สิบแนวโน้มและทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 3)

6.ภัยจากความเข้าใจผิดในธรรมชาติของสภาวะไซเบอร์

คำว่า “Cybersecurity” เป็นคำยอดนิยมที่ถูกนำมาใช้อย่างแพร่หลายในแทบทุกวงการ แต่จะมีสักกี่คนที่เข้าใจธรรมชาติของ “สภาวะไซเบอร์” ได้อย่างถูกต้อง หากเรายังมีคำถามว่า “ระบบนั้น ระบบนี้ ปลอดภัยไหม” (Are we secure?) ก็คงต้องทำความเข้าใจเสียใหม่ว่า ไม่มีคำว่า “ระบบที่ปลอดภัย 100%” ต่อให้เราลงทุนด้านการรักษาความปลอดภัยไซเบอร์ไปมากเพียงใด เราก็ยังไม่สามารถรอดพ้น 100% จากการโจมตีทางไซเบอร์ได้ ดังนั้น เรามีความจำเป็นต้องปรับเปลี่ยน Mindset จาก “Are we secure?” เป็น “Are we ready?”หมายถึง เราควรมีการเตรียมพร้อมอยู่เสมอสำหรับเหตุการณ์ไม่คาดฝันทางไซเบอร์ที่มีโอกาสเกิดขึ้นได้ตลอดเวลา และเมื่อภัยมาถึง เราควรเตรียมการให้ระบบมีความสามารถในการรับมือกับการโจมตีของแฮกเกอร์ ซึ่งก็คือการนำแนวคิด “Cyber Resilience” มาประยุกต์ใช้ หัวใจหลักของ “Cyber Resilience” คือ ระบบของเราต้องเตรียมพร้อมต่อการถูกโจมตีอยู่ตลอดเวลา

ปัจจุบันแนวคิด Cyber Resilience ได้ถูกนำมาใช้ทั่วโลก โดยมีจุดเริ่มต้นมาจาก Department of Homeland Security และ MITRE Corporation ในสหรัฐอเมริกา ซึ่งมีเอกสารฟรีให้ดาวน์โหลดมาศึกษากันได้ โดยไปที่ลิ้งค์ https://www.us-cert.gov/ccubedvp/assessments และhttps://www.mitre.org/publications/technical-papers/cyber-resiliency-engineering-framework

“วินัยไซเบอร์” เป็นเรื่องหนึ่งที่สำคัญ ผู้บริหารระดับสูงขององค์กรควรทำความเข้าใจและสั่งการควบคุมให้เกิดขึ้นจริงในองค์กร เพราะ Cybersecurity ไม่ใช่แค่เพียงเรื่องทางเทคนิคหรือเทคโนโลยี(Technology) เพียงอย่างเดียว หากแต่เป็นเรื่องของการปรับปรุง “กระบวนการ” (process) และความรู้ความเข้าใจของ “บุคลากร”ในองค์กรทุกคน (people) จึงจะสมบูรณ์ในแนวคิด PPT คือ People, Process and Technology อีกเรื่องที่จะลืมไม่ได้เลย คือ เรื่อง “ภาวะผู้นำ” หรือ Top Management Leadership เป็นอีกเรื่องที่สำคัญในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กรให้เกิดผลสำเร็จ 

7.ภัยจากการต่อเชื่อมอุปกรณ์กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง ทำให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์

สองสามปีที่ผ่านมา เราเริ่มได้ยินคำว่า “IoT” และ “OT” มากขึ้นๆ เนื่องจากภายในปี ค.ศ. 2020 มนุษย์จะต่อเชื่อมอุปกรณ์ต่างๆเข้าสู่อินเทอร์เน็ตกว่า 50,000 ล้านชิ้น ทำให้แนวคิด “IoT” (Internet of Things) ถูกนำมาใช้งานจริงอย่างเต็มรูปแบบโดยมาพร้อมๆกับเทคโนโลยี 5G

อุปกรณ์ที่ต่อเชื่อมกับอินเตอร์เน็ตไม่จำเป็นต้องเป็นเครื่องคอมพิวเตอร์หรือแค่เพียงสมาร์ทโฟนอีกต่อไป หากแต่จะประกอบด้วยอุปกรณ์อื่นๆ เช่น กล้องวงจรปิด โทรทัศน์ ตู้เย็น นาฬิกาเพื่อสุขภาพ และอุปกรณ์ไฟฟ้าที่ใช้ในครัวเรือนอื่นๆ อีกมากมาย ขณะที่ “OT” หรือ “Operational Technology” หมายถึงอุปกรณ์ที่ถูกนำมาใช้ในโรงงานอุตสาหกรรม หรือ อุปกรณ์ควบคุมระบบ SCADA/ICS ซึ่งธรรมชาติของอุปกรณ์เหล่านี้ ล้วนถูกออกแบบมาให้ชื่อผู้ใช้และรหัสผ่านถูกกำหนดมาจากผู้ผลิตอุปกรณ์เป็นค่าเริ่มต้นที่เรารับทราบกันโดยทั่วไปซึ่งสามารถหาอ่านได้จากคู่มือผู้ใช้ หรือหาได้ตามอินเทอร์เน็ต จากความจริงดังกล่าว ทำให้แฮกเกอร์เห็นช่องโหว่ในการเขียนโปรแกรม มีการสร้าง Script ในการสแกนกวาดอุปกรณ์ดังกล่าว ด้วยชื่อผู้ใช้และรหัสผ่านโดยกำหนดที่แฮกเกอร์ทราบอยู่แล้ว จากนั้นแฮกเกอร์จะเข้าถึงอุปกรณ์ได้โดยไม่ยากเย็นนัก และนำรายการอุปกรณ์มา Public Post ให้ชาวโลกได้เห็นกันโดยทั่วไป ยกตัวอย่างเช่น https://www.shodan.io หรือ https://www.zoomeye.org จากช่องโหว่ดังกล่าวทำให้แฮกเกอร์ทั่วไปสามารถ “มองเห็น” และ “เข้าถึง” อุปกรณ์ของเราได้โดยง่าย เราจึงควร เปลี่ยนชื่อ “ผู้ใช้”และ “รหัสผ่าน” ที่ถูกตั้งขึ้นโดยกำหนดมาจากผู้ผลิต มาเป็นค่าที่ตั้งด้วยตัวเราเอง ทั้งนี้เพื่อป้องกันการเข้าถึงอุปกรณ์ของเราถูกเข้าถึงโดยมิชอบดังกล่าว และควรหมั่นตรวจสอบข้อมูลเข้า-ออกอุปกรณ์ และตรวจสอบข้อมูลที่ถูกนำไปเก็บไว้ในคลาวด์ว่ามีข้อมูลที่ Sensitive หรือไม่ เผื่อเวลาที่ข้อมูลรั่วไหล เราจะได้สามารถลดความเสียหายลงได้ในระดับหนึ่ง 

8.ภัยจากการนำเทคโนโลยี AI มาใช้ในด้านมืด

ภัยจากการกลั่นแกล้งใส่ร้ายป้ายสีกันทางโซเชียลมีเดียได้กล่าวไปแล้วในภัยที่ 4 และภัยที่เกิดจากการใช้งานโซเชียลมีเดียโดยไม่ระมัดระวังได้กล่าวไปแล้วในภัยที่ 3 ในรูปแบบที่แฮกเกอร์สามารถนำข้อมูลของเราไปปะติดปะต่อหาข้อมูลเพิ่มเติมซึ่งเป็นข้อมูลส่วนตัวของเราได้จากอินเทอร์เน็ตและนำข้อมูลของเราไปใช้ในทางมิชอบ แต่ภัยที่ 8 นี้ผู้เขียนจะขอโฟกัสไปที่ “ผู้ให้บริการโซเซียลมีเดีย” หรือ “Tech Giant” ที่นำข้อมูลในโซเซียลมีเดียของเราไปใช้หรือไปขายเพื่อประโยชน์ทางธุรกิจของเขา โดยที่เรามิได้ยินยอมหรือไม่ทราบ เนื่องจากเรามักนิยมดาวน์โหลดแอปต่างๆ มาใช้ในสมาร์ทโฟน โดยไม่ได้อ่าน Privacy Notice หรือ Privacy Policy ของเขาให้ดีเสียก่อน ทำให้เราถูกนำข้อมูลในสมาร์ทโฟนไปใช้ไม่ว่า จะเป็น Contact หรือ Photo ไปจนถึง Call Log และ SMS เขาก็เก็บข้อมูลไปใช้ทั้งหมด

เมื่อเรากลับมาคิดและไตร่ตรองอย่างรอบคอบแล้ว เราพบว่าเรากำลังอยู่ในยุค Attention Economy ที่ Attention Span หรือ สมาธิการรับรู้ของบุคคลทั่วไป ในช่วงเวลาหนึ่งนั้น น้อยกว่าสมาธิการรับรู้ของปลาทองที่นับว่าเป็นสัตว์ที่มีความสนใจจดจำอะไรได้เพียง 9 วินาที แต่ทุกวันนี้ในโลกแห่งโซเซียลมีเดียอันรวดเร็ว มนุษย์มีความสนใจจดจำประมาณ 8.25 วินาทีน้อยกว่าปลาทองด้วยซ้ำไป โอกาสที่เราจะตกเป็นเหยื่อ “ข่าวลวง” หรือ Fake News มีความเป็นไปได้สูงมากโอกาสที่เราจะแชร์ข้อมูลที่ผิดๆออกไปอย่างรวดเร็วก็เป็นไปได้สูงเช่นเดียวกัน บางทีแฮกเกอร์ที่น่ากลัวที่สุดกลับกลายเป็น “ตัวเราเอง” เนื่องจากเราไม่สามารถควบคุม “สติ” ในการใช้งานโซเซียลมีเดียได้ดีพอ ทำให้เราตกเป็นเหยื่อได้อย่างรวดเร็วโดยไม่ทันจะรู้ตัวเลยด้วยซ้ำ

ในปัจจุบัน “Tech Giant” มีการนำเทคโนโลยี “AI” มาใช้วิเคราะห์พฤติกรรมของพวกเรา โดยที่เราทราบหรือไม่ทราบ ยินยอมหรือไม่ยินยอม ทำให้ EU ต้องออกกฎหมาย “GDPR” มาจัดการเรื่องความเป็นส่วนตัวของผุ้ใช้โดยเฉพาะ ทุกคนมีสิทธิที่จะถูกลืม “Right to be forgotten” หรือ “Right to erasure” เราสามารถขอลบข้อมูลของตัวเราได้ ถ้าเราไม่ประสงค์ให้พวกเขานำไปใช้ต่อ “Right to be forgotten” นับเป็นสิทธิขั้นพื้นฐานที่มนุษย์ทุกผู้ทุกนามในโลกนี้