24 Dec ต่างประเทศเริ่มออกมาตรการรับมือ Log4Shell

ช่วงนี้คงไม่มีใครในวงการไซเบอร์ที่ไม่รู้จักภัยคุกคาม “Log4Shell” ช่องโหว่ใน Log4j ที่เป็นส่วนเสริมของโปรแกรมที่ทำงานบนภาษา Java และเป็นส่วนสำคัญของ Apache ซอฟต์แวร์เซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลายโดยแพลตฟอร์มและแอปพลิเคชันชื่อดัง ไม่ว่าจะเป็น Minecraft, Apple iCloud, Tesla, Elasticsearch ฯลฯ ซึ่งอานุภาพของ Log4Shell คือการเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์บนเซิร์ฟเวอร์เป้าหมายได้อย่างง่ายดาย และสามารถนำไปใช้ประโยชน์ได้หลายวิธี

ล่าสุดในต่างประเทศ เช่น สิงคโปร์ ที่หน่วยงานด้านการรักษาความปลอดภัยทางไซเบอร์ของประเทศได้จัดการประชุมฉุกเฉินโดยรวบรวมตัวแทนจากกลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือ CII มาเข้าร่วม โดยในระหว่างนั้นหน่วยงานจะให้คำแนะนำและข้อมูลทางเทคนิคในการรับมือกับ Log4Shell

Cyber ​​Security Agency (CSA) ของสิงคโปร์เตือนว่า หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ จะเปิดโอกาสให้แฮกเกอร์ควบคุมเซิร์ฟเวอร์ที่ได้รับผลกระทบได้อย่างสมบูรณ์ และยังเน้นย้ำว่าองค์กรควรรีบหาวิธีการดำเนินการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นให้เร็วที่สุด ทั้งนี้ CSA ได้แจ้งเตือนผู้นำในกลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศและกลุ่มธุรกิจต่างๆ ให้พวกเขาอัปเดตแพตช์เป็นเวอร์ชันล่าสุดทันที ซึ่ง CSA จะทำงานร่วมกับตัวแทนจาก CII เพื่อออกมาตรการบรรเทาผลกระทบ

ร่างกฎหมายความปลอดภัยทางไซเบอร์ของสิงคโปร์นั้นครอบคลุม 11 กลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ช่วยให้หน่วยงานท้องถิ่นที่เกี่ยวข้องสามารถใช้มาตรการเชิงรุกเพื่อปกป้องกลุ่ม CII เหล่านี้ ร่างกฎหมายยังได้กำหนดกรอบการกำกับดูแลอย่างเป็นทางการให้กลุ่ม CII มีหน้าที่ในการรักษาความปลอดภัยระบบภายใต้ความรับผิดชอบของพวกเขา ทั้งช่วงก่อนและหลังเหตุการณ์ความปลอดภัยทางไซเบอร์เกิดขึ้น โดยกลุ่ม CII ดังกล่าวประกอบไปด้วยกลุ่มที่ให้บริการเกี่ยวกับการใช้น้ำ การดูแลสุขภาพ การใช้พลังงาน การเงินและการธนาคาร และการบิน ทั้งนี้การประชุมยังจะถูกจัดขึ้นให้สมาคมการค้าและหอการค้า เพื่อเน้นย้ำถึงความรุนแรงของช่องโหว่ใน Log4j ตัวนี้ ตลอดจนความเร่งด่วนที่องค์กรทั้งขนาดเล็กและใหญ่ต้องดำเนินมาตรการบรรเทาผลกระทบ

Singapore Computer Emergency Response Team (SingCERT) ได้ให้คำแนะนำเกี่ยวกับข้อบกพร่องของ Library ว่ามาตรการหยุดช่องโหว่ก่อนหน้านี้ไม่มีประสิทธิภาพมากพอและไม่แนะนำให้ใช้อีกต่อไป ซึ่งรวมถึงการกำหนดค่าคุณสมบัติของระบบเป็น True หรือแก้ไขการกำหนดค่าการบันทึกเพื่อปิดใช้งานการค้นหาข้อความ สำหรับผู้ใช้ที่ไม่สามารถอัพเกรดเป็นเวอร์ชัน 2.16.0 หรือ 2.12.2 หรือ Java 8 และ Java 7 ควรปิดใช้งานการค้นหาโดยลบคลาส jndiLookup ออกจากไฟล์ jar “log4j-core” นอกจากนี้ผู้ใช้ผลิตภัณฑ์ที่มี Log4j ควรแพตช์ให้เป็นเวอร์ชันล่าสุด โดยเฉพาะอย่างยิ่งผู้ที่ใช้ Apache Log4j กับเวอร์ชันที่ได้รับผลกระทบระหว่างเวอร์ชัน 2.0 และ 2.14.1 ควรเพิ่มการติดตามกิจกรรมที่ผิดปกติและตรวจสอบบันทึกของระบบอย่างละเอียด

เราจะเห็นได้ว่าหน่วยงานรัฐของสิงคโปร์ได้เริ่มออกมาตรการรับมือกับช่องโหว่ร้ายแรงระดับโลกอย่าง Log4Shell แล้วนะครับ ในส่วนของประเทศไทยนั้นยังต้องติดตามกันต่อไปว่าจะมีมาตรการใดออกมา และองค์กรต่างๆเตรียมตัวพร้อมแล้วหรือยังกับการรับมือสถานการณ์ที่อาจเกิดขึ้นเร็วๆนี้ครับ

12 Nov โคลัมเบียชนะการแข่งขัน Cyber Security ในสหรัฐฯ

ในบทความที่แล้วผมได้พูดถึงการซ้อมเสมือนจริงในการรับมือกับภัยไซเบอร์ หรือ Attack Simulation Training ไป ซึ่งเรื่องนี้เป็นเรื่องที่สำคัญมาก วันนี้ผมจึงขอนำข่าวจากสหรัฐฯ มาเล่าให้ท่านฟังเพิ่มเติมครับ

ไม่กี่วันที่ผ่านมา US Secret Service ซึ่งเป็นหน่วยงานสำคัญของสหรัฐอเมริกาได้ประกาศผลผู้ชนะจากการแข่งขันด้านการรักษาความปลอดภัยทางไซเบอร์ระดับประเทศขึ้น โดยการแข่งขันนี้มีมากกว่า 200 ทีมทั่วสหรัฐฯ ที่ต่างก็ได้รับการฝึกอบรมจาก National Computer Forensics Institute’s (NCFI’s) ที่เป็นสถาบันนิติคอมพิวเตอร์แห่งชาติมาร่วมแข่งขัน

ในการแข่งขันทีมเจ้าหน้าที่บังคับใช้กฎหมายที่ฝึกอบรมกับ NCFI จะถูกจับคู่กับทีมเจ้าหน้าที่ฝ่ายสืบสวนจาก Secret Service จนเกิดเป็นหน่วยงานตอบสนองแบบบูรณาการ (Integrated Response Units) และจะได้รับมอบหมายให้จัดการกับอาชญากรรมไซเบอร์เสมือนจริง ผ่านการใช้องค์ความรู้จากการฝึกอบรมพิเศษด้านการรักษาความปลอดภัยทางไซเบอร์ที่พวกเขาได้รับจากสถาบัน

สถานการณ์จำลองเสมือนจริงที่ผู้เข้าแข่งขันได้รับคือ โรงพยาบาลที่ถูกโจมตีด้วย Ransomware ซึ่งผู้เข้าแข่งขันจะต้องใช้วิธีการทางเทคนิคหลายแบบเพื่อขัดขวางและตามล่าตัวแฮกเกอร์ให้ได้ ไม่เพียงเท่านั้นแต่ละทีมจะต้องประจำการอยู่ในสำนักงานของ Secret Service ที่มีอยู่ทั่วประเทศ เพื่อกู้คืนความเสียหายที่เกิดขึ้นกับระบบ และตรวจหาหลักฐานทางเครือข่าย ให้พวกเขาได้รับประสบการณ์การสืบสวนเสมือนจริงกรณีถูกโจมตีด้วย Ransomware ได้เต็มที่

ซึ่งทีมที่คว้ารางวัลที่หนึ่งมาได้คือ ทีมจากโคลัมเบีย เมืองหลวงของรัฐเซาท์แคโรไลนา มีสมาชิกประกอบไปด้วย ตัวแทนจาก Secret Service ตัวแทนจากกองพันการป้องกันทางไซเบอร์ที่ 125 สังกัดกองทัพบกรัฐเซาท์แคโรไลนา ตัวแทนจาก FBI ประจำโคลัมเบีย ตัวแทนจากหน่วยงานบังคับใช้กฎหมายรัฐเซาท์แคโรไลนา (SLED) และตัวแทนในสังกัดของนายอำเภอเมืองเล็กซิงตัน ตลอดสามวันของการแข่งขันพวกเขาได้แสดงให้เห็นถึงพรสวรรค์ผ่านการพิชิตทั้ง 39 วัตถุประสงค์ โดยใช้เวลารวมเพียงหกชั่วโมงกับอีกสิบห้านาทีเท่านั้น

หลังจากประกาศผู้ชนะไปได้ไม่นาน ในฝั่งของ The International Council of Electronic Commerce Consultants (EC-Council) ผู้นำระดับโลกในการออกโปรแกรมการรับรองต่างๆที่เกี่ยวข้องกับการรักษาความปลอดภัยทางไซเบอร์ได้ประกาศเปิดตัวโปรแกรมการสอนออนไลน์ขนาดใหญ่ให้เข้าไปเรียนได้ฟรีชื่อว่า Essentials Series ที่เน้นเรื่องของ Cyber Security เป็นหลัก โปรแกรมนี้ถูกออกแบบมาเพื่อนักเรียนที่อยากจะเริ่มต้นอาชีพของพวกเขาในสายงานด้าน Information Security และ Cyber Security ซึ่งจะมีการมอบใบรับรอง (Certification) ให้ ได้แก่ การป้องกันระบบเครือข่าย (Network Defense) การเจาะระบบอย่างมีคุณธรรม (Ethical Hacking) และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล (Digital Forensics) โดยผู้เรียนสามารถเข้าถึงคอร์สออนไลน์ วิดีโอการบรรยาย และการฝึกฝนที่เรียกว่า Lab Tutorials

เรื่องนี้ทำให้เราเห็นว่า Cyber Security Training เป็นสิ่งที่จำเป็นมากๆต่อองค์กร เพราะแม้แต่ประเทศมหาอำนาจอย่างสหรัฐอเมริกาเองก็ยังต้องจัดให้หน่วยงานราชการทั่วประเทศได้รับการฝึกอบรม เท่านั้นยังไม่พอยังมีการฝึกอบรมออนไลน์สำหรับนักเรียนที่ต้องการเริ่มต้นอาชีพในสายงานนี้อีกด้วย ดังนั้นองค์กรไทยทั้งภาครัฐและภาคเอกชนก็ควรให้ความสำคัญกับ Cyber Security Training และ Attack Simulation Training เช่นเดียวกันครับ

12 Nov องค์กรทั่วโลกใช้เวลารับมือภัยไซเบอร์เฉลี่ยเกิน 20 ชม.

เมื่อองค์กรถูกโจมตีจากภัยคุกคาม ยิ่งจัดการกับปัญหาได้ไวเท่าไหร่ ยิ่งช่วยลดความเสียหายที่องค์กรจะได้รับให้น้อยลงได้มากเท่านั้น แต่สิ่งที่เรายังไม่รู้คือองค์กรใช้เวลานานเท่าไหร่ในการจัดการกับภัยคุกคาม และกลุ่มธุรกิจใดที่สามารถตอบสนองต่อภัยคุกคามได้ไวที่สุด วันนี้ผมมีผลการวิจัยที่น่าสนใจจาก Deep Instinct บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกา มาเล่าให้ฟังครับ

ผลการวิจัยนี้จัดทำโดยการสำรวจจากผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ระดับอาวุโสจำนวน 1,500 คนจาก 11 ประเทศทั่วโลกที่ทำงานในองค์กรที่มีพนักงานรวมแล้วมากกว่า 1,000 คนและองค์กรมีรายได้ต่อปีเกิน 500 ล้านดอลลาร์ พบว่า 20.09 ชั่วโมงคือระยะเวลาเฉลี่ยที่ใช้ในการจัดการกับภัยคุกคามทางไซเบอร์ ซึ่งหากแบ่งเป็นกลุ่มแล้ว กลุ่มธุรกิจด้านการเงินเป็นกลุ่มที่จัดการภัยคุกคามได้เร็วกว่ากลุ่มอื่นๆด้วยระยะเวลาเฉลี่ย 16 ชั่วโมง และหากแบ่งตามขนาดขององค์กรจะพบว่า องค์กรขนาดใหญ่จะจัดการได้ไวกว่าด้วยระยะเวลา 15 ชั่วโมง ในขณะที่องค์กรขนาดเล็กจะใช้เวลา 25 ชั่วโมงในการจัดการภัยคุกคาม

เมื่อสำรวจในมุมของพนักงานพบว่า มีเพียง 1% เท่านั้นที่เชื่อว่าอุปกรณ์ปลายทาง (Endpoint) ทุกเครื่องของพวกเขาได้รับการติดตั้งโซลูชันรักษาความปลอดภัยอย่างน้อยหนึ่งโซลูชัน 26% ของผู้เข้าร่วมการสำรวจอ้างว่า ความซับซ้อนทำให้พวกเขาไม่สามารถติดตั้งโซลูชันรักษาความปลอดภัยเพิ่มมากขึ้นได้ 39% บอกว่าประเด็นสำคัญคือระยะเวลาที่ใช้ในการตรวจสอบภัยคุกคาม และ 35% แจ้งว่าเพราะความขาดแคลนบุคลากรด้าน SecOps ที่เชี่ยวชาญ

เกือบหนึ่งในสามของผู้ตอบแบบสำรวจคิดว่า ความท้าทายที่ส่งผลต่อการใช้อุปกรณ์ปลายทางคือ Cloud ซึ่ง 80% บอกว่า ไฟล์ต่างๆที่เก็บไว้บน Cloud ไม่ได้ถูกตรวจสอบช่องโหว่ และ 68% กังวลว่าเพื่อนร่วมงานอาจเผลออัปโหลดไฟล์อันตราย (Malicious File)

ในส่วนของรูปแบบภัยคุกคามที่ผู้ตอบแบบสำรวจกังวลมากที่สุดคือ ภัยคุกคามที่ซ่อนตัวในระบบเป็นระยะเวลานาน (Hidden Persistence) ที่เกิดจากการที่แฮกเกอร์ได้แอบแฝงตัวเข้ามาในระบบโดยไม่ถูกตรวจพบ และซ่อนตัวอยู่ในระบบเป็นระยะเวลานาน

ผลการวิจัยนี้สรุปออกมาได้เป็นสามเรื่องสำคัญ ที่องค์กรควรทำเพื่อพัฒนาการรักษาความปลอดภัยทางไซเบอร์ให้มีประสิทธิภาพ เรื่องแรกคือ องค์กรต้อง “มอบความรู้” ด้านไซเบอร์ให้กับพนักงาน รวมถึงควรมีการพัฒนาบุคลากรให้มีความเชี่ยวชาญ เพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคาม

เรื่องที่สองคือ องค์กรต้องเลือกใช้ “โซลูชัน” ที่ได้มาตรฐานและครอบคลุม ทั้งโซลูชันสำหรับป้องกันภัยไซเบอร์ไม่ให้เข้ามาในระบบ และโซลูชันสำหรับวิเคราะห์ภัยไซเบอร์ที่เข้ามาในระบบขององค์กร เพราะหากหวังผลแค่การป้องกันนั้นไม่เพียงพอแล้ว ต้องหวังผลให้รู้ที่มา รู้เส้นทางของภัยคุกคามด้วยครับ

เรื่องสุดท้ายคือ องค์กรต้องจัดให้มี “การซ้อมเสมือนจริง” หรือ Attack Simulation Training ในการรับมือกับภัยไซเบอร์ที่คล้ายๆกับการซ้อมหนีไฟ เพื่อให้พนักงานรู้ว่าเมื่อมีเหตุร้ายทางไซเบอร์เกิดขึ้น พวกเขาจะต้องทำอย่างไรเพื่อลดระยะเวลาที่ระบบขัดข้องจนไม่สามารถทำงานได้ (Downtime) ให้สั้นลงครับ

05 Jul ทำประกันได้แต่ไม่ได้รับประกันว่าจะดี

ท่านผู้อ่านเคยขับรถยนต์ที่ไม่ได้ทำประกันไว้ไหมครับ แน่นอนว่าเราจะต้องรู้สึกกังวลจนทำให้เราขับรถคันนั้นอย่างระมัดระวังมากกว่าปกติ แต่กลับกันถ้าเราทำประกันรถคันนั้นไว้แล้วก็จะขับได้อย่างสบายใจ ดังนั้นระดับความกังวลเรื่องความปลอดภัยระหว่างผู้ที่ขับรถมีประกันกับผู้ที่ขับรถไม่มีประกันย่อมต่างกัน

การทำประกันภัยไซเบอร์ (Cyber Insurance) ก็เช่นกัน เมื่อองค์กรใดไม่ได้ทำประกันไว้ก็จะยิ่งต้องพยายามพัฒนาระบบ Cyber Security ขององค์กรให้แข็งแกร่งเพื่อป้องกันการจู่โจมจากภัยไซเบอร์ เพราะหากเกิดเหตุองค์กรต้องรับมือกับความเสียหายที่เกิดขึ้นอย่างโดดเดี่ยว ไม่มีประกันมาช่วยแบ่งเบาความเดือดร้อนใดๆ แต่ถ้าองค์กรไหนทำประกันภัยไซเบอร์ไว้ก็คงเบาใจมากกว่า มีความสบายใจมากกว่า และนั่นอาจทำให้เกิดความไม่รอบคอบ ไม่เข้มงวดในการพัฒนาเตรียมพร้อมระบบ Cyber Security ให้แข็งแกร่งมากพอ

นี่จึงเป็นที่มาของผลการวิจัยล่าสุดจากสหราชอาณาจักรที่พบว่า การเพิ่มขึ้นของการประกันภัยไซเบอร์นั้น “ล้มเหลว” ในการส่งเสริมแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีให้เกิดขึ้นในกลุ่มธุรกิจต่างๆที่ได้ทำประกันภัยไซเบอร์ไว้ โดยเฉพาะอย่างยิ่งสำหรับการระบาดของมัลแวร์เรียกค่าไถ่ (Ransomware) เพราะหากองค์กรต่างๆที่มีประกันภัยไซเบอร์เกิดตกเป็นเหยื่อของ Ransomware พวกเขาจะมีทางเลือกอยู่ 3 ทางด้วยกันคือ หนึ่งยอมจ่ายเงินค่าไถ่ สองทำการกู้คืนข้อมูลจากระบบสำรองข้อมูล และสามสร้างระบบขึ้นมาใหม่ทั้งหมด

ถ้าพิจารณาจากทั้งสามทางเลือกแล้วบริษัทประกันจะต้องเลือกทางที่เกิดค่าเสียหายน้อยที่สุด นั่นก็คือการจ่ายเงินค่าไถ่ที่เปรียบเสมือนการเพิ่มเชื้อเพลิงให้กับกองไฟ โดยการกระตุ้นให้อาชญากรไซเบอร์เลือกโจมตีด้วย Ransomware เพราะเมื่อโจมตีสำเร็จจนเหยื่อยอมจ่ายค่าไถ่ก็จะทำให้แฮกเกอร์มีเงินทุนไปขยายขีดความสามารถของพวกเขาได้ รวมไปถึงมีเงินทุนไปจ้างแฮกเกอร์เก่งๆที่มีพรสวรรค์มาร่วมทีมเพื่อก่ออาชญากรรมทางไซเบอร์และกลับมาจู่โจมองค์กรต่างๆเพื่อเรียกเงินค่าไถ่ใหม่

ในความเป็นจริงองค์กรหลายแห่งที่ซื้อประกันภัยไซเบอร์มักจะมองว่า ประกันภัยเป็นเครื่องมือสำหรับเพิ่มความยืดหยุ่นต่อการโจมตีทางไซเบอร์มากกว่าเครื่องมือลดความเสี่ยง มีผลการวิจัยที่อ้างว่า 80% ขององค์กรที่ยอมจ่ายค่าไถ่ต้องตกเป็นเหยื่อของ Ransomware อีกครั้งในเดือนต่อๆมา ซึ่งมักจะมาจากแฮกเกอร์กลุ่มเดิม

การทำประกันเป็นการทำเพื่อให้เกิดความสบายใจ ไม่ใช่ทำเพื่อป้องกันภัยคุกคาม เมื่อเกิดความเสียหายแล้วประกันที่ได้ทำไว้มิอาจกู้คืนสิ่งที่เสียหายแล้วให้กลับมาเป็นดังเดิมได้ เช่น ข้อมูลของพันธมิตร ของลูกค้า หรือขององค์กรเอง ไม่เพียงเท่านั้นชื่อเสียงที่องค์กรสั่งสมมาเป็นเวลานานก็เป็นสิ่งที่ไม่สามารถกู้คืนกลับมาได้ การตกเป็นเหยื่อของภัยคุกคามย่อมส่งผลต่อความไว้เนื้อเชื่อใจของลูกค้า ดังนั้นผมขอแนะนำให้องค์กรโฟกัสให้ถูกทาง นั่นก็คือการไม่ตกเป็นเหยื่อของภัยคุกคามทางไซเบอร์ทุกรูปแบบ ซึ่งวิธีที่ดีที่สุดคือการสร้างระบบ Cyber Security ที่ก้าวล้ำกว่าภัยคุกคาม ครอบคลุมทุกภาคส่วนขององค์กรครับ

01 Jun เมื่อเก่งมากนักก็อาจโดนวางยา

หลายๆท่านคงรู้จัก Machine Learning และบางท่านอาจกำลังใช้ผลิตภัณฑ์หรือแอปพลิเคชันที่มี Machine Learning เป็นส่วนประกอบในการทำงานอยู่อีกด้วย ตลอดระยะเวลาหลายปีที่ผ่านมา Machine Learning ถือเป็นนวัตกรรมที่แสดงให้เห็นถึงความก้าวหน้าทางเทคโนโลยี และความสร้างสรรค์ของวงการไอทีที่สร้างให้ระบบสามารถวิเคราะห์ข้อมูลและให้ผลลัพธ์หรือบริการที่ตรงตามความต้องการของผู้ใช้งานได้ โดยทั้งหมดเกิดจากการเรียนรู้ของ Machine Learning ที่นำเอาองค์ความรู้มาจากข้อมูลที่ถูกป้อนเข้าไปนั่นเอง

ซึ่งล่าสุดดูเหมือนว่า Machine Learning จะกลายเป็นเป้าหมายที่ผู้คุกคามต้องการใช้เป็นเครื่องมือในการโจมตี ผ่านเทคนิคการทำ Data Poisoning หรือก็คือการเจตนาป้อนข้อมูลลวงลงในกลุ่มข้อมูล เพื่อให้การวิเคราะห์ของ Machine Learning ระบุข้อมูลที่ป้อน (Input) ผิดพลาด จนทำให้เกิดผลลัพธ์ไม่ตรงตามที่ผู้ใช้งานต้องการ นั่นทำให้ผู้เชี่ยวชาญกล่าวว่าการโจมตี Machine Learning ที่ใช้ในซอฟต์แวร์ด้านการรักษาความปลอดภัยด้วย  Data Poisoning อาจเป็นรูปแบบของภัยคุกคามใหม่ที่แฮกเกอร์เลือกใช้

อย่างที่ทราบกันดีว่า การเรียนรู้ของ Machine Learning ขึ้นอยู่กับการจดจำรูปแบบในกลุ่มข้อมูล ซึ่งการป้อนข้อมูลผิดๆลงในกลุ่มข้อมูลจะส่งผลให้ผลลัพธ์จากการทำงานของ Machine Learning ผิดพลาดตามไปด้วย ภัยคุกคามขั้นพื้นฐานที่สุดอย่างหนึ่งเมื่อพูดถึงภัยคุกคามที่เกี่ยวกับ Machine Learning คือการที่แฮกเกอร์สามารถก่อกวนกลุ่มตัวอย่างที่ผู้สร้างใช้ในการฝึก Machine Learning ได้

ผู้เชี่ยวชาญยังตั้งข้อสังเกตว่า แฮกเกอร์สามารถใช้ข้อมูลอันตรายโจมตีได้ โดยการใส่ข้อมูลจำนวนมากไปยังองค์กรเป้าหมายด้วยมัลแวร์ที่ออกแบบมาเพื่อปรับแต่งและเบี่ยงเบนความสนใจระบบตรวจจับของ Machine Learning ให้ออกห่างจากเทคนิคที่พวกเขาวางแผนจะใช้ในการโจมตีหลัก

นอกจากนี้ผู้เชี่ยวชาญยังได้ให้ความเห็นถึงภัยคุกคามรูปแบบอื่นที่พวกเขาคาดว่าจะมีการเปลี่ยนแปลงในอนาคตเพิ่มเติมอีกว่า การรั่วไหลของข้อมูลจะเกิดขึ้นมากกว่าเดิม ซึ่งเป็นส่วนหนึ่งของมัลแวร์เรียกค่าไถ่ (Ransomware) ที่มีแนวโน้มเพิ่มขึ้นตั้งแต่ปี 2019 และการทำงานจากที่บ้าน (Work From Home) ทำให้เกิดการละเมิดการใช้งาน Token ที่ใช้สำหรับการยืนยันตัวตนมากขึ้นตามไปด้วย

การทำ Data Poisoning นั้นเกี่ยวข้องกับเหตุการณ์ของระบบป้องกันมัลแวร์ที่ใช้เทคนิคการตรวจจับด้วย Signature (Signature-based Antivirus) ที่เกิดขึ้นในปี 2013 โดยในขณะนั้น Microsoft ได้ออกมาเปิดเผยงานวิจัยที่พบว่ามีใครบางคนพยายามอัปโหลดตัวอย่างเท็จลงในฐานข้อมูลมัลแวร์ เพื่อทำให้เกิดความขัดข้องระหว่าง Signature กับไฟล์ระบบ ซึ่งในขณะนั้นยังไม่เป็นที่รู้จักว่าการโจมตีเช่นนี้เกี่ยวข้องกับการทำ Data Poisoning

เรื่องนี้น่าสนใจมากๆครับ โดยเฉพาะ Machine Learning ที่สร้างมาเพื่อการดูแลรักษาความปลอดภัยไซเบอร์ ที่ถ้าหากถูกโจมตีด้วยการทำ Data Poisoning แล้วพิษร้ายของข้อมูลที่เป็นเท็จอาจส่งผลให้ระบบเกิดความเสียหายเปลี่ยนจากการป้องกันเป็นการปล่อยผ่าน ดังนั้นควรเลือกใช้โซลูชันหลายๆแบบมาปกป้ององค์กรจึงจะดีที่สุด เพราะหากวันใดโซลูชันหนึ่งถูกโจมตีจนไม่สามารถใช้งานได้หรือมีการทำงานที่ผิดปกติก็ยังมีโซลูชันอื่นๆมารองรับ ช่วยรักษาความปลอดภัยไซเบอร์ให้องค์กรต่อไปครับ

06 May ถูกกฎหมายด้วยวิธีผิดกฎหมาย

ก่อนหน้านี้บางท่านอาจจะยังไม่เห็นภาพว่าการขโมยข้อมูลส่วนบุคคล คนที่ขโมยไปนั้นเขาจะได้ประโยชน์อะไร  หรือเขาสามารถเอาข้อมูลของเหยื่อไปทำอะไรต่อ บทความนี้ผมจะเล่าให้ท่านฟังถึงคดีที่เกิดขึ้นจริงที่เมืองซิดนีย์ ประเทศออสเตรเลียครับ

ไม่กี่วันที่ผ่านมาคณะตำรวจสหพันธรัฐออสเตรเลีย (AFP) ได้สืบสวนกรณีที่บัญชีสมาชิกผู้ใช้งานหรือที่เรียกว่า Subscription ถูกขโมย ส่งผลให้ชายวัย 23 ปีที่อาศัยอยู่ที่เมืองซิดนีย์ต้องรับโทษเป็นเวลา 2 ปี 2 เดือน และต้องทำหน้าที่บริการชุมชน 200 ชั่วโมง เนื่องจากมีส่วนร่วมในการเป็นผู้สร้างและผู้ดูแลระบบ รวมถึงเป็นผู้รับผลประโยชน์ทางการเงินรายหลักที่ได้เงินจากการให้บริการสมัครสมาชิกออนไลน์ด้วยข้อมูลบัญชีผู้ใช้ที่ถูกขโมยมา

โดยชายหนุ่มถูกจับหลังการเข้าตรวจค้นบ้านพักแห่งหนึ่งในเดือนมีนาคม จนนำไปสู่การยึดแล็ปท็อป (Laptop) ที่ใช้ในการดำเนินการ และสกุลเงินดิจิทัล (Cryptocurrency) ประมาณ 35,000 ดอลลาร์ออสเตรเลีย และเมื่อคำนวณมูลค่าทรัพย์สินที่ถูกยึดทั้งหมดแล้วจะมีมูลค่าประมาณ 1.65 ล้านดอลลาร์ออสเตรเลีย

เรื่องราวทั้งหมดนี้เริ่มต้นเมื่อเดือนพฤษภาคม ปี 2018 สำนักงานสอบสวนกลาง (FBI) ได้ส่งข้อมูลไปที่คณะตำรวจสหพันธรัฐออสเตรเลีย (AFP) โดยข้อมูลดังกล่าวเกี่ยวข้องกับเว็บไซต์ที่ชื่อ WickedGen.com ที่เปิดดำเนินการมาเป็นเวลาประมาณสองปี เพื่อขายรายละเอียดบัญชีที่ถูกขโมยมาสำหรับให้บริการสมัครสมาชิกออนไลน์ของผู้ให้บริการชื่อดังไม่ว่าจะเป็น Netflix, Spotify และ Hulu

ไม่เพียงเท่านั้นคณะตำรวจสหพันธรัฐออสเตรเลีย (AFP) ยังระบุเพิ่มเติมว่า ชายชาวซิดนีย์คนนี้ยังเป็นผู้สร้าง ผู้ดูแลระบบ และผู้รับผลประโยชน์ทางการเงินของอีกสามเว็บไซต์ที่มีขึ้นเพื่อการสร้างบัญชี (Account Generator) ได้แก่ HyperGen, Autoflix และ AccountBot

ซึ่งรายละเอียดบัญชีของผู้ใช้ในประเทศออสเตรเลียและต่างประเทศ ได้รับการยืนยันว่าสามารถนำข้อมูลที่ถูกขโมยหรือรั่วไหลไปก่อนหน้านี้ ไม่ว่าจะเป็น Username, Email Address และ Password มาใช้ซ้ำ รวมถึงนำไปขายเพื่อการเข้าถึงโดยไม่ได้รับอนุญาตได้

จากข้อมูลของคณะตำรวจสหพันธรัฐออสเตรเลีย (AFP) บริการสมัครสมาชิกทั้งสี่บริการของผู้กระทำความผิด มีผู้ใช้งานที่เข้ามาลงทะเบียนด้วยอย่างน้อย 152,863 ราย และมีการให้บริการบัญชีผู้ใช้งานไปใช้อย่างน้อย 85,925 subscription เพื่อให้ลูกค้าเข้าถึงบริการ Streaming ที่ถูกกฎหมายอย่างผิดกฎหมาย คณะตำรวจสหพันธรัฐออสเตรเลีย (AFP) กล่าวว่า ชายคนนี้ได้รับเงินอย่างน้อย 680,000 ดอลลาร์ออสเตรเลียผ่านทาง PayPal โดยการขายบัญชีสมาชิกผู้ใช้งาน (Subscription) ผ่านเว็บไซต์เหล่านี้

การกระทำผิดประเภทนี้มักจะเป็นจุดเริ่มต้นของการโจรกรรม และการจัดการข้อมูลในรูปแบบที่ร้ายกาจยิ่งกว่าที่จะเกิดขึ้นกับเหยื่อ ดังนั้นชายคนนี้จึงถูกจับด้วยความผิดจากการเข้าถึง หรือแก้ไขข้อมูลโดยที่ไม่ได้รับอนุญาต ซึ่งถือเป็นอาชญากรรมที่เกี่ยวข้องกับเงินหรือทรัพย์สินมูลค่า 100,000 ดอลลาร์ขึ้นไป จงใจให้บริการหลบเลี่ยงมาตรการทางเทคโนโลยี ซึ่งเกี่ยวข้องกับข้อมูลประจำตัว ข้อมูลที่เป็นเท็จหรือหลอกลวง

ถึงจะเข้าใช้บริการอย่างถูกกฎหมาย แต่ก็เป็นวิธีการเข้าใช้งานที่ผิดกฎหมาย เรื่องนี้สะท้อนให้เราเห็นจิตสำนึกของผู้ใช้บริการเว็บไซต์ของชายคนนี้อีกด้วยครับ เพราะ “ตบมือข้างเดียวไม่ดัง” หากทุกคนมีจิตสำนึกที่ดีก็คงไม่มีการซื้อบัญชีผู้ใช้แบบผิดกฎหมาย และก็ไม่มีการขโมยบัญชีผู้ใช้มาขายให้ผิดกฎหมายเช่นกันครับ

28 Apr ไฟเขียวเพิ่มงบ Cybersecurity

เป็นความจริงที่ว่าความปลอดภัยขององค์กรแปรผันตรงกับการลงทุนในระบบรักษาความปลอดภัยไซเบอร์ ยิ่งองค์กรลงทุนมากเท่าใดก็ยิ่งมีความพร้อมในการรับมือกับภัยคุกคามได้มากเท่านั้น ถ้าจะพูดให้เห็นภาพหากองค์กรมีเกราะป้องกันมาปกปิดช่องโหว่ของระบบมาก ก็มีโอกาสมากที่แฮกเกอร์จะไม่เลือกโจมตีหรือโจมตีไม่สำเร็จครับ

 PwC หนึ่งในบริษัทตรวจสอบบัญชีที่ใหญ่ที่สุดในโลกรายงานว่า 55% ของผู้บริหารระดับสูงด้านเทคโนโลยีและความปลอดภัยไซเบอร์วางแผนเพิ่มงบประมาณปี 2021 อันเป็นสาเหตุมาจากการเพิ่มสูงของจำนวนข้อมูลรั่วไหล และสถานการณ์การแพร่ระบาดของ COVID-19 ที่ทำให้องค์กรต้องเปลี่ยนแปลงระบบที่ใช้ในการทำงานต่างๆอย่างรวดเร็ว และเมื่อการทำงานที่บ้าน (Work From Home) ดูจะต้องดำเนินไปอีกนานและน่าจะส่งผลให้เกิดการโจมตีที่สูงขึ้นตามไปด้วย ทำให้องค์กรในหลายภาคธุรกิจต้องการยกระดับการป้องกันให้สูงขึ้น

Gartner บริษัทวิจัยและให้คำปรึกษาชั้นนำของโลก ได้ทำการสำรวจโครงการต่างๆในปี 2021 ที่ฝ่าย IT มีการใช้จ่ายพบว่ามีมูลค่ารวมราวๆเกือบ 4 ล้านล้านดอลลาร์สหรัฐ เพิ่มขึ้นราว 6.2% เนื่องด้วยระบบต่างๆที่เกิดขึ้นจากการทำงานที่บ้านกลายเป็นที่ยอมรับโดยทั่วกัน นั่นทำให้ทางทีมรักษาความปลอดภัยไซเบอร์ต้องลงทุนในระบบต่างๆมากขึ้นเพื่อรองรับรูปแบบการทำงานนี้

มีการคาดการณ์ว่า การทำงานที่บ้านหรือการทำงานแบบผสมระหว่างทำที่บ้านกับทำที่บริษัทจะมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง จากผลสำรวจของ Enterprise Technology Research (ETR) พบว่า ผู้ที่มีหน้าที่ตัดสินใจในการลงทุนด้าน IT คาดว่าจะมีการทำงานระยะไกลเพิ่มขึ้นถึงสองเท่าในปีนี้ เพราะองค์กรต่างๆได้พยายามปรับตัวให้รองรับการทำงานลักษณะนี้ เห็นได้จากการที่องค์กรใช้บริการ Software as a Service (SaaS) ซึ่งก็คือการใช้ซอฟต์แวร์ที่ช่วยให้สามารถเข้าถึงโปรแกรมต่างๆ ได้ทุกที่ทุกเวลาผ่านอินเทอร์เน็ต และ Cloud Computing บริการที่ครอบคลุมถึงการใช้กำลังประมวลผล หน่วยจัดเก็บข้อมูล และระบบออนไลน์ต่างๆผ่านผู้ให้บริการ มารองรับการทำงานให้ดำเนินไปได้อย่างราบรื่น

เหตุการณ์ที่ SolarWinds ถูกโจมตีในปลายปี 2020 ทำให้เกิดแรงสะท้อนต่อเนื่องไปยังเหตุการณ์ของ Microsoft Exchange Server ส่งผลให้องค์กรต่างๆตระหนักว่า ช่องโหว่ต่างๆควรได้รับการจัดการ ซึ่ง 20% ของผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลกและผู้บริหารต่างวางแผนที่จะเพิ่มงบประมาณด้านการรักษาความปลอดภัยไซเบอร์ ในขณะที่ทางหน่วยงานรัฐบาลในบางประเทศก็ให้ความสำคัญในเรื่องนี้จนมีการรวบรวมเงินมูลค่าเกือบ 2 พันล้านดอลลาร์สหรัฐ เพื่อรักษาความปลอดภัยและปรับปรุงเทคโนโลยีของรัฐบาลเอง

การรักษาความปลอดภัยไซเบอร์ และการขยายตัวทางดิจิตอลต้องเติบโตไปพร้อมๆกัน การสร้างระบบที่ไม่มีการป้องกันภัยคุกคามที่อาจเกิดขึ้นในอนาคต เปรียบเสมือนกับผลไม้ที่ออกดอกออกผลอยู่บนกิ่งไม้เตี้ยๆ เป็นของหวานสำหรับอาชญากรไซเบอร์ที่มีมากมายในปัจจุบัน เพราะสามารถฉกฉวยไปกินหรือทำลายได้โดยง่าย ดังนั้นองค์กรจะต้องลงทุนในบุคลากร แพลตฟอร์ม และกลยุทธ์การป้องกัน เพื่อรักษาความปลอดภัยของระบบอย่างเหมาะสมทันทีก่อนจะกลายเป็นผลไม้ปลายกิ่ง เป็นเป้านิ่งที่ทำให้แฮกเกอร์เลือกเก็บกินนะครับ

02 Apr ห่วงโซ่ภัยคุกคาม

เชื่อว่าหลายๆท่านใช้เว็บแอปพลิเคชัน (Web Application) อยู่เป็นประจำโดยที่บางท่านอาจไม่ทราบว่าเว็บนั้นเป็นเว็บแอปพลิเคชันหรือไม่ วิธีการสังเกตง่ายๆก็คือ หากเว็บไซต์นั้นสามารถใช้งานได้เสมือนเป็นแอปพลิเคชัน โดยจะเน้นให้ผู้คนเข้ามาใช้งานมากกว่าดูข้อมูลเพียงอย่างเดียว ก็ถือว่าเป็นเว็บแอปพลิเคชันครับ

การใช้งานที่สะดวกและรองรับหลายอุปกรณ์ ทำให้มีคนเลือกใช้จำนวนมากแม้ว่าจะมีความเสี่ยง โดยผลการวิจัยพบว่า เว็บแอปพลิเคชันยังคงเป็นหนึ่งในความเสี่ยงด้านความปลอดภัยที่สูงที่สุดสำหรับองค์กร โดยองค์กรมากกว่า 40% ทำข้อมูลรั่วไหลจนอาจส่งผลกระทบต่อธุรกิจและพันธมิตรของพวกเขา ในขณะที่ 70% ของแอปพลิเคชันมีช่องโหว่ร้ายแรงอย่างน้อยหนึ่งจุดในช่วง 12 เดือนที่ผ่านมา

รายงานของบริษัทรักษาความปลอดภัยด้านแอปพลิเคชันให้ข้อมูลว่า การเพิ่มขึ้นของแอปพลิเคชันที่ใช้ผ่านอินเทอร์เน็ต และสามารถเข้าถึงได้บนเว็บไซต์ บนสมาร์ทโฟน หรืออุปกรณ์อื่นๆ นั้นมีส่วนเพิ่มพื้นที่การโจมตีให้แฮกเกอร์มากขึ้น รวมถึงเพิ่มความเสี่ยงด้านความปลอดภัยสำหรับองค์กรและระบบทั้งหมด

ยิ่งในสถานการณ์ COVID-19 ที่มีการเว้นระยะห่างทางสังคม (Social Distancing) ทำให้ระบบการทำงานผ่าน Cloud (Cloud Application) กำลังเป็นตัวขับเคลื่อนเศรษฐกิจโลก ทำให้มีการใช้งานผ่านอินเทอร์เน็ตมากขึ้น แอปพลิเคชันและข้อมูลบนเว็บที่มากขึ้นในระบบ Cloud ทำให้มีความเสี่ยงที่สูงขึ้นของการละเมิดข้อมูล เพราะแอปพลิเคชันมีความหลากหลายมากขึ้น ในกรณีที่ภัยคุกคามเกิดขึ้นในห่วงโซ่อุปทาน (Supply-Chain Threats) บริษัทจะต้องใช้เวลาแก้ไขช่องโหว่สำคัญๆมากกว่า 190 วันโดยเฉลี่ย

ภาคโรงงานการผลิตดูเหมือนจะเป็นเป้าหมายใหญ่ที่จะถูกโจมตีโดยช่องโหว่ในแอปพลิเคชันที่เชื่อมต่อกับเว็บไซต์ เนื่องจากตามปกติแล้วภาคโรงงานการผลิตไม่ค่อยเชื่อมต่ออินเทอร์เน็ตเหมือนภาคอุตสาหกรรม แต่ด้วยการมาถึงของเทคโนโลยีใหม่ๆ จึงต้องมีการเปลี่ยนระบบและซอฟต์แวร์ที่เคยใช้อย่างรวดเร็วเพื่อให้ทันกับเทคโนโลยีที่เข้ามาใหม่ การเพิ่มขึ้นและการเปลี่ยนแปลงของแอปพลิเคชันที่ไม่เคยมีมาก่อนทั้งในเว็บไซต์และ Cloud ซึ่งเชื่อมต่ออินเทอร์เน็ตมีแนวโน้มที่จะทำให้เกิดความเสี่ยงสูงมากขึ้น

อีกปัจจัยหนึ่งที่ทำให้การผลิตมีความเสี่ยงมากขึ้นคือ Supply Chain ในปัจจุบันขับเคลื่อนด้วยซอฟต์แวร์มากขึ้น ซึ่งหมายความว่าพันธมิตรทางธุรกิจก็ต้องมีการใช้แอปพลิเคชันร่วมด้วยเพื่อทำงานกับคู่ค้า ส่งผลให้คู่ค้าที่ทำธุรกิจร่วมกันมีความเสี่ยงไปด้วยหากบริษัทมีช่องโหว่

ดังนั้นผมแนะนำว่า องค์กรต่างๆต้องตรวจสอบหาช่องโหว่ของแอปพลิเคชัน ทั้งบนเว็บไซต์และบน Cloud อย่างต่อเนื่อง สม่ำเสมอ ซึ่งสามารถทำได้ทันทีและควรทำให้ได้เร็วที่สุดสำหรับทีมพัฒนาและทีมรักษาความปลอดภัยไซเบอร์ ยิ่งในช่วงที่กำลังผลิตแอปพลิเคชันยิ่งต้องมีการตรวจสอบที่รัดกุม เพื่อไม่ให้แฮกเกอร์แอบสร้างช่องโหว่ไว้ล่วงหน้า แล้วกลับมาเจาะระบบในภายหลังอย่างกรณีที่เคยเกิดขึ้นบนข่าวก่อนหน้านี้ เพราะเมื่อเกิดปัญหาขึ้นแล้วนอกจากจะส่งผลเสียให้กับบริษัท พันธมิตรทางธุรกิจ ลูกค้าแล้ว ยังต้องใช้เวลาในการแก้ไขช่องโหว่เป็นระยะเวลานานอีกด้วยครับ

16 Mar ปลูกฝังค่านิยมใหม่ ให้องค์กรสมัยใหม่

ปัญหาที่ท่านผู้รับผิดชอบด้านการทำ Security Awareness Training หลายๆองค์กรพบเจอคือ พนักงานระดับปฏิบัติการรู้สึกกดดันและกังวลเมื่อต้องเข้าอบรม เพราะกลัวว่าหากทำได้ไม่ดีจะถูกลงโทษหรือถูกมองว่าไร้ความสามารถ ในขณะที่ผู้บริหารระดับสูงก็ไม่ได้ให้ความสำคัญกับการอบรมมากนัก แต่มาเข้าร่วมเพื่อให้ตรงตามข้อกำหนดและกฎระเบียบของบริษัทเท่านั้น บทความนี้ผมจะมาบอกเคล็ดลับที่ทำให้พนักงานอยากเข้าร่วมการอบรมมากขึ้นครับ

อันดับแรกท่านต้องสร้าง “ค่านิยมใหม่” ให้กับพนักงานในองค์กรก่อนครับ โดยเปลี่ยนจากการอบรมเพื่อหาจุดอ่อนขององค์กร นำเสนอความอันตรายของภัยทางไซเบอร์ มาเป็นการอบรมเพื่อพัฒนาบุคลากร นำเสนอความสำคัญของการรักษาความปลอดภัยไซเบอร์ จะทำให้พนักงานรู้สึกสนใจและอยากเข้าร่วมการอบรมมากขึ้นครับ

ท่านยังสามารถจัดเป็นกิจกรรมมอบรางวัลหรือประกาศนียบัตรให้กับพนักงานที่เข้าอบรมอย่างสม่ำเสมอ หรือได้รับคะแนนสูงเมื่อมีการทดสอบหลังการอบรม โดยกำหนดเกณฑ์ไปเลยครับ เช่น ทีมใดแยกได้ว่าอีเมลใดเป็นอีเมลหลอกลวง (Phishing) ได้มากถึงกี่ % จากอีเมลทั้งหมดจะได้รางวัล เพื่อสร้างมุมมองในแง่บวกและจูงใจให้พนักงานอยากเข้าร่วมการอบรมมากขึ้น

สร้างภาพลักษณ์ที่ดีให้กับการทำ Security Awareness Training ก็สำคัญครับ โดยท่านสามารถสร้างได้ทั้งภายในและภายนอกองค์กรครับ ภายในองค์กรท่านต้องทำให้การอบรมนี้เป็นเหมือนเวทีที่พนักงานจะได้แสดงศักยภาพในเรื่องความรู้เกี่ยวกับโลกไซเบอร์ให้หัวหน้าและเพื่อนร่วมงานเห็น

ท่านควรทำให้พนักงานรู้สึกว่าองค์กรให้ความสำคัญในการพัฒนา เพิ่มพูนความรู้ของพวกเขา ไม่ใช่แค่เฉพาะเรื่องที่เกี่ยวกับการทำงาน แต่เกี่ยวกับการรักษาความปลอดภัยไซเบอร์ที่พนักงานจะได้ประโยชน์ในเรื่องส่วนตัวด้วย เพราะทุกคนต่างเชื่อมโยงในโลกไซเบอร์ เริ่มตั้งแต่การมี Facebook การเข้าใช้งานเว็บไซต์ การมีบัญชีอีเมลของตัวเอง ก็ถือว่าเชื่อมโยงกับโลกไซเบอร์แล้ว เมื่อพนักงานเห็นว่าการอบรมนี้ให้ประโยชน์ทั้งในเรื่องงานและเรื่องส่วนตัว ก็จะรู้สึกอยากเข้าร่วมและรู้สึกดีกับองค์กรมากขึ้นครับ

ในขณะที่ภาพลักษณ์ภายนอกองค์กร ท่านสามารถประชาสัมพันธ์ให้ลูกค้าและพันธมิตรทราบได้ว่า องค์กรของท่านให้ความสำคัญกับการรักษาความปลอดภัยไซเบอร์ มีการจัดทำ Security Awareness Training ให้กับพนักงานเป็นประจำ ลูกค้าและพันธมิตรของบริษัทท่านก็จะเกิดความมั่นใจที่จะใช้บริการหรือทำธุรกิจร่วมกับท่าน องค์กรของท่านก็จะดูเป็นองค์กรที่ทันสมัยและน่าไว้วางใจมากขึ้นครับ

การทำ Security Awareness Training ในปัจจุบันนี้มีแพลตฟอร์มมากมายให้ท่านเลือกใช้ครับ ซึ่งการใช้แพลตฟอร์ม หรือโปรแกรมมาช่วยนั้นสะดวกและวัดผลได้ง่ายมากขึ้นครับ บางแพลตฟอร์มมีทั้งหลักสูตรมากมายในรูปแบบที่เข้าใจง่าย เช่น วีดีโอ มีระบบจำลองสถานการณ์ ระบบการทำแบบทดสอบ ระบบติดตามผลการทดสอบ ระบบการคิดคะแนน ทำให้ผู้เข้าอบรมเข้าใจได้ง่าย รู้สึกเป็นส่วนตัว และผู้ทำการอบรมสามารถติดตามผลได้ง่าย และช่วยประหยัดเวลาให้กับทั้งสองฝ่ายครับ

ผมหวังว่าบทความนี้จะช่วยให้ท่านสามารถสร้างค่านิยมใหม่ๆ ให้พนักงานรู้สึกยินดีกับการทำ Security Awareness Training ทุกครั้ง จนสามารถจัดทำได้เป็นประจำนะครับ

16 Mar บริษัทเล็กก็ไม่เว้น

วันนี้ผมมีเรื่องจริงของบริษัทที่ทำธุรกิจด้านการขนส่งด้วยรถบรรทุกที่แทบจะไม่ได้เกี่ยวข้องกับโลกไซเบอร์ แต่กลับถูกแรนซัมแวร์ หรือมัลแวร์เรียกค่าไถ่โจมตีมาเล่าให้ท่านทราบครับ

เรื่องเริ่มที่ George ผู้บริหารบริษัทได้รับอีเมลหลังถูกโจมตีด้วยแรนซัมแวร์ ซึ่งในอีเมลเป็นไฟล์รูปภาพหน้าจอของระบบการจัดการขนส่ง (Transportation Management System) ที่เป็นศูนย์กลางในการควบคุมทุกอย่างในการขนส่ง โดยอีเมลนี้ก็ถูกส่งเพื่อกดดันให้จ่ายค่าไถ่ประมาณ 300,000 USD เพื่อแลกกับการที่ข้อมูลจะไม่รั่วไหลออกไป ซึ่งถ้าจะว่ากันตามจริงแล้วแค่ภาพหน้าจอของระบบ TMS ก็ทำให้ George วิตกมากแล้วเพราะการโดนแรนซัมแวร์จู่โจมระบบ TMS นั้นอาจทำลายระบบหลักๆที่ใช้ในการขนส่งด้วยรถบรรทุกทั้งหมดได้ หากมีการเข้ารหัสข้อมูลทุกอย่างในระบบ และขโมยข้อมูลออก

“มันเหลือเชื่อมาก” George กล่าว “มันสามารถทำให้ธุรกิจของเราพังลงได้เลย แค่คิดก็น่ากลัวแล้ว”

เขาคาดว่าแฮกเกอร์น่าจะสามารถเข้าถึงระบบ TMS จากการขโมยบัญชีผู้ใช้งานและรหัสผ่านจากคอมพิวเตอร์ภายในบริษัทที่มีการใช้งานผ่าน AscendTMS ระบบบน Cloud ที่นิยมใช้กันในอุตสาหกรรมขนส่ง และผ่านเข้ามาทางเว็บไซต์ นี่ทำให้ George เครียดมากและอยากจะหาวิธีป้องกันไม่ให้ตกเป็นเหยื่ออีก จึงตัดสินใจปรึกษาผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ภายใต้ข้อแม้ที่ว่า ชื่อจริงๆของเขา ชื่อบริษัท และสถานที่ตั้งของบริษัทจะไม่ถูกเปิดเผย

บริษัทของ George เป็นหนึ่งในหลายแสนบริษัทที่ทำธุรกิจขนส่งด้วยรถบรรทุก ท่ามกลางบริษัทจำนวนมากขนาดนั้น George ก็ไม่ได้คาดคิดว่าบริษัทที่เขาบริหารอยู่จะตกเป็นเป้าหมายที่น่าสนใจของอาชญากรไซเบอร์ ซึ่งเป็นความเข้าใจที่ผิดเพราะผู้เชี่ยวชาญกล่าวว่า โดยส่วนมากเหยื่อที่นักเรียกค่าไถ่ไซเบอร์ชอบนั้นกลับกลายเป็นธุรกิจขนาดเล็ก เนื่องจากส่วนมากบริษัทเล็กๆมีระบบการป้องกันที่หละหลวม รวมถึงอัตราการจ่ายเงินหลังจากที่มีการจู่โจมสำเร็จมีแนวโน้มสูงว่าเหยื่อจะยอมจ่ายเงินเรียกค่าไถ่มากกว่าไม่จ่ายถ้าต้องปล่อยให้ธุรกิจล้มไป

George พยายามต่อรองค่าไถ่กับอาชญากร เพราะเขาคิดว่าถ้าต้องจ่ายค่าไถ่มากขนาดนั้นสู้เอาเงินไปปรับระบบและเปลี่ยนอุปกรณ์ใหม่ทั้งหมดจะดีกว่า และในระหว่างที่กำลังพยายามแก้ไขปัญหา George ได้แจ้งเตือนลูกค้าของบริษัททุกรายว่า ตอนนี้บริษัทถูกโจมตีจากอาชญากรทางไซเบอร์ โดยหวังว่าเหตุการณ์นี้จะไม่ทำให้เกิดผลกระทบกับลูกค้า ในขณะเดียวกันก็ยกระดับความปลอดภัยทางไซเบอร์ด้วยการจ้างผู้เชี่ยวชาญมาช่วย รวมไปถึงมีการอบรมพนักงานเพื่อเพิ่มความตระหนักรู้ทางด้านการรักษาความปลอดภัยไซเบอร์  เพราะ George ไม่แน่ใจว่าเหตุการณ์ครั้งนี้มีสาเหตุมาจากจุดไหนเป็นอันดับแรก แต่เขาคาดว่าน่าจะเริ่มมาจากการได้รับอีเมลหลอกลวง (Phishing)

ในส่วนของบริษัทเล็กๆในประเทศไทยก็เช่นกันครับ อย่าคิดว่าบริษัทของตนเป็นบริษัทเล็กๆแล้วจะไม่เป็นเป้าหมาย นั่นเป็นความคิดที่ผิดครับ ทุกบริษัทล้วนเชื่อมต่อกับโลกไซเบอร์และมีโอกาสถูกโจมตีเท่าเทียมกันหมดทุกแห่ง เราจะเห็นได้ว่ามีข่าวบริษัทเล็กๆในไทยหลายแห่งที่ถูกแรนซัมแวร์โจมตี ขึ้นอยู่กับว่าจะเป็นวันไหนเท่านั้นครับ