ความเสี่ยงจากการโจมตีห่วงโซ่อุปทาน (Supply Chain) ในกระบวนการพัฒนาซอฟต์แวร์เป็นสิ่งที่ถูกพูดถึงมานานมากแล้ว แต่กลับไม่เคยได้รับการพิจารณาให้ความสำคัญด้านงบประมาณอย่างจริงจังในหลายองค์กร
เนื่องจากในช่วงที่ภัยคุกคามยังเป็นเพียง “ทฤษฎี” ความเสี่ยงจึงถูกประเมินว่าอยู่ในระดับต่ำ การลงทุนเพื่อป้องกันจึงถูกมองว่าเป็นเพียง “สิ่งที่มีได้ก็ดี” มากกว่าความจำเป็น
โดยเฉพาะในองค์กรที่มีข้อจำกัดด้านงบประมาณ แม้จะมีเครื่องมือที่ช่วยลดความเสี่ยงได้จริงก็ตาม จนกระทั่งการโจมตีเริ่มเกิดขึ้นจริง และสร้างความเสียหายทั้งด้านการเงินและชื่อเสียง ทำให้ภัยรูปแบบใหม่เหล่านี้เริ่มได้รับความสนใจอย่างจริงจัง
Supply Chain Attack คือการที่แฮกเกอร์ไม่ได้โจมตีเป้าหมายโดยตรง แต่เลือกโจมตีผ่าน "คนกลาง" ที่เป้าหมายไว้วางใจ และตรวจจับได้ยากเพราะรหัสหรืออุปกรณ์เหล่านั้นมาจากแหล่งที่น่าเชื่อถือและมีใบรับรองถูกต้อง
โดยสามารถสร้างผลกระทบได้เป็นวงกว้าง หากเลือกโจมตีบริษัทซอฟต์แวร์แค่แห่งเดียว แต่สามารถกระจายไวรัสไปหาลูกค้าได้ทั่วโลกพร้อมกันนับหมื่นรายเลนทีเดียว โดยวิธีที่มักพบบ่อยๆ จะมาจาก 3 ช่องทางหลักๆ ได้แก่
- Software Supply Chain : แฮกเกอร์แอบใส่โค้ดอันตรายเข้าไปในโปรแกรมที่ถูกใช้งานเป็นประจำอย่าง การอัพเดท Windows หรือโปรแกรมแอนตี้ไวรัส เมื่อผู้ใช้งานกดอัพเดทตามปกติก็จะติดไวรัสไปโดยไม่รู้ตัว
- Hardware Supply Chain : การแอบฝังชิปหรืออุปกรณ์ดักฟังขนาดเล็กไว้ในเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ตั้งแต่ขั้นตอนการผลิตในโรงงาน
- Third-party Service : โจมตีผ่านบริษัทคู่ค้าที่มีสิทธิ์เข้าถึงระบบของบริษัทใหญ่ เช่น แฮกเกอร์ขโมยรหัสผ่านจากพนักงานซ่อมบำรุงระบบแอร์ เพื่อใช้ช่องทางนั้นแทรกซึมเข้าสู่โครงข่ายหลักของธนาคาร
กรณีของกลุ่มแฮกเกอร์ TeamPCP เป็นตัวอย่างสำคัญที่เปลี่ยนมุมมองของผู้บริหารด้านความปลอดภัย (CISO) การโจมตีของกลุ่มนี้ในช่วงปีที่ผ่านมาไม่เพียงสร้างความเสียหายสูง แต่ยังมีรูปแบบที่ชัดเจนและสามารถอธิบายต่อบอร์ดบริหารได้ง่าย
กล่าวคือ เมื่อแฮกเกอร์สามารถแทรกตัวเข้าสู่ pipeline ได้แล้ว จะเริ่มทำงานด้วยสิทธิ์เดียวกับทีมพัฒนา และสามารถปล่อยโค้ดออกสู่ระบบได้โดยไม่ถูกตรวจจับ ทำให้เส้นแบ่งระหว่าง “ผู้โจมตี” และ “ผู้พัฒนา” แทบจะหายไปโดยสิ้นเชิง นี่คือจุดที่เครื่องมือแบบเดิมไม่สามารถมองเห็นได้
ผลกระทบจากการโจมตีลักษณะนี้รุนแรงกว่าที่หลายองค์กรคาดคิด ตัวอย่างเช่น การเจาะระบบผ่านเครื่องมือใน pipeline ทำให้สามารถเข้าถึงระบบอื่นๆ ต่อเนื่องแบบลูกโซ่ เกิดความเสียหายตั้งแต่การรั่วไหลของข้อมูลจำนวนมหาศาล ไปจนถึงความสูญเสียทางการเงินระดับพันล้านดอลลาร์
นอกจากนี้ยังมีผลกระทบทางกฎหมาย เช่น การสอบสวนแบบกลุ่ม และความเสี่ยงต่อการถูกเรียกค่าไถ่ในวงกว้าง สิ่งสำคัญคือหลายองค์กรเข้าใจผิดว่าตนเอง “ปลอดภัยแล้ว” เพราะมีการลงทุนใน DevSecOps หรือ SBOM แต่ในความเป็นจริง เครื่องมือเหล่านี้ไม่ได้ครอบคลุมตัว pipeline ซึ่งเป็นจุดอ่อนสำคัญที่แฮกเกอร์กำลังใช้ประโยชน์
หัวใจหลักของปัญหานี้คือ การมองไม่เห็น และการควบคุมไม่ได้ในกระบวนการสร้าง (Build) ซึ่งเป็นส่วนที่ส่งมอบซอฟต์แวร์ไปยังลูกค้าโดยตรง หาก pipeline ถูกยึด แฮกเกอร์สามารถใช้ระบบขององค์กรเองในการกระจายมัลแวร์โดยไม่ถูกตรวจจับ
ดังนั้น การลงทุนด้านความปลอดภัยจึงต้องครอบคลุมมากกว่าเครื่องมือเดิม โดยควรเน้นไปที่การตรวจสอบการทำงานภายใน การจัดการข้อมูลที่มีความอ่อนไหว และการตรวจสอบความถูกต้องของเครื่องมือและ dependency ที่ใช้งาน รวมถึงการตั้งค่าพื้นฐานซึ่งมักเป็นจุดที่ถูกมองข้าม
ท้ายที่สุด สิ่งที่เปลี่ยนไปคือ ภัยคุกคามจากซัพพลายเชนไม่ได้เป็นเพียงความเสี่ยงเชิงทฤษฎีที่องค์กรอาจรอได้อีกต่อไป แต่ในปัจจุบันมีตัวอย่างความเสียหายที่ชัดเจนและเกิดขึ้นแล้ว ทำให้การลงทุนด้าน pipeline security ไม่ใช่ทางเลือก แต่เป็นความจำเป็น
หากองค์กรยังไม่สามารถควบคุมสิ่งที่ถูกส่งออกภายใต้ชื่อของตนเองได้ ต้นทุนที่แท้จริงอาจไม่ใช่แค่เงิน แต่รวมถึงความเชื่อมั่นที่ยากจะกู้คืนกลับมาได้ในระยะยาวครับ