Data Security ป้องกันไว้ก่อน

จรัล งามวิโรจน์เจริญ

ช่วงปีที่ผ่านมาผมได้มีโอกาสไปบรรยายตามมหาวิทยาลัยและสถาบันวิจัยหลายแห่งในประเทศไทย เกี่ยวกับงานที่เคยทำในอเมริกาด้าน Fraud – ID Theft Detection (วิธีการจับคนที่ขโมยข้อมูลส่วนตัวเช่น ID แล้วปลอมแปลงเป็นคนที่ถูกขโมยเพื่อไปทำกิจกรรมทีไม่ชอบ เช่น ยื่นภาษีขอเงินคืน หรือโอนเงินเข้าบัญชีอื่นๆ) ทุกครั้งที่ไปบรรยายก็มีการตอบรับอย่างดี แต่หลังจากนั้นก็ซาไปไม่ได้สร้างความตื่นตัว หรือนำมาสานต่อในเชิงปฏิบัติ

วันนี้จึงอยากจะหยิบยกเรื่อง Data security (ระบบความปลอดภัยของข้อมูล) มาพูดคุยกันเพราะผมคิดว่าเราอาจยังไม่ตระหนักถึงความสำคัญเกี่ยวกับเรื่องนี้ และอาจจะมองว่าเป็นเรื่องไกลตัว ต้องรอให้มันเกิดความเสียหายแล้วเราค่อยมาแก้ไขปัญหากัน Jupiter research คาดว่าการละเมิดข้อมูล(Data Breach) ทั่วโลกจะนำความเสียหายเทียบเป็นมูลค่า 2.1 ล้านล้าน เหรียญสหรัฐ (ไม่ได้สะกดผิดนะครับ) ภายในปี ค.ศ. 2019

ตอนที่ผมทำงานจับผู้ร้ายอยู่ที่อเมริกากับทีม Data science ที่ Booz Allen Hamilton เราได้เห็นรูปแบบการขโมยและละเมิดข้อมูลในรูปแบบต่างๆ ตั้งแต่คนที่มี access ข้อมูลลูกค้า เช่น ตามคลีนิคเอาข้อมูลไปขายในตลาดมืดไปจนถึงตลาด Dark web (ตลาดมืด online ที่คนทั่วไปเข้าไม่ถึง) ที่มีการขายบริการ Hacking ในราคาที่ต่างกันแล้วแต่ว่า account มีมูลค่ามากน้อยแค่ไหน(ดูตารางข้างล่าง) Dark web เป็นส่วนหนึ่งของ Deep web ซึ่งถือเป็น 96 % ของโลก online ที่ค้นหาไม่ได้โดย search engine ตลาดใหญ่ๆ ก็อยู่ที่ อเมริกา แคนาดา รัสเซีย เยอรมัน ฝรั่งเศส จีน ญี่ปุ่น บราซิล

ที่มา: http://online.wsj.com/public/resources/documents/secureworks_hacker_annualreport.pdf

ทุกปีทีมเรายิ่งจับ ผู้ร้ายก็ยิ่งเปลี่ยนพฤติกรรม การที่ได้ทำงานสายนี้ทำให้ผมเข้าใจว่าเรากำลังสู้กับกลุ่มผู้ร้าย(เน้นนะครับไม่ใช่ศิลปินเดี่ยว)ที่มีความเชี่ยวชาญ ทำงานเป็นเครือข่ายเป็นตลาดที่แชร์ข้อมูลและความรู้กัน ปัจจุบันแม้ว่าเราจะใช้เครื่องมือที่มีความซับซ้อนด้าน AI/Machine Learning ซึ่งสามารถจับพฤติกรรมที่ผิดปกติจากข้อมูลขนาดใหญ่(Big Data) แต่ในการตรวจจับ (Detection) เรามักจะต้องพึ่งข้อมูลในอดีต(6 เดือนถึง 1 ปี) เพื่อมาใช้ในการสอน(Train) ให้ AI/Machine Learning ตรวจจับ pattern ได้เพราะฉะนั้นเราจะช้ากว่าผู้ร้ายอยู่นิดนึง ขณะเดียวกันผู้ร้ายก็มีความสามารถที่จะใช้เครื่องมือเหล่านี้เช่นกันในการส่งข้อมูลหลอกเครื่องที่เราสร้างเพื่อเก็บข้อมูลเพื่อหาวิธีในการเจาะระบบ สุดท้ายเหมือนสงครามเครื่องมือ ที่เรากำลังสู้ตามจับผู้ร้ายแต่ช้ากว่าขั้นนึง

ตัวอย่างที่แสดงให้เห็นว่าศาสตร์ในการ Hack ไปไกลขนาดไหนอาจดูได้จากงาน DARPA Cyber Grand Challenge (DARPA คือสถาบันวิจัยชั้นสูงของกระทรวงกลาโหมของสหรัฐที่ช่วยผลักดันให้เกิดนวัตกรรมที่สำคัญของโลกเช่น Internet) ปี ค.ศ. 2016 มีการนำนักวิจัยทาง Security และ Hacker กว่า 100 ทีมมา สร้างระบบซอฟต์แวร์อัตโนมัติ (Autonomous software system) ที่จะทดสอบหาช่องโหว่ของตัวเอง(Test for vulnerabilities) และสามารถแก้ไขอุดช่องโหว่ของตัวเองโดยอัตโนมัติแบบไม่ต้องมีคนช่วย การแข่งขันจบลงที่ 7 ทีมดวลกันที่ Las Vegas ทีมที่ชนะที่ 1 จาก Carnegie Mellon University คว้ารางวัล 2 ล้านเหรียญไปครอง

การที่โลกเทคโนโลยีเปลี่ยนไปเร็วมากทำให้เราต้องเปลี่ยนกลยุทธ์จากการตามจับ (Detection) มาเป็นการป้องกัน (Prevention) โดยเริ่มที่ตัวเราแล้วขยายไปเป็นองค์กรและเครือข่ายในที่สุด

ทุกวันนี้เรื่อง Security องค์กรต่างๆ ยังต่างคนต่างสู้ ในขณะที่ผู้ร้ายมาทั้งตลาดและเครือข่าย ก็คิดดูเอาเองแล้วกันว่าศึกแบบนี้ใครจะได้เปรียบกว่ากัน ในต่างประเทศเริ่มมีการร่วมมือกันเป็นเครือข่าย Security summit ของกรรมสรรพากรสหรัฐมีการรวมกับภาคเอกชนจัดประชุมเป็นระยะเพื่อแชร์ข้อมูลเกี่ยวกับ fraud รูปแบบต่างๆ เพื่อที่ให้องค์กรต่างๆได้ตั้งตัวทัน

สิ่งที่คุณช่วยได้ก็คือเรื่มทำความเข้าใจว่าข้อมูลของคุณบนโลก Online มันเป็นของใคร (คำถามแปลก) อยู่ที่ไหน และใครมีสิทธิเข้าถึง

คุณรู้มั้ยว่าเวลาคุณใช้ Facebook, Line, Google account คุณยอมรับ Term และ Policy ที่ให้บริษัทเหล่านี้ใช้ข้อมูลส่วนตัวของคุณในขอบเขตที่กำหนดไว้ในสัญญาที่เรามักจะกด Agree โดยไม่อ่านตอนสร้าง account (ผมก็เป็นคนนึงช่วงก่อนหน้านี้) ข้อมูลในการใช้ app สามารถบอกได้ว่าคุณคือ ใครโดยที่ไม่ต้องระบุชื่อหรือเห็นหน้า แม่นยำยิ่งกว่าทาย The Mask Singer เสียอีก

ข้อมูลว่าคุณเป็นญาติหรือเพื่อนใคร ชอบ ‘Like’ อะไรบน Facebook ชอบตามดาราคนไหนบน Instagram หรือ Pinterest เป็นสมาชิกบัตรต่างๆ บนมือถือ คุยอะไรกับใครบ่อยสุดใน Line ข้อมูลเหล่านี้สามารถเอามาใช้ได้ทั้งดี (ช่วยปรับปรุงบริการที่เหมาะกับรสนิยมหรือเอามาใช้ทำ personal analytics/data art) และไม่ดี (fraud, spyware/malware ที่แอบเอาข้อมูลส่วนตัวไปใช้ในทางเสียหาย)

ถ้าถามว่าข้อมูลของ app พวกนี้ไปเก็บที่ไหน อยู่นอกประเทศไทยหมดครับGoogle หลักๆอยู่ที่อเมริกา ไต้หวัน สิงคโปร์ ไอร์แลนด์ ฟินแลนด์ เนเธอร์แลนด์ เบลเยี่ยม Facebook อยู่อเมริกา สวีเดน ไอร์แลนด์ Line app ยอดฮิตหลักๆ อยู่ที่ญี่ปุ่น ถ้าเป็น app ของจีน ก็อยู่ในจีน ทุกวันนี้เราตกเป็นอาณานิคมของข้อมูลเพราะข้อมูลส่วนตัวอยู่เมืองนอกหมด

ถ้าถามว่าใครมีสิทธิในการเข้าถึงข้อมูลนอกจาก user และบริษัทที่ให้บริการ app นั้นๆ อาจรวมไปถึงผู้ไม่พึงประสงค์ที่เกริ่นข้างต้น พวกตลาด Hacker มาร่วมแจมด้วย

นอกเหนือจากตลาดมืดเทคนิคที่เจอบน Google search บางทีก็เจอเครื่องมือที่เป็น spyware/malware (spyware เป็น software กาฝากที่แอบติดมากับการ download software อื่นเพื่อที่จะลักลอบขโมยข้อมูลที่มีค่าของคุณเช่น password ตัวเลข credit card, malware เป็น software ที่มุ่งร้ายในการทำให้ระบบหรือข้อมูลผู้ใช้หรือคนอื่นเสียหาย)

ที่ร้ายไปกว่านั้นช่วงปีที่ผ่านมามี ransomware (software ค่าไถ่ที่กันไม่ให้ user เข้าถึงระบบหรือข้อมูลของตัวเองเว้นแต่user จะยอมจ่ายค่าไถ่ ซึ่งแนวโน้มจะมีเพิ่มขึ้น) ที่บาง user อาจหลงไป download มา ที่ผ่านมา Messaging app ฮิตก็ยังมีประวัติอยู่ ล่าสุด Wikileaks ก็เพิ่งเคลมว่า secure messaging ก็ถูกแฮกได้เช่นกัน บางกรณีบางบริษัทก็แอบเข้าถึงข้อมูลอย่างล่วงล้ำเช่นล่าสุด Meitu app ที่ทำภาพสวยแบบแปลกๆ จากจีนก็จุดกระแสว่ามีลับลมคมในในการเข้าถึงข้อมูล user แล้วส่งไปจีน

การป้องกันเบื้องต้นกับข้อมูลของคุณ Data security tips
1.Password

    ● จากงานวิจัยที่ฝรั่งเศสพบว่าpassword ที่ยาวและผสมกับสัญลักษณ์เป็น passwordที่ดีกว่าแบบอื่นเพราะหลังๆผู้ร้ายเริ่มรู้ว่าคนมักใช้ตัว Uppercase เมื่อขึ้นต้นและลงถ้ายด้วยตัวเลข ใช้ password ที่ยาวอาจเป็นคำหลายๆคำมาต่อกันเช่น il!kemyredd0g (ผสมคำกับสัญลักษณ์แต่มีใจความที่ช่วยให้จำได้)
    ● ไม่ใช้ password ซ้ำสำหรับ account ที่ต่างกัน

2.Authentication

    ● บาง app เช่น Google Line มี 2-step verification ที่คอยตรวจสอบว่ามีการ login ไปที่ account โดยใช้เครื่องที่ไม่ได้รับการ approve จาก user

3.Credit card

    ● Credit card ถึงแม้จะมี security chip (แถบแม่เหล็กทองๆ) แต่พอใช้จ่ายบนโลก online ก็ไม่ได้ใช้ประโยชน์จาก chip พวกนั้นเพราะลูกค้ายังต้องสั่งจ่ายด้วยตัวเลขบนบัตรซึ่งถือเป็นความเสี่ยงที่ตัวเลขบนบัตรอาจถูก Hack เอาไปใช้ได้ ระยะหลังบริษัท credit card เช่น Visa Mastercard Amex เริ่มให้บริการระบบ Token service ที่สร้าง Token ตัวเลขแทนตัวเลขบัตรเพื่อใช้ในการซื้อสินค้า online แต่ยังไม่ค่อยแพร่หลายนัก

4.Privacy setting

    ● Privacy setting ของ social media ควรจะตั้งให้มีการจำกัดไม่ให้กลุ่มนอกเหนือจากคนที่รู้จักมาดูข้อความที่ post บนของ account ถ้าเป็นของ Facebook อาจจะตั้งให้ไม่สามารถ public search ได้

5.Backup

    ● ควรจะ backup ข้อมูลบ่อยๆ อาจจะเก็บไว้บน CD หรือ DVD นอกเหนือจากบน Internet

6.Email/Web

    ● กฎง่ายๆที่ควรจำ อย่า click ถ้าไม่แน่ใจ เจอ email ที่หลอกหรือขู่เกี่ยวกับ account ของเราไม่ควร click
    ● ถ้าเจอ Spam email (ส่งมาให้โดยที่เราไม่ต้องการ) ให้รายงานกับผู้ให้บริการ ปกติจะมีปุ่มให้แจ้งว่า email อันไหนเป็น spam
    ● Update security patch (โปรแกรมขนาดเล็กที่ใช้แก้ไขปัญหาช่องโหว่ในโปรแกรม เกี่ยวกับความปลอดภัยการในใช้งานระบบ) ของ ระบบปฏิบัติการที่ใช้ไม่ว่าจะเป็น Microsoft, MacOS, Linux
    ● เมื่อต้องการสั่งซื้อสินค้าหรือกรอกข้อมูลที่สำคัญควรตรวจสอบว่า web site นั้นใช้ secure connection รึเปล่าซึ่งจะเห็นได้เมื่อ URL ขึ้นต้นด้วย https
    ● การไป download ข้อมูลหรือ software video audio) ผ่าน BitTorrent ก็เป็นอีกช่องทางความเสี่ยงที่จะติด spyware/malware หรือ ransomware
    ● สำหรับพ่อแม่การช่วยสอนให้เด็กเข้าใจการใช้ internet ให้ถูกต้องก็จะช่วยป้องกันให้เด็กไม่เป็นเหยื่อในการนำ มาติดที่เครื่องคอมพิวเตอร์ในบ้าน ซึ่งwebsite safe online surfing ของ FBI (ใช่ครับ ดูไม่ผิดกรมสืบสวนสอบสวนของสหรัฐ) ก็ทำเป็นเกมส์ไว้สอนเด็กตั้งแต่ ป.3 – ม.2

คนอาจสงสัยว่าใน list ไม่พูดถึง antivirus software เป็นเรื่องที่มีการโต้แย้งแม้แต่เพื่อนเก่าก็พูดถึงว่าไม่จำเป็น ถ้าทำทุกอย่างที่กล่าวข้างต้นอาจดีเท่าหรือดีกว่า antivirus software ทั้งนี้ก็ให้ขึ้นกับวิจารณญาณของผู้อ่าน

ในส่วนขององค์กรที่ควรจะทำ ก็คือ ให้ความรู้เกี่ยวกับเรื่องนี้อย่างสม่ำเสมอกับพนักงานและส่งเสริมให้มีการร่วมมือกันในการแชร์เหตุที่เกิดในแต่ละอุตสาหกรรม โดยเฉพาะอุตสาหกรรมการเงินซึ่งมักเป็นกลุ่มเป้าหมายเพราะมีเม็ดเงินมาเกี่ยวข้อง หน่วยงานที่รับแจ้งเหตุและคอยเตือนภัยคุกคามความปลอดภัยของระบบคอมพิวเตอร์เช่น Thai CERT ควรจะอยู่ใน list ของคนที่ใช้ พูดง่ายๆ ว่าอย่าประมาทเพราะถ้าเกิดความสูญเสียส่วนใหญ่จะกู้หรือแก้ไม่ค่อยได้

เรื่อง Data security ก็เป็นเรื่องของทุกคนที่ต้องคิดก่อน click หรือคิดก่อนใช้ หากไม่ระวังอาจเกิดความสูญเสียที่ไม่คาดคิด ผมได้เห็นหลายตัวอย่างของคนที่โดนขโมยและละเมิดข้อมูล (Idenity theft & Data breach) มันวุ่นวายมากครับ ต้องไปเปลี่ยน credit card ใหม่ ต้อง monitor credit และยังอาจต้องเปลี่ยนบัตรประชาชน เบอร์โทรศัพท์ ถ้าเป็นเรื่องละเมิดข้อมูลระดับชาติ Wikileaks เป็นตัวอย่างสำคัญที่แสดงให้เห็นว่าในโลก online ใครก็สามารถเข้าถึงความลับประเทศอื่นได้เพราะมันมีตลาดมืดที่คอยสนับสนุน

ทุกวันนี้เรามีการใช้บริการของ app ของประเทศต่างๆ โดยเฉพาะ Mobile app และ Social media มากขึ้น ซึ่งเป็นการเพิ่มความเสี่ยงและสูญเสียความครอบครองข้อมูลของคนไทย (Data ownership) หากข้อมูลที่ sensitive ตกอยู่ในมือของผู้ไม่ประสงค์ดี เราก็คงทำอะไรได้ยากเพราะข้อจำกัดทางเทคโนโลยี บุคลากร และโครงสร้างพื้นฐานที่เรามี

ประเทศไทยไม่ได้เป็นแค่แหล่งท่องเที่ยวที่สำคัญในระดับโลกแต่ยังเป็นแหล่งที่นิยมของ Hacker มาใช้ความอ่อนแอทาง security จะเห็นได้จากการจัดอันดับความเสี่ยงทาง Cyber security threat ว่าเราอยู่ในระดับต้นๆ(อันดับ 5 ของ Asia) ดูได้จากกิจกรรมที่เกิดขึ้นจาก Cyber threat map นี้ว่าเราเป็นต้นทางในการ launch cyber attack ไปยังประเทศต่างๆ ที่น่าเป็นห่วงก็คือทุกวันนี้บางหน่วยงานรัฐยังใช้ Google และ Line ในการติดต่อสื่อสารงานราชการกับประชาชนหากว่ารัฐต้องการจะตรวจสอบความรับผิดชอบและประสิทธิภาพ แล้วเราจะไปหาใคร หรือความลับของประเทศรั่วไหลใครจะรับผิดชอบเพราะไม่สามารถตรวจสอบได้