สรุป NCCIT 2013 ตอนที่ 2 Critical Issues and Information Security and Managing Risk

Prof. Dr. Mark
Weisser

สรุปย่อ Keynote เรื่องที่ 2 ในหัวข้อ Critical Issues and Information Security and Managing Risk โดย Prof. Dr. Mark Weisser, USA.

การนำเสนอนี้ได้ตั้งชื่อเรื่องว่า “The Battle we Loss” บรรยายเกี่ยวกับแนวคิดของการบริหารจัดการด้าน Computer Security ของบุคคล และองค์กรซึ่งบอกถึงความเสี่ยงของคนในด้านต่างๆ และความเชื่อมโยงของข้อมูลส่วนตัวกับสื่อ Internet ที่ทำให้ความปลอดภัยของระบบคอมพิวเตอร์ลดลงโดยไม่ได้เกิดจากความตั้งใจของผู้ใช้

เริ่มต้นจากว่าวันที่ 7 พฤษภาคม เป็นวันรหัสผ่าน ซึ่ง McAfee ได้กำหนดเอาไว้ เพื่อให้คนตระหนักถึงความปลอดภัยของการตั้ง Password ซึ่งเป็นสิ่งที่ทุกคนใช้ในการเข้าสู่ระบบต่างๆ ทั้ง e-mail, Facebook, Twitter แต่สิ่งที่ทุกคนไม่ได้คิดไว้คือ การกำหนด Password เดียวกันไปบนหลายๆ Services ก็เกิดเป็นความเสี่ยงได้

ความเสี่ยงด้านระบบคอมพิวเตอร์ที่พบในปัจจุบัน เรียงตามความถี่ที่เกิดบ่อยที่สุด ได้แก่ การโจมตีโดยตรง (Target Attack), กิจกรรมการบุกรุก (Hacktivism), การโจมตีโดยมีผู้สนับสนุน (Sponsor Attack), Malware, Self-sign Certificate, Ransomware, Mobile Malware, และ Known Vulnerability

ซึ่งก็ทำให้เรารู้จักกับการบริหารความเสี่ยงในระบบคอมพิวเตอร์ ได้แก่ การระบุแยกแยะความเสี่ยง (Identification of Risk), การขจัดความเสี่ยง (Eliminate Risk), การบรรเทาความเสี่ยง (Mitigate Risk), และ การยอมรับความเสี่ยง (Accept Risk)

สถิติอีกอย่างหนึ่งที่น่ากลัวคือ Malware มีอัตราการเพิ่มขึ้นที่ 50% โดย Mobile Malware เอง มีเพิ่มมากขึ้นถึง 44 เท่า เกิดจากความไม่ปลอดภัยของการตั้งค่าของผู้ใช้ต่างๆ เช่น รหัสผ่าน และไม่มีการป้องกันโทรศัพท์มือถือหรืออุปกรณ์พกพา

การเกิด Social Engineering เป็นการเพิ่มโอกาสให้ผู้โจมตี ศึกษาหาความเชื่อมโยงส่วนตัวจากบุคคล ในข้อมูลที่ปรากฏในสื่อสังคมออนไลน์ หรือจาก Internet ซึ่งเป็นการไม่ยาก ถ้าเรารู้ E-mail Account ของใครแล้ว จะสามารถหาภาพถ่ายของเจ้าของ e-mail โดยการค้นหาจากความเชื่อมโยงต่างๆ ผ่านสื่อสังคมออนไลน์ได้

ประเด็นที่ Prof. Dr. Mark Weisser จะบอกคือ การยิ่งรู้ข้อมูลส่วนตัวมากเท่าใด จะเป็นการง่ายขึ้นที่จะล่วงรู้กลไกการรักษาความปลอดภัยของตัวเรา เช่น Facebook ของผู้ใช้ที่ถ่ายภาพคู่กับสุนัคที่ตนเองรักบ่อยๆ ก็อาจจะถูกเอามาเดาเป็น Password, หรือ การได้วันเกิดของเจ้าของ Account มา ก็สามารถเป็นกลไกตั้งต้นในการเริ่มบุกรุกได้ และเมื่อการบุกรุกเริ่มขึ้น หาก e-mail ที่ใช้อยู่ตกไปอยู่ในมือผู้อื่น ก็จะทำให้ Account อื่นๆ ของผู้ใช้งานถูกขโมยไปด้วย ผ่านกลไกการ Reset password เป็นต้น

ในองค์กร สามารถแก้ไขหรือรับมือได้ด้วยการทำ Multi-Factor Authentication หรือการใช้องค์ประกอบอื่น นอกจากการใช้ Username / Password ในการเข้าสู่ระบบ ก็จะสามารถช่วยลดความเสี่ยงด้านความปลอดภัยได้

กิจกรรมในห้องเรียนของ Prof. Dr. Mark Weisser คือ
Attemp#1 Hacking the business card: เป็นการให้นักศึกษาใช้ข้อมูลจากนามบัตรใดๆ และทำการสืบค้นข้อมูลทาง Internet เพื่อระบุหาภาพถ่าย, ที่อยู่, วันเกิด และนำไปสู่การเดารหัสผ่านของ e-mail ในนามบัตรนั้น

Attempt#2 Hack the friends: การให้นักศึกษาพยายามเจาะข้อมูลส่วนตัวของเพื่อนออกมาจากสื่อสังคม online โดย Lab นี้จะทำให้นักศึกษาตระหนักว่า มีข้อมูลส่วนตัวของเราอยู่บนโลก online มากเกินไปหรือไม่ และการที่ข้อมูลสามารถหาได้เช่นนี้แล้ว จะเกิดผลอย่างไรในกรณีไปอยู่ในมือผู้ที่ไม่ประสงค์ดีต่อเรา

หรือแม้แค่เรื่องง่ายๆอย่าง Storage เช่น USB Drive มากกว่า 90% ที่เราหาข้อมูลใน Drive นั้นๆแล้วจะพบข้อมูลของเจ้าของ ทั้งนี้รวมไปถึงการกู้ข้อมูลขึ้นมาจาก Drive ด้วย หากเรามองย้อนไปว่า แล้ว Hard disk ของเราจะมีข้อมูลส่วนตัวอยู่มากเพียงใด

ถ้าเราไม่แน่ใจว่าตัวเรามีความเสี่ยงอยู่มากแค่ไหน การทดสอบสำคัญคือการทดสอบการเจาทะลวง (Penetration test) เพื่อให้เรารู้ว่า ปัญหาที่มีอยู่คืออะไร เพื่อกลับไปยังการระบุแยกแยะความเสี่ยง ที่ Prof. Dr. Mark Weisser กล่าวในตอนต้น

 “Attack yourself that let you able to identify the risk” -- Prof. Dr. Mark Weisser NCCIT 2013, KMUTNB, BKK, Thailand.