ป้องกันการสูญเสีย Data สำคัญให้วายร้ายไซเบอร์ ด้วยบันได 5 ขั้น

120

นวัตกรรมเปลี่ยนโลก เช่น AR, AI, IoT ยกระดับการใช้ประโยชน์ข้อมูลจากเดิมให้กลายเป็น ‘เครื่องมือสร้างรายได้’ หรือ ‘โมเดลธุรกิจดิจิทัลใหม่’ ข้อมูล ณ ปัจจุบัน จึงไม่ต่างจาก ‘ขุมทรัพย์ทางการเงิน’ ที่อาชญากรไซเบอร์หมายตา องค์กรจำนวนมากจึงต้องยกเรื่องความปลอดภัยด้านข้อมูลมาพิจารณาเป็นลำดับต้นๆ ด้วยงบการจัดการที่อาจสูงถึง 20-30% ของงบไอทีเลยทีเดียว บทความนี้จึงอยากชวนผู้อ่านมาช่วยกันมองอย่างรอบด้านว่า ความปลอดภัยในองค์กรพร้อมและแข็งแรงเพียงพอที่จะป้องกัน ข้อมูล (Data) แล้วหรือยัง?


นับตั้งแต่ปี 2561 การสูญเสียและรั่วไหลของข้อมูลเกิดขึ้นต่อเนื่องจากการโจมตีของวายร้ายไซเบอร์ที่ไม่ได้มุ่งก่อกวนระบบให้เสียหายแบบฉับพลันทันที แต่เป็นการส่งมัลแวร์แฝงตัวเข้ามาเงียบๆ  เพื่อเฝ้าดูพฤติกรรมผู้ใช้งานกลุ่มเป้าหมาย เช่น ผู้มีสิทธิเข้าถึงข้อมูลสำคัญทางธุรกิจ ข้อมูลลูกค้า หรือข้อมูลผู้บริหารระดับสูง ผู้ถือครองสกุลเงินดิจิทัล หรือบัญชีธุรกรรมการเงินออนไลน์ แล้วรอจังหวะเหมาะสม ขโมยข้อมูลออกจากระบบทันทีที่เกิดช่องโหว่ เพื่อเอามาใช้ “ตบทรัพย์จากเหยื่อ” ในภายหลัง

การแอบดูหรือขโมยข้อมูลอาจทำได้ง่ายดายแค่เพียงมีเจ้าหน้าที่ไอทีสักคนตั้งค่าการทำงานในระบบผิดพลาดจนข้อมูลลูกค้ารั่วไหล ดังที่เคยเกิดขึ้นกับ อเมซอน เว็บ เซอร์วิส หรือ ผู้ใช้เผลอกดปุ่ม “ตกลง” โดยไม่อ่านรายละเอียด ซึ่งเปิดช่องให้เงินในบัญชีหรือสกุลเงินดิจิทัลของตัวเอง ถูกโอนเข้ากระเป๋าเงินอิเล็กทรอนิกส์ของคนร้าย ซึ่งการโจมตีลักษณะนี้แทบไม่พบความผิดปกติในระบบอย่างชัดเจนจนกว่าจะมีการสแกนหรือตรวจจับถึงพบ และอาจสายเกินแก้


บันได 5 ขั้น ที่จะช่วยองค์กรสร้างระบบความปลอดภัยของข้อมูลที่มีประสิทธิภาพ และไม่ตกเป็นเป้าโจมตี

ขั้นแรก คือ การทำแผนที่เชื่อมโยงตามตัวบทกฎหมาย

รวมถึงระเบียบข้อบังคับ แนวปฏิบัติที่ออกโดยภาครัฐ สถาบันหรือหน่วยงานสากลทั้งในและต่างประเทศ ซึ่งองค์กรสามารถใช้เป็นบรรทัดฐานในการกำหนดแผนนโยบายปกป้องข้อมูล การออกแบบหลักเกณฑ์การปฏิบัติและการเลือกใช้เทคโนโลยีให้เหมาะสม ทั้งเป็นเครื่องรับประกันความเชื่อมั่นด้านความปลอดภัยเมื่อต้องเจรจาธุรกิจ หรือประกอบธุรกรรมร่วมกัน เช่น

  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การเก็บรวบรวม เปิดเผย หรือนำข้อมูลไปใช้ต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน 
  • พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 ที่อนุญาตให้รัฐสามารถขอความร่วมมือในการให้ข้อมูลเอกสาร ข้อมูลในระบบคอมพิวเตอร์ หรือยึดอายัดอุปกรณ์ต่างๆ กรณีเกิดหรือคาดว่าจะเกิดภัยคุกคามร้ายแรง
  • กฎการคุ้มครองข้อมูลของสหภาพยุโรป (General Data Protection Regulation-GDPR) ที่ไม่ประสงค์เจรจาธุรกิจกับประเทศหรือองค์กรใดที่มีการคุ้มครองข้อมูลส่วนบุคคลต่ำกว่ามาตรฐาน หรือไม่ได้มาตรฐานตามข้อกำหนดของสหภาพยุโรป (European Union – EU) ขณะที่ ตลาดหลักทรัพย์แห่งประเทศไทย ได้ออกแนวปฏิบัติให้บริษัทในตลาดหลักทรัพย์ฯ ต้องมี ศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operation Center – SOC) เป็นต้น

ขั้นที่สอง หมั่นแกะรอยพฤติกรรมวายร้ายไซเบอร์

เทคนิคการโจมตีขั้นเทพของวายร้ายไซเบอร์ อาทิ การขโมยข้อมูลผู้บริหาร หรือหน่วยงานระดับสูงด้วย

  • เอพีที (Advanced Persistent Threat- APT) เช่น ข้อมูลสุขภาพและการใช้ยาของประธานาธิบดีสิงคโปร์ ลี เซียนลุง ที่ถูกขโมยไปเมื่อไม่นานมานี้  หรือกลุ่มโอเชียนโลตัส ที่จ้องขโมยข้อมูลหน่วยงานข่าวกรองของจีน
  • มัลแวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ ที่เจาะเข้าสู่บริการสาธารณะของเมืองเลคซิตี้ ฟลอริด้า ทำให้ต้องจ่ายค่าไถ่รวมกว่า 15 ล้านบาท ซื้อกุญแจถอดรหัสเพื่อให้อีเมล โทรศัพท์บ้าน และบัตรเครดิต กลับมาใช้งานได้ดังเดิม หรือการส่ง มัลแวร์ขุดสกุลเงินดิจิทัล (Crypto Mining Malware) จากบัญชีผู้ลงทุนในสกุลเงินดิจิทัล ซึ่งศูนย์วิจัยด้านความปลอดภัยไซเบอร์ การ์ดิคอร์ (Guardicore Labs) เปิดเผยถึงความพยายามของมัลแวร์ที่ต่างกันถึง 20 ชนิด ในการเจาะช่องโหว่ของเซิร์ฟเวอร์ถึง 50,000 เครื่อง และขโมยเงินดิจิทัลของเหยื่อได้มากถึง 700 รายต่อวัน  
  • การโจมตีด้วยมัลแวร์ไร้ไฟล์ (Fileless Malware) โดยลอบส่งคำสั่งผ่านดีเอ็นเอส (Domain Name System: DNS) เป็นระบบที่ใช้เก็บข้อมูลของชื่อโดเมน และทำงานซ่อนตัวบนหน่วยความจำจึงยากต่อการแกะรอย กรณีนี้พบที่คาซัคสถานและรัสเซีย โดยแฮคเกอร์ส่งมัลแวร์ “เอทีเอ็มอิทช์ (ATMitch)” เข้าควบคุมตู้เอทีเอ็มจากระยะไกลและขโมยเงินไปได้กว่า 27 ล้านบาท ร่องรอยที่ทิ้งไว้มีแค่ไฟล์ข้อมูล 2 ไฟล์ ซึ่งมี Log ของมัลแวร์เขียนอยู่เท่านั้น หรือ การส่งมัลแวร์ควบคุมอุปกรณ์ไอโอที  (IoT Devices) เช่น แฮกเกอร์จีนโชว์การเจาะระบบรถยนต์อัจฉริยะไร้คนขับ “เทสล่า (Tesla)” เพื่อหลอกให้ขับเข้าเลนรถที่สวนมา ซึ่งล้วนเกิดผลเสียหายต่อภาพลักษณ์สินค้าและธุรกิจทั้งสิ้น

ขั้นที่สาม ป้องกันรอยรั่วที่มาจากคลาวด์เซอร์วิส

ไม่มีองค์กรไหนที่ปฏิเสธการทำงานผ่านมัลติคลาวด์ได้แล้ว เพราะง่ายต่อการบริหารจัดการและรวดเร็วต่อการนำเสนอบริการทางธุรกิจใหม่ๆ แต่ปัญหาความปลอดภัยบนคลาวด์กลับไม่ค่อยเกิดจากประเด็นทางเทคโนโลยี สักเท่าไร แต่มักมาจาก ความผิดพลาดของผู้ใช้งานหรือผู้ดูแลระบบ ซึ่งเปิดช่องโหว่ให้ระบบตกเป็นเป้าถูกโจมตี เช่น การตั้งค่าการทำงานของระบบจัดเก็บข้อมูลบนคลาวด์ได้ไม่สมบูรณ์โดยพนักงานค่ายมือถือแห่งหนึ่ง จนกลายเป็นช่องโหว่ให้ข้อมูลลูกค้ารั่วไหลสู่สาธารณะกว่า 46,000 ราย  จึงเกิดแนวคิดด้านความปลอดภัยที่ยึดข้อมูลศูนย์กลาง โดยถือว่า ระบบเครือข่ายข้อมูลไม่ควรไว้ใจซึ่งกันและกัน (Zero Trust) วิธีการ คือ เพิ่มความเข้มข้นในการจำแนกประเภทข้อมูลสำคัญ กำหนดนโยบายข้อบังคับเพื่อเฝ้าระวังและดักจับแฮกเกอร์ที่แทรกซึมเข้ามา โดยเน้นจับตา พฤติกรรมของผู้ใช้งาน กับ ข้อมูลที่เคลื่อนไหวจากการติดตามการใช้งานแอปพลิเคชันต่างๆ 


ขั้นที่สี่ เน้นทุกจุดต้องปลอดภัย

เรื่องนี้อยู่บนหลักคิดที่ว่า “การทำงานปกติ ไม่มีอะไรผิดสังเกตไม่ได้แปลว่าปลอดภัย” งานด้านการปกป้องข้อมูล จึงต้องทำควบคู่กันระหว่าง ระบบรักษาความปลอดภัย (Security)  และ ระบบตรวจจับแจ้งเตือนพฤติกรรมผิดปกติ (Visibility) ในทุกการเชื่อมต่อทุกช่องทางในการสื่อสารข้อมูลแบบหลายจุด (Point to Multi-Point) และ จุดต่อจุด (Point to Point) เฉพาะระหว่างอุปกรณ์สองตัว ทั้งงานหน้าบ้าน (Internet Gateway) และหลังบ้าน (Backdoor) เช่น การติดตั้งระบบรักษาความปลอดภัยของเครือข่าย (Firewall) ป้องกันการเข้าถึงหรือโจมตีเซิร์ฟเวอร์ สตอเรจ เกตเวย์ อาจยังไม่พอ ต้องเพิ่มเติมการติดตั้งเอเจนต์ (Agents) ที่เครื่องของผู้ใช้งานในระดับเอนด์พอยท์เพื่อตรวจจับและป้องกันการโจมตีได้เร็วขึ้น การติดตั้งโซลูชันไว้ดูแลข้อมูลจราจรในระบบคอมพิวเตอร์ (Log Management) เพื่อบันทึกที่มาที่ไป เวลา หรือเส้นทางสื่อสารในระบบของผู้ใช้งานจากภายในและนอกองค์กร ให้สามารถตรวจสอบย้อนหลังได้ว่า มีใครเข้ามาทำอะไรในระบบของเรา อะไรที่ดูมีความผิดปกติ จะได้วางแผนรับมือแก้ไขต่อไป


ขั้นที่ห้า เดินตามกรอบของ NIST

สถาบันแห่งชาติด้านมาตรฐานและเทคโนโลยีของสหรัฐ (National Institute of Standards and Technology – NIST) กำหนด กรอบการทำงานด้านความปลอดภัยทางไซเบอร์ ไว้ ซึ่งยังคงทันสมัย และอยากแนะนำให้เอามาประยุกต์ใช้ในเรื่องความปลอดภัยของข้อมูลไว้ 5 ข้อ ได้แก่

  • การแยกแยะ (Identify) องค์ประกอบที่มีผลต่อการบริหารความเสี่ยงในระบบ เช่น สินทรัพย์ข้อมูลที่สำคัญ แอปพลิเคชันที่ใช้งาน สภาพแวดล้อมโดยรวมทางธุรกิจ หรือ การจัดกลยุทธ์จัดการความเสี่ยง 
  • การปกป้อง (Protect) ข้อมูลขององค์กรด้วยเครื่องมือต่างๆ เพื่อควบคุมพฤติกรรมการเข้าถึงและใช้ข้อมูล กำหนดวิธีการในการป้องกัน รักษา และซ่อมบำรุงระบบข้อมูล
  • การขจัดขัดขวาง (Detect) สิ่งผิดปกติที่เล็ดรอดผ่านระบบป้องกันเข้ามาได้ เช่น การวางแนวปฏิบัติในการจัดการเหตุการณ์สุ่มเสี่ยงต่อความปลอดภัย (Security Information and Event Management-SIEM) ที่จะติดตามค้นหามัลแวร์มุ่งร้ายที่หลุดรอดผ่านอุปกรณ์รักษาความปลอดภัยแต่ละชนิด กำจัดทิ้งเสีย และแจ้งข้อมูลให้ผู้ดูแลทราบทันที
  • การแจ้งเตือน (Response) สถานการณ์ผิดปกติ ดังตัวอย่างของธนาคารบางแห่ง ซึ่งเมื่อพบการทำธุรกรรมสั่งซื้อสินค้าราคาสูงผ่านเว็บไซต์โดยการตัดบัตรเครดิต โดยที่เจ้าของบัตรรายนี้ไม่เคยมีพฤติกรรมการซื้อขายลักษณะนี้มาก่อน ธนาคารจะไม่อนุญาตให้กด “ตกลง” สั่งซื้อออนไลน์ได้จนกว่าจะส่งข้อความแจ้งเตือนและได้รับการยืนยันจากเจ้าของบัตรเสียก่อน จึงจะอนุญาตให้เข้าถึงบริการตัดบัตรเครติตนั้นได้
  • การวางมาตรการฟื้นฟู (Recovery) ให้ระบบกลับมาทำงานต่อไปได้ ซึ่งหมายถึงต้องมีแผนสำรองในการแบ็คอัประบบ แอปพลิเคชัน และข้อมูลสำคัญต่างๆ

สรุปได้ว่า การปกป้องข้อมูลสำคัญให้ประสบความสำเร็จในปัจจุบัน โดยไม่ลดทอนการสร้างประสบการณ์ที่ดีให้แก่ลูกค้า หรือประสิทธิภาพการดำเนินธุรกิจ จำเป็นที่องค์กรต้องจัดการให้เบ็ดเสร็จทั้ง เครื่อง และ คน บนมิติของการสร้าง ความเชื่อมั่น ต่อตัวระบบไอที การวาง มาตรการรับมือและแจ้งเตือนผลกระทบ จากในและนอกองค์กรอย่างทันการณ์ และเพิ่ม การตระหนักรู้ ถึงแนวทางการใช้งานที่ปลอดภัย เพื่อให้ได้ผลิตภาพด้านการปกป้องข้อมูลที่จบสวยแบบ วิน-วิน ด้วยกันทุกฝ่าย


นายสุภัค ลายเลิศ Data

เรื่อง : นายสุภัค ลายเลิศ กรรมการอำนวยการและประธานเจ้าหน้าที่ปฏิบัติการ บริษัท ยิบอินซอย จำกัด