ตั้งด่านป้องกัน"คลาวด์" บทเรียนดาราถูกล้วงรูปหวือ
ตั้งด่านป้องกัน"คลาวด์" บทเรียนดาราถูกล้วงรูปหวือ
วรวิตา แย้มสุดา / จันท์เกษม รุณภัย
เหตุการณ์ที่ดารานักร้องคนดังนับร้อยถูกแฮ็กเกอร์เจาะระบบนำภาพส่วนตัวไปเผยแพร่ทั่วอินเตอร์เน็ตในสัปดาห์ที่ผ่านมาถึงขั้นเอฟบีไอต้องมาสอบสวน ไม่เพียงเขย่าวงการบันเทิงฮอลลีวู้ด แต่ยังเป็นประเด็นร้อนของแวดวงไอทีด้วย
ประเด็นวิพากษ์วิจารณ์หลักพุ่งเป้าไปถึงความปลอดภัยของ "คลาวด์สตอเรจ" หรือระบบการจัดเก็บข้อมูลแบบคลาวด์ ที่ผู้คนและธุรกิจหลากหลายหันมานิยมใช้มากขึ้นซึ่งบรรดาผู้ใช้งานแม้ไม่ได้เป็นดาราดังต่างตั้งคำถามว่าตัวเองจะปลอดภัย หรือไม่และทำอย่างไรจึงจะไม่ตกเป็นเหยื่อ
บีบีซี สื่อยักษ์ใหญ่ของอังกฤษสัมภาษณ์คำแนะนำจาก ผู้เชี่ยวชาญหลายคนมาฝาก เริ่มที่ โอลิเวอร์ ครอฟตัน ผู้ก่อตั้งบริษัทเซเล็กต์ เทคโนโลยี คอนซีเอจ กล่าวว่า แม้คนดังมีที่ปรึกษาคอยให้คำแนะนำมากมายทั้งการใช้เงินหรือความปลอดภัยทางร่างกาย แต่ความปลอดภัยด้านข้อมูลกลับเป็นสิ่งสุดท้ายที่คนเหล่านี้นึกถึง เมื่อข้อมูลส่วนตัวถูกนำไปเผยแพร่ตามที่ต่างๆ จึงกลายเป็นคำใบ้พาสเวิร์ดชั้นดีสำหรับแฮ็กเกอร์ อาทิ ชื่อลูก สัตว์เลี้ยง ชื่อดารา คนโปรด
ครอฟตันให้คำแนะนำว่า อย่างแรกคือควรเลือก "พาสเวิร์ด" ที่รัดกุมเพราะจากประสบการณ์ส่วนตัว สาเหตุหลักมักมาจาก "พาสเวิร์ด" ที่ง่ายต่อการเดาสุ่มและพฤติกรรมการใช้พาสเวิร์ดเดียวกันหมดในทุกบริการที่เพิ่มโอกาสให้แฮ็กเกอร์เข้าถึงข้อมูลได้ง่ายขึ้น
"แต่ละเดือนลูกค้าของทางบริษัทมักติดต่อเข้ามาเล่าว่าได้รับ อีเมล์แปลกๆ แจ้งว่า ตัวเองขอรีเซ็ตพาสเวิร์ดซึ่งผมบอกเลยว่า นี่แหละคือข้อบ่งชี้ถึงการที่นักเจาะระบบพวกนี้พยายามเข้ามาแทรกแซงในชีวิตออนไลน์ของเหยื่อ" ครอฟตันกล่าว
ด้าน เจมส์ ลีย์นี หัวหน้าหน่วยพัฒนาการรักษาความปลอดภัยข้อมูลบริษัทโซโฟสแนะนำว่า ควรตั้งพาสเวิร์ดที่ยาวไม่ต่ำกว่า 14 ตัวอักษร แต่การที่จะเกลี้ยกล่อมให้คนทั่วไปตั้งพาสเวิร์ดยาวๆ ถือเป็นเรื่องท้าทายมาก เอาให้ถึง 8 ตัวอักษรได้ก็บุญแล้ว ทั้งการใช้พาสเวิร์ดเดียวกันตามเว็บไซต์ต่างๆ หรือดัดแปลงให้ต่างออกไปเล็กน้อยนั้นไม่ได้ทำให้งานของแฮ็กเกอร์ยากขึ้นสักเท่าไหร่
นอกจากนี้ ยังต้องหมั่นตรวจตรา permission ของบรรดา แอพพลิเคชั่นที่ตัวเองดาวน์โหลดมาไว้ในสมาร์ตโฟนด้วย เช่น บรรดาภาพถ่ายของเหล่าดาราทั้งหลายที่หลุดไป ดาราพวกนั้นอาจไม่ทราบมาก่อนว่าถ่ายภาพเสร็จแล้ว ภาพดังกล่าวจะถูกอัพโหลดขึ้นไปบนคลาวด์หรือโซเชี่ยลมีเดียต่างๆ โดยอัตโนมัติเพราะตัวเองกดอนุญาตไว้ครั้งแรก ดังนั้นการปิดระบบอัพโหลดอัตโนมัติจึงเป็นอีกมาตรการหนึ่งที่จะลดความเสี่ยงข้อมูล "รั่ว"
ส่วน เคน มันโร ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลจากบริษัทเพ็นเทสต์พาร์ตเนอร์ กล่าวว่า การเป็นบุคคลสาธารณะนั้นมีจุดอ่อนที่ง่ายต่อการถูกโจมตีเพราะข้อมูลบางส่วนก็เป็นสาธารณะ ขณะที่บางครั้งความโด่งดังที่มาถึงตัวอย่างรวดเร็วก็ทำให้อะไรที่เคยเป็นข้อมูลส่วนตัวอาจถูกนำไปเผยแพร่ต่ออย่างรวดเร็ว เช่น นักฟุตบอลที่ชีวิตเปลี่ยนชั่วข้ามคืนเพียงเพราะสัญญาซื้อตัว จึงแนะนำว่า ผู้ใช้งานควรใช้สติไตร่ตรองให้มากเวลาจะแลกเปลี่ยนภาพและข้อมูลส่วนตัวกับใครและต้องรู้จักจำกัดวงผู้ติดต่อเพื่อคงความเป็นส่วนตัว
"เราสกัดการล้วงข้อมูลได้ด้วยระบบการรักษาความปลอดภัยแบบ "การยืนยันตัวตนเชิงซ้อน" (two-factor authentication) ซึ่งใช้ช่องทางการสื่อสารที่แยกออกจากตัวระบบหลัก เช่น การส่งข้อความหรือตัวเลขสำหรับเป็นพาสเวิร์ดยืนยันตัวตนเข้าสู่โทรศัพท์ส่วนตัวของผู้ต้องการเข้าสู่ระบบ เพื่อให้ผู้เข้าระบบนำข้อมูลที่ได้มากรอกลงในเว็บไซต์ ก่อนเข้าใช้ทุกครั้งคู่กับพาสเวิร์ดส่วนตัว" มันโรกล่าว
ขณะที่ คริส บอยด์ นักพัฒนาระบบรักษาความปลอดภัยข้อมูลจากมัลแวร์ไบต์สแนะนำว่า ต้องปรับเปลี่ยนพฤติกรรมตัวเองด้วยการหัดนำภาพออกจากสมาร์ตโฟนเสียบ้างแล้วนำมาใส่ไว้ในเอ็กซ์เทอร์ นัล ฮาร์ด ไดรฟ์แทน ซึ่งช่วยปิดโอกาสภาพหลุดได้พอสมควร เพราะต่อให้เอ็กซ์เทอร์นัลดังกล่าวสูญหายไป คนอื่นก็เข้ามาดู ไม่ได้เพราะติดพาสเวิร์ด จากนั้นก็ลบภาพที่นำออกมาจากสมาร์ตโฟนทิ้งเสีย
บอยด์กล่าวอีกว่า ขั้นต่อมาคือศึกษานโยบายของบรรดาบริการคลาวด์ที่ตัวเองใช้งาน เช่น ผู้ให้บริการคลาวด์บางแห่งมีระบบ Undelete (เลิกลบ) ข้อมูล กล่าวคือ ให้ผู้ใช้นำข้อมูลที่ลบทิ้งไปแล้ว กลับมาได้ ซึ่งมีประโยชน์ในแง่หากพลั้งเผลอลบข้อมูลสำคัญไป แต่ตรงกันข้าม หากเป็นข้อมูลส่วนตัวที่ต้องการจะลบทิ้งถาวร หมายความว่า ระบบยังคงเก็บข้อมูลที่ลบไว้อยู่ ถือเป็นอีกจุดเสี่ยงที่แฮ็กเกอร์สามารถเข้ามาล้วงเอา ไปได้
ฝั่งผู้เชี่ยวชาญจากไทย ผศ.ดร. สุดสงวน งามสุริยโรจน์ จากคณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยมหิดล กล่าวว่า เหตุ การณ์ที่เกิดขึ้นกับภาพหลุดในอินเตอร์เน็ต เกิดจากมีกลุ่มหรือขบวนการที่เตรียมการมาเป็นอย่างดีและได้เริ่มทำมานานเป็นปีแล้ว โดยต้องการเรียกค่าตอบแทนจากเหยื่อ
ดังนั้น อาจเป็นไปได้ว่าช่องโหว่ไม่ได้อยู่ที่ว่าไอคลาวด์ไม่ปลอดภัย แต่กระบวนการป้องกันความปลอดภัยอาจยังไม่เพียงพอ เช่น แฮ็กเกอร์ทราบอีเมล์หรือข้อมูลส่วนตัวของคนดังซึ่งได้นำไปเป็นคำใบ้ในการถอดรหัส พาสเวิร์ด และคำถามเพื่อความปลอดภัย (security question) ได้ ทำให้สามารถเข้าระบบได้เหมือนเจ้าของบัญชีและเลือกดึงข้อมูลออกมา
อ.สุดสงวนกล่าวว่า ในทางระบบความมั่นคงแล้ว ไม่มีระบบใดสมบูรณ์ ทุกระบบมีจุดอ่อนและเทคโนโลยีก็ก้าวหน้าไปอย่างรวดเร็วมาก ยิ่งเครื่องมือมีการพัฒนา ก็ยิ่งง่ายที่ข้อมูลจะถูกแฮ็ก และเดี๋ยวนี้มีผู้ใช้ที่นิยมอัพโหลดข้อมูลส่วนตัวเข้าไปในระบบเครือข่ายสังคม ทั้งเฟซบุ๊ก อินสตาแกรม ทวิตเตอร์ ฯลฯ และไอคลาวด์ก็เป็นรูปแบบการเก็บข้อมูลแบบหนึ่งของผู้ใช้อุปกรณ์ของแอปเปิ้ล ซึ่งในแง่ความปลอดภัยแล้ว ระบบและผู้ใช้ต้องเป็นผู้รับผิดชอบการปกป้องข้อมูลร่วมกัน
สิ่งที่ควรระวังมากที่สุดอย่างแรก คือผู้ใช้ไม่ควรตั้งค่าสถานการณ์แบ่งปันข้อมูลแบบอัตโนมัติที่เรียกว่า auto upload หรือ auto sync เพราะระบบสามารถดึงข้อมูลผู้ใช้เข้าไปในระบบได้ทั้งหมด เช่น เมื่อเปิดมือถือ ข้อมูลก็จะเข้าระบบเลย ทำให้ผู้ใช้บางคนไม่รู้ว่าภาพหรือข้อมูลเข้าไปอยู่ในระบบแล้ว ก็อาจเกิดเป็นอันตรายได้ โดยเฉพาะผู้ใช้ที่ไม่รู้จักการตั้งค่าระบบไม่ให้มีการอัพโหลดอัตโนมัติ
ผู้ใช้ควรเป็นผู้ที่ได้พิจารณาและคัดกรองเองว่า ข้อมูลใดที่เราเลือกให้เอาขึ้นในระบบเท่านั้น เพื่อป้องกันตัวเองด้วยในขั้นหนึ่ง โดยเฉพาะกลุ่มผู้ใช้เครื่องมือที่เข้าถึงข้อมูลอันเป็นความลับของบริษัท จนอาจทำให้เกิดความเสียหายเป็นมูลค่ามากได้
ข้อควรระวังอย่างที่ 2 คือ การแบ่งปันข้อมูล ควรจะอยู่ในแวดวงจำกัด เช่น คนรู้จัก ครอบครัว หรือเพื่อนสนิทเท่านั้น
การแชร์ภาพหรือข้อมูลในแบบสาธารณะนั้น ปัจจุบันเป็นอันตรายมาก เนื่องจากมีมิจฉาชีพที่เข้าใจระบบด้านสารสนเทศเพิ่มมากขึ้น อีกทั้งการรับเพื่อนที่ไม่รู้จักในโลกออนไลน์สุ่มสี่สุ่มห้านั้น ก็อาจทำให้เกิดอันตรายต่อผู้ใช้เองด้วย เพราะมิจฉาชีพสามารถเข้าถึงข้อมูลส่วนตัวผู้ใช้ได้ง่าย จนอาจนำไปสู่การล่อลวง การส่งข้อความก่อกวน หรือส่งไวรัสได้
ข้อควรระวังอย่างที่ 3 คือ หากระบบมีการแจ้งให้ป้องกัน เช่น เมื่อมีการใช้งานข้อมูลจากบัญชีส่วนตัว บางระบบจะมีการส่งรหัสเฉพาะที่ใช้ครั้งเดียว มายังโทรศัพท์มือถือของผู้ใช้ ขอให้ทำตามที่ระบบบอก หรือกรณีให้เปลี่ยนพาสเวิร์ดเป็นระยะๆ ขอให้รีบทำทันที อย่าละเลย!
"อยากจะย้ำว่า การทำให้ระบบปลอดภัยควรต้องเริ่มที่ผู้ใช้เองก่อนต้องรู้จักระวังให้ตัวเองปลอดภัย โดยการเปลี่ยนพาสเวิร์ดบ่อยๆ รวมทั้งใช้เบอร์โทรศัพท์ในการป้องกันการลักลอบเข้าระบบอีกชั้นหนึ่ง เช่น การล็อกอินเข้าสู่ระบบของกูเกิ้ลสมัยนี้จะมีการส่งรหัสผ่านชั่วคราว (token) มาให้ทางเบอร์โทรศัพท์ และผู้ใช้ต้องใช้รหัสผ่านชั่วคราวนั้นในการเข้าระบบ เปรียบเหมือนกับการล็อกบ้านของเราที่ต้องมีกุญแจหลายชั้น โดยผู้ให้บริการจะเป็นฝ่ายจัดการตรงส่วนนี้ให้ ผู้ใช้ แต่หากผู้ใช้รู้สึกว่าวิธีการนี้ยุ่งยาก ไม่ยอมใช้ ก็ต้องยอมรับความเสี่ยงเอาเอง" อ.สุดสงวนกล่าว
ด้าน อ.นนทวัฒน์ จันทร์เจริญ จากภาควิศวกรรมไฟฟ้า คณะวิศวกรรมศาสตร์ ม.เกษตรศาสตร์ กล่าวว่า ตัวผู้ใช้เองต้องทำความเข้าใจ รวมทั้งทำใจว่า ไม่มีระบบใดปลอดภัย 100% เพราะตราบใดที่เราฝากข้อมูลไว้กับเซิร์ฟเวอร์แล้ว ใครจะเอาไปทำอะไรก็ได้ และเชื่อว่าตัวผู้จัดทำระบบเองก็ต้องพยายามป้องกันการรั่วไหลของข้อมูลผู้ใช้อย่างเต็มที่แล้ว แต่ว่าตัวคนที่แฮ็กข้อมูลก็พยายามหาช่องทางเจาะระบบเข้าไปให้ได้ คนที่คิดระบบก็ต้องหาทางพัฒนาด้านความปลอดภัยขึ้นไปเรื่อยๆ"
การเจาะเข้าระบบคลาวด์ เป็นไปได้หลักๆ แล้ว 2 วิธีคือ 1. เจาะพาสเวิร์ดเข้าไป โดยอาจใช้วิธีการหลอกถามพาสเวิร์ดจากตัวผู้ใช้เอง เช่น การหลอกให้กรอกข้อมูลผ่านทางอินเตอร์เน็ต หรือการล้วงความลับจากคนใกล้ตัว 2. คือเจาะเข้าไปในฐานข้อมูลใหญ่เลย ซึ่งส่วนนี้จะกระทบกับผู้ใช้ทั้งหมด โดยไม่เจาะจงตัวบุคคล
"หากเกิดกรณีนี้ขึ้น เจ้าของเซิร์ฟเวอร์ต้องเป็นผู้รับผิดชอบ เนื่องจากไม่สามารถปกป้องข้อมูลผู้ใช้ได้ตามสัญญา" อ.นนทวัฒน์กล่าว
ที่มา นสพ.ข่าวสด