จากกระแสความนิยมการใช้งานเครือข่ายอินเตอร์เน็ต แท็บเล็ตและสมาร์ทโฟน รวมถึงการใช้งานเครือข่ายสังคมออนไลน์ Facebook และ Twitter ทำให้หลายท่านอาจไม่รู้สึกว่าอุปกรณ์คอมพิวเตอร์อยู่ใกล้ตัวเรามากขึ้นทุกวัน เพราะโทรศัพท์เคลื่อนที่ในปัจจุบันไม่ใช่โทรศัพท์แบบในสมัยก่อนอีกต่อไป แต่แท็บเล็ตและสมาร์ทโฟนในปัจจุบันก็คือคอมพิวเตอร์ที่มีความสามารถสูง และทุกคนสามารถเข้าถึงได้ง่ายกว่าคอมพิวเตอร์แบบตั้งโต๊ะในอดีต ทำให้ภัยมืดอินเทอร์เน็ตต่างๆเข้าใกล้ตัวมากขึ้น เป็นไปตามลักษณะการใช้งานอุปกรณ์คอมพิวเตอร์ที่อยู่ในรูปแบบของแท็บเล็ตและสมาร์ทโฟน ดังกล่าวโดยผู้ใช้ไม่รู้สึกว่ากำลังพกคอมพิวเตอร์ติดตามตัวตลอดเวลา

ด้านความสามารถของแท็บเล็ตและสมาร์ทโฟนเอง ประกอบกับความเร็วที่เพิ่มขึ้นของเครือข่าย 3G/4G (LTE) ทำให้ภัยมืดอินเทอร์เน็ตต่างๆสามารถเข้าถึงตัวเราได้รวดเร็วมากขึ้น ในยุคแห่ง Gen-Y เช่นนี้ พฤติกรรมการใช้งานอุปกรณ์พกพาต่างๆของผู้คนมีการเปลี่ยนแปลงไปอย่างสิ้นเชิง ผู้คนใช้งานอินเทอร์เน็ตด้วยความเร็วสูง โดยหากไม่มีสติในการใช้งานแล้วมีโอกาสพลาดค่อนข้างมากเพราะลักษณะการใช้งานเป็นไปอย่างรวดเร็วทันใจ เมื่อ “Post” พลาดหรือ “Tweet” พลาด ก็ไม่สามารถที่จะดึงข้อมูลกลับคืนจากระบบเก็บข้อมูลของ Search Engine อันทันสมัย ที่สามารถนำข้อมูลของเราไปวิเคราะห์ทางด้านการตลาด หรือที่เรียกว่า “Big Data Analytics” ทำให้เรามีโอกาสเสียความเป็นส่วนตัว (Personal Privacy) ได้อย่างง่ายดาย รวมถึงเทคโนโลยีใหม่ๆที่ถูกนำมาใช้กับ Location Aware Application เช่น Augmented Reality (AR) ก็มีผลกระทบกับความเป็นส่วนตัวของเราเช่นกัน

กล่าวถึงความเป็นส่วนตัว (Privacy) ขณะนี้กำลังเป็นปัญหาใหญ่ที่ทั่วโลกกำลังจับตามาอง โดยคณะทำงานร่างมาตรฐาน ISO SC27 ได้ลงมติให้มีการพัฒนามาตรฐาน “PIMS” หรือ “Personal Information Management System” โดยนำมาใช้ร่วมกับมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISMS (Information Security Management System) แสดงให้เห็นว่า คณะทำงานร่างมาตรฐาน ISO SC27 ในระดับนานาชาติยังเห็นถึงความสำคัญของเรื่อง การป้องกันข้อมูลส่วนบุคคล (Data Privacy Protection) ดังนั้นเราคงต้องระมัดระวังเรื่อง “Privacy” ให้มากขึ้นเพราะเป็นกระแสความเปลี่ยนแปลงของโลกในอนาคต

ผมจึงขอสรุปภัยมืดที่กำลังคืบคลานเข้ามาใกล้ตัวเราชนิดหายใจรดต้นคอโดยจัดเป็นห้าประเภทของภัยมืด มีรายละเอียดดังต่อไปนี้

ภัยมืดที่หนึ่ง “Cybercrime and Hacktivism on the Rise”

จากสภาวะเศรษฐกิจโลกในปัจจุบัน ทั้งเรื่องหนี้ยุโรปและเศรษฐกิจตกต่ำในสหรัฐอเมริกา ทำให้หลายคนเปลี่ยนอาชีพไปเป็นนักเจาะระบบ หรือที่รู้จักกันนาม “แฮกเกอร์” โดยเป้าหมายที่แท้จริงของการเจาะระบบก็คือ การหาเงินใช้ของแฮกเกอร์ (Hack for Money, Not Hack for Fun) ดังนั้นลูกค้าของธนาคารโดยเฉพาะบริการ Online Banking /Internet Banking จึงกลายเป็นเป้าหมายของแฮกเกอร์ตลอดจนลูกค้าบัตรเครดิตต่างๆ ทั้ง VISA, AMEX และ MASTER Card โดยทาง PCI Council ต้องรีบออกมาบังคับให้ธนาคารที่ให้บริการบัตรเครดิตต้องรีบปฏิบัติตามมาตรฐาน “PCI DSS” (Payment Card Industry Data Security Standard) โดยด่วน เพราะปัจจุบันแฮกเกอร์สามารถเจาะการเข้ารหัสแบบ SSL ได้สำเร็จแล้วโดยใช้เทคนิค “Man In The Middle Attack” โดยใช้โปรแกรมชื่อ “SSLStrip” อีกทั้งยังพัฒนาเป็น Hacking Applianceเอาไว้ขายให้กับแฮกเกอร์มือสมัครเล่นที่มีความต้องการถอดรหัส SSL ของผู้อื่น เพื่อดักจับ ชื่อผู้ใช้และรหัสผ่านของเหยื่อ เพราะในปัจจุบัน eCommerceตลอดจน Internet Banking/Online Banking หวังพึ่งโปรโตคอล SSL เป็นหลัก ดังนั้นการเข้ารหัสด้วย SSL นั้นถือว่าไม่เพียงพอต่อการป้องกันแฮกเกอร์อีกต่อไป จำเป็นต้องมี One Time Password (OTP) หรือ ระบบ Two Factor Authentication มาช่วยอีกชั้นหนึ่ง

ทางฝั่งแฮกเกอร์ก็ได้พัฒนาการเจาะระบบในแนวใหม่คือ “ATP” หรือ “Advanced Persistent Threat” โดยการออกแบบมัลแวร์ (MalWare) ในรูปแบบม้าโทรจัน ฝังเข้าสู่เครื่องของเป้าหมายในแบบระบุเป้าหมายเฉพาะ (Target Attack) ซึ่งหลายสถานทูตทั่วโลกในปัจจุบันถูกเจาะระบบด้วยวิธีการนี้ โดยโปรแกรมตรวจจับไวรัสหรือมัลแวร์ทั่วไปไม่สามารถที่จะตรวจจับการโจมตีแบบ APT ได้เพราะส่วนใหญ่เป็นการใช้ช่องโหว่แบบ Zero Day ที่ยังไม่มีการค้นพบมาก่อน และ ทางผู้ผลิตยังไม่มีการออก Patch มาแก้ไข ทำให้การโจมตีแบบนี้ได้ผลมาก ส่วนใหญ่การโจมตีแบบ APT จะเจาะระบบที่ช่องโหว่ของ Internet Browser และ Adobe Acrobat เป็นหลัก

Anonymous Hacktivist Group at Scientology in Los Angeles
Anonymous Hacktivist Group at Scientology in Los Angeles

กล่าวถึงคำว่า “Hacktivism” หรือ ลัทธิแฮกเกอร์ ขณะนี้มีแฮกเกอร์สองกลุ่มที่เป็นผู้นำลัทธิ ได้แก่กลุ่ม “Anonymous” และกลุ่ม “Lulzsec” ได้ออกอาละวาดเจาะระบบบริษัทยักษ์ใหญ่ในสหรัฐอเมริกาและทั่วโลกโดยวิธีการ “APT”

(http://en.wikipedia.org/wiki/Advanced_persistent_threat, http://en.wikipedia.org/wiki/LulzSec,http://en.wikipedia.org/wiki/Hacktivism)

โดยมีเป้าหมายหลักเพื่อการล้วงความลับขององค์กร ยกตัวอย่างที่เห็นได้ชัด คือ “WikiLeaks” ที่เป็นข่าวครึกโครมมาแล้วทั่วโลก

ในปัจจุบันเครื่องคอมพิวเตอร์ของหลายองค์กรและเครื่องคอมพิวเตอร์ของหลายๆคนที่บ้านก็ได้รับการติตตั้งโปรแกรมม้าโทรจันของกลุ่ม Hacktivistดังกล่าวโดยไม่รู้ตัว และโปรแกรมเหล่านี้คอยดักจับข้อมูลส่งให้แฮกเกอร์อยู่ตลอดเวลา ทำให้เราเสียความเป็นส่วนตัวและทำให้องค์กรเกิดปัญหาความลับรั่วไหลออกสู่ภายนอก ซึ่งในปัจจุบันมีแนวโน้มที่การเจาะระบบจากโลกไซเบอร์อาจนำมาซึ่งความเสียหายทางด้านกายภาพในโลกแห่งความเป็นจริงได้ (From Cyber World to Physical World) (ดูรายละเอียดได้ในภัยมืดที่สอง)

ภัยมืดที่สอง: State-Sponsored Attack / Critical Infrastructure Attack / Lawful Interception / Cyberwarfare

ในปัจจุบัน รัฐบาลหลายประเทศมองว่าโลกไซเบอร์คือโดเมนที่ห้า (The Fifth Domain) แห่งการทำสงครามทางด้านการทหาร นอกเหนือจาก พื้นดิน, ผืนฟ้า, อากาศ และ อวกาศ แล้ว “ไซเบอร์สเปซ” (Cyberspace) ถือว่าเป็นอีกโดเมนหนึ่งที่มีความสำคัญในการสู้รบเอาชนะฝ่ายตรงข้าม จะเห็นว่าประเทศสหรัฐอเมริกาและประเทศจีนให้ความสำคัญกับเรื่อง Cyberwarfare ถึงขนาดให้การสนับสนุนให้มีนักรบไซเบอร์(Cyber Army) อย่างไม่เป็นทางการและจากแหล่งข่าวที่น่าเชื่อถือได้ หลายประเทศได้พัฒนาโปรแกรมเจาะระบบในรูปแบบม้าโทรจันขึ้นด้วยวิธี APT (ดังที่กล่าวมาแล้วในภัยมืดที่หนึ่ง) ในการเจาะระบบของรัฐบาลฝ่ายตรงข้าม ถือเป็นการเจาะระบบระดับประเทศอย่างลับๆ

เพื่อความมั่นคงของชาติ (National Security) รัฐบาลในอีกหลายประเทศจึงจำเป็นต้องติดตั้งระบบดักฟังประชาชนของตนเองอย่างหลีกเลี่ยงไม่ได้ เรียกว่าระบบ “Lawful Interception” เพื่อเป็นการป้องกันความมั่นคงของชาติที่ต้องแลกมาด้วยความเป็นส่วนตัวของประชาชน ซึ่งปกติรัฐบาลของหลายประเทศจะทำในเชิงลับไม่บอกกล่าวต่อประชาชนของตน ทำให้รัฐบาลสามารถรู้ความเคลื่อนไหวต่างๆในโลกไซเบอร์ เพื่อป้องกันการโจมตีทางกายภาพต่อโครงสร้างพื้นฐานที่สำคัญ เช่น โรงไฟฟ้า, เขื่อน, สนามบิน ตัวอย่างการโจมตี ได้แก่ มัลแวร์ Stuxnet Worm จากปฏิบัติการชื่อ “Operation Olympic Games” (http://en.wikipedia.org/wiki/Operation_Olympic_Games,http://en.wikipedia.org/wiki/Stuxnet) ที่เข้าโจมตีโรงไฟฟ้านิวเคลียร์ของประเทศอิหร่าน ตลอดจนโปรแกรมโทรจัน APT ในรูปแบบต่างๆ เช่น Duqu Worm และ Flame Worm ก็ล้วนมีจุดมุ่งหมายทำลายโครงสร้างพื้นฐานด้านพลังงานของประเทศฝ่ายตรงข้ามทั้งสิ้น ในบางประเทศ ถ้าต้องการศึกษาให้จบในระดับปริญญาโท ต้องแสดงความสามารถในการเจาะระบบประเทศเป้าหมายให้ได้อย่างน้อยหนึ่งระบบ ถึงจะสอบผ่านปริญญาโทได้ ผมได้มีโอกาสเข้าร่วมประชุมระดับนานาชาติกับคณะทำงานร่างมาตรฐาน ISO SC27 กำลังพิจารณาร่างมาตรฐานด้านความปลอดภัยของระบบ SCADA, ICS และ Smart Grid ซึ่งสามารถอ่านข้อมูลเพิ่มเติมได้ที่ Web site ของ NIST และ DHS

www.cyber.st.dhs.gov/docs/NIST%20Guide%20to%20Supervisory%20and%20Data%20Acquisition-SCADA%20and%20Industrial%20Control%20Systems%20Security%20%282007%29.pdf

ภัยมืดที่สาม “Cloud Services vulnerable to Privacy Attack”

จากปรากฎการณ์ “Consumerization” (iPad Effect) และ “Bring Your Own Device (BYOD)” ทั่วโลกแสดงให้เห็นว่าผู้บริหารองค์กรและพนักงาน นิยมนำสมาร์ทโฟนและแท็บเล็ตมาใช้งานในที่ทำงาน เรียกได้ว่า นำ “Home Use Device” มาใช้เป็น “At Work Device” (The use of home technology at Work) หลายคนนิยมใช้ Cloud Services ต่างๆ เช่น Gmail, Hotmail ตลอดจน Backup ข้อมูลไปเก็บไว้ใน Cloud ของ Apple เช่น iCloud หรือใช้ Cloud Service ในการเก็บข้อมูลส่วนตัว เช่น Dropbox, SkyDrive และ Google Drive อีกทั้งยังเก็บรูปถ่ายไว้ใน Instagram หรือ Flickr โดยบริการ Cloud ทั้งหมดนี้สามารถเข้าถึงได้ง่ายโดยใช้แค่เพียงชื่อผู้ใช้และรหัสผ่าน (User ID and Password) ซึ่งโดยปกติแล้ว ชื่อผู้ใช้ ก็คือ E-Mail Address ที่เราใช้อยู่เป็นประจำ และ รหัสผ่าน ก็จะเหมือนกันหมดในทุกบริการเพื่อง่ายต่อการจดจำ ปัญหาก็คือ หาก ชื่อผู้ใช้ และ รหัสผ่าน ของเราถูกเจาะ แฮกเกอร์ก็จะสามารถเข้าถึงข้อมูลส่วนตัวของเราและองค์กรได้ในกรณีที่องค์กรใช้บริการ Cloud Service ดังกล่าว

Mat Honan is iCloud Account Hack Case Study
Mat Honan is iCloud Account Hack Case Study

โดยมีตัวอย่างมาแล้ว จากกรณีของนาย Mat Honan นักเขียนชื่อดังแห่ง Wired Magazine โดนเจาะระบบ Apple iCloud และยังถูกแฮกเกอร์เล่นงานโดยการใช้โปรแกรม “Find My iPhone” ทำการ Remote เข้ามาลบทำลายข้อมูลในโทรศัพท์จนเกลี้ยง ทั้งข้อมูลผู้ติดต่อ, ภาพถ่ายกับครอบครัว อีกทั้งยังโดนเจาะ Gmail, Twitter และ MobileMe แบบครบชุด กรณีศึกษาแบบนี้คงมีให้เห็นอีกอย่างแน่นอนโดยแฮกเกอร์จะพุ่งเป้าไปที่ผู้บริหารระดัลสูงหรือบรรดาคนดัง Celebrity ทั้งหลาย ทางแก้ปัญหาก็คือ เราต้องมีความระมัดระวังในการใช้ “Cloud Service” เพราะว่าอย่างไรเราก็คงต้องใช้อย่างหลีกเลี่ยงไม่ได้ เริ่มจากการตั้งรหัสผ่านที่ปลอดภัย และ อย่าตั้งรหัสผ่านให้เหมือนกันในทุกบริการ ต้องมีวิธีการจดจำรหัสผ่านที่แตกต่างกันให้ได้ และคำถามที่ใช้ในการตอบคำถามเวลาลืมรหัสผ่านก็ควรตั้งให้ยากต่อการคาดเดาของผู้ไม่หวังดี ตลอดจนถ้าเป็นข้อมูลสำคัญ ก็ไม่ควรนำไปเก็บไว้ใน Cloud Service ยกตัวอย่างผมเองไม่เคย Sync โทรศัพท์ iPhoneของผมกับ iCloud Service เลย เพราะผมเองก็ไม่แนใจว่าถ้า Apple ID ของผมหลุดไป ความเสียหายจากการเข้าถึงข้อมูลส่วนตัวของผมในโทรศัพท์จะมีมากเพียงใด แต่หากใครไม่ได้มีข้อมูลสำคัญมากนัก การใช้ iCloud Service ก็สร้างความสะดวกให้กับผู้ใช้ เพราะเวลาเราทำโทรศัพท์หายก็สามารถที่ติดตามโทรศัพท์ และ สามารถที่จะ Recover ข้อมูลที่ Backup กลับคืนมาจาก iCloud Service ได้ทั้งหมด

ภัยมืดที่สี่ : “The Rising of Internal Threats and Occupational Fraud”

การทุจริตจากภายในองค์กรเป็นภัยมืดที่กำลังเพิ่มขึ้นทั่วโลก จากสภาวะเศรษฐกิจที่ทำให้หลายบริษัทต้องใช้บริการ Outsourcing และ Cloud Service กันเป็นส่วนใหญ่ ทำให้ Loyalty ของพนักงานในองค์กรลดลง ตลอดจนพนักงานขององค์กรที่เราใช้บริการ Outsource ส่วนใหญ่ ความรับผิดชอบไม่สูงเท่ากับพนักงานประจำขององค์กรเอง ทำให้คณะทำงานร่างมาตรฐาน ISO SC27 ได้เพิ่มรายละเอียดเกี่ยวกับ มาตรฐาน ISO 27002 ฉบับใหม่ให้มีการกล่าวถึง Supplier หรือ Outsourcer มากขึ้น ตลอดจนออกข้อกำหนดต่างๆที่เกี่ยวข้องกับการใช้งาน Cloud Service ในเรื่องของข้อกฎหมาย Service Level Agreement (SLA) โดยต้องบันทึกไว้เป็นลายลักษณ์อักษรก่อนการใช้บริการจากการวิจัยพบว่า ภัยมืดภายในองค์กร (Internal Threats) นั้นเกิดขึ้นได้ง่ายกว่าภัยมืดจากภายนอก (External Threat) และบางครั้งภัยมืดจากภายนอกก็แปลงสภาพเป็นภัยมืดภายในองค์กรได้ (From External Threat to Internal Threat) ยกตัวอย่าง เช่น การโจมตีแบบ APT ดังที่กล่าวมาแล้วข้างต้น

การตรวจสอบทุจริต หรือ Occupational Fraud Audit และการป้องกันการทุจริต Occupational Fraud Protection กำลังเป็นแนวโน้มที่มีความสำคัญมากขึ้นเรื่อยๆ ข้อมูลเพิ่มเติมดูได้ที่ Association of Certified Fraud Examiners www.acfe.com ซึ่งในปัจจุบันมีการสอบใบประกาศนียบัตรผู้เชี่ยวชาญตรวจทุจริตที่เรียกว่า CFE หรือ Certified Fraud Examiners

ภัยมืดที่ห้า : Regulatory Compliance Threats /AEC Threats or Opportunity?

ภัยมืดอันดับห้าอาจไม่จัดว่าเป็นภัยมืดโดยตรง หากแต่เป็นภัยมืดโดยอ้อม หากองค์กรและบุคคลทั่วไปไม่ปฏิบัติตามกฎระบียบ กฎหมาย กฎข้อบังคับต่างๆ ที่กำลังทะยอยออกมาอย่างต่อเนื่องและเข้มข้นมากขึ้น ทำให้อาจถูกปรับ เสียชื่อเสียง หรือ เสียเปรียบในชั้นศาล ตลอดจนสูญเสียการได้เปรียบทางการค้า (Competitive Advantage) ยกตัวอย่าง เช่น การเปิดเสรี AEC (The ASEAN Economic Community) 2015 จะทำให้เกิดการยกระดับทางด้านมาตรฐานในระดับประเทศเกิดขึ้น กระทบถึงมาตรฐานในการพัฒนาบุคลากรหรือ Human Capital Development อย่างหลีกเลี่ยงไม่ได้ หากประเทศไทยของเราไม่ได้รับการรับรองมาตรฐานต่างๆทั้งมาตรฐานระดับองค์กร และ ใบประกาศนียบัตรรับรองความสามารถต่างๆ ในระดับบุคคล เราย่อมสูญเสียความสามารถในการแข่งขันกับต่างประเทศ ส่งผลกระทบด้านความเชื่อถือและด้านเศรษฐกิจในที่สุด ดังนั้นเราจึงควรมีการเตรียมการล่วงหน้าในการปฏิบัติในองค์กรให้ได้รับการรับรองมาตรฐานสากลต่างๆ เช่น ISO/IEC 27001, ISO/IEC 20000 และ ISO 22301 ตลอดจนบุคลากรขององค์กรควรได้รับ Professional Certificates ทางด้าน IT และ Information Security ไม่ว่าจะเป็น Security+, CEH, CISA, CISM, CISSP, SSCP, CSSLP เพื่อเป็นการส่งเสริมเขี้ยวเล็บในการพัฒนาบุคลากรอย่างยั่งยืนสอดคล้องกับคำพูดที่ว่า “Sustainable Economy” ที่กำลังพูดถึงกันอยู่ในขณะนี้

กล่าวโดยสรุป ภัยมืดทั้งห้าประการนั้น น่ากลัวก็จริงแต่เราสามารถควบคุมและบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ที่สำคัญก็คือ “ภาวะผู้นำของผู้บริหารระดับสูง” (Top Management’s Leadership) มีความสำคัญอย่างยิ่งยวดในการแก้ปัญหาในระดับองค์กรและระดับประเทศ สังเกตุได้จากทุกมาตรฐานสากลเวลานี้ไม่ว่าจะเป็นISO/IEC 27001 New Version หรือ COBIT 5 ได้กล่าวถึงบทบาทของผู้บริหารระดับสูงกับเรื่อง IT Governance และ GRC (Governance, Risk Management, Compliance) ทั้งสิ้น ดังนั้นผู้บริหารระดับสูงขององค์กรและระดับประเทศจึงจำเป็นต้องมีความตระหนักในเรื่องนี้

วิธีการเริ่มป้องกันภัยมืดทั้งห้าที่ดีที่สุดก็คือ การ “Educate” ให้ความรู้ความเข้าใจที่แท้จริงต่อผู้บริหารระดับสูงขององค์กรให้ได้รับรู้ถึงภัยมืดดังกล่าว ได้รับทราบถึงผลกระทบจากภัยเหล่านี้โดยผ่านการอบรม Information Security and Privacy Awareness Training for Top Management อย่างน้อยปีละหนึ่งครั้ง หรือ หาเวลาและโอกาสในการพบผู้บริหารระดับสูงเพื่อทำความเข้าใจและให้ความรู้ผู้บริหารระดับสูงให้ตระหนักถึงภัยมืดทั้งห้าที่กำลังคืบคลานเข้ามาอย่างรวดเร็ว เพราะถ้าไม่มีการเตรียมการที่ดี ก็ไม่ต่างอะไรกับการไม่เตรียมตัวเรื่องน้ำท่วมหรือภัยจากสึนามิ ซึ่งเราก็ได้เห็นความเสียหายกันมาแล้ว ผมขอสรุปสั้นๆว่า “ภัยป้องกันได้ ถ้าเรามีการเตรียมตัวที่ดี”