หมายเหตุ – บทสัมภาษณ์ชัชวัฒน์ อัศวรักวงศ์ ประธานกรรมการศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) หนึ่งในผู้ร่วมเสวนา “ไทยกับความปลอดภัยไซเบอร์ 2022” ที่หนังสือพิมพ์มติชนจะจัดสัมมนาขึ้นในวันที่ 30 มีนาคมนี้
เตือนภัย Phishing ป่วนข้อมูลคอมพิวเตอร์
ปัจจุบันจะได้ยินคำว่า cyber security ตลอดเวลา มีข่าวหน่วยงานขนาดใหญ่ทั้งในและต่างประเทศโดน “แฮก” ประชาชนส่วนใหญ่ก็ไม่รู้ว่าโดนแฮกคืออะไร จะได้ยินคำว่า Ransomware ในทางเทคนิคแปลว่า การมาเข้ารหัสข้อมูลในระบบคอมพิวเตอร์ ทำให้ไม่สามารถใช้งานได้ เมื่อ Ransomware เสร็จ ต่อมาก็ขโมยออกไปเรียกค่าไถ่ ถ้าไม่จ่ายเงินก็จะนำข้อมูลไปเปิดเผย สิ่งเหล่านี้ดูเป็นเรื่องทางเทคนิคเรื่องไกลตัว แต่ประชาชนส่วนใหญ่โดนกันมามาก รวมถึงองค์กรขนาดเล็ก ขนาดใหญ่ แต่ไม่รู้ว่าต้องทำอย่างไร มีการ Format คอมพิวเตอร์ลงระบบใหม่ นึกว่าจบแต่ก็ไม่จบ บางองค์กรเป็นลูกค้าประจำของแฮกเกอร์ จ่ายแล้วก็โดนใหม่อีกรอบ เพราะไม่รู้ว่าต้องป้องกันตัวอย่างไร
หลายคนถูก SMS ทำอีเมล์ปลอมมาคุย หรือที่เรียกว่า Phishing (ฟิชชิง) เป็นการหลอกให้เหยื่อเข้ามาหลงกล เปิดเผยข้อมูล กดปุ่มคลิกลิงก์แล้วติดตั้งซอฟต์แวร์ที่เป็นอันตรายต่อเครื่องคอมพิวเตอร์ เพื่อขโมยข้อมูลหรือติดตั้งมัลแวร์ เพื่อให้เครื่องคอมพิวเตอร์ใช้ไม่ได้ จึงเป็นจุดกำเนิดที่ต้องการให้คนมาสนใจไซเบอร์ซีเคียวริตี้กัน
ปัจจุบันความพร้อม Cyber Warfare หรือสงครามไซเบอร์ของประเทศไทย เมื่อดูความขัดแย้งระหว่างรัสเซีย-ยูเครน มีการโจมตีกันซึ่งไม่ใช่ด้วยขีปนาวุธอย่างเดียว แต่โจมตีทางใต้ดินด้วย มีการแฮกกันไปมาเพื่อให้สาธารณูปโภคประเทศนั้นๆ ใช้ไม่ได้ หรือว่าเปิดเผยข้อมูลเชิงลบของประเทศ สมมุติประเทศไทยถูกโจมตีด้วยสงครามไซเบอร์ จะรับมือได้หรือไม่ ในฐานะภาคเอกชน ไม่มีข้อมูลเชิงลึกของกองทัพ ว่ามีการเตรียมพร้อมนักรบไซเบอร์ขนาดไหน แต่ได้มีการทำงานร่วมกับกองทัพ เห็นชัดเลยว่ากองทัพมีการตื่นตัวอย่างมากในช่วง 5 ปีที่ผ่านมา มีการสร้างบุคลากรเข้มข้น มีการลงทุนเทคโนโลยีอยู่ตลอด ซึ่งทาง TB-CERT ได้มีการจัดการแข่งขัน Cyber Combat เชิญกองทัพเข้าร่วมแข่งขัน ปรากฏว่าได้คะแนนไม่เลวเลยทีเดียว
อย่างไรก็ตาม มีโจทย์สำคัญคือบุคลากรด้านไซเบอร์ซีเคียวริตี้ยังขาดแคลนอยู่มาก สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) พยายามผลักดันเรื่องนี้ มีการบังคับใช้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562และกฎหมายลูก มีการสนับสนุนพัฒนาบุคลากร ไม่ว่าจะเป็นกองทัพ เอกชน รวมหลายภาคส่วน ทำให้มั่นใจว่าบุคลากรด้านไซเบอร์ซีเคียวริตี้จะมีการพัฒนาขึ้น และมีบุคลากรมากขึ้นในเร็วๆ นี้
ในภาคธนาคาร แน่นอนว่าเป็นขุมทรัพย์ของโจร สมัยก่อนโจรไปขโมยเงินที่สาขาธนาคาร จึงไม่แปลกที่ธนาคารเป็นเป้าสำคัญในการโจมตีไซเบอร์ ซึ่งธนาคารให้ความสำคัญอย่างต่อเนื่อง สร้างระบบป้องกัน ลงทุนอย่างต่อเนื่อง ทุกธนาคารได้ขยับไปให้บริการดิจิทัลแบงกิ้งมากขึ้น ขณะเดียวกันก็จะมีโอกาสถูกโจมตีมากขึ้น หลายๆ บริการให้ลูกค้าต้องมีการเปิดเป็นสาธารณะ ทุกคนสามารถใช้บริการได้ เข้ามาแก้ไขข้อมูล เช่น จะมีการโอนเงิน 1,000 บาท โดยมีการหาช่องโหว่ผ่านแอพพลิเคชั่น ถ้าเกิดมีการดูแลระบบไม่ดีคนร้ายก็จะแก้ไขข้อมูลกลายเป็นโอน 1,500 บาท ไปให้คนร้ายแทน ดังนั้น การลงทุนด้านการป้องกันเลยขาดไม่ได้
ปัจจุบันพูดได้เลยว่าไม่มีเทคโนโลยีอะไรในโลกที่เอาเงินไปซื้อแล้วเอามาติดตั้งจะไม่ถูกแฮก เช่น ไปซื้อคอมพิวเตอร์มาเครื่องหนึ่ง เอามาตั้งในห้องโดยไม่มีการเชื่อมต่อใดๆ ทั้งสิ้น ไม่เชื่อมต่อยูเอสบี ทำงานตัวคนเดียวเดี่ยวๆ แต่พอดีว่าคอมพิวเตอร์เครื่องนี้มีข้อมูลสำคัญ มีข้อมูลส่วนบุคคลอยู่ แต่เมื่อทำงานไม่ได้ล็อกหน้าจอไว้ คนอื่นๆ ก็สามารถเข้าถึงข้อมูลในคอมพิวเตอร์ได้ ไม่มีอะไรป้องกันการถูกแฮกได้ร้อยเปอร์เซ็นต์ ดังนั้น การตรวจจับเป็นเรื่องสำคัญ เมื่อมีคนพยายามบุกรุกจะได้รับมือตอบสนองต่อเหตุการณ์ได้ทัน เป็นหลักการของไซเบอร์ซีเคียวริตี้ ซึ่งปัจจุบันใช้คำว่า “Cyber Resilience” มากขึ้น หมายความว่าทำอย่างไรให้องค์กรทนทานต่อการถูกโจมตี และมาปั่นป่วนระบบการให้บริการไม่ได้ หรือกระทั่งระบบถูกโจมตีอย่างหนัก แต่มีการกู้ระบบได้ ภาษาชาวบ้านคือตายยากฟื้นเร็ว
ตอนนี้องค์กรสำคัญๆ ได้เดินมาทางนี้แล้ว คือการตรวจจับได้เร็ว มีระบบในการตรวจจับ ตอบสนอง กู้ระบบได้อย่างรวดเร็ว ยกตัวอย่าง Ransomware ในช่วงต้น ถ้าโรงพยาบาลถูกขโมยข้อมูลผู้ป่วย จะเกิดอะไรขึ้นกับโรงพยาบาล กับหมอ และผู้ป่วยที่มีประวัติการรักษาข้อมูลการให้ยา แปลว่าโรงพยาบาลควรมีข้อมูลสำรองไว้ ถึงจะโดนเข้ารหัสก็นำข้อมูลสำรองกลับเข้ามา จะได้ไม่ต้องจ่ายเงินให้แฮกเกอร์ Cyber Resilience จึงมีความสำคัญในตอนนี้
กลุ่มธนาคารไทยป้องกันเชิงรุก
ในภาคธนาคาร การทำงานร่วมกันระหว่างธนาคารเป็นสิ่งสำคัญ สมมุติมีธนาคารหนึ่งกำลังโดนบุกรุกเข้ามา แต่รู้ที่อยู่ไอพีว่าต้นทางมาจากไหน ใช้กลยุทธ์แบบไหนในการเข้าโจมตี ก็สามารถเอาข้อมูลตรงนี้มาแบ่งปันให้กับธนาคารอื่นๆ เพื่อให้ไปวิเคราะห์และป้องกันตัวเองก่อน ทำให้ภาพสถาบันการเงินโดยรวมแข็งแรงขึ้นภาษาทางเทคนิคเรียกว่า Threat Intelligence หรือภาษาง่ายๆ เรียกว่าหน่วยข่าวกรองไซเบอร์ ถ้านำข้อมูลจากหลายธนาคารมาวิเคราะห์ด้วยกันจะสามารถป้องกันในเชิงรุกได้ เป็นที่มาของการก่อตั้ง TB-CERT เป็นการพูดคุยกันในกลุ่มธนาคารขนาดใหญ่ในปี 2559 โดยก่อนหน้านั้น ธนาคารขนาดใหญ่ได้รับอีเมล์ข่มขู่จากแฮกเกอร์โดยให้จ่ายเงินจำนวนหนึ่ง ถ้าไม่จ่ายจะมีการส่ง Traffic Package ขนาดใหญ่เข้ามาโจมตีธนาคาร เพื่อให้ระบบใช้การไม่ได้
หลังจากนั้นแต่ละธนาคารก็มีการพูดคุยรับมือกันเฝ้าระวังร่วมกัน เมื่อก่อนตั้งชื่อว่า ISG หรือ Information Sharing Group ต่อมาปี 2560 ได้รับการสนับสนุนจากสมาคมธนาคารไทย และธนาคารแห่งประเทศไทย (ธปท.) ทำให้ระบบสถาบันการเงินโดยรวมแข็งแรงขึ้น จึงเป็นที่มาในการตั้ง TB-CERT ในปี 2560 ปัจจุบันมีสมาชิกอยู่ 27 หน่วยงาน ส่วนใหญ่เป็นธนาคาร โดยมีบริษัท เนชั่นแนล ไอทีเอ็มเอ๊กซ์จำกัด (ITMX) เป็นหน่วยงานกลางในการทำธุรกรรมของธนาคาร แต่ละแห่งจะนำทีมงาน IT Security มาเป็นสมาชิกเพื่อแลกเปลี่ยนข้อมูลระหว่างกัน
บทบาทTB-CERTป้องภัยไซเบอร์
บทบาทสำคัญของ TB-CERT ในวงการธนาคารมีอยู่ 4 เรื่องใหญ่ๆ 1.เรื่องของการแลกเปลี่ยนข้อมูลกัน เมื่อธนาคารใดพบสิ่งผิดปกติ ก็เอามาแลกเปลี่ยนกันเพื่อให้ธนาคารโดยรวมเอาไปป้องกันเชิงรุกได้ โดยมีกติกาที่เรียกว่า Traffic Light Protocol หรือ TLP เช่น ถ้ามีการส่งข้อมูลโดยกำกับสีแดงไว้ให้มีการรู้ในวงจำกัด ถ้ามีใครนำไปเผยแพร่ต่อจะมีการลงโทษ หรือต้องออกจากสมาชิก และสร้างความเชื่อมั่นว่าการแลกเปลี่ยนข้อมูลตรงนี้ จะถูกจัดการได้เป็นอย่างดี ไม่มีการรั่วไหล หรือกรณีมีการส่งข้อมูลโดยกำกับสีขาวไว้ ก็สามารถเผยแพร่ต่อสาธารณะได้
2.สนับสนุนสร้างทักษะบุคลากรของสมาชิก เพื่อให้บุคลากรมีความรู้ความสามารถในทางทฤษฎีและในเชิงปฏิบัติอย่างต่อเนื่อง เช่น การจัดแข่งขัน Cyber Combat จัดเป็นทีม เพื่อมาแข่งกันแฮก ใครเจอช่องโหว่ได้เร็วก็จะได้คะแนนมากกว่า หรือการตรวจจับความผิดปกติ ค้นหาร่องรอยการถูกโจมตี นอกจากนี้จะมีการอบรมผ่าน e-learning ให้กับสมาชิกได้เรียนรู้ทางด้านไซเบอร์ซีเคียวริตี้ได้ตลอด
3.ร่วมกันออกมาตรฐานที่เกี่ยวข้องกับระบบรักษาความปลอดภัยร่วมกับ ธปท. โดยนำสมาชิก TB-CERT มาออกกฎกติการ่วมกัน เป็นข้อดีที่จะนำไปใช้และปฏิบัติได้จริง ซึ่งช่วยยกระดับมาตรฐานความปลอดภัยของภาคธนาคารพอสมควร
4.ให้ความรู้กับประชาชน ถ้ามีเหตุการณ์เกี่ยวกับมิจฉาชีพ จะมีการให้ความรู้ผ่านทางเพจเฟซบุ๊ก TB-CERT อยู่สม่ำเสมอ รวมไปถึงการจัดสัมมนาประจำปี โดยสามารถเข้าร่วมฟังได้
ป้องกัน-ปิดช่องโหว่แทนตามแก้
ตอนนี้ทุกภาคส่วน ทั้งประชาชน ภาคธุรกิจ ภาครัฐ ต้องระวังคือ โจรอาศัยช่องโหว่ทางเทคโนโลยี ส่วนใหญ่องค์กรต่างๆ สามารถซื้อเทคโนโลยีเข้ามาติดตั้งป้องกันภัยได้ แต่จุดอ่อนคือความรู้ความเข้าใจของคน สมมุติถ้าเกิดคนในบ้านเปิดประตูให้คนแปลกหน้าเข้ามา เป็นจุดที่ต้องให้ความตระหนักรู้ความเข้าใจ ถ้าตอนนี้ประชาชนมีความรู้ความเข้าใจด้านไซเบอร์ซีเคียวริตี้มากขึ้นว่าเป็นเรื่องใกล้ตัวและเกิดผลกระทบอย่างรุนแรง สร้างความเข้าใจให้กับประชาชน เช่น การได้รับ SMS หรืออีเมล์แปลกเข้ามา ก็ต้องสงสัยไว้ก่อนว่าทำไมจึงส่งข้อความมาเชื้อเชิญ หรือข่มขู่แบบนี้ทำไมมาบอกว่ามีพัสดุผิดกฎหมายค้างอยู่จากแก๊งคอลเซ็นเตอร์ ดังนั้น ต้องไม่ตื่นตระหนก มีสติ และไม่ต้องไปสนใจ
ในภาคเอกชนและภาครัฐบางหน่วยงานมองว่า การลงทุนด้านไซเบอร์ซีเคียวริตี้เป็นสิ่งที่ฟุ่มเฟือย งบประมาณสูง ไม่มีความจำเป็น โดยเฉพาะองค์กรขนาดกลางและเล็กอาจจะเห็นว่ามีราคาแพงไม่คุ้มทุน แต่สถิติจากบริษัทที่ให้การปรึกษาธุรกิจ ระบุว่า 43% เป้าหมายการโจมตีคือองค์กรขนาดเล็ก ขณะที่องค์กรขนาดใหญ่ที่มีการลงทุนด้านนี้ไม่ตกเป็นเป้าหมายของการโจมตี เพราะเจาะระบบได้ยาก หรือบุคคลทั่วไปซื้อคอมพิวเตอร์มาใช้ ต่อมามีการลงซอฟต์แวร์เถื่อนจากร้านขาย ทำให้ไม่สามารถอัพเดตการป้องกันจากบริษัทซอฟท์แวร์ได้ อาจเห็นว่าเป็นเรื่องเล็กน้อยที่ไม่สำคัญ แต่เมื่อทำงานไปมีข้อมูลสำคัญที่ไว้ใช้ทำธุรกิจ ก็ถูกเข้ารหัสถูกทำให้หายไป ดังนั้น ไปซื้อซอฟต์แวร์ที่ถูกต้องดีกว่า เป็นจุดเล็กน้อยที่ภาคประชาชนต้องให้ความสำคัญ รวมไปถึงการอัพเดตแอพพลิเคชั่นต่างๆ ในมือถืออยู่ตลอดเวลา จะเป็นการเพิ่มความสามารถในการป้องกันไซเบอร์ หรือปิดช่องโหว่ได้ จึงอยากฝากให้ประชาชนตระหนักเรื่องตรงนี้ด้วย ดังนั้น ภาคเอกชนควรลงทุนเรื่องไซเบอร์ซีเคียวริตี้เพื่อไม่ต้องมีปัญหาภายหลัง
เป็นนิมิตหมายที่ดีที่มีหน่วยงาน สกมช.กระตุ้นเตือน ส่งเสริมพัฒนาบุคลากร รวมถึงช่วยรับมือกับภัยไซเบอร์ที่เป็นหน่วยงาน Critical Information Infrastructure (CII) หรือหน่วยงานที่เป็นโครงสร้างพื้นฐานทางสารสนเทศ ทำให้เกิด CERT ที่จะยกระดับร่วมกัน ทำให้เกิดการพูดคุยแลกเปลี่ยนสนับสนุนกันมากขึ้น เวลาเกิดเหตุสามารถรับมือกันได้ และมีหน่วยงานกลางที่ช่วยตอบสนองต่อเหตุการณ์ของประเทศ เป็นประโยชน์ที่ประเทศไทยจะผลักดันเรื่องไซเบอร์ซีเคียวริตี้ได้อีกพอสมควร
