“ถ้าผู้ดูแลระบบตกเป็นผู้ต้องสงสัย ผู้บริหารควรทำอย่างไร”
เกลือเป็นหนอน เป็นสำนวนไทยที่หมายถึงคนในองค์กรหรือคนที่เราไว้วางใจกลายเป็นไส้ศึกหรือตัวการทำให้องค์กรเกิดความเสียหาย ในภาษาอังกฤษเราเรียกว่า Insider Threat
ถ้าจะถามว่าความเสียหายจากการถูกแฮกนั้น หากเกิดขึ้นจากแฮกเกอร์ภายนอกกับเกิดขึ้นจากคนภายในเอง เชื่อได้เลยครับ ว่าคนใน สามารถก่อความเสียหายได้มากกว่า เนื่องจากรู้ระบบภายในเป็นอย่างดี และรู้ช่องโหว่ต่างๆ ทั้งทางเทคนิคและการบริหารจัดการ ดังนั้นหากคนในคิดจะทำอะไรไม่ดี ย่อมทำได้สะดวกกว่า และสร้างความเสียหายได้มากกว่า
ขอเล่าจากประสบการณ์ตรงของผู้เขียน ที่เคยได้รับมอบหมายให้เข้าไปทำการสืบสวนหาข้อเท็จจริงที่เกิดขึ้นกับโรงพยาบาลเอกชนแห่งหนึ่งในประเทศไทย โดยโรงพยาบาลนั้นประสบเหตุระบบเวชระเบียนของโรงพยาบาลถูกลบทิ้ง และเมื่อนำข้อมูล backup กลับมาใส่ใหม่ก็โดนลบอีกอยู่แบบนั้นถึง 3 รอบ ผู้บริหารโรงพยาบาลจึงต้องการให้มีผู้เชี่ยวชาญ เข้ามาตรวจสอบหาข้อเท็จจริงว่าเกิดอะไรขึ้นและใครเป็นผู้กระทำ และต้องการหลักฐานที่ชัดเจนเพื่อมัดตัวผู้กระทำความผิด
ความท้าทายของกรณีนี้คือ หนึ่งในผู้ต้องสงสัยคืออาจจะเป็นใครก็ได้ในทีม IT ที่ดูแลระบบงานของโรงพยาบาล ดังนั้นการเข้าไปขอความร่วมมือโดยตรงและขอพยานหลักฐานคงไม่ใช่เรื่องง่าย จึงต้องมีการทำ cover operation โดยมีผู้บริหารที่รับรู้และให้การอนุญาต cover operation คือการแสร้งว่าเข้าไปดำเนินการเรื่องหนึ่งแต่จริงๆ แล้วมีเป้าหมายที่จะดำเนินการอีกภาระกิจหนึ่ง ในครั้งนั้น cover operation คือการเข้าไปเก็บข้อมูลเพื่อวิเคราะห์ performance ของ server แต่จริงๆ เป็นการเก็บรวบรวมพยานหลักฐานเพื่อนำมาวิเคราะห์เหตุการณ์เพื่อให้ทราบถึงข้อเท็จจริงที่เกิดขึ้นกับระบบและหาหลักฐานที่ชี้ตัวผู้กระทำความผิดได้
จากการดำเนินการดังกล่าวทำให้ได้มาซึ่งข้อมูลที่บ่งชี้ได้ว่า ผู้กระทำน่าจะต้องเป็นคนในอย่างแน่นอน เนื่องจากชุดคำสั่งที่ใช้ เป็นการใช้คำสั่งที่ถูกต้องเป๊ะๆ ทุกคำสั่ง ไม่มีการค้นหาหรือทดลองอะไร แต่รู้เลยว่าไฟล์ที่ต้องการจะเข้าถึงหรือจะลบ อยู่ที่ไหนอย่างไร ซึ่งคนที่จะทำได้แบบนี้คือคนที่ต้องอยู่หน้างานและทำสิ่งนั้นอยู่ทุกวัน ผมจึงได้ทำการสอบถามกับทางผู้บริหารว่าน่าจะมีความเป็นไปได้หรือไม่ที่เมื่อไม่นานมานี้มีการเปลี่ยนผู้บริหารหรือนโยบายอันอาจสร้างความไม่พอใจให้กับพนักงาน ซึ่งก็พบว่ามีจริงๆ คือทางโรงพยาบาลเพิ่งรับผู้บริหารด้าน IT เข้ามาใหม่ และคงเกิดความขัดแย้งกับพนักงาน IT คนหนึ่งของโรงพยาบาล และก่อนเกิดเหตุก็เพิ่งมีพนักงาน IT คนหนึ่งที่ดูแลระบบดังกล่าวลาออกไป เหตุการณ์ลักษณะนี้เรียกว่า disgruntle employee หรือการที่พนักงานไม่พอใจ ซึ่งการกระทำดังกล่าวถือว่าขาดจริยธรรมอย่างรุนแรง เนื่องจากการกระทำดังกล่าวนั้น ไม่ได้ส่งผลต่อผู้บริหารที่มีปัญหาด้วยเท่านั้น แต่ส่งผลกระทบกับผู้ป่วยที่มาใช้บริการกับโรงพยาบาลทั้งหมด
จากเหตุการณ์นี้มีบทเรียนหลายอย่าง เช่นภัยจากภายในมีอยู่จริงและมีผลกระทบที่รุนแรง การให้สิทธิ์ในการเข้าถึงระบบโดยไม่ต้องได้รับการอนุญาตหรือขาดกระบวนการ check and balance ที่ดี อาจนำมาซึ่งปัญหาได้ กระบวนการสืบสวนที่อาจมี stakeholder เป็นผู้ต้องสงสัย จำเป็นต้องใช้กลยุทธ์ cover operation เพื่ออำพลางภาระกิจ สุดท้ายอยากฝากให้ผู้บริหารทุกท่านตลอดจนเจ้าของกิจการทั้งหลายพิจารณาถึงกระบวนการบริหารจัดการและการกำกับดูแลตามมาตรฐานสากล และการมีผู้เชี่ยวชาญที่มีประสบการณ์คอยให้คำปรึกษา จะช่วยลดความเสี่ยงและความเสียหายจากภัยคุกคามทางไซเบอร์ได้ครับ
ขอให้ทุกท่านอยู่รอดปลอดภัยบนโลกไซเบอร์ครับ