26 March 2015

ปัจจุบันทุกสิ่งทุกอย่างสามารถที่จะเชื่อมต่อเข้าโลกของ Internet ซึ่งผลที่ตามมาก็คือ ทุกสิ่งที่เชื่อมต่อเข้าสู่โลกของ Internet นั้นสามารถโดนแฮกได้   ข้อมูลส่วนใหญ่ของอุปกรณ์ Fitness Tracker ต่าง ๆ กำลังถูกส่งไปมาอย่างไม่ปลอดภัย  และแม้แต่ app ต่างๆ เองนั้นก็มีช่องโหว่ทางด้านความปลอดภัย    จากข้อมูลของ Symantec  ประเด็นนี้ทำให้การเคลื่อนไหวของผู้ใช้งานสามารถถูกตรวจจับได้โดยง่าย และทำให้ข้อมูล  login ถูกโจรกรรมง่าย ตัวอย่าง เช่น อุปกรณ์หลอดไฟฟ้าอัจฉริยะ จากข้อมูลของ Slate อุปกรณ์ดังกล่าวมีการสื่อสารข้อมูลที่ไม่ปลอดภัย  ทำให้ข้อมูลรั่วไหลออกมามากเกินไป   หากเป็นเช่นนี้แล้วระบบความปลอดภัยของที่พักอาศัยซึ่งเราปิดเปิดด้วย  Smartphone ล่ะจะเป็นอย่างไร

ความปลอดภัยของ IoT เป็นประเด็นที่มีความสำคัญเป็นอย่างยิ่ง ทั้งสำหรับที่บ้านและที่ทำงาน  ประเด็นนี้เป็นประเด็นที่เราจะเห็นมากขึ้นในปีค.ศ 2015 เมื่อ IoT มีการใช้งานกันอย่างแพร่หลายและอาชญากรทางด้านไซเบอร์เริ่มมองเห็นมูลค่าของข้อมูลสารสนเทศที่สามารถนำออกมาใช้ประโยชน์ได้ อย่างไรก็ตาม ความปลอดภัยของ IoT ก็มีอยู่หลายระดับชั้นที่จำเป็นต้องได้รับการจัดการ

ประการแรก  Casey Ellis, CEO of Bugcrowd ซึ่งเป็นบริษัทที่ทำธุรกิจ การประเมินช่องโหว่ที่เกี่ยวข้องกับความปลอดภัยทางด้านไซเบอร์ ได้ชี้ให้เห็นว่า ความเสี่ยงที่ใหญ่ที่สุดของ IoT มาจากตัวอุปกรณ์เอง รวมไปถึง แพลตฟอร์มต่างๆที่รองรับอุปกรณ์เหล่านั้น Ellis กล่าวว่า IoT เติบโตอย่างรวดเร็วและแรงกดดันที่มีต่อบริษัทต่างๆในการเร่งสร้างสินค้าใหม่ๆออกสู่ตลาดเกือบจะเท่าๆกับต้นทุนที่สูงมากของระบบความปลอดภัยที่เหมาะสม จึงเป็นเหตุให้อุปกรณ์มากมายถูกสร้างขึ้นโดยใช้ Software ที่เป็น open source ซึ่งมีช่องโหว่ทางด้านความปลอดภัยที่พบเจอกันเป็นประจำ

Ellis กล่าวว่า ส่วนหนึ่งของปัญหาที่เกี่ยวกับความปลอดภัยของ IoT คือเป็นเรื่องยากมากสำหรับการเขียนโปรแกรมที่ปลอดภัย ดังนั้น

 

ซอฟต์แวร์ที่ใช้สำหรับ  IoT    จึงมีความเสี่ยงต่อภัยคุกคามต่างๆ จากหลายๆ  กรณีคุณได้รับเท่ากับที่คุณจ่าย  ผลิตภัณฑ์ราคาถูกจะมาพร้อมกับความเสี่ยงที่มากกว่าสำหรับ  Software คุณภาพต่ำ

 

สิ่งที่สำคัญคือ การมีวิธีปฏิบัติที่ดีสำหรับการพัฒนาแบบปลอดภัยสำหรับผู้ผลิต พร้อมทั้งมีโปรแกรมสำหรับทดสอบที่เข้มข้นและต่อเนื่องเพื่อตรวจหาสิ่งผิดปกติ        เมื่อมองเข้าไปในระดับปัจเจกบุคคลมากยิ่งขึ้นภัยคุกคามความปลอดภัยของ IoT สามารถพบได้ในฟังก์ชั่นการทำงานของตัวอุปกรณ์ อุปกรณ์ที่มีฟังก์ชั่นการทำงานที่สำคัญอย่างยิ่ง เช่น ระบบกลอนประตู    ตัวควบคุมการแจ้งเตือนควันไฟ ตัวควบคุมปลั๊กไฟฟ้า และ อุปกรณ์ต่าง ๆ ที่มีผลกระทบต่อความเป็นส่วนตัว เช่น กล้องวิดีโอจะเป็นเป้าหมายแรกในการโจมตีของ ผู้ไม่ประสงค์ดี ที่กำลังมองหาช่องโหว่ต่างๆ คุณ Ellis กล่าวว่านั่นก็ไม่ได้หมายความว่า อุปกรณ์อื่นๆ นอกจากนี้ จะปลอดภัยผู้ไม่ประสงค์ดีมักจะศึกษาวิจัยข้อมูลช่องโหว่ของอุปกรณ์ที่มีการใช้งานกันเป็นที่แพร่หลายมาก ๆ เช่นกัน

ประเด็นทางด้านปลอดภัยเรื่องที่สอง   ที่เกี่ยวกับ IoT ไม่ได้เกี่ยวข้องกับอุปกรณ์แต่เป็นเรื่องรูปแบบและสถานที่ในการนำอุปกรณ์มาใช้ประโยชน์ Don Weber, Senior Security Analyst with InGuardians เรียกอุปกรณ์ประเภทนี้ว่า “Surprise IoT” ซึ่งหมายถึง อุปกรณ์ที่ปรากฎอยู่ในองค์กร หรือที่แย่กว่านั้น คือ อยู่บนระบบเครือข่ายขององค์กรนั้น ๆ ซึ่ง Weber ได้อธิบายว่า ในขณะที่องค์กรธุรกิจมีกระบวนการในการควบคุมการเปลี่ยนแปลงที่ดี หน่วยงานต่างๆ ภายในหลายองค์กร ไม่ค่อยติดต่อสื่อสารกับหน่วยงานอื่นเมื่อจะต้องมีการนำเทคโนโลยีใหม่มาใช้งานเพื่อตอบสนองความจำเป็นทางด้านธุรกิจ

อุปกรณ์ที่เป็น Surprise IoT ทำให้เกิดความเสี่ยงทางด้านความปลอดภัยทางไซเบอร์อย่างยิ่งจากสิ่งที่เราไม่ทราบว่ามีอยู่ ตัวอย่างเช่น InGuardians ได้ตรวจประเมินระบบเครือข่ายไร้สายของลูกค้าและพบว่า อาคารดังกล่าวมีระบบเครือข่ายอื่นซึ่งใช้สำหรับควบคุมระบบ HVAC และเป็นระบบที่ลูกค้าเองก็ไม่ทราบว่ามี ซึ่งก่อให้เกิดความเสี่ยงกับกระบวนการผลิตของบริษัทลูกค้า

เมื่อพูดถึงอุปกรณ์ที่เชื่อมต่อเข้ากับระบบเครือข่ายของบริษัท Weber แนะนำให้หน่วยงานทางด้านไอทีสร้างระบบการควบคุมการเปลี่ยนแปลงที่มีความชัดเจน นำมาใช้งานได้ และสามารถบังคับใช้ได้ คู่มือให้คำแนะนำสำหรับการจัดซื้อเทคโนโลยี รวมทั้งมีการประเมินความปลอดภัยและการเฝ้าดูแลระบบอย่างเป็นระยะ สิ่งเหล่านี้จะช่วยให้หน่วยงานต่าง ๆภายในองค์กรสามารถสื่อสารความต้องการและนำอุปกรณ์ IoT ใหม่ๆมาใช้งาน ภายใต้แนวทางที่ก่อให้เกิดความมั่นใจในเรื่องความมั่นคงปลอดภัยของทรัพยากรต่างๆ ของธุรกิจ

เช่นเดียวกับอุปกรณ์ fitness tracker และ ระบบบ้านอัจฉริยะ ผู้ใช้งานควรมีความเข้าใจที่ชัดเจนเกี่ยวกับความเสี่ยงด้านความปลอดภัย Ellis กล่าวเสริมว่า ผู้ใช้งานและหน่วยงานทางด้านไอทีควรจะตัดสินใจเลือกซื้อสินค้ากับผู้จำหน่ายอุปกรณ์ IoT ที่มีความรับผิดชอบและใส่ใจในเรื่องของความปลอดภัยมากกว่า ซึ่งจะเป็นการปกป้องพวกเขาโดยตรงและเป็นการส่งสัญญาณชัดเจนไปยังผู้ผลิตให้มีความจริงจังในเรื่องดังกล่าว

อ้างอิง http://www.forbes.com/sites/sungardas/2015/01/29/the-internet-of-things-has-a-growing-number-of-cyber-security-problems/iot

 

อ้างอิงภาพ   http://www.truste.com/events/iot/2014/07/how-the-internet-of-things-transforms-the-product-lifecycle/

 

 




Writer

ไพโรจน์ แสงสุทธิจริตกุล

หัวหน้าแผนกโครงสร้างเทคโนโลยีสารสนเทศ
ส่วนเทคโนโลยีสารสนเทศ สถาบันเพิ่มผลผลิตแห่งชาติ