วรากรณ์ สามโกเศศ เรื่อง

 

WannaCry เป็นโปรแกรม ransomware ที่ทำให้คนได้รับ Want to Cry จริงๆ เพราะหากไม่จ่ายเงินค่าไถ่เพื่อแลกกับการถอดรหัสแล้ว ก็เข้าถึงข้อมูลของตนเองไม่ได้ หรือไม่ก็คอมพิวเตอร์หรือระบบคอมพิวเตอร์ของตนจะไม่ทำงาน ใครที่กลัวก็ขอบอกว่าไม่ต้องกลัว ไม่ใช่ว่าต่อไปจะปลอดภัยขึ้น แต่จะยิ่งด้านชาต่างหาก เพราะภัยไซเบอร์จะหนักข้อมากขึ้นทุกที

ในโลกนี้คอมพิวเตอร์นั้นไม่มีวันปลอดภัยร้อยเปอร์เซ็นต์ ​

WannaCry เป็น malware (mal ในภาษาละติน หมายถึง bad ส่วน ware ก็มาจาก software หรือ hardware) ซึ่งมีจุดมุ่งหมายชั่วร้าย ผู้สร้างและนำมาใช้ถือว่าเป็นอาชญากรรม ผลที่เกิดขึ้นอาจหมายถึงความตายของผู้คน เพราะมันมิได้ทำเพียงแค่เรียกค่าไถ่ ขโมยข้อมูลบัตรเครดิต แต่มีผลกระทบถึงคนไข้ใน ICU ตลอดจนเลือดที่เก็บ การทำงานของหุ่นยนต์ทั้งผ่าตัดและตรวจรักษา ทั้งหมดล้วนอาศัยการทำงานของคอมพิวเตอร์ทั้งสิ้น

​แววการเกิดของ WannaCry นั้นมีมานาน การที่ WannaCry ทำงานได้ก็เพราะมีการแฮก (hack คือการใช้คอมพิวเตอร์เป็นเครื่องมือเพื่อเข้าไปถึงข้อมูลในระบบโดยมิได้รับอนุญาต) และการแฮกเกิดขึ้นอย่างกว้างขวาง ในปี 2016 โจรไซเบอร์ (cyber หมายถึงเกี่ยวพันกับคอมพิวเตอร์) ขโมยเงิน 81 ล้านเหรียญสหรัฐจากธนาคารกลางของบังคลาเทศ / CIA ถูกแฮก / อีเมลของพรรคเดโมแครตในสหรัฐอเมริกาถูกแฮก เช่นเดียวกับข้อมูลสื่อสารของสถานทูตสหรัฐในหลายประเทศ นอกจากนี้ก็เชื่อกันว่ารัสเซียมีบทบาทในการแทรกแซงการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาผ่านการแฮกอีกด้วย ​

การแฮกที่เลวร้ายและนำมาซึ่ง WannaCry ก็คือ ในเดือนสิงหาคม 2016 National Security Agency (NSA) ของสหรัฐอเมริกาสร้างเครื่องมือแฮกนี้ขึ้นมาเพื่อโจมตีคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft Windows โดยมีวัตถุประสงค์เพื่อโจรกรรม

เรื่องนี้ถูกนำมาเปิดเผยในอินเทอร์เน็ตโดยแฮกเกอร์ระดับโลก และไม่กี่เดือนต่อมา เครื่องมือ WannaCry ซึ่งถูกแฉออนไลน์ในครั้งนั้นก็ปรากฏตัวขึ้น โจมตีประเทศทั่วโลกกว่า 200 ประเทศ​

การแฮกเกิดขึ้นได้ก็เพราะ soft ware program ชนิดยาวเหยียด ซึ่งเป็นคำสั่งของระบบปฏิบัติการ (Operating System หรือ OS) ของคอมพิวเตอร์ มีจุดบกพร่อง แฮกเกอร์ก็ใช้จุดอ่อนนั้นเข้าโจมตี

อุปมาเสมือนกับว่าระบบปฏิบัติการคือคำสั่งเป็นตัวอักษรอันยาวเหยียดว่ากองทัพจะเดินทางไปโจมตีข้าศึกอย่างไร คำสั่งนั้นละเอียดยิบทุกขั้นตอนสำหรับทุกคน อย่างไรก็ดี ถ้าบางส่วนในคำสั่งนั้นเขียนไว้กำกวม บอกลอยๆ ว่าให้ครึ่งหนึ่งของกองทัพเดินลงต่ำโดยไม่ระบุชัดเจนว่าใครเป็นคนสั่ง เสมียนจารชนก็จะแอบเขียนแทรกไปว่าให้นาย ก. ซึ่งเป็นพวกกัน เป็นคนสั่งและสั่งให้ไปโดดน้ำ

การเข้าไปแทรกแซงโดยไม่ได้รับอนุญาตเกิดขึ้นได้ตราบที่มีข้อบกพร่องอยู่ ถ้าทั้งหมดรัดกุมไม่มีช่องโหว่ให้เข้าไปแทรกแซงได้ การแฮกก็ไม่เกิดขึ้น แต่ธรรมชาติของคำสั่งอันละเอียดทุกขั้นตอน ทุกระดับ ทุกการกระทำ ของทุกคน ย่อมมีความกำกวม ไม่ชัดเจนอยู่บ้างเป็นธรรมดา

ลักษณะธรรมชาติเช่นนี้แหละที่เป็นบ่อเกิดของความไม่ปลอดภัยของคอมพิวเตอร์ ​

ระบบปฏิบัติการ คือระบบ software ซึ่งบริหารจัดการ hardware ของเครื่องคอมพิวเตอร์ ตลอดจนใช้ software เพื่อให้บริการร่วมกันโดยเป็นคำสั่งให้คอมพิวเตอร์ทำงาน ถ้าขาดระบบปฏิบัติการแล้ว คอมพิวเตอร์จะทำงานไม่ได้

ส่วน firmware นั้นคือ software ซึ่งควบคุม ติดตาม จัดการข้อมูลของเครื่องมืออิเล็กทรอนิกส์ (เป็นคอมพิวเตอร์เช่นกัน) เพื่อให้ทำงานในลักษณะพิเศษตามที่ต้องการ เช่น ในโทรศัพท์มือถือหรือกล้องดิจิทัล ก็มี firmware หรือ software ฝังตัวอยู่โดยจะทำงานประสานกับระบบปฏิบัติการโดยมี software เป็นตัวสั่ง เช่น ส่ง SMS เก็บข้อมูลเบอร์โทรศัพท์ ดูภาพเคลื่อนไหว ฯลฯ

​นิตยสาร The Economist เปิดเผยว่า ข้อมูลภาพรวมในปี 2015 ของ Google นั้นต้องจัดการโค้ดประมาณ 2,000 ล้านบรรทัด หรือการเขียน software program สำหรับสินค้าทั้งหมด โดยโปรแกรมทั้งหมดนี้ต้องทำงานร่วมกับระบบปฏิบัติการ (OS) ซึ่งซับซ้อนอย่างยิ่งอยู่แล้วในตัวของมันเอง ดังนั้นจุดอ่อนหรือจุดบกพร่องก็ต้องเกิดขึ้นเป็นธรรมดา ใครที่พบจุดอ่อนนี้ก็สามารถจะเข้าไปแฮกได้เพื่อให้เกิดผลต่างๆ ตามปรารถนา เช่น ให้ข้อมูลผิด เครื่องรวนเร หยุดทำงาน เข้าถึงข้อมูลไม่ได้ ล้วงข้อมูลออกมา​

Linux ซึ่งเป็น OS ที่ใช้กันกว้างขวางมีโค้ด 20.3 ล้านบรรทัด ส่วนระบบปฏิบัติการล่าสุดของ Microsoft Windows มีประมาณ 50 ล้านบรรทัด ด้านระบบ Android ซึ่งโทรศัพท์มือถือจำนวนมากใช้ OS ประกอบด้วยโค้ดประมาณ 1.2 ล้านบรรทัด

​นี่คือสาเหตุหลักว่าเหตุใดคอมพิวเตอร์จึงไม่ปลอดภัย หรือ cyber security ชนิดร้อยเปอร์เซ็นต์ไม่มีวันเกิดขึ้นได้ตราบที่ต้องเขียนโปรแกรมยาวนับล้านๆ บรรทัด ​

การทำให้แต่ละบรรทัดในจำนวนบรรทัดมากมายเหล่านี้มีปฏิสัมพันธ์กับบรรทัดที่เหลืออย่างสอดคล้องเหมาะสม และจำต้องสัมพันธ์กับชิ้นอื่นๆ ของ hardware และ software ด้วย เป็นสิ่งที่ยากมาก ดังนั้นจึงมักก่อให้เกิดจุดอ่อนขึ้นได้เสมอ ​

The Economist รายงานประมาณการของผู้เชี่ยวชาญว่าในการเขียน software ทุกๆ 1,000 บรรทัดนั้น จะพบความผิดพลาดประมาณ 5-50 บรรทัดเสมอ และถึงแม้จะแก้ไขจนเหลือเพียง 0.5 บรรทัดต่อทุก 1,000 บรรทัด ก็หมายความว่าในทุกโปรแกรมจะมีข้อผิดพลาดอยู่นับร้อยนับพันจุดเสมอ (นี่คือเหตุผลว่าทำไมจึงต้องมี update version อยู่บ่อยๆ) ซึ่งเท่ากับเป็นการสร้างความเป็นได้ในการถูกแฮกอยู่เสมอ ​

ความเป็นไปได้ของการถูกแฮกหรือความเสี่ยงใน cyber security นั้น หากพิจารณาก็จะเห็นว่าเป็นเรื่องธรรมดาเพราะความเสี่ยง (risk) อยู่ในทุกอณูของชีวิต เมื่อซื้อรถ ซื้อเครื่องใช้อิเล็กทรอนิกส์ หรือซื้อสินค้าใดๆ ก็มีความเสี่ยงด้วยกันทั้งสิ้นว่าจะซื้อสิ่งที่บกพร่องมา หรือใช้ได้ไม่ทนทาน ยิ่งความเสี่ยงในชีวิตด้วยแล้วมีอยู่ทุกแห่งหน ไม่ว่าจะย่างกรายไปที่ใดที่คิดว่าปลอดภัยที่สุดแล้วก็ยังมีความเสี่ยงต่อชีวิตเสมอ ประเด็นอยู่ว่ามีความเสี่ยงเท่าใด (จำข่าวที่เด็กเล็กเสียชีวิตขณะนอนอยู่ในบ้านเพราะโดนลูกกระสุนปืนที่ทะลุหลังคาสังกะสีลงมาได้ไหมครับ) และจะจัดการกับความเสี่ยงนั้นอย่างไร ​

คอมพิวเตอร์ที่ไร้ภัยจากการถูกโจมตี หรือ cyber security ที่สมบูรณ์ร้อยเปอร์เซ็นต์นั้นไม่มี เพราะธรรมชาติบังคับให้มันมีไม่ได้ อย่างไรก็ดี เราก็ไม่ควรยอมรับมันโดยดุษฎีภาพ เราต้องต่อสู้เพื่อให้ได้ความเสี่ยงที่น้อยที่สุดเท่าที่จะเป็นไปได้ โดยการเปลี่ยนพฤติกรรมของผู้อยู่ในธุรกิจนี้ที่เน้นการเจริญเติบโตอย่างรวดเร็วมากกว่าความสนใจในการลดความเสี่ยง ต่อสู้บังคับให้บริษัทผู้ผลิต software และระบบปฏิบัติการรับผิดชอบความเสียหายที่เกิดขึ้น และระบบประกันความเสียหายจากอาชญากรรม cyber ​

คอมพิวเตอร์ที่ปลอดภัยนั้นเป็นไปไม่ได้ แต่ผู้ใช้คอมพิวเตอร์ที่เสียหายน้อยที่สุดจากการตัดสินใจอย่างรอบคอบและเหมาะสมว่าจะยอมรับความเสี่ยงในเรื่องใดมากน้อยเพียงใดนั้นเป็นไปได้.

Author

Varakorn Samakoses

วรากรณ์ สามโกเศศ - อดีตคณบดีคณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ เจ้าของผลงานเขียนชุด “Global Change” ว่าด้วยกระแสการเปลี่ยนแปลงของโลกสมัยใหม่ ในมุมเศรษฐกิจ การเมือง วัฒนธรรม เทคโนโลยี และผลงานเขียนชุด “โลกนี้ไม่มีอะไรฟรี” รวมงานคัดสรรด้านเศรษฐศาสตร์แบบไม่ต้องแบกบันไดมาอ่าน