ณัฐศักดิ์ โรจนพิเชฐ

ดูบทความทั้งหมด

กรรมการผู้จัดการ บริษัท ออราเคิล คอร์ปอเรชั่น (ประเทศไทย)

28 กรกฎาคม 2560
923

สัญญาณโจมตีไซเบอร์ทวีความรุนแรง

กระแสร้อนจากมัลแวร์ WannaCry ที่ออกอาละวาดโจมตีระบบคอมพิวเตอร์ไปทั่วโลก

กว่า 150 ประเทศ และป่วนคอมพิวเตอร์กว่าสองแสนเครื่อง ช่วงเดือนพฤษภาคมที่ผ่านมา ยังไม่ทันจางหาย ปลายเดือนมิถุนายนที่ผ่านมา แฮกเกอร์ ก็ปล่อย Petya มัลแวร์พันธุ์ใหม่ ออกอาละวาด จากฝั่งยุโรป จากยูเครน อังกฤษ สเปน และมายังเอเชียที่อินเดียรับหน้าด่านก่อนเพื่อน โดยโจมตีหน่วยงานสำคัญอย่างสนามบิน ธนาคารและรัฐบาล กระทบคอมพิวเตอร์กว่าสองพันเครื่องในสิบสองประเทศ

ไซเบอร์ ซีเคียวริตี กลายเป็นเรื่องใหญ่จนไม่สามารถจะปล่อยวางได้อีกต่อไป เนื่องจากแฮกเกอร์เพิ่มความซับซ้อนในการโจมตีมากขึ้นเรื่อยๆ หวังผลที่รวดเร็ว รุนแรง และส่งผลกระทบไปในวงกว้าง ไม่ว่าจะเป็นการเมือง หรือเศรษฐกิจ เพื่อมุ่งโจรกรรมหรือทำลายข้อมูลเพื่อทำให้การทำงานของระบบหยุดชะงัก เป็นอัมพาต จนนำไปสู่การข่มขู่เพื่อแลกค่าไถ่เป็นเงินกับการคืนข้อมูลให้

ข้อมูลจาก Cyber Security Ventures คาดการณ์อาชญากรรมในโลกไซเบอร์ว่า ความเสียหายจากการถูกโจมตีระบบ จะสูงถึง 6 ล้านล้านดอลลาร์ ในปี 2564 โดยเพิ่มจาก 3 ล้านล้านดอลลาร์ในปี 2558 อีกทั้งยังคาดการณ์ความเสียหายจากการที่มัลแวร์เรียกค่าไถ่อย่าง ransomware โจมตีข้อมูล โดยมูลค่าความเสียหายนั้นสูงเกิน 5 พันล้านดอลลาร์ในปี 2560 โดยเพิ่มจาก 325 ล้านดอลลาร์ในปี 2558 ขณะที่ข้อมูลจาก FBI ระบุว่า มีการโจมตีจากมัลแวร์เรียกค่าไถ่อย่าง ransomware กว่าสี่พันครั้งโดยเกิดขึ้นทุกวัน ตั้งแต่ต้นปี 2559 เพิ่มขึ้นถึง 300% จากปีก่อนหน้านี้

ประเด็นที่ควรให้ความสำคัญเป็นอย่างยิ่ง จากบทเรียนของ WannaCry คือ เกิดการหยุดให้บริการจนส่งผลกระทบต่อสาธารณชน ดังเช่นที่เกิดขึ้นในประเทศอังกฤษ ซึ่ง WannaCry โจมตีระบบคอมพิวเตอร์ของโรงพยาบาลรัฐ ทำให้เกิดการหยุดชะงักงันของการให้บริการรักษาพยาบาล

ยิ่งระบบคอมพิวเตอร์และเครือข่ายทวีความสำคัญยิ่งขึ้นในทุกภาคส่วน โดยเฉพาะระบบที่มีความสำคัญอย่างยิ่งยวด ซึ่งกระทบต่อโครงสร้างพื้นฐานสาธารณูปโภคที่สำคัญของประเทศ ระบบการเงิน สาธารณสุข การคมนาคมสื่อสาร และภาคการเงิน รวมถึงความมั่นคงทางทหาร ทำให้ความมั่นคงปลอดภัยทางไซเบอร์ที่จะปกป้องระบบคอมพิวเตอร์เหล่านี้ ทวีความสำคัญมากขึ้นตามไปด้วย หากเกิดเหตุการณ์โจมตีระบบจนทำให้หยุดชะงักและเป็นอัมพาต รวมถึงความผิดพลาดของระบบในธุรกิจเหล่านี้ อาจก่อให้เกิดความเดือนร้อนแก่ประชาชนเป็นจำนวนมาก

น่าเสียดายที่การให้ความสำคัญกับการรักษาความมั่นคงปลอดภัย สำหรับระบบคอมพิวเตอร์ขององค์กรเหล่านี้กลับมีน้อยมาก แม้ว่าจะมีหน่วยงานคอยกำกับดูแลอยู่ เช่น ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ หรือ ก.ล.ต. ออกกฎระเบียบข้อบังคับออกมา แต่การปฏิบัติตามให้ได้มาตรฐาน และการตรวจสอบการปฏิบัติงานไม่ได้ระบุว่าจะต้องกระทำโดยผู้ที่มีความเชี่ยวชาญเฉพาะด้าน

ตัวอย่างที่น่าชื่นชม หน่วยงานหนึ่งที่ให้น้ำหนัก กับประเด็นผู้เชี่ยวชาญเฉพาะด้าน ก็คือ สำนักคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ คปภ.ที่มีวิสัยทัศน์มองการณ์ไกลในเรื่องนี้อย่างลึกซึ้ง ด้วยการออกประกาศ เรื่องหลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ของปี 2560 

ประกาศฉบับนี้นอกจากจะกำหนดมาตรการต่างๆ ด้านการรักษาความมั่นคงปลอดภัยในเรื่องทำธุรกรรมอิเล็กทรอนิกส์ที่มีผลกระทบต่อผู้บริโภคให้บริษัทประกันภัยทุกบริษัทไม่ว่าจะเล็กหรือใหญ่ต้องปฏิบัติตามแล้ว

สิ่งที่สำคัญของประกาศฉบับนี้ที่มีความแตกต่างกว่าประกาศต่างๆ ของ ธปท. และ ก... ก็คือการที่ระบุให้ระบบคอมพิวเตอร์ของหน่วยงานต้องมีการตรวจสอบรับรองโดยผู้เชี่ยวชาญเฉพาะด้านซึ่งได้การรับรองด้วยวุฒิบัตรที่เกี่ยวข้อง ไม่ว่าจะเป็น CISA, CISM หรือ CISSP เพื่อให้แน่ใจว่า มาตรการเหล่านี้ได้นำไปปฏิบัติได้อย่างมีประสิทธิภาพ สม่ำเสมอ และยั่งยืน

ถึงเวลากันแล้วหรือยังที่ภาครัฐและหน่วยงานกำกับดูแลทั้งหลาย จะนำเรื่องมาตรการรักษาความมั่นคงปลอดภัยไปไว้ในมือของผู้เชี่ยวชาญเฉพาะด้านอย่างจริงจัง ไม่ใช่เพียงการออกกฎที่อาจเป็นเพียงกระดาษใบหนึ่งเท่านั้น เพื่อเห็นแก่ผู้บริโภคที่อาจเป็นเหยื่อของอาชญากรรมไซเบอร์ ที่ธุรกิจหรือองค์กรต่างๆ ผลักภาระมาให้

นอกจากนั้น สิ่งที่หน่วยงานกำกับดูแลพึงพิจารณาเพิ่มเติมก็คือ กำหนดให้หน่วยงานต้องรีบออกมาแจ้งภายในเวลาที่กำหนดกับบุคคลภายนอก หากถูกโจมตีและมีข้อมูลรั่วไหล (data breach) โดยในยุโรป มีโทษปรับเงินกับองค์กรที่ไม่ออกมาแจ้งเตือนแล้ว อีกทั้ง จำเป็นที่ประเทศต้องมีหน่วยงานที่รับผิดชอบด้านความมั่นคงทางไซเบอร์แห่งชาติ เพื่อให้มีกระบวนการโต้ตอบการสถานการณ์ที่เกิดขึ้นได้อย่างถูกต้อง โดยเฉพาะหากถูกโจมตีในหน่วยงานที่มีความสำคัญอย่างยิ่งยวดเพื่อลดผลกระทบที่มีต่อประชาชนให้น้อยที่สุด

ดูบทความทั้งหมดของ ณัฐศักดิ์ โรจนพิเชฐ

แชร์ข่าว :
Tags: