วิเคราะข่าวแฮกเกอร์แฮกเว็บไซต์สำนักนายกรัฐมนตรี

รูปภาพของ snk03006

ข่าวไอทีที่โด่งดังเมื่อสัปดาห์ก่อน (ที่กลายเป็นประเด็นทางการเมืองไปเฉยเลย) คือข่าวเว็บไซต์สำนักนายกรัฐมนตรี opm.go.th โดนแฮก สัปดาห์นี้ผมขอนำเสนอประเด็นนี้ แต่ในมิติด้านนโยบายไอซีทีของประเทศนะครับ

ถ้าเราลองนึกย้อนไปไกลกว่านั้นหน่อย คุณผู้อ่านน่าจะพอคุ้นๆ ว่าข่าวเว็บหน่วยงานของรัฐโดนแฮกก็มีอยู่เรื่อยๆ (ส่วนจะเป็นข่าว ข่าวใหญ่ หรือประเด็นการเมืองหรือไม่นั้นเป็นอีกเรื่องหนึ่ง) เว็บโดนแฮกไม่ใช่เรื่องใหม่ แต่ก็ไม่ใช่สิ่งที่เราควรปล่อยให้มันเกิดขึ้นซ้ำๆ อยู่ตลอดไป

ในฐานะคนทำงานด้านไอที ผมขอสรุป แนวคิดพื้นฐาน เกี่ยวกับประเด็นการแฮกเว็บไว้ 2 ข้อดังนี้ครับ

1. เว็บมีโอกาสโดนแฮกได้เสมอ ลองมองว่าเว็บหนึ่งแห่งเหมือนกับบ้านหนึ่งหลัง บ้านไม่ใช่สถานที่ปิดทึบ มีประตูหน้าต่างมากมาย โจรขโมยมีวิธีการงัดแงะเข้ามาได้ตลอด

2. เราป้องกันการแฮกเว็บได้ ในฐานะเจ้าของบ้านก็ควรระมัดระวังดูแลบ้านให้ปลอดภัย ใส่เหล็กดัด สัญญาณกันขโมย กล้องวงจรปิด ฯลฯ ช่วยได้ทั้งนั้น เว็บก็เช่นกัน มีกระบวนการทางเทคนิคมากมายที่ช่วยให้เว็บปลอดภัยขึ้นมากๆ ได้

สรุปว่าในทางเทคนิคแล้ว เราป้องกันการแฮกเว็บได้ในกรณีส่วนใหญ่ แต่ก็ต้องใช้ความเชี่ยวชาญด้านความปลอดภัยไซเบอร์ในระดับสูงพอสมควร ซึ่งแปลว่าไม่ใช่ทุกคน ทุกเว็บ ทุกหน่วยงานมีความเชี่ยวชาญที่จะป้องกันตัวได้

เว็บหน่วยงานในปัจจุบันใช้วิธีต่างคนต่างทำ แต่ละองค์กรหาคนพัฒนาเว็บเอง เช่าเซิร์ฟเวอร์เอง ดูแลระบบเอง (บางองค์กรถึงขนาดแยกย่อยในระดับต่างฝ่ายก็ต่างเว็บ ต่างคนทำ) เปรียบได้กับการมีบ้านเป็นจำนวนมาก บางบ้านไม่ล้อมรั้ว (เพราะไม่ทราบวิธี) บางบ้านไม่ล็อกประตู บางบ้านเผลอเสียบกุญแจคาประตูไว้ หรือซ่อนกุญแจไว้ในจุดที่ค้นเจอได้ง่าย

เหล่าแฮกเกอร์ที่เปรียบได้กับโจรขโมยก็ทราบดีว่าบางบ้านปล่อยปละละเลย แฮกเกอร์จึงใช้วิธีไล่ค้นไปทีละบ้านว่าบ้านไหนมีช่องโหว่แค่ไหนอย่างไร (เพราะบนอินเทอร์เน็ตสามารถค้นไปเรื่อยๆ ได้ทุกเว็บโดยไม่มีใครรู้) เมื่อเจอบ้านที่หละหลวมก็จัดการแฮกซะเลย หลายครั้งไม่ได้มีจุดประสงค์อื่นใดนอกจากแฮกไว้อวดกันในหมู่แฮ็กเกอร์ว่า ฉันแฮกเว็บนี้ได้นะ ยิ่งเป็นเว็บของหน่วยงานรัฐ (ลงท้ายด้วย .go.th) ยิ่งมีศักดิ์ศรีสูงเพราะเปรียบเสมือนลูบคมรัฐบาลได้

สรุปว่าการที่เว็บของหน่วยงานรัฐโดนแฮก ส่วนใหญ่เกิดจากผู้ดูแลระบบมีความรู้ความเชี่ยวชาญไม่มากพอในการป้องกัน เว็บรัฐบางแห่งตั้งรหัสผ่านที่เดาได้ง่ายมากๆ ชนิดไม่น่าให้อภัย (เช่น ตั้งว่า admin/123456 ซึ่งเป็นรหัสชุดแรกที่แฮกเกอร์จะลองเดา)

ปัญหานี้อาจเกิดจากความด้อยประสบการณ์ของผู้ดูแลระบบก็ถูกส่วนหนึ่ง แต่ในภาพรวมแล้ว เราไม่มีทางให้ทุกหน่วยงานมีผู้ดูแลระบบไอทีที่มีทักษะความเชี่ยวชาญสูงได้ทั้งหมดอยู่ดีใช่ไหมครับ (แรงงานด้านนี้ยิ่งขาดแคลนมากๆ อยู่ครับ)

ผมขอเสนอทางแก้ปัญหาในเชิงนโยบาย 2 ข้อดังนี้ครับ

ข้อแรก ถ้าต่างคนต่างอยู่บ้านของตัวเองที่ไม่ปลอดภัยสักเท่าไร ก็น่าจะย้ายไปอยู่คอนโดฯ รวมกัน แล้วลงขันจ้างยามเก่งๆ มาดูแลดีกว่า แนวทางนี้คือแทนที่องค์กรจะเช่าเซิร์ฟเวอร์เอง ดูแลระบบเองทั้งหมด (และทำได้ไม่ดีนัก) ลองพิจารณามาใช้ ระบบคลาวด์ หรือบริการเซิร์ฟเวอร์แบบแชร์กันใช้ น่าจะดีกว่า

ผู้ให้บริการคลาวด์มักเป็นหน่วยงานที่มีความเชี่ยวชาญด้านความปลอดภัยสูงอยู่แล้ว การย้ายมาใช้บริการลักษณะนี้ช่วยให้องค์กรลดภาระการดูแลระบบลงไปได้หลายส่วน (เพราะอยู่ในค่าบริการรายเดือนอยู่แล้ว แต่ไม่ได้แปลว่าไม่ต้องสนใจเรื่องความปลอดภัยอีกเลยนะครับ)

บริการคลาวด์ในต่างประเทศมีผู้ให้บริการที่มีชื่อเสียงหลายราย เช่น อเมซอน ไมโครซอฟท์ กูเกิล แต่ในไทยโดยเฉพาะหน่วยงานของรัฐ ผมเห็นสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ก็พยายามผลักดันเรื่องนี้ เปิดบริการคลาวด์สำหรับหน่วยงานของรัฐโดยเฉพาะ (http://www.ega.or.th/Content.aspx?c_id=191) ผมมองว่าถ้าหน่วยงานของรัฐยอมย้ายไปใช้ระบบของ สรอ. กันจริงๆ ก็คงลดปัญหาโดนเจาะลงไปได้พอสมควร

ข้อสอง ในกรณีที่หลายครอบครัวยังอยากอยู่บ้านเดิมกันต่อไป แต่ก็ยังเกิดปัญหาโจรขโมยซ้ำซาก รัฐบาลในฐานะ ผู้ใหญ่บ้าน คงต้องออกแรงทำอะไรสักอย่างเพื่อให้ลูกบ้านเรียนรู้ความปลอดภัยกันให้มากขึ้น เพราะปล่อยไว้เฉยๆ ก็คงเป็นเช่นนี้อยู่เรื่อยไป

ผมเสนอให้รัฐบาล จับตรวจเว็บไซต์ของหน่วยงานรัฐทั้งหมดครับ ถ้าเป็นภาษาบัญชีก็แบบที่เรียกกันว่า ออดิท นั่นล่ะครับ แค่เปลี่ยนจากการตรวจงบประมาณมาเป็นตรวจสอบช่องโหว่ของเว็บแทน (ซึ่งในทางเทคนิคก็มีชุดการตรวจสอบระดับมาตรฐานอยู่แล้ว นำมาใช้ได้เลย) เว็บไหนไม่ปลอดภัยก็ต้องมีมาตรการลงโทษอย่างไรก็ว่ากันไป เพราะยิ่งระบบไอทีมีความจำเป็นสูง ภัยอันตรายต่อไปก็จะก้าวข้ามการแฮกเว็บเล่นๆ มาเป็นการขโมยข้อมูลหรือการทำลายระบบสารสนเทศพื้นฐานในไม่ช้า ถ้าหน่วยงานรัฐแต่ละแห่งปล่อยปละละเลยเรื่องความปลอดภัย ก็ย่อมสร้างปัญหากับนโยบายด้านไอซีทีของประเทศในอนาคตอย่างมหาศาล

และไหนๆ ถ้าจะออกแรงตรวจ เสียงบประมาณจ้างผู้ตรวจสอบแบบเป็นเรื่องเป็นราวแล้ว ผมก็เสนออีกว่าควรตรวจคุณภาพของเว็บหน่วยงานรัฐในด้านอื่นๆ ด้วย ไม่ใช่แค่ด้านความปลอดภัยเพียงอย่างเดียว

ตัวอย่างประเด็นที่เว็บไซต์ของรัฐควรผ่านมาตรฐานคุณภาพ ได้แก่

มีเนื้อหาที่จำเป็นแก่การบริการประชาชน ไม่ใช่มีแต่ภาพข่าวของผู้บริหารเปิดงาน
เนื้อหาอัพเดตสม่ำเสมอ ไม่มีหน้าไหนเข้าไม่ได้เพราะลิงก์เสีย
มีข้อมูลติดต่อที่สำคัญ เช่น แผนที่สำนักงาน หมายเลขโทรศัพท์ ระยะเวลาทำการหรือให้บริการ 
ประชาชนทุกคนต้องเข้าถึงข้อมูลในเว็บได้ ไม่ใช่ว่าต้องใช้ซอฟต์แวร์เฉพาะบางตัวเท่านั้นจึงจะเข้าได้สมบูรณ์ และต้องออกแบบเว็บรองรับคนพิการที่อาจมีปัญหาทางสายตาหรือการสั่งงานด้วย
ควรมีเนื้อหาเป็นภาษาอังกฤษสำหรับผู้เยี่ยมชมชาวต่างชาติ

เท่าที่ผมทราบ ทาง สรอ. ก็มี มาตรฐานเว็บไซต์ภาครัฐ เป็นเอกสารแนะนำให้หน่วยงานภาครัฐปฏิบัติตามอยู่แล้ว (http://www.ega.or.th/Content.aspx?m_id=96) แต่ในความเป็นจริงก็ยังไม่มีหน่วยงานทำตามสักเท่าไร (เพราะเห็นว่าเป็นภาระ และมาตรฐานไม่มีสภาพบังคับ) ตรงนี้ต้องเป็นฝ่ายบริหารระดับสูง เช่น คณะรัฐมนตรี มีมติสั่งการลงมาให้หน่วยงานรัฐทุกแห่งปฏิบัติตามแล้วล่ะครับ เครื่องมือเครื่องใช้ในการปรับปรุงคุณภาพเว็บไซต์ของรัฐถือว่าพร้อมพอตัวแล้ว เหลือแค่ฝ่ายบริหารเอาจริงเท่านั้น

แหล่งที่มา: http://m.thairath.co.th/content/tech/344710

1.ปัญหาที่เกิดขึ้นคือมีแฮกเกอร์คนหนึ่งเข้ามาทิ้งข้อความด่าทอนายกรัฐมนตรีเป็นภาษาอังกฤษ

2.สาเหตุของปัญหาอาจจะมาจากการที่ผูดูแลระบบของรัฐบาลมีความรู้สามรถไม่ค่อยพอและระบบป้องกันภัยม่ค่อยมี 

3.ผลกระทบในด้านต่างๆคือหลายคนต่างไม่ไว้วางใจเว็บของรัฐบาลมากขึ้น

4.วิธีการแก้ไขคือ

1.ถ้าต่างคนต่างอยู่บ้านของตัวเองที่ไม่ปลอดภัยสักเท่าไร ก็น่าจะย้ายไปอยู่คอนโดฯ รวมกัน แล้วลงขันจ้างยามเก่งๆ มาดูแลดีกว่า แนวทางนี้คือแทนที่องค์กรจะเช่าเซิร์ฟเวอร์เอง ดูแลระบบเองทั้งหมด (และทำได้ไม่ดีนัก) ลองพิจารณามาใช้ ระบบคลาวด์ หรือบริการเซิร์ฟเวอร์แบบแชร์กันใช้ น่าจะดีกว่า

ผู้ให้บริการคลาวด์มักเป็นหน่วยงานที่มีความเชี่ยวชาญด้านความปลอดภัยสูงอยู่แล้ว การย้ายมาใช้บริการลักษณะนี้ช่วยให้องค์กรลดภาระการดูแลระบบลงไปได้หลายส่วน (เพราะอยู่ในค่าบริการรายเดือนอยู่แล้ว แต่ไม่ได้แปลว่าไม่ต้องสนใจเรื่องความปลอดภัยอีกเลยนะครับ)

บริการคลาวด์ในต่างประเทศมีผู้ให้บริการที่มีชื่อเสียงหลายราย เช่น อเมซอน ไมโครซอฟท์ กูเกิล แต่ในไทยโดยเฉพาะหน่วยงานของรัฐ ผมเห็นสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ก็พยายามผลักดันเรื่องนี้ เปิดบริการคลาวด์สำหรับหน่วยงานของรัฐโดยเฉพาะ (http://www.ega.or.th/Content.aspx?c_id=191) ผมมองว่าถ้าหน่วยงานของรัฐยอมย้ายไปใช้ระบบของ สรอ. กันจริงๆ ก็คงลดปัญหาโดนเจาะลงไปได้พอสมควร

2.ในกรณีที่หลายครอบครัวยังอยากอยู่บ้านเดิมกันต่อไป แต่ก็ยังเกิดปัญหาโจรขโมยซ้ำซาก รัฐบาลในฐานะ ผู้ใหญ่บ้าน คงต้องออกแรงทำอะไรสักอย่างเพื่อให้ลูกบ้านเรียนรู้ความปลอดภัยกันให้มากขึ้น เพราะปล่อยไว้เฉยๆ ก็คงเป็นเช่นนี้อยู่เรื่อยไป

ผมเสนอให้รัฐบาล จับตรวจเว็บไซต์ของหน่วยงานรัฐทั้งหมดครับ ถ้าเป็นภาษาบัญชีก็แบบที่เรียกกันว่า ออดิท นั่นล่ะครับ แค่เปลี่ยนจากการตรวจงบประมาณมาเป็นตรวจสอบช่องโหว่ของเว็บแทน (ซึ่งในทางเทคนิคก็มีชุดการตรวจสอบระดับมาตรฐานอยู่แล้ว นำมาใช้ได้เลย) เว็บไหนไม่ปลอดภัยก็ต้องมีมาตรการลงโทษอย่างไรก็ว่ากันไป เพราะยิ่งระบบไอทีมีความจำเป็นสูง ภัยอันตรายต่อไปก็จะก้าวข้ามการแฮกเว็บเล่นๆ มาเป็นการขโมยข้อมูลหรือการทำลายระบบสารสนเทศพื้นฐานในไม่ช้า ถ้าหน่วยงานรัฐแต่ละแห่งปล่อยปละละเลยเรื่องความปลอดภัย ก็ย่อมสร้างปัญหากับนโยบายด้านไอซีทีของประเทศในอนาคตอย่างมหาศาล

และไหนๆ ถ้าจะออกแรงตรวจ เสียงบประมาณจ้างผู้ตรวจสอบแบบเป็นเรื่องเป็นราวแล้ว ผมก็เสนออีกว่าควรตรวจคุณภาพของเว็บหน่วยงานรัฐในด้านอื่นๆ ด้วย ไม่ใช่แค่ด้านความปลอดภัยเพียงอย่างเดียว

มหาวิทยาลัยศรีปทุม ผู้ใหญ่ใจดี
 
 

 ช่วยด้วยครับ
นักเรียนที่สร้างบล็อก กรุณาอย่า
คัดลอกข้อมูลจากเว็บอื่นทั้งหมด
ควรนำมาจากหลายๆ เว็บ แล้ววิเคราะห์ สังเคราะห์ และเขียนขึ้นใหม่
หากคัดลอกทั้งหมด จะถูกดำเนินคดี
ตามกฎหมายจากเจ้าของลิขสิทธิ์
มีโทษทั้งจำคุกและปรับในอัตราสูง

ช่วยกันนะครับ 
ไทยกู๊ดวิวจะได้อยู่นานๆ 
ไม่ถูกปิดเสียก่อน

ขอขอบคุณในความร่วมมือครับ

อ่านรายละเอียด

ด่วน...... ขณะนี้
พระราชบัญญัติลิขสิทธิ์ (ฉบับที่ 2) พ.ศ. 2558 
มีผลบังคับใช้แล้ว 
ขอให้นักเรียนและคุณครูที่ใช้งาน
เว็บ thaigoodview ในการส่งการบ้าน
ระมัดระวังการละเมิดลิขสิทธิ์ด้วย
อ่านรายละเอียดที่นี่ครับ

 

สมาชิกที่ออนไลน์

ขณะนี้มี สมาชิก 0 คน และ ผู้เยี่ยมชม 97 คน กำลังออนไลน์