|
ภัยคุกคามทางอิเล็กทรอนิกส์ ช่องทำ เงินของเหล่าแฮกเกอร์
| เทอร์เน็ตได้รับความนิยม ไม่ว่าจะเป็นบริการธนาคารออนไลน์ ที่สามารถทำธุรกรรมทางการเงิน การชำระค่าบริการ หรือสินค้า (Online Payment) การค้นคว้าหาข้อมูลผ่านทางอินเทอร์เน็ตจากวิกิพีเดีย หรือเว็บบล็อกต่างๆ การรับชมความบันเทิงผ่านอินเทอร์เน็ต อาทิ ไอพีทีวี หรือ วีดิโอออนดีมานด์ การซื้อเพลงจากร้านร้านเพลงออนไลน์ ก็ถูกพูดถึงมากขึ้น ทำให้ดูเหมือนว่าอินเทอร์เน็ตจะมาช่วยให้ชีวิตที่แสนวุ่นวายในแต่ละวัน กลายเป็นเรื่องง่ายๆ ที่สามารถทำได้จากหน้าจอคอมพิวเตอร์ ความสะดวกสบายที่ได้มาง่ายๆ จากอินเทอร์เน็ต น่าจะช่วยให้ชีวิตผู้ใช้คอมพิวเตอร์มีความสุขได้ไม่ยาก หากแต่ความจริงอินเทอร์เน็ตก็มีผู้ไม่หวังดี และประสงค์ร้ายต่อทรัพย์สินอยู่ จึงกลายเป็นว่าชีวิตออนไลน์อาจจะไม่รื่นรมย์อย่างที่คิดเสียแล้ว ข้อมูลจากบริษัท เทรนด์ ไมโคร อิงค์ เกี่ยวกับ ลักษณะและขอบเขตของภัยคุกคามใหม่ ระบุว่า “เงิน” เงินที่ได้จากการขายข้อมูลลับที่ขโมยมา เป็นสิ่งที่ดึงดูดใจของบรรดาเหล่ามิจฉาชีพ และคนกลุ่มนี้กำลังใช้เว็บไซต์เป็นสื่อในการกระทำที่เลวร้ายผสมกับเทคนิคที่มีอยู่ในปัจจุบัน ไม่ว่าจะเป็นการกระจายไวรัส การโจมตีอย่างมีเป้าหมาย อาทิ การขโมยข้อมูลส่วนตัว การดึงเอาข้อมูลลับในองค์กรไปใช้งาน การทำงายชื่อเสียงขององค์กรให้ได้รับความเสียหาย และการดึงเอาความลับจากผู้ใช้อินเทอร์เน็ตมาทีละน้อย  ข้อมูลจากเทรนด์ ไมโคร ระบุต่อว่า สิ่งที่กล่าวมานี้กำลังเกิดขึ้นในองค์กรขนาดใหญ่ รวมไปถึงธุรกิจขนาดเล็ก แม้แต่ผู้บริโภคทั่วไปที่ใช้งานอินเทอร์เน็ต ก็มีสิทธิ์โดนขโมยข้อมูลลับด้วยเช่นกัน “ภัยคุกคามบนเว็บ” กำลังมีแนวโน้มเติบโตและเพิ่มจำนวนมากขึ้น โดยเป้าหมายของมิจฉาชีพเหล่านี้มีหลายอย่างๆ ได้แก่ ในต่างประเทศจะต้องการหมายเลขประกันสังคม หมายเลขบัตรเครดิตจากสถาบันการเงิน และข้อมูลเฉพาะตัวจากบริษัทด้านเทคโนโลยี ข้อมูลจากเทรนด์ ไมโคร ระบุอีกว่า นอกจากจะขโมยข้อมูลลับกันไปแบบง่ายๆ แล้ววิธีการดังกล่าวยังเป็นการทำงานสิทธิส่วนบุคคลของผู้บริโภค ทำลายระบบธนาคารออนไลน์ การทำธุรกรรม และอี-คอมเมิร์ซผ่านทีละเล็กทีละน้อย อีกทั้งดูเหมือนว่าการพึงพาระบบป้องกันเดิมๆ ที่มีอยู่ดูเหมือนว่าจะไม่สามารถป้องกันภัยเหล่านี้ได้เพียงพอ เพราะไม่มีเทคโนโลยี หรือวิธีการเดี่ยวๆ แบบใดที่จะแก้สถานการณ์ให้ดีขึ้นมาได้ จำเป็นต้องใช้เทคนิคขั้นสูง และมีหลายชั้นเข้ามารวมด้วยกันเพื่อให้ระบบเหล่านี้สมบูรณ์จริงๆ นายปริญญา หอมอเนก ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลบนระบบคอมพิวเตอร์ ให้ข้อมูลว่า เนื่องจากแฮกเกอร์ ไม่ได้เจาะระบบเพียงเพื่อความสนุกเหมือนในอดีต แต่แฮกเกอร์ใน ขณะนี้ มีการเตรียมพร้อม ที่เป็นระบบและมีเป้าหมายในการโจมตีที่ชัดเจน (Targeted Attack) แฮกเกอร์ส่วนมาก จึงมุ่งเน้นประโยชน์ทางการเงินเป็นหลัก ดังนั้น มาตรฐานอุตสาหกรรม (Best Practices) อาทิ ISO/IEC 27001, CobiT 4.0 และ ITIL หรือ ISO/IEC 20000 เป็นเรื่องที่ผู้บริหารระบบความปลอดภัยข้อมูลขององค์กรต่างๆ ต้องให้ความสำคัญ เพื่อนำมาประยุกต์ใช้กับองค์กร ให้เกิดความปลอดภัยตามแนวทางปฏิบัติจากมาตรฐานดังกล่าว  ผู้เชี่ยวชาญด้านความปลอดภัยฯ เล่าอีกว่า จากทิศทางของระบบความปลอดภัยสมัยใหม่ที่กำลังเน้นเรื่องของ ความปลอดภัยข้อมูลภายในองค์กรและความปลอดภัยข้อมูลส่วนบุคคล เนื่องจากปัญหาใหญ่ในปัจจุบันพบว่ามีข้อมูลสำคัญจำนวนมากรั่วไหลออกจากองค์กร โดยไม่ได้รับอนุญาต โดยส่วนมากแล้วข้อมูลเหล่านั้น เป็นข้อมูลสำคัญขององค์กร และแฮกเกอร์สามารถนำข้อมูลเหล่านี้ไปใช้ประโยชน์ง่ายๆ สร้างความเดือดร้อนให้กับผู้ถือบัตรเครดิต และธนาคารที่ออกบัตรเครดิตมาก ขณะนี้ คาดว่าทุกคนอย่างน้อยต้องมีบัตรเครดิต 1-2 ใบ หรือไม่ก็ต้องมีบัตรเติมเงิน หรือ บัตรเอทีเอ็ม ใช้ในชีวิตประจำวัน ดังนั้น ภัยมืดที่เกี่ยวกับ บัตรเครดิต บัตรเติมเงิน หรือ บัตรเอทีเอ็ม จึงไม่ใช่เรื่องเล็กอีกต่อไป นายปริญญา อธิบายอีกว่า เพราะปัญหาที่กล่าวมานั้น มีผลกระทบทางด้านการเงินของตัวผู้ใช้อย่างชัดเจน ดังนั้น หน่วยงานที่มีความเกี่ยวข้องกับเรื่องนี้โดยตรง ได้แก่ บริษัท American Express (AMEX) MasterCard, VISA, JCB และ Discover Financial Services จึงรวมตัวกันสร้างมาตรฐานที่เป็น "Best Practices" ในการให้บริการแก่ผู้ถือบัตรเครดิตให้เกิดความปลอดภัยมากขึ้น จึงเป็นที่มาของ มาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) ที่เป็น กรอบการทำงานสำหรับผู้ให้บริการบัตรเครดิต ในการดูแลข้อมูลบัตรเครดิตของลูกค้า ให้มีความปลอดภัยข้อมูลที่ได้มาตรฐาน ผู้เชี่ยวชาญด้านความปลอดภัยฯ กล่าวเสริมเกี่ยวกับ PCI DSS ว่า มาตรฐานนี้เริ่มประกาศใช้ตั้งแต่ต้นปี 2548 ส่วน PCI DSS Version 1.1 ได้มีการปรับปรุงแก้ไขเพิ่มเติม และประกาศใช้ตั้งแต่ ก.ย.2549 เป็นต้นมา มาตรฐาน PCI ประกอบด้วยโครงสร้างหลักอยู่ 6 วัตถุประสงค์การควบคุมในระดับสูง น้อยกว่ามาตรฐาน CobiT มีทั้งหมดถึง 34 วัตถุประสงค์ฯ เน้นไปที่การป้องกันข้อมูลลูกค้า เช่น ข้อมูลผู้ถือบัตรเครดิต ถ้าแฮกเกอร์สามารถเจาะข้อมูล ชื่อ - นามสกุล ผู้ถือบัตร วันหมดอายุ และเลขที่บัตรเครดิต เพราะแฮกเกอร์ก็สามารถนำข้อมูลบัตรเครดิตนั้นไปใช้ได้ทันที  “ดังนั้น มาตรฐาน PCI จึงมีความจำเป็นในการป้องกันข้อมูลเหล่านี้ ไม่ให้รั่วไหลไปอยู่ในมือของผู้ไม่หวังดี มาตรฐาน PCI ทำให้ผู้ให้บริการบัตรเครดิตส่วนมาก คือ ธนาคารพาณิชย์ ต้องมีการปรับตัวใช้เทคโนโลยีสารสนเทศใหม่ ๆ และนำเทคโนโลยีด้านความปลอดภัยข้อมูลเข้ามาประยุกต์ใช้ในองค์กร ยกตัวอย่าง เช่น เรื่องการเข้าถึงข้อมูลของผู้ปฏิบัติงาน ตลอดจนความปลอดภัยทางกายภาพ เช่น ระเบียบการเข้า-ออก ศูนย์คอมพิวเตอร์ เป็นต้น” นายปริญญา กล่าวทิ้งท้าย น่าแปลกใจที่เรื่องความปลอดภัยของข้อมูล แม้จะมีการพูดถึงและให้ความรู้มากสักเพียงใด ก็ยังมีความเสียหายและเหยื่อผู้ถูกโจมตีอยู่เช่นเดิม ดูเหมือนว่าผู้ใช้งานคอมพิวเตอร์ยังคงต้องเดินตามหลังแฮกเกอร์ต่อไป เพราะวันนี้หากการล่อลวงเพื่อให้ได้มาของข้อมูล ถ้าไม่ได้ด้วยเล่ห์เหลี่ยม ก็คงต้องหากลอุบายมาจนได้ โดยเฉพาะองค์กรยุคใหม่ที่ต้องทำงานผ่านเครือข่ายอินเทอร์เน็ต ที่จะต้องเป็นเหยื่อในการถูกล่วงละเมิด เข้าถึงและขโมยข้อมูล ไม่ว่าจะเป็นการโจมตีของมัลแวร์ หรือจะล่อลวงกันแบบฟิชชิ่ง หรือฟาร์มมิ่ง เมื่อการโจมตีเป็นเรื่องน่ากลัว หากโจรไซเบอร์คิดจะทำกับองค์กรของเรา หรือแม้แต่ตัวผู้ใช้เอง บางที่ความปลอดภัยอย่างง่ายๆ ที่น่าจะทำได้ คงเป็นการปฏิบัติตามระเบียบข้อบังคับตามที่ผู้รู้กล่าวมา โดยที่องค์กรตั้งแต่ผู้บริหารองความปลอดภัยจนถึงระดับล่าง ต้องเข้าใจและเห็นความสำคัญตรงนี้นั่นเอง... จุลดิส รัตนคำแปง itdigest@thairath.co.th
บทความจาก : ไทยรัฐ |
|
