Cybersecurity

ความปลอดภัย (Security) และการศึกษา (Education)

ความรู้และการศึกษาในวงการความปลอดภัยไซเบอร์

ผู้สื่อข่าว Kevin Townsend เคยถามผมเมื่อหลายเดือนที่ผ่านมาเกี่ยวกับประเด็นของอีเมล์หลอกลวง (Phishing) โดยแบ่งเป็น 2 หัวข้อใหญ่ๆว่า:

  1. เทคโนโลยีจะสามารถแก้ปัญหาได้หรือไม่? และมีวิธีการอย่างไร?
  2. การอบรมเกี่ยวกับ Phishing แก้ปัญหาได้หรือไม่? อย่างไร?

ถ้าคำตอบไม่ใช่คำว่า “ไม่” เราก็ต้องหาทางที่จะทำให้สำเร็จ และค้นหาวิธีการที่จะช่วยทำให้โอกาสสำเร็จของอีเมล์ Phishing ลดลง

ซึ่งคำถามก็คือ Phishing และภัยคุกคามอื่นๆบนโลกไซเบอร์มีสาเหตุมาจากเทคโนโลยีเท่านั้นหรือไม่? และถ้าเป็นเช่นนั้นทำไมเราถึงไม่แก้ที่ตัวเทคโนโลยีอย่างเดียว?

ในอุตสาหกรรมซอฟต์แวร์รักษาความปลอดภัยมีแนวคิดว่า เราจะใช้เทคโนโลยีในการแก้ปัญหาได้อย่างไร?

โดยทั่วไป เมื่อเราพูดถึงปัจจัยของการโจมตีด้วยเทคโนโลยี แฮกเกอร์มักสรรหาหนทางที่จะเข้าถึงผู้ใช้ โดยไม่จำเป็นว่าจะต้องผ่านเทคโนโลยีหรือไม่ เพราะบางทีเราก็อาจลืมวิธีที่แฮกเกอร์สามารถเข้าถึงตัวเราได้

คุณเชื่อหรือไม่ว่าตัวคุณเองสามารถหลบเลี่ยงภัยคุกคามได้ดีกว่ารอให้เข้าของเทคโนโลยีเสียอีก เพราะเราคงไม่หวังที่จะให้ผู้ผลิตเป็นฝ่ายที่คอยแก้ปัญหาอยู่ฝ่ายเดียว เนื่องจากปัญหามีมากมายเหลือเกิน และไม่มียาตัวไหนที่จะสามารถแก้ได้ทุกโรคทุกอาการด้วย

ในความเป็นจริงซอฟต์แวร์รักษาความปลอดภัยสามารถทำหน้าที่ในการรักษาความปลอดภัยได้เป็นอย่างดี แต่นักพัฒนาเทคโนโลยีก็มีสองฝ่าย คือฝ่ายดีและฝ่ายไม่ดี (แฮกเกอร์) เพราะฉะนั้นจึงทำให้ไม่มีซอฟต์แวร์ไหนที่จะทำได้ 100% ดังนั้นองค์กรและผู้ใช้จึงต้องมีมาตรการรักษาความปลอดภัย ควบคู่กับตัวซอฟต์แวร์

เทคโนโลยี ปะทะ มนุษย์

tech_human-768x597

อีเมล์ปลอมอย่าง Phishing ไม่ใช่เพียงปัญหาทางเทคนิค และก็ไม่ได้นับว่าเป็นอาชญากรรมไซเบอร์ แต่ Phishing นั้นเหมือนกับลูกพี่ลูกน้องของอาชญากรรมไซเบอร์ ซึ่งส่วนมากจะเป็นปัญหาโซเชี่ยล หรือพบได้ตามแหล่งรวมผู้คนอย่างโซเชี่ยลมีเดีย

  • พฤติกรรมของอาชญากร (แฮกเกอร์) เศรษฐศาสตร์ การศึกษา และปัจจัยทางจิตวิทยา “สังคมออนไลน์เป็นสาเหตุของการเบี่ยงเบนพฤติกรรมของคนได้ เมื่อพวกเขาได้อะไรที่มากกว่าเพียงแค่กด Subscribe เพื่อรับข้อมูล จากข้อมูลจำนวนมากก็ทำให้เกิดการเข้าใจแบบผิดๆ หรือว่าเราอยู่ในยุคของข่าวลวงที่เป็นเหมือนเงินสกุลใหม่บนโซเชี่ยลมีเดีย และวิวัฒนาการของเทคโนโลยีที่ยิ่งทำให้ข้อมูลเหล่านี้ไปได้ไกลกว่าเดิม”
  • พฤติกรรมของเหยื่อ และปัจจัยพื้นฐาน ผมไม่ขอกล่าวหาตัวผู้ใช้แต่เพียงฝ่ายเดียว แต่สถาบันอื่นๆอย่างธนาคารก็ควรมทีมาตรฐานความปลอดภัยสำหรับการติดต่อสื่อสารกับลูกค้า ยกตัวอย่างการส่งอีเมล์ แทนที่จะเรียกลูกค้าว่า “ลูกค้าที่เคารพ” หรือการแนบลิงก์ “Click Here” ซึ่งทำให้ผู้ใช้แยกแยะอีเมล์จริงและปลอมได้ยาก เพราะถ้าพวกเขาไม่ทราบแม้กระทั่งชื่อของลูกค้า จะแน่ใจได้อย่างไรว่าเป็นธนาคารที่ส่งมา หรือลิงก์ที่แนบมา หากไม่ได้ไปที่หน้าเว็บไซต์ของธนาคารจะต้องทำอย่างไร?
  • กฎหมายและการบังคับใช้ ถึงแม้จะมีกฎหมายรองรับ แต่การดำเนินการและการบังคับใช้กลับทำได้เพียงเดินหน้าไปอย่างช้าๆ แต่อย่างน้อยก็ดีกว่ามีอะไรดีขึ้น

ความรู้ อบรม และสติ

สรุปความรู้และการอบรมช่วยแก้ปัญหานี้ได้หรือไม่? พวกเราตอบไม่ได้เต็มปากเท่าไหร่ เพราะว่าเรายังพิสูจน์ไม่ได้ว่าผู้ที่พูดได้อย่างฉะฉานนั้นเป็นการยืนยันว่าเขาจะเป็นอย่างไรเมื่อเขาทำงาน ถ้าเขาใช้ความรู้ที่เขาได้มาขณะอบรบก็แสดงว่าการอบรมนั้นได้ผล

ความรู้ การศึกษา และการอบรม

education_security-768x512

ตั้งแต่ที่ผมได้มาทำงานอยู่ในวงการความปลอดภัย ผลรู้สึกว่าตัวเองเป็นผู้ให้ความรู้มากกว่านักวิจัย ผมรู้ตัวอยู่เสมอว่ามีผู้ที่สามารถเจาะลึกมัลแวร์ผมได้เก่งกว่าผมแน่นอน และผมอยากร่วมงานกับพวกเขา และรู้สึกเป็นเกียรติมากที่พวกเขาเหล่านั้นอ่านบทความ และฟังการนำเสนอของผม

เมื่อไหร่ก็ตามที่ผมไม่สามารถทำงานได้หรือ ไม่เข้าเทคโนโลยีของมัลแวร์อันตรายและเทคโนโลยีที่เราจะใช้รับมือกับมัน ความสามารถและความสนใจของผมเหมือนมีหน่วยเป็นไบท์ อาจเป็นเพราะผมจบมาจากสาขาวิทยาศาสตร์คอมพิวเตอร์ และอยู่กับเพื่อนร่วมงานในอุตสาหกรรมความปลอดภัยเลยทำให้ผมมองเห็นอะไรแตกต่างจากคนทั่วไป และทำให้ผมเห็นความเป็นไปได้และเชื่อว่าเทคโนโลยีจะทำในสิ่งที่เป็นไปไม่ได้

การรับรู้ภัยคุกคาม

หนึ่งในสิ่งที่จะทำให้บรรจุจุดประสงค์ได้ก็คือการอบรมเพื่อให้ผู้ใช้ตระหนักเกี่ยวกับภัยคุกคาม แต่ที่ยากก็คือคนที่จบวิศวะคอม หรือวิทยาศาสตร์คอมพิวเตอร์ไม่ได้มีความสามารถในการถ่ายทอดได้เหมือนกับคนที่จบศึกษาศาสตร์ เลยอาจทำได้ไม่ดีนัก

ทุกคำแนะคำไม่ใช่คำแนะนำที่ดีเสมอไป

advice_book-768x512

การที่จะเป็นผู้ดำเนินโครงการให้ความรู้กับผู้คนจำเป็นต้องมีแหล่งข้อมูล ความเข้าใจ และการประสานงานที่ดี ซึ่งข้อมูลเหล่านั้นจำเป็นต้องนำไปใช้ได้ต่อไป แต่ความเป็นจริงก็คือทุกคำแนะนำจะเป็นคำแนะนำที่ดีเสมอไป

เนื่องจากปัจจุบันเป็นยุคของข้อมูล ข้อมูลในช่องทางอินเตอร์เน็ตส่วนมากฟรี และมาจากหลายแทบทุกภาคส่วน ดังนั้นข้อมูลที่ได้ก็จะมีความหลากหลายมาก และบางคำแนะนำที่มีไว้ใช่ในที่ๆหนึ่งอาจไม่เหมาะสมกับอีกที่หนึ่งก็ได้

Author: David Harley
Source:
https://www.welivesecurity.com/2017/08/29/security-and-education/
Translated by: Worapon H.

%d bloggers like this: