กระทรวงสาธารณสุขเพิ่ง “ถูกแฮ็ก” ข้อมูลคนไข้ในโรงพยาบาลภายใต้สังกัดกระทรวงฯ ไปขายบนดาร์กเว็บจำนวนกว่า 16 ล้านรายการ นี่ไม่ใช่ครั้งแรกและน่าจะไม่ใช่ครั้งสุดท้าย เพราะ “อาชญากรรมไซเบอร์” เป็นปัญหาระดับโลกที่ทุกประเทศเผชิญ และมีแนวโน้มจะทวีความรุนแรงยิ่งขึ้นๆ ในยุคที่ทุกสิ่งทุกอย่างเป็น “ดาต้า” จัดเก็บบนดิจิทัล
ครั้งหนึ่ง “วอร์เรน บัฟเฟตต์” นักลงทุนชื่อดัง เคยกล่าวไว้ว่า “อาชญากรรมไซเบอร์” จะเป็นปัญหาอันดับหนึ่งของมนุษยชาติ และการโจมตีทางไซเบอร์จะเป็นภัยร้ายแรงต่อมนุษย์ยิ่งกว่าอาวุธนิวเคลียร์เสียอีก
ทำไมบัฟเฟตต์กล่าวเช่นนั้น? ตัวอย่างมีให้เห็นในโลกมาแล้ว จากการโจมตีทางไซเบอร์ที่ร้ายแรงที่สุด คือ Ransomware หรือซอฟต์แวร์เรียกค่าไถ่ ซึ่งจะล็อกระบบไอทีหรือเข้ารหัสข้อมูลของผู้ถูกโจมตีเอาไว้ เพื่อเรียกค่าไถ่ขอค่าเปิดระบบ/ปลดล็อกข้อมูลนั้นๆ
ที่ผ่านมาเคยมีกลุ่มอาชญากรไซเบอร์แฮ็กระบบไอทีของโรงพยาบาลแห่งหนึ่งในเมืองดุสเซลดอร์ฟ เยอรมนี จนโรงพยาบาลไม่สามารถให้การรักษาผู้ป่วยได้ ส่งผลให้มีผู้ป่วยรายหนึ่งเสียชีวิต หรือเมื่อเดือนพฤษภาคมปีนี้เอง เพิ่งมีการแฮ็กระบบท่อส่งเชื้อเพลิงของสหรัฐอเมริกา จนทำให้ระบบส่งเชื้อเพลิงเติมน้ำมันเป็นอัมพาตไปชั่วคราว
การก่ออาชญากรรมไซเบอร์ในระดับองค์กรจึงทำให้เกิดความปั่นป่วนโกลาหลเป็นอย่างมาก และอาจจะส่งผลร้ายแรงถึงชีวิตคนได้ ไม่เพียงแต่ผลทางทรัพย์สินเท่านั้น
อาชญากรรมไซเบอร์ ธุรกิจมืดมูลค่าสูงกว่าค้ายา
Cybersecurity Ventures คาดการณ์ว่าปี 2021 นี้ มูลค่าความเสียหายของอาชญากรรมไซเบอร์ทั่วโลกจะสูงถึง 6 ล้านล้านเหรียญสหรัฐ เฉลี่ยแล้วมีข้อมูลถูกแฮ็กคิดเป็นมูลค่า 190,000 เหรียญสหรัฐต่อวินาที (ประมาณ 5.7 ล้านบาทต่อวินาที)
หรือถ้าเทียบเป็นประเทศหนึ่ง ก็เท่ากับเป็นประเทศที่มีเศรษฐกิจใหญ่อันดับ 3 รองจากสหรัฐฯ และจีนเลยทีเดียว
การคาดการณ์นี้ยังประเมินด้วยว่า ความเสียหายจากอาชญากรรมไซเบอร์จะเพิ่มขึ้นเฉลี่ยปีละ 15% ในช่วง 5 ปีข้างหน้า หรือเท่ากับ 10.5 ล้านล้านเหรียญสหรัฐภายในปี 2025 นั่นหมายความว่า อาชญากรรมประเภทนี้จะทำรายได้ดียิ่งกว่าการค้ายาเสพติดทุกประเภทรวมกันเสียอีก
สาเหตุมาจากซัพพลายดาต้าที่มีให้แฮ็กในตลาด การแฮ็กข้อมูลหรือติดตั้งซอฟต์แวร์เพื่อเรียกค่าไถ่นั้นถูกสืบย้อนไปได้ไม่ต่ำกว่า 30 ปี แต่ยุคที่เฟื่องฟูจริงๆ คือช่วงไม่เกิน 10 ปีมานี้ ลองนึกดูว่าทุกวันนี้เราทำทุกกิจกรรมบนโลกดิจิทัล ข้อมูลทุกอย่างถูกอัปโหลดขึ้นระบบคลาวด์ เรามีกระเป๋าเงินดิจิทัล ผูกบัตรเครดิตกับบัญชีช้อปปิ้งออนไลน์ แฮ็กเกอร์จึงมีซัพพลายมากมายให้นำไปขาย
ในปี 2021 ประเทศที่ถูกโจมตีหนักที่สุด ตามข้อมูลของ Check Point โดยคิดจากจำนวนครั้งที่เกิดความพยายามโจมตีทางไซเบอร์ต่อสัปดาห์ต่อหนึ่งองค์กร ได้แก่ อินเดีย (213 ครั้ง), อาร์เจนตินา (104 ครั้ง), ชิลี (103 ครั้ง), ฝรั่งเศส (61 ครั้ง), ไต้หวัน (50 ครั้ง), สิงคโปร์ (48 ครั้ง), เบลเยียม (46 ครั้ง), เนปาล (37 ครั้ง), แคนาดา (31 ครั้ง) และ สหรัฐฯ (29 ครั้ง)
คนซื้อข้อมูลจากแฮ็กเกอร์…นำไปใช้ทำอะไร?
การโจมตีทางไซเบอร์โดยใช้ Ransomware นั้นเห็นได้ชัดเจนว่าผู้โจมตีจะได้เงินทันทีจากการเรียกค่าไถ่ แล้วการโจมตีเหมือนที่กระทรวงสาธารณสุขเผชิญ คือการดึงข้อมูลส่วนตัวของบุคคลไปหลายล้านรายการ ผู้ซื้อข้อมูลจะนำไปใช้ทำอะไรต่อ
คำตอบก็ขึ้นอยู่กับระดับความอ่อนไหวของข้อมูลที่ได้ไป เช่น ถ้าได้ข้อมูลเกี่ยวกับทางการเงินอย่างข้อมูลบัตรเครดิต ข้อมูลบัญชีช้อปปิ้งบนแพลตฟอร์มอีคอมเมิร์ซที่ผูกบัตรเครดิตไว้แล้ว ข้อมูลเข้าถึงบัญชีกระเป๋าเงินดิจิทัล ข้อมูลเข้าถึงบัญชีออนไลน์ของธนาคาร นั่นหมายถึงผู้ซื้อจะนำข้อมูลไปใช้ซื้อสินค้าได้ง่ายๆ หรือโอนเงินออกจนเกลี้ยง
แต่ถ้าเป็นชั้นข้อมูลที่เป็นข้อมูลทั่วไป เช่น ชื่อสกุล เบอร์โทร ที่อยู่ อีเมล วันเกิด ชื่อบัญชีโซเชียลมีเดีย อาชญากรที่ซื้อต่อก็อาจจะนำไปใช้แบบตรงๆ อย่างส่ง SMS ชวนสมัครบริการต่างๆ หรือทำอาชญากรรมที่ต้องใช้ความพยายามเพิ่มขึ้น เช่น ส่งอีเมลฟิชชิ่งข้อมูลที่เป็นความลับมากกว่านี้ นำไปใช้ปลอมแปลงเอกสารเพื่อทำธุรกรรมการเงิน หรือนำไปแฮ็กบัญชีโซเชียลมีเดียเพื่อเรียกค่าไถ่อีกทอดหนึ่ง
ปัญหาใหญ่ระดับ “ไบเดน” จัดประชุม
ถ้ายังไม่รู้สึกว่าเป็นเรื่องใหญ่ ให้ดูท่าทีการขยับของมหาอำนาจอย่างสหรัฐฯ เมื่อสองสัปดาห์ก่อน ประธานาธิบดี “โจ ไบเดน” จัดประชุมกับเจ้าหน้าที่ฝ่ายบริหาร โดยมีกลุ่มผู้นำธุรกิจเทคโนโลยียักษ์ใหญ่ของประเทศเข้าร่วมด้วย และกลุ่มบริษัทเหล่านี้คือกุญแจสำคัญในการต่อสู้กับอาชญากรรมไซเบอร์
Google นั้นให้คำมั่นว่าจะมีการลงทุน 10,000 ล้านเหรียญสหรัฐ ภายในช่วง 5 ปีข้างหน้าสำหรับการยกระดับมาตรฐานป้องกันซัพพลายเชนของซอฟต์แวร์และโปรแกรมโอเพ่นซอร์สต่างๆ ของบริษัท ในทำนองเดียวกัน Microsoft ระบุว่าจะลงทุน 20,000 ล้านเหรียญในรอบ 5 ปี ซึ่งบริษัทเพิ่งจะปรับเพิ่มวงเงินลงทุนส่วนนี้ถึง 4 เท่า! จุดประสงค์หลักคือบริษัทจะติดอาวุธให้ซอฟต์แวร์ต่างๆ มีเทคโนโลยีขั้นสูงป้องกันแฮ็กเกอร์ได้
ไม่ใช่แค่ปัญหาภายในประเทศ ไบเดนยังออกแถลงการณ์ว่าจะหารือกับกลุ่มประเทศ G7 เพื่อจะไปกดดันให้ประเทศที่ให้ที่พักอาศัยกับกลุ่มอาชญากรไซเบอร์เหล่านี้ต้องแสดงความรับผิดชอบ นอกจากนี้จะมีการอัปเดตข้อมูลด้านความปลอดภัยทางไซเบอร์กับ NATO ด้วย โดยเป็นครั้งแรกในรอบ 7 ปีที่จะมีการหยิบยกเรื่องนี้ขึ้นมาพูดกัน
ข่าวร้าย “บุคลากร” ขาดแคลนรุนแรง
ข่าวร้ายสุดๆ สำหรับเรื่องนี้ก็คือ บุคลากรที่เชี่ยวชาญด้านการป้องกันความปลอดภัยทางไซเบอร์มีไม่เพียงพอ
เฉพาะในสหรัฐฯ เองมีตำแหน่งด้านความปลอดภัยทางไซเบอร์ว่างอยู่ถึงเกือบ 500,000 ตำแหน่งทั้งในหน่วยงานรัฐและเอกชน และบรรดายักษ์ธุรกิจเทคฯ ต่างกำลังหาทางสร้างบุคลากรกลุ่มนี้ขึ้นมาโดยด่วน
IBM มีเป้าหมายจะฝึกบุคลากรด้านความปลอดภัยไซเบอร์ให้ได้ 150,000 คนภายใน 3 ปีข้างหน้า โดยมีการจับมือกับมหาวิทยาลัยและวิทยาลัยราว 20 แห่ง Microsoft เองก็มีนโยบายเป็นพันธมิตรกับวิทยาลัยชุมชนและองค์กรไม่แสวงหากำไรเพื่อฝึกบุคลากรด้านนี้มากขึ้น
แน่นอนว่าในไทยเองก็มีปัญหาขาดแคลนบุคลากรด้านความปลอดภัยทางไซเบอร์ โดยภาครัฐตระหนักถึงความสำคัญและเริ่มมีการพูดถึงความจำเป็นที่จะต้องสร้างบุคลากรผู้เชี่ยวชาญมาตั้งแต่ปี 2560
ไทยมีกฎหมายรองรับแล้ว
สำหรับมาตรการด้านกฎหมายของไทยที่เกี่ยวข้อง เรามีการออก พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ใจความสำคัญเพื่อตั้ง คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มากำหนดแนวทางการปฏิบัติของหน่วยงานสำคัญๆ ให้รักษาความปลอดภัยทางไซเบอร์อย่างถูกต้องเหมาะสม
โดยมีหน่วยงานทั้งรัฐและเอกชนที่เกี่ยวข้องกับ 8 ด้าน ต่อไปนี้ที่จะต้องปฏิบัติตามกฎหมาย คือ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นๆ ตามแต่ กมช. จะกำหนดเพิ่ม
แม้บังคับใช้ตั้งแต่ปี 2562 แต่กฎหมายลูกที่จะต้องประกาศตามมาเพิ่งจะออกในปี 2564 นี้เอง โดยล่าสุดมีการออก “ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. ๒๕๖๔”
เป็นตลกร้ายที่ประกาศแนวทางปฏิบัติว่าหน่วยงานต้องป้องกันโจรอย่างไรบ้างฉบับดังกล่าว เพิ่งจะประกาศลงในราชกิจจานุเบกษาเมื่อวานนี้ (6 ก.ย. 64) วันเดียวกับที่มีข่าวคนร้ายแฮ็กข้อมูลของ รพ.เพชรบูรณ์ ภายใต้กำกับกระทรวงสาธารณสุข ไปเร่ออกขายบนเว็บมืด!
Source: Cybersecurity Ventures, Forbes, ET Tech, Emsisoft
