อ.ปริญญา ชี้ หน่วยงานที่ได้รับงบความปลอดภัยไซเบอร์ไม่พอ เสี่ยงถูกเจาะระบบ
อ. ปริญญา หอมเอนก ชี้ แฮกเกอร์ต่างๆ มองว่าหน่วยงานรัฐนั้น เป็น Soft Target มีการป้องกันทางไซเบอร์ที่ต่ำกว่า สถาบันการเงิน ที่มีการป้องกันหนาแน่น นั่นทำให้ เหตุการณ์อันตรายทางไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์อยู่ในไทยเพิ่มขึ้นอย่างมาก ในไตรมาสที่ 2 ของปี 2024
จากกรณีที่ แคสเปอร์สกี้ (Kaspersky) บริษัทด้านความปลอดภัยไซเบอร์ระดับโลก เปิดเผยตัวเลขที่น่าตกใจ เมื่อพบว่าเหตุการณ์อันตรายทางไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์อยู่ในประเทศไทยเพิ่มขึ้นอย่างมาก ในไตรมาสที่ 2 ของปี 2024 (เมษายน - มิถุนายน) แคสเปอร์สกี้ตรวจพบเหตุการณ์โจมตี 196,078 ครั้ง ซึ่งเพิ่มขึ้นมากถึง 203.48% เมื่อเทียบกับไตรมาส 2 ของปีที่แล้ว ซึ่งพบเหตุการณ์ 64,609 ครั้ง
จากตัวเลขที่เกิดขึ้นนี้ หากมองในเชิงสถิติคณิตศาสตร์ ถือว่าน่าตกใจ เพราะนี่คือการเพิ่มขึ้นอย่างมีนัยยะสำคัญมากๆ และสิ่งที่ตามมาก็คือ ความกังวลใจ ของผู้คนทั่วไปที่ใช้คอมพิวเตอร์
กลลวงไซเบอร์ที่ว่านี้ มีหลากหลายช่องทาง , โดยผู้ก่อภัยคุกคามใช้เซิร์ฟเวอร์ที่ถูกโจมตีเพื่อโฮสต์เว็บไซต์ที่ใช้ส่งมัลแวร์ไปยังผู้ใช้ที่ไม่ทันระมัดระวัง และถูกล่อลวงไปยังเว็บไซต์อันตรายผ่านโฆษณาปลอม ลิงก์ฟิชชิงในอีเมล SMS และวิธีอื่นๆ
SPRiNGTech ได้สอบถามไปถึง อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ประธานกรรมการ บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด และ บริษัท ไซเบอร์ตรอน จำกัด ต่อประเด็นนี้ โดยอาจารย์ปริญญา หอมเอนก ได้แสดงความคิดเห็นไว้อย่างน่าสนใจ
อาจารย์ปริญญา หอมเอนก ได้เปรียบเทียบให้เห็นว่า การโจมตีทางไซเบอร์ กับ การตั้ง Host ในไทย นั่นแตกต่างกัน และการโจมตี เกือบ 2 แสนครั้ง ตัวเลขนี้มันบ่งบอกว่า IP Addrees มาจากประเทศไทย ถ้าให้ผมคาดคะเนจากเรื่องนี้นะ นี่ไม่ใช่คนไทย เพราะเฮกเกอร์ต่างๆ มองว่าหน่วยงานรัฐนั้น เป็น Soft Target ก็คือว่า 1 หน่วยงานการศึกษา 2. หน่วยงานภาครัฐฯ 3. หน่วยงานด้าน Health Care จะเห็นได้ว่าที่ลิสต์มาทั้งหมดนี้ เป็นเป้า เป็นหน่วยงานที่อาจไม่ได้มีระบบป้องกันอย่างเพียงพอ อาจมีมาตรฐานการรักษาความมั่นคงปลอดภัยต่ำกว่าสถาบันการเงินที่มีการป้องกันที่ได้มาตรฐานในระดับหนึ่ง
“ คำว่า Soft Target หากเปรียบเทียบให้เห็นภาพก็คือ สมมุติ โจรจะขโมยรถ โจรย่อมเลือกขโมยรถที่ไม่ได้ล็อกเกียร์เทียบกับรถที่มีการล๊อกเกียร์ บ้านที่ไม่ได้เปิดไฟหน้าบ้านโจรจะชอบมากกว่า ระบบที่เป็น soft target มันจะถูกแฮกอยู่เป็นประจำ แฮกเกอร์มักจะเข้ามาในเครื่องเรา และใช้เป็นประโยชน์ในการไปโจมตีคนอื่นต่อไป แล้วเวลาตามรอย มันก็จะตามรอยที่ไทย แต่ทุกคนไม่ต้องตกใจ เพราะว่าเหตุการณ์เหล่านี้เกิดมาแล้ว ซ้ำแล้วซ้ำเล่า อย่างยกตัวอย่างสิ่งที่เกิดขึ้นในอดีต ในปี 2014 เคยมีเหตุการณ์ กรณีมีทีม แฮกเกอร์ เข้าไปเจาะระบบข้อมูลคอมพิวเตอร์ของบริษัท โซนี่ พิกเจอร์ เอ็นเทอร์เทนเมนต์ ซึ่งเป็นบริษัทสร้างภาพยนตร์ยักษ์ใหญ่ของฮอลลีวูด ในสหรัฐฯ ขณะที่คาดการณ์ว่าอาจเป็นฝีมือของรัฐบาลเกาหลีเหนือ เพราะโซนี่ ไปทำหนังล้อเลียนคิม จอง อึน, IP ที่แฮก โซนี่ พิกเจอร์ ณ เวลานั้น ต้องถือว่ามาจากโรงแรมและมหาวิทายาลัยแห่งหนึ่งในกรุงเทพ ตอนนั้นเป็นข่าวดังไปทั่วโลกเลย”
ระบบความมั่นคงปลอดภัยทางไซเบอร์ ที่ไม่เท่ากัน ?
อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ มีมุมมองว่า ในประเทศไทย ในแต่ละหน่วยงานนั้น มีระบบรักษาความปลอดภัยทางไซเบอร์ ที่ไม่เท่ากัน Cyber Inequity ให้เห็นภาพง่ายๆ ก็คือ เปรียบได้กับเรื่องได้รับการศึกษาไม่เท่ากัน ได้รับงบประมาณไม่เท่ากัน เป็นตัวอย่าง
"มันก็เหมือนกับการที่ทุกคนมีทรัพย์ไม่เท่ากัน บางหน่วยงานมีงบประมาณทางด้านไซเบอร์ต่ำ ยกตัวอย่างให้เห็นภาพ เช่น โรงพยาบาล งบประมาณแทบไม่มีสำหรับเรื่องความมั่นคงปลอดภัยไซเบอร์เลย ที่นี่ พอแฮกเกอร์ได้มองว่าหน่วยงานไหนระบบรักษาความปลอดภัยไม่เพียงพอ เขาก็เข้ามาแฮก"
แนวทางแก้ไขและป้องกัน เพื่อให้ทุกอย่างรัดกุมขึ้น
ภาพปัญหาภัยไซเบอร์ในไทยเริ่มมีถูกฉายภาพชัดขึ้นเรื่อยๆ เพราะนี่ก็เป็นอีกหนึ่งกระจกสะท้อนโครงสร้างโดยรวมด้วย และเมื่อมีปัญหา ทุกคนต่างก็ต้องการ "ทางหนีไฟ" ทางแก้ไข ซึ่ง อาจารย์ปริญญา หอมเอนก มองว่า การจะป้องกันก็คือต้อง มีมาตรการให้ทุกหน่วยงานทำงานป้องกันทางไซเบอร์ด้วยความรัดกุมมากขึ้น และสิ่งที่จะเป็น "ไม้เด็ด" ก็คือ การจำเป็นต้องมีโทษปรับ สำหรับ หน่วยงานที่ทำข้อมูลรั่วไหลไปถึงมือแฮกเกอร์
"ที่ผ่านมาในอดีต สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส) หรือ PDPC เราไม่ได้ปรับใครเลย ทั้งที่เรามี มี พ.ร.บ. PDPA นะ ช่วงโควิด ประเทศเราผ่านช่วงเวลายากลำบาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส) หรือ PDPC มีนโยบายว่าเราจะยังไม่ปรับ ให้ทุกคนปรับตัวก่อน ในหลักความเป็นจริงแล้ว หากใครทำข้อมูลรั่วจะต้องถูกปรับ แต่ที่ผ่านมามีหน่วยงานรัฐข้อมูลรั่ว อยู่หลายครั้ง วันนี้ สคส. มีนโยบายให้ปรับตามกฏหมายช่วงที่ผ่านมา เราได้ปรับบริษัทแห่งหนึ่ง ตอนนี้เขาก็ได้แก้ปัญหา และ ทำได้ดีในระดับที่น่าพอใจ เขาทำระบบความปลอดภัยอย่างเต็มรูปแบบเลย นี่เป็นตัวอย่างของ Lesson Learned ที่ดี"
นอกจากนี้ อาจารย์ปริญญา หอมเอนก ยังแสดงความเห็นเพิ่มเติมอีกด้วยว่า อย่าให้มีการปรับโทษ ปรับเงินกับบริษัทเอกชนเพียงอย่างเดียว เพราะหากหน่วยงานรัฐทำข้อมูลหลุดรั่วไปก็ต้องปรับด้วย , เพราะการปรับหน่วยงานรัฐ มันจะทำให้เกิดความเท่าเทียม เพราะการขันน็อตแก้ปัญหาอย่างเอาจริง เป็นสิ่งที่ควรจะทำ
ในช่วงท้าย อาจารย์ปริญญา หอมเอนก ยังบอกอีกว่า Regulator หรือ หน่วยงานกำกับดูแล ต้องเอาจริงกับปัญหาการทำข้อมูลรั่วไหล จำเป็นจะต้องมีการปรับ และข่าวดีก็คือ PDPC ได้เอาจริงแล้ววันนี้ เพราะว่าเคยเกิดเคสในอดีตมาแล้ว ดังนั้นเราจึงต้องช่วยกัน ให้ทุกอย่างดีขึ้น
