เนื่องจากภัยคุกคามบนอินเตอร์เน็ตในปัจจุบันนั้นถูกพบเห็นเป็นข่าวบ่อยขึ้นเรื่อย ๆ ดังนั้นอุปกรณ์ IoT ที่มีการเชื่อมต่ออินเตอร์เน็ตจำนวนมากมายจึงมีความน่าจะเป็นที่จะถูกแฮกโดยผู้ไม่หวังดีได้มากขึ้นตามไปด้วย
ดังตัวอย่างจากงาน DefCon ที่ประเทศจีนเมื่อปีที่ผ่านมา มีการแสดงโดยนักศึกษาจีนที่ร่วมการแช่งขันที่ทาง Tesla ไม่ได้เป็นผู้ให้การสนับสนุน ว่าเขาสามารถแฮ็กระบบควบคุมรถของ Tesla จนสามารถบังคับให้มีการเปิดประตูหรือซันรูฟในขณะที่รถกำลังวิ่งอยู่ได้ หรือแม้แต่การทำ PoC (Proof-of-Concept) ในการแฮกสมาร์ททีวี, ระบบสแกนลายนิ้วมือมนสมาร์ทโฟน, อุปกรณ์เน็ตเวิร์ก, ระบบบ้านอัจฉริยะ, กล้องวงจรปิดและระบบกันขโมย
ทำให้เห็นได้ว่า IoT นั้นนอกจากจะนำมาซึ่งความสะดวกสบายในชีวิตประจำวันของท่านแล้วยังนำมาซึ่งภัยคุกคามด้วยเช่นกัน ทำให้มีการเล่นคำว่า IoT นั้นมีอีกความหมายว่า Internet of Threats นั่นเอง
ไม่ว่าอุปกรณ์ใด ๆ ก็ตามที่มีการเชื่อมต่อกับอินเตอร์เน็ต อุปกรณ์ตัวนั้นจะต้องพร้อมที่จะรับกับความเสี่ยงที่จะโดนแฮกข้อมูลหรือลุกล้ำเพื่อครอบครองโดยผู้ไม่หวังดี เพราะไม่ว่าคุณจะมีการป้องกันด้วยอุปกรณ์ security ที่ดีเลิศที่สุดในโลก หรือคุณจะมีการเข้ารหัสข้อมูลหรือมีการป้องกันใด ๆ ก็ตามที่เรียกได้ว่าดีที่สุดแช็งแรงที่สุด แต่ทันทีที่มันมีการเชื่อมต่อกับอินเตอร์เน็ตความเสี่ยงบังเกิดขึ้นทันที ซึ่งอุปกรณ์ IoT ก็ไม่สามารถปฏิเสธความเสี่ยงนี้ได้
แต่สิ่งที่น่ากลัวกว่าก็คืออุปกรณ์ IoT ในปัจจุบันนั้นก็เหมือนกับอุปกรณ์คอมพิวเตอร์หรือสมาร์ทโฟนรุ่นแรก ๆ ที่เริ่มมีการเชื่อมต่ออินเตอร์เน็ตที่มีช่องโหว่มากมายให้ผู้บุกรุกสามารถเลือกสรรใช้ในการโจมตีอย่างสบาย ๆ ดังนั้นการตั้งอยู่ในความมาประมาทด้วยการพิจารณาอุปกรณ์ IoT ที่ท่านเลือกใช้ว่ามีมาตรการอย่างไรในการรักษาความปลอดภัยให้กับท่านได้ก่อนที่จะซื้อมาใช้งานก็จะช่วยให้ท่ามีความเสี่ยงลดลง (แต่ขอให้ระลึกไว้ว่าความเสี่ยงไม่มีทางเป็นศูนย์นะครับ)
โดยที่ในอดีตนั้นเราจะคิดว่าแฮกเกอร์นั้นมุ่งหวังที่จะโจมตีเฉพาะองค์กร เพราะผลลัพธ์ที่ได้นั้นคุ้มค่าการลงทุนลงแรงมากกว่าการโจมตีไปที่ตัวบุคคล (ยกเว้นบุคคลสำคัญ) แต่ในปัจจุบันนั้นแฮกเกอร์เริ่มมุ่งเป้าไปที่อุปกรณ์ IoT ที่มีความง่ายในการโจมตีมากกว่า และผู้ใช้ส่วนใหญ่ยังขาดความระมัดระวังตัวด้วย
ให้ลองคิดง่าย ๆ ว่าถ้าคุณมีสมาร์ทโฟนที่เชื่อมต่อกับกล้องวงจรปิดและระบบป้องกันขโมยผ่านระบบคลาวด์ หากมีใครขโมยสมาร์ทโฟนของคุณไปก็สามารถที่จะควบคุมทุกอย่างในบ้านของคุณได้อย่างสบาย หรือแม้แต่ถ้าผู้บุกรุกสามารถแฮกระบบคลาวด์ได้ก็สามารถควบคุมทุกอย่างในบ้านของคุณได้เช่นกัน หรือบรรดารถอัจฉริยะรุ่นใหม่ ที่มีระบบควบคุมอุปกรณ์ต่าง ๆ ในรถรวมถึงการปลอดล็อกและสตาร์ทรถด้วย หากใครสามารถแทรกแซงระบบได้ก็สามารถนำรถสุดหรูของคุณไปใช้หรือไปขายต่อตามชายแดนได้อย่างสบาย ๆ คุณยังจะคิดว่า Internet of Threats นั้นเป็นเรื่องไกลตัวคุณอีกต่อไปหรือไม่?
ทางออกของปัญหา
ดังสุภาษิตที่ว่าทุกปัญหามีทางออก ปัญหาเรื่องภัยคุกคามของ IoT เองก็เช่นกัน รูปแบบของปัญหาก็ไม่ได้แตกต่างจากความเสี่ยงบนอินเตอร์เน็ตที่เราคุ้นเคยกันอยู่แล้ว ไม่ว่าจะเป็นเทคนิคการโจมตีหรือการแฮกอุปกรณ์ IoT ก็ไม่ได้แตกต่างจากที่เคยเกิดขึ้นกับบรรดาเซิร์ฟเวอร์และระบบต่าง ๆ ที่ให้บริการบนอินเตอร์เน็ต เช่น การโจมตีช่องโหว่ที่มีการเปิดเผยต่อสาธารณะแล้วแต่ไม่มีการจัดการแก้ไขแพทซ์ตามคำแนะนำของผู้ขาย หรือช่องโหว่จากฟีเจอร์ที่ใช้งานหรือแม้แต่ช่องโหว่ที่เกิดจากการเขียนซอฟต์แวร์ไม่รัดกุม เป้นต้น ดังนั้นวิธีการแก้ไจและป้องกันความเสี่ยงก็เลยไม่แตกต่างกัน ได่แก่
1. การออกแบบโดยคำนึงถึงความปลอดภัย: โดยที่ผู้ผลิตก็จะต้องคิดถึงความเสี่ยงที่มีโอกาสจะเกิดขึ้นกับผลิตภัณฑ์ที่ต้องการจะผลิตตั้งแต่ตอนออกแบบ ทดสอบว่าการป้องกันที่ออกแบบไว้นั้นเพียงพอจะป้องกันความเสี่ยงที่ได้คิดเอาไว้หรือไม่ก่อนที่จำนำออกมาจำหน่าย และควรตั้งค่า default ของผลิตภัณฑ์ให้เป็นค่าที่ปลอดภัยเสมอ
2. การใช้งานอย่างปลอดภัย: เมื่อผู้ขายทำให้ผลิตภัณฑ์มีความปลอดภัยแล้ว คนใช้ก็ควรจะทำความเข้าใจกับ มาตรฐานความปลอดภัย (security standard) ที่ผู้ผลิตแนะนำและใช้งานผลิตภัณฑ์นั้นอย่างปลอดภัย เช่น การเปลี่ยน default password, เลือกเข้ารหัสข้อมูลที่สำคัญ และอัพเดตแพทซ์อย่างสม่ำเสมอ เป็นต้น
3. การจัดการเมื่อเกิดเหตุผิดปกติ: ในฐานะผู้ใช้ ไม่ว่าจะเพื่อการใช้งานส่วนตัวหรือใช้สำหรับองค์กร เมื่อเกิดเหตุผิดปกติขึ้นนั้นผู้ใช้จะเป็นคนแรก ๆ ที่รับรู้ถึงความผิดปกติที่เกิดขึ้น ดังนั้นผู้ใช้ควรจะทราบว่าเมื่อเกิดเหตุผิดปกติขึ้นจะต้องแจ้งเหตุกับใครหรือต้องทำอย่างไรบ้าง (รวมถึงวิธีการติดต่อกับผุ้ผลิต) เหมือนกับตอนขึ้นเครื่องบิน ผู้โดยสารก็ต้องรู้ว่าทางออกฉุกเฉินอยู่ไหน และต้องทำอย่างไรเมื่อเกิดเหตุผิดปกติขึ้น
4. การเข้าใจสิทธิของผู้ใช้: เรื่องนี้ต้องยอมรับว่าผู้ผลิตส่วนใหญ่ชอบให้ผู้ใช้ติ๊ก Agreed ให้ผู้ผลิตสามารถเข้าถึงข้อมูลของผู้ใช้ก่อนจึงจะสามารถใช้งานซอฟต์แวร์หรืออุปกรณ์ IoT ได้ ซึ่งหากมองเผิน ๆ ก็ดูเหมือนไม่มีอะไร แต่ถ้าบรรดาข้อมูลที่เก็บจากบรรดาอุปกรณ์อัจฉริยะเหล่านี้อยู่ในมือของคนอื่นแล้วคุณจะแน่ใจได้อย่างไรว่าตัวคุณนั้นปลอดภัย เช่น ถ้าคนร้ายสามารถแฮกบริษัทผุ้ผลิตอุปกรณ์ IoT ที่คุณใช้งานอยุ่จนสามารถรู้ที่อยู่ของคุณแล้วตามมาทำร้ายคุณ แล้วใครจะรับผิดชอบกับชีวิตของคุณ
ที่มา : นิตยสาร Enterprise ITPro
