สวัสดีครับ
วันนี้ผมได้รับเชิญจากสำนักส่งเสริมการแข่งขันและกำกับดูแลกันเอง กสทช. เข้าร่วมรับฟังการสัมนาแลกเปลี่ยน “ความมั่นคงปลอดภัยในกิจการกระจายเสียงและโทรทัศน์บนโลกอินเทอร์เน็ต” วันนี้ ระหว่าง กสทช. ร่วมกับสถานเอกอัครราชทูต ณ กรุงเทลอาวีฟ ประเทศอิสราเอลครับ
ท่านใดที่สนใจฟังบันทึกเสียงการบรรยาย (ไม่ได้บันทึกทั้งหมด เนื่องจากปัญหาเครื่องบันทึกเสียงครับ) สามารถฟัง (บรรยายเป็นภาษาอังกฤษ) ได้ที่ https://drive.google.com/folderview?id=0B-Ys9FwTtVOfSHZQa1RyWTF4YzQ&usp=sharing ครับ
เนื้อหาในการบรรยายโดยส่วนใหญ่จะเป็นการเน้นให้ผู้ให้บริการและภาครัฐตระหนักถึงอันตรายของการให้บริการระบบสาธารณูปโภคโดยไม่มีระบบป้องกันที่ดีพอ อันจะส่งผลให้เกิดผลกระทบอย่างมหาศาลครับ
การบรรยายแบ่งออกเป็น 3 sessions หลักครับ
Session #1: State of cyber security situation
ในปัจจุบันการโจมตีทางไซเบอร์มีจำนวนมากขึ้นอย่างมีนัยสำคัญอันเนื่องมาจากการโจมตีแบบนี้ใช้กำลังคนน้อย เครื่องคอมพิวเตอร์ราคาถูกๆ ก็สามารถทำลายระบบสาธารณูปโภคให้ใช้การไม่ได้โดยเสียค่าใช้จ่ายและเวลาน้อยกว่าการโจมตีทางกายภาพมาก และจับตัวได้ยาก
ตัวอย่างก็มีให้เห็นกันมากมาย เช่นการขโมยแบบพิมพ์ F-12 ของสหรัฐอเมริกาโดยจีน การโจมตีระบบสาธารณูปโภคของเอสโตเนียและจอร์เจียร์ก่อนการโจมตีจริง 2 สัปดาห์ ทำให้ ปธน. ไม่สามารถสื่อสารกับประชาชนได้ทันเวลา หรือกรณีอิหร่านที่ถูกกลุ่มไม่ทราบฝ่ายหยุดระบบปฏิกรณ์นิวเคลียร์ยูํเรเนียมด้วยคอมพิวเตอร์เวิร์ม Stuxnet การโต้ตอบด้วยการหยุดการทำงานโดรนสอดแนมและ “Blinding” ดาวเทียมสอดแนมของ CIA เป็นต้น
นอกจากรัฐต่อรัฐแล้ว กลุ่มก่อการร้ายก็ใช้ไซเบอร์ในการสื่อสารและโจมตี ตัวอย่างที่เห็นได้ชัดคือการส่งข้อมูลแผนการโจมตีในร้านอินเตอร์เน็ตคาเฟ หรือการใช้เทคนิค Steganography ซ่อนข้อมูลในไฟล์อีกที
บางครั้งผู้ก่อการร้ายก็ใช้วิธีง่ายๆ อย่างการส่งอีเมล์ในร้านอินเทอร์เน็ตเพื่อติดต่อหากัน pic.twitter.com/u3BSGbmbiE
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
Steganography การซ่อนข้อมูลไว้ในไฟล์ เช่น ส่งรูปไป แต่ในรูปนี้หากผ่านโปรแกรมเฉพาะทาง ก็จะดึงข้อมูลที่ซ่อนอยู่มาได้ pic.twitter.com/PL6pfae8CD
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
แน่นอนว่าเทรนด์การโจมตีทางไซเบอร์จะมากขึ้นและซับซ้อนจับตัวยากขึ้น เช่นการปล้นธนาคารผ่าน Financial transaction/network ไม่จำเป็นต้องไปปล้นถึงที่หรือแอบเตรียมการเป็นเวลานานจนผิดสังเกต สามาารถใช้ชีวิตได้ตามปกติ รวมถึงการทุจริตทางข้อมูล การโจมตีสาธารณูปโภคจากอีกที่หรือหลายๆ ที่โดยการใช้ Botnet สั่งเครื่องซอมบี้ที่ติดเชื้อโจมตีในลักษณะ DDoS
Session #2: Cyber attack possibilities on broadcasting system and minimum. (ต่อเนื่องจาก session #1)
การส่งข้อมูลทางวิทยุมีจำนวนมากขึ้นเรื่อยๆ การดักจับข้อมูลยิ่งทำได้โดยง่าย เพราะการสื่อสารทางวิทยุมี protocol เป็นมาตรฐาน หากหากผู้ดักจับเข้าใจระบบและมีอุปกรณ์ที่เหมาะสมก็ย่อมสามารถดักจับข้อมูลได้ตราบสัญญาณไปถึง ตัวอย่างเช่น WiFi access point ปลอม สถานีฐานโทรศัพท์มือถือปลอม รวมถึงการนำระบบท้องถิ่นเชื่อมต่อเข้ากับระบบอินเตอร์เน็ตเปิด ไม่ว่าจะเชื่อมต่อระบบเดิมหรือการนำระบบเข้าสู่คลาวน์ หากไม่มีระบบรักษาความปลอดภัยที่เหมาะสม การถูกโจมตียิ่งมีโอกาสสร้างความเสียหายมากกว่าเดิม
สองปีก่อน มีข่าวภาพหลุดของทีมงาน NSAแอบยัด trojan เข้าไปใน Cisco router ที่ส่งไปยังองค์กรต่างๆ ทั่วโลกhttps://t.co/vj7rBeVSrn
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
อย่างไรก็ตามการป้องกันสามารถทำได้ แต่จำเป็นต้องได้รับความร่วมมือในระดับนโยบายพอสมควร การพัฒนาบุคลากรให้มีประสบการณ์ รู้เท่าทันภัย การจัดสรรทรัพยากรอย่างมั่นคง มีทีมงานที่พร้อมทำงาน เป็นสิ่งจำเป็นอย่างยิ่ง (ไม่มีระบบใดจะปลอดกภัยด้วยการแค่วาง “กล่อง” คั่นกลางระบบกับโลกภายนอก) รวมถึงการแลกเปลี่ยนสารสนเทศกันระหว่างประเทศ การร่วมกันพัฒนาเครื่องมือ (และต้องนำไปใช้ด้วย) เพื่อป้องกัน
จริงๆ ผู้บรรยายกล่าวว่าถ้าได้รับอนุญาตจะสาธิตการดักจับข้อมูลจากโทรศัพท์มือถือด้วยเครื่องมือขนาดกล่องเล็กๆ หิ้วมา ดักเสร็จก็หิ้วกลับมาพร้อมข้อมูลเสร็จสรรพได้เลย
ข้อจำกัดในปัจจุบัน ที่ทำให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์ pic.twitter.com/hpwpAWZlNb
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
Session #3: The regulatory environment
การป้องกันภัยทางไซเบอร์ให้ได้ประสิทธิภาพจำเป็นต้องมีระบบที่ครบและทันต่อการรับมือ เช่นการแยกแยะผู้ร้ายออกจากประชาชนทั่วไปด้วยการเก็บข้อมูล Big Data รวมถึงการวางมาตรการป้องกันและดูแลระบบที่อ่อนไหวที่ชัดเจนในขณะเดียวกันต้องรักษาไว้ซึ่งสิทธิส่วนบุคคลและคุ้มครองประชาชนในบางกรณี เช่นคุ้มครองเด็ก อีกด้วย
กฎหมายไซเบอร์ ไม่ใช่แค่เพื่อรับมือกับอาชญากรรมหรือการก่อการร้ายไซเบอร์ แต่เพื่อคุ้มครองเด็กด้วย pic.twitter.com/nkCiSVTUwd
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
ตัวอย่างกฎหมายด้านไซเบอร์ เช่นในสิงคโปร์ มีการกำหนดให้มีองค์กรเพื่อคุ้มครองข้อมูลส่วนบุคคลที่มีระบบรักษาความปลอดภัยที่สมเหตุสมผล?
ตัวอย่างกฎหมายไซเบอร์ของสิงคโปร์ ยังมีบางจุดคลุมเครือ เช่น อะไรคือการรักษาความปลอดภัยที่ "สมเหตุสมผล" pic.twitter.com/2xgvrvIsdk
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
หรือในสหภาพยุโรป มีการกำหนดให้รายงานระบบรักษาความปลอดภัยของระบบสาธารณูปโภคที่อ่อนไหวยิ่งยวด เช่นธนาคาร สาธารณสุข การขนส่ง และบริษัททางพลังงาน แต่จะไม่เข้าไปยุ่งกับกับ Social network เพราะเชื่อว่ายิ่งปิดกั้น ประชาชนยิ่งหาช่องทางในการข้ามผ่านการปิดกั้น การติดตามสืบสวนยิ่งซับซ้อน ยากต่อการเข้าถึงหากจำเป็น
กฏหมายไซเบอร์ eu กำหนดให้ infra ที่อ่อนไหนต้องรายงานการป้องกัน/มีระบบป้องกันที่ชัดเจน pic.twitter.com/Lx3AYyevDg
— ITPCC (@itpcc) February 17, 2016
พูดถึงกฎหมายไซเบอร์ของสหรัฐกับยุโรป กลุ่มประเทศที่เป็นพวกผู้คิดค้นเทคโนโลยีต่างๆ pic.twitter.com/slrURswGY9
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
Session #4: Application of Israeli social media law
Social network มีส่วนสำคัญและเป็นช่องทางการสื่อสารที่สำคัญของประชาชนและรัฐไปแล้ว อย่างไรก็ตาม พิษภัยอันเนื่องมาจากอาชญากรรมทางไซเบอร์และการรั่วไหลของข้อมูลส่วนบุคคลยิ่งเพิ่มทวีคูณ หากผู้ใช้งานไม่รู้เท่าทัน หรือปล่อยข้อมูลโดยไม่คิดให้นอบคอบก็เสี่ยงต่อการถูกโจมตีในหลายรูปแบบ เช่นการหลอกเอาสิทธิ์การใช้งาน การหลอกลวงว่าเป็นบุคคลสำคัญ/ผู้มีชื่อเสียงเพื่อเรียกเอาทรัพย์สิน การหลอก/ส่งเอาข้อมูลที่อ่อนไหว เป็นต้น ที่ร้ายแรงก็เช่นการหลอกให้รันไฟล์มัลแวร์เพื่อเข้ารหัสไฟล์แล้วเรียกค่าไถ่หรือทำเป็นเครื่องซอมบี้เพื่อใช้ botnet โจมตี (เมืองไทยเป็นหนึ่งในแหล่งของ botnet จนโดนแบน IP ในหลายแห่ง ดูเพิ่มเติมที่ https://www.senderbase.org ) หรือแบบที่คาดไม่ถึงเช่นการส่งข้อมูลทางการทหาร เช่นแผนที่ ทางโพสต์สาธารณะของ Facebook เป็นต้น
ในยุคสังคมนิยม Like พวกแฮกเกอร์อาจหลอกเราด้วยแอปจำพวก เพิ่ม Like/Follower pic.twitter.com/3DyK21XuZt
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
ในไทยยังไม่เคยได้ยินเรื่องแบบนี้ แต่ในต่างประเทศมีแจกคูปองส่วนลดปลอม สแกนแล้วไปเจอ Phishing site แทน pic.twitter.com/8zFA7ejaYM
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
เคสที่แฮกเกอร์ปลอมเป็น CEO แล้วไปแอดเฟรนด์พนักงาน แล้วส่งไฟล์ malware ไปให้พนักงานคนนั้นเปิดเพื่อเจาะระบบ pic.twitter.com/2jds3JLuPa
— kafaak (นายกาฝาก) (@kafaak) February 17, 2016
Botnet เป็นปัญหาใหญ่ระดับประเทศ ISP ต้องให้ความสำคัญ ไม่งั้นจะเป็นอันตรายและเสียชื่อเสัยงมาก #cybersecurity by #nbtc pic.twitter.com/ftUOiwtHD4
— ITPCC (@itpcc) February 17, 2016
การป้องกันก็คงจะหนีไม่พ้นการ “สอน” ให้เด็กๆ หรือคนอื่น ประชาชนให้รู้จักการตั้งค่าการนำเสนอข้อมูล และรู้เท่าทันภัย
สรุป
โดยส่วนตัว มองว่าเป็นแค่การปูพื้นฐานและสร้างความตระหนักในระดับนโยบายให้รู้ว่ามีภัยทางไซเบอร์เกิดขึ้น ไม่ได้ลงลึกไปถึงระดับรายละเอียดสักเท่าใด แต่ก็ได้สาระพอสมควรครับ
ขอขอบคุณ กสทช. และ สถานเอกอัครราชทูต ณ กรุงเทลอาวีฟ ประเทศอิสราเอล ที่จัดงานนี้ขึ้นครับ ก็หวังว่าจะมีงานที่น่าสนใจ (และเปิดกว้างกว่านี้) เช่นนี้อีกนะครับ 😀