยนแปลงของโลกในอนาคต
สำหรับภัยมืดจากไซเบอร์ ๕ ประเภท  ซึ่ง ACIS Professional Center ได้นำมาจาก Top 5 Threats 2012 : From Cyber Threats to Physical Threats, From External Threats to Internal Threats จึงได้นำมาขยายความ เพื่อให้เกิดความรู้ความเข้าใจ และสามารถนำไปประยุกต์ใช้ในองค์กรได้ มีดังนี้
๑. ภัยจากการละเมิดกฎระเบียบ ( Regulatory Compliance Threats ) เป็นภัยที่เกิดจากองค์กรและบุคคลทั่วไป ไม่ปฏิบัติตามกฎระเบียบ ข้อบังคับ และกฎหมาย ก่อให้เกิดความประมาท เลินเล่อ ความผิดพลาด และความเสียหาย จากการใช้งานระบบคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ซึ่งกระทบถึงมาตรฐานในการพัฒนาบุคลากร ( Human Capital Development ) และมาตรฐานระดับองค์กร ( Organization Standard ) อย่างหลีกเลี่ยงไม่ได้ ทำให้เกิดความสูญเสียในด้านการปฏิบัติงาน การถูกจารกรรมข้อมูล และความเชื่อถือของหน่วยงาน
๒. ภัยจากอุปกรณ์ส่วนตัวสู่องค์กร ( Cloud Services vulnerable to Privacy Attack ) เป็นภัยที่เกิดจากวัฒนธรรมการทำงานขององค์กร ที่เรียกว่า กระแสหรือปรากฏการณ์ Consumerization หรือ iPad Effect และBring Your Own Device (BYOD) โดยพนักงานองค์กรนำอุปกรณ์ IT ส่วนตัวมาใช้งานร่วมกับองค์กร ซึ่งแสดงให้เห็นว่าผู้บริหารองค์กรและพนักงาน นิยมนำสมาร์ทโฟน และแท็บเล็ตมาใช้งานในที่ทำงาน เรียกได้ว่า นำ "Home Use Device" มาใช้เป็น "At Work Device" (The use of home technology at Work) หลายคนนิยมใช้ Cloud Services ต่างๆ เช่น Gmail , Hotmail ตลอดจน Backup ข้อมูลไปเก็บไว้ใน Cloud ของ Apple เช่น iCloud หรือใช้ Cloud Service ในการเก็บข้อมูลส่วนตัว เช่น Dropbox , SkyDrive และ Google Drive อีกทั้งยังเก็บรูปถ่ายไว้ใน Instagram หรือ Flickr โดยบริการ Cloud ทั้งหมดนี้สามารถเข้าถึงได้ง่ายโดยใช้แค่เพียงชื่อผู้ใช้และรหัสผ่าน ( User ID and Password ) ซึ่งโดยปกติแล้ว ชื่อผู้ใช้ ก็คือ eMail Address ที่เราใช้อยู่เป็นประจำ และ รหัสผ่าน ก็จะเหมือนกันหมดในทุกบริการ เพื่อง่ายต่อการจดจำ ปัญหาก็คือ หาก ชื่อผู้ใช้ และ รหัสผ่าน ถูกเจาะโดย แฮกเกอร์     ( Hacker ) ก็จะสามารถเข้าถึงข้อมูลส่วนตัวของเรา และองค์กรได้ในกรณีที่องค์กรใช้บริการ Cloud Service ดังกล่าว
๓. ภัยจากการทุจริตภายในองค์กร (The Rising of Internal Threats and Occupational Fraud ) เป็นภัยที่เกิดจากพนักงานในองค์กรที่ขาดจิตสำนึก หรือ เห็นแก่ผลประโยชน์ส่วนตนหรืออามิสสินจ้าง โดยการลักลอบขโมยข้อมูลสำคัญขององค์กรในระบบคอมพิวเตอร์ , การนำข้อมูลไปเปิดเผยโดยไม่ได้รับอนุญาต , การแก้ไขหรือเปลี่ยนแปลงข้อมูลทำให้เกิดความผิดพลาด เป็นต้น ภัยมืดภายในองค์กร ( Internal Threats ) นั้นเกิดขึ้นได้ง่ายกว่าภัยมืดจากภายนอก ( External Threat ) และบางครั้งภัยมืดจากภายนอกก็แปลงสภาพเป็นภัยมืดภายในองค์กรได้ ( From External Threat to Internal Threat ) เช่น การโจมตีแบบ Advanced Persistent Threat ( APT ) โดยการออกแบบมัลแวร์ ( Mal Ware ) ในรูปแบบม้าโทรจัน ฝังเข้าสู่เครื่องของเป้าหมายในแบบระบุเป้าหมายเฉพาะ ( Target Attack )
การทุจริตจากภายในองค์กรเป็นภัยมืดที่กำลังเพิ่มขึ้นทั่วโลก จากสภาวะเศรษฐกิจที่ทำให้หลายองค์กรต้องใช้บริการ Outsourcing และ Cloud Service กันเป็นส่วนใหญ่ ทำให้ Loyalty ของพนักงานในองค์กรลดลง ตลอดจนพนักงานขององค์กรที่เราใช้บริการ Outsource ส่วนใหญ่ ความรับผิดชอบไม่สูงเท่ากับพนักงานประจำขององค์กรเอง ทำให้คณะทำงานร่างมาตรฐาน ISO SC27 ได้เพิ่มรายละเอียดเกี่ยวกับ มาตรฐาน ISO 27002 ฉบับใหม่ ให้มีการกล่าวถึง Supplier หรือ Outsourcer มากขึ้น ตลอดจนออกข้อกำหนดต่างๆที่เกี่ยวข้องกับการใช้งาน Cloud Service ในเรื่องของข้อกฎหมาย Service Level Agreement ( SLA ) โดยต้องบันทึกไว้เป็นลายลักษณ์อักษรก่อนการใช้บริการ
๔. ภัยจากการนักเจาะระบบ หรือ แฮกเกอร์  ( Cybercrime and Hacktivism on the Rise ) เป็นภัยที่เกิดจากนักเจาะระบบ หรือที่รู้จักกันนาม " แฮกเกอร์ "  จากสภาวะเศรษฐกิจโลกในปัจจุบัน ทำให้โปรแกรมเมอร์หลายคนเปลี่ยนอาชีพไปเป็นแฮกเกอร์ โดยเป้าหมายที่แท้จริงของการเจาะระบบ คือ การหาเงินใช้ของแฮกเกอร์ ( Hack for Money , Not Hack for Fun ) ดังนั้นลูกค้าของธนาคารโดยเฉพาะบริการ Online Banking /Internet Banking จึงกลายเป็นเป้าหมายของแฮกเกอร์ ตลอดจนลูกค้าบัตรเครดิตต่างๆ ทั้ง VISA , AMEX และ MASTER Card โดยทาง PCI Council ต้องรีบออกมาบังคับให้ธนาคารที่ให้บริการบัตรเครดิตต้องรีบปฏิบัติตามมาตรฐาน Payment Card Industry Data Security Standard ( PCI DSS ) โดยด่วน เพราะปัจจุบันแฮกเกอร์สามารถเจาะการเข้ารหัสแบบ SSL ได้สำเร็จแล้ว โดยใช้เทคนิค “ Man In The Middle Attack ” โดยใช้โปรแกรมชื่อ “ SSLStrip ” อีกทั้งยังพัฒนาเป็น Hacking Appliance เอาไว้ขายให้กับแฮกเกอร์มือสมัครเล่นที่มีความต้องการถอดรหัส SSL ของผู้อื่น เพื่อดักจับ ชื่อผู้ใช้และรหัสผ่านของเหยื่อ เพราะในปัจจุบัน e-Commerce ตลอดจน Internet Banking/Online Banking หวังพึ่งโปรโตคอล SSL เป็นหลัก ดังนั้นการเข้ารหัสด้วย SSL นั้นถือว่าไม่เพียงพอต่อการป้องกันแฮกเกอร์อีกต่อไป จำเป็นต้องมี One Time Password ( OTP ) หรือ ระบบ Two Factor Authentication มาช่วยอีกชั้นหนึ่ง ทางฝั่งแฮกเกอร์ก็ได้พัฒนาการเจาะระบบในแนวใหม่คือ Advanced Persistent Threat ( ATP ) โดยการออกแบบมัลแวร์ ( MalWare ) ในรูปแบบม้าโทรจัน ฝังเข้าสู่เครื่องของเป้าหมายในแบบระบุเป้าหมายเฉพาะ ( Target Attack ) ซึ่งหลายสถานทูตทั่วโลกในปัจจุบันถูกเจาะระบบด้วยวิธีการนี้ โดยโปรแกรมตรวจจับไวรัสหรือมัลแวร์ทั่วไปไม่สามารถที่จะตรวจจับการโจมตีแบบ APT ได้เพราะส่วนใหญ่เป็นการใช้ช่องโหว่แบบ Zero Day ที่ยังไม่มีการค้นพบมาก่อน และทางผู้ผลิตยังไม่มีการออก Patch มาแก้ไข ทำให้การโจมตีแบบนี้ได้ผลมาก ส่วนใหญ่การโจมตีแบบ APT จะเจาะระบบที่ช่องโหว่ของ Internet Browser และ Adobe Acrobat เป็นหลัก
ปัจจุบันเครื่องคอมพิวเตอร์ของหลายองค์กร และเครื่องคอมพิวเตอร์ส่วนบุคคลของหลายๆ คนที่บ้านก็ได้รับการติดตั้งโปรแกรมม้าโทรจันของกลุ่ม Hacktivist ดังกล่าวโดยไม่รู้ตัว และโปรแกรมเหล่านี้คอยดักจับข้อมูลส่งให้แฮกเกอร์อยู่ตลอดเวลา ทำให้เราเสียความเป็นส่วนตัว และทำให้องค์กรเกิดปัญหาความลับรั่วไหลออกสู่ภายนอก ซึ่งในปัจจุบันมีแนวโน้มที่การเจาะระบบจากโลกไซเบอร์อาจนำมาซึ่งความเสียหายทางด้านกายภาพในโลกแห่งความเป็นจริงได้ ( From Cyber World to Physical World )
๕. ภัยจากสงครามไซเบอร์  ( State-Sponsored Attack / Critical Infrastructure Attack / Lawful Interception / Cyber Warfare ) เป็นภัยที่เกิดจากการโจมตีของฝ่ายตรงข้าม ปัจจุบันรัฐบาลของหลายประเทศมองว่าโลกไซเบอร์คือ โดเมนที่ห้า ( The Fifth Domain ) แห่งการทำสงครามทางด้านการทหาร นอกเหนือจาก พื้นดิน ( Land ) , พื้นน้ำ ( Sea ) , ผืนฟ้า ( Sky ) และอวกาศ ( Space ) แล้ว ไซเบอร์สเปซ  ( Cyberspace ) ถือว่าเป็นอีกโดเมนหนึ่ง ที่มีความสำคัญในการสู้รบเอาชนะฝ่ายตรงข้าม จะเห็นว่าประเทศสหรัฐอเมริกาและประเทศจีนให้ความสำคัญกับเรื่อง Cyber Warfare ถึงขนาดให้การสนับสนุนให้มีหน่วยงานไซเบอร์ ( Cyber Commander ) และนักรบไซเบอร์ ( Cyber Army ) อย่างไม่เป็นทางการ และจากแหล่งข่าวที่น่าเชื่อถือได้ หลายประเทศได้พัฒนาโปรแกรมเจาะระบบในรูปแบบม้าโทรจันขึ้นด้วยวิธี APT ในการเจาะระบบของรัฐบาลฝ่ายตรงข้าม ถือเป็นการเจาะระบบระดับประเทศอย่างลับๆ
ด้วยเหตุผลด้านความมั่นคงของชาติ ( National Security ) รัฐบาลในอีกหลายประเทศ จึงจำเป็นต้องกำหนดมาตรการติดตาม ตรวจสอบและเฝ้าระวัง หรือติดตั้งระบบดักฟังประชาชนของตนเองอย่างหลีกเลี่ยงไม่ได้ เรียกว่าระบบ  Lawful Inception  เพื่อเป็นการป้องกันความมั่นคงของชาติ ที่ต้องแลกมาด้วยการละเมิด ความเป็นส่วนตัวของประชาชน ( Personal Privacy ) ซึ่งปกติรัฐบาลของหลายประเทศจะทำในเชิงลับไม่บอกกล่าวต่อประชาชนของตน ทำให้รัฐบาลสามารถรู้ความเคลื่อนไหวต่างๆในโลกไซเบอร์ เพื่อป้องกันการโจมตีทางกายภาพต่อโครงสร้างพื้นฐานที่สำคัญ เช่น สนามบิน , โรงไฟฟ้า , ตลาดหลักทรัพย์ เป็นต้น ทั้งนี้ล้วนมีจุดมุ่งหมายเพื่อทำลายโครงสร้างพื้นฐานด้านการคมนาคม , ด้านพลังงาน และด้านเศรษฐกิจของประเทศฝ่ายตรงข้ามทั้งสิ้น
กล่าวโดยสรุป ภัยมืดจากไซเบอร์ทั้ง ๕ ประการนั้น เราสามารถควบคุมและบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ที่สำคัญก็คือ ภาวะผู้นำของผู้บริหารระดับสูง ( Top Management’s Leadership ) มีความสำคัญอย่างยิ่งยวดในการแก้ปัญหาในระดับองค์กรและระดับประเทศ สังเกตได้จากทุกมาตรฐานสากลเวลานี้ ไม่ว่าจะเป็นISO/IEC 27001 New Version หรือ COBIT 5 ได้กล่าวถึง บทบาทของผู้บริหารระดับสูงกับเรื่อง IT Governance และ Governance , Risk Management , Compliance ( GRC ) ทั้งสิ้น ดังนั้นผู้บริหารระดับสูงขององค์กรและระดับประเทศ จึงจำเป็นต้องมีความตระหนักในเรื่องนี้
วิธีการพื้นฐานของการเริ่มป้องกันภัยมืดทั้ง ๕ ประการที่ดีที่สุดก็คือ การให้ความรู้          ( Education )  เพื่อสร้างความรู้ความเข้าใจที่แท้จริงต่อผู้บริหารระดับสูงขององค์กร ให้ได้รับรู้ถึงภัยมืดดังกล่าว ได้รับทราบถึงผลกระทบจากภัยเหล่านี้ โดยผ่านการอบรม Information Security and Privacy Awareness Training for Top Management อย่างน้อยปีละหนึ่งครั้ง หรือหาเวลาและโอกาสในการพบผู้บริหารระดับสูง เพื่อทำความเข้าใจและให้ความรู้ผู้บริหารระดับสูงให้ตระหนักถึงภัยมืดทั้ง ๕ ประการที่กำลังคืบคลานเข้ามาอย่างรวดเร็ว
สำหรับแนวทางการแก้ปัญหาส่วนบุคคล ก็คือ เราต้องมีความตระหนัก , รอบครอบและระมัดระวังในการใช้อุปกรณ์โทรศัพท์มือถือแบบสมาร์ทโฟน , อุปกรณ์แท็บเล็ต , อุปกรณ์คอมพิวเตอร์ , ระบบเครือข่ายอินเทอร์เน็ต , แอฟฟริเคชั่นบนเครือข่ายสังคมออนไลน์ รวมถึง Cloud Service เพราะว่าอย่างไรเราก็คงต้องใช้อย่างหลีกเลี่ยงไม่ได้ เริ่มจากการตั้งรหัสผ่านที่ปลอดภัย และอย่าตั้งรหัสผ่านให้เหมือนกันในทุกบริการ ต้องมีวิธีการจดจำรหัสผ่านที่แตกต่างกันให้ได้ และคำถามที่ใช้ในการตอบคำถามเวลาลืมรหัสผ่านก็ควรตั้งให้ยากต่อการคาดเดาของผู้ไม่หวังดี ตลอดจนถ้าเป็นข้อมูลสำคัญ ก็ไม่ควรนำไปเก็บไว้ใน Cloud Service และจะต้องปฏิบัติตามกฎระเบียบ ข้อบังคับ และกฎหมาย อย่างเคร่งครัด ตลอดจนมีจิตสำนึกและความภักดีต่อองค์กร สรุปสั้นๆว่า ภัยมืดจากไซเบอร์ สามารถป้องกันได้ ถ้าหากมีการเตรียมการที่ดี

แหล่งข้อมูลอ้างอิง : http://www.acisonline.net/article/?p=33 , November 2012.