เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา มีความเคลื่อนไหวที่น่าสนใจด้านนโยบายไอซีทีของสหรัฐอเมริกา โดย ประธานาธิบดีบารัค โอบามา ลงนามคำสั่งประธานาธิบดีฉบับหนึ่ง สั่งให้ “ยกเครื่อง” ความปลอดภัยด้านไอซีทีสำหรับสาธารณูปโภคที่สำคัญของประเทศ...
คำสั่งนี้มีความสำคัญอย่างไร? มันเป็นสัญญาณบ่งชี้ว่าสหรัฐอเมริกากำลังตื่นกลัวว่าจะเกิดสงครามไซเบอร์ และรีบเร่งสร้างศักยภาพในการป้องกันตัวเป็นการด่วน
มุมมองของสหรัฐอเมริกาต่อเรื่องนี้คือ ปัจจุบันสาธารณูปโภคพื้นฐาน ไม่ว่าจะเป็นประปา ไฟฟ้า (โดยเฉพาะโรงไฟฟ้านิวเคลียร์) ไฟจราจร รถไฟ ระบบควบคุมการบิน ระบบกำจัดขยะ ฯลฯ ถูกควบคุมโดยระบบคอมพิวเตอร์ทั้งหมด และระบบควบคุมเหล่านี้ก็เชื่อมโยงกันเป็นโครงข่ายไปทั่วประเทศ เพื่อให้สามารถติดต่อสื่อสาร ส่งข้อมูลกันได้
แต่เมื่อระบบถูกควบคุมด้วยคอมพิวเตอร์แล้ว มันเลยกลายเป็นเป้าหมายที่อาจโดนโจมตีจากผู้ประสงค์ร้ายหรือศัตรูคู่แค้นของสหรัฐฯได้ เอาแค่ปล่อยไวรัสหรือเวิร์มก่อกวนให้ระบบล่มสักสองสามชั่วโมง มีผลกระทบเบาะๆ แค่ไฟดับหรือน้ำไม่ไหล แค่นี้ก็วุ่นวายกันไปเยอะแล้ว (ไม่ต้องถึงขั้นโรงไฟฟ้าระเบิด ท่อก๊าซแตก รถไฟตกรางอะไรแบบนั้นเลยนะครับ)
สหรัฐฯจึงกลัวว่าในอีกไม่ช้า อาจมีผู้ก่อการร้ายไซเบอร์ถล่มสาธารณูปโภคของสหรัฐฯให้หยุดนิ่งเป็นวงกว้าง ด้วยกรรมวิธีทางไอซีที เช่น การปล่อยมัลแวร์หรือการแฮกระบบ จนกระทบต่อความมั่นคงของประเทศได้
สงครามไซเบอร์ลักษณะนี้เริ่มเกิดขึ้นแล้วจริงๆ นะครับ เมื่อไม่นานมานี้มีคนค้นพบ “มัลแวร์” สายพันธุ์พิเศษที่ออกแบบมาเพื่อโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่านโดยเฉพาะ (หลายคนเชื่อว่ามาจากอิสราเอล) และภาคเอกชนของสหรัฐเองก็โดนแฮกกันชุดใหญ่ (หลายคนเชื่อว่ามาจากจีน)
บริษัทไอทีระดับโลกทั้งทวิตเตอร์ เฟซบุ๊ก และแอปเปิล ก็หนีไม่พ้น เพิ่งโดนแฮกไปไล่เลี่ยกัน โดยเกิดจากช่องโหว่ของ Java ในเครื่องพนักงาน จนลามไปถึงระบบคอมพิวเตอร์ภายในองค์กรในที่สุด (เรื่องช่องโหว่ของ Java นี้อันตรายพอสมควร อ่านเรื่องนี้ในคอลัมน์ตอนเก่าที่ http://www.thairath.co.th/content/tech/288894)
สรุปว่าความเสียหายจากสงครามไซเบอร์ “ขนาดย่อม” เกิดขึ้นแล้วในโลกนี้ เพียงแต่ยังไม่เกิดกับหน่วยงานของภาครัฐสหรัฐฯ ยังไม่ลุกลามเป็นสงครามไซเบอร์เต็มรูปแบบเท่านั้นเอง สหรัฐฯจึงต้องเสริมกำลังการป้องกันตัวเองโดยด่วน
ปัญหาคือว่า “สาธารณูปโภค” ส่วนใหญ่ไม่ได้ดำเนินการโดยรัฐบาล แถมภาคเอกชนที่บริหารจัดการสาธารณูปโภคเหล่านี้อาจไม่มีความเชี่ยวชาญด้านไอทีมากนัก ไม่รู้กระบวนการป้องกันตัวเองจากภัยคุกคามไซเบอร์ ถ้าปล่อยไว้แบบนี้อาจกลายเป็นช่องโหว่ให้เหล่าผู้ประสงค์ร้ายฉกฉวย และสุดท้ายผลกระทบจะเกิดกับประชาชนที่ไม่มีสาธารณูปโภคใช้งาน
คำสั่งของประธานาธิบดีโอบามาฉบับนี้ จึงออกมาเพื่ออุดช่องโหว่ของภาคเอกชนที่ดูแลสาธารณูปโภคสำคัญของประเทศนั่นเองครับ
ผมคงไม่ลงรายละเอียดของคำสั่งฉบับนี้มากนัก แต่ในภาพรวมคือรัฐบาลสหรัฐฯ จะต้องออกมาตรฐานด้านความปลอดภัยอิเล็กทรอนิกส์ สำหรับให้ภาคเอกชนที่ดูแลสาธารณูปโภคปฏิบัติตาม และเบื้องต้นรัฐบาลจะให้ภาคเอกชนเข้าร่วมโครงการรับรองมาตรฐานนี้ “โดยสมัครใจ” ไปก่อน ยังไม่บังคับแต่อย่างใด (แต่ประธานาธิบดีโอบามาก็แสดงจุดยืนชัดเจนว่าจะผลักดันเป็นกฎหมายที่มีสภาพใช้บังคับภาคเอกชนในอนาคต)
มาตรฐานด้านความปลอดภัยไซเบอร์จะครอบคลุมเรื่องความปลอดภัยพื้นฐาน และการแชร์ข้อมูลกันระหว่างหน่วยงานเอกชน-รัฐบาลด้วย สมมติว่าภาคเอกชนโดนแฮกหรือมีร่องรอยว่าจะถูกแฮก (แต่แฮกไม่สำเร็จ) การแชร์ข้อมูลให้หน่วยงานด้านความมั่นคงของรัฐบาลทราบก็เป็นเรื่องจำเป็น เพราะรัฐบาลจะได้ประเมินได้ว่าเป็นการแฮกโดยขาจรทั่วไป หรือทำกันเป็นขบวนการ ตั้งใจโจมตีหน่วยงานพร้อมๆ กันหลายแห่งหรือไม่
ในภาพรวมแล้วผมคิดว่าประเทศมหาอำนาจอย่างสหรัฐอเมริกาเริ่มตื่นตัวเรื่องนี้แล้ว และการคุ้มครองสาธารณูปโภคพื้นฐานจากสงครามไซเบอร์ก็เป็นเรื่องสำคัญที่ทุกประเทศควรใส่ใจ เพราะเป็นเรื่องความมั่นคงของชาติและความปลอดภัยของสาธารณะ (public safety) โดยตรง
ผมดีใจที่เห็นหน่วยงานบางแห่งของประเทศไทย เช่น กระทรวงกลาโหม กระทรวงไอซีที และ กสทช. เริ่มขยับตัวในเรื่องนี้กันบ้างแล้ว แต่ก็อย่างที่เขียนไปข้างต้นครับว่า ความมั่นคงของสาธารณูปโภคไม่ได้เป็นความรับผิดชอบของภาครัฐอย่างเดียว เพราะส่วนใหญ่มีภาคเอกชนเป็นผู้ดำเนินการ ดังนั้นประเทศไทยจำเป็นต้องมีนโยบายในระดับรัฐบาล ครอบคลุมหน้าที่ของทุกกระทรวง อย่างน้อยๆ รัฐวิสาหกิจทุกแห่งควรพร้อมรับมือสงครามไซเบอร์กันอย่างจริงจังตั้งแต่วันนี้แล้ว
การวางมาตรการเสริมความมั่นคงไซเบอร์ของประเทศเป็นเรื่องใหญ่ที่ต้องคิดและทำกันไปทุกภาคส่วน ผมก็ขอใช้พื้นที่ในคอลัมน์นี้กระตุ้นเตือนให้เห็นปัญหาที่มีโอกาสเกิดขึ้นได้ในอนาคต ถ้าสามารถช่วยให้องค์กรในไทยเห็นความสำคัญของภัยคุกคามชนิดใหม่นี้ได้ก็ยินดีมากเลยครับ
หมายเหตุ: สำหรับผู้สนใจแนวทางคุ้มกันสาธารณูปโภคพื้นฐานของสหรัฐฯ อ่านรายละเอียดได้ที่ http://www.siamintelligence.com/obama-cyber-security-order/
...
มาร์ค Blognone