by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ผมได้มีโอกาสเข้าประชุม “Expert Group Meeting on the Development of Virtual Forum against Cybercrime” ที่กรุงโซล ประเทศเกาหลีใต้ จัดโดย UNODC (United Nation Office on Drugs and Crime) และ KICJP (Korean Institute of Criminal Justice Policy)จากข้อมูลรายงานด้านความปลอดภัยคอมพิวเตอร์ที่นำเสนอโดยผู้เชี่ยวชาญด้านอาชญากรรมคอมพิวเตอร์ทั่วโลก พบว่า ปัญหาเรื่องการเพิ่มขึ้นของจำนวนอาชญากรรมที่เกี่ยวข้องกับการใช้คอมพิวเตอร์และอินเทอร์เน็ตมีอัตราการเพิ่มขึ้นอย่างต่อเนื่อง และ ทวีปเอเซียเป็นเป้าหมายที่เหล่าอาชญากรคอมพิวเตอร์ให้ความสนใจเป็นพิเศษ เทคนิคการเจาะระบบต่าง ๆ ถูกเหล่าผู้ไม่หวังดีนำมาใช้ ไม่ว่าจะเป็น Phishing / Pharming, Trojans, MalWare, Rootkits, BotNet, Keyloggers, AdWare และ SpyWare ผสมผสานกับเทคนิคในการหลอกผู้ใช้คอมพิวเตอร์ให้หลงกลที่เราเรียกว่า “Social Engineering” จุดประสงค์ของแฮกเกอร์ในปัจจุบันและอนาคตนั้นเปลี่ยนจากการเจาะระบบเพื่อความสนุก มาเป็นเป้าหมายที่ชัดเจนกว่า คือ เพื่อผลประโยชน์ทางด้านการเงินแทน

แฮกเกอร์ในปัจจุบันและอนาคต มีเป้าหมายในการเจาะระบบเพื่อขโมยชื่อผู้ใช้และรหัสผ่านจากธนาคารสถาบันการเงิน หรือ ขโมย Game Token จากบริษัทเกมส์ออนไลน์ รวมทั้ง การขโมยเลขบัตรเครดิต เพื่อนำไปใช้จ่ายอย่างไม่ถูกต้อง รวมถึงการขโมยความลับทางการค้า (Trade Secret) ของบริษัทคู่แข่งด้วย ซึ่งปัญหาต่าง ๆ เกิดขึ้นกับผู้ใช้ระบบอินเทอร์เน็ตแบงค์กิ้งหรือ ผู้ใช้บัตรเครดิตทั่วไป โดยไม่รู้ตัวว่าแฮกเกอร์ได้นำข้อมูลส่วนตัวของเราไปใช้ในทางมิชอบจนกว่าเราจะพบว่ามีสิ่งผิกปกติเกิดขึ้น และในขณะนี้ประเทศไทยยังไม่มีกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ออกมาใช้อย่างเป็นทางการ ดังนั้น การออก กฏหมายจึงเป็นเรื่องสำคัญที่ประเทศไทยต้องให้ความสำคัญในขณะที่ประเทศในเอเซียส่วนใหญ่มีกฏหมายเกี่ยวกับอาชกรรมคอมพิวเตอร์กันมาหลายปีแล้ว การสืบสวนเกี่ยวกับอาชญากรรมคอมพิวเตอร์มีความซับซ้อนเพิ่มขึ้นเนื่องจากความรู้ความสามารถของผู้ไม่ประสงค์ดีมีการพัฒนาเพิ่มขึ้นอย่างต่อเนื่องตลอดจนการใช้เทคนิคใหม่ ๆ ที่ฝ่ายผู้รักษากฏหมายมีความจำเป็นต้องศึกษาและทำความเข้าใจให้มีความรู้เท่าทันกับฝ่ายตรงข้าม การฝึกอบรมบุคคลากร ให้เป็นผู้เชี่ยวชาญด้าน “Computer Forensic” นั้นมีความสำคัญมาก เพราะหลายประเทศต้องการเพิ่มจำนวนผู้เชี่ยวชาญให้เหมาะสมกับอัตราการเกิดอาชญากรรม คอมพิวเตอร์ที่กำลังเพิ่มขึ้นอย่างรวดเร็ว ฐานความรู้หลักที่จำเป็นในเวลานี้ และอนาคต คือ ฐานความรู้เรื่อง “Computer Forensic” และ “Internet Forensic” เกี่ยวกับกรรมวิธีในการสืบสวน และพิสูจน์หลักฐานข้อมูลคอมพิวเตอร์ซึ่งเป็นมาตรฐานที่กระบวนการยุติธรรมทั่วโลกให้การยอมรับนอกจากฐานความรู้เรื่อง “Forensic” แล้วความรู้เรื่อง “Centralized Log Management” หรือ ระบบบริหารจัดการเก็บปูมข้อมูลที่ส่วนกลาง ก็เป็นเรื่องสำคัญที่ไม่ควรมองข้ามเพราะผู้เชี่ยวชาญด้านพิสูจน์หลักฐานคอมพิวเตอร์ หรือ “Computer Forensic Specialist” ต้องการข้อมูลจาก Log File หรือ Centralized Log System เพื่อนำมาวิเคราะห์และหาสาเหตุของเหตุการณ์ “Security Incident” ที่เกิดขึ้น หากปราศจากปูมระบบ หรือ “Log” แล้ว การสืบสวนคงทำได้อย่างยากลำบากและสืบไปไม่ถึงต้อตอของปัญหาในที่สุด ดังนั้นในกฏหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์จึงมีการกล่าวถึงการบังคับให้ผู้ให้บริการระบบสารสนเทศ ต้องเก็บปูมข้อมูลระบบไว้ในช่วงระยะเวลาหนึ่งซึ่งเราเรียกว่า “Record Retention” ในกฏหมายการกระทำผิดที่เกี่ยวกับคอมพิวเตอร์ของประเทศไทย มาตรา 24 ได้กำหนดระยะเวลาไว้อย่างน้อย 30 วัน

10 วิธีในการป้องกันตนเอง และองค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต
ในปัจจุบันผู้ดูแลระบบและผู้ใช้คอมพิวเตอร์ มีความรู้ความเข้าใจเรื่องความปลอดภัยคอมพิวเตอร์เพิ่มขึ้นจากในอดีต ในขณะเดียวกันแฮกเกอร์ ก็มีการปรับตัวและปรับกลยุทธต่าง ๆ ในการเจาะระบบเช่นกัน เราจึงมีความจำเป็นต้องฝึกอบรมและทำตามเข้าใจถึงเทคนิคใหม่ๆ ของแฮกเกอร์และวิธีในการป้องกันภัยจากแฮกเกอร์และภัยอินเทอร์เน็ต อย่างถูกต้องเหมาะสมกับยุคสมัยที่อินเทอร์เน็ตได้เข้ามามีบทบาทในชีวิตประจำวันมากขึ้นและเราต้องยอมรับว่าภัยอินเทอร์เน็ตมีผลกระทบต่อเราและองค์กรอย่างหลีกเลี่ยงไม่ได้ ผมขอสรุป วิธีการป้องกันตนเองอย่างง่าย ๆ มีทั้งหมด 10 ข้อ ดังนี้

1. ประเมินความเสี่ยงด้านความปลอดภัยระบบสารสนเทศ (IT Information Security Risk Assessment) อย่างสม่ำเสมอโดยปรับมุมมองในการประเมินความเสี่ยงให้ใกล้เคียงกับที่แฮกเกอร์คิด บางทีอาจต้อง “คิดนอกกรอบ” มองให้ออกว่าแฮกเกอร์จะเจาะเข้ามาในระบบเราได้อย่างไรจากทางไหนบ้าง เราจำเป็นต้องมีความรู้พื้นฐานด้าน “Vulnerability Assessment” และ “Penetration Testing” ในระดับหนึ่ง แนะนำให้จ้าง “ผู้ตรวจสอบภายนอก” หรือ “External Auditor” มาทำการตรวจสอบประเมินความเสี่ยงให้กับระบบสารสนเทศของเราอย่างน้อยปีละหนึ่งครั้ง
2. ฝึกอบรมผู้ใช้งานคอมพิวเตอร์ให้เกิดความระมัดระวังในการใช้งานระบบอินเทอร์เน็ตอย่างปลอดภัย เรามักเรียกวิธีการฝึกอบรมนี้ว่า “Information Security Awareness Training Program” ปัญหาที่เกิดขึ้น ส่วนใหญ่มาจากเทคนิคของแฮกเกอร์ที่รู้จักกันดีคือ “Social Engineering” ซึ่งเน้นไปที่วิธีการหลอกลวงให้ผู้ใช้คอมพิวเตอร์หลงกลให้ข้อมูลส่วนตัวแก่ผู้ไม่ประสงค์ดี เช่น เทคนิค “Phishing” เป็นต้น การฝึกอบรม Information Security Awareness Training ควรจัดให้มีเป็นประจำอย่างน้อยปีละสองครั้ง จะช่วยให้องค์กรมีความปลอดภัยทางคอมพิวเตอร์มากขึ้นในภาพรวม และช่วยให้ผู้ใช้คอมพิวเตอร์ปฏิบัติความนโยบายด้านการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ อย่างถูกต้องและเต็มใจด้วย
3. นำกระบวนการด้านการรักษความปลอดภัย “Security Process” เข้ามารวมกับขั้นตอนในการใช้งานระบบสารสนเทศตามปกติ “Day-to-Day IT Operation Process” เราอาจนำ “Best Practices” หรือมาตฐานต่าง ๆ มาประยุกต์ใช้ร่วมกัน เช่น ITIL, CobiT 4.0 หรือ ISO/IEC 27001 เป็นต้น
4. ศึกษาความรู้เรื่อง “Computer Forensic” และ “Internet Forensic” เพื่อเตรียมพร้อมกับกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่กำลังจะถูกบังคับใช้ในอนาคต และ เตรียมพร้อมที่จะรับ “Security Incident” ที่อาจเกิดขึ้นกับองค์กร เป้าหมายเพื่อลดผลกระทบที่เกิดขึ้นกับระบบสารสนเทศในองค์กรให้มากที่สุดเท่าที่จะทำได้
5. วิเคราะห์ และปิดช่องโหว่ “Web Server” และ “Web Application” ขององค์กรโดยนำข้อมูลจากข้อ 1 ได้แก่ ข้อมูลรายงานผลการประเมินความเสี่ยงมาฝึกอบรมแนะนำให้ผู้พัฒนาระบบ หรือ Web Application Programmer พัฒนาโปรแกรมให้ปลอดภัย (“How to write a record code”) จากเทคนิคต่าง ๆ ของแฮกเกอร์ เช่น SQL Injection หรือ Cross-Site Scripting Attack (XSS Attack) ตามมาตรฐานของ OWASP (www.owasp.org)
6. ติดตั้งระบบจัดเก็บปูมข้อมูลระบบที่ส่วนกลาง และติดตามเฝ้าระวังการโจมตีของแฮกเกอร์ในลักษณะ “Real-time Monitoring” ยกตัวอย่างเช่น มีการใช้งาน IDS (Intrusion Detection System) หรือ IPS (Intrusion Prevention System) ในองค์กรเป็นต้น
7. พัฒนานโยบายด้านการรักษาความปลอดภัย (Security Policy) ให้เป็นลายลักษณ์อักษร และประกาศใช้อย่างเป็นทางการในองค์กรโดยการสนับสนุนจากผู้บริหารระดับสูงขององค์กร
8. หมั่นตรวจสอบกระแสข้อมูล (IP Traffic Monitoring) ออกจากองค์กร (Egress filtering analysis) ว่ามีข้อมูลบางอย่างที่ไม่เหมาะสมรั่วไหลออกจากองค์กหรือไม
9. หมั่นติดตามข่าวสารเรื่องการค้นพบช่องโหว่ใหม่ ๆ (New Vulnerability) และหมั่น Update Patch เพื่อปิดจุดอ่อน (Vulnerabilities) ให้กับระบบอย่างสม่ำเสมอ
10. อย่าลืม หลักการพื้นฐานที่เรียกว่า Defense-In-Depth หรือ Multi-layer Security Defense โดยมีการป้องกันระบบหลายระดับเพื่อให้แฮกเกอร์ยากต่อการโจมตีมากขี้น

หากองค์กรสามารถปฏิบัติตามวิธีทั้ง 10 วิธี ดังกล่าว ได้อย่างถูกต้องและสม่ำเสมอ ก็จะช่วยให้เกิดความมั่นคงปลอดภัยแก่ระบบสารสนเทศขององค์กรมากขึ้น
ในโลกของภัยอินเทอร์เน็ตที่กำลังเพิ่มขึ้นอย่างไม่หยุดยั้ง และ เรายังไม่มีกฏหมายคุ้มครองเรื่องอาชญากรรมคอมพิวเตอร์ในประเทศไทยในขณะนี้ เราจึงจำเป็นต้องเรียนรู้ที่จะป้องกันตนเองเสียก่อน และ ตั้งใจรอกฏหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่คาดว่าจะประกาศใช้ในอนาคตอันใกล้นี้

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนกรกฎาคม 2549
Update Information : 28 มิถุนายน 2549by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center