บทเรียนจาก Anonymous ต่อต้าน Single Gateway

ข่าวใหญ่วงการไอทีเมื่อสัปดาห์ที่แล้วคือกลุ่มแฮกเกอร์ระดับโลก Anonymous ประกาศแฮกระบบของหน่วยงานต่างๆ ในไทย เพื่อต่อต้านนโยบาย Single Gateway ของรัฐบาลไทย

ก่อนจะเข้าใจประเด็นเรื่องนี้ ต้องรู้จักที่มาที่ไปของกลุ่ม Anonymous กันก่อนครับ

Anonymous เป็นกลุ่มแฮกเกอร์ “นิรนาม” ที่ก่อตั้งในช่วงปี 2003-2004 โดยมีแหล่งกำเนิดจากเว็บบอร์ดฝรั่งชื่อ 4chan แนวทางของกลุ่มนี้คือเป็น Hacktivist (มาจากคำว่า Hacker + Activist) ที่ไม่ได้แฮกระบบเพื่อขโมยข้อมูล หรือหาผลประโยชน์ทางการเงิน แต่เป็นการแฮกเพื่อสนับสนุนอุดมการณ์หรือคัดค้านแนวคิดบางอย่างที่ทางกลุ่มเห็นว่าเป็นเรื่องสำคัญ

กลุ่ม Anonymous จะมีจำนวนเท่าไรคงไม่มีใครทราบ เพราะเป็นการรวมตัวแบบหลวมๆ และตลอดหลายปีที่ผ่านมาก็มีสมาชิกหลายคนถูกจับกุมตัวข้อหาแฮกระบบ ส่วนใหญ่เป็นวัยรุ่นที่มีความรู้ด้านคอมพิวเตอร์เป็นอย่างดีจากทั้งสหรัฐฯ และยุโรป ตัวอย่างการแฮกของ Anonymous มีมากมาย ตั้งแต่การสนับสนุนขบวนการ Arab Spring ในตะวันออกกลาง ไปจนถึงการสนับสนุน Julian Assange ผู้ก่อตั้ง Wikileaks ที่ถูกไล่ล่าจนต้องลี้ภัยทางการเมือง

การที่ Anonymous ประกาศตัวว่าต่อต้านโครงการ Single Gateway ของรัฐบาลไทย จึงไม่ใช่เรื่องน่าแปลกใจนัก เพราะเป็นกิจกรรมแบบที่ทางกลุ่มทำมาโดยตลอด

ทุกวันนี้ยังมีข้อถกเถียงกันอยู่ว่า ตกลงแล้ว Anonymous สามารถแฮกระบบของหน่วยงานไทยได้จริงแค่ไหน แต่ผมคิดว่าประเด็นสำคัญไม่ได้อยู่ที่เรื่องแฮกได้หรือไม่ สิ่งสำคัญกว่าคือ “บทเรียน” จากข่าวการแฮกระบบครั้งนี้ต่างหาก

ต้องยอมรับว่าเมืองไทยมีเว็บไซต์และระบบไอทีจำนวนมากที่มีมาตรการด้านความปลอดภัยต่ำ การแฮกเว็บไซต์เหล่านี้จึงเกิดขึ้นอยู่ทุกวัน เพียงแต่ไม่ได้เป็นข่าวใหญ่เพราะอาจเป็นเว็บไซต์ของหน่วยงานหรือบริษัทขนาดเล็กที่ไม่มีข้อมูลสำคัญ แฮกเกอร์บางรายจึงเพียงเข้ามาแปะโลโก้ของตัวเองว่าแฮกสำเร็จแล้วเท่านั้น ไม่ได้สร้างความเสียหายทางเศรษฐกิจอะไรมาก

แต่นอกเหนือจากเว็บไซต์ทั่วไปแล้ว เรายังมีระบบไอทีขนาดใหญ่ที่มีความสำคัญสูงอีกมาก ระบบพวกนี้เก็บข้อมูลสำคัญขององค์กรและของลูกค้า ถ้าโดนแฮกและข้อมูลหลุดออกไปได้ย่อมสร้างผลกระทบอย่างมาก

กรณีการแฮกระบบระดับโลกที่เกิดขึ้นเมื่อปีกลายคือ Sony Pictures บริษัทภาพยนตร์ขนาดใหญ่ที่เล่นเอาระบบพังพินาศจนต้องหันมาใช้กระดาษและแฟ็กซ์ทำงาน แถมทรัพย์สินสำคัญที่มีมูลค่าสูงอย่างไฟล์ภาพยนตร์ก็หลุดออกสู่สาธารณะก่อนเข้าฉายในโรงด้วย

กรณี Sony Pictures เป็นตัวอย่างสำคัญให้บริษัทขนาดใหญ่ในต่างประเทศตระหนักถึงปัญหาด้านความปลอดภัย ไม่มีใครอยากเป็นอย่าง Sony Pictures อีก บริษัทเหล่านี้จึงเสริมมาตรการรักษาความปลอดภัยให้แข็งแกร่งมากขึ้น

ผมคิดว่าข่าว Anonymous แฮกระบบของเมืองไทย (ซึ่งมีความสำคัญในแง่ความเป็นข่าว) ควรจะมีบทบาทต่อบริษัทและหน่วยงานไทยในลักษณะเดียวกัน ไม่มีใครอยากถูกแฮก และยิ่งไปกว่านั้นคือไม่มีใครอยากถูกแฮกจนเป็นข่าวดังตามหน้าสื่อให้ได้รับความอับอาย ลูกค้าไม่เชื่อถือ

ดังนั้นถ้าไม่อยากถูกแฮกโดยแฮกเกอร์ชื่อดังระดับโลก สิ่งที่เริ่มทำได้คือใส่ใจระบบความปลอดภัยด้านไอทีขององค์กรครับ ผมคงไม่ลงรายละเอียดในที่นี้ว่าในแง่เทคนิคควรทำอะไรบ้าง แต่ขอเพียงแค่เบอร์หนึ่งขององค์กรให้ความสำคัญกับเรื่องนี้ก่อน ประเด็นแง่เทคนิคว่าทำอย่างไร ผมเชื่อว่าบุคลากรด้านไอทีในองค์กรสามารถผลักดันกันต่อได้ไม่ยากนัก