ผู้ทำงานด้านการรับมือและตอบสนองด้านภัยคุกคามไซเบอร์ ชี้ Cyberthreats โดยเฉพาะ Ransomware มีการเกิดขึ้นอย่างต่อเนื่องอยู่แล้ว แนะผู้บริหารองค์กรต้องรู้ภาพกว้างของความเสี่ยง (risk) และภัยคุกคามที่องค์กรเผชิญอยู่ ย้ำความเสี่ยงไม่สามารถจัดการได้แบบสมบูรณ์ ต้องเตรียมเผื่อความผิดพลาดจากความไม่สมบูรณ์เอาไว้ด้วย
ในรอบสัปดาห์ที่ผ่านมา สถานการณ์ความปลอดภัยไซเบอร์ในระดับองค์กรทั้งภาครัฐและเอกชนกลับมาอยู่ในความสนใจของประชาชนอีกครั้ง เมื่อมีผู้อ้างว่า มีข้อมูลที่หลุดมาจากกระทรวงสาธารณสุข (สธ.) ออกมาขายบนเว็บไซต์ใต้ดิน ต่อมา สธ. ยอมรับว่ามีข้อมูลหลุดจริง และและกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ประกาศตามล่าหา hacker ให้ได้ ซึ่งในตอนนี้ไม่ได้มีแค่เคสของ สธ. เท่านั้น ยังมีข้อมูลของภาคเอกชนที่หลุดออกมาอย่างต่อเนื่อง
เรื่องเหล่านี้ต้องยอมรับว่ามีการเกิดขึ้นเป็นระยะๆ แล้วความเป็นจริงในตอนนี้สถานการณ์ความปลอดภัยไซเบอร์เป็นอย่างไร แล้วองค์กรควรรับมือการเรื่องเหล่านี้อย่างไร วันนี้เราจึงได้พูดคุยกับ คุณพันแสน บุญยการ นักวิจัยอิสระด้านความปลอดภัยไซเบอร์ มีประสบการณ์ในการรับมือและตอบสนองเหตุด้านภัยคุกคามไซเบอร์มาอย่างยาวนาน จะมาให้คำตอบในประเด็นเกี่ยวกับ “ภัยคุกคามไซเบอร์” กันครับ
Cyberthreats-Ransomware มีมาอย่างต่อเนื่องอยู่แล้ว
คุณพันแสน มองว่ากิจกรรมของภัยคุกคามไซเบอร์ (Cyberthreats) โดยเฉพาะอย่างยิ่ง Ransonware นั่นเกิดขึ้นอยู่ตลอด เพียงแต่สาธารณะมักจะให้ความสนใจเมื่อเหยื่อหรือผู้ได้รับผลกระทบนั้นเป็นองค์กรขนาดใหญ่ ทำให้เราไม่ได้มองเห็นว่าองค์กรทั่วๆ ไปนั้นก็ตกเป็นเหยื่อด้วย และเราก็อาจเป็นเหยื่อได้เช่นเดียวกัน
“ความน่าสนใจของความเคลื่อนไหวในรอบนี้คือเป้าหมายหรือเหยื่อ ความเคลื่อนไหวของ Ransomware ในรอบนี้ เกิดขึ้นจากกลุ่ม Ransomware ที่แตกต่างและมีเป้าหมายที่ต่างกัน เป้าหมายดังกล่าวสามารถสร้างความเสียหายได้เป็นวงกว้างกว่าด้วย” คุณพันแสน กล่าว
แนวโน้มของการโจมตีด้วย Ransomware ในรอบล่าสุด ผู้โจมตีพุ่งเป้าเลือกเหยื่อเป็นผู้ให้บริการด้านไอที หรือบริษัทด้าน IT Service Provider บริษัทในกลุ่มนี้มีข้อมูลของลูกค้าของตนอยู่เป็นจำนวนมาก ในบางกรณี บริษัท IT Service Provider ก็มีช่องทางในการเข้าถึงระบบของลูกค้าของตนเพื่อดูแลและปรับปรุง การถูกโจมตีไม่ว่าจะก่อให้เกิดการสูญเสียของข้อมูลลูกค้าหรือถูกใช้ช่องทางสำหรับดูแลและปรับปรุงระบบเพื่อนำไปสร้างความเสียหายต่อ ล้วนแล้วแต่เป็นความเป็นไปได้ที่น่าหวาดหวั่นทั้งสิ้น
แม้จะมีการเปลี่ยนแปลงในการเลือกเหยื่อ คุณพันแสน ระบุว่าแรงจูงใจในการโจมตีระบบของกลุ่มอาชญากรไซเบอร์ โดยส่วนใหญ่ยังคงเหมือนเดิมคือในเรื่องของเงิน รองลงมาคือการนำระบบที่เข้าไปยึดไว้มาใช้ในอนาคต โดยอาจเป็นการขายต่อหรือใช้ระบบเพื่อโจมตีระบบอื่นเอง
ส่วนกรณีการซื้อขายข้อมูลจากองค์กรต่างๆ นั้น คุณพันแสนระบว่า การซื้อขายข้อมูลที่ได้จากการโจมตีนั้นเป็นกิจกรรมที่มีอยู่โดยตลอดเช่นกัน ผู้ขายข้อมูลสามารถเลือกที่จะไม่ประกาศที่มาของข้อมูลที่นำมาขายได้เพื่อหลีกเลี่ยงการสร้างความสนใจจนเป็นข่าวซึ่งอาจเป็นผลร้ายต่อธุรกิจ โดยอาจให้ข้อมูลเพียงแค่จำนวนข้อมูล ลักษณะของข้อมูลและตัวอย่างของข้อมูล เพียงเท่านี้ก็สามารถขายข้อมูลได้แล้ว
ปัญหาที่พบบ่อยในการทำงานแก้ปัญหาให้องค์กรที่ถูกโจมตีทางไซเบอร์แล้ว
1. Asset Inventory : ปัญหาเกี่ยวกับดูแลและจัดการทรัพย์สินหรืออุปกรณ์ภายในองค์กร ซึ่งควรมีการจัดทำเพื่อให้รู้หน้าที่การเข้าถึงที่เหมาะสม การเชื่อมต่อกับระบบ และสถานะปัจจุบันของอุปกรณ์ดังกล่าว การดูแลและจัดการอุปกรณ์อย่างเหมาะสมจะช่วยในการระบุหาความผิดปกติเมื่อต้องสงสัยว่าถูกโจมตี รวมไปถึงช่วยในการประเมินผลกระทบและดำเนินการตอบสนองภัยคุกคามต่อไปด้วย
2. Access Control & Privilege : เป็นปัญหาที่เกี่ยวข้องกับการจัดการสิทธิ์และการเข้าถึงของผู้ใช้งานอย่างไม่เหมาะสม ไม่ควบคุมสิทธิ์และการเข้าถึงตามแนวคิด least privilege ปัญหาในประเด็นนี้ส่งผลได้ทั้งในการช่วยให้ผู้โจมตีสามารถไปถึงเป้าหมายได้เร็วมากขึ้นจากการใช้สิทธิ์ระดับสูงเหล่านั้นในทางที่ผิด อีกทั้งยังก่อปัญหาในขั้นตอนของการวิเคราะห์และตรวจสอบเนื่องจากบัญชีที่มีสิทธิ์สูงเหล่านั้นมีโอกาสที่จะดำเนินการได้ในขอบเขตที่กว้าง สามารถทำลายหลักฐานและกลมกลืนกับสภาพแวดล้อมได้อีกด้วย
3. Log Management : เป็นปัญหาเกี่ยวกับจัดเก็บบันทึกการทำงานของอุปกรณ์ (log) เพื่อให้รองรับการนำไปใช้ในการระบุหาการมีอยู่ของภัยคุกคามและการตอบสองเมื่อเกิดปัญหา หลายองค์กรยังคงไม่มีการจัดส่งบันทึกการทำงานของอุปกรณ์เหล่านี้ไปไว้ส่วนกลาง (centralized log management) ส่งผลให้บันทึกการทำงานของอุปกรณ์สูญหายเมื่อเวลาผ่านไปและทำให้ยากต่อการตรวจสอบเมื่อถูกโจมตีด้วย
คำแนะนำในการสร้างความปลอดภัยไซเบอร์แก่องค์กร
1. ผู้บริหารต้องรู้ภาพกว้าง : การเสริมสร้างและพัฒนาความปลอดภัยไซเบอร์ไม่สามารถเกิดขึ้นได้หากปราศจากผู้นำ ซึ่งก็คือผู้บริหารขององค์กร ผู้บริหารควรจะต้องรู้ภาพกว้างของความเสี่ยงและภัยคุกคามที่องค์กรเผชิญอยู่ รวมไปถึงความเคลื่อนไหวที่จะเกิดขึ้นในอนาคต จึงจะเป็นผู้นำในการเสริมสร้างและพัฒนาที่เหมาะสมได้
2. เตรียมรับมือ : เตรียมพร้อมรับมือทั้งในด้านของการตรวจจับและระบุหาเพื่อรู้ถึงความผิดปกติที่เกิดขึ้นในองค์กร รวมไปถึงการป้องกันทั้งในรูปแบบของการจัดการความเสี่ยง การใช้เทคโนโลยีให้เหมาะสมกับรูปแบบและศักยภาพของภัยคุกคามที่องค์กรเผชิญ
3. เผื่อความผิดพลาด : ในหลายครั้ง คุณพันแสนยอมรับว่าหลายองค์กรมักไม่ได้คิดว่าเขาจะโดนแฮก การคิดถึงความปลอดภัยไซเบอร์ของหลายองค์กรยังเป็นแบบเก่าที่เน้นไปกับการจัดการความเสี่ยงผ่านการลด ควบคุม หรือโอนถ่าย โดยอาจลืมว่าความเสี่ยงเหล่านั้นไม่สามารถถูกจัดการอย่างสมบูรณ์แบบได้ องค์กรจึงควรมีการเตรียมเผื่อความผิดพลาดจากความไม่สมบูรณ์นี้เอาไว้ เพื่อให้สามารถรับมือและตอบสนองได้อย่างมีประสิทธิภาพและทันท่วงที
“คน” ปัจจัยสำคัญที่มีผลต่อความปลอดภัยไซเบอร์ขององค์กร
คุณพันแสนอธิบายเพิ่มเติมว่า คนเป็นสิ่งมีชีวิตที่ไม่ได้มีแค่ด้านตรรกะ (Logic) ซึ่งคาดเดาได้ แต่ยังมีด้านของอารมณ์ (Emotion) ที่ไม่สามารถคาดเดาได้ ซึ่งถ้าใครสามารถใช้ประโยชน์บางอย่างแก่คนนั้นๆ ใดได้ หรือ “ดึงอารมณ์คนให้อยู่เหนือเหตุผลได้” เขาจะเกิดอาการแกว่งหรือไขว้เขว ยกตัวอย่างเช่น การที่เรายินดีแลกข้อมูลส่วนบุคคลกับโปรโมชันต่างๆ ซึ่งคือความ “อยากได้” หรือ “โลภ” ซึ่งเรามองข้ามเงื่อนไขบางอย่างไป เช่นเดียวกับเรื่องการตกเป็นเหยื่อการโจมตีหรือหลอกลวงจากโลกไซเบอร์ ที่เราอาจขาดการตัดสินใจแบบรอบคอบออกไป แล้วไปเลือกใช้ “อารมณ์” ตัดสินใจอะไรบางอย่างแทนที่การใช้ “ตรรกะ” อย่างที่ควรจะเป็น
ในอดีตหลายคนอาจคุ้นเคยกับการจับมานั่งอบรม แล้วประเมินผ่านคำถามหรือแบบฝึกหัด แต่ปัจจุบันการทดสอบความตระหนักรู้ด้านความปลอดภัยไซเบอร์ถูกพัฒนาไปมากกว่าเดิมมากด้วยแนวคิด Attack Simulation หรือการสร้างภัยคุกคามบางอย่างให้เสมือนจริง เช่น หากต้องการทดสอบความรู้เรื่อง Phishing เราจะทำการทดสอบด้วยการส่งอีเมลปลอมไปยังทุกคนในองค์กร โดยก็จะจัดเก็บได้จากการวางรูปแบบหลอกล่อไว้แล้ว เช่น หากกดลิงก์นี้ในอีเมล แปลว่าไม่ได้เซ็กก่อนว่าตัวลิงก์ จากนั้นจัดเก็บผลการมีปฏิสัมพันธ์ขององค์กรกับสถานการณ์จำลอง เช่น การเปิดลิงก์จากอีเมลหรือการกรอกข้อมูลในหน้าเว็บไซต์ปลอมที่เตรียมไว้
การทดสอบความตระหนักรู้ด้านความปลอดภัยไซเบอร์ยังมีอีกหลายรูปแบบ เช่น สถานการณ์เกี่ยวกับบัญชี LINE ปลอม ผู้ทดสอบจะทำการสร้างบัญชี LINE โดยใช้สัญลักษณ์ให้เหมือนกับบัญชีจริงของ LINE Official Account ที่มีสัญลักษณ์ที่เป็นรูปโล่ต่อท้าย จากนั้นทำการประเมินปฏิสัมพันธ์ของคนในองค์กรที่มีต่อสถานการณ์จำลองดังกล่าว การทำ Attack Simulation สามารถยืดหยุ่นไปตามช่องที่พนักงานขององค์กรนั้นๆ ใช้ติดต่อหรือพูดคุยประจำก็ได้เช่นกัน
การทดสอบโดยใช้สถานการณ์จำลองจะช่วยให้ผู้ถูกทดสอบได้สร้างความตระหนักรู้ผ่านความเสมือนจริง ได้ความรู้ใหม่เกี่ยวกับลูกเล่นของเหล่าอาชญากรไซเบอร์ที่ถูกจำลองโดยผู้ทดสอบ รวมไปถึงได้ความสนุกซึ่งเป็นการสร้างประสบการณ์ที่ดีในการเตรียมความพร้อมของตนเพื่อต่อสู้กับภัยคุกคามไซเบอร์อีกด้วย
การแบ่งปันข้อมูล อีกหนึ่งทางออกในการแก้ปัญหาภัยคุกคามไซเบอร์ภาพรวม
โดยปกติแต่ละประเทศจะมีการตั้งหน่วยเพื่อรับแจ้งและตอบสนองภัยคุกคาม หรือ Computer Emergency Response Team (CERT) อย่างประเทศไทยตอนนี้ก็มี “ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย” หรือ ThaiCERT ซึ่งปัจจุบันอยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แล้ว
อย่างไรก็ตามในช่วงที่ผ่านมา มีการพยายามจะทำ CERT ราย sector กันเองเพื่อให้ประสานงานกันเร็วขึ้น อย่างสถาบันการเงินก็จะมี “ศูนย์ประสานงานความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร” (Thai Bank CERT : TBCERT) และ Thai Capital Market CERT (TCM-CERT) รวมถึงยังมีการตั้ง CERT ของฝั่งผู้ประกอบการโทรคมนาคมอย่าง “ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์สำหรับกิจการโทรคมนาคมแห่งประเทศไทย” (Thailand Telecommunication CERT : TTC-CERT) แล้วเช่นกัน
“เข้าใจว่าในไทยมีความพยายามก่อตั้งหน่วยเพื่อรับแจ้งและตอบสนองภัยคุกคามของ Healthcare กันมาสักพักแล้ว ซึ่งส่วนตัวก็คาดหวังว่าเหตุการณ์ที่เกิดอาจช่วงเร่งให้การประสานและแบ่งปันข้อมูลใน sector ของ Healthcare อย่างเป็นทางการได้เร็วขึ้น” คุณพันแสน กล่าว
“Public Communication” เรื่องที่ไม่ควรมองข้ามหลังได้รับผลกระทบจากการโจมตี
คุณพันแสน ยังมองต่อไปว่า เมื่อองค์กรถูกการโจมตีจากไซเบอร์แล้ว สิ่งที่ควรทำหลังจากนั้นคือการสื่อสารสาธารณะ หรือ Public Communication เพื่อรักษาความไว้ใจต่อแบรนด์หรือองค์กรๆ นั้นไว้ รวมช่องทางสื่อสารต่างๆ ที่เรามีให้ได้มากสุด แล้วส่งการสื่อสารที่ชัดเจนออกไปผ่านข้อความหรือเนื้อหาเดียวกัน
“หากเราสามารถควบคุมสถานการณ์ตรงนั้นได้ คุณจะสามารถควบคุมสถานการณ์ที่สื่อสารออกสู่สาธารณะได้เช่นกัน ซึ่ง ณ จุดนั้น การสื่อสารเพื่อแจ้งเหตุหรือการให้ข้อแนะนำจะยิ่งมีประสิทธิภาพยิ่งขึ้น อีกทั้งยังช่วยในการให้ข้อมูลที่ถูกต้องอีกด้วย” คุณพันแสน กล่าว
โดยเคสที่น่าสนใจคงหนีไม่พ้นกรณีของ Wongnai ที่คุณพันแสน ยอมรับว่ามีความ proactive ดำเนินการที่เร็ว ละเอียด ประกอบกับมีการอัปเดตความคืบหน้าอยู่เสมอว่าเขากำลังทำอะไร และความเสียหายเกิดขึ้นมากน้อยแค่ไหน รวมถึงมี action ให้ผู้ใช้งานชัดเจน และมีมาตรการในเชิง technical อื่นๆ อีก ในการช่วยให้ผู้ใช้รู้ตัวว่าได้รับผลกระทบ
“ปัญหาคือเราช้ากว่าภัยคุกคามซึ่งมีอัตราไปข้างหน้าที่เร็วมากกว่าเรา ยิ่งเราช้ามากเท่าไหร่ ระยะห่างยิ่งกว้างมากขึ้น การพัฒนาไปข้างหน้าด้วยอัตราเร็วที่มากกว่าเดิมเพื่อให้เกิดความสัมพัทธ์ในหลายด้าน จึงเป็นสิ่งสำคัญสุดในตอนนี้”
