"Digital Security" หรือ "ความมั่นคงดิจิทัล" คือ ความมั่นคงรูปแบบใหม่ที่เพิ่งเกิดขึ้นในช่วงสหัสวรรษใหม่ของโลก เแพล็ตฟอร์มออนไลน์ทำให้การติดต่อสื่อสารของผู้คนเข้าใกล้กันได้โดยไร้พรมแดน พื้นที่ว่างส่วนบุคคลและพื้นที่สาธารณะเริ่มแคบลงทุกขณะ ทำให้อันตรายมาเยือนอย่างรวดเร็ว เพียงแค่กระพริบตา หายนะภัยตามมาเยือนดังเงายากจะหลีกเลี่ยง
ทั้งปัญหา Scammer ที่มักส่งอีเมลล์หรือ SMS เพื่อหลอกให้เหยื่อกดลิงก์ ดูดเงินออกอย่างรวดเร็ว หรือ Phishing ที่ลวงเหยื่อให้วางใจและดูดทรัพย์สินจนเกลี้ยงบัญชี แม้แต่ Deepfake นวัตกรรมใหม่ ใช้ AI ปลอมใบหน้าของผู้ที่เหยื่อรู้จัก คนใกล้ชิด แม้กระทั่งคนดัง เพื่อปอกลอกให้หมดเนื้อหมดตัว
จึงมีการตั้งข้อสังเกตว่า "รัฐบาล" โดยเฉพาะ กลุ่มมหาอำนาจโลก ที่ถึงพร้อมด้านบุคลากรด้านเทคโนโลยี ความล้ำสมัยของเครื่องมือ และองค์ความรู้ความเข้าใจไซเบอร์ จึงตกเป็นเป้าหมาย กลายเป็นผู้ประสบเคราะห์กรรมด้านความมั่นคงดิจิทัลได้ และรัฐบาลจะหาทางรับมือกับมหันตภัยในโลกไซเบอร์นี้ อย่างไร
"จับไม่ได้ ไล่ไม่ทัน" รัฐบาล "คว้าน้ำเหลว" มั่นคงดิจิทัล
ThaiPBS Online มีโอกาสเข้าร่วม Workshop ในงาน Digital Security Training ของ "พรรคประชาธิปัตย์ (Democrat Party)" พรรคการเมืองที่เก่าแก่ที่สุดในประเทศไทย ร่วมมือกับ Asia Centre สถาบันวิจัยเอกชนด้านความมั่นคงออนไลน์ชั้นนำของโลก โดย ซานเย กาเธีย (Sanjay Gathia) Programme Manager ของสถาบันฯ มาเป็นวิทยากร
ซานเย กาเธีย กล่าวว่า สำหรับความมั่นคงดิจิทัล รัฐบาลไม่มีหนทางที่จะป้องกันได้อย่างเบ็ดเสร็จ ไม่ว่าจะมีสรรพกำลังหรือสรรพวุธต่าง ๆ ที่ล้ำสมัยและคาดการณ์ว่าสามารถสร้างเกราะคุ้มภัยให้แก่ประชาชนก็ตาม เนื่องจาก อาชญากรไซเบอร์ มีความ "ก้าวหน้า" ทางยุทธวิธีเกินกว่าจะคาดเดา และการที่ประเด็นใดประเด็นหนึ่งจะเป็นปัญหาทางด้านความมั่นคง จำเป็นอย่างยิ่งที่ "หายนะ" จะต้องบังเกิดก่อน จึงจะรู้เท่าทันว่า การกระทำในลักษณะนี้ เข้าข่าย "ภัยคุกคาม"
Programme Manager ของสถาบันฯ ชี้ว่า หน้าที่ของรัฐบาลทำได้เพียง "ตามล้างตามเช็ด" ส่ิงที่เกิดขึ้น เพื่อสร้าง "การป้องกัน" ที่เข้มแข็งขึ้นตามมา เพื่อลดหรือไม่ให้เกิดอันตรายดิจิทัลซ้ำรอยอีกระลอก เพราะที่สุดแล้ว อาชญากรไซเบอร์ จะสรรหาวิธีการใหม่ ๆ ขึ้นมาเพื่อหลอกล่อเหยื่อที่ขาดความรู้ หรือแม้กระทั่งมีความรู้ทางดิจิทัลระดับสูงก็ตาม แม้กระทั่งพัฒนาสิ่งที่เราคิดว่า "รู้เท่าทัน" เช่น Scammer หรือ Phishing ก็มีผู้เคราะห์ร้ายให้เห็นได้อย่างดาษดื่น
ซานเย กาเธีย ให้ตัวอย่างจากประสบการณ์ตรง คือ บัญชีอีเมลล์ได้รับข้อความไม่ทราบแหล่งจำนวนมาก ส่งผลทำให้โทรศัพท์รวน ระบบอืดและช้า Reboot ตนเองหลายครั้ง เมื่อไปเช็คที่ศูนย์ซ่อม พบว่า มีการติดตั้งแอปพลิเคชันซ่อนไว้ในแอปฯ Google Contact เพื่อติดตามตัวอีกทอดหนึ่ง ทางแก้เดียว คือ ยกเครื่องโทรศัพท์ใหม่ทั้งหมด ไม่มีทางเลือกอื่นใด
ส่วนตัวเคยถูกแฮ็คโทรศัพท์ และรัฐบาลทำอะไรไม่ได้ กู้ข้อมูลคืนไม่ได้ ทำให้กลับสภาพเดิมไม่ได้ … บางที เจ้าหน้าที่รัฐเป็นผู้กระทำเสียเอง เพราะข้อมูลที่หลุดออกไปของประชาชน มาจากความหละหลวมของการบริหารจัดการทางไซเบอร์ของรัฐบาลทั้งสิ้น
Programme Manager ของสถาบันฯ ให้ข้อมูลเพิ่มเติมว่า ในภูมิภาคเอเชีย-แปซิฟิก ต้องให้ความสำคัญกับความมั่นคงดิจิทัลมากที่สุด เนื่องจากตกเป็นเป้าโจมตีของอาชญากรไซเบอร์มากกว่าร้อยละ 38 ในสัดส่วนอาชญกรรมทางดิจิทัลทั่วทั้งโลก โดยเฉพาะ รัฐบาล รัฐวิสาหกิจ และองค์กรต่าง ๆ เป็นเป้าหมายที่ชัดเจนที่สุด เนื่องจาก อุดมไปด้วยข้อมูลเชิงลึกของประชาชน หากเจาะเข้าไปได้ ความสั่นคลอนจะไม่ได้เกิดขึ้นเพียงระดับบุคคล แต่เกิดในระดับประเทศเลยทีเดียว
ไม่ว่าจะระมัดระวังความปลอดภัยทางดิจิทัลดีเพียงไร หากกฎหมายทางเทคโนโลยีหละหลวม ทำให้สิ่งนี้หลุดออกไปได้ง่าย ๆ โดยที่ทำอะไรไม่ได้ หมายความว่า ผู้อื่น ที่เราไว้วางใจให้เข้าถึงข้อมูล เป็นอันตรายมากกว่า ตัวเราเสียอีก
ข้อมูลสำหรับบุคคลธรรมดา ส่วนใหญ่แล้วมักจะเป็น "ปลายทาง" ของความมั่นคงดิจิทัล ส่วนใหญ่มักจะเสียหายในรูปแบบ "สินทรัพย์" โดยตรง แต่กับ "Public Figure" เช่น นักแสดง นักการเมือง หรืออินฟลูเอนเซอร์ ความเสียหายที่มากกว่านั้น คือ "ชื่อเสียง ภาพพจน์ และความน่าเชื่อถือ" ซึ่งจะนำมาสู่การสูญทรัพย์ในอนาคตได้
"นายกฯ แพทองธาร ชินวัตร ประสบปัญหา Deepfake มีบุคคลปลอมใบหน้าและเสียงเพื่อขอเงินบริจาค หากใครหลงเชื่อ จะคิดว่า เสียงจริง ตัวจริง มาเอง แม้จะสืบทราบภายหลังว่าเป็น AI-generated นายกฯ ก็เสียชื่อเสียงไปแล้ว"
หลายคนอาจจะสงสัยว่า เหตุใด Deepfake จึงเลียนแบบได้เนียนกริบขนาดนี้ Programme Manager ของสถาบันฯ อธิบายว่า ประชาชน "ถวายพาน" แหล่งข้อมูลสำหรับการสร้าง Deepfake ด้วยตนเอง แถมยังให้แบบฟรี ๆ โดยที่ไม่ตระหนักอีกด้วย ว่า "การอัพโหลดรูปภาพ" ลงบนแพล็ตฟอร์มสังคมออนไลน์ต่าง ๆ แม้จะเปิดให้เห็นเพียง Friends ก็ถือว่าข้อมูลใบหน้าหลักพันล้าน รอคอยให้อาชญากรนำไปใช้งานเสียแล้ว ถือเป็นเรื่องที่ช่วยไม่ได้จริง ๆ
จับตา"Doxxing" ประสาน "DDOS" ภัยดิจิทัล
ปัญหาหลักของความมั่นคงดิจิทัล คือ แม้แต่รัฐบาลที่สมควรจะเป็นหัวเรือในการสร้างเสริมและสร้างการตระหนักรู้ด้านไซเบอร์ต่อประชาชน ยัง "ตกเป็นเหยื่อ" ได้โดยง่าย เพราะหน่วยงานภาครัฐเลห่านี้ ถือครองชุดข้อมูลของประชาชนระดับมหาศาล มากกว่าบรรดา NGOs องค์กรอิสระ หรือสำนักข่าวต่าง ๆ หลายเท่าตัว
และหากพันธกิจหลักของรัฐบาลเหลือเพียง "ตามเก็บ" อันตรายดิจิทัล จำเป็นอย่างยิ่งที่จะต้องเรียนรู้ว่า ยุทธวิธีใหม่ ๆ ของอาชญากรรมไซเบอร์ ซึ่งสามารถเข้าถึงข้อมูลต่างๆ ได้ ในปัจจุบัน นอกเหนือจากวิธีการเดิม ๆ ที่คุ้นหู เช่น Scammer Phishing หรือ Deepfake ยังมีของใหม่ เช่น Doxxing และ DDOS อีกด้วย
โดย Doxxing หมายถึง การขโมยข้อมูลเพื่อเปิดเผยให้เกิด "ความอับอาย" หรือ "ไม่มั่นคง" ซึ่งวิธีการได้มาซึ่งข้อมูลนั้น ทำได้หลากหลาย แต่ส่วนใหญ่แล้ว จะเป็นสิ่งที่เรียกว่า Digital Footprint ที่ผู้เสียหายได้ก่อวีรกรรมอย่างน่าละอายไว้ตั้งแต่ต้น อาชญากรจะไม่เผยแพร่ในทันที แต่จะข่มขู่เป้าหมายให้ทำตามสิ่งที่ตนคาดหวังเสียก่อน โดยมีทั้งเรื่องทรัพย์สิน หรือไปจนถึงเรื่องโชว์ของสงวน
ข้อมูลสำคัญที่มักจะเปิดเผยจาก Doxxing คือ รหัสผ่าน หรือ เลขบัตรประชาชน … และส่วนใหญ่เป็นคนกันเองทั้งนั้นที่กระทำ อาจจะมาจากการเหม็นหน้ากัน หรือไม่พอใจกันบางอย่าง … แอคติวิสต์ และ นักการเมือง มักตกเป็นเหยื่อ เพื่อหวังผลให้หยุดเคลื่อนไหว และสร้างความเสื่อมเสีย ตลอดจนตกเป็นเป้าสวนกลับให้ฝ่ายตรงข้ามได้
ส่วน DDOS ย่อมาจาก Denial-of-service attack หมายถึง การรบกวนผู้ให้บริการ ทั้งเว็บไซต์ แพล็ตฟอร์มออนไลน์ หรือ Intranet ให้ใช้การไม่ได้ แม้แต่ผู้ดูแลระบบก็ไม่สามารถเข้าไปแก้ไขได้ ปัญหานี้ มักจะเกิดกับหน่วยงานภาครัฐ เพื่อการ "เรียกค่าไถ่" ให้ปลดล็อคการให้บริการกลับมาเป็นปกติ ไม่เช่นนั้น การดำเนินกิจกรรมทางราชการ จะไม่สามารถกระทำได้
DDOS เกี่ยวข้องกับการใช้ Bots เพื่อเข้าสู่แพล็ตฟอร์มพร้อม ๆ กัน คล้าย ๆ กับการใช้ Information Operations (I.O.) เพื่อปั่นให้เกิดความผิดพลาดของระบบสังคมออนไลน์ … เมื่อทำระบบให้ล่ม จึงเปิดช่องให้ดูดข้อมูลต่าง ๆ ได้โดยง่าย หรือไม่ก็ย้าย Server ไปอยู่ที่ใหม่ ให้ตนทางตามยากขึ้น
Programme Manager ของสถาบันฯ ยกตัวอย่างการใช้ยุทธวิธี DDOS ในประเทศอินโดนีเซีย อาชญากรพุ่งเป้าไปที่คณะกรรมการการเลือกตั้ง (ก.ก.ต.) ในช่วงเลือกตั้งทั่วไป เพื่อปั่นให้ผู้ใช้สิทธิ "เข้าใจผิด" ด้านผลการนับคะแนนของผู้สมัคร ส่งผลให้กระบวนการตัดสินใจลงคะแนนเสียงของประชาชนเปลี่ยนแปลงไป และเปลี่ยนผลการเลือกตั้งทางกายภาพจริง ๆ ได้
มั่นคง "เบื้องล่าง" ติดอาวุธทางปัญญา ป้องภัยดิจิทัล
ดังจะเห็นได้ว่า ความมั่นคงดิจิทัล ต้องตามให้ทันสติปัญญาของเหล่าอาชญากรไซเบอร์ให้ทันท่วงที นอกจากวิธีการเก่า ๆ ที่อันตรายอยู่แล้ว วิธีการใหม่ ๆ อันตรายมากขึ้นเป็นเท่าทวี จาก Doxxing หรือ DDOS ที่ส่งผลต่อการเปลี่ยนแปลงกระบวนการคิดและตัดสินใจของผู้คนได้
ส่วนจะมีวิธีการใดที่เป็น พื้นฐานที่สุด สำหรับการป้องปรามและป้องกันภยันตรายจากดิจิทัลได้นั้น Programme Manager ของสถาบันฯ ชี้ให้เห็นว่า ช่องทางเดียว คือ ประชาชนต้องมี "สติปัญญา" เป็นลำดับแรก
ดังที่กล่าวไปแล้วว่า แม้แต่รัฐบาลก็ไม่สามารถช่วยเหลืออะไรได้มากมายนัก แต่ปัญหาด้านนี้วนเวียนอยู่ในชีวิตประจำวันอย่างหลีกเลี่ยงไม่ได้ ทางที่ดีที่สุด คือ "ติดอาวุธ" ให้ตนเอง เพื่อรู้เท่าทันสิ่งที่ "ไม่อาจรู้ได้" ว่าจะทำอันตรายกับเราวันใด เพราะเราทราบแน่ ๆ ว่า สิ่งนี้ จะอันตรายกับเราในอนาคต
Programme Manager ของสถาบันฯ เสนอว่า แม้แต่การเปลี่ยน Password บ่อย ๆ หรือปรับให้ Strong มากยิ่งขึ้น ก็ไม่อาจช่วยได้ หากอาชญากรจะเอาจริง ๆ ไม่มีอะไรขวางได้ ดังนั้น ควรต้องเพิ่มความปลอดภัย "หลาย ๆ ชั้น" อย่างน้อย ๆ เป็นการชะลออันตรายที่จะคืบคลานเข้ามาถึงตน
นอกจากจะมี Password ยังต้องมี Passkey หรือ Authenticator เพิ่มเข้ามา คือ ต้องมีอะไรที่มากกว่าการใส่รหัสเฉย ๆ เช่น ใส่ลายนิ้วมือ ม่านตา หรือใบหน้า ที่ยากแก่การลอกเลียนแบบได้ หรือกระทั่ง การเข้ารหัสหลาย ๆ ชั้นก็ตาม
แม้จะปลอดภัย แต่ปัญหา คือ ความซับซ้อนและปฏิบัติได้ลำบากลำบน บรรดา "ผู้อาวุโส" ทั้งหลาย เช่น Baby Boomers หรือ Gen X อาจมีปัญหาด้านการใช้งานข้อแนะนำนี้ได้ ซานเย กาเธีย ทิ้งท้ายว่า ช่วยไม่ได้ และต้องอาศัยความอยากเรียนรู้และทำความเข้าใจ ไม่อย่างนั้น ผลเสียที่จะตามมา ย่อมทำอันตรายต่อผู้นั้นในบั้นปลาย
อ่านข่าว
ทักษะ "AI" ไม่พอทำงาน “แรงงานยุคใหม่” ต้องผสาน "Critical Thinking"