ข่าวไอทีที่โด่งดังเมื่อสัปดาห์ก่อน (ที่กลายเป็นประเด็นทางการเมืองไปเฉยเลย) คือข่าวเว็บไซต์สำนักนายกรัฐมนตรี opm.go.th โดนแฮก สัปดาห์นี้ผมขอนำเสนอประเด็นนี้ แต่ในมิติด้านนโยบายไอซีทีของประเทศนะครับ
ถ้าเราลองนึกย้อนไปไกลกว่านั้นหน่อย คุณผู้อ่านน่าจะพอคุ้นๆ ว่าข่าวเว็บหน่วยงานของรัฐโดนแฮกก็มีอยู่เรื่อยๆ (ส่วนจะเป็นข่าว ข่าวใหญ่ หรือประเด็นการเมืองหรือไม่นั้นเป็นอีกเรื่องหนึ่ง) เว็บโดนแฮกไม่ใช่เรื่องใหม่ แต่ก็ไม่ใช่สิ่งที่เราควรปล่อยให้มันเกิดขึ้นซ้ำๆ อยู่ตลอดไป
ในฐานะคนทำงานด้านไอที ผมขอสรุป “แนวคิดพื้นฐาน” เกี่ยวกับประเด็นการแฮกเว็บไว้ 2 ข้อดังนี้ครับ
1. เว็บมีโอกาสโดนแฮกได้เสมอ ลองมองว่าเว็บหนึ่งแห่งเหมือนกับบ้านหนึ่งหลัง บ้านไม่ใช่สถานที่ปิดทึบ มีประตูหน้าต่างมากมาย โจรขโมยมีวิธีการงัดแงะเข้ามาได้ตลอด
2. เราป้องกันการแฮกเว็บได้ ในฐานะเจ้าของบ้านก็ควรระมัดระวังดูแลบ้านให้ปลอดภัย ใส่เหล็กดัด สัญญาณกันขโมย กล้องวงจรปิด ฯลฯ ช่วยได้ทั้งนั้น เว็บก็เช่นกัน มีกระบวนการทางเทคนิคมากมายที่ช่วยให้เว็บปลอดภัยขึ้นมากๆ ได้
สรุปว่าในทางเทคนิคแล้ว เราป้องกันการแฮกเว็บได้ในกรณีส่วนใหญ่ แต่ก็ต้องใช้ความเชี่ยวชาญด้านความปลอดภัยไซเบอร์ในระดับสูงพอสมควร ซึ่งแปลว่าไม่ใช่ทุกคน ทุกเว็บ ทุกหน่วยงานมีความเชี่ยวชาญที่จะป้องกันตัวได้
เว็บหน่วยงานในปัจจุบันใช้วิธีต่างคนต่างทำ แต่ละองค์กรหาคนพัฒนาเว็บเอง เช่าเซิร์ฟเวอร์เอง ดูแลระบบเอง (บางองค์กรถึงขนาดแยกย่อยในระดับต่างฝ่ายก็ต่างเว็บ ต่างคนทำ) เปรียบได้กับการมีบ้านเป็นจำนวนมาก บางบ้านไม่ล้อมรั้ว (เพราะไม่ทราบวิธี) บางบ้านไม่ล็อกประตู บางบ้านเผลอเสียบกุญแจคาประตูไว้ หรือซ่อนกุญแจไว้ในจุดที่ค้นเจอได้ง่าย
เหล่าแฮกเกอร์ที่เปรียบได้กับโจรขโมยก็ทราบดีว่าบางบ้านปล่อยปละละเลย แฮกเกอร์จึงใช้วิธีไล่ค้นไปทีละบ้านว่าบ้านไหนมีช่องโหว่แค่ไหนอย่างไร (เพราะบนอินเทอร์เน็ตสามารถค้นไปเรื่อยๆ ได้ทุกเว็บโดยไม่มีใครรู้) เมื่อเจอบ้านที่หละหลวมก็จัดการแฮกซะเลย หลายครั้งไม่ได้มีจุดประสงค์อื่นใดนอกจากแฮกไว้อวดกันในหมู่แฮ็กเกอร์ว่า “ฉันแฮกเว็บนี้ได้นะ” ยิ่งเป็นเว็บของหน่วยงานรัฐ (ลงท้ายด้วย .go.th) ยิ่งมีศักดิ์ศรีสูงเพราะเปรียบเสมือนลูบคมรัฐบาลได้
สรุปว่าการที่เว็บของหน่วยงานรัฐโดนแฮก ส่วนใหญ่เกิดจากผู้ดูแลระบบมีความรู้ความเชี่ยวชาญไม่มากพอในการป้องกัน เว็บรัฐบางแห่งตั้งรหัสผ่านที่เดาได้ง่ายมากๆ ชนิดไม่น่าให้อภัย (เช่น ตั้งว่า admin/123456 ซึ่งเป็นรหัสชุดแรกที่แฮกเกอร์จะลองเดา)
ปัญหานี้อาจเกิดจากความด้อยประสบการณ์ของผู้ดูแลระบบก็ถูกส่วนหนึ่ง แต่ในภาพรวมแล้ว เราไม่มีทางให้ทุกหน่วยงานมีผู้ดูแลระบบไอทีที่มีทักษะความเชี่ยวชาญสูงได้ทั้งหมดอยู่ดีใช่ไหมครับ (แรงงานด้านนี้ยิ่งขาดแคลนมากๆ อยู่ครับ)
ผมขอเสนอทางแก้ปัญหาในเชิงนโยบาย 2 ข้อดังนี้ครับ
ข้อแรก ถ้าต่างคนต่างอยู่บ้านของตัวเองที่ไม่ปลอดภัยสักเท่าไร ก็น่าจะย้ายไปอยู่คอนโดฯ รวมกัน แล้วลงขันจ้างยามเก่งๆ มาดูแลดีกว่า แนวทางนี้คือแทนที่องค์กรจะเช่าเซิร์ฟเวอร์เอง ดูแลระบบเองทั้งหมด (และทำได้ไม่ดีนัก) ลองพิจารณามาใช้ “ระบบคลาวด์” หรือบริการเซิร์ฟเวอร์แบบแชร์กันใช้ น่าจะดีกว่า
ผู้ให้บริการคลาวด์มักเป็นหน่วยงานที่มีความเชี่ยวชาญด้านความปลอดภัยสูงอยู่แล้ว การย้ายมาใช้บริการลักษณะนี้ช่วยให้องค์กรลดภาระการดูแลระบบลงไปได้หลายส่วน (เพราะอยู่ในค่าบริการรายเดือนอยู่แล้ว แต่ไม่ได้แปลว่าไม่ต้องสนใจเรื่องความปลอดภัยอีกเลยนะครับ)
บริการคลาวด์ในต่างประเทศมีผู้ให้บริการที่มีชื่อเสียงหลายราย เช่น อเมซอน ไมโครซอฟท์ กูเกิล แต่ในไทยโดยเฉพาะหน่วยงานของรัฐ ผมเห็นสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ก็พยายามผลักดันเรื่องนี้ เปิดบริการคลาวด์สำหรับหน่วยงานของรัฐโดยเฉพาะ (http://www.ega.or.th/Content.aspx?c_id=191) ผมมองว่าถ้าหน่วยงานของรัฐยอมย้ายไปใช้ระบบของ สรอ. กันจริงๆ ก็คงลดปัญหาโดนเจาะลงไปได้พอสมควร
ข้อสอง ในกรณีที่หลายครอบครัวยังอยากอยู่บ้านเดิมกันต่อไป แต่ก็ยังเกิดปัญหาโจรขโมยซ้ำซาก รัฐบาลในฐานะ “ผู้ใหญ่บ้าน” คงต้องออกแรงทำอะไรสักอย่างเพื่อให้ลูกบ้านเรียนรู้ความปลอดภัยกันให้มากขึ้น เพราะปล่อยไว้เฉยๆ ก็คงเป็นเช่นนี้อยู่เรื่อยไป
ผมเสนอให้รัฐบาล “จับตรวจ” เว็บไซต์ของหน่วยงานรัฐทั้งหมดครับ ถ้าเป็นภาษาบัญชีก็แบบที่เรียกกันว่า “ออดิท” นั่นล่ะครับ แค่เปลี่ยนจากการตรวจงบประมาณมาเป็นตรวจสอบช่องโหว่ของเว็บแทน (ซึ่งในทางเทคนิคก็มีชุดการตรวจสอบระดับมาตรฐานอยู่แล้ว นำมาใช้ได้เลย) เว็บไหนไม่ปลอดภัยก็ต้องมีมาตรการลงโทษอย่างไรก็ว่ากันไป เพราะยิ่งระบบไอทีมีความจำเป็นสูง ภัยอันตรายต่อไปก็จะก้าวข้ามการแฮกเว็บเล่นๆ มาเป็นการขโมยข้อมูลหรือการทำลายระบบสารสนเทศพื้นฐานในไม่ช้า ถ้าหน่วยงานรัฐแต่ละแห่งปล่อยปละละเลยเรื่องความปลอดภัย ก็ย่อมสร้างปัญหากับนโยบายด้านไอซีทีของประเทศในอนาคตอย่างมหาศาล
และไหนๆ ถ้าจะออกแรงตรวจ เสียงบประมาณจ้างผู้ตรวจสอบแบบเป็นเรื่องเป็นราวแล้ว ผมก็เสนออีกว่าควรตรวจคุณภาพของเว็บหน่วยงานรัฐในด้านอื่นๆ ด้วย ไม่ใช่แค่ด้านความปลอดภัยเพียงอย่างเดียว
ตัวอย่างประเด็นที่เว็บไซต์ของรัฐควรผ่านมาตรฐานคุณภาพ ได้แก่
• มีเนื้อหาที่จำเป็นแก่การบริการประชาชน ไม่ใช่มีแต่ภาพข่าวของผู้บริหารเปิดงาน
• เนื้อหาอัพเดตสม่ำเสมอ ไม่มีหน้าไหนเข้าไม่ได้เพราะลิงก์เสีย
• มีข้อมูลติดต่อที่สำคัญ เช่น แผนที่สำนักงาน หมายเลขโทรศัพท์ ระยะเวลาทำการหรือให้บริการ
• ประชาชนทุกคนต้องเข้าถึงข้อมูลในเว็บได้ ไม่ใช่ว่าต้องใช้ซอฟต์แวร์เฉพาะบางตัวเท่านั้นจึงจะเข้าได้สมบูรณ์ และต้องออกแบบเว็บรองรับคนพิการที่อาจมีปัญหาทางสายตาหรือการสั่งงานด้วย
• ควรมีเนื้อหาเป็นภาษาอังกฤษสำหรับผู้เยี่ยมชมชาวต่างชาติ
เท่าที่ผมทราบ ทาง สรอ. ก็มี “มาตรฐานเว็บไซต์ภาครัฐ” เป็นเอกสารแนะนำให้หน่วยงานภาครัฐปฏิบัติตามอยู่แล้ว (http://www.ega.or.th/Content.aspx?m_id=96) แต่ในความเป็นจริงก็ยังไม่มีหน่วยงานทำตามสักเท่าไร (เพราะเห็นว่าเป็นภาระ และมาตรฐานไม่มีสภาพบังคับ) ตรงนี้ต้องเป็นฝ่ายบริหารระดับสูง เช่น คณะรัฐมนตรี มีมติสั่งการลงมาให้หน่วยงานรัฐทุกแห่งปฏิบัติตามแล้วล่ะครับ เครื่องมือเครื่องใช้ในการปรับปรุงคุณภาพเว็บไซต์ของรัฐถือว่าพร้อมพอตัวแล้ว เหลือแค่ฝ่ายบริหารเอาจริงเท่านั้น
...
มาร์ค Blognone