ตอนนี้ วงการความมั่นคงปลอดภัยทางไซเบอร์ทั่วโลกต่างจับตามองสถานการณ์ของโปรแกรม Common Vulnerabilities and Exposures หรือ CVE อย่างใกล้ชิด หลังจากมีคำเตือนว่าเงินทุนสนับสนุนจากรัฐบาลสหรัฐฯ ซึ่งบริหารจัดการโดยองค์กร MITRE กำลังจะหมดลง
โชคดีที่หน่วยงาน CISA ของสหรัฐฯ ได้ต่ออายุสัญญาออกไปอีก 11 เดือนในนาทีสุดท้าย ทำให้โปรแกรมสำคัญนี้ยังคงดำเนินต่อไปได้ แต่เหตุการณ์นี้ก็จุดประกายคำถามสำคัญว่า ทำไมเราจึงต้องกังวลเกี่ยวกับ CVE และผลกระทบที่อาจเกิดขึ้นคืออะไรกันแน่
CVE เปรียบเสมือนตัวติดตามบั๊กสากล มันคือมาตรฐานที่ใช้กันทั่วโลกในการระบุชื่อและให้คำจำกัดความของช่องโหว่ด้านความปลอดภัยที่เปิดเผยต่อสาธารณะ ทำให้บริษัทเทคโนโลยี นักวิจัยความปลอดภัย และแม้แต่ผู้ไม่หวังดี สามารถสื่อสารและอ้างอิงถึงช่องโหว่ตัวเดียวกันได้อย่างชัดเจนและแม่นยำ ลดความสับสนและเพิ่มประสิทธิภาพในการประสานงานเพื่อแก้ไขปัญหา
หากระบบ CVE เกิดหยุดชะงักหรือขาดความต่อเนื่อง ผลกระทบจะแผ่ขยายเป็นวงกว้าง ซึ่งผู้เชี่ยวชาญออกมาเตือนว่า การไม่มีมาตรฐานกลางในการอ้างอิงช่องโหว่ จะทำให้การประสานงานด้านความปลอดภัยไซเบอร์ทั่วโลกช้าลงอย่างมาก และผลที่ตามมาอื่น ๆ คือ
ผลกระทบต่อองค์กรธุรกิจ
– ความเสี่ยงทางไซเบอร์ เสี่ยงต่อการถูกผู้ไม่หวังดีใช้ช่องโหว่ (CVEs) เป็นช่องทางในการโจมตีระบบเครือข่ายและข้อมูล
– ข้อมูลรั่วไหล ข้อมูลสำคัญทางธุรกิจ ข้อมูลลูกค้า หรือความลับทางการค้าอาจถูกขโมยหรือเปิดเผยสู่สาธารณะ
– การหยุดชะงักทางธุรกิจ ระบบงานสำคัญอาจหยุดทำงาน ทำให้การดำเนินงานหยุดชะงัก เกิดความเสียหายต่อรายได้และการบริการลูกค้า
– ความเสียหายต่อชื่อเสียง การถูกโจมตีหรือข้อมูลรั่วไหลส่งผลกระทบอย่างรุนแรงต่อความน่าเชื่อถือและความไว้วางใจของลูกค้าและคู่ค้า
– เกิดค่าใช้จ่ายสูงเพิ่มมากขึ้น ทั้งค่าใช้จ่ายในการตรวจสอบ แก้ไข กู้คืนระบบ และอาจรวมถึงค่าปรับทางกฎหมาย หรือค่าชดเชยความเสียหาย
– ปัญหาด้านกฎระเบียบ ที่อาจไม่สามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลตามกฎหมายหรือมาตรฐานอุตสาหกรรมได้
ผลกระทบต่อคนทั่วไป
– ข้อมูลส่วนตัวถูกขโมย เลขบัตรประชาชน ข้อมูลทางการเงิน รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่นๆ อาจถูกขโมยและนำไปใช้ในทางที่ผิด (เช่น สวมรอยทางการเงิน, Identity Theft)
– อุปกรณ์ติดมัลแวร์ คอมพิวเตอร์ โทรศัพท์มือถือ หรืออุปกรณ์ IoT อาจติดไวรัส สปายแวร์ หรือแรนซัมแวร์โปรแกรมเรียกค่าไถ่ผ่านช่องโหว่ที่ได้รับการแก้ไขช้า
– บัญชีออนไลน์ถูกแฮ็ก ทั้งบัญชีโซเชียลมีเดีย อีเมล หรือบริการธนาคารออนไลน์ อาจถูกเข้าควบคุมโดยไม่ได้รับอนุญาต
– ตกเป็นเหยื่ออาชญากรรมไซเบอร์ อาจถูกหลอกลวงหรือฉ้อโกงได้ง่ายขึ้น หากผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่
(แต่คนไทยคงไม่รู้สึกอะไรมากแหละมั้ง เพราะข้อมูลเราถูกขายกันเป็นว่าเล่นไปแล้ว หยอก ๆ )
ผลกระทบจากปัญหาของระบบ CVE ไม่ได้จำกัดอยู่แค่ในกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยเท่านั้น แต่ยังส่งผลถึงทุกคนที่ใช้เทคโนโลยี บริษัทเทคโนโลยียักษ์ใหญ่ เช่น Apple และ Microsoft ที่ใช้ CVE ในการแจ้งเตือนเรื่องความปลอดภัย ผู้ให้บริการเครื่องมือด้านความปลอดภัย ทีมรับมือเหตุการณ์ฉุกเฉิน หน่วยงานภาครัฐ และผู้ดูแลโครงสร้างพื้นฐานสำคัญ ล้วนพึ่งพาระบบนี้ในการทำงานทั้งสิ้น หากระบบนี้มีปัญหา ความมั่นคงปลอดภัยของระบบที่พวกเขาดูแลก็จะสั่นคลอนตามไปด้วย
แม้ว่าขณะนี้ระบบ CVE จะได้รับเงินทุนต่ออายุไปอีก 11 เดือน และมีการก่อตั้ง CVE Foundation ขึ้นเพื่อเป็นทางเลือกในการสร้างความยั่งยืนและความเป็นกลางในระยะยาวเพื่อเป็นแผนสำรองแล้ว แต่สถานการณ์ในอนาคตก็ยังคงมีความไม่แน่นอน
เหตุการณ์ครั้งนี้ตอกย้ำให้เห็นถึงความสำคัญอย่างยิ่งยวดของระบบ CVE ในฐานะโครงสร้างพื้นฐานสำคัญของระบบนิเวศความมั่นคงปลอดภัยทางไซเบอร์ทั่วโลก ซึ่งมันได้กระตุ้นให้ทุกฝ่ายที่เกี่ยวข้องต้องหันมาให้ความสำคัญกับการสร้างความมั่นคงและยั่งยืนให้กับโปรแกรมนี้ต่อไป
บางคนอาจสงสัยว่า แล้ว CVE Foundation จะหาเงินทุนจากไหน ในเมื่อ สหรัฐอาจเลิกสนับสนุนในอนาคต ? ต้องบอกว่า เป้าหมายสำคัญของการตั้ง CVE Foundation ก็คือการสร้างความหลากหลายของแหล่งเงินทุนและลดการพึ่งพิงเงินสนับสนุนจากรัฐบาลสหรัฐฯ เพียงแหล่งเดียว เพื่อให้โปรแกรมมีความยั่งยืน เป็นอิสระ และเป็นกลางมากขึ้น ซึ่งอาจจะได้รับเงินทุนต่าง ๆ โดยเป็น ค่าสมาชิกจากบริษัทเทคโนโลยีต่าง ๆ ที่ต้องพึ่งพาระบบนี้ เงินบริจาคและการสนับสนุนจากภาคเอกชน เงินช่วยเหลือหรือทุนวิจัยจากองค์กรระหว่างประเทศ และความร่วมมือจากพันธมิตรครับ
ที่มา
