เมื่อวันจันทร์ที่ผ่านมาที่งาน GovernmentWare 2016 และ Singapore International Cyber Week ทาง Intel Security นำโดย McAfee (ยังอยู่ระหว่างการดำเนินการแยกบริษัท) มีการสรุปสถานการณ์ความปลอดภัยในรอบครึ่งปี และนำเสนอมุมมองรวมถึงแนวทางในการป้องกันภัยคุกคามไซเบอร์ของภาครัฐ โดยคุณ David Allott ผู้อำนวยการฝ่ายการป้องกันทางไซเบอร์ของกลุ่ม Intel Security ประจำภูมิภาคเอเชียแปซิฟิก ซึ่งผมได้มีโอกาสไปนั่งฟังด้วย เลยขออนุญาตสรุปมาให้ท่านผู้อ่านครับ

ข้อมูลเปิดเผย ผมเดินทางไปร่วมงานนี้ในฐานะแขกของ Intel Security ครับ

David Allott

Allott เริ่มต้นด้วยการระบุว่าเรื่องของการป้องกันข้อมูลเป็นสิ่งที่มีความสำคัญ แต่เหตุการณ์ในช่วงที่ผ่านๆ มารอบปี ที่มักจะตรวจเจอการรั่วไหลของข้อมูลกับความสูญเสียนั้นมีช่องว่างกว้างขึ้น ตัวอย่างเช่นในเชิงเวลา ที่การโจมตีมักเกิดขึ้นก่อน แต่ผู้ดูแลระบบมาทราบเอาภายหลัง รวมถึงแต่ละองค์กรเอง เริ่มมองข้ามสาเหตุอันดับที่ 2 ที่ทำให้ข้อมูลรั่วไหล ซึ่งก็คือการรั่วไหลจากสื่อทางกายภาพ (physical media) เช่น การทำ USB drive หายเป็นต้น

สิ่งที่น่าสนใจคือองค์กรที่อยู่ในอุตสาหกรรมสาธารณสุขเริ่มตกเป็นเหยื่อมากขึ้นกว่าเดิม โดยเฉพาะในกรณีของ Ransomware ที่หลายๆ องค์กรเลือกที่จะจ่ายเงินเพื่อให้การดูแลผู้ป่วยสามารถดำเนินการไปได้ แทนที่จะทำตามคำแนะนำของหน่วยงานราชการที่มักจะเน้นย้ำว่าอย่าจ่ายเงินให้แก่ผู้ประสงค์ร้าย

Allott ชี้ว่าปัจจัยที่ทำให้สถานพยาบาลเหล่านี้ กลายเป็นเป้าหมายซ้ำแล้วซ้ำอีก (Blognone เคยนำเสนอไปหลายกรณี) มีอยู่ 3 ส่วนด้วยกัน ประกอบไปด้วย

• การใช้ระบบไอทีแบบเก่าที่มีปัญหาด้านความปลอดภัย ในหลายกรณีระบบไอทีสำคัญต่างๆ ยังคงเป็นระบบเก่า (ตัวอย่างที่ถูกหยิบยกขึ้นมาคือการใช้ Windows XP) และไม่มีการออกตัวปรับปรุงแก้ไขใหม่ๆ ผลที่ได้คือการเปิดช่องโหว่ให้กับการโจมตี
• อุปกรณ์ทางการแพทย์มีช่องโหว่ อุปกรณ์ทางการแพทย์เหล่านี้มักจะมีการใช้ซอฟต์แวร์จากหลายผู้ผลิต ซึ่งในหลายครั้งโรงพยาบาลหรือสถานประกอบการสาธารณสุขซื้อไปแล้วแต่ไม่ได้ติดตามอัพเดตซอฟต์แวร์ ไม่ก็ไม่ได้รับการแจ้งจากผู้ผลิต เป็นผลให้เกิดช่องโหว่เหล่านี้
• ความจำเป็นในการรักษาคนไข้ สถานพยาบาลเหล่านี้มีความจำเป็นที่จะต้องรักษาคนไข้ก่อนเป็นอย่างแรก ทำให้ข้อมูลหลายอย่างที่ถูกโจมตี จำเป็นต้องกู้คืนเร็วที่สุด ผลส่วนมากเลยจบลงด้วยการจ่ายเงินกับผู้ไม่ประสงค์ดี

Allott ระบุว่ามีการเปิดเผยออกมาว่าในรอบครึ่งปีนี้ มีถึง 19 โรงพยาบาลที่ตกเป็นเหยื่อ 19 แห่ง แต่ละโรงพยาบาลยอมจ่ายเงินเพื่อให้ได้ข้อมูลคืน คิดเป็นตัวเงินในไตรมาสเดียวสูงถึง 1 แสนดอลลาร์สหรัฐแล้ว ซึ่งผมถามเพิ่มเติมว่าทำไมเวลาเราได้ยินเรื่องการโจมตีจาก ransomware ถึงมาจากฝั่งของสหรัฐอเมริกามากกว่าที่อื่น คำตอบคือสหรัฐฯ มีกฎที่เข้มงวดในการแจ้งเหตุการณ์แบบนี้มากกว่าที่อื่นๆ ซึ่งเขาเชื่อว่าเหตุการณ์แบบนี้ในที่อื่นๆ ก็คงมี แต่เนื่องจากไม่มีการรายงานและแจ้ง ทำให้ไม่ทราบนั่นเอง

ทั้งนี้ Allott ระบุว่าในอีกไม่นานจากนี้ บทบาทของ Machine Learning จะเข้ามาช่วยเหลือในการแก้ไขปัญหามากขึ้น แต่ในทางกลับกันปัญหาก็อาจจะมีความซับซ้อนมากขึ้นด้วยเช่นกัน แนวโน้มนี้กับความปลอดภัยทางคอมพิวเตอร์ยังไม่ปรากฎชัดเจนนัก และเป็นสิ่งที่น่าจับตาต่อไปในอนาคต

สำหรับหน่วยงานภาครัฐเอง ภัยคุกคามที่เกิดขึ้นที่มีความซับซ้อนและรวดเร็วขึ้นเรื่อยๆ กลายเป็นปัญหาที่สำคัญ เช่นเดียวกับการโจมตีที่หน่วยงานภาครัฐเองตกเป็นเหยื่อมากขึ้นเรื่อยๆ ทั้งจากการใช้การโจมตีทางคอมพิวเตอร์ในลักษณะของการประท้วงทางการเมือง หรือการโจมตีที่ได้รับการสนุนจากรัฐอื่น (state-sponsored) แต่ในทางกลับกัน กลับต้องเจอคำถามเรื่องของประสิทธิภาพและการทำตามขั้นตอนทางกฎหมายที่มากขึ้นไปด้วย

แนวทางในการแก้ไขปัญหาแบบนี้อยู่สองลักษณะ คือการใช้แนวทางที่ดีที่สุดในแต่ละด้านในการป้องกัน ซึ่งอาจติดอยู่กับระบบที่ขึ้นกับผู้ผลิต (proprietary) กับการป้องกันที่อยู่บนฐานของแพลตฟอร์มเปิดและทำงานโดยอัตโนมัติ แต่ Intel Security เสนอว่า แนวทางที่ดีที่สุดคือการหาแนวทางป้องกัน แก้ไข และตรวจจับ ที่สามารถเปลี่ยนแปลงได้ตลอดเวลา รวมถึงแลกเปลี่ยนข้อมูลด้านความปลอดภัยกับผู้ผลิตซอฟต์แวร์หรือระบบรักษาความปลอดภัยเจ้าอื่นด้วย

แนวทางนี้ Intel ระบุว่าจะลดความซับซ้อนของปัญหาและเทคโนโลยีที่ใช้ ในขณะเดียวกันสามารถตอบสนองได้เร็วขึ้นและใช้ทรัพยากรได้ดีขึ้นกว่าเดิม แทนที่จะอิงอยู่กับระบบแบบเดิมที่ไม่มีความร่วมมือและเปลี่ยนแปลงไปกับแนวโน้มของภัยคุกคามที่เปลี่ยนไปเรื่อยๆ ในอนาคต