Internet of Threats: เมื่อ IoT เติบโตความปลอดภัยก็ขยายตัวตาม

เนื่องจากภัยคุกคามบนอินเตอร์เน็ตในปัจจุบันนั้นถูกพบเห็นเป็นข่าวบ่อยขึ้นเรื่อยๆ ดังนั้น อุปกรณ์ IoT ที่มีการเชื่อมต่ออินเตอร์เน็ตจำนวนมากมายจึงมีความน่าจะเป็นที่จะถูกแฮกโดยผู้ไม่หวังดีได้มากขึ้นตามไปด้วย ดังตัวอย่างจากงาน DefCon ที่ประเทศจีนเมื่อปีที่ผ่านมา มีการแสดงโดยนักศึกษาจีนที่ร่วมการแข่งขันที่ทาง Tesla ไม่ได้เป็นผู้ให้การสนับสนุนว่าเขาสามารถแฮกระบบควบคุมรถของ Tesla จนสามารถบังคับให้มีการเปิดประตูหรือซันรูฟในขณะที่รถกำลังวิ่งอยู่ได้ หรือแม้แต่การทำ PoC (Proof-of-Concept) ในการแฮกสมาร์ททีวี, ระบบสแกนลายนิ้วมือบนสมาร์ทโฟน, อุปกรณ์เน็ตเวิร์ก, ระบบบ้านอัจฉริยะ, กล้องวงจรปิด และระบบกันขโมย ทำให้เห็นได้ว่า IoT นั้นนอกจากจะนำมาซึ่งความสะดวกสบายในชีวิตประจำวันของท่านแล้ว ยังนำมาซึ่งภัยคุกคามด้วยเช่นกัน ทำให้มีการเล่นคำว่า IoT นั้นมีอีกความหมายว่า Internet of Threats นั่นเอง

ไม่ว่าอุปกรณ์ใดๆ ก็ตามที่มีการเชื่อมต่อกับอินเตอร์เน็ต อุปกรณ์ตัวนั้นจะต้องพร้อมที่จะรับกับความเสี่ยงที่จะโดนแฮกข้อมูล หรือลุกล้ำเพื่อครอบครองโดยผู้ไม่หวังดี เพราะไม่ว่าคุณจะมีการป้องกันด้วยอุปกรณ์ security ที่ดีเลิศที่สุดในโลก หรือคุณจะมีการเข้ารหัสข้อมูลหรือมีการป้องกันใดๆ ก็ตามที่เรียกได้ว่าดีที่สุด แข็งแรงที่สุด แต่ทันทีที่มันมีการเชื่อมต่อกับอินเตอร์เน็ตความเสี่ยงบังเกิดขึ้นทันที ซึ่งอุปกรณ์ IoT ก็ไม่สามารถปฏิเสธความเสี่ยงนี้ได้ แต่สิ่งที่น่ากลัวกว่าก็คืออุปกรณ์ IoT ในปัจจุบันนั้นก็เหมือนกับอุปกรณ์คอมพิวเตอร์หรือสมาร์ทโฟนรุ่นแรกๆ ที่เริ่มมีการเชื่อมต่ออินเตอร์เน็ตที่มีช่องโหว่มากมายให้ผู้บุกรุกสามารถเลือกสรรใช้ในการโจมตีอย่างสบายๆ ดังนั้น การตั้งอยู่ในความไม่ประมาทด้วยการพิจารณาอุปกรณ์ IoT ที่ท่านเลือกใช้ว่ามีมาตรการอย่างไรในการรักษาความปลอดภัยให้กับท่านได้ก่อนที่จะซื้อมาใช้งานก็จะช่วยให้ท่านมีความเสี่ยงลดลง (แต่ขอให้ระลึกไว้ว่าความเสี่ยงไม่มีทางเป็นศูนย์นะครับ)

โดยที่ในอดีตนั้นเราจะคิดว่าแฮกเกอร์นั้นมุ่งหวังที่จะโจมตีเฉพาะองค์กร เพราะผลลัพธ์ที่ได้นั้นคุ้มค่าการลงทุนลงแรงมากกว่าการโจมตีไปที่ตัวบุคคล (ยกเว้นบุคคลสำคัญ) แต่ในปัจจุบันนั้นแฮกเกอร์เริ่มมุ่งเป้าไปที่อุปกรณ์ IoT ที่มีความง่ายในการโจมตีมากกว่าและผู้ใช้ส่วนใหญ่ยังขาดความระมัดระวังตัวด้วย ให้ลองคิดง่ายๆ ว่าถ้าคุณมีสมาร์ทโฟนที่เชื่อมต่อกับกล้องวงจรปิด และระบบป้องกันขโมยผ่านระบบคลาวด์ หากมีใครขโมยสมาร์ทโฟนของคุณไปก็สามารถที่จะควบคุมทุกอย่างในบ้านของคุณได้อย่างสบาย หรือแม้แต่ถ้าผู้บุกรุกสามารถแฮกระบบคลาวด์ได้ก็สามารถควบคุมทุกอย่างในบ้านของคุณได้เช่นกัน หรือบรรดารถอัจฉริยะรุ่นใหม่ๆ ที่มีระบบควบคุมอุปกรณ์ต่างๆ ในรถรวมถึงการปลอดล็อกและสตาร์ทรถด้วย หากใครสามารถแทรกแซงระบบได้ก็สามารถนำรถสุดหรูของคุณไปใช้หรือไปขายต่อตามชายแดนได้อย่างสบายๆ คุณยังจะคิดว่า Internet of Threats นั้นเป็นเรื่องไกลตัวคุณอีกต่อไปหรือไม่?

ทางออกของปัญหา

ดังสุภาษิตที่ว่าทุกปัญหามีทางออก ปัญหาเรื่องภัยคุกคามของ IoT เองก็เช่นกัน รูปแบบของปัญหาก็ไม่ได้แตกต่างจากความเสี่ยงบนอินเตอร์เน็ตที่เราคุ้นเคยกันอยู่แล้ว ไม่ว่าจะเป็นเทคนิคการโจมตี หรือการแฮกอุปกรณ์ IoT ก็ไม่ได้แตกต่างจากที่เคยเกิดขึ้นกับบรรดาเซิร์ฟเวอร์ และระบบต่างๆ ที่ให้บริการบนอินเตอร์เน็ต เช่น การโจมตีช่องโหว่ที่มีการเปิดเผยต่อสาธารณะแล้ว แต่ไม่มีการจัดการแก้ไขแพทซ์ตามคำแนะนำของผู้ขาย หรือช่องโหว่จากฟีเจอร์ที่ใช้งาน หรือแม้แต่ช่องโหว่ที่เกิดจากการเขียนซอฟต์แวร์ไม่รัดกุม เป็นต้น ดังนั้น วิธีการแก้ไข และป้องกันความเสี่ยงก็เลยไม่แตกต่างกัน ได่แก่

1. การออกแบบโดยคำนึงถึงความปลอดภัย: โดยที่ผู้ผลิตจะต้องคิดถึงความเสี่ยงที่มีโอกาสจะเกิดขึ้นกับผลิตภัณฑ์ที่ต้องการจะผลิตตั้งแต่ตอนออกแบบ ทดสอบว่าการป้องกันที่ออกแบบไว้นั้นเพียงพอจะป้องกันความเสี่ยงที่ได้คิดเอาไว้หรือไม่ ก่อนที่จะนำออกมาจำหน่าย และควรตั้งค่า default ของผลิตภัณฑ์ให้เป็นค่าที่ปลอดภัยเสมอ

2. การใช้งานอย่างปลอดภัย: เมื่อผู้ขายทำให้ผลิตภัณฑ์มีความปลอดภัยแล้ว คนใช้ก็ควรจะทำความเข้าใจกับมาตรฐานความปลอดภัย (security standard) ที่ผู้ผลิตแนะนำ และใช้งานผลิตภัณฑ์นั้นอย่างปลอดภัย เช่น การเปลี่ยน default password, เลือกเข้ารหัสข้อมูลที่สำคัญ และอัพเดตแพทซ์อย่างสม่ำเสมอ เป็นต้น

3. การจัดการเมื่อเกิดเหตุผิดปกติ: ในฐานะผู้ใช้ ไม่ว่าจะเพื่อการใช้งานส่วนตัว หรือใช้สำหรับองค์กร เมื่อเกิดเหตุผิดปกติขึ้นนั้น ผู้ใช้จะเป็นคนแรกๆ ที่รับรู้ถึงความผิดปกติที่เกิดขึ้น ดังนั้น ผู้ใช้ควรจะทราบว่าเมื่อเกิดเหตุผิดปกติขึ้นจะต้องแจ้งเหตุกับใคร หรือต้องทำอย่างไรบ้าง (รวมถึงวิธีการติดต่อกับผู้ผลิต) เหมือนกับตอนขึ้นเครื่องบิน ผู้โดยสารก็ต้องรู้ว่าทางออกฉุกเฉินว่าอยู่ไหน และต้องทำอย่างไรเมื่อเกิดเหตุผิดปกติขึ้น

4. การเข้าใจสิทธิของผู้ใช้: เรื่องนี้ต้องยอมรับว่าผู้ผลิตส่วนใหญ่ชอบให้ผู้ใช้ติ๊ก Agreed ให้ผู้ผลิตสามารถเข้าถึงข้อมูลของผู้ใช้ก่อน จึงจะสามารถใช้งานซอฟต์แวร์ หรืออุปกรณ์ IoT ได้ ซึ่งหากมองเผินๆ ก็ดูเหมือนไม่มีอะไร แต่ถ้าบรรดาข้อมูลที่เก็บจากบรรดาอุปกรณ์อัจฉริยะเหล่านี้อยู่ในมือของคนอื่น แล้วคุณจะแน่ใจได้อย่างไรว่าตัวคุณนั้นปลอดภัย เช่น ถ้าคนร้ายสามารถแฮกบริษัทผู้ผลิตอุปกรณ์ IoT ที่คุณใช้งานอยู่จนสามารถรู้ที่อยู่ของคุณ และตามมาทำร้ายคุณ แล้วใครจะรับผิดชอบกับชีวิตของคุณ

ขอขอบคุณข้อมูลจาก http://www.enterpriseitpro.net/?p=1258