เพื่อหยุดยั้งอาชญากรรมไซเบอร์ อย่าคิดแบบอาชญากร

ในฉากที่ดูเหมือนจะถอดแบบมาจากแรงบันดาลใจทางภาพยนตร์ของเขา แวน เดอร์ กาสต์มีอายุประมาณ 16 ปีเมื่อเขาแฮ็กเข้าไปในโรงงานผลิตอาวุธนิวเคลียร์ของอินเดียและขโมยข้อมูลจากการทดสอบนิวเคลียร์ใต้ดิน “พวกเขาใช้เซิร์ฟเวอร์อีเมลเวอร์ชั่นเก่า ซึ่งผมใช้วิธีหลอกให้พวกเขาให้บัญชีผู้ดูแลระบบกับผม” เขากล่าว การกระทำนี้ทำให้เขาตกเป็นเป้าหมายของหน่วยงานข่าวกรองหลายแห่ง และในที่สุดเขาก็ได้รับการจัดอันดับให้เป็นหนึ่งในแฮกเกอร์ที่ฉาวโฉ่ที่สุด 5 อันดับแรกของโลก

แวน เดอร์ กาสต์ เพิ่งย้ายจากยุโรปมายังสหรัฐอเมริกาในฤดูใบไม้ร่วงปี 1998 เมื่อกลุ่มชายในชุดสูทจากหน่วยงานที่เกี่ยวข้องกับกระทรวงกลาโหมสหรัฐฯ มาเคาะประตูบ้านของเขา “ผมคิดว่าพวกเขาเป็นเจ้าหน้าที่ตรวจคนเข้าเมืองจริงๆ” เขากล่าว “เพราะผมอยู่เกินกำหนดวีซ่า 90 วัน”

โชคดีสำหรับแฮ็กเกอร์วัยรุ่นคนนั้น หน่วยงานดังกล่าวต้องการรับสมัครดาวรุ่งจากโลกใต้ดินของโลกไซเบอร์ ไม่ใช่ดำเนินคดีกับพวกเขา ณ เวลานั้น เขาเปลี่ยนข้างอย่างรวดเร็วและเริ่มทำงานร่วมกับกระทรวงกลาโหมในปฏิบัติการร่วมกับ FBI เป็นเวลาสามปี งานนี้เกี่ยวข้องกับการรวบรวมข้อมูลข่าวกรองเกี่ยวกับแฮกเกอร์และกิจกรรมทางอาชญากรรมที่เกี่ยวข้อง ตลอดจนการสืบสวนการละเมิดข้อมูลที่มีความสำคัญระดับชาติ

การฝึกอบรมที่ไม่เหมือนใครนี้เป็นจุดเริ่มต้นของอาชีพ 25 ปีในฐานะผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ วิทยากรรับเชิญ และที่ปรึกษาองค์กร ซึ่งนำไปสู่บทบาทปัจจุบันของเขาในฐานะผู้ก่อตั้งและกรรมการผู้จัดการของ Sequioa Consulting ที่ซึ่งเขาช่วยผู้นำระดับบริหารและองค์กรระดับโลก "ลดภาระด้านความปลอดภัยทางไซเบอร์และทำธุรกิจได้อย่างปลอดภัยมากขึ้น"

เขากล่าวว่า “ผมเริ่มต้นด้วยการเรียนรู้วิธีการ กลยุทธ์ และความสามารถที่แฮกเกอร์ใช้” “แต่ถ้ามองย้อนกลับไปล่ะ?” ผมคิดว่าสิ่งที่ผมได้เรียนรู้คือ แทบทุกการละเมิดข้อมูลเหล่านี้สามารถป้องกันได้ หากองค์กรต่างๆ จัดการพื้นฐานด้านไอทีอย่างถูกต้อง และให้ความสำคัญกับการพัฒนาปรับปรุงกระบวนการทำงานอย่างจริงจัง”

บริษัทของเขาสนับสนุนแนวทางนี้ โดยสรุปแล้ว บริษัทนำวิธีการจากด้านการให้คำปรึกษาด้านการจัดการ แนวคิดแบบลีน และศาสตร์อื่นๆ มาประยุกต์ใช้ในบริบทของเทคโนโลยี เพื่อปรับปรุงกระบวนการด้านไอที ลดจุดอ่อนที่ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์ได้

เปรียบเทียบง่ายๆ กับโรงงานผลิตรถยนต์ ที่รถยนต์ทุกคันที่ผลิตออกมาล้วนมีข้อบกพร่อง เช่น พวงมาลัยเบี้ยว น็อตยึดช่วงล่างหายไป ท่อเบรกมีอากาศ และข้อบกพร่องอื่นๆ เขาบอกว่ามันคงเป็นเรื่องไร้สาระที่จะจ้างคนเพิ่มเพื่อแก้ไขข้อบกพร่องทั้งหมดในรถยนต์ที่ผลิตเสร็จแล้ว คุณควรแก้ไขปัญหาดังกล่าวโดยอาจดำเนินการในระหว่างกระบวนการผลิต ณ สถานีประกอบชิ้นส่วนที่เกิดข้อบกพร่อง ซึ่งจะช่วยลดจำนวนข้อบกพร่องและลดต้นทุนได้ด้วย

แต่กระนั้น แวน เดอร์ กาสต์ กล่าวว่า แนวทางในการรักษาความปลอดภัยทางไซเบอร์ส่วนใหญ่ยังคงเป็นแบบแรก ดังนั้นอุตสาหกรรมจึงยังคงตอบสนองต่อเหตุการณ์ที่เกิดขึ้นมากกว่าที่จะป้องกันล่วงหน้า โดยที่สาเหตุพื้นฐานส่วนใหญ่ยังคงไม่ได้รับการแก้ไข

“โดยพื้นฐานแล้ว เรากำลังอยู่ในภาวะแข่งขันด้านการป้องกัน [การขัดขวางแฮกเกอร์ไม่ให้เข้าถึงช่องโหว่ของเรา] แต่เราต้องถามตัวเองว่าทำไมเราถึงเผชิญกับความท้าทายมากมายเช่นนี้” เขากล่าว “กล่าวคือ ทำไมเราถึงมีจุดอ่อนเหล่านี้ตั้งแต่แรก?”

อดีตแฮกเกอร์ผู้นี้ได้ตั้งคำถามกว้างๆ เช่นนี้มาตลอดสามทศวรรษ และคำถามเหล่านี้ก็มีความสำคัญต่อธุรกิจและสังคมโดยรวมอย่างที่ไม่เคยมีมาก่อน

วิธีที่ง่ายที่สุดในการมองเรื่องความปลอดภัยคือ การที่ช่องโหว่ถูกใช้ประโยชน์ และช่องโหว่เหล่านั้นก็คือปัญหาด้านคุณภาพนั่นเอง เขากล่าว — ข้อบกพร่องในโค้ด การกำหนดค่า ช่องโหว่ในการควบคุม การออกแบบ การวางแผน หรือแม้กระทั่งวัฒนธรรม

เขากล่าวว่า การแก้ไขปัญหาเหล่านี้จะช่วยลดจำนวนช่องโหว่ ทำให้มีช่องโหว่ให้ถูกโจมตีน้อยลง แทนที่จะต้องเพิ่มมาตรการป้องกันเพื่อรับมือกับช่องโหว่เหล่านั้นอยู่เรื่อย ๆ เขากล่าวเสริมว่า สิ่งนี้ไม่เพียงแต่ส่งผลให้ค่าใช้จ่ายด้านความปลอดภัยลดลงเท่านั้น แต่ยังช่วยให้กระบวนการทางธุรกิจและไอทีมีประสิทธิภาพมากขึ้น ซึ่งจะช่วยลดต้นทุนลงด้วย

“เมื่อคุณเริ่มให้ความสำคัญกับความปลอดภัยในฐานะส่วนหนึ่งของกระบวนการและคุณภาพ เมื่อคุณเริ่มทำสิ่งต่างๆ อย่างถูกต้อง คุณจะไม่เพียงแต่แก้ไขปัญหาที่ต้นเหตุเท่านั้น แต่ยังสามารถช่วยให้ธุรกิจสร้างการเปลี่ยนแปลงในเชิงบวกและประหยัดเงินได้อีกด้วย”

แวน เดอร์ กาสต์ เริ่มต้นการรักษาความปลอดภัยให้กับองค์กรโดยการค้นหาสาเหตุของปัญหา ซึ่งลึกซึ้งกว่าที่ที่ปรึกษาด้านความปลอดภัยที่เน้นด้านเทคโนโลยีจะทำได้ “บริษัทส่วนใหญ่มักใช้วิธีการรักษาความปลอดภัยทางไซเบอร์แบบที่คอยแก้ไขปัญหาเฉพาะหน้าอยู่ตลอดเวลา” เขากล่าว “แต่ผมพยายามมองหาสาเหตุที่ทำให้เกิดปัญหาด้านไอทีมากกว่า”

“ความท้าทายเกิดจากการออกแบบแอปพลิเคชันหรือไม่?” เขากล่าวเสริมว่า “แผนกธุรกิจต่างๆ ใช้กระบวนการและผู้ให้บริการด้านไอทีที่แตกต่างกันหรือไม่” “เมื่อคุณเข้าใจสาเหตุที่แท้จริงของปัญหาแล้ว คุณก็สามารถเริ่มปรับปรุงและขจัดปัญหาเหล่านั้นได้อย่างเป็นระบบ”

แวน เดอร์ กาสต์ เชื่อว่าเราจำเป็นต้องเปลี่ยนจุดเน้นในการแก้ไขปัญหาอาชญากรรมทางไซเบอร์ แทนที่จะมุ่งเน้นไปที่ตัวอาชญากร เราควรหันมาพิจารณาว่าทำไมอาชญากรรมจึงเกิดขึ้นได้ง่าย

เขากล่าวว่าการละเมิดข้อมูลเกือบทั้งหมดเกี่ยวข้องกับช่องโหว่ที่ทราบกันดีอยู่แล้วและมีวิธีแก้ไข และในกรณีส่วนใหญ่ วิธีแก้ไขเหล่านี้มีให้ใช้งานมานานกว่าหนึ่งปีแล้ว

“ถ้าฉันเอาถุงเมล็ดพืชไปวางไว้ในสวนของคุณ คุณคงไม่แปลกใจถ้าพบว่ามีหนูนับพันตัวในอีกหนึ่งสัปดาห์ต่อมา” วิธีแก้ปัญหาที่ดีที่สุดไม่ใช่การวางและจัดการกับดักหนูหลายพันอัน แต่เป็นการเก็บรักษาเมล็ดพืชให้ดีขึ้น หรือเปลี่ยนกระบวนการที่ทำให้คุณต้องการมัน”

สรุปได้ว่า คุณอาจติดตั้งระบบรักษาความปลอดภัยทางไซเบอร์ที่ดีที่สุดในโลก แต่ถ้าคุณไม่มีเครื่องมือจัดการข้อมูลประจำตัวที่เหมาะสม บุคลากรของคุณได้รับการฝึกอบรมไม่เพียงพอ และคุณไม่ได้อัปเดตและอัปเกรดระบบ อุปกรณ์ หรือแอปพลิเคชันของคุณ แฮกเกอร์ก็สามารถหลบเลี่ยงการป้องกันของคุณได้ ไม่ว่าจะเป็นการป้องกันทางดิจิทัลหรือด้านอื่นๆ เขากล่าว 

ท้ายที่สุด ในยุคที่ภัยคุกคามจากปัญญาประดิษฐ์ (AI) เพิ่มมากขึ้น เช่น การโจมตีอัตโนมัติและวิดีโอปลอม (deepfake)แวน เดอร์ กาสต์ กล่าวว่า การป้องกันองค์กรสมัยใหม่จากอาชญากรไซเบอร์อย่างมีประสิทธิภาพ จำเป็นต้องมีการฝึกอบรม การให้ความรู้ และแนวทางเชิงรุก ไม่ใช่เชิงรับ

เมื่อเข้าใจภัยคุกคามเหล่านี้แล้ว มักจะสามารถลดทอนลงได้ด้วยการวางรากฐานที่มั่นคง — ไม่ว่าการโจมตีจะเร็วแค่ไหนก็ไม่มีประโยชน์หากคุณไม่ตกอยู่ในความเสี่ยง — และกระบวนการต่างๆ เช่น การโอนเงินที่ต้องดำเนินการผ่านกระบวนการที่กำหนดไว้ซึ่งไม่สามารถถูกปลอมแปลงด้วยเทคโนโลยี deepfake ได้

ในมุมมองของเขา สิ่งที่ดีที่สุดที่คุณสามารถทำได้เพื่อช่วยเหลือองค์กรของคุณคือการระบุปัญหาที่ก่อให้เกิดจุดอ่อนและแก้ไขปัญหาเหล่านั้นให้ถึงต้นตอให้มากที่สุดเท่าที่จะเป็นไปได้ แม้กระทั่งการพิจารณาปัญหาด้านองค์กรและวัฒนธรรม จากนั้นให้ทีมรักษาความปลอดภัยทำงานร่วมกับทุกส่วนขององค์กรเพื่อทำความเข้าใจกระบวนการทางธุรกิจและไอทีทั้งหมด และช่วยกำหนดนิยามใหม่ตามความจำเป็นเพื่อลดความเสี่ยงที่อาจเกิดขึ้น และตระหนักถึงความเสี่ยงที่ยังคงมีอยู่

เมื่อองค์กรได้ดำเนินการดังกล่าวแล้ว และเข้าใจถึงปัญหาพื้นฐานของตนแล้ว จึงจะสามารถกำหนดกลยุทธ์และแผนงานเพื่อก้าวไปสู่จุดที่ดีกว่าได้

เช่นเดียวกับที่เขาเคยอ่านหนังสือเกี่ยวกับคอมพิวเตอร์อย่างมากมายเมื่อหลายสิบปีก่อน ปัจจุบันความสนใจของแวน เดอร์ กาสต์ก็ยังคงเกี่ยวข้องกับการซึมซับข้อมูลจำนวนมหาศาลอยู่ดี อดีตอาชญากรไซเบอร์ผู้ซึ่งปัจจุบันมีงานอดิเรกคือการซ่อมรถยนต์และอ่านหนังสือทุกเล่มที่หาได้เกี่ยวกับแนวทางปฏิบัติทางธุรกิจที่ดีที่สุด กล่าวว่าความสำเร็จในด้านความปลอดภัยทางไซเบอร์นั้นขึ้นอยู่กับอะไรมากกว่าซอฟต์แวร์: “ความท้าทายหลายอย่างที่ผมพบนั้นเกี่ยวข้องกับวัฒนธรรมมากกว่าโซลูชันทางเทคโนโลยีขั้นสูง”