ภัยไซเบอร์กับการเข้าสู่ระบบงานแบบดิจิทัล

การโจมตีไซเบอร์ในช่วงโควิด-19 

ในช่วงที่โควิด-19 ระบาดทั่วโลก ปี 2021 เป็นปีที่การโจมตีไซเบอร์เรียกค่าไถ่ (ransomware attack) รุนแรงที่สุด  เหตุครั้งแรกมีบันทึกย้อนกลับไปปี 1989 โดยเริ่มมีอาชญากรเข้ามามีบทบาทตั้งแต่ปี 2006 และแพร่ไปทั่วโลกตั้งแต่ 2011  การเรียกค่าไถ่ไซเบอร์เกิดในทุกประเทศทั้งกับบุคคลทั่วไปและองค์กร หน่วยงานสาธารณูปโภคเช่นไฟฟ้า, ประปา, โรงพยาบาล ล้วนกลายเป็นเป้าหมาย มีหลักฐานว่าโรงพยาบาลบางแห่งถึงกับไม่สามารถรักษาพยาบาลผู้ป่วยเพราะไม่สามารถดูประวัติการรักษาที่จำเป็น ไม่กี่ปีมานี้บริษัทยักษ์ใหญ่ที่เป็นเหยื่อก็เช่น Colonial Pipeline (น้ำมัน) Mersk (เดินเรือ) JBS (อาหาร) NBA(กีฬา) เป็นต้น

การเรียกค่าไถ่ไซเบอร์ คือการที่แฮคเกอร์(hacker) แอบส่งซอฟต์แวร์ประสงค์ร้าย(มัลแวร์ – malware) ที่เรียกว่าแรนซัมแวร์ (ransomware) เข้าไปในระบบคอมพิวเตอร์แล้วยึดไฟล์ข้อมูลด้วยการเข้ารหัสไฟล์ (encrypt) คือยึดข้อมูลเป็นตัวประกันด้วยการทำให้เจ้าของไม่สามารถอ่านหรือเข้าถึงข้อมูลของตัวเอง โดยอาจขู่ว่าจะลบข้อมูลที่เข้ารหัสไว้แล้วทั้งหมดหากไม่ทำตามคำสั่ง แล้วเรียกค่าไถ่สำหรับกุญแจถอดรหัส (decryption key) ปกติจะเรียกค่าไถ่เป็นเงินคริปโตซึ่งจ่ายไปยังกระเป๋าเงินดิจิทัล (digital wallet)ที่ไม่ระบุตัวตนเจ้าของกระเป๋า  ช่วงก่อนปี 2015 ค่าไถ่มักเรียกเป็นหลักร้อยหรือหลักพันดอลลาร์ แต่วันนี้ปี 2022 เรียกเป็นหลักล้านดอลลาร์ไปแล้ว 

บางองค์กรที่ไม่ยอมจ่ายค่าไถ่อาจใช้วิธีย้อนกลับไปสร้างข้อมูลขึ้นใหม่จากจุดที่มีการสำรองข้อมูลไว้ก่อนหน้า แม้ว่าจะทำได้แต่ค่าใช้จ่ายที่เกิดขึ้นก็อาจมากกว่าค่าไถ่เสียอีก เช่นกรณีเมื่อปี 2019 เมืองบัลติมอร์ในสหรัฐฯที่ไม่ยอมจ่ายค่าไถ่ราวแปดหมื่นดอลลาร์ ยอมเสียค่าใช้จ่ายรวมสิบแปดล้านดอลลาร์และเวลาเป็นเดือนแก้ไขระบบทั้งหมดกลับสู่สภาพเดิม ประสบการณ์เช่นนี้ทำให้องค์กรที่ถูกเรียกค่าไถ่หรือแม้แต่บริษัทประกันภัยไซเบอร์หลายรายยอมจ่ายค่าไถ่ ความเสียหายมหาศาลต่อประเทศต่างๆทั่วโลกจากเหตุการณ์นี้ยังไม่สามารถประเมินได้ในระยะสั้น 

แรนซัมแวร์มีข้อดีด้วยหรือ?

Nicole Perlroth นักข่าวไซเบอร์ผู้เขียนหนังสือดังระดับโลก (“This Is How They Tell Me The World Ends” Financial Times Business Book of the Year 2021 Winner) ได้ให้ข้อสังเกตในการสัมภาษณ์เมื่อต้นปี 2022 ว่าข้อดีที่เธอเห็นจากมหันตภัย ransomware คือการทำให้องค์กรทั้งภาครัฐและเอกชนรวมถึงประชาชนทั่วโลกได้เกิดความตระหนักและตื่นตัวในการป้องกันการคุกคามไซเบอร์ในทุกรูปแบบมากขึ้นกว่าที่เคยเป็น เธอย้ำว่าระดับต่อไปของมหันตภัยด้านไซเบอร์คือการสงครามไซเบอร์ระหว่างรัฐต่อรัฐ เหตุการณ์ระหว่างรัฐเท่าที่เคยเกิดขึ้นยังเปรียบได้เป็นแค่การซ้อมรบไซเบอร์ที่นำทางไปสู่สงครามเต็มรูปแบบ  เช่น รัสเซียกระทำกับยูเครนในช่วงปี 2014-2019 ทั้งในรูปการแทรกแซงการเลือกตั้ง, การโฆษณาชวนเชื่อหรือปล่อยข่าวลวง, การปิดบริการสาธารณูปโภค, ฯลฯ ก่อนการทำสงครามจริง (จาก “Cybersecurity Beyond Headlines”, University of Virginia School of Law, 2022)  เมื่อไม่นานกรณีแบบนี้ก็มีกรณีพิพาทระหว่างแอลเบเนียกับอิหร่าน จากเหตุการณ์ที่ระบบสาธารณูปโภคของแอลเบเนียถูกทำให้ล่มไปเมื่อเดือนกรกฎาคม 2022 โดยมีการอ้างหลักฐานว่าเป็นการกระทำจากอิหร่าน

ผลเสียที่ไม่มีใครคาดในการเข้าสู่ระบบงานแบบดิจิทัล (Digital Transformation)

ในอดีตประเทศล้าหลังที่ถูกคุกคามทางไซเบอร์รอดมาได้เพราะการทำงานของภาครัฐยังไม่ได้ใช้คอมพิวเตอร์เต็มรูปแบบ แต่ประเทศพัฒนาแล้วงานแทบทุกอย่างใช้ระบบคอมพิวเตอร์ อันเป็นผลจากความพยายามทั่วโลกด้านการปรับองค์กรเข้าสู่ระบบงานแบบดิจิทัล ต่อเนื่องมาหลายสิบปี  แต่กระนั้นระบบเหล่านี้ก็มักไม่มีการรักษาความมั่นคงปลอดภัยที่ดีเพียงพอสำหรับการถูกโจมตีไซเบอร์เพราะไม่มีใครได้ให้ความสำคัญกับเรื่อง ความมั่นคงปลอดภัยไซเบอร์ (cyber security) ตั้งแต่แรก ไม่ว่าจะเป็นระบบไฟฟ้า, โทรคมนาคม, อินเทอร์เน็ต, ระบบปฏิบัติการทั้งในคอมพิวเตอร์หรือมือถือสมาร์ทโฟน, อุปกรณ์ใน Internet of Things (IOT)ไปถึงซอฟต์แวร์ของแอปลิเคชันสำหรับชีวิตประจำวันที่ใช้กันแพร่หลายมากขึ้นเรื่อยๆ  ประเทศพัฒนาแล้วจะประสบปัญหายิ่งกว่าประเทศกำลังพัฒนาเสียอีกถ้าไม่ยกระดับการรักษาความมั่นคงปลอดภัยให้ดีพอ

กองกำลังไซเบอร์

ทุกวันนี้หลายประเทศที่พัฒนาแล้วจะมีการเตรียมตัวเพื่อสถานการณ์ฉุกเฉินหากอินเทอร์เน็ตล่มทั้งประเทศ โดยการประกาศวันทดสอบปีละครั้งเป็นอย่างน้อยเพื่อเตรียมตัวทั้งภาครัฐและภาคเอกชนกับสถานการณ์ที่ไม่มีอินเตอร์เน็ต  ขณะเดียวกันหลายประเทศเช่นสหรัฐฯ, จีน, รัสเซีย, เยอรมนี, อิหร่าน, ซาอุดิอาระเบีย, ปากีสถาน, ได้เพิ่มกองกำลังไซเบอร์(Cyber Command)เข้าเป็นอีกหนึ่งหน่วยกำลังป้องกันประเทศ หรือในบางกรณีเพื่อโจมตีประเทศศัตรู เช่นกรณีที่เกิดในช่วงกลางปี 2022 ซึ่งแอลเบเนียกล่าวหาว่าอิหร่านคือผู้อยู่เบื้องหลังการโจมตีไซเบอร์ที่ทำให้บริการสาธารณะของประเทศตนเป็นอัมพาต มีเหตุการณ์โจรกรรมข้อมูล อีกทั้งการวินาศกรรมระบบสื่อสารโทรคมนาคม  ส่วนประเทศที่มีการป้องกันตนเองต่อภัยไซเบอร์ได้ดีในขณะนี้ ยังเป็นกลุ่มประเทศที่พัฒนาแล้วโดยเฉพาะคือเดนมาร์ค, นอร์เวย์, สวีเดน, ฟินแลนด์ และญี่ปุ่น ซึ่งล้วนแต่มีแผนระดับชาติที่มีการปรับปรุงทุกปี

เครื่องมือเจาะระบบแบบ Zero-day Exploit

Exploit คือโปรแกรมที่สร้างขึ้นเป็นอาวุธแบบหนึ่งโดยใช้ประโยชน์จากจุดอ่อน (vulnerability) ของระบบ มักเรียกว่า ”ช่องโหว่” ทำให้ผู้อื่นสามารถเข้าสู่ระบบของเรา เช่นเข้าไปอ่านอีเมลหรือยึดการทำงานของมือถือหรือคอมพิวเตอร์จากระยะไกล  ปกติเวลาผู้พัฒนาระบบซอฟต์แวร์ของคอมพิวเตอร์พบว่ามีความผิดพลาดในการเขียนโปรแกรม (bug) ซึ่งอาจเป็นเรื่องเล็กน้อยหรืออาจเป็นจุดอ่อนก็ได้ ก็มักรวมการแก้ไขไว้ด้วยกันก่อนจะปล่อยซอฟต์แวร์รุ่นใหม่ออกมา ภายในระยะเวลาที่กำหนด เช่นทุก 30 วัน คือเมื่อรู้ความผิดแล้วยังมีเวลาแก้ไขหลายวัน  แต่ถ้าเป็นกรณีที่ hacker รู้จุดอ่อนก่อนผู้พัฒนาระบบ ก็จะเรียก Zero-day คือไม่มีเวลาเหลือให้แก้ไขแล้ว (0-day) ส่วนผู้ค้าอาวุธจากจุดอ่อนระบบก็ย่อมไม่บอกใครว่าตนรู้จุดอ่อนอะไรเพราะจะทำให้เจ้าของระบบป้องกันตัวได้

ในอดีตช่องโหว่พวกนี้เป็นสิ่งที่ผู้หาเจออาจจะแจ้งกับธุรกิจผู้เป็นเจ้าของระบบโดยอาจได้รับรางวัลเล็กน้อยเป็นค่าตอบแทน แต่ในช่วงยี่สิบปีที่ผ่านมา hacker ผู้ค้นเจอช่องโหว่พบว่ามีผู้ที่พร้อมจะจ่ายเงินจำนวนมหาศาล เช่นเป็นหลายแสนหรือหลายล้านดอลลาร์สหรัฐขึ้นกับว่าเป็นจุดอ่อนที่ผู้ซื้อคิดว่าจะเอาเป็นทำอะไร เช่นใช้ในการทำจารกรรมหรือวินาศกรรม โดยการประมูลทาง เว็บมืด (dark web ที่เข้าถึงได้ผ่านเครื่องมือท่องเว็บเฉพาะทางเช่น TOR)  ตัวอย่างในปี 2021 exploit สำหรับมือถือ Android ราคามากกว่า 2.5 ล้านดอลลาร์ สามารถใช้จากระยะไกลให้มือถือเปิดระบบหาตำแหน่ง GPS, กล้อง, ไมโครโฟน, ฯลฯ ถ้าเป็น มือถือ iPhone ก็อาจมากกว่านี้ หรือถ้าเป็นระบบปฏิบัติการประเภท Windows, Linux หรือระบบเฉพาะทางเช่น Siemens หรือ Schneider Electric ก็จะมีราคาแตกต่างกันไปขึ้นกับการแข่งขันราคาในขณะนั้น หมายความว่าราคาไม่ได้เป็นตัวบอกว่าระบบของใครเจาะได้ยากหรือง่ายกว่ากัน

ตลาดค้าอาวุธสงครามไซเบอร์

ที่น่าตกใจอย่างมากก็คือการที่การค้าอาวุธไซเบอร์ได้กลายเป็นอุตสาหกรรมระดับนานาชาติที่กระจายทั่วโลกแต่ไม่มีใครพูดถึง  การเกิดขึ้นของอาวุธสงครามไซเบอร์นี้ทำให้เริ่มมีการเรียกร้องให้นานาประเทศร่วมมือจัดตั้ง Digital Geneva Convention (ซึ่งขยายสนธิสัญญาเจนีวา 1945) ให้เป็นข้อปฏิบัติในการทำสงครามไซเบอร์ว่าจะไม่ทำร้ายพลเรือน, โรงพยาบาล, ระบบไฟฟ้า, ระบบการเลือกตั้ง,ทรัพย์สินทางปัญญา ฯลฯ แนวทางที่พูดกันนี้ยังอยู่ในระยะเริ่มต้นและยังไม่มีการนำเสนอถึงระดับสหประชาชาติ

จนประมาณปี 2013 เครื่องมือหรือ exploit ที่ถูกสร้างจากจุดอ่อนแบบ Zero-day มีแต่หน่วยงานความมั่นคง เช่น NSA (National Security Agency) และ CIA (Central Intelligence Agency) ของสหรัฐฯ หรือหน่วยงานข่าวกรองของประเทศใหญ่เช่นรัสเซียหรือจีนเท่านั้นที่มีขีดความสามารถสูงพอที่จะนำไปใช้ประโยชน์ แต่หลังจากมีผู้บุกรุก ฐานข้อมูลของ NSA ได้สำเร็จในช่วงปี 2016-17 ซอฟต์แวร์ที่เป็นเครื่องมือจารกรรมของ NSAแทบทั้งหมดก็รั่วไหลเข้าสู่อินเทอร์เน็ต ตัวสำคัญที่ทำความเสียหายมากที่สุดต่อเนื่องมาถึงทุกวันนี้คือ Eternal Blue ซึ่งเป็น Zero-day exploit สำหรับ Microsoft Windows ที่ NSA ทำไว้เองโดยไม่บอกใครแม้เมื่อรู้ว่ารั่วออกไปแล้ว  ประเทศแรกที่นำไปใช้คือเกาหลีเหนือ ทำ ransomware ชื่อ Wannacry กระจายทั่วโลก (รวมทั้งกลับมาทำร้ายเกาหลีเหนือเองด้วย) แม้จะถูกจัดการกำจัดได้ค่อนข้างเร็ว แต่ในไม่กี่สัปดาห์ต่อก็มีตัวใหม่ที่รัสเซียเอาไปทำต่อชื่อ NotPetya ใช้ครั้งแรกกับยูเครนในปี 2017 ทำให้ระบบอัตโนมัติแทบทุกอย่างของยูเครนล่ม และกระจายไปทำร้ายระบบของบริษัทยักษ์ใหญ่เช่น Pfizer (ยา), Mersk (เดินเรือ), FedEx (ขนส่ง) เป็นต้น เฉพาะความเสียหายของ Mersk แห่งเดียวก็ประมาณถึง ห้าร้อยล้านดอลลาร์ โดยไม่ได้เงินประกันช่วยเลย ซึ่งเกือบจะทำให้บริษัทล้มละลาย 

วันนี้ทุกประเทศที่พอจะมีศักยภาพในการใช้เครื่องมือแบบนี้ก็สามารถประกอบอาวุธไซเบอร์แบบนี้ขึ้นได้  ไม่ว่าจะเป็นเกาหลีเหนือ, อินเดีย, หรือประเทศในยุโรปอีกหลายแห่ง  ปัจจุบันนี้การซื้อขาย Zero-day Exploit เหล่านี้กลายเป็นตลาดค้าอาวุธอีกแบบหนึ่ง ที่มีการเข้าไปประมูลซื้อขายกันอย่างแพร่หลาย โดยมีผู้ขายและผู้ซื้อที่มาจากหลายประเทศทั่วโลก ตามที่มีรายงานข่าวก็เช่น สหรัฐอเมริกา, จีน, รัสเซีย, อิสราเอล, เอสโตเนีย, บุลกาเรีย, อาร์เจนตินา, สหรัฐอาหรับเอมิเรตส์, เกาหลีเหนือ, ปากีสถาน, สิงคโปร์ และมาเลเซีย เป็นต้น ทั้งนี้มูลค่าที่ซื้อขายกันเป็นเงินนับล้านดอลลาร์สหรัฐฯ ขึ้นกับตัว Exploit ว่าใช้กับระบบที่มีความนิยมมากขนาดใหน  จึงไม่น่าสงสัยว่าทำไมอาชญากรบางกลุ่มที่อาจได้การสนับสนุนจากรัฐหรือแม้จะไม่ได้โดยตรง แต่อาจเป็นผู้ได้ประโยชน์จากการรั่วไหลของเครื่องมือเหล่านี้ ทำให้อาชญากรทั่วโลกเก่งขึ้นอย่างรวดเร็วในระยะเวลาอันสั้น รวมถึงกลุ่มที่ทำงานข้ามประเทศเช่นผู้ขโมยภาพยนตร์จากผู้ประกอบการหลัก เช่น Netflix, Disney, ฯลฯ  หรือแก๊งคอลเซ็นเตอร์ข้ามประเทศที่สามารถเข้าถึงฐานข้อมูลของหน่วยงานบริการของบริษัทมือถือในประเทศเป้าหมายได้ เป็นต้น

ระวัง–สังคมเฝ้าระวัง (Surveillance Society)

หลายประเทศทั่วโลกกำลังเข้าสู่สภาวะสังคมเฝ้าระวัง ซึ่งมีการเตือนมาจากหนังสือ “1984” ของ George Orwell ซึ่งตีพิมพ์ตั้งแต่ 1934 ก่อนสงครามโลกครั้งที่สอง พูดถึง Big Brother ซึ่งเป็นหน่วยงานของรัฐที่รู้ทุกอย่างที่กำลังเกิดขึ้น และทำให้เสรีภาพหมดความหมาย  เครื่องมือสอดแนมผ่านมือถือหรือ spyware ที่ปรากฏในข่าวระยะหลังนี้ก็เช่น Pegasus ของ NSO Group จากอิสราเอล ซึ่งมีรายงานว่าถูกใช้ละเมิดสิทธิส่วนบุคคลและสิทธิมนุษยชนใน UAE และ เม็กซิโก เป็นต้น ข้อสังเกตคือมีรายงานการซื้อเครื่องมือเช่นนี้ในอีกหลายประเทศแต่ไม่มีการยืนยันว่ามีการเอามาใช้กับประชาชนของตนเอง

ข้อสรุป–ต้องจัดการความเสี่ยงไซเบอร์ (cyber risk management) 

ประเทศไทยกำลังก้าวเข้าสู่ระบบงานแบบดิจิทัล ภายใต้สถานการณ์ที่เปลี่ยนไปอย่างรวดเร็วและรุนแรงของการคุกคามทางไซเบอร์ดังที่ได้กล่าวมาแล้ว ทำให้การจัดการความเสี่ยงของทุกองค์กรต้องให้ความสำคัญกับเรื่องความมั่นคงปลอดภัยไซเบอร์ (cybersecurity) ของทุกระบบงานอย่างหลีกเลี่ยงไม่ได้ตั้งแต่เริ่มพัฒนาไปจนถึงการนำไปใช้งาน มีข้อคิดที่ปรากฏในรายงาน “The State of Cyber Resilience” (Marsh & Microsoft, 2022) ที่เป็นข้อคิดสรุปเพื่อช่วยผู้บริหารและผู้ที่ทำหน้าที่กำกับดูแลหน่วยงานให้สามารถดำเนินงานเพื่อเสริมสร้างความมั่นคงปลอดภัยขององค์กร รวมแปดข้อดังต่อไปนี้

1. เป้าหมายความมั่นคงปลอดภัยไซเบอร์ต้องเป็นเพื่อให้สามารถฟื้นคืนสภาพไซเบอร์ให้กลับมาเป็นปกติ (cyber resiliency) ทั้งองค์กร
2. วันนี้ Ransomware เป็นปัญหาอันดับแรกของการคุกคามด้านไซเบอร์ แต่ไม่ใช่ปัญหาเดียว จำเป็นต้องเตรียมความพร้อมด้านอื่นๆด้วย
3. การเอาประกันภัยไซเบอร์เป็นยุทธศาสตร์เพื่อจัดการความเสี่ยงด้านไซเบอร์ อันจะมีผลต่อการเลือกวิธีปฏิบัติและวิธีควบคุมที่ดีที่สุดสำหรับองค์กร
4. การควบคุมด้านไซเบอร์ที่เพิ่มขึ้นทำให้ได้คะแนนดีขึ้นในการวัด”สุขอนามัยไซเบอร์” (cyber hygiene) ขององค์กร
5. องค์กรจำเป็นต้องวัดความเสี่ยงไซเบอร์ออกมาเป็นรูปการเงินให้ได้ เพื่อทำให้สื่อสารได้ชัดเจนในเรื่องความเสี่ยงไซเบอร์
6. การลงทุนเพื่อบรรเทาความเสี่ยงไซเบอร์ จะต้องมีเพิ่มขึ้นต่อเนื่องตามสภาพความเสี่ยงที่เปลี่ยนไป และต้องมีการจัดลำดับความสำคัญของแต่ละส่วนขององค์กร
7. เทคโนโลยีใหม่ๆจะต้องมีการประเมินและเผ้าสังเกตอย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวตอนเลือกมาใช้
8. องค์กรต้องมีกิจกรรมด้าน cybersecurity ของตนเอง และวันนี้ต้องมีการตรวจบริษัทคู่ค้าในห่วงโซ่อุปทาน (supply chain) เพิ่มขึ้นด้วย

เวทีพิจารณ์นโยบายสาธารณะ

ดร. รอม หิรัญพฤกษ์
กลุ่มนโยบายสาธารณะเพื่อสังคมและธรรมาภิบาล