รับมือภัยคุกคามไซเบอร์ด้วยข่าวกรองไซเบอร์
เมื่อพูดถึงเรื่องไซเบอร์ หลายคนเบ้หน้าเพราะคิดว่าเป็นเรื่องกลไกเกินไป
เป็นอะไรที่จับต้องไม่ได้ และผลกระทบอาจไม่ร้ายแรงเหมือนภัยคุกคามประเภทอื่น นั่นไม่จริงเลย โลกเราก้าวสู่ยุคปฏิวัติเทคโนโลยีสารสนเทศอย่างเต็มตัวแล้ว ทุกคนมีสิทธิเจอภัยคุกคามทางไซเบอร์ทั้งนั้น เป็นภัยคุกคามที่มองไม่เห็นตัวมาจากคอมพิวเตอร์ (และเมื่อเร็วๆ นี้เครื่องใช้ไฟฟ้าทั่วไปก็ด้วย) แต่สร้างความวุ่นวายโกลาหลทั้งระดับโลกและระดับปัจเจกบุคคล เสียทรัพย์เสียข้อมูลหรือแม้แต่เสียตัวเสียชีวิตกันมามากมายแล้ว สิ่งที่จะต้านรับภัยคุกคามได้นั้นมีหลายอย่าง เช่น การสร้างจิตสำนึกด้านการรักษาความปลอดภัยทางอินเตอร์เน็ต หรือการปฏิบัติการตอบโต้ทางไซเบอร์ แต่สิ่งที่สำคัญที่สุดที่จะป้องกันหรือตอบโต้ได้นั้น คือ ข่าวกรองไซเบอร์
ภัยคุกคามทางไซเบอร์เป็นภัยคุกคามรูปแบบใหม่ที่มหัศจรรย์ยิ่งกว่าพลังลมปราณบู๊ตึ้งหรือจิตสัมผัสมรณะ เพราะไม่ต้องการการฝึกปรือที่เข้มข้น สัดส่วนยอดคน เงินทุนหรือการส่งเสริมใด ๆ ไม่จำเป็นต้องอาศัยพาหนะ ระยะทางไกลใกล้ อุณหภูมิร้อนเย็นไม่เป็นปัญหา ผู้ก่อการร้ายที่นึกจะคุกคามบุคคลหรือกลุ่มบุคคลหรือประเทศในอีกซีกโลกหนึ่งสามารถทำได้ทันทีที่สามารถเชื่อมต่อกับเครือข่ายสารสนเทศได้
ศัตรูมืดของเรานั้นอาจเป็นได้ทั้งประเทศปรปักษ์ ที่อยากจะบดขยี้ประเทศของเราด้วยวิถีทางต่างๆ อยู่แล้ว กลุ่มทุนข้ามชาติที่ใช้เทคโนโลยีไซเบอร์ล่นงานประเทศหรือองค์กรเศรษฐกิจเพื่อหวังผลกำไรมหาศาล อาชญากรเศรษฐกิจที่ทั้งเป็นเครือข่ายองค์กรลับและปัจเจกที่ทำชั่วไม่ต่างจากกลุ่มทุนฯ คนรักชาติของประเทศข้าศึกปฏิบัติการเป็นอิสระโจมตีจุดศูนย์ดุลของประเทศเรา คนต่อต้านนโยบายรัฐภายในประเทศไม่ว่าจะเป็นเรื่องการเมืองหรือเดือดร้อนเรื่องอื่นก็สามารถกระทำได้ คนลองของที่อยากอวดฝีมือให้ประจักษ์ ผู้ก่อการร้ายสากลที่อาศัยช่องทางนี้เพิ่มแต้มต่อในสงครามไร้สมมาตร ไปจนถึงในอนาคตอาจจะหุ่นยนต์โรบอทนี่ล่ะกระทำเองตามสมองกลของมัน
สงครามไซเบอร์คือพัฒนาการล่าสุดของสงครามไร้สมมาตรจริง ๆ ต่อจากสงครามจรยุทธและสงครามข้อมูลข่าวสาร ก็คือการใช้ไซเบอร์นี่ล่ะทำลายล้างฝ่ายที่มีอำนาจเหนือกว่ามาก การปล่อยมัลแวร์ตัวเดียวเข้าไปหยุดการทำงานของกระบวนการสำคัญของกลไกอันใหญ่โตได้สำเร็จ อาจทำให้ทั้งระบบนั้นล้มครืน ดังนั้นการที่เราจะคาดการณ์ล่วงหน้าว่าจะมีภัยคุกคามอันใดเข้ามาหาเรานั้นจึงเป็นเรื่องสำคัญยิ่งยวด
ขณะที่คนจำนวนมากคิดถึงเรืองของเทคนิคและเครื่องมืออีเลคทรอนิคส์ในการ “หาข่าว” ว่าเป็นสิ่งที่สำคัญที่สุดของข่าวกรองไซเบอร์ แต่จริง ๆ แล้วข่าวกรองไซเบอร์นั้นแบ่งออกได้เป็นทั้งข่าวกรองยุทธศาสตร์ (Strategic) ยุทธการ (Operation) ยุทธวิธี (Tactical) และเทคนิค (Technical) คนที่เข้าใจส่วนใหญ่จะนึกถึงแต่สองเรื่องหลังซึ่งมีขอบเขตแคบกว่า ทั้งนี้ข่าวกรองไซเบอร์ทางยุทธศาสตร์นั้นจะเป็นการหาถึงตัวที่อยู่เบื้องหลังหรือโอกาสที่ผู้อยู่เบื้องหลังนั้นจะมาโจมตีเรา สิ่งนี้ต้องอาศัยข่าวกรองทางยุทธศาสตร์อื่นๆ มาประกอบเพื่อให้ทราบในเชิงกว้าง
นอกจากนี้ การหาข้อมูลความเคลื่อนไหวของตัวแปรต่างๆ ในเชิงวิชาการนั้นก็เป็นข่าวกรองประเภทนี้ด้วย ส่วนข่าวกรองยุทธการนั้นใช้ในกรณีเตรียมเปิดศึกกับศัตรู เราจะต้องรู้ให้ได้ว่าศัตรูเฉพาะนั้นๆ มีขีดความสามารถอะไรบ้าง ซึ่งรวมทั้งขีดความสามารถสนับสนุนด้วย สำหรับข่าวกรองยุทธวิธีคือศัตรูใช้อาวุธอะไรเล่นงานเรา อันนี้มักจะเป็นข่าวที่ได้มาหลังจากถูกโจมตีแล้ว สำหรับการที่ว่าอาวุธนั้นได้ถูกใช้อย่างไร จะเป็นข่าวกรองเทคนิค
การดำเนินงานด้านข่าวกรองไซเบอร์นั้นมีวงรอบการทำงานคล้ายกับข่าวกรองทั่วไป คือตอนแรกก็ต้องมีการวางแผนและกำหนดทิศทางก่อน (Planning) ไม่ว่าจะเป็นการรับสั่งการหรือข้อเรียกร้องจากหน่วยเหนือหรือคิดขึ้นเอง โดยต้องมีเป้าหมายและวัตถุประสงค์แน่ชัดว่าต้องการบรรลุอะไร เช่น อยากรู้ระบบฝ่ายตรงข้ามเพื่อหาเรื่องเจาะมันหรือมัลแวร์ฝ่ายตรงข้ามมีจุดอ่อนอย่างไรเพื่อหาทางบล็อกมัน
แผนที่วางนี้จะมีทั้งบัญชีเป้าหมายของข้าศึกและการรวบรวมข่าวสารของฝ่ายเรา จากนั้นก็เข้าสู่ขั้นตอนรวบรวมข้อมูลข่าวสาร (Collection) จากแหล่งต่างๆ ไม่ว่าจะเป็นจากการเจาะหรือข้อมูลทั่วไปทางเปิด เมื่อได้ข้อมูลมาแล้วก็เข้าสู่การดำเนินกรรมวิธี (Processing) มักเป็นการตีความข้อมูลว่าที่ได้มานั้นมันคืออะไร ความยากคือข้อมูลทางยุทธวิธีที่พบมักเข้ารหัส เมื่อได้มาแล้วการแปลอาจต้องใช้เครื่องมือระดับสูง
อย่างไรก็ตามก็ต้องตีความออกมาเป็นภาษาคนเพื่อกระจายไปยังผู้บังคับบัญชาและฝ่ายอื่นต่อไปให้รู้เรื่อง เพื่อให้ผู้มีหน้าที่ต่าง ๆ บรรลุภารกิจในงานของพวกเขาต่อไป เช่น เมื่อรู้ว่าศัตรูคือใคร โจมตีเราอย่างไร ฝ่ายต่อต้านข่าวกรองจะป้องกันอย่างไร ฝ่ายยุทธการจะโจมตีกลับอย่างไร เป็นต้น
