12 Reasons that Companies are Attacked

เมื่อวันศุกร์ที่ 4 กรกฎาคม ที่ผ่านมา ผมได้มีโอกาสไปร่วมงานสัมมนาวิชาการเนื่องในโอกาสวันสื่อสารแห่งชาติประจำปี 2560 หรือ NET 2017 ที่จัดโดย กสทช. และได้ฟัง keynote ของ Richard A. Clarke (เริ่มประมาณนาทีที่ 1:35:00) อดีตที่ปรึกษาด้าน Cybersecurity ของประธานาธิบดีสหรัฐฯ ในหัวข้อ “Cybersecurity: Challenges and Opportunities in the Digital Economy” พูดถึงสาเหตุหลักๆ 12 ประการที่ทำให้บริษัทหรือองค์กรถูกโจมตีด้านไซเบอร์ สรุปได้คร่าวๆ ดังนี้

1. The Board of Directors and CEO do not understand cybersecurity

ผู้บริหารไม่เข้าใจหรือบางครั้งอาจจะกลัวเมื่อพูดถึง cybersecurity เพราะดูเป็นเรื่องทางเทคนิค และเวลาคุยกับ CIO หรือ CISO ก็มักจะเจอศัพท์เทคนิคหรือ jargon ต่างๆ ทำให้คุยกันไม่รู้เรื่อง จึงเป็นหน้าที่ของผู้ดูแลด้าน cybersecurity ที่ต้องทำความเข้าใจกับผู้บริหารว่าจริงๆ แล้วนี่เป็นเรื่องของ risk management ซึ่ง CEO หรือ Board จะต้องเป็นผู้ตัดสินใจว่าระดับความเสี่ยงที่บริษัทหรือองค์กรยอมรับได้อยู่ตรงจุดไหน

The number one reason why companies are not secure is that we have not been able to educate Boards and CEOs [about cybersecurity]. Richard A. Clarke

2. The governance model is wrong

ในบริษัทส่วนใหญ่ ผู้ดูแลด้าน cybersecurity หรือ CISO ต้องรายงานข้อมูลหรือปัญหาต่างๆ ผ่าน CIO ซึ่งเป็นรูปแบบการทำงานที่ผิด เพราะหน้าที่หลักของ CIO คือการทำให้ระบบ IT ใช้งานได้สะดวกและต่อเนื่อง ซึ่งตรงข้ามกับหลักการด้าน security และทำให้เรามักจะเห็นความขัดแย้งระหว่าง CIO กับ CISO อยู่บ่อยๆ ดังนั้นผู้ดูแลด้าน cybersecurity ต้องรายงานตรงต่อ CEO เพราะมีแค่ CEO เท่านั้นที่สามารถตัดสินใจเรื่องความเสี่ยงขององค์กรได้

Ultimately, the head of the company has to make those decisions [on cybersecurity], but they have to be informed when they make those decisions. Richard A. Clarke

3. Companies think that IT reduces the cost of operations

องค์กรไม่ให้ความสำคัญกับงบประมาณด้าน cybersecurity บริษัทส่วนใหญ่จะมีงบประมาณด้าน security อยู่ที่ 3–5% ของงบประมาณสำหรับระบบ IT ทั้งหมด แน่นอนว่าเราไม่สามารถระบุตัวเลขแบบตายตัวได้ แต่โดยเฉลี่ยแล้ว บริษัทที่มีความปลอดภัยจะใช้งบประมาณด้าน cybersecurity อยู่ที่ประมาณ 8–10% ต่อปี

There is no way that a company can secure network today on the cheap. Security costs money. Companies have to recognize that. Richard A. Clarke

4. We do not have enough people trained in how to secure networks

ในอเมริกามีตำแหน่งงานด้าน cybersecurity ว่างประมาณ 100,000 ตำแหน่ง เพราะขาดคนที่มีคุณสมบัติเหมาะสม และปัญหานี้ไม่ใช่มีแต่เฉพาะในอเมริกาเท่านั้น ไม่ว่าจีน ไทย ภาครัฐ หรือภาคเอกชน ก็มีปัญหาเดียวกัน เพราะระบบการศึกษาไม่ได้ผลิตบุคลากรที่มีความรู้ด้าน cybersecurity อย่างเพียงพอ และการเป็นผู้เชี่ยวชาญด้าน cybersecurity จำเป็นต้องได้รับการฝึกฝนและสะสมประสบการณ์เป็นเวลาหลายปี

You cannot take someone who previously was running the computers, and simply say “You are now a security expoert.” Richard A. Clarke

5. Companies are using old hardware and old software

จากกรณีการแพร่ระบาดของ Petya และ WannaCry ที่มีบริษัทโดนโจมตีเป็นจำนวนมาก เกิดจากสองสาเหตุหลักๆ คือ ฮาร์ดแวร์และซอฟต์แวร์เก่าเกินไปจนไม่สามารถป้องกันได้ หรือเกิดจากไม่ได้ติดตั้งแพตช์ที่ Microsoft ปล่อยออกมาตั้งแต่เดือนมีนาคม องค์กรที่ไม่ได้อัพเดตแพตช์อย่างสม่ำเสมอจะตกเป็นเหยื่อในการโจมตี เพราะเมื่อใดก็ตามที่บริษัทผู้ผลิตแจ้งว่าให้อัพเดตแพตช์เพื่อปิดช่องโหว่ด้านความปลอดภัย แปลว่าแฮกเกอร์จะรู้ช่องทางในการโจมตีด้วยเช่นกัน ดูๆ ไปแล้วก็เหมือนการแข่งกันว่าแฮกเกอร์จะโจมตีโดยใช้ข่องโหว่ได้ก่อน หรือองค์กรจะติดตั้งแพตช์เพื่ออุดช่องโหว่นั้นได้ทัน

Companies that have old software and old hardware are asking to be attacked. Richard A. Clarke

6. Their computer networks are flat

ระบบเครือข่ายในองค์กรส่วนใหญ่ไม่มีการควบคุมที่เหมาะสม เช่น ไม่มีการแบ่งเน็ตเวิร์กเป็นส่วนย่อยๆ (segmentation) หรือไม่มีการติดตั้งไฟร์วอลล์ภายใน และองค์กรส่วนใหญ่ไม่รู้ว่ามีอุปกรณ์อะไรบ้างต่ออยู่ในระบบเครือข่าย จากผลการสำรวจพบว่าจากอุปกรณ์ทั้งหมดที่ต่ออยู่ในระบบเครือข่ายขององค์กร จะมีอุปกรณ์ที่ไม่สามารถระบุที่มาได้อยู่มากกว่า 20% เพราะคนที่ทำงานในบริษัทใหญ่ๆ มักจะนำอุปกรณ์ของตนเองมาต่อเข้ากับเครือข่ายภายในองค์กรโดยไม่ได้รับอนุญาต หรือที่เราเรียกว่า shadow IT ซึ่งเป็นปัญหาในเกือบทุกองค์กร

No company can defend a network if it doesn’t know what’s on it. Richard A. Clarke

7. They do not encrypt their data

บริษัทหลายแห่งไม่มีการเข้ารหัสข้อมูล บางบริษัทเข้ารหัสเฉพาะอีเมล หรือข้อมูลที่มีการเคลื่อนไหวเท่านั้น ไม่ได้เข้ารหัสข้อมูลที่เก็บอยู่ในฮาร์ดดิสก์หรือ storage ซึ่งหากแฮกเกอร์เจาะเข้าระบบได้ ก็จะสามารถอ่านข้อมูลส่วนที่ไม่ได้เข้ารหัสได้ทั้งหมด บางบริษัทยังมีความเชื่อว่าการเข้ารหัสนั้นยุ่งยาก และทำให้ระบบเครือข่ายทำงานได้ข้าลง ซึ่งก็เป็นความจริงเมื่อประมาณ 10 ปีที่แล้ว แต่ปัจจุบันมีซอฟต์แวร์ที่ช่วยให้การเข้ารหัสข้อมูลเป็นเรื่องง่าย และทำได้รวดเร็ว

Everything on the network must be encrypted. Richard A. Clarke

8. Most companies today are still using a perimeter defense strategy

บริษัทส่วนใหญ่ยังคงมุ่งเน้นไปที่การพยายามกันแฮกเกอร์ออกจากระบบเครือข่าย ซึ่งเป็นไปได้ยากในปัจจุบัน ที่ในองค์กรจะมีทั้งคนใช้ mobile และ cloud ถ้าลองพิจารณาดูงบประมาณด้าน IT ของบริษัทส่วนใหญ่จะพบว่า ร้อยละ 80 เป็นงบประมาณสำหรับ perimeter defense ทั้งนั้น ไม่ว่าจะเป็น firewall, antivirus, IPS, หรือ IDS ซึ่งเทคโนโลยีพวกนี้ควรจะเลิกใช้แล้ว [ตรงนี้ผมงงว่าทำไม Clarke ไม่บอกว่าควรใช้อะไรแทน]

Perimeter defenses are yesterday’s strategy. Richard A. Clarke

9. Companies do not have a plan for when they are attacked

องค์กรควรจัดทำแผนที่เรียกว่า breach plan ที่จะบอกว่าใครมีหน้าที่ต้องทำอะไรเมื่อองค์กรถูกโจมตี เช่น ทีมกฎหมายต้องทำอะไรบ้าง ทีมสื่อสารองค์กรต้องทำยังไง การแจ้งผู้มีส่วนได้ส่วนเสีย ต้องติดต่อใครในการทำ computer forensics และทีม forensics จะเข้ามาถายในกี่นาที เราจะทำยังไงกับระบบเมื่อกำลังถูกโจมตี อุปกรณ์ไหนที่ต้องปิดการทำงาน ต้องแยกเครือข่ายส่วนไหนออก ฯลฯ ทุกอย่างต้องเขียนไว้ในแผน เพื่อที่จะสามารถรับมือได้ทันทีเมื่อถูกโจมตี

When an attack takes place, the entire corporate team must kick into action, and they all must know in advanced what their role is, and what their response should be. Richard A. Clarke

10. They never exercise their plan

องค์กรต้องมีการซ้อมการปฏิบัติตาม breach plan โดย CEO รวมทั้งผู้บริหารระดับสูงทั้งหมดต้องร่วมซ้อมแผนด้วย ตัวอย่างเมื่อตอน 9-11 ทีม crisis management ของอเมริกาสามารถปฏิบัติการได้อย่างเป็นระบบเพราะมีการซ้อมแผนซ้ำแล้วซ้ำอีก องค์กรจะมีปัญหาเลวร้ายที่สุดด้าน cybersecurity คือเมื่อ CEO ไม่รู้ว่าจะต้องทำยังไงเวลาถูกโจมตีขึ้นมาจริงๆ เพราะไม่เคยมีการซ้อมแผนมาก่อน

Make sure your first crisis is not a real one. Richard A. Clarke

11. They don’t have appropriate resilience backup

เมื่อเดือนที่ผ่านมามีหลายองค์กรถูกโจมตีด้วย ransomware และ wiper ทั้งโรงพยาบาล บริษัทประกัน ธนาคาร และบริษัทส่งออก เพราะองค์กรเหล่านี้ไม่มีระบบ backup ที่ปลอดภัยเพียงพอ บางบริษัทมี backup ที่เป็นแบบ live backup ทำให้เมื่อไฟล์ถูกเข้ารหัสแล้ว ระบบ backup ก็จะสำรองไฟล์ที่โดนเข้ารหัสไปทับแทนของเดิม ทำให้ไม่สามารถ restore ข้อมูลได้อย่างที่ควรจะเป็น และต้องสูญเสียข้อมูลทั้งหมดไป

12. Companies don’t cooperate with each other

ต้องมีการร่วมมือระหว่างหน่วยงานในธุรกิจเดียวกัน และกับภาครัฐ ในการแชร์ข้อมูลระหว่างกัน เช่น การแชร์ข้อมูลระหว่างธนาคาร และในขณะเดียวกันรัฐบาลก็ต้องแชร์ข้อมูลกับองค์กรต่างๆ ภาครัฐควรจะเป็นคนแจ้งบริษัทว่าตอนนี้มีภัยคุกคามใหม่ๆ อะไรบ้าง และรัฐบาลต้องเลิกคิดว่าข้อมูลการโจมตีหรือช่องโหว่ต่างๆ เป็นความลับ และควรมีช่องทางในการแชร์ข้อมูลเหล่านี้กับองค์กรต่างๆ แบบปลอดภัย ตัวอย่างข้อมูลที่แชร์ ก็เช่น รูปแบบการโจมตี หรือ IP address ที่ควรบล็อก ซอฟต์แวร์ตัวไหนใช้การได้ ตัวไหนใช้ไม่ได้ เป็นต้น

The number one way to secure cyberspace is to share information. Richard A. Clarke

การจะทำแบบนี้ได้ต้องมี public-private partnership ต้องมีการพัฒนา best practice สำหรับธุรกิจแต่ละประเภท เช่น ธนาคาร คมนาคม สายการบิน ฯลฯ นอกจากนี้ยังควรมี inspection team เข้าไปตรวจสอบประเมินแต่ละหน่วยงานและให้คะแนน การจะทำแบบนี้ได้ต้องอาศัยความร่วมมือระหว่างหน่วยงานเป็นอย่างมาก และเป็นสิ่งที่จำเป็นต้องทำ เพราะหากองค์กรเหล่านี้ถูกโจมตี สุดท้ายภาครัฐจะต้องเข้ามากำกับดูแล ซึ่งอาจจะเป็นผลเสียต่อองค์กรในระยะยาว เช่น มีบทลงโทษหรือค่าปรับ ถ้าไม่สามารถทำตามที่ภาครัฐกำหนดได้

The best regulation is self-regulation Richard A. Clarke

หลังจาก keynote ก็เป็นการสัมภาษณ์ Richard A. Clarke โดยคุณสุทธิชัย หยุ่น ซึ่งผมไม่ได้สรุปไว้ในที่นี้ ถ้าสนใจสามารถดูต่อได้ในลิงก์ด้านบนครับ (ประมาณนาทีที่ 2:18:00)