วรากรณ์ สามโกเศศ เรื่อง
WannaCry เป็นโปรแกรม ransomware ที่ทำให้คนได้รับ Want to Cry จริงๆ เพราะหากไม่จ่ายเงินค่าไถ่เพื่อแลกกับการถอดรหัสแล้ว ก็เข้าถึงข้อมูลของตนเองไม่ได้ หรือไม่ก็คอมพิวเตอร์หรือระบบคอมพิวเตอร์ของตนจะไม่ทำงาน ใครที่กลัวก็ขอบอกว่าไม่ต้องกลัว ไม่ใช่ว่าต่อไปจะปลอดภัยขึ้น แต่จะยิ่งด้านชาต่างหาก เพราะภัยไซเบอร์จะหนักข้อมากขึ้นทุกที
ในโลกนี้คอมพิวเตอร์นั้นไม่มีวันปลอดภัยร้อยเปอร์เซ็นต์
WannaCry เป็น malware (mal ในภาษาละติน หมายถึง bad ส่วน ware ก็มาจาก software หรือ hardware) ซึ่งมีจุดมุ่งหมายชั่วร้าย ผู้สร้างและนำมาใช้ถือว่าเป็นอาชญากรรม ผลที่เกิดขึ้นอาจหมายถึงความตายของผู้คน เพราะมันมิได้ทำเพียงแค่เรียกค่าไถ่ ขโมยข้อมูลบัตรเครดิต แต่มีผลกระทบถึงคนไข้ใน ICU ตลอดจนเลือดที่เก็บ การทำงานของหุ่นยนต์ทั้งผ่าตัดและตรวจรักษา ทั้งหมดล้วนอาศัยการทำงานของคอมพิวเตอร์ทั้งสิ้น
แววการเกิดของ WannaCry นั้นมีมานาน การที่ WannaCry ทำงานได้ก็เพราะมีการแฮก (hack คือการใช้คอมพิวเตอร์เป็นเครื่องมือเพื่อเข้าไปถึงข้อมูลในระบบโดยมิได้รับอนุญาต) และการแฮกเกิดขึ้นอย่างกว้างขวาง ในปี 2016 โจรไซเบอร์ (cyber หมายถึงเกี่ยวพันกับคอมพิวเตอร์) ขโมยเงิน 81 ล้านเหรียญสหรัฐจากธนาคารกลางของบังคลาเทศ / CIA ถูกแฮก / อีเมลของพรรคเดโมแครตในสหรัฐอเมริกาถูกแฮก เช่นเดียวกับข้อมูลสื่อสารของสถานทูตสหรัฐในหลายประเทศ นอกจากนี้ก็เชื่อกันว่ารัสเซียมีบทบาทในการแทรกแซงการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาผ่านการแฮกอีกด้วย
การแฮกที่เลวร้ายและนำมาซึ่ง WannaCry ก็คือ ในเดือนสิงหาคม 2016 National Security Agency (NSA) ของสหรัฐอเมริกาสร้างเครื่องมือแฮกนี้ขึ้นมาเพื่อโจมตีคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft Windows โดยมีวัตถุประสงค์เพื่อโจรกรรม
เรื่องนี้ถูกนำมาเปิดเผยในอินเทอร์เน็ตโดยแฮกเกอร์ระดับโลก และไม่กี่เดือนต่อมา เครื่องมือ WannaCry ซึ่งถูกแฉออนไลน์ในครั้งนั้นก็ปรากฏตัวขึ้น โจมตีประเทศทั่วโลกกว่า 200 ประเทศ
การแฮกเกิดขึ้นได้ก็เพราะ soft ware program ชนิดยาวเหยียด ซึ่งเป็นคำสั่งของระบบปฏิบัติการ (Operating System หรือ OS) ของคอมพิวเตอร์ มีจุดบกพร่อง แฮกเกอร์ก็ใช้จุดอ่อนนั้นเข้าโจมตี
อุปมาเสมือนกับว่าระบบปฏิบัติการคือคำสั่งเป็นตัวอักษรอันยาวเหยียดว่ากองทัพจะเดินทางไปโจมตีข้าศึกอย่างไร คำสั่งนั้นละเอียดยิบทุกขั้นตอนสำหรับทุกคน อย่างไรก็ดี ถ้าบางส่วนในคำสั่งนั้นเขียนไว้กำกวม บอกลอยๆ ว่าให้ครึ่งหนึ่งของกองทัพเดินลงต่ำโดยไม่ระบุชัดเจนว่าใครเป็นคนสั่ง เสมียนจารชนก็จะแอบเขียนแทรกไปว่าให้นาย ก. ซึ่งเป็นพวกกัน เป็นคนสั่งและสั่งให้ไปโดดน้ำ
การเข้าไปแทรกแซงโดยไม่ได้รับอนุญาตเกิดขึ้นได้ตราบที่มีข้อบกพร่องอยู่ ถ้าทั้งหมดรัดกุมไม่มีช่องโหว่ให้เข้าไปแทรกแซงได้ การแฮกก็ไม่เกิดขึ้น แต่ธรรมชาติของคำสั่งอันละเอียดทุกขั้นตอน ทุกระดับ ทุกการกระทำ ของทุกคน ย่อมมีความกำกวม ไม่ชัดเจนอยู่บ้างเป็นธรรมดา
ลักษณะธรรมชาติเช่นนี้แหละที่เป็นบ่อเกิดของความไม่ปลอดภัยของคอมพิวเตอร์
ระบบปฏิบัติการ คือระบบ software ซึ่งบริหารจัดการ hardware ของเครื่องคอมพิวเตอร์ ตลอดจนใช้ software เพื่อให้บริการร่วมกันโดยเป็นคำสั่งให้คอมพิวเตอร์ทำงาน ถ้าขาดระบบปฏิบัติการแล้ว คอมพิวเตอร์จะทำงานไม่ได้
ส่วน firmware นั้นคือ software ซึ่งควบคุม ติดตาม จัดการข้อมูลของเครื่องมืออิเล็กทรอนิกส์ (เป็นคอมพิวเตอร์เช่นกัน) เพื่อให้ทำงานในลักษณะพิเศษตามที่ต้องการ เช่น ในโทรศัพท์มือถือหรือกล้องดิจิทัล ก็มี firmware หรือ software ฝังตัวอยู่โดยจะทำงานประสานกับระบบปฏิบัติการโดยมี software เป็นตัวสั่ง เช่น ส่ง SMS เก็บข้อมูลเบอร์โทรศัพท์ ดูภาพเคลื่อนไหว ฯลฯ
นิตยสาร The Economist เปิดเผยว่า ข้อมูลภาพรวมในปี 2015 ของ Google นั้นต้องจัดการโค้ดประมาณ 2,000 ล้านบรรทัด หรือการเขียน software program สำหรับสินค้าทั้งหมด โดยโปรแกรมทั้งหมดนี้ต้องทำงานร่วมกับระบบปฏิบัติการ (OS) ซึ่งซับซ้อนอย่างยิ่งอยู่แล้วในตัวของมันเอง ดังนั้นจุดอ่อนหรือจุดบกพร่องก็ต้องเกิดขึ้นเป็นธรรมดา ใครที่พบจุดอ่อนนี้ก็สามารถจะเข้าไปแฮกได้เพื่อให้เกิดผลต่างๆ ตามปรารถนา เช่น ให้ข้อมูลผิด เครื่องรวนเร หยุดทำงาน เข้าถึงข้อมูลไม่ได้ ล้วงข้อมูลออกมา
Linux ซึ่งเป็น OS ที่ใช้กันกว้างขวางมีโค้ด 20.3 ล้านบรรทัด ส่วนระบบปฏิบัติการล่าสุดของ Microsoft Windows มีประมาณ 50 ล้านบรรทัด ด้านระบบ Android ซึ่งโทรศัพท์มือถือจำนวนมากใช้ OS ประกอบด้วยโค้ดประมาณ 1.2 ล้านบรรทัด
นี่คือสาเหตุหลักว่าเหตุใดคอมพิวเตอร์จึงไม่ปลอดภัย หรือ cyber security ชนิดร้อยเปอร์เซ็นต์ไม่มีวันเกิดขึ้นได้ตราบที่ต้องเขียนโปรแกรมยาวนับล้านๆ บรรทัด
การทำให้แต่ละบรรทัดในจำนวนบรรทัดมากมายเหล่านี้มีปฏิสัมพันธ์กับบรรทัดที่เหลืออย่างสอดคล้องเหมาะสม และจำต้องสัมพันธ์กับชิ้นอื่นๆ ของ hardware และ software ด้วย เป็นสิ่งที่ยากมาก ดังนั้นจึงมักก่อให้เกิดจุดอ่อนขึ้นได้เสมอ
The Economist รายงานประมาณการของผู้เชี่ยวชาญว่าในการเขียน software ทุกๆ 1,000 บรรทัดนั้น จะพบความผิดพลาดประมาณ 5-50 บรรทัดเสมอ และถึงแม้จะแก้ไขจนเหลือเพียง 0.5 บรรทัดต่อทุก 1,000 บรรทัด ก็หมายความว่าในทุกโปรแกรมจะมีข้อผิดพลาดอยู่นับร้อยนับพันจุดเสมอ (นี่คือเหตุผลว่าทำไมจึงต้องมี update version อยู่บ่อยๆ) ซึ่งเท่ากับเป็นการสร้างความเป็นได้ในการถูกแฮกอยู่เสมอ
ความเป็นไปได้ของการถูกแฮกหรือความเสี่ยงใน cyber security นั้น หากพิจารณาก็จะเห็นว่าเป็นเรื่องธรรมดาเพราะความเสี่ยง (risk) อยู่ในทุกอณูของชีวิต เมื่อซื้อรถ ซื้อเครื่องใช้อิเล็กทรอนิกส์ หรือซื้อสินค้าใดๆ ก็มีความเสี่ยงด้วยกันทั้งสิ้นว่าจะซื้อสิ่งที่บกพร่องมา หรือใช้ได้ไม่ทนทาน ยิ่งความเสี่ยงในชีวิตด้วยแล้วมีอยู่ทุกแห่งหน ไม่ว่าจะย่างกรายไปที่ใดที่คิดว่าปลอดภัยที่สุดแล้วก็ยังมีความเสี่ยงต่อชีวิตเสมอ ประเด็นอยู่ว่ามีความเสี่ยงเท่าใด (จำข่าวที่เด็กเล็กเสียชีวิตขณะนอนอยู่ในบ้านเพราะโดนลูกกระสุนปืนที่ทะลุหลังคาสังกะสีลงมาได้ไหมครับ) และจะจัดการกับความเสี่ยงนั้นอย่างไร
คอมพิวเตอร์ที่ไร้ภัยจากการถูกโจมตี หรือ cyber security ที่สมบูรณ์ร้อยเปอร์เซ็นต์นั้นไม่มี เพราะธรรมชาติบังคับให้มันมีไม่ได้ อย่างไรก็ดี เราก็ไม่ควรยอมรับมันโดยดุษฎีภาพ เราต้องต่อสู้เพื่อให้ได้ความเสี่ยงที่น้อยที่สุดเท่าที่จะเป็นไปได้ โดยการเปลี่ยนพฤติกรรมของผู้อยู่ในธุรกิจนี้ที่เน้นการเจริญเติบโตอย่างรวดเร็วมากกว่าความสนใจในการลดความเสี่ยง ต่อสู้บังคับให้บริษัทผู้ผลิต software และระบบปฏิบัติการรับผิดชอบความเสียหายที่เกิดขึ้น และระบบประกันความเสียหายจากอาชญากรรม cyber
คอมพิวเตอร์ที่ปลอดภัยนั้นเป็นไปไม่ได้ แต่ผู้ใช้คอมพิวเตอร์ที่เสียหายน้อยที่สุดจากการตัดสินใจอย่างรอบคอบและเหมาะสมว่าจะยอมรับความเสี่ยงในเรื่องใดมากน้อยเพียงใดนั้นเป็นไปได้.