CISA หน่วยงานไซเบอร์สหรัฐฯ ยอมรับ ไม่ได้เตรียมแผนรับมือ หลังพนักงานทำข้อมูลล็อกอินรั่วบน GitHub
หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) เปิดเผยว่าต้องสร้างแผนรับมือเหตุการณ์ฉุกเฉินขึ้นมาระหว่างที่เกิดเหตุจริง หลังผู้รับเหมาทำข้อมูลลับสำหรับเข้าระบบรัฐบาลรั่วไหลสู่สาธารณะบน GitHub
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency หรือ CISA) ได้เปิดเผยบทเรียนสำคัญจากเหตุการณ์ความปลอดภัยที่เกิดขึ้นภายในองค์กรเอง โดยยอมรับว่าหน่วยงานไม่ได้เตรียม "แผนรับมือ" (playbook) สำหรับสถานการณ์ที่ข้อมูลลับถูกเปิดเผยสู่สาธารณะบนแพลตฟอร์มคลาวด์โดยเฉพาะ ส่งผลให้ทีมงานต้องสร้างแผนขึ้นมาระหว่างที่กำลังเผชิญหน้ากับวิกฤตการณ์จริง เหตุการณ์นี้ได้กลายเป็นกรณีศึกษาที่ตอกย้ำว่า แม้แต่องค์กรระดับแถวหน้าด้านความมั่นคงปลอดภัยไซเบอร์ก็อาจมีช่องว่างในการเตรียมความพร้อมได้
จาก GitHub สู่โต๊ะทำงาน CISA: เส้นทางข้อมูลรั่วที่ถูกค้นพบโดยบุคคลภายนอก
จุดเริ่มต้นของเหตุการณ์นี้ย้อนกลับไปเมื่อเดือนพฤษภาคม เมื่อนักวิจัยด้านความปลอดภัยจากบริษัท GitGuardian ซึ่งเชี่ยวชาญด้านการตรวจจับข้อมูลลับที่รั่วไหลในโค้ดโปรแกรม ได้ตรวจพบข้อมูลที่ละเอียดอ่อนจำนวนมากถูกอัปโหลดขึ้นไปบน GitHub ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับนักพัฒนาในการจัดเก็บและจัดการโค้ด
ข้อมูลที่รั่วไหลประกอบด้วยคีย์และข้อมูลสำหรับยืนยันตัวตน (credentials) ที่สามารถใช้เข้าถึงระบบต่างๆ ของรัฐบาลสหรัฐฯ ได้ ถูกบรรจุอยู่ใน repository (พื้นที่เก็บโค้ด) ที่ตั้งค่าเป็นสาธารณะ ทำให้ใครก็ตามสามารถเข้าถึงได้ จากการตรวจสอบพบว่า ผู้ที่อัปโหลดข้อมูลดังกล่าวคือพนักงานของผู้รับเหมา (contractor) ที่ทำงานให้กับ CISA ซึ่งสะท้อนถึงความเสี่ยงที่สำคัญในห่วงโซ่อุปทาน (supply chain) ด้านเทคโนโลยี
สิ่งที่น่ากังวลคือ เมื่อนักวิจัยจาก GitGuardian พยายามติดต่อแจ้งเตือนไปยังบริษัทผู้รับเหมาโดยตรง กลับไม่ได้รับการตอบสนองใดๆ เรื่องราวจึงถูกส่งต่อไปยัง Brian Krebs นักข่าวอิสระสายสืบสวนด้านความปลอดภัยไซเบอร์ชื่อดัง ซึ่งเป็นผู้ที่ติดต่อไปยัง CISA โดยตรงในเวลาต่อมา และภายหลังจากได้รับการติดต่อจากนักข่าวแล้วเท่านั้น CISA จึงเริ่มดำเนินการตอบสนองอย่างเต็มรูปแบบ ด้วยการนำ repository ที่มีปัญหาออกจากระบบ และเร่งทำการเพิกถอนหรือเปลี่ยนแปลงข้อมูลลับทั้งหมดที่รั่วไหลออกไปเพื่อตัดวงจรความเสียหาย
บทเรียนราคาแพง: เมื่อผู้สร้าง 'Playbook' ไม่มี Playbook ของตัวเอง
ประเด็นที่สร้างความประหลาดใจและกลายเป็นหัวใจสำคัญของข่าวนี้ คือคำสารภาพของ CISA ในรายงานสรุปบทเรียนหลังเหตุการณ์ (post-mortem report) ที่เผยแพร่ในเวลาต่อมา โดยหน่วยงานยอมรับอย่างตรงไปตรงมาว่า "พลาดในการสร้าง GitHub/Cloud playbook มาก่อน" สำหรับรับมือสถานการณ์ลักษณะนี้โดยเฉพาะ ส่งผลให้เจ้าหน้าที่ต้อง "ใช้เวลาสร้าง [playbook] ในช่วงเริ่มต้นของเหตุการณ์"
สถานการณ์ดังกล่าวถือเป็นเรื่องที่น่าขบคิดอย่างยิ่ง เนื่องจาก CISA คือหน่วยงานหลักที่ทำหน้าที่ให้คำแนะนำ รณรงค์ และผลักดันให้องค์กรต่างๆ ทั้งภาครัฐและเอกชนทั่วสหรัฐฯ ตระหนักถึงความสำคัญของการมีแผนรับมือเหตุการณ์ทางไซเบอร์ (Incident Response Playbook) ที่ครอบคลุมและซักซ้อมมาเป็นอย่างดี การที่หน่วยงานเองกลับไม่มีแผนสำหรับสถานการณ์พื้นฐานอย่างการรั่วไหลของข้อมูลบนแพลตฟอร์มคลาวด์ยอดนิยม จึงเป็นเครื่องเตือนใจว่าช่องโหว่ไม่ได้มีอยู่แค่ในซอฟต์แวร์ แต่อาจอยู่ในกระบวนการทำงานและการวางแผนขององค์กรได้เช่นกัน
อย่างไรก็ตาม ในรายงานฉบับเดียวกัน CISA ยืนยันว่าจากการตรวจสอบทางเทคนิคอย่างละเอียดหลังเกิดเหตุ ไม่พบหลักฐานว่ามีผู้ไม่หวังดีนำข้อมูลที่รั่วไหลไปใช้ประโยชน์ในทางที่ผิด และยืนยันว่าไม่มีข้อมูลของลูกค้าหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ได้รับผลกระทบจากเหตุการณ์ครั้งนี้
ช่องโหว่ไม่ได้มีแค่ในซอฟต์แวร์ แต่คือกระบวนการ
เหตุการณ์ของ CISA เป็นอุทาหรณ์ชิ้นสำคัญสำหรับทุกองค์กร ไม่เว้นแม้แต่ในประเทศไทย ที่ว่าการรักษาความมั่นคงปลอดภัยไซเบอร์ไม่ได้จบแค่การมีเทคโนโลยีป้องกันที่ดีที่สุด แต่ยังรวมถึงการมี "กระบวนการ" ที่รัดกุมและแผนรับมือที่พร้อมใช้งานสำหรับทุกสถานการณ์ที่เป็นไปได้ การรั่วไหลครั้งนี้ไม่ได้เกิดจากการถูกแฮกที่ซับซ้อน แต่เกิดจากความผิดพลาดของบุคลากรในห่วงโซ่อุปทาน และถูกซ้ำเติมด้วยการขาดแผนรับมือที่เตรียมไว้ล่วงหน้า
บทเรียนที่สำคัญคือ องค์กรต้องมองภาพความเสี่ยงให้กว้างกว่าแค่เครือข่ายภายใน แต่ต้องครอบคลุมไปถึงคู่ค้าและผู้รับเหมาที่มีสิทธิ์เข้าถึงข้อมูลหรือระบบที่สำคัญ และที่สำคัญที่สุดคือ การมีแผนรับมือที่ "ใช้ได้จริง" ไม่ใช่แค่เอกสารที่ถูกเก็บไว้เฉยๆ การลงทุนสร้างและซักซ้อมแผนรับมืออาจดูเหมือนเป็นค่าใช้จ่ายที่ไม่ก่อให้เกิดรายได้ แต่ในวันที่เกิดเหตุการณ์ไม่คาดฝันขึ้นจริง มันคือเครื่องมือชิ้นสำคัญที่สุดที่จะช่วยจำกัดความเสียหายและทำให้องค์กรกลับสู่สภาวะปกติได้เร็วที่สุด ดังที่แม้แต่ CISA เองก็ได้เรียนรู้จากประสบการณ์ตรงในครั้งนี้
เหตุการณ์นี้เป็นเครื่องเตือนใจสำคัญว่า แม้แต่หน่วยงานระดับชาติที่รับผิดชอบด้านความปลอดภัยไซเบอร์ก็อาจมีช่องโหว่ในกระบวนการได้ และตอกย้ำความสำคัญของการมีแผนรับมือที่เตรียมไว้ล่วงหน้าสำหรับทุกสถานการณ์ ไม่ใช่แค่สร้างขึ้นเมื่อเกิดปัญหาแล้ว