เมื่อเดือนพฤษภาคม พ.ศ. 2560 WannaCry มัลแวร์เรียกค่าไถ่ (ransomware) เข้าโจมตีเครื่องคอมพิวเตอร์ระบบปฏิบัติการวินโดวส์ที่ไม่ได้อัปเดต เพื่อเรียกค่าไถ่จากเจ้าของข้อมูล ไวรัสตัวนี้แพร่ระบาดและสร้างความเสียหายให้กับระบบโรงงานรถยนต์ โรงพยาบาล ห้างร้าน และโรงเรียนในกว่า 150 ประเทศ

ไม่เพียงรายย่อยที่เป็นเหยื่ออาชญากรรมคอมพิวเตอร์ กระทั่งบริษัทเทคโนโลยีดาวเด่น ที่หลายคนเชื่อมั่นในเรื่องความไฮเทคอย่าง Uber ก็ปรากฏข่าวเมื่อปลายปี 2017 ว่า มีแฮ็กเกอร์เข้าไปล้วงเอาข้อมูลส่วนตัวของผู้ใช้ 57 ล้านบัญชีทั่วโลกจากระบบมาตั้งแต่เดือนตุลาคม ปี 2016 ข้อมูลที่ได้ไปก็มีทั้งข้อมูลชื่อ อีเมล และเบอร์โทรศัพท์ และยังรวมถึงข้อมูลส่วนตัวของคนขับ Uber อย่างหมายเลขใบอนุญาตขับขี่ราวๆ 600,000 ราย

เมื่อการแข่งขันทางธุรกิจในปัจจุบันต้องอิงอยู่กับเรื่อง ‘ข้อมูล’ ‘การเชื่อมต่อ’ และ ‘เครือข่าย’ มากขึ้นเรื่อยๆ และการเชื่อมโยงนั้นนำไปสู่ความเสี่ยงและภัยคุกคามที่ต้องกัดฟันเผชิญหน้า นี่จึงเป็นอีกประเด็นที่ถูกหยิบยกขึ้นมาในการประชุมสุดยอดผู้นำธุรกิจในอาเซียนหรือ บลูมเบิร์ก อาเซียน บิสสิเนส ซัมมิต (Bloomberg ASEAN Business Summit) ครั้งที่ 4 เมื่อวันที่ 12 ก.ค. 61 ที่โรงแรมสยามเคมปินสกี้ ในหัวข้อ ‘Cybersecurity and the boardroom’ โดยมีนาวีน เมนอน (Naveen Menon) ประธานประจำภูมิภาคอาเซียนของซิสโก้ บริษัทผู้ให้บริการด้านระบบเครือข่ายสำหรับอินเทอร์เน็ต อุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์ มาเป็นวิทยากร ตอบข้อซักถามของผู้สื่อข่าว แฮสลินดา อามิน (Haslinda Amin) จากบลูมเบิร์ก เทเลวิชัน

อาเซียน : การเชื่อมต่อที่แสนเปราะบาง

ก่อนจะมาโฟกัสกันที่อาเซียน ภาพรวมของความมั่นคงไซเบอร์ในภาคธุรกิจทั่วโลกก็น่าเป็นห่วง รายงานจากซิสโก พบว่าในปี 2017 มีเหตุแจ้งเตือนความปลอดภัยมากมายที่ไม่ได้นำไปสู่การตรวจสอบหาสาเหตุ ซึ่งอาจสร้างความเสี่ยงทางธุรกิจต่อไป และหลายๆ กรณีก็ยังคงค้างคามาจนถึงปัจจุบัน

ในจำนวน 93 เปอร์เซ็นต์ขององค์กรที่ได้รับคำเตือนเรื่องความปลอดภัย 44 เปอร์เซ็นต์ในนั้นไม่มีการตรวจสอบ และ 56 เปอร์เซ็นต์ของกรณีที่ได้รับการตรวจสอบ กลับพบว่ามีแค่ 51 เปอร์เซ็นต์ที่ได้รับการการแก้ไข ทำให้มีปัญหามากถึงครึ่งที่ยังถูกปล่อยให้ตกค้างและสร้างความเปราะบางให้กับตัวองค์กร

นาวีน เมนอน บอกว่า ในขณะที่การเชื่อมต่อเพิ่มมากขึ้นในภูมิภาคอาเซียน แต่อัตราการเติบโตของระบบรักษาความปลอดภัยไซเบอร์กลับไม่เพิ่มขึ้นเท่าใดนัก ทำให้เกิดช่องว่างขนาดใหญ่

“มีการเพิ่มเครือข่ายและอุปกรณ์เข้าไปในระบบ แต่ไม่ลงทุนกับการรักษาความปลอดภัยมากพอเพื่อตามทันภัยคุกคาม ก็จะเพิ่มโอกาสให้แฮ็กเกอร์เข้ามาโจมตี” เมนอนกล่าว และบอกว่าจากการสำรวจค่าใช้จ่ายในระบบความมั่นคงปลอดภัยไซเบอร์ พบว่าอาเซียนใช้จ่ายให้กับเรื่องนี้เพียง 0.08% ของจีดีพี เทียบกับประเทศอิสราเอล ที่ใช้เงิน 0.36% ของจีดีพี นั่นก็ต่ำกว่าถึงราวๆ 4 เท่า ส่วนค่าเฉลี่ยของโลกอยู่ที่ 0.1-0.16% ของจีดีพี

ซึ่งเมนอนสรุปว่า ตัวเลขของอาเซียนถือเป็นการใช้จ่ายที่น้อยเกินควร หรือ underspending แต่การ ใช้งบประมาณไปกับเรื่องนี้ก็เป็นแค่ประเด็นหนึ่งในหลายๆ ประเด็นที่เกี่ยวข้อง ที่น่าเป็นห่วงคือ เราหลายคนอาจประเมินความเสี่ยงนี้ต่ำไป

“เมื่อเกิดการโจมตี คนอาจจะแค่ตรวจสอบระบบแล้วแก้ไข แต่สิ่งที่เกิดขึ้นเมื่อการโจมตีนั้นทำให้ข้อมูลรั่ว คือลูกค้าจะเสียความเชื่อมั่นในตัวองค์กรคุณ ไม่ว่าจะเป็นบริษัทขนาดใหญ่ ผู้ประกอบการขนาดเล็ก หรือหน่วยงานรัฐ หากเป็นบริษัทใหญ่ก็อาจส่วนเสียฐานลูกค้า ถ้าเป็นบริษัทเล็กก็อาจเป็นหายนะ และถ้าเป็นหน่วยงานรัฐ ก็อาจเป็นปัญหาระดับประเทศ”

แฮ็กเกอร์ร่วมใจ องค์กรต้องร่วมมือกัน

เมนอนกล่าวต่อว่า สิ่งที่น่ากังวลมากก็คือ การทำงานประสานความร่วมมือกันระหว่างแฮ็กเกอร์ ที่มีการดำเนินงานเหมือนกลุ่มองค์กร หรือเรียกว่าเป็นอาชญากรรมจัดตั้ง ซึ่งเป็นความท้าทายของโลกในปัจจุบัน หรือบางกรณีก็มีปัญหาถึงขั้นการก่อการร้ายไซเบอร์ (cyberterrorism)

“คนชอบพูดถึงการแฮ็กองค์กรคู่แข่งทางธุรกิจ นั่นเป็นกรณีที่เกิดขึ้นเป็นส่วนน้อยมากๆ สัดส่วนน้อยนิดเมื่อเทียบกับสิ่งที่เกิดขึ้นทั้งหมด”

เมนอนบอกว่า ความร่วมมือระหว่างองค์กรธุรกิจจะช่วยบรรเทาปัญหานี้ได้ ในเมื่อแฮ็กเกอร์ทำงานเป็นกลุ่ม บริษัทต่างๆ ก็ร่วมมือกันแชร์ข้อมูลได้

อามิน ผู้สื่อข่าวตั้งข้อสังเกตว่า “แต่ก็จะเกิดคำถามว่า ทำไมต้องเชื่อใจอีกฝ่ายด้วย”

“อย่างแรก ต้องให้ความรู้ความเข้าใจในเรื่องความมั่นคงไซเบอร์ ทั้งกับสาธารณชน รัฐ และบริษัทต่างๆ อย่างผู้บริการ เพราะการศึกษาเป็นเรื่องสำคัญมาก

“สองคือ เราต้องแบ่งแยกความแตกต่างระหว่าง ‘การแชร์ข้อมูล (data)’ กับ ‘การแชร์ปัญญา (intelligence)’” เมนอนกล่าว

“ความแตกต่างพื้นฐานที่สุดก็คือ เมื่อเราแชร์ข้อมูล หลายๆ ประเทศบัญญัติแล้วว่าการกระทำเช่นนั้นเป็นเรื่องผิดกฎหมาย เพราะมันอาจเกี่ยวข้องกับการเผยแพร่ข้อมูลส่วนตัวหรือข้อมูลขององค์กร แต่ในที่นี้ เราหมายถึงการแชร์ Threat Intelligence (ข้อมูลภัยคุกคาม) ซึ่งก็คือ สิ่งที่คุณได้เรียนรู้จากการโจมตีทางไซเบอร์ เช่น รูปแบบการทำงานของมัลแวร์ที่คุณได้พบ หรือวิธีการเดินทางของมัลแวร์ผ่านเครือข่ายเข้าสู่อุปกรณ์ของคุณ นั่นคือ ‘ปัญญา’ ซึ่งเราสามารถแชร์กันได้ระหว่างองค์กรธุรกิจ”

‘นโยบายร่วม’ คือกุญแจสำคัญ

อามินย้อนไปตั้งคำถามกับประเด็นแรกที่เมนอนกล่าวว่า ภูมิภาคอาเซียนลงทุนกับเรื่องนี้น้อยเกินไป เธออยากรู้ว่าประเทศไหนที่ใช้จ่ายกับเรื่องนี้น้อยเกินไปที่สุด

“หลักๆ แล้วคืออินโดนีเซีย ประเมินแล้วโดยเฉลี่ยควรจะใช้จ่ายประมาณ 24 พันล้านดอลลาร์สหรัฐ ส่วนมาเลเซียคือ 9.1 พันล้านดอลลาร์ ไทยอยู่ที่ 9.11 พันล้านดอลลาร์ (ปี 2017 ไทยใช้จ่ายเพียง 212 ล้านดอลลาร์สหรัฐ) ฟิลิปปินส์ 8.8 พันล้านดอลลาร์”

หลายประเทศในอาเซียนมีนโยบายที่ออกมารับมือกับเรื่องนี้แตกต่างกันไปเป็นเอกเทศ ต่างจากประเทศในกลุ่มอียูที่กำหนดนโยบายความมั่นคงไซเบอร์ร่วมกัน

“เมื่อคุณมีนโยบายแล้ว จากนั้นก็คือการออกกฎหมาย กฎหมายนี้ก็แบ่งออกเป็นกฎหมายความมั่นคงไซเบอร์ (cybersecurity law) และกฎหมายอาชญากรรมไซเบอร์ (cybercrime law) ถ้าหากมีเหตุการณ์ข้อมูลรั่วไหล ตอนนี้ในหลายๆ ประเทศยังไม่มีกฎหมายความมั่นคงไซเบอร์ที่จะทำให้เราเดินหน้าไปฟ้องร้องใครได้ ในขณะที่มีการนิยามและจัดการกับอาชญากรรมไซเบอร์แล้ว เพราะมองว่ามันคือการกระทำผิดกฎหมายอาญา” เมนอนกล่าว

อามีนเสริมตัวอย่างปัญหาว่า “กรณีสิงคโปร์ที่เจอการโจมตีไซเบอร์ 40,000 ครั้งในระยะเวลา 21 ชั่วโมง” ซึ่งเธอหมายถึงช่วงเวลาระหว่างการพบปะของคิมและทรัมป์ในวันที่ 12 มิถุนายน 2561

เมนอนตอบว่า จำนวนนี้อาจจะฟังดูเยอะ แต่ในความเป็นจริงแล้ว แต่ละวัน ซิสโกตรวจจับภัยคุกคามเหล่านี้ออกมาได้ราว 20,000 ล้านครั้งต่อวัน เทียบกับจำนวนการค้นหาคำในกูเกิลที่มีจำนวน 6,700 ล้านครั้งต่อวันทั่วโลก เพราะฉะนั้นภัยคุกคามที่เราตรวจเจอคือสามเท่าของการเสิร์ชคำในกูเกิลเลยนะ”

เมนอนบอกว่าการจัดการกับภัยเหล่านี้ ส่วนใหญ่รับมือด้วยปัญญาประดิษฐ์ (AI) และอัลกอริทึม และในจำนวนน้อยต้องจัดการโดยทีมผู้เชี่ยวชาญด้านการแฮ็กโดยเฉพาะ

“ถ้าคุณไปใช้สัญญาณ wi-fi ในที่สาธารณะ ผู้คนมักโดนภัยคุกคามทางไซเบอร์เป็นเรื่องปกติ และสิงคโปร์ก็ถือเป็นประเทศที่เตรียมตัวรับมือเรื่องนี้ได้ดี”

เขากล่าวสรุปประเด็นอีกครั้งว่า สิ่งที่องค์กรธุรกิจในอาเซียนต้องตระหนัก ประกอบด้วยสี่ส่วน

“อย่างแรกก็คือการแชร์ข้อมูลกัน สองคือ การนำเอามาตรฐานต่างๆ มาปรับใช้ สามคือ การเพิ่มความตระหนักรู้เกี่ยวกับเรื่องนี้ให้มากขึ้นในอาเซียน สุดท้ายคือการสร้างแรงงานมีทักษะที่เชี่ยวชาญด้านนี้

“เราพบว่า เฉพาะในมาเลเซีย ยังขาดแรงงานมีทักษะในสายอาชีพความมั่นคงไซเบอร์ถึง 4,000 ตำแหน่ง นั่นคือจำนวนมหาศาลที่จะต้องสร้างขึ้นมา”

แต่แรงงานมีทักษะด้านภัยความมั่นคงไซเบอร์นี้จะมาจากไหน ผู้สื่อข่าวถาม

“อย่างแรกที่ต้องทำก็คือ ทำให้ใครๆ ตระหนักเรื่องนี้ให้มากขึ้น สร้างบทสนทนาเรื่องนี้แม้กระทั่งกับเด็กประถม-มัธยม เพื่อให้พวกเขาได้ระมัดระวังเกี่ยวกับการแชร์สิ่งต่างๆ ในโลกอินเทอร์เน็ต และเมื่อถึงระดับอุดมศึกษาหรือสถาบันโปลีเทคนิค พวกเขาก็จะได้เรียนรู้เรื่องเหล่านี้เพื่อเข้าสู่สายอาชีพ

“ปัจจุบัน มีปรากฏการณ์ทางเศรษฐกิจที่ mid-career professionals (คนที่ทำงานในสายอาชีพมาเกิน 10 ปี) ต้องเผชิญกระบวนการเปลี่ยนผ่านสู่ระบบเศรษฐกิจดิจิทัลได้กระทบการงานของพวกเขา ไม่ว่าจะเป็นปัญญาประดิษฐ์หรือเทคโนโลยีอื่นๆ พวกเขาจำเป็นที่จะต้องโอนย้ายไปยังสายอาชีพอื่นๆ

“นี่เป็นโอกาสที่ดีที่พวกเขาจะเรียนรู้ทักษะใหม่ (re-skill) และฝึกฝนงานใหม่ แล้วย้ายพวกเขามาสู่อุตสาหกรรมรักษาความมั่นคงไซเบอร์” ซึ่งเมนอนมองว่า กระบวนการสร้างแรงงานนี้ สามารถอาศัยมาตรการจากทั้งระดับบุคคล องค์กร และรัฐ

คำถามของความปลอดภัย

ประธานประจำภูมิภาคอาเซียนของซิสโก้กล่าวทิ้งท้ายในประเด็นสำคัญสำหรับภาคธุรกิจว่า

“คำแนะนำสำหรับผู้ที่อยู่ในห้องนี้ก็คือ “ตั้งคำถามให้ถูก” ปัญหาที่ผู้บริหารมีร่วมกันในหลายๆ ที่ก็คือ พวกเขาไม่รู้ว่าจะตั้งคำถามอะไรให้ตรงจุด เรามักจะเจอคำถามปลายปิดที่ต้องการคำตอบประเภท ใช่หรือไม่? อย่าง “ระบบของเราปลอดภัยไหม” ซึ่งไม่เพียงพอ

“สิ่งที่เราอยากเห็นก็คือ คำถามปลายเปิดที่ทำให้ได้รายละเอียด เช่น คำถามว่า ‘มีข้อมูลธุรกิจของเราอยู่บนคลาวด์มากแค่ไหน และมีข้อมูลที่บันทึกอยู่ในระบบภายในมากแค่ไหน’ ”

ผู้สื่อข่าวถามกลับว่า “แล้วมันควรมีมากแค่ไหน”

“มันไม่มีคำตอบที่ถูก เพราะขึ้นอยู่กับกลยุทธ์ของแต่ละบริษัท” เมนอนกล่าวและย้ำว่า “การได้มีบทสนทนานั้นสำคัญกว่าการได้มาซึ่งคำตอบที่ถูกต้อง และการยกระดับบทสนทนานี้ไปสู่ระดับบอร์ดบริหาร ยิ่งเป็นสิ่งที่ควรทำ …แน่นอนว่า เราไม่ต้องรายงานเหตุการณ์โจมตีทางไซเบอร์ทุกครั้งไปสู่บอร์ด มันควรจัดการได้ในระดับปฏิบัติการอยู่แล้ว แต่จะมีประเด็นระดับนโยบาย ที่บอร์ดจะสามารถคิดหาทางแก้ปัญหาให้ได้ ถ้าเกิดมีการตั้งถามคำถามที่ถูกต้อง”

“แล้วเรื่องการใช้งานคลาวด์ละ ปัจจุบันนี้ปลอดภัยแค่ไหน”

“ผมว่าไม่ใช่แค่เรื่องคลาวด์ แต่มันเกี่ยวกับอินเทอร์เน็ตแห่งสรรพสิ่ง (IoT) ทุกอย่างที่ถูกเชื่อมต่อกับอินเทอร์เน็ตต่างก็มีโอกาสจะเจอภัยคุกคาม เพราะฉะนั้น ไม่ว่าจะเพิ่มข้อมูลลงไปในคลาวด์ หรือเชื่อมต่อเซนเซอร์เข้ากับพื้นที่โรงงาน คุณจะปกป้องมันอย่างไร

“คำตอบคือคุณต้องการการป้องกันในหลายระดับ ซึ่งอย่างแรกก็เริ่มต้นจากเครือข่าย ทุกๆ ชุดข้อมูลที่อยู่ในเครือข่ายอาจมีโอกาสบรรจุมัลแวร์เอาไว้ ข้อมูลส่วนใหญ่ในอินเทอร์เน็ต หรือเครือข่ายขององค์กรมีการเข้ารหัสเอาไว้ (encrypted) แฮ็กเกอร์รู้เรื่องนี้ดี พวกเขาเลยใส่มัลแวร์เข้าไปในข้อมูลเข้ารหัสเหล่านี้ คุณจะเจอมัลแวร์ได้อย่างไรโดยไม่ถอดรหัสมันออก (decrypt) เพราะการทำอย่างนั้นเป็นเรื่องผิดกฎหมายในหลายประเทศ เราจึงต้องมีการพัฒนาเทคโนโลยีขึ้นมาตรวจจับมัลแวร์เหล่านี้ โดยที่ไม่ทำผิดกฎหมายนานาชาติไปด้วย ในขณะที่หลายๆ บริษัทยังคงใช้เทคโนโลยีที่สุ่มตรวจจับตัวอย่าง ซึ่งไม่เพียงพอ เพราะจะเจอมัลแวร์ได้ คุณต้องตรวจทุกๆ กล่องข้อมูล”

“สิ่งที่อยากเตือนก็คือ เจ้าของโรงงานต่างๆ ที่ปัจจุบันเครื่องไม้เครื่องมือได้เชื่อมต่อกับเครือข่ายเพื่อจะได้อัปเกรดระบบ จะต้องหมั่นเช็กความปลอดภัยอยู่เสมอ และต้องแน่ใจว่าได้รวมเอาประเด็นเรื่องความมั่นคงไซเบอร์ใส่เข้าไปในการออกแบบด้วย”

Tags: , , , , , ,