ตั้งแต่วันที่ 12 พ.ค. ที่ผ่านมา ไวรัสประเภท RansomWare ที่ชื่อว่า WannaCry เริ่มแพร่ระบาดไปในหลายประเทศ มีเครื่องคอมพิวเตอร์ติดไปเป็นหลักแสนเครื่อง ซึ่งประเทศไทยเองก็มีหน่วยงานที่โดนไปแล้วเรียบร้อยเช่นเดียวกัน มีข่าวสาร ข้อมูลที่เกี่ยวข้องออกมาไม่น้อย
Brand Inside ได้พูดคุยกับ ดร.ภูมิ ภูมิรัตน Senior Security Consultant จาก G-ABLE ผู้เชี่ยวชาญด้าน Cyber Security เพื่อทำความเข้าใจแบบง่ายๆ และสรุปมาให้ทุกคนเข้าใจได้ง่ายยิ่งกว่า ทั้งผู้ใช้ทั่วไป องค์กร ทั้งสิ่งที่เกิดขึ้น และสิ่งที่จะตามมา
RansomWare ชนิดพิเศษ โจมตีแบบไม่เลือกเป้าหมาย
ดร.ภูมิ อธิบายแบบสั้นๆ เข้าใจง่ายว่า RansomWare เป็นไวรัสประเภท Malware ซึ่งเดิมเน้นสร้างความรำคาญกับผู้ใช้งาน แพร่กระจายผ่านทาง email, thump drive ต้องมีการคลิกเปิด ไฟล์บางอย่างก่อน แต่ WannaCry เป็น RansomWare ชนิดใหม่ ที่พัฒนาตัวเองเป็น Worm (หนอน) แปลว่าไม่ต้องมีการคลิก ขอแค่คอมพิวเตอร์มีช่องโหว่ที่เป็นเป้าหมาย และมีการเชื่อมต่ออินเทอร์เน็ต จะมีโอกาสติดทันที
และ WannaCry มีเป้าหมายที่ผู้ใช้งาน Microsoft Windows หรือพูดง่ายๆ ว่า เกินครึ่งของคอมพิวเตอร์ทั่วโลก โดยไม่มีการกำหนดเป้าหมายในการโจมตี ซึ่งผู้ที่มีความเสี่ยงสูงคือ ผู้ใช้ Microsoft Windows ตั้งแต่รุ่น XP, Vista, 7, 8 และ 10 ที่ไม่มีการอัพเดท patch เมื่อประมาณเดือน มี.ค. ที่ผ่านมานี้
คอมพิวเตอร์ที่ติด WannaCry จะถูกล็อกเครื่องใช้งานไม่ได้ ล็อกไฟล์งาน จนกว่าจะจ่าย “ค่าไถ่” เป็นเงินประมาณ 300 ดอลลาร์ผ่าน bitcoin หรือกว่า 10,000 บาท เพื่อให้สามารถเปิดคอมพ์และคัดลอกไฟล์ข้อมูลได้
จ่าย – ไม่จ่าย สุดท้ายต้องล้างเครื่อง
สำหรับในประเทศไทย แม้ไม่มีการยืนยันชัดเจน แต่คาดว่ามีหน่วยงานรัฐและเอกชนที่โดน WannaCry เล่นงานด้วยแน่นอน ดังที่กล่าวไปแล้วว่า WannaCry ไม่มีเป้าหมาย หากคอมพิวเตอร์มีช่องโหว่ และมีโอกาส ไวรัสจะเข้าโจมตีทันที ยิ่งองค์กรในไทย โดยเฉพาะกลุ่ม non-bank ส่วนใหญ่ไม่มี กระบวนการ update patch เป็นประจำอยู่แล้ว จึงไม่แปลกที่ หากมี patch ใหม่ให้อัพเดทเมื่อ ประมาณ มี.ค. ที่ผ่านมา แล้วจะยังไม่มีการอัพเดทเกิดขึ้น
สำหรับ patch ปกติจะมี 2 ส่วน คือ cycle patch เป็นการอัพเดทเพื่อประสิทธิภาพการทำงานของระบบ ประมาณ 1-2 ครั้งต่อปี อีกส่วนคือ security patch คือ การอัพเดทเพื่อปิดช่องโหว่ รูรั่วของระบบ ที่จะมาบ่อยหน่อย แต่เมื่อไม่มีการอัพเดทเป็นประจำ ก็ทำให้หลายองค์กร โดนเล่นโจมตี และเมื่อมีคอมพ์ 1 เครื่องในองค์กรโดน โอกาสที่เครื่องอื่นจะโดนทั้งหมด ก็เป็นไปได้สูง
เมื่อโดน WannaCry โจมตีแล้ว สิ่งที่ต้องทำคือ
- จ่ายเงินค่าไถ่ เพื่อเปิดคอมพ์ แล้วทำการคัดลอกหรือ back up ไฟล์ข้อมูลออกมาแล้วจึง ล้างเครื่องเพื่อติดตั้งระบบใหม่
- ไม่จ่ายเงินค่าไถ่ เพราะไฟล์ข้อมูลในเครื่องไม่สำคัญ หรือ มีการ back up ไฟล์ข้อมูลไว้ประจำแล้ว ก็ล้างเครื่องติดตั้งระบบใหม่ได้เลย
คอมพิวเตอร์ในประเทศไทย มีความเสี่ยงสูงขึ้นเรื่อยๆ กับการติดไวรัส
ดร.ภูมิ บอกว่า นี่คือความจริงที่ต้องยอมรับ สำหรับผู้ใช้งานทั่วไป ยังมีจำนวนไม่น้อยที่ใช้ระบบปฏิบัติการ Microsoft Windows ของปลอม แปลว่า ไม่สามารถอัพเดท patch ใหม่ได้ บางคนยังใช้ XP อยู่ เมื่อไม่สามารถอัพเดท และ WannaCry เป็นไวรัสแบบไม่มีเป้าหมาย จึงมีโอกาสติดได้เช่นกัน (จากนั้นก็รอจ่าย – ไม่จ่ายเงินค่าไถ่ และล้างเครื่องใหม่)
ขณะที่องค์กรต่างๆ ก็มีปัญหาเช่นเดียวกัน ประกอบด้วย
- ปัญหาอยู่ที่กระบวนการ patch management เช่น ไม่สามารถอัพเดท patch ได้ทันกับจำนวนเครื่องที่มีอยู่ เพราะมีพนักงานไอทีไม่เพียงพอ หรือ กระบวนการ patch management ไม่ดีพอ อัพเดทไม่ครบ หรือไม่ทั่วถึง และการอัพเดท patch มีความเสี่ยงกระทบกับการทำธุรกิจ แปลว่า ไม่มีการทดสอบก่อนว่าจะมีผลกระทบกับธุรกิจหรือไม่
แปลว่าการทำ patch management ต้องมีการวิเคราะห์ความจำเป็นของการอัพเดท ต้องมีการทดสอบความเสี่ยงที่อาจเกิดขึ้น จากนั้นจึงมีการอัพเดท patch ของระบบ ซึ่งต้องใช้พนักงานไอทีจำนวนมากพอสมควรขึ้นกับจำนวนคอมพ์และระบบที่ใช้งาน
- องค์กรควรทำการ back up ข้อมูลเป็นประจำ และกระบวนการทำต้องดีด้วย เป็นอีกสิ่งที่องค์กรในไทยตระหนักถึงความจำเป็น แต่ยังมีกระบวนการที่ไม่ดีเท่าที่ควร ง่ายที่สุดควรมีอย่างน้อย 3 ขั้นตอน คือ 1. การ back up ที่อื่น 2. back up มากกว่า 2 เทคโนโลยี และ 3. ต้องมีอยู่น้อย 3 ก็อปปี้ เพื่อความมั่นใจ
นอกจากนี้ ควรมีการทดสอบ restore หรือ ทดสอบว่าข้อมูลที่ back up ไว้นั้นสามารถใช้งานได้จริง หลายครั้งองค์กร back up ไว้อย่างดี แต่ restore กลับมาใช้งานไม่ได้
จะองค์กรใหญ่ องค์กรเล็ก startup ก็มีโอกาสโดนโจมตีทั้งสิ้น
ดร.ภูมิ บอกว่า WannCry ไม่เลือกเป้าหมาย และในอนาคตก็อาจมีไวรัสลักษณะนี้ออกมาอีก ดังนั้นไม่เกี่ยวกับ คนทั่วไป หรือขนาดองค์กร ทุกคนควรสร้างความปลอดภัยให้ตัวเอง ธุรกิจ startup เองก็อาจเป็นเป้าหมายเช่นเดียวกัน ทางออกที่ดีที่สุดคือ startup รวมถึงองค์กรอื่นๆ ควรมีขั้นตอนการป้องกันความปลอดภัย เช่นเดียวกับ bank แต่ลดขนาดความจำเป็นลง เช่น
ควรมีกระบวนการด้าน Security Software Development เพื่อความปลอดภัยของระบบ มีการพัฒนาความปลอดภัยทั้งระบบ ฮาร์ดแวร์ และซอฟต์แวร์ มีการป้องกันและแก้ไขช่องโหว่ที่เกิดขึ้น และสุดท้ายต้องมีการวางระบบ Security Infrastructure
คำแนะนำหนึ่งต่อ startup คือ ควรมีพันธมิตรด้าน Security ตั้งแต่เริ่มต้น เพื่อวางระบบแต่แรก ช่วยในการควบคุมต้นทุน แทนที่จะมาลงทุนด้านความปลอดภัยในภายหลัง ซึ่งจะมีต้นทุนที่สูงมาก
ตระหนัก ไม่ใช่ ตระหนก เตือนองค์กรไทย ป้องกันความเสียหายต่อแบรนด์
ข้อจำกัดหนึ่งของประเทศไทย รวมถึงทั่วโลกคือ การขาดแคลนบุคลากรด้านไอที โดยเฉพาะด้าน Security ซึ่งหาได้ยากมาก ยิ่งทุกสิ่งอย่างบนโลกกำลังนำระบบไอทีเข้าไปเป็นส่วนหนึ่ง เรื่องของ Security จะทวีความสำคัญมากขึ้น ทำให้องค์กรต่างๆ ต้องตระหนักถึงความสำคัญด้านนี้มากขึ้น
แต่ไม่ใช่ตระหนกกับสิ่งที่เกิดขึ้น
ดังนั้นการรู้และเข้าใจอย่างถูกต้อง คือสิ่งสำคัญ เพราะ การที่องค์กรจะเพิ่มระบบรักษาความปลอดภัย หรือไม่เพิ่ม ล้วนมีความเสี่ยงต่อธุรกิจ ทางออกคือ ต้องหาคนที่รู้และเข้าใจอย่างแท้จริงเข้ามาช่วยเหลือ
ต้องไม่ลืมว่า สุดท้ายหากมีปัญหาด้าน Security เกิดขึ้น นอกจากเกิดความเสียหายทางธุรกิจ สิ่งที่เป็นผลกระทบอย่างรุนแรง จนไม่สามารถประเมินค่าได้คือ แบรนด์ และความน่าเชื่อถือขององค์กร
เกี่ยวกับ ดร.ภูมิ
ดร.ภูมิ ภูมิรัตน ลูกชายคุณโตของ ดร.ศักรินทร์ ภูมิรัตน ผู้อำนวยการสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติสำเร็จการศึกษาระดับปริญญาตรี สาขาไฟฟ้าและวิศวกรรมคอมพิวเตอร์ และปริญญาเอกด้านซอฟต์แวร์ระบบความปลอดภัยคอมพิวเตอร์ มหาวิทยาลัยเดวิส (University of California, Davis) ประเทศสหรัฐอเมริกา
ปัจจุบันดำรงตำแหน่งที่ปรึกษาอาวุโสด้านระบบความปลอดภัย ของบริษัท G-ABLE
เกี่ยวกับ G-ABLE
G-ABLE คือบริษัทผู้พัฒนา, ติดตั้งจนถึงให้บริการด้านระบบ IT และ Digital ในไทย ซึ่งเป็นพันธมิตรกับบริษัทชั้นนำระดับโลกในด้าน modern digital solutions, enterprise business solutions และ IT infrastructure solutions โดยมีกลุ่มลูกค้าซึ่งเป็นองค์กรชั้นนำในภาคเอกชนและรัฐบาล
ติดตามข่าวสารจาก Brand Inside ได้จาก Facebook ของเรา