ภัยไซเบอร์โจมตีโลกหนัก!! ‘พาโล อัลโต้ฯ เปิด 4 แนวทางลดเสี่ยง

ปัจจุบันองค์กรจำนวนมากต่างปฏิรูปไปสู่ดิจิทัล (Digital Transformation) หนึ่งในกระบวนวิธีมักมีการพัฒนาแอปพลิเคชันสมัยใหม่ หรือ Modernized App เพื่อรองรับการต่อเชื่อมกับระบบนิเวศในกลุ่มธุรกิจของตน โดยส่วนใหญ่เลือกการพัฒนาในแนวทางของ API หรือ Open API กันอย่างแพร่หลาย จากข้อดีของ API หรือ Application Programming Interface คือ ไม่ต้องพัฒนาจากจุดเริ่มต้น แต่สามารถนำ API จากองค์กรอื่นมาทำการต่อยอด ทำให้การพัฒนาแอปสำเร็จได้อย่างรวดเร็ว 

ธุรกิจหลากหลายประเภทใช้การพัฒนาบริการดิจิทัลบน API ยกตัวอย่างเช่น ใช้กูเกิล แมพ เพื่อทำโลเคชั่นเบสในการเดินทาง, กลุ่มขนส่งและโลจิสติกส์ ใช้ API พัฒนาระบบเพื่อให้ลูกค้าสามารถติดตามสถานะของการขนส่ง กลุ่มบริการท่องเที่ยวใช้ API พัฒนาระบบให้ต่อเชื่อมกับเอเจนท์ต่างๆ ในการจองห้องพัก ตั๋วเดินทาง เป็นต้น 
 

“กรุงเทพธุรกิจ” สัมภาษณ์พิเศษ "ดร.ธัชพล โปษยานนท์" ผู้อำนวยการประจำประเทศไทยและอินโดจีน บริษัทพาโล อัลโต้ เน็ตเวิร์กส์ ถึงประเด็นนี้

“ธัชพล” เล่าว่า ปัจจุบันภาครัฐและเอกชนในประเทศไทย มีการพัฒนาแอปพลิเคชันโดยใช้ API ในหลายอุตสาหกรรม โดยเฉพาะภาคบริการการเงิน ธนาคารหลายแห่งได้นำ Open API มาใช้เพื่อให้กลุ่มนักพัฒนา สตาร์ทอัป ฟินเทค และคู่ค้าสามารถพัฒนาแอปให้เชื่อมต่อกัน รวมถึงกลุ่มประกันภัย โดยสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) ได้เปิด OIC Gateway และ OIC Connect เป็น API เพื่อให้บริษัทประกันส่งข้อมูล และใช้ข้อมูลด้านการประกันภัยร่วมกัน 
 

นอกจากนี้กลุ่มค้าปลีก และโลจิสติกส์ เป็นอุตสาหกรรมลำดับที่สองที่มีแนวโน้มในการใช้ API อย่างแพร่หลาย เพื่อให้เกิดการสร้าง Customer Journey จากข้อมูลเชิงลึกของลูกค้านำไปสู่การส่งมอบประสบการณ์ดิจิทัลในการนำเสนอผลิตภัณฑ์และบริการที่ลูกค้าต้องการและชื่นชอบ ในจังหวะเวลาที่เหมาะสมเพื่อเพิ่มยอดขาย 

อันดับสาม คือ ภาครัฐ ที่ผ่านมามี Open Government Data ข้อมูลจากภาครัฐมีความสำคัญและมีปริมาณมหาศาล การเปิด API เป็นการส่งเสริมให้ผู้ประกอบการจำนวนมากทั้งรายเล็กรายใหญ่ สามารถนำไปสร้างศักยภาพที่จะส่งผลต่อการเกิดระบบเศรษฐกิจใหม่หรือ API Economy ในที่สุด ซึ่งนับเป็นโอกาสอันดีของนักพัฒนาซอฟต์แวร์ไทย

API เริ่มไม่ปลอดภัย ถูกโจมตีสูง

จากข้อมูลของ Salt Security Report (รายงานในไตรมาส 3 ปี 2564) ในปี 2564 ที่ผ่านมา พบว่า มีการใช้ API (Traffic) เพิ่มขึ้นถึง 141% ซึ่งเติบโตสูง แต่ในขณะเดียวกันก็พบว่า API ถูกโจมตีสูงถึง 348% ซึ่งสูงกว่าการใช้งานถึงสองเท่า

ดร.ธัชพล กล่าวว่า ภัยการโจมตีที่เกิดจาก API สร้างความกังวลให้กับเหล่านักพัฒนาทั่วโลก เพื่อลดความเสี่ยงดังกล่าวพาโล อัลโต้ เน็ตเวิร์กส์ จึงได้ให้แนวทางการรักษาความปลอดภัยไซเบอร์ในการใช้งาน API ไว้ 4 ข้อหลัก คือ

1.การให้ความรู้ ความเข้าใจ (Educate) ในการรักษาความปลอดภัยไซเบอร์ โดยเฉพาะกลุ่มเปราะบาง เช่น กลุ่มผู้สูงอายุ ที่เป็นผู้เล่นหน้าใหม่ของสังคมดิจิทัล และเด็กหรือเยาวชนซึ่งเป็นผู้ใช้ไอทีตัวยง แต่อาจไม่ได้ระวังตัวในการให้ข้อมูลส่วนตัว ดังนั้นการให้ความรู้กับผู้ใช้บริการกลุ่มเปราะบางจะช่วยให้เขารอดพ้นจากภัยต่างๆ ในเบื้องต้น

2.สร้างทักษะ (Practice) ในการรักษาความปลอดภัยตั้งแต่จุดเริ่มต้นของการพัฒนาซอฟต์แวร์ โดยทำเดฟเซคโอปส์ (DevSecOps) คือ ต้องดำเนินการในการตรวจสอบความปลอดภัยหรือช่องโหว่ของซอฟต์แวร์ตั้งแต่ขั้นตอนเริ่มต้นจนจบกระบวนการในการพัฒนา รวมทั้งต้องตรวจสอบระบบความปลอดภัยแบบบูรณาการทุกขั้นตอนของการพัฒนาตั้งแต่ Code Scan, Dev, Test, Run หรือที่เรียกคอนเซ็ปต์นี้ว่า “ชิฟต์เล็ฟต์” (Shift Left) เริ่มจากซ้ายโดยมีการตรวจสอบความปลอดภัยทุกขั้นตอนเพื่อจะได้ไม่ต้องถอยร่นการพัฒนาซอฟต์แวร์ไปตั้งต้นใหม่ที่จุดเริ่มต้น หากพบช่องโหว่เมื่อเสร็จสิ้นการแล้ว

3.ทดสอบความปลอดภัย API อย่างต่อเนื่อง เช่น ตรวจสอบความปลอดภัยในระบบอย่างสม่ำเสมอ การประเมินจากภายนอก (External facing) รวมถึงการตรวจสอบ API Interaction อย่างต่อเนื่อง 

4.ความปลอดภัยบนคลาวด์ (Cloud Security) การพัฒนาแอปพลิเคชันด้วย API ที่แชร์ไว้บนระบบคลาวด์ ผู้ใช้และผู้พัฒนาควรต้องคำนึงถึงความปลอดภัยไซเบอร์บนคลาวด์ด้วย 

“ธัชพล” บอกว่า ข้อแนะนำดังกล่าวจะช่วยให้ลดช่องโหว่ของการพัฒนาแอปและพัฒนาซอฟต์แวร์ และลดความเสี่ยงให้ผู้ใช้บริการ ซึ่งเมื่อทุกฝ่ายมีความตระหนักรู้ มีทักษะ มีความระมัดระวัง เห็นประโยชน์ร่วมกัน จะช่วยให้ลดเสี่ยงเลี่ยงภัยได้ตั้งแต่ต้นทาง

“ปีนี้นอกจากภัยในมิติของ API แล้ว ยังมีภัยที่น่ากลัวอีกมิติคือ Critical Information Infrastructure เราควรต้องเตรียมความพร้อมให้แก่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ อย่างเร่งด่วน เพื่อไม่ให้ถูกโจมตีซึ่งจะทำให้เกิดความเสียหายในวงกว้าง” ธัชพล ทิ้งท้าย