ประเด็นสำคัญที่เราจะหยิบมาตีแผ่คือ คำถามที่ว่า เรื่อง Security สำคัญขนาดไหนสำหรับธุรกิจ ไล่ไปตั้งแต่ธุรกิจใหญ่ ไปจนถึงธุรกิจขนาดเล็กอย่าง Startup รวมถึงทุกวันนี้องค์กรส่วนใหญ่มีปัญหาหรือขาดความเข้าใจอะไรในเรื่องนี้บ้าง

ดร.ภูมิ เล่าให้กับพวกเราฟังว่า เคสของ WannaCry เป็นกรณีศึกษาของมัลแวร์ประเภท Ransomware ถามว่าความน่ากลัวของเจ้า WannaCry และการเป็น Ransomware มีอะไรบ้าง ประเด็นที่คุณควรทราบมีดังนี้

ความน่ากลัวของ Ransomware

• มัลแวร์ประเภทนี้ เมื่อมันได้เข้ามาที่เครื่องของคุณแล้ว มันไม่ใช่เพียงแค่รบกวนเล็กๆ น้อยๆ แต่มัน ยึดเครื่องของคุณเป็นตัวประกัน แล้วเรียกค่าไถ่ อย่าง WannaCry ก็จะให้คุณจ่ายค่าไถ่ด้วย Bitcoin โดยที่ขึ้นราคาค่าไถ่ทุกวัน
• เคส WannaCry ครั้งนี้ เน้นเป้าหมายที่ Mass คือโจมตีผู้ใช้ Windows แต่เคสที่น่ากลัวสำหรับธุรกิจคือ มันอาจจะโจมตีระบบที่เฉพาะเจาะจงก็ได้ ลองสมมติว่าเป็นระบบ Health Information Systems ของโรงพยาบาล แปลว่านี่ไม่ใช่เรื่องเล่นๆ หากระบบของโรงพยาบาลจะต้องถูกชะงัก ไหนจะข้อมูลคนไข้อีก องค์กรจะต้องมีมาตรการเตรียมรับมือกับเรื่องนี้
• เรื่องที่น่าสนใจคือ Ransomware เป็นมัลแวร์ ประเภท Worm ไม่ใช่ไวรัส แปลว่า “อยู่เฉยๆ ก็ติดเชื้อได้”

เข้าใจความแตกต่างระหว่าง Virus (ไวรัส) และ Worm (เวิร์ม)

ดร.ภูมิ ได้อธิบายถึงความแตกต่างอย่างเห็นภาพ เข้าใจง่าย ไว้ดังนี้ว่า ...ไวรัส จะต้องมีพาหะนำเชื้อ ลองนึกถึงไข้หวัด เมื่อคนเป็นหวัดจาม อีกคนจึงติดหวัด

ในขณะที่ Worm แปลตรงตัวก็คือหนอน หนอนเป็นสิ่งมีชีวิต สามารถเดินทางพาตัวเองไปจุดต่างๆ ได้ จึงไม่จำเป็นต้องมีพาหะนำเชื้อ

ดังนั้นแปลว่า เพียงแค่คุณมีช่องโหว่ของระบบ หนอนหรือ Worm ก็สามารถบุกเข้าไปโจมตีคุณได้ ในเคสของ WannaCry ก็เช่นกัน มันไม่ได้ฝังตัวเองอยู่ใน Payload หรือพาหะนำเชื้อใดๆ แต่มันจะสแกนมองหาเหยื่อเอง

นั่นทำให้การแพร่ของมันกระจายได้เร็วเป็น Exponential Effect เมื่อ 10 กว่าปีที่แล้วเองก็มี Worm ชื่อ Slammer ทำอินเทอร์เน็ตล่มมาแล้ว มีผู้เสียหาย 75,000 ราย ภายใน 10 นาที

อะไรคือข้อผิดพลาดด้าน Security ที่บริษัทส่วนใหญ่เจอ

ดร.ภูมิ เล่าว่า ในเคสของ WannaCry วิธีการที่ช่วยป้องกันได้นั้นคือการ 'Patch' (การลงโปรแกรมที่ถูกสร้างมาเพื่ออัปเดตให้ทันสมัย, พัฒนาความสามารถ หรือซ่อมแซมจุดบกพร่องของซอฟแวร์เดิม หากคุณเคยใช้ Windows น่าจะเคยเห็นการแจ้งเตือนให้ดาวน์โหลด Patch) ในขณะเดียวกัน ดร.ภูมิเล่าว่า..

บริษัทส่วนใหญ่ไม่มีกระบวนการจัดการ Patch ที่มีประสิทธิภาพพอ

Techsauce ได้สอบถามต่อว่า การจัดการ Patch ที่มีประสิทธิภาพนั้น หมายถึงอย่างไรบ้าง ซึ่ง ดร.ภูมิ ได้แชร์ให้ฟังดังนี้ "องค์กรควรเริ่มต้นจากการทำ Asset Management ก่อน แผนกอะไร มีเครื่องอะไร ไว้ใช้ทำอะไรบ้าง จากนั้นก็ออกแบบกระบวนการทำ Patch เรามี Vendor อะไรบ้าง และต้อง Patch อย่างไร และมีเครื่องไหนเป็นเครื่อง Test"

"ความท้าทายคือ มันเป็นงาน Routine ต้องใช้พนักงานไอทีหลายคน องค์กรขนาดใหญ่อาจจะลงทุนกับซอฟแวร์ราคาสูงที่สร้างมาเพื่อ Sync กับแต่ละ Vendor ได้เลยโดยอัตโนมัติ ส่วนองค์กรขนาดกลางอาจจะใช้วิธีจ้าง Outsource ช่วยแต่ไม่ว่าคุณจะเป็นองค์กรระดับไหน คุณก็ยังต้องเริ่มจากการเข้าใจระบบภายในของตัวเอง และคิดกระบวนที่ดีก่อน จากนั้นจึงมาดูว่าจะใช้คนเท่าไหน หรือเครื่องมือไหนมาช่วยได้บ้าง

เรื่องคนและกระบวนการสำคัญมาก อย่างเคสของ WannaCry มันแพร่ตอนคืนวันศุกร์ ซึ่งวันเสาร์ก็เป็นวันหยุดและที่บริษัทไม่มีคนไอทีดูแล เป็นต้น"

"นอกจากเรื่อง Patch แล้วก็มีเรื่อง Backup หลายๆ คน Backup ผิดวิธี หรือเคสที่เป็นกันเยอะคือ Backup แล้ว แต่ไม่แทบไม่เคยทดสอบการ Restore ไม่เคยซ้อมการ Restore ว่าจะกู้กลับมาได้สมบูรณ์จริงไหม เพราะฉะนั้นจะต้องสร้างกระบวนการทดสอบการ Restore ด้วย แล้วก็เทส Restore เล็กๆ อย่างน้อยสัปดาห์ละหน และ Restore ใหญ่ๆ เป็นรอบ Cycle ไป"

ธุรกิจจะลงทุนใน Security ไปทำไม ไปลงทุนใน Big Data, AI, IoT ดีกว่าไหม?

เมื่อเจอคำถามนี้เข้าไป ดร.ภูมิยอมรับเลยว่ามีคนคิดแบบนี้เยอะจริงๆ ไปลงทุนใน Big Data, AI ที่กำลังอยู่ในกระแสดีกว่าไหม กรณึศึกษาของ Ransomware คงให้คำตอบกับคุณได้บ้างแล้ว แต่ในขณะเดียวกัน ดร.ภูมิก็แชร์ประสบการณ์เพิ่มเติมว่า

เคยมีกรณีเกิดขึ้นกับบริษัทแห่งหนึ่ง เรื่องพนักงานในแผนก Big Data เอาข้อมูลของลูกค้ามาขาย คุณคิดว่าระหว่างข่าวที่ว่าบริษัทนี้มี Big Data กับข่าวที่ว่าข้อมูลของลูกค้าถูกนำมาขาย ข่าวไหนจะร้อนแรงกว่ากัน?

หากมี Big Data ก็ต้องมี Security ภายในองค์กรที่เข้มแข็งยิ่งกว่าเดิม อย่าง Access Control, Data Protection หรือ Encryption จะต้องบาลานซ์ให้ได้ระหว่างกันทำสิ่งใหม่ๆ กับการสร้างความเข้มแข็งและป้องกันความเสี่ยง

"Security อาจจะไม่ได้ให้ผลลัพธ์ที่วัดได้ในเชิงผลกำไร แต่ให้มองมันเหมือนการใช้ชีวิต ถ้าคุณไม่รักษาสุขภาพ ไม่ออกกำลังกาย สุดท้ายคุณก็จะต้องจ่ายค่าหมอราคาแพง" ดร.ภูมิ กล่าวสรุปทิ้งท้าย

Security เป็นเรื่องของบริษัทใหญ่ๆ ไม่เกี่ยวกับ Startup หรือเปล่า?

คุณอาจจะคิดว่าใครจะอยากมาโจมตีบริษัทเล็กๆ อย่าง Startup แต่บางทีภัยคุกคามก็เลือกโจมตีผู้ที่เปิดช่องโหว่ ไม่ว่าจะเป็นใครก็ตาม อย่างเคสของ Ransomware ก็เป็นตัวอย่างหนึ่ง

"บริษัท Startup ส่วนใหญ่จะมุ่งสร้าง Product ให้เสร็จและมี Users ใช้งานก่อน ส่วนเรื่อง Security มักจะเป็นเรื่องของ 'อนาคต' ไว้บริษัทโตขึ้นค่อยหันมาลงทุน แต่ผมแนะนำว่าเริ่มต้นแต่เนิ่นๆ จะดีกว่า เพราะถ้าไม่เริ่มให้เร็ว จะมี Cost สะสมไว้เยอะมาก ถ้าต้องมาแก้ไขทีหลังจะเป็นเรื่องใหญ่"

นอกจากนี้ดร.ภูมิเองยังเป็นผู้ให้คำปรึกษาแก่ กลต. ในเรื่อง FinTech Sandbox ซึ่งเขาได้เล่าต่อว่า "ผมบอกกับ Regulator เลยว่า เรื่องอื่นยังพอลดให้ได้ แต่จะไม่ลดด้าน Security ให้ใครทั้งนั้น ถึงจะเป็น Startup ก็ต้องพิสูจน์ Security ที่สูงใกล้เคียงระดับธนาคารให้ได้"

อีกเรื่องที่น่ารู้สำหรับ Startup ที่กำลังมองหาไอเดีย การทำระบบ Security เอง ก็เป็นอีกหัวข้อที่น่าสนใจ โดยในสิงคโปร์ และฮ่องกงเอง รัฐบาลมีการสนับสนุนให้ VCs ลงทุนใน Startup ที่ทำสาย Security เพราะเรื่องนี้มีความต้องการสูงมาก

ปัจจุบันองค์กรในไทยตระหนักกับเรื่องนี้แค่ไหน

มีการรับรู้เกิดขึ้นแล้วพอสมควรนะ แต่ผมขอแบ่งเป็นแบบนี้ดีกว่า คือฝ่ายตระหนัก กับฝ่ายตระหนก

ฝ่ายตระหนก มีเยอะนะ คือพอได้ยินข่าวที่ออกมาก็รู้สึกตระหนกกับปัญหาจนไม่กล้าทำอะไร หรือพยายามจะแก้แต่ขาดความเข้าใจ คนส่วนใหญ่อยากได้คำตอบเลย อยากได้คำตอบสำเร็จรูปมาเลยว่าทางแก้คืออะไร จะจบเรื่องนี้ได้ภายในกี่ล้านบาท

ฝ่ายตระหนักคือ เข้าใจว่าเรื่อง Security มันไม่ใช่ 'จ่ายครบจบแน่' อย่างที่ผมได้อธิบายไปในตอนต้นว่าเราต้องมีกระบวนการ และเป็นเรื่องที่มีรายละเอียดเยอะมาก "ทุกๆ อย่างที่คุณทำเกี่ยวกับไอที ไม่ว่าจะเป็นเรื่องอะไรก็ตาม จะต้องมี Security เป็นอีกขาหนึ่งที่เสียบคู่ด้วยเสมอ"

ขอขอบคุณ ดร.ภูมิ และ G-ABLE สำหรับข้อมูลความรู้ดีๆ ในครั้งนี้ อย่าลืมรอติดตามความรู้ใหม่ๆ เป็นประจำจากบริษัท G-ABLE ได้ที่เว็บไซต์ Techsauce เลยค่ะ

เกี่ยวกับ G-ABLE

G-ABLE คือบริษัทผู้พัฒนา, ติดตั้งจนถึงให้บริการด้านระบบ IT และ Digital ในไทย ซึ่งเป็นพันธมิตรกับบริษัทชั้นนำระดับโลกในด้าน modern digital solutions, enterprise business solutions และ IT infrastructure solutions โดยมีกลุ่มลูกค้าซึ่งเป็นองค์กรชั้นนำในภาคเอกชนและรัฐบาล

บทความนี้เป็น Advertorial