สัญญาณโจมตีไซเบอร์ทวีความรุนแรง

กว่า 150 ประเทศ และป่วนคอมพิวเตอร์กว่าสองแสนเครื่อง ช่วงเดือนพฤษภาคมที่ผ่านมา ยังไม่ทันจางหาย ปลายเดือนมิถุนายนที่ผ่านมา แฮกเกอร์ ก็ปล่อย Petya มัลแวร์พันธุ์ใหม่ ออกอาละวาด จากฝั่งยุโรป จากยูเครน อังกฤษ สเปน และมายังเอเชียที่อินเดียรับหน้าด่านก่อนเพื่อน โดยโจมตีหน่วยงานสำคัญอย่างสนามบิน ธนาคารและรัฐบาล กระทบคอมพิวเตอร์กว่าสองพันเครื่องในสิบสองประเทศ

ไซเบอร์ ซีเคียวริตี กลายเป็นเรื่องใหญ่จนไม่สามารถจะปล่อยวางได้อีกต่อไป เนื่องจากแฮกเกอร์เพิ่มความซับซ้อนในการโจมตีมากขึ้นเรื่อยๆ หวังผลที่รวดเร็ว รุนแรง และส่งผลกระทบไปในวงกว้าง ไม่ว่าจะเป็นการเมือง หรือเศรษฐกิจ เพื่อมุ่งโจรกรรมหรือทำลายข้อมูลเพื่อทำให้การทำงานของระบบหยุดชะงัก เป็นอัมพาต จนนำไปสู่การข่มขู่เพื่อแลกค่าไถ่เป็นเงินกับการคืนข้อมูลให้

ข้อมูลจาก Cyber Security Ventures คาดการณ์อาชญากรรมในโลกไซเบอร์ว่า ความเสียหายจากการถูกโจมตีระบบ จะสูงถึง 6 ล้านล้านดอลลาร์ ในปี 2564 โดยเพิ่มจาก 3 ล้านล้านดอลลาร์ในปี 2558 อีกทั้งยังคาดการณ์ความเสียหายจากการที่มัลแวร์เรียกค่าไถ่อย่าง ransomware โจมตีข้อมูล โดยมูลค่าความเสียหายนั้นสูงเกิน 5 พันล้านดอลลาร์ในปี 2560 โดยเพิ่มจาก 325 ล้านดอลลาร์ในปี 2558 ขณะที่ข้อมูลจาก FBI ระบุว่า มีการโจมตีจากมัลแวร์เรียกค่าไถ่อย่าง ransomware กว่าสี่พันครั้งโดยเกิดขึ้นทุกวัน ตั้งแต่ต้นปี 2559 เพิ่มขึ้นถึง 300% จากปีก่อนหน้านี้

ประเด็นที่ควรให้ความสำคัญเป็นอย่างยิ่ง จากบทเรียนของ WannaCry คือ เกิดการหยุดให้บริการจนส่งผลกระทบต่อสาธารณชน ดังเช่นที่เกิดขึ้นในประเทศอังกฤษ ซึ่ง WannaCry โจมตีระบบคอมพิวเตอร์ของโรงพยาบาลรัฐ ทำให้เกิดการหยุดชะงักงันของการให้บริการรักษาพยาบาล

ยิ่งระบบคอมพิวเตอร์และเครือข่ายทวีความสำคัญยิ่งขึ้นในทุกภาคส่วน โดยเฉพาะระบบที่มีความสำคัญอย่างยิ่งยวด ซึ่งกระทบต่อโครงสร้างพื้นฐานสาธารณูปโภคที่สำคัญของประเทศ ระบบการเงิน สาธารณสุข การคมนาคมสื่อสาร และภาคการเงิน รวมถึงความมั่นคงทางทหาร ทำให้ความมั่นคงปลอดภัยทางไซเบอร์ที่จะปกป้องระบบคอมพิวเตอร์เหล่านี้ ทวีความสำคัญมากขึ้นตามไปด้วย หากเกิดเหตุการณ์โจมตีระบบจนทำให้หยุดชะงักและเป็นอัมพาต รวมถึงความผิดพลาดของระบบในธุรกิจเหล่านี้ อาจก่อให้เกิดความเดือนร้อนแก่ประชาชนเป็นจำนวนมาก

น่าเสียดายที่การให้ความสำคัญกับการรักษาความมั่นคงปลอดภัย สำหรับระบบคอมพิวเตอร์ขององค์กรเหล่านี้กลับมีน้อยมาก แม้ว่าจะมีหน่วยงานคอยกำกับดูแลอยู่ เช่น ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ หรือ ก.ล.ต. ออกกฎระเบียบข้อบังคับออกมา แต่การปฏิบัติตามให้ได้มาตรฐาน และการตรวจสอบการปฏิบัติงานไม่ได้ระบุว่าจะต้องกระทำโดยผู้ที่มีความเชี่ยวชาญเฉพาะด้าน

ตัวอย่างที่น่าชื่นชม หน่วยงานหนึ่งที่ให้น้ำหนัก กับประเด็นผู้เชี่ยวชาญเฉพาะด้าน ก็คือ สำนักคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ คปภ.ที่มีวิสัยทัศน์มองการณ์ไกลในเรื่องนี้อย่างลึกซึ้ง ด้วยการออกประกาศ เรื่องหลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ของปี 2560 

ประกาศฉบับนี้นอกจากจะกำหนดมาตรการต่างๆ ด้านการรักษาความมั่นคงปลอดภัยในเรื่องทำธุรกรรมอิเล็กทรอนิกส์ที่มีผลกระทบต่อผู้บริโภคให้บริษัทประกันภัยทุกบริษัทไม่ว่าจะเล็กหรือใหญ่ต้องปฏิบัติตามแล้ว

สิ่งที่สำคัญของประกาศฉบับนี้ที่มีความแตกต่างกว่าประกาศต่างๆ ของ ธปท. และ ก.ล.ต. ก็คือการที่ระบุให้ระบบคอมพิวเตอร์ของหน่วยงานต้องมีการตรวจสอบรับรองโดยผู้เชี่ยวชาญเฉพาะด้านซึ่งได้การรับรองด้วยวุฒิบัตรที่เกี่ยวข้อง ไม่ว่าจะเป็น CISA, CISM หรือ CISSP เพื่อให้แน่ใจว่า มาตรการเหล่านี้ได้นำไปปฏิบัติได้อย่างมีประสิทธิภาพ สม่ำเสมอ และยั่งยืน

ถึงเวลากันแล้วหรือยังที่ภาครัฐและหน่วยงานกำกับดูแลทั้งหลาย จะนำเรื่องมาตรการรักษาความมั่นคงปลอดภัยไปไว้ในมือของผู้เชี่ยวชาญเฉพาะด้านอย่างจริงจัง ไม่ใช่เพียงการออกกฎที่อาจเป็นเพียงกระดาษใบหนึ่งเท่านั้น เพื่อเห็นแก่ผู้บริโภคที่อาจเป็นเหยื่อของอาชญากรรมไซเบอร์ ที่ธุรกิจหรือองค์กรต่างๆ ผลักภาระมาให้

นอกจากนั้น สิ่งที่หน่วยงานกำกับดูแลพึงพิจารณาเพิ่มเติมก็คือ กำหนดให้หน่วยงานต้องรีบออกมาแจ้งภายในเวลาที่กำหนดกับบุคคลภายนอก หากถูกโจมตีและมีข้อมูลรั่วไหล (data breach) โดยในยุโรป มีโทษปรับเงินกับองค์กรที่ไม่ออกมาแจ้งเตือนแล้ว อีกทั้ง จำเป็นที่ประเทศต้องมีหน่วยงานที่รับผิดชอบด้านความมั่นคงทางไซเบอร์แห่งชาติ เพื่อให้มีกระบวนการโต้ตอบการสถานการณ์ที่เกิดขึ้นได้อย่างถูกต้อง โดยเฉพาะหากถูกโจมตีในหน่วยงานที่มีความสำคัญอย่างยิ่งยวดเพื่อลดผลกระทบที่มีต่อประชาชนให้น้อยที่สุด