Cyber Security

COVID-19

Digital

25.01.2023

【Cyber Security】กรณีศึกษาจริงของภัยไซเบอร์ ปัญหาการคุกคามระดับโลกที่องค์กรต้องเตรียมรับมือ

กรณีศึกษาจริงของภัยไซเบอร์ ปัญหาการคุกคามระดับโลกที่องค์กรต้องเตรียมรับมือ

ในทุก ๆ วันเราจะเห็นได้ว่าอาชญากรรมไซเบอร์เติบโตและทวีคูณความรุนแรงขึ้นต่อเนื่องซึ่งมีเคสตัวอย่างให้เห็นกันอย่างมากมาย ทั้งยังมีรูปแบบการโจมตีที่หลากหลายโดยมุ่งเป้าไปทุกช่องทางตั้งแต่โครงสร้างระบบ จนถึงข้อมูลที่อยู่ภายในองค์กรและลุกลามไปจนก่อให้เกิดความเสียหายอย่างใหญ่หลวง

ดร.ธัชพล โปษยานนท์ ผู้อำนวยการ บริษัท พาโล อัลโต เน็ตเวิร์กส์ ประจำประเทศไทยและอินโดจีน ได้มีการจำแนกการพัฒนาการของภัยคุกคามด้านไซเบอร์จากการสำรวจทั่วโลกทั้งหมดไว้ได้แก่ ภัยไซเบอร์ที่เกิดจาก Digital Transformation การใช้ AI ในการเจาะหาช่องโหว่ อุปกรณ์ที่เชื่อมต่อนวัตกรรมใหม่อย่าง 5G, การโจมตีผ่านเครือข่ายอินเทอร์เน็ต, การแฮกข้อมูลระหว่างการส่งข้อมูล และการโจมตีผ่านบุคคลภายนอกที่มีส่วนเกี่ยวข้องกับระบบไอทีในองค์กร

ความร้ายแรงของภัยไซเบอร์

ช่วงหลายปีที่ผ่านมาภัยไซเบอร์ถือว่ามีการวิวัฒนาการความรุนแรงมากขึ้น ดร.ธัชพล ได้เปิดสถิติชี้ให้เห็นความเสียหายจากความร้ายแรงของภัยไซเบอร์ไว้ ดังนี้

– ในช่วงปี 2563-2565 การโจมตีทางไซเบอร์เพิ่มสูงขึ้นกว่า 56%

– ปี 2564 มีการจ่ายค่าไถ่ราว 1 พันล้านเหรียญ หรือคิดเป็นเงินไทยประมาณ 35,000 ล้านบาท และมีการข่มขู่เรียกค่าไถ่อยู่ที่ 1 ล้านล้านเหรียญ หรือคิดเป็นเงินไทย 35 ล้านล้านบาท

– มูลค่าความเสียหายจากการโดนโจมตีเรียกค่าไถ่มากกว่า 10 เท่า เป็นผลมาจากระบบและการดำเนินการทำงานหยุดชะงัก

นอกจากนี้ ดร.ธัชพล ได้ให้ข้อมูลเพิ่มเติมว่า ในปัจจุบันความนิยมของผู้โจมตีทางไซเบอร์หันมาโจมตีเพื่อเรียกค่าไถ่และบังคับจ่ายเงินผ่านคริปโทฯ เพราะไม่มีการตรวจสอบข้อมูลของเจ้าของบัญชีทั้งผู้รับและผู้ส่ง

“ความร้ายแรงของภัยไซเบอร์ไม่เพียงแค่โจมตีข้อมูลและเรียกค่าไถ่ แต่ยังมีการรับจ้างทำ Ransomware เพื่อแฮกข้อมูลในแต่ละหน่วยงาน ซึ่งเป็นธุรกิจที่แพร่หลายมากในปัจจุบัน”

วิวัฒนาการภัยไซเบอร์ปี 2565 และในอนาคต

ดร.ธัชพล ได้สรุปภาพรวมและแนวโน้มภัยไซเบอร์ที่อาจเกิดขึ้นในอนาคตหลัก ๆ ด้วยกัน 4 จาก 7 เรื่อง ได้แก่ Attack Surface Expansion, Identity System Defense, Digital Supply Chain Risk, Vendor Consolidation

1. Attack Surface Expansion เป็นการขยายพื้นผิวการโจมตีผ่านการทำงานแบบ Work From Home โดยเจาะเข้าไปยังอุปกรณ์ที่เชื่อมต่อเน็ตเวิร์กหรืออื่น ๆ ที่เหนือกว่าองค์กรควบคุมได้

2. Identity System Defense การตรวจจับและการป้องกันด้วยการระบุตัวตน ในปัจจุบันควรมีการยืนยันตัวตนแบบ 2 ชั้น เพื่อควบคุมความปลอดภัยที่เพิ่มขึ้น

3. Digital Supply Chain Risk พันธมิตรที่เข้ามาทำงานร่วมกับองค์กรในด้านไอที อาจมีจุดหละหลวมและเกิดช่องโหว่ให้เข้ามาโดนโจมตี

4. Vendor Consolidation ความปลอดภัยจากเทคโนโลยีของผู้จัดจำหน่าย ควรเป็นเทคโนโลยีที่ช่วยแก้ไขปัญหาภัยไซเบอร์ในองค์กร มีการตรวจจับไวรัสได้อย่างรวดเร็วและมีการกู้คืนข้อมูลได้

การโจมตีครั้งใหญ่ในช่วง 5 ปีที่ผ่านมา

เคสตัวอย่างที่เกิดจากการโดนโจมตีทางไซเบอร์ทางดร.ธัชพล ได้ยกตัวอย่างการโจมตีครั้งใหญ่ระดับโลก รวมไปถึงการโดนโจมตีจากภัยไซเบอร์ในประเทศไทยหลัก ๆ ด้วยกันดังนี้

SingHealth
เครือข่ายสาธารณสุขของสิงคโปร์ ซึ่งรูปแบบการโจมตีเป็นการแฮกเข้าไปในระบบข้อมูลคนไข้ โดยมีเป้าหมายสำคัญคือ นายกรัฐมนตรีและรัฐมนตรีของสิงคโปร์ เพื่อทำให้เกิดความอับอาย

Colonial Pipeline
ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐฯ โดนแฮกจากมัลแวร์เรียกค่าไถ่ ทำให้บริษัทฯ ต้องหยุดการทำงานผ่านระบบท่อส่งน้ำมันทั้งหมด โดยผลกระทบที่เกิดขึ้นคือ ขนส่งน้ำมัน 45% ของน้ำมันที่ใช้งานในฝั่งตะวันออกของสหรัฐฯ ทั้งหมด ได้รับผลกระทบการจากหยุดชะงักของระบบในเหตุการณ์นี้

Kaseya VSA
ซอฟต์แวร์จัดการระบบไอทีครบวงจรถูก Ransomware โจมตีผ่านการใส่มัลแวร์ตัวนี้เข้าไปในระบบและเจาะหาช่องโหว่ทำการเข้ารหัสไฟล์ของแต่ละบริษัทที่ใช้งานซอฟต์แวร์ของ Kaseya และเรียกค่าไถ่จำนวนมหาศาล

นอกจากนี้ ดร.ธัชพล ยังได้ยกตัวอย่างรูปแบบการโจมตีที่หลาย ๆ บริษัทโดนคุกคามทางไซเบอร์ ว่าในช่วง 5 ปีที่ผ่านมามีรูปแบบใดบ้างซึ่งมีหลัก ๆ ด้วยกัน 2 รูปแบบ ได้แก่ WannaCry และ MAZE Ransomware

WannaCry
คือมัลแวร์เรียกค่าไถ่ชนิดหนึ่ง โดยจะทำการโจมตีเข้าไปยังระบบเครือข่ายที่ไม่มีการอัปเกรดหรือการดูแล ล็อกไฟล์ของเหยื่อเพื่อไม่ให้ใช้งานและต้องจ่ายค่าไถ่เป็นการแลกเปลี่ยนข้อมูล ซึ่งการโดนโจมตีนี้ส่งผลกระทบและก่อให้เกิดความเสียหายกว่า 150 ประเทศ บริษัทที่ได้รับผลกระทบ อาทิ FedEx, Telenor

MAZE Ransomware
คือมัลแวร์ชนิดหนึ่งที่ทำการโจมตีผู้ใช้งานผ่านช่องโหว่ของระบบเพื่อเข้าถึงข้อมูลและทำการขโมยข้อมูลเพื่อเรียกค่าไถ่ในหลาย ๆ องค์กรขนาดใหญ่

พัฒนาการเทคโนโลยีด้านป้องกันภัยไซเบอร์

เมื่อความรุนแรงของการโจมตีทางไซเบอร์เพิ่มขึ้น เรื่องของเทคโนโลยีการดูแลระบบและป้องกันภัยไซเบอร์ก็มีการพัฒนาขึ้นมาเพื่อกำจัดมัลแวร์เหล่านั้น โดยดร.ธัชพล ได้แบ่งรูปแบบของการพัฒนาการด้านป้องกันภัยไซเบอร์ทั้งหมด 4 หัวข้อ

1. Software-Defined Wire Area Network หรือ SD-WAN
ในปัจจุบัน Software Asset Services ไม่ว่าจะ Zoom, Microsoft Team, Salesforce ไม่จำเป็นต้องเชื่อมต่อกับระบบเก่า ดังนั้น SD-WAN จะเข้ามาช่วยจัดการลดความยุ่งยากบนคลาวด์ได้อย่างมีประสิทธิภาพและมีความปลอดภัยสูง

2. Anti-Malware and Antivirus Software
ซอฟต์แวร์หรือระบบแอนตี้ไวรัสจะต้องเข้าใจพฤติกรรมการโจมตีที่เจาะเข้ามาผ่านอุปกรณ์ว่าเข้ามาได้อย่างไร มากกว่าการดักจับและป้องกันแค่ปลายทาง

3. Cloud Native Security, Ai-based
เทคโนโลยีด้านความปลอดภัยทางไซเบอร์ที่ออกแบบมาเพื่อรองรับการประมวลผลผ่านคลาวด์ หากมีการแชร์ไฟล์ให้แก่บุคคลภายนอกโดยที่ไม่รู้ว่าเป็นใคร จึงจำเป็นต้องมีการเครื่องมือที่มาตรวจจับไวรัส

4. Ai-based Cybersecurity Platform
ความปลอดภัยทางไซเบอร์ในด้านการพัฒนาแชตบอต ไม่ว่าจะเป็นในเรื่องของการกู้คืน กระบวนการความรวดเร็ว และความปลอดภัยของข้อมูล

ขั้นตอนในการจัดการภัยคุกคามไซเบอร์

ดร.ธัชพล ให้ข้อแนะนำสำหรับการจัดการและการป้องกันการเกิดภัยคุกคามทางไซเบอร์ไว้ด้วยกัน 6 ข้อ ได้แก่ Policy, Prevent Known Vulnerability, Reduce People Vulnerability, Prevent Ransomware Installation, Prevent lateral movement และ Automate Detection And Response ซึ่งได้อธิบายเพิ่มเติมในแต่ละส่วนไว้ดังนี้

1. Policy
ดร.ธัชพล กล่าวว่า องค์กรควรมีนโยบายหรือกฎระเบียบเพื่อกำหนดว่าผู้ใช้งานแต่ละคนสามารถเข้าถึงข้อมูลในส่วนใดและมีการสร้างการรับรู้ให้แก่คนในองค์กรเพื่อทำความเข้าใจ Cybersecutiry ให้มากขึ้น

2. Prevent Known Vulnerability (Software)
ป้องกันช่องโหว่ด้วยซอฟต์แวร์ เพื่อลดโอกาสในการโดนโจมตีข้อมูลที่อยู่ภายในองค์กร โดยเลือกซอฟต์แวร์ที่เหมาะสมกับองค์กรก็จะเพิ่มประสิทธิภาพความปลอดภัยได้

3. Reduce People Vulnerability (Security Awareness)
คนในองค์กรควรมีความรู้ ความเข้าใจในเรื่องภัยไซเบอร์อย่างรูปแบบการโจมตีที่เกิดเป็นรูปแบบไหน ก็จะช่วยให้ไม่ตกเป็นเหยื่อ หรือถูกโจมตีเอาข้อมูลออกไปได้

4. Prevent Ransomware Installation
องค์กรควรมองหาโซลูชันในการป้องกันการโจมตีรูปแบบ Ransomware ที่ในปัจจุบันมีหลายองค์กรถูกโจมตีด้วยมัลแวร์ตัวนี้ ซึ่งการจัดการป้องกันสามารถทำได้โดยนำเครื่องมือ AI&ML (Artificial Intelligence & Machine Llearning) เข้ามาช่วยป้องกันภัยไซเบอร์ที่เกิดขึ้น

5. Prevent Lateral Movement
เป็นการป้องกันการโดนโจมตีรอบข้าง โดยนำแนวคิด Zero Trust คอนเซ็ปต์ของความไม่ไว้วางใจสิ่งใดเลยเข้ามาป้องกันภัยไซเบอร์ในองค์กร โดยเริ่มต้นออกแบบแนวทางการป้องกันตั้งแต่พื้นฐานข้อมูลที่สำคัญและมีค่าว่าควรมีใครที่จะเป็นต้องเข้าข้อมูลนั้น

6. Automate Detection And Response
การตรวจจับและการตอบสนองต่อภัยไซเบอร์โดยทันที ดร.ธัชพล กล่าวว่า ที่ผ่านมาคนส่วนมากมักรอให้เกิดเหตุแล้วค่อยแก้ไข แต่ต่อไปเราสามารถหาเครื่องมือที่ตรวจจับมัลแวร์หรือไวรัสได้ทันทีก่อนเกิดเหตุ หรือเกิดความเสียหาย

กฎหมายที่เกี่ยวข้องกับความปลอดภัยไซเบอร์

ความรุนแรงจากการคุกคามทางไซเบอร์ที่เกิดขึ้น เราจำเป็นต้องมีกฎหมายหรือกฎระเบียบด้านความปลอดภัยทางไซเบอร์ เพื่อครอบคลุมความปลอดภัยให้แก่องค์กรมากที่สุด โดยดร.ธัชพล กล่าวว่า ในประเทศไทยมีกฎหมายในเรื่องของความปลอดภัยไซเบอร์ คือ พรบ.ไซเบอร์ หรือพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คือกฎหมายที่สร้างขึ้นในการป้องกันการรับมือความเสี่ยงจากภัยไซเบอร์ทุกด้าน ไม่ว่าจะเรื่องของข้อมูลเสียหาย หรือเกิดข้อมูลรั่วไหล และมีบทลงโทษตามความผิดที่เกิดขึ้น โดยมีการจัดตั้งคณะกรรมการ ได้แก่ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ, คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ และคณะกรรมการบริหารสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์

อย่างไรก็ตาม ดร.ธัชพล กล่าวว่า นอกจากพรบ.ไซเบอร์ ยังมีกฎหมายที่เกี่ยวข้องหรือใกล้เคียงกับภัยไซเบอร์ นั่นคือ กฎหมาย PDPA ที่จะช่วยจัดการบริหารและสนับสนุนพรบ.ไซเบอร์

“กฎระเบียบในแต่ละส่วนที่ออกมา แต่ละฝ่ายควรจะต้องมีการประเมินความสุ่มเสี่ยงของภัยไซเบอร์ที่อาจเกิดขึ้นในองค์กร และต้องมีการส่งรายงาน เพื่อประเมินความปลอดภัยทางไซเบอร์โดยอ้างอิงตามมาตรฐาน และกฎหมายแต่ละส่วนก็จะเข้ามาช่วยดูแลรักษาความปลอดภัยด้านไซเบอร์”

แนวทางการป้องกันการโจมตีมัลแวร์เรียกค่าไถ่ในองค์กร

ดร.ธัชพล กล่าวว่า ในตอนนี้องค์กรไม่ควรแก้ปัญหาที่ปลายเหตุ แต่ควรเริ่มจากการสร้างความแข็งแรงให้กับองค์กรเหมือนกับการฉีดวัคซีน โดยองค์กรควรจะต้องยืนอยู่บนพื้นฐานความปลอดภัยทางไซเบอร์ เช่น สร้างการรับรู้แก่คนในองค์กร ไม่เผลอคลิกลิงก์ที่สุ่มเสี่ยง เป็นต้น ซึ่งดร.ธัชพล ได้วิธีการประเมินความเสี่ยงในองค์กรไว้ว่า องค์กรควรมี Framework หรือกรอบการบริหารจัดการในองค์กร อีกทั้งควรมีการหาอุปกรณ์ที่มีการตรวจจับไวรัสที่มีประสิทธิภาพมาเสริมสร้างความปลอดภัยในองค์กร ซึ่งอาจใช้ AI&ML เข้ามาช่วย ตลอดจนวิธีการกู้คืนข้อมูลหากโดนโจมตีจาก Ransomware

“สำหรับองค์กรที่ทำเรื่องของ Digital Transformation การควบคุมภัยไซเบอร์ไม่ให้เกิดขึ้นคงเป็นไปได้ยาก แต่หากมองในมุมกลับว่าเราจะมีวิธีการจัดการอย่างไร และประเมินศักยภาพความเสี่ยงขององค์กร ก็จะช่วยป้องกันและลดความเสี่ยงลงไปได้”

นอกจากนี้ ดร.ธัชพล ได้กล่าวทิ้งท้ายว่า การโจมตีทางไซเบอร์ในปัจจุบัน สามารถโจมตีง่ายขึ้นผ่านการเคลื่อนที่ของข้อมูล ดังนั้นองค์กรอาจนำโมเดล SASE (Secure Access Service Edge) เข้ามาช่วยปรับปรุงเครือข่ายให้แก่พนักงานที่ทำงานจากทุกที่ที่ไม่ใช่แค่ภายในองค์กร เพื่อเป็นการยกระดับความปลอดภัยไซเบอร์ในองค์กรได้อีกขั้น

RECOMMEND