ความมั่นคงทางไซเบอร์ที่จำเป็นต้องทราบ (need to know) ตอนที่ 1

ที่มาภาพ: Highlights from the New U.S. Cybersecurity Strategy https://krebsonsecurity.com/2023/03/highlights-from-the-new-u-s-cybersecurity-strategy/

ปัจจุบันภัยคุกคามจากการโจมตีทางไซเบอร์ทวีความรุนแรง โดย “ผู้ร้าย” มีเงินทุนสนับสนุนเป็นอย่างดีขณะที่ “พื้นที่โจมตี (attack surface)”[1] มีขนาดใหญ่และซับซ้อนมากขึ้นจนเกือบเป็นไปไม่ได้ที่จะป้องกันด้วยการแก้ไขข้อผิดพลาดหรือเสริมความปลอดภัย (patched) อย่างเหมาะสม จึงจำเป็นต้องเปลี่ยนวิธีการตรวจวัดความปลอดภัยทางไซเบอร์แบบถอนรากถอนโคน[2]

เมื่อ 2 มีนาคม 2023 สหรัฐฯได้เผยแพร่ยุทธศาสตร์ความมั่นคงทางไซเบอร์แห่งชาติฉบับใหม่[3] อันเป็นผลสืบเนื่องจากการโจมตีทางไซเบอร์ที่มุ่งเป้าโครงสร้างพื้นฐานสำคัญ (critical infrastructure) ธุรกิจเอกชนและหน่วยงานภาครัฐ เอกสารดังกล่าวยกระดับความมั่นคงทางไซเบอร์ ซึ่งเป็นองค์ประกอบสำคัญของความรุ่งเรืองทางเศรษฐกิจและความมั่นคงแห่งชาติสหรัฐฯ

ขณะเดียวกันทำให้เกิดสถานการณ์ยากลำบากในหมู่ผู้มีส่วนได้เสียในภาคเอกชน ซึ่งประกอบด้วยบริษัทซอฟต์แวร์ ธุรกิจขนาดกลางและขนาดย่อม ผู้ให้บริการบรอดแบนด์และบริษัทสาธารณูปโภคซึ่งถือครองสินค้าสาธารณะ (public good) อันเป็นส่วนสำคัญของ “ความปลอดภัยทางไซเบอร์”

การก่อกวนระบบโครงสร้างพื้นฐานสำคัญ และการขโมยข้อมูลส่วนบุคคลอย่างต่อเนื่อง บ่งชี้ว่ากลไกตลาดเพียงอย่างเดียวไม่เพียงพอที่จะผลักดันให้เกิดการยอมรับแนวทางปฏิบัติที่ดี (best practices) ในการรักษาความปลอดภัยทางไซเบอร์และความสามารถในการกลับสู่สภาพปกติได้อย่างรวดเร็ว (resilience)

การสร้างสุขอนามัยที่ดีทางไซเบอร์ (cyber hygiene) โดยสมัครใจของภาคเอกชนก็ยังไม่เพียงพอ ยุทธศาสตร์ฉบับใหม่ระบุว่าจะสนับสนุนกรอบการกำกับดูแลใหม่ ซึ่งจะแก้ไขความบกพร่องและสร้างแรงจูงใจให้บริษัทเอกชนป้องกันช่องโหว่ที่สำคัญ

การที่รัฐบาลไบเดนให้ความสนใจการเฝ้าระวังทางไซเบอร์ในภาคเอกชน เนื่องจากเหตุการณ์สำคัญทาง   ไซเบอร์ในช่วงที่ผ่านมา ในปี 2017 ข้อมูลส่วนตัวของชาวอเมริกันกว่า 143 ล้านคนซึ่งอยู่ในความดูแลของ Equifax ผู้ให้บริการข้อมูลและสินเชื่อรายใหญ่ของสหรัฐฯถูกแฮ็กเรียกค่าไถ่ นำไปสู่การทำความตกลงกับคณะกรรมาธิการว่าด้วยการค้าแห่งสหพันธรัฐ (Federal Trade Commission)[4] เพื่อชดใช้ค่าเสียหายจำนวน 425 ล้านดอลลาร์สหรัฐแก่ผู้ได้รับผลกระทบ

นักเจาะระบบ (hacker) นิยมใช้ยุทธวิธีโจมตีแบบเรียกค่าไถ่ (ransomware) ซึ่งประสบความสำเร็จและได้ผลตอบแทนคุ้มค่า จากการวิเคราะห์ของ Comparitech ระบุว่าการเรียกค่าไถ่บริษัทอเมริกันในปี 2018 – 2023 มีมูลค่าสูงถึง 20,900 ล้านดอลลาร์สหรัฐ โดยในปี 2022 บริษัทอเมริกันถูกเรียกค่าไถ่เฉลี่ย 4.15 ล้านดอลลาร์สหรัฐ

ในปี 2021 Colonial Pipeline บริษัทขนส่งน้ำมันและเชื้อเพลิงรายใหญ่ (ประมาณวันละ 2.5 ล้านบาร์เรล) หรือร้อยละ 45 ของเชื้อเพลิงที่ใช้ในภาคตะวันออกของสหรัฐฯถูกโจมตีด้วยแรนซัมแวร์ นับเป็นการโจมตีโครงสร้างพื้นฐานสำคัญด้านน้ำมันครั้งใหญ่ที่สุดที่เปิดเผยต่อสาธารณะ

ผู้ก่อเหตุคือ แฮกเกอร์ DarkSide ในรัสเซียได้ขโมยข้อมูล 100 กิกะไบต์โดยใช้เวลาเจาะระบบสองชั่วโมง และเรียกค่าไถ่เป็นสกุลเงินดิจิทัล (cryptocurrency) ซึ่งติตามร่องรอยได้ยากจำนวน 75 bitcoins (มูลค่าประมาณ 5 ล้านดอลลาร์สหรัฐ) หลังจากนั้น Colonial Pipeline ยินยอมจ่ายค่าไถ่ภายในเวลาไม่กี่ชั่วโมง

เศรษฐกิจสหรัฐฯยังขาดภูมิคุ้มกัน จากการสำรวจในปี 2021 โดย Center for Strategic & International Studies ระบุว่าร้อยละ 42 ของธุรกิจขนาดกลางและขนาดเล็กถูกโจมตีทางไซเบอร์ ในช่วงสองปีที่ผ่านมาอัตราการโจมตีธุรกิจเหล่านี้เพิ่มขึ้นร้อยละ 150

ปริมาณข้อมูลและรายได้จากการเรียกค่าไถ่จากบริษัทเหล่านี้อาจต่ำกว่าบริษัทขนาดใหญ่เช่น Microsoft เนื่องจากบริษัทขนาดกลางและขนาดเล็กมีทรัพยากรน้อยกว่าในการรักษาความปลอดภัยทางไซเบอร์ ในบางกรณีบริษัทเหล่านี้ไม่มีทรัพยากรเฉพาะสำหรับการรักษาความมั่นคงทางไซเบอร์

เอกสาร “ยุทธศาสตร์ตวามมั่นคงทางไซเบอร์แห่งชาติ” สหรัฐฯจำนวน 39 หน้าประกอบด้วยคำศัพท์ราชการเกี่ยวกับกฎระเบียบต่าง ๆ เช่น การประสมกลมกลืน (harmonize) ผู้มีส่วนได้เสีย (stakeholder) และพหุพาคี (multilateral) ประเด็นสำคัญที่ผู้นำองค์กรธุรกิจเอกชนจำเป็นต้องทราบ คือ

ประการแรก ทุกบริษัทต้องระบุจุดอ่อนและความเสี่ยงของตน ถึงเวลาแล้วที่บริษัทต่าง ๆ ต้องดำเนินมาตรการเชิงรุกเพื่อทดสอบและทำความเข้าใจภูมิทัศน์ภัยคุกคาม ตรวจหาช่องโหว่และทดสอบเจาะระบบเพื่อระบุจุดเชื่อมต่อที่เป็นไปได้ โดยว่าจ้าง “ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ (ethical hackers)” เพื่อจำลองการโจมตีทางไซเบอร์และเปิดเผยให้เห็นวิธีการของฝ่ายตรงข้ามในการเข้าถึงข้อมูล/ก่อกวนเครือข่าย นอกจากนี้ ยังต้องตรวจสอบผู้จัดหาซอฟต์แวร์เพื่อลดความเสี่ยงจากการโจมตีผ่านห่วงโซ่อุปทาน

ประการที่สอง บริษัทต่าง ๆ จำเป็นต้องปรับใช้มาตรการจัดการช่องโหว่ของห่วงโซ่อุปทาน โดยใช้ประโยชน์จากความร่วมมือระหว่างภาครัฐและเอกชนในการแบ่งปันข้อมูล แนวทางปฏิบัติและสนับสนุนการสำรวจสภาพแวดล้อมภัยคุกคามทางไซเบอร์ โดยใช้มาตรการป้องกันและเสริมความปลอดภัย ฝึกอบรมด้านความปลอดภัยแก่พนักงานโดยรวมเครื่องมือตรวจจับความผิดปกติเข้าด้วยกัน ขณะที่มั่นใจว่ามีแผนรับมือที่สามารถลดขนาดและอันตรายของการเจาะระบบ

ประการที่สาม บริษัทต่าง ๆ ต้องยอมรับว่า ไม่มีมาตรการความปลอดภัยทางไซเบอร์แบบเดียวที่เหมาะสมกับทุกองค์กร (one size will not fit all) ยุทธศาสตร์ฉบับบนี้มุ่งเน้นการสร้างมาตรฐานการกำกับดูแลที่เข้มงวดสำหรับธุรกิจขนาดใหญ่ โครงสร้างพื้นฐานที่สำคัญและผู้ให้บริการซอฟต์แวร์ โดยระบุว่า “การขาดข้อกำหนดที่จำเป็นไม่เพียงพอที่จะทำให้เกิดผลลัพธ์และความสม่ำเสมอ” รวมทั้งจะผลักดันการออกกฎหมายให้บริษัทเหล่านี้ “ต้องรับผิดชอบดูแลผู้บริโภค ธุรกิจหรือบริการโครงสร้างพื้นฐานที่สำคัญ”

ในทางกลับกัน บริษัทเหล่านี้อาจพยายามกำหนดกฎหมายและความรับผิดชอบ ธุรกิจขนาดใหญ่มีเดิมพันสูงและทรัพยากรมากกว่าในการแก้ไขช่องโหว่ ส่วนธุรกิจขนาดเล็กแม้ไม่ได้ตกเป็นเป้าแต่ก็หลีกเลี่ยงไม่ได้และควรหาโอกาสในการทำงานร่วมกัน เช่น โครงการริเริ่มสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institutes of Standards and Technology) ที่เพิ่งเปิดตัวเพื่อส่งเสริมการสื่อสารระหว่างธุรกิจขนาดเล็ก[5]

ผลกระทบที่เป็นรูปธรรมของยุทธศาสตร์ความมั่นคงทางไซเบอร์แห่งชาติฉบับใหม่ต่ออุตสาหกรรมอเมริกันมีปัญหาซ่อนอยู่ภายใน (the devil will be in the details) เอกสารฉบับนี้ประกอบด้วยเสาหลักและเป้าหมายที่เราคาดหวัง เนื่องจากพื้นที่ไซเบอร์เป็นแกนสำคัญของเศรษฐกิจสหรัฐฯ กลเม็ดในการปฏิบัติจะต้องคำนึงถึงความ  ท้าทายที่เป็นจริงในการระบุและแก้ไขช่องโหว่ ตลอดจนความเสี่ยงที่ไม่เพียงส่งผลกระทบต่อปัจเจกบุคคล แต่ยังรวมถึงเศรษฐกิจโลกด้วย



[1] ทรัพย์สินขององค์กรที่บุคคลภายนอกสามารถมองเห็นและเข้ามาโจมตีจากภายนอกได้ โดยครอบคลุมถึงบริษัทย่อยและบริษัทในเครือตลอดจน IP Address, Domain, Certificate, Cloud Infrastructure, Physical

[2] Cyber Risk Is Growing. Here’s How Companies Can Keep Up by Michael Chertoff Harvard Business Review  April 13, 2023 Available at: https://hbr.org/2023/04/cyber-risk-is-growing-heres-how-companies-can-keep-up?utm_medium=email&utm_source=newsletter_daily&utm_campaign=dailyalert_notactsubs&deliveryName=DM268614

[3] PDF Available at: https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

[4] ประกอบด้วยคณะกรรมาธิการที่มาจากการแต่งตั้งของประธานาธิบดีและรับรองโดยสภาสูงจำนวน คน ไม่เกิน คนจะต้องมาจากสมาชิกพรรคการเมืองต่างพรรค ต้องไม่มีความเกี่ยวข้องกับธุรกิจการ ประกอบอาชีพและการรับจ้างใด ๆ ประธานาธิบดีแต่งตั้งคณะกรรมาธิการ คนใน คนทำหน้าที่ประธานคณะกรรมาธิการโดยประธานาธิบดีมีอำนาจถอดถอนกรรมาธิการออกจากตาตำแหน่งได้

[5] What Business Needs to Know Know About the New U.S. Cybersecurity Strategy by Sarah Kreps and Amelia C. Arsenault Harvard Business Review April 14, 2023 Available at: https://hbr.org/2023/04/what-business-needs-to-know-about-the-new-u-s-cybersecurity-strategy?utm_medium=email&utm_source=newsletter_daily&utm_campaign=dailyalert_notactsubs&deliveryName=DM269330

 

Author Image

About Kim
Kim is a retired civil servant, specializing in intelligence analysis. He loves productivity hacks, minimalist workflows and CSI series.

No comments

Powered by Blogger.