ช่วงไม่กี่ปีที่ผ่านมา ภัยคุกคามจาก “แรนซัมแวร์” ได้พัฒนาอย่างรวดเร็ว และล่าสุดแนวโน้มการโจมตีได้ขยายตัวเข้าสู่ภาคอุตสาหกรรมอย่างชัดเจน
รายงานประจำปีด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีปฏิบัติการจาก Dragos ระบุว่า ในปี 2025 มีกลุ่ม แรนซัมแวร์ ที่มุ่งเป้าโจมตีองค์กรในภาคอุตสาหกรรมมากถึง 119 กลุ่ม เพิ่มขึ้นถึง 49% จากปีก่อนหน้าซึ่งอยู่ที่ 80 กลุ่ม และมีองค์กรทั่วโลกกว่า 3,300 แห่งที่ตกเป็นเหยื่อซึ่งเพิ่มขึ้นเกือบเท่าตัวจากปี 2024
ภาคการผลิตถือเป็นเป้าหมายอันดับหนึ่ง รองลงมาคือภาคการขนส่ง ขณะที่อุตสาหกรรมน้ำมันและก๊าซ ระบบไฟฟ้า และการสื่อสาร ซึ่งเป็นโครงสร้างพื้นฐานสำคัญก็ถูกโจมตีในระดับสูงเช่นกัน
ตัวเลขเหล่านี้สะท้อนให้เห็นว่าแรนซัมแวร์ไม่ได้จำกัดอยู่เพียงการเรียกค่าไถ่ข้อมูลในองค์กรทั่วไปอีกต่อไป แต่กำลังสร้างผลกระทบโดยตรงต่อกระบวนการผลิตและบริการสาธารณะที่ผู้คนพึ่งพาในชีวิตประจำวัน
หนึ่งในสาเหตุหลักที่ทำให้การโจมตีประสบความสำเร็จไม่ใช่เทคนิคซับซ้อนระดับสูงเสมอไป แต่เป็นการใช้ “บัญชีผู้ใช้งานจริง” ที่ถูกขโมยมา โดยเหล่าบรรดาแฮกเกอร์ส่วนใหญ่มักได้รับข้อมูลการเข้าสู่ระบบผ่านอีเมลฟิชชิง มัลแวร์ประเภทขโมยรหัสผ่าน (Infostealer) หรือการซื้อขายบัญชีจากกลุ่มนายหน้าขายสิทธิ์เข้าถึงระบบในตลาดมืด
เมื่อมีชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง พวกเขาสามารถเข้าสู่ระบบผ่าน VPN หรือพอร์ทัลรีโมตได้อย่างแนบเนียนโดยไม่มีกระตุ้นสัญญาณแจ้งเตือน จากนั้นจึงเริ่มดำเนินการเคลื่อนที่ภายในเครือข่ายองค์กร ข้ามจากระบบ IT ไปยังระบบ OT ซึ่งทำหน้าที่ควบคุมเครื่องจักรและกระบวนการผลิต
ตัวอย่างที่พบคือ แฮกเกอร์ใช้สิทธิ์ VPN ที่ถูกเจาะเข้าถึงเซิร์ฟเวอร์ Virtualization และติดตั้ง แรนซัมแวร์ ลงในเครื่องเสมือนการสนับสนุนระบบควบคุมอุตสาหกรรม แม้ไม่ได้มีการแตะต้องเครื่องจักรโดยตรง แต่เมื่อระบบเซิร์ฟเวอร์ถูกเข้ารหัส ผู้ปฏิบัติงานไม่สามารถมองเห็นหรือควบคุมกระบวนการผลิตได้ ส่งผลให้สายการผลิตต้องหยุดชะงักและเกิดความเสียหายทางธุรกิจอย่างมีนัยสำคัญ
อีกประเด็นที่น่ากังวลคือ ระยะเวลาที่แฮกเกอร์แฝงตัวอยู่ในระบบก่อนเริ่มการโจมตีจริง หรือที่เรียกว่า “Dwell Time” ในสภาพแวดล้อม OT อยู่ที่ 42 วัน หมายความว่าองค์กรอาจถูกแทรกซึมเป็นเวลากว่าหนึ่งเดือนโดยไม่รู้ตัว ช่วงเวลานี้เปิดโอกาสให้ผู้โจมตีสำรวจโครงสร้างเครือข่าย ค้นหาจุดอ่อน ยกระดับสิทธิ์ และเตรียมแผนโจมตีอย่างรอบคอบ เมื่อถึงเวลาลงมือ
ผลกระทบจึงมักรุนแรงและกินเวลาหลายวัน บางกรณีต้องปิดระบบเพื่อกู้คืนโครงสร้างพื้นฐานใหม่ทั้งหมด ซึ่งแตกต่างจากการโจมตีในอดีตที่มักกระทบเฉพาะข้อมูล แต่ปัจจุบัน แรนซัมแวร์ ในภาคอุตสาหกรรมส่งผลต่อการดำเนินงานจริง เช่น การผลิตสินค้า การจ่ายไฟฟ้า หรือการให้บริการขนส่ง ทำให้ความเสียหายขยายวงกว้างสู่ประชาชนและเศรษฐกิจโดยรวม
นอกจากนี้มีการค้นพบกลุ่มภัยคุกคามใหม่ 3 กลุ่มในปีที่ผ่านมา ได้แก่ Sylvanite: กลุ่ม Initial Access Broker ที่มุ่งเป้าระบบไฟฟ้าและสาธารณูปโภคด้านน้ำในสหรัฐฯ, Azurite: กลุ่มที่มุ่งเน้นการรักษาการเข้าถึงระบบ OT ระยะยาว โดยโจมตีองค์กรทั่วโลก, Pyroxene: กลุ่มที่ใช้วิศวกรรมสังคมโจมตีห่วงโซ่อุปทานเพื่อเข้าถึงเครือข่าย IT และ OT ของภาคอุตสาหกรรม
แนวโน้มดังกล่าวชี้ให้เห็นว่าเส้นแบ่งระหว่างความปลอดภัยด้าน IT และ OT กำลังเลือนหาย องค์กรจำเป็นต้องยกระดับการป้องกันทั้งสองส่วนควบคู่กัน ไม่ว่าจะเป็นการจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด การใช้การยืนยันตัวตนแบบหลายปัจจัย การเฝ้าระวังเครือข่ายแบบต่อเนื่อง และการสร้างการมองเห็นระบบ OT อย่างครอบคลุม
เพราะเพียงบัญชีผู้ใช้หนึ่งบัญชีที่รั่วไหล อาจกลายเป็นประตูสู่การหยุดชะงักของโรงงานทั้งหมด หรือแม้แต่โครงสร้างพื้นฐานระดับประเทศในยุคที่อุตสาหกรรมพึ่งพาการเชื่อมต่อดิจิทัลมากขึ้น
ความมั่นคงปลอดภัยไซเบอร์จึงไม่ใช่เรื่องของฝ่ายไอทีเท่านั้น แต่เป็นปัจจัยพื้นฐานของความมั่นคงทางเศรษฐกิจและสังคมโดยรวมครับ