เทรนด์ แล็บส์ ศูนย์วิจัยและพัฒนาและสนับสนุนด้านเทคนิคทั่วโลก ชี้ถึงแนวโน้มภัยคุกคามทางไซเบอร์ ในปี 2561 โดยผู้โจมตีใช้ 2 องค์ประกอบ คือ ทักษะและทรัพยากร ในการสร้างอาวุธ แต่ผู้โจมตีจะไม่มีวันเจาะผ่านระบบความปลอดภัยหรือทำการโจมตีที่ซับซ้อนได้หากไม่ค้นพบจุดอ่อนในระบบตั้งแต่แรก นั่นเพราะการโจมตีด้วยมัลแวร์จำนวนมาก กลโกงทางอีเมล การเจาะระบบอุปกรณ์ และการสร้างความเสียหายให้กับบริการ ทั้งหมดนี้ล้วนอาศัยช่องโหว่ของเครือข่าย ไม่ว่าจะเป็นจากเทคโนโลยีหรือบุคลากร เพื่อให้บรรลุภารกิจดังกล่าว
มีหลายกรณีตัวอย่างที่เป็นจุดอ่อนทราบกันดี เช่น การเชื่อมต่อและการมีปฏิสัมพันธ์ที่เพิ่มมากขึ้นในเครือข่ายที่ไม่ปลอดภัย และที่โชคร้ายไปกว่านั้น คือ การนำเทคโนโลยีที่ไม่สมบูรณ์ไปใช้ก็ยิ่งเพิ่มโอกาสของการเกิดภัยคุกคามเพิ่มมากขึ้น
ดังนั้นการป้องกันในจุดที่จำเป็นและในเวลาที่จำเป็นจึงเป็นเสาหลักสำคัญของการรักษาความปลอดภัยในโลกที่ภัยคุกคามมีการเปลี่ยนแปลงอยู่ตลอดเวลา
ในปี 2561 การขู่กรรโชกทางดิจิทัลจะเป็นโมเดลธุรกิจหลักของอาชญากรคอมพิวเตอร์ และจะเป็นแรงผลักดันให้เกิดอุบายอื่นๆ ที่จะหลอกลวงเหยื่อกระเป๋าหนักตามมา ขณะที่ช่องโหว่ในอุปกรณ์ไอโอที จะเริ่มขยายพื้นที่ของการโจมตีอย่างเห็นได้ชัด เนื่องจากอุปกรณ์เหล่านี้จะเชื่อมต่อถึงกันมากยิ่งขึ้นจนเป็นสภาพแวดล้อมแบบอัจฉริยะในทุกแห่งหน
อุบายหลอกลวงทางอีเมลธุรกิจจะดักเหยื่อที่เป็นองค์กรมากขึ้นเพื่อหลอกเอาเงิน ยุคสมัยของข่าวปลอมและการโฆษณาชวนเชื่อทางอินเทอร์เน็ตจะยังคงดำเนินต่อไปด้วยลูกไม้เก่าๆ ของอาชญากรคอมพิวเตอร์ การเรียนรู้ของเครื่องจักร (แมชีนเลิร์นนิ่ง) และแอพพลิเคชั่นด้านบล็อกเชนจะให้ทั้งความหวังและเป็นหลุมพรางอันตราย
ซึ่งบริษัทต่างๆ จะต้องเผชิญกับความท้าทายในการปรับตัวให้ทันกับการบังคับใช้กฎหมายการปกป้องข้อมูลทั่วไป (General Data Protection Regulation – GDPR) ไม่เพียงแต่องค์กรจะเต็มไปด้วยจุดอ่อนเท่านั้น แต่ช่องโหว่ในกระบวนการภายในจะถูกใช้เป็นเครื่องมือเพื่อบ่อนทำลายการผลิตด้วยเช่นกัน
สิ่งเหล่านี้คือภัยคุกคามที่เข้ามามีบทบาทในปี 2561 และภัยคุกคามเหล่านี้จะเป็นข้อพิสูจน์ว่าโซลูชั่นความปลอดภัยแบบเดิมๆ ล้าสมัยเกินกว่าที่จะระบุและตรวจจับภัยคุกคามได้ เมื่อสภาพแวดล้อมเริ่มเชื่อมต่อถึงกันมากขึ้นและซับซ้อนยิ่งขึ้น มุมมองของเราที่มีต่อภัยคุกคามจึงเปลี่ยนรูปแบบไปจากเดิมอย่างมาก
โมเดลธุรกิจของซอฟต์แวร์เรียกค่าไถ่หรือแรนซัมแวร์ยังคงเป็นอาชญากรรมทางคอมพิวเตอร์ที่พบในปี 2561 ขณะที่การขู่กรรโชกทางดิจิทัลในรูปแบบอื่นๆ จะบรรลุผลสำเร็จมากยิ่งขึ้น
เมื่อปี 2560 เราได้ทำนายว่าอาชญากรคอมพิวเตอร์จะพัฒนาซอฟต์แวร์เรียกค่าไถ่ หรือ แรนซัมแวร์ ไปสู่การโจมตีแบบอื่นๆ ซึ่งก็เกิดขึ้นจริง เพราะปีดังกล่าวเริ่มด้วยเหตุการณ์การโจมตีของ วันนาคราย (WannaCry) เพตย่า (Petya) ซึ่งแพร่กระจายในเครือข่ายอย่างรวดเร็ว ตามด้วยสแปม Locky และ FakeGlobe จากนั้นก็เป็นแบด แรบบิต (Bad Rabbit) ซึ่งเปิดฉากการโจมตีประเทศในยุโรปตะวันออก
เราคาดว่าภัยคุกคามของซอฟต์แวร์เรียกค่าไถ่จะไม่จางหายไปในเร็ววัน แต่ในทางตรงกันข้ามคาดกันว่าภัยดังกล่าวจะกลับมาอีกครั้งในปี 2561 แม้ว่าจะเริ่มตรวจพบการขู่กรรโชกทางดิจิทัลในรูปแบบอื่นๆ มากขึ้นก็ตาม อาชญากรคอมพิวเตอร์จะพยายามทำทุกวิถีทางเพื่อใช้ข้อมูลสำคัญเป็นอาวุธในการบีบบังคับให้เหยื่อยอมจ่ายเงิน ด้วยการเสนอซอฟต์แวร์เรียกค่าไถ่ในฐานะบริการ (RaaS) ตามฟอรัมสนทนาใต้ดินโดยใช้บิตคอยน์ซึ่งปลอดภัยในการเก็บค่าไถ่ ซึ่งส่งผลให้อาชญากรคอมพิวเตอร์จะเริ่มเข้าสู่โมเดลธุรกิจมากยิ่งขึ้น
ซอฟต์แวร์เรียกค่าไถ่ที่เติบโตสมบูรณ์จะเป็นตัวเร่งให้เกิดการขู่กรรโชกทางดิจิทัล
หากพัฒนาการทางกลยุทธ์ของอาชญากรคอมพิวเตอร์ตลอดหลายปีที่ผ่านมาคือตัวบ่งชี้ ก็คงสรุปได้ว่าอาชญากรคอมพิวเตอร์กำลังพุ่งเป้าโดยตรงไปที่”เงิน” แทนที่จะเป็นการลวงผู้ใช้เพื่อเอาข้อมูลประจำตัว ซึ่งภัยคุกคามทางออนไลน์ในยุคแรกๆ จะเน้นไปที่ซอฟต์แวร์ขโมยข้อมูลและมัลแวร์ที่เข้าควบคุมธุรกรรมของธนาคารเพื่อขโมยข้อมูลส่วนตัว และในเวลาต่อมาภัยคุกคามประเภทนี้ได้เปลี่ยนไปเป็นโซลูชั่นหลอกลวงที่แสร้งว่าเป็นโปรแกรมต้านมัลแวร์ (FAKEAV) เพื่อลวงผู้ใช้ในดาวน์โหลดซอฟต์แวร์ดังกล่าวและต้องยอมจ่ายเงินเพื่อให้สามารถเข้าถึงคอมพิวเตอร์ที่ตกเป็นเหยื่อได้อีกครั้ง นับแต่บัดนั้นซอฟต์แวร์เรียกค่าไถ่ก็ได้ยึดหัวหาดนี้ต่อด้วยการเลียนแบบพฤติกรรมของ FAKEAV
ความสำเร็จของการรุกรานโดยซอฟต์แวร์เรียกค่าไถ่ในปัจจุบัน โดยเฉพาะเรื่องการขู่กรรโชกได้จุดประกายให้อาชญากรคอมพิวเตอร์มองหาช่องทางทำกำไรจากเป้าหมายที่กระหายผลตอบแทนสูงสุด ผู้โจมตียังคงอาศัยการหลอกลวงด้วยวิธี ฟิชชิงที่ส่งอีเมลแฝงซอฟต์แวร์เรียกค่าไถ่ให้คนจำนวนมากเพื่อให้แน่ใจว่าจะมีคนบางส่วนที่โดนหลอก
ในขณะเดียวกันผู้โจมตียังหวังลาภก้อนใหญ่โดยพุ่งเป้าไปที่เหยื่อระดับองค์กร ซึ่งอาจใช้อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตระดับอุตสาหกรรม (Industrial Internet of Things – IIoT) เพราะการโจมตีด้วยซอฟต์แวร์เรียกค่าไถ่จะทำให้การปฏิบัติงานหยุดชะงักและส่งผลต่อสายการผลิต เราได้เห็นความเสียหายนี้แล้วจากการแพร่ระบาดของ WannaCry และ Petya และอีกไม่ช้าการโจมตีนั้นจะกลายเป็นเจตนาหลักของภัยคุกคาม
การขู่กรรโชกจะเริ่มมีบทบาทมากขึ้นเมื่อ GDPR ประกาศใช้ อาชญากรคอมพิวเตอร์อาจพุ่งเข้าไปที่ข้อมูลส่วนบุคคลที่คุ้มครองโดยกฎหมาย และกรรโชกทรัพย์จากบริษัทเพื่อแลกกับการที่บริษัทต้องเสี่ยงถูกปรับตามกฎหมายสูงถึง 4 เปอร์เซ็นต์ของรายได้ประจำปี ซึ่งอาชญากรคอมพิวเตอร์สามารถกำหนดราคาค่าไถ่ได้โดยดูจากข้อมูลทางการเงินของบริษัทที่เปิดเผยต่อสาธารณะแล้วคำนวณค่าปรับ GDPR สูงสุดเท่าที่บริษัทเหล่านั้นต้องโดน ข้อมูลนี้จะยิ่งผลักดันให้เกิดความพยายามเจาะระบบและเรียกร้องค่าไถ่มากขึ้น ยิ่งไปกว่านั้น เราคาดว่า GDPR จะถูกใช้เป็นกลยุทธ์ในการหลอกลวงในแบบเดียวกับที่การละเมิดลิขสิทธิ์และใบสั่งของเจ้าหน้าที่ตำรวจถูกใช้เพื่อเผยแพร่ FAKEAV และซอฟต์แวร์เรียกค่าไถ่
ผู้ใช้และองค์กรสามารถรับมือกับการขู่กรรโชกทางดิจิทัลเหล่านี้ได้โดยใช้โซลูชั่นเกตเวย์สำหรับเว็บและอีเมลเพื่อเป็นปราการป้องกันด่านแรก โซลูชั่นที่อาศัยการเรียนรู้ของเครื่องจักรที่แม่นยำสูง การติดตามพฤติกรรม และการอุดช่องโหว่จะช่วยป้องกันไม่ให้ภัยคุกคามบรรลุเป้าหมาย ความสามารถเหล่านี้เป็นประโยชน์อย่างยิ่งโดยเฉพาะในกรณีของซอฟต์แวร์เรียกค่าไถ่สายพันธุ์ต่างๆ ที่เริ่มหันไปส่งแบบไม่มีไฟล์ ซึ่งทำให้ไม่มีเนื้อหาอันตรายหรือไม่มีไฟล์ไบนารีให้โซลูชั่นแบบเดิมๆ ตรวจพบได้
อาชญากรคอมพิวเตอร์จะสำรวจวิธีใหม่ๆ เพื่อใช้อุปกรณ์ ไอโอที สร้างประโยชน์ให้กับตนเอง
การโจมตีที่ใช้เทคนิค ของดีนายล์ ออฟ เซอร์วิส ในแบบกระจาย (Distributed Denial of Service) หรือ ดีดอส (DDoS) จำนวนมากโดย Mirai และPersirai ซึ่งเข้าไปควบคุมอุปกรณ์ IoT เช่น เครื่องบันทึกวิดีโอแบบดิจิทัล (DVR) กล้อง IP และเราเตอร์ ได้ยกระดับของถกเถียงไปสู่ประเด็นที่ว่าอุปกรณ์ที่เชื่อมต่อกันเหล่านี้มีช่องโหว่และสร้างความเสียหายได้อย่างไรบ้าง เมื่อเร็วๆ นี้ มีการค้นพบบ็อทเน็ตบน IoT ชื่อ Reaper ซึ่งอาศัยโค้ดของ Mirai ซึ่งนิยมใช้เพื่อเจาะเว็บของอุปกรณ์ ซึ่งทำได้แม้กระทั่งจากอุปกรณ์ต่างผู้ผลิตกัน
เราคาดว่านอกจากทำเพื่อโจมตี DDoS แล้ว อาชญากรคอมพิวเตอร์จะหันไปใช้อุปกรณ์ IoT เพื่อสร้างพร็อกซีสำหรับอำพรางตำแหน่งที่อยู่และการรับส่งข้อมูลของเว็บ โดยมองว่าหน่วยงานที่บังคับใช้กฎหมายมักอ้างอิงที่อยู่ IP และบันทึกกิจกรรมเพื่อสืบสวนอาชญากรรมและวิเคราะห์ทางนิติเวชหลังถูกโจมตี การรวบรวมเครือข่ายของอุปกรณ์ที่ไม่ระบุชื่อ (ซึ่งทำงานด้วยข้อมูลประจำตัวตามค่าเริ่มต้นและแทบไม่มีการเก็บบันทึกกิจกรรมเลย) สามารถใช้เป็นจุดหลบหนีสำหรับอาชญากรคอมพิวเตอร์ที่ทำงานอย่างลับๆ ในเครือข่ายที่มีช่องโหว่
และเรายังคาดด้วยว่าจะมีช่องโหว่ของ IoT เพิ่มมากขึ้นเนื่องจากมีผู้ผลิตจำนวนมากกำลังวางตลาดอุปกรณ์ที่ไม่ได้ออกแบบมาเพื่อความปลอดภัยตั้งแต่แรก ความเสี่ยงนี้จะยิ่งทวีเพิ่มขึ้นด้วยข้อเท็จจริงที่ว่าการแก้ไขระบบในอุปกรณ์ IoT ไม่ได้ง่ายเหมือนในพีซี เพราะแค่อุปกรณ์ที่ไม่ปลอดภัยเพียงตัวเดียวที่ยังไม่มีโปรแกรมแก้ไขหรือยังไม่ได้อัพเดตเป็นเวอร์ชันล่าสุดก็สามารถเป็นช่องทางเข้าสู่เครือข่ายส่วนกลางได้แล้ว การโจมตีด้วย KRACK ได้พิสูจน์แล้วว่าแม้แต่ในการเชื่อมต่อแบบไร้สายเองก็เกิดปํญหาด้านความปลอดภัยได้ ช่องโหว่นี้กระทบกับอุปกรณ์ส่วนใหญ่ที่เชื่อมต่อด้วยโพรโทคอล WPA2 ซึ่งทำให้เกิดคำถามต่อความปลอดภัยของเทคโนโลยี 5จี ที่คาดว่าจะครอบคลุมระบบทั้งหมดที่มีการเชื่อมต่อ
อุปกรณ์ที่เป็นเป้าหมายของการทำลายล้างและอาชญากรรมคอมพิวเตอร์
ด้วยโดรนนับแสนเครื่องที่เข้าสู่น่านฟ้าของสหรัฐอเมริกา การควบคุมดูแลพาหนะทางอากาศจึงเป็นเรื่องน่ากังวลยิ่ง เราคาดว่าการรายงานอุบัติเหตุเกี่ยวกับโดรนหรือการชนกันจะเป็นแค่จุดเริ่มต้น เมื่อแฮกเกอร์พบวิธีเข้าถึงคอมพิวเตอร์ ขโมยข้อมูลสำคัญ และเข้ายึดการขนส่งสินค่าผ่านโดรน ในอุปกรณ์ตามบ้านก็เช่นเดียวกัน ไม่ว่าจะเป็นลำโพงไร้สาย หรือผู้ช่วยแบบสั่งด้วยเสียงก็อาจทำให้แฮกเกอร์รู้ตำแหน่งที่อยู่ของบ้านเพื่องัดแงะได้
เราคาดว่าในปี 2561 จะเกิดคดีเกี่ยวกับการแฮกข้อมูลชีวภาพ ผ่านทางอุปกรณ์สวมใส่และอุปกรณ์ทางการเพทย์ อุปกรณ์บันทึกชีวมาตร เช่น เครื่องติดตามการเต้นของหัวใจและสายรัดบันทึกการออกกำลังกาย อาจถูกดักจับข้อมูลเกี่ยวกับผู้ใช้ แม้แต่อุปกรณ์ช่วยชีวิตอย่างเครื่องกระตุ้นหัวใจก็ยังพบว่ามีช่องโหว่ที่อาจถูกใช้เพื่อทำร้ายถึงชีวิต
สิ่งที่ผู้ใช้เทคโนโลยีและผู้ออกกฎระเบียบควรรับทราบในปัจจุบันก็คือ อุปกรณ์ IoT ทั้งหลายไม่ได้มีสร้างมาพร้อมกับระบบรักษาความปลอดภัย เรื่องความปลอดภัยที่แข็งแกร่งยิ่งไม่ต้องพูดถึง อุปกรณ์เหล่านี้เปิดช่องให้ถูกโจมตี เว้นแต่ผู้ผลิตจะประเมินความเสี่ยงและหมั่นตรวจสอบความปลอดภัยอยู่เป็นนิจ ผู้ใช้ยังต้องรับผิดชอบต่อการตั้งค่าอุปกรณ์ของตนเองเพื่อความปลอดภัย ซึ่งอาจทำได้ง่ายๆ เพียงแค่เปลี่ยนรหัสผ่านเริ่มต้นและอัพเดตเฟิร์มแวร์อยู่เสมอ
ทั่วโลกจะสูญเงินจากอีเมลหลอกลวงเกิน 9 พันล้านดอลลาร์ในปี 2561
จากข้อมูลของสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) มีการรายงานปัญหาอีเมลหลอกลวงทางธุรกิจ (Business Email Compromise – BEC) ในประเทศต่างๆ กว่า 100 ประเทศ และมูลค่าของการสูญเงินได้เพิ่มขึ้น 2,370 เปอร์เซ็นต์ระหว่างเดือนมกราคม 2558 จนถึงเดือนธันวาคม 2559 ซึ่งไม่ใช่เรื่องน่าแปลกใจเพราะอีเมลหลอกลวงโดยอาชญากรคอมพิวเตอร์ก็เหมือนกับการโจรกรรมของอาชญากรแบบ “ออฟไลน์” การหลอกลวงแบบ BEC นี้ทำได้รวดเร็วและใช้เวลาน้อยในการหาเหยื่อ แต่ได้ผลตอบแทนจำนวนมากซึ่งขึ้นกับเป้าหมาย ดังจะเห็นได้จากมูลค่าความสูญเสีย 5 พันล้านดอลลาร์
เราคาดการณ์ว่าอันตรายจากการหลอกลวงทางอีเมล์ จะเพิ่มขึ้นในปี 2561 ด้วยมูลค่ารวมของความสูญเสีย ที่มีการบันทึกไว้ทั่วโลกเกิน 9 พันล้านเหรียญสหรัฐ ความสูญเสียที่คาดการณ์นี้มีการรายงานมากขึ้น ทั้งนี้เป็นผลจากความตระหนักที่เพิ่มขึ้นเกี่ยวกับภัย BEC และกลอุบายที่ใช้ จึงส่งผลให้การระบุและรายงานถึงการหลอกลวงทำได้ดีขึ้น โดยส่วนใหญ่แล้ว การเพิ่มขึ้นดังกล่าวมีสาเหตุจากการที่การหลอกลวงด้วย BEC อาศัยการฟิชชิงที่พิสูจน์แล้วว่าได้ผล เราจะยังคงเห็นการหลอกลวงแบบ BEC ที่อ้างตัวเป็นผู้บริหารของบริษัทเพื่อหลอกให้โอนเงิน เรากำลังจับตาการโจมตีด้วย BEC ที่อ้างตัวเป็นผู้บริหาร น่าสังเกตว่าแทนที่จะแอบฝังโปรแกรมดักแป้นพิมพ์ อาชญากร BEC หันไปใช้ไฟล์ PDF และเว็บไซต์แบบฟิชชิง ซึ่งถูกกว่าโปรแกรมดักแป้นพิมพ์ที่มีบริการเข้ารหัส วิธีฟิชชิ่งยังสามารถโจมตีบัญชีได้ด้วยต้นทุนที่ถูกกว่า
ความง่ายในหาข้อมูลเกี่ยวกับลำดับการบริหารงานขององค์กรเป้าหมาย (ซึ่งอาจเผยแพร่แบบสาธารณะบนสื่อสังคมและเว็บไซต์ของบริษัท) และความกระชับของอีเมลทำให้การใช้ BEC เป็นอุบายที่ได้ผลในการดูดเงิน อย่างไรก็ตามยังมีภัยระดับองค์กรที่มุ่งหวังเงินทอง และคาดว่าจะเป็นอาวุธประจำตัวของอาชญากรคอมพิวเตอร์ โดยเฉพาะผู้ที่ยินดีวางแผนลวงในระยะยาว นั่นคือ ช่องโหว่ในกระบวนการทางธุรกิจ (Business Process Compromise – BPC) ซึ่งอาชญากรคอมพิวเตอร์จะเรียนรู้การทำงานภายในขององค์กร โดยเฉพาะแผนกการเงิน โดยพุ่งเป้าไปที่การแก้ไขขั้นตอนภายใน (เช่นอาจทำผ่านช่องโหว่ของห่วงโซ่อุปทาน) และโจมตีแหล่งเงิน แต่เนื่องจากวิธีดังกล่าวต้องวางแผนระยะยาวและมีเรื่องต้องทำมากมาย BPC จึงไม่ค่อยตกเป็นข่าวในปี 2561 ซึ่งต่างจาก BEC ที่ทำได้ง่ายกว่า
อย่างไรก็ตาม เราสามารถหลบเลี่ยงภัย BEC ได้หากมีการฝึกอบรมพนักงาน เพราะการหลอกลวงแบบนี้อาศัยการตีสนิท บริษัทต่างๆ ควรจัดทำระเบียบขั้นตอนที่เข้มงวดเกี่ยวกับกระบวนการทำงานภายใน โดยเฉพาะอย่างยิ่งเมื่อมีการทำธุรกรรมใดๆ ธุรกิจขนาดกลางและย่อมรวมทั้งบริษัททั้งหลายควรใช้การตรวจสอบหลายขั้นตอนและใช้ช่องทางการสื่อสารอื่นๆ เช่น ทางโทรศัพท์ สำหรับการตรวจสอบซ้ำอีกครั้ง มีโซลูชั่นเว็บและเกตเวย์ที่ตรวจหาได้อย่างแม่นยำว่ามีกลอุบายทางสื่อสังคมหรือพฤติกรรมการปลอมแปลงหรือไม่ ซึ่งสามารถใช้เพื่อปิดกั้นภัยคุกคามแบบ BEC ได้
* ตัวเลข 9 พันล้านเหรียญสหรัฐมาจากการคำนวณความสูญเสียโดยเฉลี่ยต่อเดือนที่มีการรายงานตั้งแต่เดือนมิถุนายนถึงเดือนธันวาคม 2559 แล้วคูณด้วย 12 ทั้งนี้สันนิษฐานว่าคดี BEC และเหยื่อที่มีการรายงานนั้นมีอัตราเพิ่มคงที่
การโฆษณาชวนเชื่อทางอินเทอร์เน็ตจะมีประสิทธิภาพกว่าเดิม
ความสัมพันธ์สามเส้าของข่าวปลอมประกอบด้วยแรงจูงใจที่ใช้สร้างโฆษณาชวนเชื่อ เครือข่ายสังคมที่ใช้เป็นสื่อสำหรับส่งสาร และเครื่องมือและบริการที่ใช้ส่งสาร ในปี 2561 เราคาดว่าการโฆษณาชวนเชื่อจะขยายตัวผ่านเทคนิคที่คุ้นเคย ซึ่งเคยใช้มาแล้วในการแพร่กระจายสแปมผ่านอีเมลและเว็บ เช่น ชุดเครื่องมือทำเองได้ (DIY) แบบซอฟต์แวร์สามารถส่งสแปมในสื่อสังคมได้อย่างอัตโนมัติ แม้แต่เครื่องมือเพิ่มประสิทธิภาพสำหรับโปรแกรมค้นหา (Search Engine Optimization SEO) ของแฮกเกอร์ฝ่ายอธรรมก็ถูกปรับมาใช้กับการเพิ่มประสิทธิภาพสำหรับสื่อสังคม (Social Media Optimization – SMO) ด้วยฐานผู้ใช้หลายแสนคนที่สามารถสร้างกระแสและตัวเลขในแพลตฟอร์มต่างๆ ตั้งแต่อีเมลแบบสเปียร์ฟิชชิง (แบบเจาะจงเหยื่อ) ซึ่งส่งไปหารัฐมนตรีกระทรวงการต่างประเทศ ไปจนถึงการใช้เอกสารอย่างโจ่งแจ้งเพื่อทำลายชื่อเสียงของหน่วยงานรัฐ เนื้อหาที่ชวนสงสัยสามารถแพร่กระจายได้อย่างอิสระและจุดประกายความคิดเห็นหรือแม้กระทั่งทำให้เกิดการประท้วงจริงๆ
นอกจากนี้ ข้อมูลปลอมสามารถทำให้ธุรกิจเสื่อมเสียและถึงกระทั่งส่งผลต่อผลกำไรและชื่อเสียง นักวิจัยกำลังตรวจสอบเครื่องมือตัดต่อเสียงและวิดีโอที่สามารถสร้างคลิปที่ดูเหมือนจริง ซึ่งยิ่งทำให้การแยกแยะของจริงกับของปลอมทำได้ยากขึ้น การหาเสียงทางการเมืองที่มีการชักใยเบื้องหลังจะยังคงใช้วิธีป้ายสีและบิดเบือนการรับรู้ของประชาชนอย่างจงใจ โดยที่เครื่องมือและบริการต่างๆ มีพร้อมแล้วในตลาดใต้ดิน
ทั้งนี้เป็นไปได้ว่าการเลือกตั้งทั่วไปในสวีเดนจะไม่รอดพ้นความพยายามที่จะบิดเบือนผลการเลือกตั้งด้วยข่าวปลอม ความสนใจต่อประเด็นนี้จะร้อนแรงยิ่งขึ้นในการเลือกตั้งกึ่งวาระของสหรัฐอเมริกา เนื่องจากสื่อสังคมสามารถใช้เป็นเครื่องมือเพื่อขยายผลเนื้อหาที่สร้างความแตกแยก ดังเช่นที่มีการกล่าวหาว่ามีการแทรกแซงในการเลือกตั้งประธานาธิบดีสหรัฐฯ ครั้งก่อนว่า “ฟาร์มโทรล (troll farm)” อยู่เบื้องหลังผู้มีอิทธิพลใน Twitter
ทุกครั้งที่มีการโพสต์ข่าวปลอมและโพสต์ซ้ำๆ ผู้อ่านที่เคยเนื้อหาเดิมๆ จะเริ่มคุ้นชินและเชื่อว่าเป็นเรื่องจริง การใช้คนคอยแยกแยะข่าวจริงกับข่าวปลอมนั้นเป็นงานหนัก เนื่องจากผู้โฆษณาชวนเชื่อใช้เทคนิคเดิมๆ ที่พิสูจน์แล้วว่าได้ผลและเชื่อถือได้
ข่าวปลอมและโฆษณาชวนเชื่อทางอินเทอร์เน็ตจะยังมีอยู่ต่อไปเนื่องจากยังไม่มีวิธีที่ไว้ใจได้ในการค้นหรือบล็อกเนื้อหาที่ถูกบงการ เว็บไซต์สื่อสังคมดังๆ อย่าง Google และ Facebook ได้สัญญาว่าจะจัดการกับเนื้อหาหลอกลวงที่กระจายอยู่ทั่วฟีดข้อมูลและกลุ่มต่างๆ แต่จนบัดนี้ทำได้ผลเพียงเล็กน้อย อย่างไรก็ดี การกลั่นกรองขั้นสุดท้ายยังต้องขึ้นกับผู้ใช้เอง ตราบใดที่ผู้ใช้ยังไม่ได้เรียนรู้ที่จะสังเกตว่าข่าวใดเป็นข่าวปลอม เนื้อหาเหล่านั้นจะยังคงแพร่กระจายทางออนไลน์ให้ผู้อ่านคนอื่นๆ ที่ไม่ฉุกคิดและขาดวิจารณญาณได้เสพ
ผู้คุกคามจ้องฉวยโอกาสจากการเรียนรู้ของเครื่องจักร (แมชีนเลิร์นนิ่ง) และเทคโนโลยีบล็อคเชนเพื่อขยายเทคนิคการคุกคามของตัวเอง
รู้ในสิ่งที่เรายังไม่รู้ คือ คุณสมบัติที่เป็นความหวังอย่างหนึ่งของ “แมชีนเลิร์นนิ่ง” หรือ กระบวนการที่คอมพิวเตอร์ได้รับการฝึกฝนให้คิดได้เองแต่ไม่ใช่การรับคำสั่งอย่างตายตัว และสำหรับเทคโนโลยีที่ยังใหม่นี้ แมชีนเลิร์นนิ่งยังทำให้เราเห็นถึงศักยภาพที่ยอดเยี่ยม ถึงอย่างนั้นก็ชัดเจนแล้วว่า แมชีนเลิร์นนิ่งอาจไม่ได้เป็นทุกสิ่งและไม่ได้ตอบโจทย์ของการวิเคราะห์ข้อมูลดิบและจำแนกข้อมูลเสมอไป แต่แมชีนเลิร์นนิ่งกลับทำให้คอมพิวเตอร์ได้เรียนรู้เองด้วยการป้อนข้อมูลดิบมหาศาล ดังนั้นแสดงว่าแมชีนเลิร์นนิ่งจะดีและแม่นยำตามข้อมูลรอบข้างที่ได้รับจากแหล่งที่มาต่างๆ
การก้าวสู่อนาคตนั้น แมชีนเลิร์นนิ่งจะเป็นองค์ประกอบหลักอย่างหนึ่งของวิธีการรักษาความปลอดภัยไซเบอร์ แต่ขณะที่มีการเปิดเผยให้เห็นถึงศักยภาพมากมายว่าแมชีนเลิร์นนิ่งตัดสินใจแม่นยำและตรงจุดขึ้นแล้ว ก็ยังมีคำถามสำคัญข้อหนึ่ง คือ มัลแวร์จะเอาชนะแมชีนเลิร์นนิ่งได้หรือไม่
ที่ผ่านมาเราพบว่าซอฟต์แวร์เรียกค่าไถ่ ชื่อ CERBER ใช้โหลดเดอร์ (โปรแกรมบรรจุข้อมูลเข้าไปในคอมพิวเตอร์) ที่โซลูชั่นแมชีนเลิร์นนิ่งเองก็ตรวจจับไม่ได้ เพราะมัลแวร์เหล่านี้ได้รับการบรรจุในโหลดเดอร์ให้ดูไม่มีพิษภัย สิ่งนี้เป็นปัญหาอย่างยิ่งสำหรับซอฟต์แวร์ที่ใช้แมชีนเลิร์นนิ่งชนิดทำงานอัตโนมัติ (ที่จะวิเคราะห์ไฟล์โดยไม่ได้เรียกใช้งานหรือจำลองการทำงาน) อย่างที่เกิดขึ้นกับซอฟต์แวร์เรียกค่าไถ่ชื่อ UIWIX (ซอฟต์แวร์เรียกค่าไถ่ แบบเดียวกับ “WannaCry”) ที่ไม่มีไฟล์แมชีนเลิร์นนิ่งชนิดทำงานอัตโนมัติใดตรวจจับหรือป้องกันได้เลย
แมชีนเลิร์นนิ่งอาจเป็นเครื่องมือที่ทรงพลัง แต่ป้องกันความเสียหายไม่ได้ทั้งหมด ขณะที่นักวิจัยค้นหาความเป็นไปได้ที่จะนำแมชีนเลิร์นนิ่งมาใช้ตรวจตราการเคลื่อนที่ของข้อมูล และระบุการรั่วไหลของระบบรักษาความปลอดภัยที่ยังไม่มีผู้พบเจอ แต่ก็คาดเดาได้ว่าอาชญากรไซเบอร์จะใช้ความสามารถเดียวกันนี้หาจุดรั่วไหลด้วยตัวเองได้ก่อน นอกจากนี้ยังมีความเป็นไปได้ที่จะหลอกลวงยานยนต์ต่างๆ ที่ใช้ระบบแมชีนเลิร์นนิ่ง ดังจะเห็นได้ว่า เพียงแค่การปรับแต่งป้ายจราจรเพียงเล็กน้อย ก็ทำให้รถยนต์ไร้คนขับจำแนกวัตถุดังกล่าวต่างออกไป ส่วนนักวิจัยเองก็ได้ชี้ให้เห็นว่า โมเดลแมชีนเลิร์นนิ่งหลายโมเดลมีจุดบอดที่ผู้ไม่หวังดีอาจนำมาใช้หาประโยชน์เข้าตัวเอง
แน่นอนว่า ขณะที่แมชีนเลิร์นนิ่งช่วยเสริมการป้องกันภัยไซเบอร์ได้ แต่เราเองก็เชื่อว่าสิ่งนี้ไม่ควรนำมาแทนที่กลไกป้องกันภัยไซเบอร์ทั้งหมด ระบบนี้ควรถูกมองให้เป็นชั้นความปลอดภัยเสริมมากกว่า ซึ่งก็คือการนำมาใช้ร่วมกับวิธีการป้องกันภัยเชิงลึก และไม่ใช่ระบบป้องกันภัยหลัก ส่วนการป้องกันภัยหลายชั้นพร้อมกับการปกป้องข้อมูลจากตั้งแต่ต้นทางจนถึงปลายทาง จะสามารถต่อสู้กับภัยคุกคามด้านความปลอดภัยที่ทราบแล้วว่ามีและที่ยังตรวจหาไม่พบได้
เทคโนโลยีน้องใหม่อีกอย่างหนึ่ง ที่จะช่วยปรับโฉมธุรกิจ และที่เราต่างเห็นว่ามีผู้นำมาใช้กันแล้ว คือ “บล็อคเชน” เทคโนโลยีบล็อคเชนได้จุดกระแสแวดวงสกุลเงินเสมือนในโลกดิจิทัลและรูปแบบของความปลอดภัยอย่างสมบูรณ์แบบ คาดว่าระบบการเงินที่ไร้ศูนย์เก็บข้อมูลกลางชนิดนี้ จะมีการใช้อย่างแพร่หลายใน 5-10 ปีข้างหน้า แต่ขณะนี้ มีความริเริ่มใหม่ๆ หลายอย่างเกิดขึ้นกับบล็อคเชนแล้ว จากทั้งสตาร์ทอัพและบริษัทยักษ์ใหญ่ในอุตสาหกรรมเทคโนโลยีและการเงิน เรื่อยไปจนถึงหน่วยงานรัฐ ด้วยเป้าหมายที่จะปฏิวัติรูปแบบการดำเนินธุรกิจเสียใหม่
บล็อคเชนจะดำเนินไปได้หากผู้มีส่วนร่วมทุกฝ่ายมีความเห็นพ้องต้องกัน ซึ่งสิ่งนี้ทำให้การเปลี่ยนแปลงใดๆ ที่ไม่ชอบธรรม หรือการมีเจตนาเข้ามายุ่งวุ่นวายกับบล็อคเชนเกิดขึ้นได้ยาก หากยิ่งมีการโอนถ่ายข้อมูลมากเท่าใด ผลที่ตามมาจะยิ่งซับซ้อนและยุ่งเหยิง แต่ความยุ่งเหยิงนี้เองที่อาชญากรไซเบอร์ซึ่งจดจ่อกับการพัฒนากลวิธีโจมตีของตัวเองได้มองเห็นเป็นโอกาส ที่ผ่านมาคนกลุ่มนี้ได้หาวิธีโจมตีบล็อคเชนในช่วงการแฮกองค์กรปราศจากตัวกลางเกี่ยวกับอีเธอเรียม (Ethereum DAO) ที่เคยนำไปสู่การสูญเสียเงินดิจิทัลมูลค่ากว่า 50 ล้านดอลลาร์ และเช่นเดียวกับเทคโนโลยีใหม่อื่นๆ ที่ผู้คนมองเคยว่ามีความปลอดภัย แมชีนเลิร์นนิ่งและบล็อคเชนก็ต้องการการเอาใจใส่อย่างใกล้ชิด
บริษัทจำนวนมากจะจริงจังกับกฎเกณฑ์ข้อมูลทั่วไป (GDPR) เมื่อมีการยื่นฟ้องคดีความครั้งใหญ่ครั้งแรกเท่านั้น
ในที่สุดสหภาพยุโรป (อียู) จะบังคับใช้กฎหมายการปกป้องข้อมูลทั่วไป (General Data Protection Regulation – GDPR) ในเดือนพฤษภาคม 2561 ที่คาดว่าจะสร้างผลกระทบอย่างมากต่อวิธีการจัดการข้อมูลของบริษัทต่างๆ ที่เกี่ยวข้องกับข้อมูลพลเมืองอียู แม้บริษัทเหล่านี้ตั้งอยู่นอกยุโรปก็ตาม ในการวิจัยของเรานั้นพบว่าผู้บริหารระดับหัวหน้าส่วนใหญ่ (หรือราว 57% ของธุรกิจทั้งหมด) เลี่ยงการตอบสนองต่อการนำ GDPR มาปรับใช้ ส่วนบางรายก็ไม่ทราบว่า “ข้อมูลที่ทำให้สามารถระบุตัวบุคคล (พีไอไอ)” ประกอบด้วยข้อมูลใดบ้าง และบางรายก็ถึงเพิกเฉยต่อโทษปรับเงินที่อาจเกิดขึ้นได้
ผู้ที่ไหวตัวช้าจะคำนึงถึงผลกระทบจาก GDPR อย่างเต็ม ก็ต่อเมื่อเจ้าหน้าที่มีคำสั่งลงโทษออกมาแล้วเท่านั้น ส่วนองค์กรเฝ้าระวังด้านความเป็นส่วนตัวของข้อมูลสามารถแทรกแซงการดำเนินงานของธุรกิจต่างๆ ด้วยการร่วมกันห้ามบริษัทเหล่านี้นำข้อมูลบางอย่างไปประมวลผล ทั้งยังเป็นไปได้ที่คดีความต่างๆ ที่ทั้งเจ้าหน้าที่และพลเมืองยื่นฟ้องเองจะเกิดขึ้นได้อีกด้วย
ตัวอย่างเช่น บริษัทสัญชาติสหรัฐ ชื่อ Equifax คงพบกับค่าปรับมหาศาลไปแล้ว เนื่องจากมีการรายงานว่าผู้บริโภคชาวสหราชอาณาจักรหลายรายได้รับผลกระทบ หากการรั่วไหลของข้อมูลผู้ใช้เกิดขึ้นหลังจากการนำ GDPR มาบังคับใช้ และไม่ได้เสนอเยียวยาเหตุการณ์ดังกล่าวเร็วกว่าที่ตั้งใจเอาไว้ ไม่เพียงเท่านั้นอาจมีการนำโทษที่รุนแรงมาใช้ต่อบริษัทข้ามชาติที่ให้บริการเรียกรถรับส่ง ชื่อ Uber ที่ประกาศว่ามีการรั่วไหลของข้อมูลหลังจากเหตุการณ์นี้เกิดขึ้นมานานกว่า 1 ปี การไม่ทำตามข้อกำหนดด้านการแจ้งเตือนการรั่วไหลข้อมูล อาจทำให้เจ้าหน้าที่ออกโทษปรับเงินสูงถึง 20 ล้านยูโร หรือกว่า 4% ของผลตอบแทนประจำปีทั่วโลกของบริษัทในปีงบการเงินถัดไปหรือมากกว่านั้น
ดังนั้น บริษัทที่ตื่นตัวต่อการบังคับใช้ GDPR ก็จะเล็งเห็นว่าการมีพนักงานที่ทำงานด้านการปกป้องข้อมูลผู้บริโภคโดยเฉพาะ (Data Protection Officer: DPO) เป็นเรื่องสำคัญ ซึ่งพนักงานรายนี้สามารถเป็นหัวหอกในการประมวลผลและตรวจตราข้อมูล พนักงานกลุ่มนี้ยังเป็นที่ต้องการขององค์กรหลายแห่งและอุตสาหกรรมหลายประเภทที่ต้องจัดการกับข้อมูลที่อ่อนไหว บริษัทต่างๆ จะต้องทบทวนกลยุทธ์ด้านความปลอดภัยข้อมูลของตัวเองด้วย รวมถึงจัดแยกรูปแบบข้อมูลและแยกข้อมูลอียูออกจากข้อมูลจากส่วนอื่นๆ ของโลก
ทั้งนี้ ภูมิภาคอื่นๆ จะต้องปรับปรุงกฎระเบียบเกี่ยวกับข้อมูลของตัวเองให้ทันด้วยเช่นกัน โดยนำกรอบทำงานที่ครอบคลุมเนื้อหาเป็นวงกว้างและโทษที่รุนแรงขึ้นหากไม่ปฏิบัติตามมาใช้ จะเห็นได้ว่าที่ผ่านมาองค์การอาหารและยาสหรัฐ (เอฟดีเอ) ได้รับรองให้เจ้าหน้าที่ควบคุมยาของยุโรปหลายคนให้มาปรับปรุงระบบตรวจสอบของตัวเอง ออสเตรเลียก็กำลังเร่งออกกฎหมายการแจ้งเตือนการรั่วไหลข้อมูลของตัวเอง ตามหลักการของพระราชบัญญัติ (การรั่วไหลของข้อมูลที่แจ้งเตือนได้) เพื่อปรับปรุงความเป็นส่วนตัว พ.ศ. 2560 ขณะที่กฎหมายการปกป้องข้อมูลของสหราชอาณาจักรก็มีการปรับปรุงเช่นกันเพื่อให้สอดคล้องต่อกฎหมายของอียูหลังสหราชอาณาจักรพ้นสภาพสมาชิกอียู และในช่วงเวลาเดียวกันนี้ ข้อตกลงการปกป้องความเป็นส่วนตัวระหว่างอียูและสหรัฐก็จะต้องพิสูจน์ว่ามีความจำเป็น แม้อียูได้แสดงความกังวลออกมาก็ตาม การปฏิบัติงานและแพลตฟอร์มต่างๆ ขององค์กรเสี่ยงจะได้รับการก่อกวนและเกิดช่องโหว่
แหล่งข้อมูล:
http://blog.trendmicro.com/trendlabs-security-intelligence/threat-morphosis/
https://www.trendmicro.com/vinfo/us/security/definition/ransomware