10 แนวโน้ม ทิศทางภัยไซเบอร์ในปี 2019 (ตอนที่ 3)
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 6 กุมภาพันธ์ 2562
บทความนี้เป็นตอนต่อเนื่องซึ่งกล่าวถึงทิศทางภัยไซเบอร์ ปี 2019 กับแนวโน้มที่ 6-8 โดยแนวโน้มที่ 6. ภัยจากความเข้าใจผิดในธรรมชาติของสภาวะไซเบอร์ 7. ภัยจากการต่อเชื่อมอุปกรณ์กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง ทำให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์ และ 8. ภัยจากการนำเทคโนโลยี AI มาใช้ในด้านมืด
ต่อเนื่องจากบทความที่แล้ว
6. ภัยจากความเข้าใจผิดในธรรมชาติของสภาวะไซเบอร์
คำว่า “Cybersecurity” เป็นคำยอดนิยมที่ถูกนำมาใช้อย่างแพร่หลายในแทบทุกวงการ แต่จะมีสักกี่คนที่เข้าใจธรรมชาติของ “สภาวะไซเบอร์” ได้อย่างถูกต้อง
หากเรายังมีคำถามว่า “ระบบนั้น ระบบนี้ ปลอดภัยไหม” (Are we secure?) ก็คงต้องทำความเข้าใจเสียใหม่ว่า ไม่มีคำว่า “ระบบที่ปลอดภัย 100%” ต่อให้เราลงทุนด้านการรักษาความปลอดภัยไซเบอร์ไปมากเพียงใด ก็ยังไม่สามารถรอดพ้น 100% จากการโจมตีทางไซเบอร์ได้
ดังนั้น เรามีความจำเป็นต้องปรับเปลี่ยน Mindset จาก “Are we secure?” เป็น “Are we ready?”หมายถึง เราควรมีการเตรียมพร้อมอยู่เสมอสำหรับเหตุการณ์ไม่คาดฝันทางไซเบอร์ที่มีโอกาสเกิดขึ้นได้ตลอดเวลา
และเมื่อภัยมาถึง เราควรเตรียมการให้ระบบสามารถรับมือกับการโจมตีของแฮกเกอร์ ซึ่งก็คือ การนำแนวคิด “Cyber Resilience” มาประยุกต์ใช้
หัวใจหลักของ “Cyber Resilience” คือ ระบบของเราต้องเตรียมพร้อมต่อการถูกโจมตีอยู่ตลอดเวลา
ปัจจุบันแนวคิด Cyber Resilience ได้ถูกนำมาใช้ทั่วโลก โดยมีจุดเริ่มต้นมาจาก Department of Homeland Security และ MITRE Corporation ในสหรัฐอเมริกา ซึ่งมีเอกสารฟรีให้ดาวน์โหลดมาศึกษากันได้ โดยไปที่ลิ้งค์ https://www.us-cert.gov/ccubedvp/assessments และ https://www.mitre.org/publications/technical-papers/cyber-resiliency-engineering-framework
“วินัยไซเบอร์” เป็นเรื่องหนึ่งที่สำคัญ ผู้บริหารระดับสูงขององค์กรควรทำความเข้าใจและสั่งการควบคุมให้เกิดขึ้นจริงในองค์กร
เพราะ Cybersecurity ไม่ใช่แค่เพียงเรื่องทางเทคนิคหรือเทคโนโลยี (Technology) เพียงอย่างเดียว หากแต่เป็นเรื่องของการปรับปรุง “กระบวนการ” (Process) และความรู้ความเข้าใจของ “บุคลากร” ในองค์กรทุกคน (People) จึงจะสมบูรณ์ในแนวคิด PPT คือ People, Process and Technology
อีกเรื่องที่จะลืมไม่ได้ คือ “ภาวะผู้นำ” หรือ Top Management Leadership เป็นอีกเรื่องที่สำคัญในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กรให้เกิดผลสำเร็จ
7. ภัยจากการต่อเชื่อมอุปกรณ์กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง ทำให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์
สองสามปีที่ผ่านมา เราเริ่มได้ยินคำว่า “IoT” และ “OT” มากขึ้นๆ เนื่องจากภายในปี ค.ศ. 2020 มนุษย์จะต่อเชื่อมอุปกรณ์ต่างๆ เข้าสู่อินเทอร์เน็ตกว่า 50,000 ล้านชิ้น ทำให้แนวคิด “IoT” (Internet of Things) ถูกนำมาใช้งานจริงอย่างเต็มรูปแบบโดยมาพร้อมๆ กับเทคโนโลยี 5G
อุปกรณ์ที่ต่อเชื่อมกับอินเทอร์เน็ตไม่จำเป็นต้องเป็นเครื่องคอมพิวเตอร์หรือแค่เพียงสมาร์ทโฟนอีกต่อไป หากแต่จะประกอบด้วยอุปกรณ์อื่นๆ เช่น กล้องวงจรปิด โทรทัศน์ ตู้เย็น นาฬิกาเพื่อสุขภาพ และอุปกรณ์ไฟฟ้าที่ใช้ในครัวเรือนอื่นๆ เป็นต้น
ขณะที่ “OT” หรือ “Operational Technology” หมายถึง อุปกรณ์ที่ถูกนำมาใช้ในโรงงานอุตสาหกรรม หรืออุปกรณ์ควบคุมระบบ SCADA/ICS ซึ่งธรรมชาติของอุปกรณ์เหล่านี้ ล้วนถูกออกแบบมาให้ชื่อผู้ใช้และรหัสผ่านถูกกำหนดมาจากผู้ผลิตอุปกรณ์เป็นค่าเริ่มต้นที่เรารับทราบกันโดยทั่วไป
จากความจริงดังกล่าว ทำให้แฮกเกอร์เห็นช่องโหว่ในการเขียนโปรแกรม มีการสร้าง Script ในการสแกนกวาดอุปกรณ์ดังกล่าว ด้วยชื่อผู้ใช้และรหัสผ่านโดยกำหนดที่แฮกเกอร์ทราบอยู่แล้ว จากนั้นแฮกเกอร์จะเข้าถึงอุปกรณ์ได้โดยไม่ยากเย็นนัก และนำรายการอุปกรณ์มา Public Post ให้ชาวโลกได้เห็นกันโดยทั่วไป ยกตัวอย่างเช่น https://www.shodan.io หรือ https://www.zoomeye.org
จากช่องโหว่ดังกล่าวทำให้แฮกเกอร์ทั่วไปสามารถ “มองเห็น” และ “เข้าถึง” อุปกรณ์ของเราได้โดยง่าย เราจึงควรเปลี่ยน “ชื่อผู้ใช้” และ “รหัสผ่าน” ที่ถูกตั้งขึ้นโดยกำหนดมาจากผู้ผลิต มาเป็นค่าที่ตั้งด้วยตัวเราเอง
ทั้งนี้เพื่อป้องกันการเข้าถึงอุปกรณ์ของเราโดยมิชอบ ควรหมั่นตรวจสอบข้อมูลเข้า-ออกอุปกรณ์ และตรวจสอบข้อมูลที่ถูกนำไปเก็บไว้ในคลาวด์ว่ามีข้อมูลที่อ่อนไหว (Sensitive) หรือไม่ เพราะหากข้อมูลรั่วไหล เราจะได้สามารถลดความเสียหายลงได้ในระดับหนึ่ง
8. ภัยจากการนำเทคโนโลยี AI มาใช้ในด้านมืด
การกลั่นแกล้งใส่ร้ายป้ายสีกันทางโซเชียลมีเดียได้กล่าวไปแล้วในภัยที่ 4 และการใช้งานโซเชียลมีเดียจากความไม่ระมัดระวังได้กล่าวไปแล้วในภัยที่ 3 โดยแฮกเกอร์สามารถนำข้อมูลของเราไปปะติดปะต่อหาข้อมูลเพิ่มเติม ซึ่งเป็นข้อมูลส่วนตัวของเราได้จากอินเทอร์เน็ตและนำข้อมูลของเราไปใช้ในทางมิชอบ
แต่ภัยที่ 8 นี้จะโฟกัสไปที่ “ผู้ให้บริการโซเซียลมีเดีย” หรือ Tech Giant ที่นำข้อมูลในโซเซียลมีเดียของเราไปใช้หรือไปขายเพื่อประโยชน์ทางธุรกิจโดยที่เรามิได้ยินยอมหรือไม่ทราบ
เนื่องจากเรามักนิยมดาวน์โหลดแอปต่างๆ มาใช้ในสมาร์ทโฟน โดยไม่ได้อ่าน Privacy Notice หรือ Privacy Policy ให้ดีเสียก่อน ทำให้ถูกนำข้อมูลในสมาร์ทโฟนไปใช้ไม่ว่าจะเป็น Contact หรือ Photo ไปจนถึง Call Log และ SMS ซึ่งให้บริการโซเซียลมีเดียได้เก็บข้อมูลไปใช้ทั้งหมด
เมื่อเรากลับมาคิดและไตร่ตรองอย่างรอบคอบแล้ว พบว่าเรากำลังอยู่ในยุค Attention Economy ที่ Attention Span หรือสมาธิการรับรู้ของบุคคลทั่วไปในช่วงเวลาหนึ่งนั้น น้อยกว่าสมาธิการรับรู้ของปลาทองด้วยซ้ำไป
โอกาสที่เราจะตกเป็นเหยื่อ “ข่าวลวง” หรือ Fake News มีความเป็นไปได้สูงมาก โอกาสที่เราจะแชร์ข้อมูลที่ผิดๆ ออกไปอย่างรวดเร็วก็เป็นไปได้สูงเช่นกัน
ดังนั้น แฮกเกอร์ที่น่ากลัวที่สุดกลับกลายเป็น “ตัวเราเอง” เนื่องจากเราไม่สามารถควบคุม “สติ” ในการใช้งานโซเซียลมีเดียได้ดีพอ ทำให้ตกเป็นเหยื่อได้อย่างรวดเร็วโดยไม่ทันรู้ตัวเสียด้วยซ้ำ
ในปัจจุบัน Tech Giant มีการนำเทคโนโลยี AI มาใช้วิเคราะห์พฤติกรรมของผู้ใช้ โดยที่เราทราบหรือไม่ทราบ ยินยอมหรือไม่ยินยอม ทำให้ EU ต้องออกกฎหมาย “GDPR” มาจัดการเรื่องความเป็นส่วนตัวของผู้ใช้โดยเฉพาะ
ทุกคนมีสิทธิ์ที่จะถูกลืม “Right to be forgotten” หรือ “Right to erasure” เราสามารถขอลบข้อมูลของตัวเราได้ ถ้าเราไม่ประสงค์ให้ผู้ให้บริการนำไปใช้ “Right to be forgotten” นับเป็นสิทธิ์ขั้นพื้นฐานของมนุษย์ทุกผู้ทุกนามในโลกนี้
ตอนต่อไปจะกล่าวถึงแนวโน้มที่ 9 และ 10 ซึ่งเป็นตอนจบ