ไอซีที

รหัสผ่าน-ตระหนักรู้ เกราะป้องกันภัยไซเบอร์

อินเทอร์เน็ตกลายเป็นสิ่งที่ขาดไม่ได้ทั้งในการใช้ชีวิตและการทำธุรกิจ แต่การตระหนักถึงภัยไซเบอร์ในไทยยังมีไม่มากนัก ล่าสุดสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ได้จัดงาน Thailand Cybersecurity 2019 พร้อมเปิดเวทีเสวนาแลกเปลี่ยนความรู้

“สุรางคณา วายุภาพ” ผู้อำนวยการ สพธอ. ระบุว่า ความมั่นคงปลอดภัยไซเบอร์เป็นเรื่องของทุกคน และมีผลต่อการขับเคลื่อนเศรษฐกิจดิจิทัลของประเทศ ล่าสุดในการจัดอันดับ ITU Global Cybersecurity Index (GCI) 2018 ซึ่งกำลังจะประกาศเป็นทางการ ประเทศไทยมีความพร้อมอยู่ในอันดับที่ 35 ลดลงจาก 2 ปีที่แล้วที่อยู่ในอันดับที่ 20 โดยสิงคโปร์อยู่ในอันดับ 6 และมาเลเซียอยู่ในอันดับ 8

พัฒนาแล้วแต่ยังเร็วไม่พอ

“แม้คะแนนรวมของไทยจะดีขึ้น แต่อันดับลดลงเพราะทุกประเทศกังวลปัญหานี้จึงเร่งพัฒนา ทำให้ไทยที่พยายามเร่งแล้วยังเร่งไม่พอ ทั้งยังมีปัญหาขาดแคลนบุคลากรในวงการไซเบอร์ซีเคียวริตี้อย่างมาก ไม่ใช่แค่ผู้เชี่ยวชาญ แต่ยังขาดแคลนระดับปฏิบัติการ นี่คือความท้าทายในการเปลี่ยนผ่านประเทศสู่ดิจิทัลอย่างเต็มรูปแบบ”

ในปี 2561 “ไทยเซิร์ต” ภายใต้ สพธอ. ได้รับแจ้งภัยคุกคาม 2,520 ครั้ง สูงสุด คือ ภัยจากการบุกรุก/เจาะเข้าระบบ (intrusion attempts) รองลงมาคือ การฉ้อโกง หลอกลวง (fraud) และการบุกรุก/เจาะระบบได้สำเร็จ (intrusions)
ขณะที่การมอนิเตอร์ระบบไอทีของหน่วยงานรัฐ พบว่า 39% ถูกบุกรุกเจาะระบบ โดยเกิดจากโทรจันถึง 60%

กลไกรับมือยังอ่อนด้อย

“จุดที่ไทยอ่อนด้อยสุด คือ การรับมือเมื่อเกิดภัยคุกคามที่ไม่สามารถแก้ปัญหาเฉพาะหน้าได้ทันท่วงที หลายคนคิดว่า ต้องเป็นคนเก่งเทคนิคเท่านั้น แต่จริง ๆ ทีมไซเบอร์ขององค์กรยังต้องการคนที่มีประสบการณ์มากพอในเรื่องกฎระเบียบ มีความสามารถในการตัดสินใจ การสื่อสาร ต้องอาศัยประสบการณ์ ช่างสังเกต คาดการณ์ถึงสิ่งที่น่าจะเป็น แล้วจึงสร้างความเชื่อให้เกิดการทำงานร่วมกัน”

ปัญหาพื้นฐาน “รหัสผ่าน”

ด้าน “ศาศวัต มาลัยวงศ์” Business Director/Executive Consultant บริษัท เอซีอินโฟเทค จำกัด เปิดเผยว่า จากการสำรวจด้วยการทดลองส่ง “ฟิชชิ่งอีเมล์” ไปยังองค์กรที่เป็นลูกค้าของบริษัทในไทยช่วงไตรมาส 3/2561-ไตรมาส 2/2562 จำนวน 105,509 อีเมล์ พบว่ามีพนักงานขององค์กร 22.8% เปิดอีเมล์ 16.9% คลิกลิงก์ในอีเมล์ 10.2% มีการให้ข้อมูลส่วนบุคคลกับอีเมล์ที่ส่งไปทดสอบและถ้าเจาะไปที่การเปิดอ่านอีเมล์ 24,146 คน พบว่า 73.9% มีการคลิกลิงก์ที่เป็นฟิชชิ่ง และ 44.9% มีการกรอกข้อมูลส่วนบุคคลส่งให้

“นี่คือสถิติจากองค์กรใหญ่ที่มีการฝึกอบรมพนักงานสร้างความตระหนักด้านไซเบอร์ซีเคียวริตี้อย่างเข้มข้นทุกปียังเป็นแบบนี้”

นอกจากนี้ ในการทดสอบเว็บแอปพลิเคชั่นซีเคียวริตี้ในไทย 250 เว็บไซต์ พบว่า 34% สามารถเจาะเข้าระบบและปรับเปลี่ยนทุกอย่างได้เสมือนเป็นแอดมินของเว็บดังกล่าว และยังสามารถขยายผลเข้าไปเจาะเว็บไซต์อื่นได้อีก 2,151 เว็บไซต์ ถือเป็นความเสี่ยงค่อนข้างสูง

“เมื่อวิเคราะห์ลงไปถึงปัญหา พบว่าเป็นเรื่องพื้นฐานมากคือ 32% มีการตั้งรหัสผ่านที่ง่ายต่อการคาดเดา หรือมีการเก็บรหัสผ่านอย่างไม่ปลอดภัย บางเว็บแค่รีเซตพาสเวิร์ดก็สามารถแฮกทั้งหมดได้ อีก 47% ใช้ CMS ที่ไม่ปลอดภัย (content management system เป็นระบบที่นำมาช่วยในการสร้างและบริหารเว็บไซต์แบบสำเร็จรูป) ซึ่งที่พบเยอะคือใช้การ CMS ที่พัฒนาโดยซอฟต์แวร์เฮาส์ของไทยที่มีช่องโหว่ในระบบเยอะมาก”

ละเลยข้อมูลส่วนบุคคล

ขณะเดียวกัน การตระหนักถึงความสำคัญของการเก็บข้อมูลส่วนบุคคลในไทยยังมีน้อย จากการสำรวจล่าสุดพบว่ามีจำนวนข้อมูลส่วนบุคคลที่ถูกออนไลน์ในไทยถึง 445,243,200 ข้อมูล เฉพาะเลขบัตรประชาชนที่ค้นได้ในกูเกิลก็มีกว่า 3 แสนรายการและเมื่อสุ่มค้นจาก 30 เว็บไซต์ พบว่ามีข้อมูลชื่อนามสกุลพร้อมเลขที่บัตรประชาชน 36,297 รายการ มี 30,703 ที่อยู่ตามทะเบียนบ้าน 3,687 เลขที่บัญชีธนาคาร 181 รายการเงินเดือน 109 ข้อมูลสุขภาพ 461 เบอร์โทรศัพท์ทั้งหมดสามารถนำไปใช้หลอกลวงหรือปลอมเอกสารได้เยอะมาก

จึงบ่งชี้ว่า องค์กรต่าง ๆ ทุกวันนี้มีความปลอดภัยทางไซเบอร์น้อย เหตุเพราะหลายองค์กรยังไม่เปลี่ยนไมนด์เซต องค์กรไหนมีหน่วยงานกำกับดูแลก็จะตื่นตัว ถ้าไม่มีก็ไม่ได้สนใจ ปัจจุบันแฮกเกอร์ใช้ AI ในการเจาะระบบแล้ว แต่หลายองค์กรยังไม่รู้เลยว่าพนักงานในองค์กรตระหนักและมีความรู้ในการป้องกันตัวเองหรือยัง ระบบปลอดภัยหรือไม่

“พนักงาน” ด่านแรกการป้องกัน

สิ่งที่ต้องเร่งทำ คือ เริ่มจากการสร้างความตระหนักเป็นพื้นฐานก่อนที่จะดึงเครื่องมือใหม่ ๆ ที่จะเข้ามาช่วยป้องกันภัยไซเบอร์ ซึ่งที่นิยมในยุคนี้ ได้แก่ การทำ cyber health score ที่จะเช็กสถานการณ์ปัจจุบันว่ามีศักยภาพป้องกันตัวเองแค่ไหน จากนั้นจึงเริ่มทดลอง phishing simulation cyber exercise ที่จะทำให้รู้ว่าหากถูกโจมตีจะรับมืออย่างไร และ bug bounty หรือแพลตฟอร์มหาช่องโหว่ในระบบที่เปิดให้นักซีเคียวริตี้หาช่องโหว่แลกกับเงินรางวัล

“91% ของภัยไซเบอร์เกิดจากฟิชชิ่งก่อน หากองค์กรสามารถทำให้พนักงานตระหนักรู้ก็ป้องกันภัยไซเบอร์ได้มาก เป็นเหมือนวัคซีนที่ต้องทำทั้งในระดับองค์กรและระดับพนักงาน”