Innovation

ข้อแนะนำสำหรับหน่วยงานรัฐเพื่อความมั่นคงปลอดภัยไซเบอร์

381Views

ความแพร่หลายของอุปกรณ์สื่อสารเคลื่อนที่และ IoT ที่เชื่อมต่ออุปกรณ์ต่างๆ เข้าด้วยกันบนเครือข่ายอินเทอร์เน็ตที่เพิ่มขึ้นอย่างต่อเนื่องนั้น นักวิเคราะห์คาดการณ์ว่าจากบัดนี้ไปจนถึงปี 2020 จำนวนของอุปกรณ์เชื่อมต่อจะเพิ่มขึ้นจาก 13.5 พันล้านหน่วยเป็น 38.5 พันล้านหน่วย โดยมีอัตราการเติบโตถึง 285 เปอร์เซ็นต์ จนทำให้รัฐบาลกลางของประเทศสหรัฐอเมริกาใช้เงินเกือบ 35 พันล้านเหรียญสหรัฐในเรื่องโซลูชั่นความปลอดภัย IoT ตั้งแต่ปีงบประมาณ 2011 ถึง 2015 ทั้งโรงไฟฟ้า เมืองอัจฉริยะและกล้องวงจรปิดที่เป็นเพียงส่วนหนึ่งของการใช้งานที่เชื่อมต่อหน่วยงานรัฐกับภาคอุตสาหกรรม

แต่ด้วยการเติบโตของอุปกรณ์ smartphone และ IoT ทำให้ฝ่ายตรงข้ามอาจจะใช้ประโยชน์จากช่องโหว่ในการโจมตีทางไซเบอร์ได้ง่ายขึ้น และอุปกรณ์ที่เชื่อมต่อกับ IoT มักจะเป็นต้นเหตุที่จะก่อให้เกิดภัยคุกคามต่อเครือข่าย ซึ่งเป็นเรื่องที่ควรใส่ใจสำหรับอุปกรณ์ของภาครัฐที่อาจจะมีส่วนทำให้เกิดความเสี่ยงต่อเรื่องความมั่นคงปลอดภัยไซเบอร์ระดับชาติได้

จากรายงานของการโจมตี IoT ในภาคเอกชนทั่วโลกกลายเป็นเรื่องปกติไปแล้ว โดยการโจมตีได้ใช้ botnet ขนาดใหญ่ในการโจมตีแบบ DDOS ซึ่งจากรายงานในช่วง 2-3 เดือนที่ผ่านมาพบว่า ผู้โจมตีได้ใช้อุปกรณ์ IoT ในการโจมตีจากระยะไกลโดยใช้ช่องโหว่ใน OpenSSH ที่มีชื่อว่า SSHowDowN Proxy  ด้วยการเริ่มจากอุปกรณ์กล้องวงจรปิดและอุปกรณ์เชื่อมต่อ router และ hotspot โดยในทันทีที่มีผู้ไม่ประสงค์ดีได้เข้าถึงการควบคุมเวบไซต์ ก็จะสามารถได้ข้อมูลในอุปกรณ์ทุกอย่าง จนสามารถยึดอุปกรณ์นั้นๆ ในการปฏิบัติการโจมทีได้ในทันที

อย่างไรก็ตามที่ยังโชคดีที่การโจมตีทาง IoT หลักๆ แล้วยังไม่ได้เกิดขึ้นกับภาครัฐ แต่เพื่อป้องกันการโจมตีดังกล่าวแล้ว รัฐบาลต้องเรียนรู้จากช่องโหว่ของ smartphone และ IoT ที่เกิดขึ้นกับภาคเอกชน ซึ่งเป็นเรื่องที่มากกว่าแค่เรื่องการปรับใช้กฎระเบียบด้านความมั่นคงปลอดภัยไซเบอร์ที่เข้มงวดขึ้น ซึ่งภาครัฐควรมีแนวทางดังนี้
ปรับปรุงโครงสร้างพื้นฐานไอทีอยู่เสมอ – โดยทั่วไปเราจะพบว่า หน่วยงานรัฐได้ใช้จ่ายเงินจำนวนมากในการบำรุงรักษาระบบไอทีที่โบราณ โดยระบบของรัฐบาลส่วนใหญ่นั้นได้รับการออกแบบมาเกิน 10 ปีแล้วโดยไม่ได้มีการคาดการณ์ว่าจะสามารถเชื่อมต่อกับเครือข่ายหรือเวบใดๆ ดังนั้นโครงสร้างพื้นฐานของรัฐบาลที่ล้าสมัยต้องเผชิญกับความท้าทายในการจัดการเรื่องอุปกรณ์เชื่อมต่อ IoT โดยยังไม่ต้องพูดถึงเรื่องความมั่นคงปลอดภัยทางไซเบอร์ในการปกป้องอุปกรณ์ดังกล่าวเลย การทำให้เทคโนโลยีเก่าให้ทันสมัยนั้นเป็นขั้นแรกที่ต้องทำเพื่อใช้ประโยชน์จาก IT ให้ได้มากที่สุดและเพื่อให้มั่นใจได้ว่ามีการปกป้องที่เพียงพอ
สร้างบุคลากรที่มีคุณภาพ – การฝึกฝนอบรมพนักงานเจ้าหน้าที่ให้มีความตระหนักในเรื่องความมั่นคงปลอดภัยไซเบอร์ จะมีผลดีอย่างมากต่อเรื่องความมั่นคงปลอดภัยไซเบอร์ ซึ่งอาจจะเริ่มตั้งแต่การจัดการกับภัยคุกคามภายในเพื่อให้มั่นใจว่าพนักงานและเจ้าหน้าที่จะรู้ว่าอะไรควรทำเมื่อพบว่ามีการละเมิดเรื่องความมั่นคงปลอดภัยไซเบอร์ และด้วยอุปกรณ์ที่เชื่อมต่อ IoT จำนวนมากในอนาคตอันใกล้ จึงหมายความว่าต้องเพิ่มการควบคุมการเข้าถึงระบบควบคุมในอุตสาหกรรมต่างๆ เพื่อที่จะได้ให้เฉพาะพนักงานที่มีระดับชั้นความลับสามารถเข้าถึงข้อมูลสำคัญได้
ร่วมมือกับภาคเอกชน – ปัญหาส่วนหนึ่งของเรื่องความมั่นคงปลอดภัยไซเบอร์ คือผู้ผลิตกำลังนำอุปกรณ์ IoT เข้าสู่ตลาดโดยที่ยังไม่ได้รับการตรวจสอบมาตรฐานความปลอดภัยอย่างถูกต้อง ก่อนที่จะเชื่อมต่อเข้ากับเครือข่าย ซึ่งอุปกรณ์ IoT จำนวนมากได้รับการป้องกันจากรหัสผ่านที่ได้จากโรงงานผลิต ซึ่งเป็นเรื่องง่ายสำหรับแฮกเกอร์ในการโจมตี แต่เป็นสิ่งสำคัญที่รัฐบาลจะต้องตระหนักถึงช่องโหว่ใน smartphone และ IoT ที่ส่งผลกระทบต่อภาคเอกชนและเปิดกว้างในการมีส่วนร่วมกับหน่วยงานและองค์กรอื่นถ้าจำเป็น
พัฒนากลยุทธ์คลาวด์ – ระบบคลาวด์ (Cloud computing) เป็นสิ่งจำเป็นสำหรับการใช้งาน IoT ในระดับรัฐบาลในอนาคตอันใกล้ โดยตลาดบริการคลาวด์ทั่วโลกกำลังเติบโตอย่างรวดเร็ว เมื่อหน่วยงานต่างๆใช้เซ็นเซอร์ IoT เซ็นเซอร์เหล่านี้จะสร้างข้อมูลจำนวนมากเก็บไว้ในระบบคลาวด์ และเครื่องมือการพัฒนาภายใต้รูปแบบ Infrastructure-as-a-Service (IaaS) ดังนั้น หน่วยงานต่างๆ ต้องมั่นใจว่ากลยุทธ์การจัดเก็บข้อมูลและการรักษาความมั่นคงปลอดภัยในระบบคลาวด์จะช่วยให้สามารถจัดการและปกป้องข้อมูลจำนวนมากที่เกิดจากเซนเซอร์ IoT ได้
เชื่อมช่องว่างระหว่างเทคโนโลยีการดำเนินงาน (Operational Technology, OT) และ เทคโนโลยีสารสนเทศ (Information Technology, IT) –คนทำงานด้านเทคโนโลยีสารสนเทศ (IT) กับเทคโนโลยีการดำเนินงาน มีการรับรู้ในเรื่องความเสี่ยงที่แตกต่างกันอย่างมาก ตามรายงานจาก Industrial Internet Consortium (IIC) ที่ว่า “ความยืดหยุ่นในด้าน IT มีความสำคัญน้อยกว่าในเรื่องของ OT และเรื่องความมั่นคงปลอดภัยก็มีความสำคัญสำหรับ OT น้อยกว่าใน IT” ดังนั้นเรื่องความมั่นคงปลอดภัยด้าน OT และ IT ต้องทำควบคู่กันไป ไม่สามารถแยกกันได้ โดยมีกลยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ร่วมกัน

รัฐบาลควรให้ความสำคัญเรื่องความมั่นคงปลอดภัย เป็นอันดับต้นๆ เพราะอุปกรณ์เครือข่ายนั้นมีความซับซ้อนเพิ่มมากขึ้น ซึ่งจากรายงานของ IIC พบว่าการโจมตีทางไซเบอร์ต่อ IoT ที่ประสบความสำเร็จนั้นส่งผลกระทบอันอาจทำให้เกิดอุบัติเหตุที่ร้ายแรงที่สุดได้ เช่นที่ Chernobyl, ธนาคารกลางยูเครนและระบบของรัฐบาลยูเครน

สำหรับประเทศไทย ซึ่งเป็นประเทศที่มีจำนวนผู้ใช้ smartphone และอุปกรณ์สื่อสารเคลื่อนที่ในลักษณะ IoT ที่มีจำนวนมหาศาล จึงมีความเสี่ยงด้านไซเบอร์อย่างมาก ในความเห็นของผู้เขียน เราจะต้องเร่งดำเนินการในการตั้งคณะกรรมการยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และมีสำนักงานโดยมีเลขาธิการเป็นผู้ดำเนินการบริหารงาน ที่สำคัญคือ ควรตั้งให้เร็วที่สุดก่อนที่จะเกิดปัญหาด้านการโจมตีไซเบอร์ที่รุนแรง โดยคณะกรรมการดังกล่าวควรให้นายกรัฐมนตรี หรือรองนายกรัฐมนตรีด้านความมั่นคง เป็นประธาน การที่ต้องเร่งดำเนินการเพราะหลังจากตั้งแล้วจะต้องมีการดำเนินการด้านการบริหารจัดการซึ่งต้องใช้เวลา 1-2 ปีเป็นอย่างน้อย จึงจะสมบูรณ์

คณะกรรมการยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ดังกล่าวควรเป็นการตั้งแบบ Top down โดยไม่ควรมอบหมายกระทรวงใดกระทรวงหนึ่งเป็นผู้ทำ เนื่องจากภัยคุกคามรูปแบบใหม่นี้เป็นภัยคุกคามที่มีรูปแบบผสมที่ซับซ้อน ทั้งในมิติของสังคม เศรษฐกิจ การเมือง และการทหาร จึงต้องใช้ผู้เชี่ยวชาญที่หลากหลายซึ่งไม่ใช่ผู้เชี่ยวชาญด้านเทคโนโลยีเท่านั้น

Reference: http://www.federaltimes.com/articles/cybersecurity-in-the-age-of-iot-5-best-practices-for-government
——————
พ.อ.ดร.เศรษฐพงค์ มะลิสุวรรณ
กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)
ประวัติ: http://www.xn--42cf0a8cxa3ai5ple.com/?p=165
2 กรกฎาคม 2560
www.เศรษฐพงค์.com
——————-

ใส่ความเห็น