เมื่อดาร์กเว็บไม่ใช่เรื่องไกลตัว: กลยุทธ์เชิงรุกเพื่อหยุดวิกฤตข้อมูลรั่วไหลขององค์กร

พรรณเพ็ญ วัยเจริญ

เว็บไซต์ของไอเอสโอได้นำเสนอบทความที่น่าสนใจ เรื่อง “ดาร์กเว็บคืออะไร  ตำนาน ความจริง และความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์” (What is the dark web? Myths, realities and cybersecurity risks) ซึ่งมีสาระสำคัญดังนี้

อันที่จริงแล้ว อินเทอร์เน็ตที่เราใช้กันทุกวันนี้คิดเป็นเพียง 4-5% ของโลกออนไลน์เท่านั้น  ส่วนที่เหลืออีกมากมายคือ “เว็บลึก” และ “ดาร์กเว็บ” ที่ซ่อนตัวอยู่ใต้พื้นผิวซึ่งเปรียบเสมือนภูเขาน้ำแข็งที่มีมวลส่วนใหญ่จมอยู่ใต้น้ำนั่นเอง ดังนั้น หากเปรียบอินเทอร์เน็ตเป็น “ภูเขาน้ำแข็ง” เราสามารถแบ่งระดับการเข้าถึงข้อมูลได้เป็น 3 ส่วนหลัก ดังนี้

1. เว็บพื้นผิว (Surface Web / Open Web) คือส่วนยอดของภูเขาน้ำแข็งที่พ้นน้ำ เป็นข้อมูลสาธารณะที่ Search Engine สามารถเข้าไปเก็บข้อมูลและทำดัชนีได้ ทำให้เราค้นพบได้ง่ายๆ ผ่านเว็บเบราว์เซอร์ทั่วไป เช่น เว็บไซต์ข่าว โซเชียลมีเดีย (หน้าสาธารณะ) และร้านค้าออนไลน์ซึ่งมีสัดส่วน 4-5%
2. เว็บลึก (Deep Web) คือส่วนของภูเขาน้ำแข็งที่อยู่ใต้น้ำ ซึ่ง Search Engine เข้าไปไม่ถึง ข้อมูลเหล่านี้ไม่ใช่เรื่องผิดกฎหมายแต่เป็นข้อมูลส่วนตัวที่ต้องใช้สิทธิ์เข้าถึง เช่น ระบบธนาคารออนไลน์ อีเมลส่วนตัว ฐานข้อมูลโรงพยาบาล หรือหน้าเว็บที่ต้องล็อกอินผ่านรหัสผ่าน (Paywall) ซึ่งมีสัดส่วน 90-95%
3. ดาร์กเว็บ (Dark Web) คือส่วนที่ลึกที่สุดของภูเขาน้ำแข็งและเป็น Subset หนึ่งของ Deep Web ที่ถูกตั้งใจปกปิดตัวตนและเข้าถึงได้ผ่านซอฟต์แวร์เฉพาะอย่าง Tor Browser เท่านั้นโดยใช้โดเมนเฉพาะ ดังตัวอย่าง .onion (เช่น onion) ซึ่งมีสัดส่วนน้อยกว่า 1% พื้นที่นี้มักถูกใช้ในทางที่ผิด เช่น ตลาดมืดชื่อดังอย่าง Dream Market หรือเคสที่เคยเกิดขึ้นในไทยอย่างการทลายเครือข่าย AlphaBay เมื่อปี 2560 (ค.ศ.2017) ซึ่งแสดงให้เห็นว่าแม้จะซ่อนตัวได้เก่งแค่ไหน แต่เจ้าหน้าที่รัฐก็มีวิธีติดตามตรวจสอบได้อยู่ดี

อันตรายที่ซุ่มซ่อนอยู่ในทุกคลิก
แม้ดาร์กเว็บจะมีประโยชน์ในแง่ของการปกปิดตัวตนสำหรับนักข่าวหรือผู้เปิดเผยความลับ (Whistleblowers) แต่สำหรับองค์กรทั่วไป มันคือสวรรค์ของอาชญากรที่เต็มไปด้วยอันตราย ไม่ว่าจะเป็นมัลแวร์และแรนซัมแวร์ที่ซ่อนตัวในไฟล์แนบและลิงก์ พร้อมล็อกระบบเพื่อเรียกค่าไถ่ ตลาดมืดข้อมูล (Data Trading) อย่างบัตรเครดิต รหัสผ่าน และข้อมูลลับขององค์กรถูกซื้อขายเหมือนสินค้าทั่วไป  ฟิชชิ่งและการฉ้อโกง เช่น ร้านค้าปลอมที่หายวับไปพร้อมเงินลูกค้า ดังเช่นกรณีการล่มสลายของ AlphaBay เมื่อปี 2560 ที่สะเทือนเศรษฐกิจใต้ดินไปทั้งระบบ หรือกับดักน้ำผึ้ง (Honey Pots) ซึ่งเป็นการสวมรอยโดยหน่วยงานบังคับใช้กฎหมายและอาจทำให้ผู้ที่เข้าไปโดยไม่ระวังติดร่างแหไปด้วย

จุดเปลี่ยนจากการไล่ตามสู่การป้องกันเชิงรุก
การสแกนดาร์กเว็บเพื่อหาข้อมูลที่รั่วไหลไปแล้วนั้นเป็นเพียง “การตามล้างตามเช็ด” คำถามที่สำคัญกว่าคือ เราจะสร้างกำแพงอย่างไรไม่ให้ข้อมูลรั่วไหลตั้งแต่แรก คำตอบคือการนำมาตรฐานสากล ISO/IEC 27000 Series มาใช้เป็นเกราะป้องกันอย่างเป็นระบบ ดังนี้

1. มาตรฐาน ISO/IEC 27001 Information security, cybersecurity and privacy protection — Information security management systems — Requirements ระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศซึ่งถือเป็นรากฐานที่แข็งแกร่งซึ่งวางโครงสร้างระบบการจัดการความปลอดภัยให้ครอบคลุมทั้งองค์กร
2. มาตรฐาน ISO/IEC 27002 Information security, cybersecurity and privacy protection — Information security controls ความปลอดภัยของข้อมูล ความปลอดภัยทางไซเบอร์ และการคุ้มครองความเป็นส่วนตัว — การควบคุมความปลอดภัยของข้อมูลซึ่งถือเป็นรากฐานที่แข็งแกร่งที่ครอบคลุมมาตรการควบคุมกว่า 93 รายการ เช่น การเข้ารหัส การสำรองข้อมูล และการจัดการสิทธิ์เข้าถึง
3. มาตรฐาน ISO/IEC 27005 Information security, cybersecurity and privacy protection — Guidance on managing information security risks แนวทางการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลซึ่งเปรียบเสมือนแผนที่นำทางในการเน้นการบริหารความเสี่ยงที่ช่วยระบุจุดอ่อนและควรลงทุนป้องกันจุดใดก่อนอย่างคุ้มค่า
4. รายงานทางเทคนิควิชาการ ISO/IEC TR 27103 Information technology — Security techniques — Cybersecurity and ISO and IEC Standards เทคโนโลยีสารสนเทศ — เทคนิคการรักษาความปลอดภัย — ความปลอดภัยทางไซเบอร์และมาตรฐาน ISO และ IEC ซึ่งเปรียบเสมือนผู้ประสานงานที่ช่วยเชื่อมโยงมาตรฐานต่างๆ เข้ากับกรอบความมั่นคงปลอดภัยทางไซเบอร์เพื่อการระบุ การป้องกัน การตรวจจับ การตอบสนอง และการฟื้นฟูอย่างเป็นรูปธรรม

ในโลกที่ข้อมูลคือสินทรัพย์ที่มีค่าที่สุด อาชญากรไซเบอร์ไม่ได้ทำงานคนเดียว แต่ทำงานเป็นเครือข่ายที่มีเครื่องมือล้ำสมัย การต่อสู้ที่แท้จริงจึงไม่ใช่การวิ่งไล่จับอาชญากร แต่เป็นการสร้างบ้านที่แข็งแรงจนขโมยไม่อยากเข้าใกล้  และมาตรฐาน ISO/IEC ดังกล่าวคือตัวช่วยอันเปรียบเสมือนโล่ดิจิทัลที่เสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ได้อย่างมีประสิทธิผล การผสานรวมมาตรฐานเหล่านี้เข้ากับองค์กร ไม่เพียงแต่ช่วยป้องกันภัยคุกคามเท่านั้น แต่ยังสามารถสร้างความเชื่อมั่นทางดิจิทัล (Digital Trust) ให้กับลูกค้าและพันธมิตรในระยะยาวด้วย

ท่านที่สนใจขอรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศหรือก้าวสู่การเป็นผู้นำด้านความมั่นคงปลอดภัยของข้อมูลอย่างยั่งยืน สามารถติดต่อได้ที่สถาบันรับรองมาตรฐานไอเอสโอ ฝ่ายรับรองระบบ โทรศัพท์ 026171723 – 36  Email: [email protected] 

ที่มา:   

1. https://www.iso.org/information-security/dark-web#toc1
2. https://www.bbc.com/thai/international-40702712

 

 2,033 ผู้เข้าชมทั้งหมด