Open in app

Sign in

Write

Sign in

แฮกเกอร์จอมวุ่นวายกับพนักงานผู้เฉยชา

Datafarm
3 min readDec 16, 2020

ลองคิดดูว่าจะเกิดอะไรขึ้นถ้าระบบคอมพิวเตอร์ของบริษัทคุณถูกโจมตีจนปั่นป่วนจากแฮกเกอร์ภายนอกองค์กร และยังเคราะห์ซ้ำกรรมซัดด้วยการมีพนักงานภายในบริษัทผู้ที่ไม่ได้ใส่ใจด้านความปลอดภัยเลยสักนิด มาเป็นเหยื่อจนกลายเป็นทางผ่านให้กับแฮกเกอร์ในการโจมตีบริษัทของตัวเอง !?!

กล่าวนำ

สวัสดีครับท่านผู้อ่าน วันนี้/แอดมีเรื่องราวทางด้าน Cybersecurity ที่เกี่ยวข้องกับคนเป็นหลัก ที่เปิดมาว่าคนนี่คือ ทั้งคนในบริษัท และคนนอกบริษัท คือหากผู้อ่านที่ศึกษาความรู้ทางด้าน Cybersecurity มาบ้าง จะพอทราบได้เบื้องต้นว่าในตำราเรียนหลายๆหลักสูตร มักจะแบ่งองค์ประกอบของระบบ IT หลักๆ ออกเป็น People, Process และ Technology ซึ่งการที่ระบบ IT ของบริษัทใดๆ ก็ตามจะมีความปลอดภัยได้นั้น ก็จำเป็นที่จะต้องให้องค์ประกอบทั้งสามตัวข้างต้นมีความปลอดภัยพร้อมกันทั้งหมด ทีนี้ลองคิดดูว่าปัญหาที่บริษัทส่วนใหญ่พบเจอเกี่ยวกับเรื่องนี้จะทำอย่างไรที่จะเป็นการปรับปรุงองค์ประกอบทั้งสามให้ปลอดภัยขึ้นได้ ที่พบได้บ่อยๆคือหากต้องการความปลอดภัยเชิง Technology ก็ให้เจียดเงินส่วนหนึ่งไปซื้อของจากบริษัท SI ไม่ว่าจะเป็น Hardware หรือ Software ต่างๆ ก็พอจะทำให้องค์ประกอบด้าน Technology ดีขึ้นได้บ้าง หากต้องการความปลอดภัยเชิง Process ที่พบเจอกันได้บ่อยๆก็คือปรับปรุงขั้นตอนการทำงานให้เป็นไปตามข้อกำหนด ISO27001 หรือข้อกำหนดอื่นๆที่ใกล้เคียงกับรูปแบบการทำงานของบริษัท ซึ่งในปัจจุบันก็ไม่ถือว่าเป็นเรื่องแปลก คราวนี้หากจะพัฒนาด้าน People บ้างล่ะ บางที่ก็อาจจะมีการทำคอร์สฝึกอบรมให้กับพนักงานเพื่อให้มีความตระหนักรู้ทางด้าน Cybersecurity หรือปัจจุบันอาจจะเพิ่มความเข้มข้นไปเป็นการทำ Cyber Drill หรือพวก Phishing Attack Simulation ก็เป็นสิ่งที่พบเห็นกันได้มากขึ้นเรื่อยๆ

ที่เล่ามาข้างต้นเหมือนดูว่าก็ไม่น่ามีปัญหาใดๆ แต่รู้ไหมว่านักวิเคราะห์ด้าน Cybersecurity ส่วนใหญ่จากสถาบันต่างๆก็ยังมีความเห็นตรงกันคือ ไม่ว่าระบบ IT ของบริษัทต่างๆจะพัฒนาไปมากแค่ไหน แต่ People ก็ยังคงเป็นจุดอ่อนที่สุดของระบบ IT อยู่ดี ไม่ว่าจะเป็นในอดีต ในปัจจุบัน หรืออนาคตอันใกล้ก็ตาม

แล้วปัญหาคืออะไร?

ปัญหาที่พบคือแม้ว่าบริษัทต่างๆ จะมีงบประมาณไปพัฒนาด้าน Cybersecurity ให้กับระบบ IT ที่มีอยู่เพิ่มขึ้นทุกปีแล้วก็ตาม แต่ก็ยังไม่วายที่จะยังจะมีการโจมตีเกิดขึ้นจนสำเร็จได้ ลองยกตัวอย่างคือ หากมาเล่าย้อนเหตุการณ์ภายในประเทศไทยเราเมื่อช่วงครึ่งปีหลังมานี้ ก็มีทั้งข่าว Phishing เพื่อหลอกโอนเงินเกิดขึ้นอยู่บ่อยๆ มีหน่วยงานรัฐวิสาหกิจขนาดใหญ่ติด Ransomware จนทำให้ระบบบางส่วนของหน่วยงานนั้นต้องหยุดให้บริการชั่วคราวไป และท้ายสุดก็มีผู้ให้บริการชื่อดังออกมายอมรับว่าระบบของตนเองถูกโจมตี จนทำให้มีข้อมูลผู้ใช้งานรั่วไหลออกไปจำนวนมาก ซึ่งปัญหาส่วนใหญ่ที่เราพบเจอได้ตามข่าว แม้ว่าจะไม่ได้ลงรายละเอียดในการที่ระบบถูกโจมตีไว้ชัดเจน แต่ส่วนหนึ่งก็พอคาดเดาได้ว่าการโจมตีบางส่วนอาจมีการใช้จุดอ่อนของคนหรือพนักงานในองค์กรมาร่วมกับการโจมตีส่วนอื่นๆได้เสมอ

สาเหตุของปัญหา?

ปัญหาส่วนหนึ่งมาจากการที่พนักงานบางส่วนยังคงคิดว่าเรื่อง Cybersecurity เป็นเรื่องไกลตัว ไม่ใช่ปัญหาของตัวเอง ท่านผู้อ่านลองคิดดูก็ได้ว่าตัวเราเอง หรือเพื่อร่วมงานที่อยู่รอบข้างเรา มีคนที่มีความคิดต่อเรื่อง Cybersecurity แบบนี้อยู่หรือไม่

  • “Cybersecurity คืออะไร ไม่สนใจ ไม่ใช่ปัญหาของฉัน นู้นนน มันคือหน้าที่ของทีม Security”
  • “ระบบที่ฉันทำงานอยู่ ไม่ได้มีอะไรที่สำคัญ คงไม่มีแฮกเกอร์มาโจมตีหรอก”
  • “Security ทำให้ฉันทำงานยาก ดังนั้นฉันไม่ต้องการ”

รวมไปถึงพนักงานบางส่วน ที่มีความเข้าใจผิดๆ เกี่ยวกับด้าน Cybersecurity เช่น

  • “เครื่องฉันมี Antivirus นะ จะโดนแฮกได้อย่างไร”
  • “บริษัทของเราลงทุนไปกับ Next-gen Firewall ตัวเทพ ดังนั้นเราไม่ต้องกลัวแฮกเกอร์”
  • “ระบบของเรามีการทำ Backup เอาไว้ ดังนั้นเราไม่กลัวการโจมตีจากแฮกเกอร์”

ถ้าคำตอบคือใช่ หรือมีบ้าง นั่นแปลว่าระบบ IT ของบริษัทคุณนั้นมีความเสี่ยงแล้ว แต่แอดจะบอกว่ามันก็ไม่ใช่เรื่องผิดปกติแต่อย่างใด เนื่องจากการที่บริษัทหนึ่งๆประกอบไปด้วยคนมากมายหลายประเภท มีความรู้ความเข้าใจ และความเชื่อที่แตกต่างกันออกไป ซึ่งหากมองกันถึงที่มาที่ไปแล้ว ก็จะพบได้ว่าพนักงานเองที่มีความคิดที่ไม่ถูกต้องต่อเรื่อง Cybersecurity คงไม่ได้มีเจตนาให้ระบบที่ตนเองใช้งานอยู่ทุกวี่ทุกวันถูกโจมตี หรือให้ตัวเองกลายมาเป็นปัญหาของบริษัทหรอก เพียงแต่ว่าเขาต้องการที่จะทำงานหลักของตนที่มีอยู่ทุกวี่ทุกวันให้มันง่ายที่สุด โดย Cybersecurity ก็เป็นสิ่งที่ไม่ได้ปิดกั้นนะ เพียงแต่ไม่อยากหากงานเพิ่มงานให้กับตัวเองเท่านั้นเอง ก็จากความคิดและการกระทำของพนักงานที่แตกต่างกันเหล่านี้เอง จึงทำให้การควบคุมความปลอดภัยทางด้าน People เป็นสิ่งที่ควบคุมให้ปลอดภัยสมบูรณ์แบบได้ยากที่สุด

แล้วปัญหาที่เกิดขึ้นจากตัวพนักงานที่ไม่ได้สนใจเรื่อง Cybersecurity ก่อให้เกิดปัญหาอะไรได้บ้าง?

ตอบแบบสั้นๆ คือมันทำให้แฮกเกอร์ยังคงโจมตีบริษัทได้ เพียงแต่เปลี่ยนช่องทาง ซึ่งจากเมื่อก่อนก็มักจะเป็นการโจมตีไปที่ระบบ IT ของบริษัทโดยตรง ซึ่งยุคหลังบริษัทต่างๆก็ได้มีมาตรการควบคุมความปลอดภัยที่ดีขึ้น มาเป็นการโจมตีไปที่พนักงานของบริษัทแทน ด้วยแนวคิดที่ว่าพนักงานในบริษัทมีหลายร้อยคน หากมีสักคนสองคนที่สามารถโจมตีได้สำเร็จ แฮกเกอร์ก็สามารถนำเอาสิ่งที่ได้ ซึ่งส่วนมากมักจะเป็น Username/Password หรือข้อมูลสำคัญของระบบ IT ในบริษัท ไปทำการโจมตีระบบ IT ส่วนอื่นๆของบริษัทต่อก็ยังได้ โดยการโจมตีจากเหล่าแฮกเกอร์ที่มีการพุ่งเป้าหมายไปที่พนักงานเป็นหลัก อาจมีวิธีการได้หลากหลายกันไป แต่แอดขอสรุปภัยการโจมตีที่พบเจอได้บ่อยๆมาให้ ดังนี้

Phishing/Sphere Phishing: เจอบ่อยสุด มันคือการที่แฮกเกอร์ส่งอีเมลไปหลอก หรือพยายามหลอกพนักงานเพื่อขอข้อมูลสำคัญจากพนักงาน

Malware/Ransomware: เจอรองลงมา มักพบได้จากการที่พนักงานเข้าไปเว็บไซต์ต้องห้าม แล้วติดมาที่เครื่องคอมพิวเตอร์ของตนเอง หลังจากนั้นก็จะแพร่กระจายไปยังระบบอื่นๆของบริษัท

BYOD: การที่พนักงานใช้เครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือส่วนตัวมาใช้ทำงานได้ ก็ทำให้บริษัทไม่สามารถไปควบคุมความปลอดภัยในอุปกรณ์เหล่านี้ได้มากนัก

Weak Password: ปัญหาสำคัญตลอดการ ซึ่งต้นเหตุมาจากผู้ใช้ ไม่ใช่ตัวระบบ

Social Media: พนักงานบางกลุ่ม ก็มักเอาข้อมูลภายในของบริษัทไปโพสต์ในโลกโซเชียล ซึ่งรู้ไหมว่ามันไม่สมควร

การแก้ไขปัญหาที่มาจาก People

ก็คงต้องเป็นการปรับปรุงองค์ประกอบในส่วนที่เป็น Process และ Technology เพื่อให้ส่งเสริมการทำงานของ People โดยเพิ่มความสำคัญกับ People บ้าง ว่าสามารถใช้งาน Process และ Technology ที่พยายามปรับปรุงขึ้นมาได้ดีมากน้อยขนาดไหน เช่นการออกข้อกำหนดใดๆก็ตาม ก็คงต้องดูตามความเหมาะสมกับวัฒนธรรมองค์กรด้วย ต้องไม่น้อยเกินไปจนทำให้ระบบไม่ปลอดภัย และต้องไม่มากเกินไปจนทำให้ People ใช้งานได้ยาก โดยต้องลบแนวคิดแบบเดิมๆว่าพัฒนา Process และ Technology ให้ดี ก็จะสามารถควบคุม People ได้ดีตามไปด้วย ซึ่งจากข่าวการที่บริษัทใหญ่ๆถูกโจมตีก็น่าจะเป็นตัวชี้วัดได้ดีระดับหนึ่งว่าไม่ถูกต้อง

จากสิ่งที่เล่ามา แอดขอยกตัวอย่างที่เห็นภาพได้ง่ายๆ เช่น หากบริษัทต้องนโยบายด้านรหัสผ่านในบริษัทที่ดีเลิศ ทางบริษัทอาจจะมีการกำหนด Password Policy ที่ Configuration ของระบบต่างๆ ให้มีความปลอดภัยระดับสูง เช่น รหัสผ่านจะต้องประกอบไปด้วยตัวอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และมีอักขระพิเศษ ความยาวขั้นต่ำ 16 ตัวอักษร และรหัสผ่านจะมีอายุอยู่ได้เพียง 7 วันเท่านั้น ซึ่งหากคิดในมุมมองเชิง Process และ Technology ก็นับว่าเป็นเรื่องที่ดี แต่ผลที่ได้จากมุมมองเชิง People อาจจะไม่ได้ดีตามไปด้วย เช่น พนักงานซึ่งเป็นผู้ใช้งานระบบอาจพบปัญหาในการที่ต้องจำ ต้องเปลี่ยนรหัสผ่านยากๆอยู่ตลอดเวลา จึงเลือกทางออกที่สะดวกที่สุดให้กับตัวเอง ด้วยการเขียนรหัสผ่านที่จำได้ยากลงในกระดาษ และแปะไว้ที่หน้าเจอคอมพิวเตอร์ของตัวเอง ซึ่งจากเหตุการณ์สมมตินี้พอเห็นได้ว่าต่อให้กำหนด Password Policy ที่ดีเลิศขนาดไหน แต่หากมันทำให้พนักงานทำงานของเขาได้ยากขึ้น เขาก็อาจจะเลือกทางออกที่สบายกว่าให้กับตัวเอง ซึ่งก็อาจทำให้ภาพรวมด้านความปลอดภัยด้าน Cybersecurity ในองค์กรแย่ลงได้

วิธีการแก้ไขในมุมมองอื่นยังมี

แนวทางอื่นๆที่พอเป็นไปได้ ซึ่งแอดเคยได้เขียนแนะนำไปในบทความก่อนหน้านี้ (นานมากแล้ว) คือเรื่อง Defense in Depth (DiD) ซึ่งไม่ว่าจะผ่านมากี่ยุคกี่สมัยแล้ว ก็ยังเป็นแนวคิดที่มีละเอียดรอบคอบอยู่เสมอ มันคือแนวคิดที่ว่าการที่จะป้องกันหรือควบคุมอะไรสักอย่าง จะต้องมีการควบคุม (Control) อยู่หลายชั้น เพื่อป้องกันว่าหากหลุดรอดการควบคุมจากชั้นแรกมาได้ ก็ยังมีตัวควบคุมสี่สอง ที่สามรออยู่กันพลาด ยกตัวอย่างเช่น บริษัท A รู้ข้อจำกัดดีอยู่แล้วว่าระบบป้องกันการโจมตีด้าน Security อาจเกิดความผิดพลาดขึ้นได้ ดังนั้นจึงเลือกการรักษาความปลอดภัยให้กับระบบ IT เป็นหลายๆระดับ เช่นหากแฮกเกอร์ต้องการโจมตีระบบเวปแอปพลิเคชัน ก็คงต้องผ่านหลายด่าน ได้แก่ Network Firewall-IPS-WAF-Endpoint Security-Application Locked-down-Database Security ตามลำดับขั้นอะไรแบบนี้เป็นต้น ซึ่งก็ยังดีกว่าบริษัท B ซึ่งก็รู้ข้อจำกัดดีเช่นเดียวกับบริษัท A ว่าระบบป้องกันการโจมตีด้าน Security อาจเกิดความผิดพลาดขึ้นได้ ดังนั้นจึงไม่ใช้งานเลย ซึ่งเป็นความคิดที่ผิดอย่างมาก

แนวทางการพัฒนาตัวพนักงานเองก็ยังเป็นสิ่งจำเป็น

การพัฒนาตัวพนักงานอาจต้องเปลี่ยนรูปแบบที่จะต้องเข้มข้นขึ้นกว่าแต่ก่อน เช่นหากมีคอร์สฝึกอบรม ก็ควรมาพร้อมกับการทดสอบความรู้ของพนักงานทีได้หลักจากจบหลักสูตร เพื่อเป็นการชี้วัดไปเลยว่าคอร์สฝึกอบรมมีประสิทธิผลมากน้อยขนาดไหน หรืออาจเปลี่ยนรูปแบบจากการคอร์สฝึกอบรมไปทำเป็นแนว Cyber Drill ตามหัวข้อที่บริษัทให้ความสนใจแทน ซึ่งจะเป็นการจำลองการโจมตีที่เสมือนจริง โดยให้พนักงานมีส่วนร่วมในเหตุการณ์การโจมตีต่างๆด้วย ก็น่าจะเป็นสิ่งที่พนักงานในบริษัทเข้าใจผลกระทบที่เกิดขึ้นได้จริงมากขึ้น เมื่อเทียบกับคอร์สฝึกอบรมตามปกติที่พนักงานแค่เป็นผู้ฟังเพียงแต่อย่างเดียว

กล่าวโดยสรุป

การพัฒนาด้าน People แม้จะเป็นสิ่งที่พัฒนาได้ยากที่สุด เมื่อเทียบกับ Process และ Technology แต่ก็เป็นสิ่งที่บริษัทที่ทำงานกับระบบ IT เป็นหลักต้องให้ความสนใจ เพราะเป็นประเด็นที่หลีกเลี่ยงไม่ได้ เพียงแต่ผู้บริหารอาจต้องมีความรู้ความเข้าใจเกี่ยวกับข้อจำกับของ People ให้มากขึ้น และต้องเลือกรูปแบบการพัฒนา People ที่เหมาะสมกับแต่บริษัทเอง เพื่อให้มีความปลอดภัยไปในระดับที่เหมาะสมกับ Process และ Technology ซึ่งหากองค์ประกอบทั้งสามส่วนพัฒนาควบคู่ไปพร้อมๆกันได้ทั้งหมด ก็จะทำให้ภาพรวมด้านความปลอดภัยด้าน Cybersecurity มีระดับที่ดีขึ้น ท้ายที่สุดในมุมมองของแฮกเกอร์บางส่วน ถ้าเล็งเห็นว่าบริษัทมีความพร้อมทั้งทางด้าน People, Process และ Technology แล้ว ก็อาจจะเปลี่ยนใจไม่มาโจมตีบริษัทของเรา และเปลี่ยนเป้าหมายไปยังบริษัทอื่นๆที่มีความปลอดภัยน้อยกว่าแทน เป็นต้น

--

--

Datafarm
Datafarm

Written by Datafarm

590 Followers
1 Following

Responses (1)

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams