graphic infographic
สร้างระบบ Network ที่บ้านให้ปลอดภัยแบบง่ายๆ ในยุค New Normal “Work From Home Security”
13 May 2020

เรื่องความปลอดภัยทางข้อมูล หรือที่เรียกว่า Data Security นั้นเป็นเสมือนเงาของทุกเรื่อง ถ้าบ้านของคุณยังขาดเรื่อง 3 ส่วนที่เรียกว่า “3 in 3 Out” ที่ผมจะกล่าวต่อไป การทำงาน Work From Home ของคุณให้ปลอดภัยขึ้น มาเริ่มกันเลยครับ

ชีวิตวิถีใหม่ หรือที่เรียกว่า New Normal ของคนทำงานคงหนีไม่พ้น Work From Home ทำงานที่บ้านผ่านอินเทอร์เน็ต

แน่นอนที่บ้านไม่ใช่ออฟฟิศ บ้านอาจจะสะดวกสบาย และประหยัดทั้งค่าเดินทางและค่าใช้จ่ายอื่น เพียงแค่อยู่บ้านแล้วออกอินเทอร์เน็ตได้ เราก็ทำงานได้เกือบปกติ แถมยังทำได้มากกว่าอยู่ออฟฟิศ ไม่ว่าการประชุมออนไลน์ การเรียนรู้ผ่านออนไลน์ การสั่งซื้อสินค้าและการบริหารงานผ่านช่องทางออนไลน์  การทำงานที่บ้านมันดีอย่างนี้เอง .... เมื่อวิกฤตผ่านไป คงมีคนไม่น้อยที่ยัง Work From Home เป็นแน่  .....  แต่อย่าพึ่งดีใจไปครับ  ผมเคยกล่าวเสมอว่า เรื่องความปลอดภัยทางข้อมูล หรือที่เรียกว่า Data Security นั้นเป็นเสมือนเงาของทุกเรื่อง ถ้าบ้านของคุณยังขาดเรื่อง 3 ส่วนที่เรียกว่า “3 in 3 Out” ที่ผมจะกล่าวต่อไป การทำงาน Work From Home ของคุณให้ปลอดภัยขึ้น มาเริ่มกันเลยครับ

การที่คุณทำงานอยู่บ้าน Work From Home จากนี้จะขอเรียกสั้นๆ ว่า WFH  การทำงานแบบ WFH แน่นอนที่สุดเลยจะมีเพียงเราลำพัง ไม่มีผู้เชี่ยวชาญ หรือ IT Support/Helpdesk มาช่วยเราได้ตลอดเวลา เหมือนกับเรานั่งที่ออฟฟิศ ระบบเครือข่ายคอมพิวเตอร์และความปลอดภัยในออฟฟิศนั้นจะมีเจ้าหน้าที่ดูแลเพื่อให้เกิดความพร้อมใช้งาน มีการลงซอฟต์แวร์ป้องกันภัย ถ้าเป็นหน่วยงานใหญ่หน่อยก็ลงทุนด้านระบบเครือข่ายคอมพิวเตอร์และความปลอดภัยกันพอสมควร เลยไม่ว่าต้องมี Firewall  อย่างน้อย 2 ตัวทำ HA (High Availability) ให้พร้อมทำงานแบบไม่มีสะดุด Firewall ทำหน้าที่แบ่งโซนการเข้าถึงระบบเครือข่ายในแต่ละโซนมีระบบ NIDS/NIPS (Intrusion Detection/Prevention System) เพื่อป้องกันการโจมตีทางไซเบอร์ ทั้งภายนอกองค์กร และ ภายในองค์กร การมีระบบความคุมสิทธิการเข้าถึงข้อมูลต่างๆ ในระดับ Application เช่น การมี Active Directory กำหนดสิทธิการเข้าถึงระบบ การระบุตัวตนผู้ใช้งาน เพื่อรักษาความปลอดภัยให้คนในองค์กรสามารถทำงานได้อย่างปกติ  IT Support / IT Help Desk จะช่วยเราไม่เกิดภัยนั้นใกล้ตัว นี้ขอดีในการทำงานที่ออฟฟิศ  โดยเฉพาะออฟฟิศ ของหน่วยงานรัฐบาล บริษัทข้ามชาติ ธนาคาร การไฟฟ้า การประปา และบริษัทขนาดใหญ่ ต้องมีบริการที่เรียกว่า SoC (Security Operation Center) ด้วยซ้ำเสมือนมียามทางไซเบอร์ คอยดูความปลอดภัยให้กับบริษัท และหน่วยงาน แบบ 24x7 มีระบบ SIEM (Security Information Event Management) ที่รวบรวม Log จากอุปกรณ์และซอฟต์แวร์ Anti-virus มาวิเคราะห์ ให้รู้เท่าทันสถานการณ์ที่เกิดขึ้นในองค์กร มีมืออาชีพที่เรียกว่า CSO ที่ดูแลภาพรวมของการทำงานความปลอดภัย ที่ปฏิบัติตามวงจร Identity การระบุตัวตน ,Protection การป้องกันภัยคุกคาม, Detection การตรวจพบภัยคุกคาม, Response การตอบสนองต่อการรับมือภัยคุกคาม, และ Recovery การกู้ข้อมูลย้อนกลับเมื่อเกิดการบุกรุกระบบ ซึ่งวงจรนี้เรียกว่า ISMS ที่หน่วยงานและบริษัทขนาดใหญ่ส่วนใหญ่ทำตามวงจรนี้เป็นอย่างน้อยเพื่อพร้อมรับมือ เมื่อมีเหตุฉุกเฉินเกิดขึ้นจากการโจมตีทางไซเบอร์ เป็นต้น ซึ่งหลายบริษัทเรียกว่าผ่านมาตรฐาน ISO27001 และ Compliance ที่นโยบายด้านความมั่นคงปลอดภัยข้อมูลอย่างรัดกุม

ที่กล่าวมาทั้งหมดนี้ ต้องการให้เห็นภาพว่า ออฟฟิศ ในระดับบริษัทขนาดใหญ่นั้นมีการลงทุนด้านระบบ Cybersecurity ทั้งฮาร์ดแวร์ ซอฟต์แวร์ การจ้างมืออาชีพ และการบริหารจัดการด้านความปลอดภัยข้อมูล ซึ่งรวมๆแล้วเป็นมูลค่ามหาศาลต่อปี เพื่อรักษาความปลอดภัยข้อมูลให้หน่วยงานได้ทำงานอย่างปกติ ซึ่งเป็นเบื้องหลังความสำเร็จของธุรกิจ

ส่วนออฟฟิศ ขนาดกลาง และ ขนาดเล็ก ที่เรียกว่า SME ที่มีออฟฟิศ นั้นส่วนใหญ่ก็ต้องมี IT Support  มีระบบป้องกันภัยคุกคามทางระบบเครือข่าย เช่นอย่างน้อยที่สุดต้องมี Firewall มีการระบุตัวในการทำงานจะผ่านระบบ Authentication อย่างเช่น Radius บน Router ซึ่ง SME ในประเทศไทยส่วนใหญ่ใช้ Mikrotik ในการระบุตัวตน นอกจากนั้นแล้วยังมีการกำหนดสิทธิพื้นฐานในการเข้าถึง Files Server และการ Backup ข้อมูล เป็นต้น

ซึ่งสิ่งเหล่านี้มักถูกมองข้ามไป เพราะ IT Support / Help Desk / Security Operation มักมองว่าเป็นเพียงช่างเทคนิค ไม่ได้สร้างรายได้ให้เกิดกับบริษัท  แต่หารู้ไม่ว่าหากไม่มีคนเหล่านี้ ธุรกิจของท่่านอาจไปต่อไม่ได้ในยุคที่ทุกอย่างคือข้อมูล

หันกลับมาที่บ้าน  WFH  จะมีบ้านหลังไหน ที่ลงทุนได้แบบที่ผมกล่าวข้างต้นอันยาวยืด  ....  คำตอบคงไม่มีแน่นอน บ้านส่วนใหญ่ ก็มีเพียง Router อุปกรณ์กระจายสัญญาณอินเทอร์เน็ต ซึ่งปัจจุบันมี ISP ที่ให้บริการ เช่น True, 3BB, AIS, CAT, TOT และรายเล็กๆที่ไม่กล่าวถึง และปล่อยสัญญาณไร้สาย Wi-Fi และอย่างน้อยต้องมีโน้ตบุ๊ค และมือถือ  บางบ้านอาจไม่ใช้ Router ด้วยซ้ำ คือปล่อยสัญญาณมือถือ 4G จากผู้ให้บริการมือถือ ซึ่งมี True, AIS, Dtac,TOT เป็นต้น เข้าโน้ตบุ๊ค และทำงานเลย  

มาเข้าเรื่องกันครับ การทำ WFH ให้ปลอดภัยนั้นต้องพิจารณาแบบ 3-in 3-out  เข้า 3 ออก 3 เสมือนกับลมหายใจทางระบบ Network ทุกครั้งที่มีการสื่อสารย่อมมีการเชื่อมโยงกันทั้งข้อมูลที่ไหลเข้าสู่บ้านเราและข้อมูลที่ไหลออกจากบ้านเราไปยังที่อื่น  ผมขอสรุปหลักการนี้ดังนี้

การพิจารณา ส่วนที่ 1  คือ ข้อมูลที่เข้าและออกในการเชื่อมต่อระดับอินเทอร์เน็ตที่บ้าน



ส่วนนี้เราจะได้รับค่า IP Address เป็น Public IP จากผู้ให้บริการ  ข้อมูลที่เข้าสู่บ้านเรา และ ออกจากบ้านเราไป  อุปกรณ์ที่ผ่านคือ Router   ซึ่ง Router ที่บ้านส่วนใหญ่สิ่งที่แถมมากับค่ารายเดือนในการใช้งานอินเทอร์เน็ต  Router บ้านมีระบบรักษาความปลอดภัยในเกณฑ์ที่ต่ำ กำหนดการเข้าออกข้อมูลได้ในระดับ ACL (Access Control List) แต่คน configure ต้องมีความรู้  คนส่วนใหญ่ที่อยู่บ้านจะไม่ปรับแต่งอะไรบน Router กัน เพราะกลัวใช้งานไม่เหมือนเดิม แต่ให้รู้ไว้ว่าอุปกรณ์ Router ที่แถมมาจะมีข้อจำกัดด้านความปลอดภัยซึ่งจะไม่เท่าในองค์กรที่มีทั้งระบบและคนที่คอยดูให้เราตลอด

ความปลอดภัยง่ายๆ ในส่วนที่ 1 นี้คือ รหัสผ่านที่ยากแก่การเดา ถ้ารหัสผ่าน Router ที่มากับเครื่องเป็นรหัสผ่านง่ายๆ เช่น 1234, tot, admin, password  อื่นๆ ให้เปลี่ยนรหัสผ่าน Router ที่บ้านให้ยากแก่การเดา อันนี้กันไว้ในกรณีที่ ไอพีที่บ้านสามารถเข้าถึงจากภายนอกได้ และสิ่งแรกที่เข้าถึงคือ Router ที่บ้านเรานี้แหละ ยกเว้นกรณีที่คุณใช้สัญญาณอินเทอร์เน็ตจาก 4G มือถือ หากต้องการตั้งรหัสผ่านให้ยากแก่การเดา แนะนำ http://www.genpassword.com/

สร้างรหัสผ่านจากนี้และ copy รหัสผ่านไว้ในเมล์ หรือ โน้ตสักที่ ที่เรารู้ได้เอง

ความปลอดภัยง่ายๆ อีกอย่างคือการตั้งค่า Public DNS ของเครื่อง Router ให้ชี้ไปที่บริการกรองเว็บไซต์อันตราย เช่นบริการ OpenDNS หรือ ของไทยก็มี compitak.org ส่วนเรื่องการตรวจว่า Public IP ที่เราได้รับค่าจากที่บ้านเรานั้นปลอดภัยหรือไม่อย่างไร มีเว็บไซต์ตรวจง่ายๆ ก่อนคุณใช้อินเทอร์เน็ตคือ เข้าไปที่ https://checkip.me

หาก Router ที่บ้านท่านเปิดเป็น Public IP จะตรวจสอบว่ารหัสผ่านและช่องโหว่ Router ที่พบหากขึ้นสีแดงแสดงว่าอันตรายควรเปลี่ยนรหัสผ่านที่ Router เป็นต้น

ภาพการตรวจสอบค่าไอพีที่บ้านเราได้รับจากผู้ให้บริการอินเทอร์เน็ต และตรวจความปลอดภัยในการเข้าถึงอุปกรณ์ Router ที่เป็น Public IP

การพิจารณา ส่วนที่ 2 คือข้อมูลเข้าและออกในการเชื่อมต่อระบบเครือข่ายในบ้าน ซึ่งจะขอแยกเป็น 2 ส่วนย่อยดังนี้

(1) เครือข่ายไร้สาย Wi-Fi


ส่วนนี้เราจะได้รับค่า IP Address เป็น Private IP ซึ่งส่วนมากจะได้รับจากการปล่อยสัญญาณ Wi-Fi จากในบ้าน  จะมีช่างติดตั้ง มาตั้งค่าให้ และตั้งรหัสผ่าน Wi-Fi ที่บ้านแบบไม่ได้จำยากจนเกินไป  ซึ่งส่วนนี้แหละเป็นภัยในบ้านที่หลายคนมองข้าม  เพราะสัญญาณ Wi-Fi บ้านเรา อาจส่งไปไกลให้คนข้างบ้านได้เข้ามาใช้ได้ หากตั้งรหัสผ่าน SSID ที่มองเห็นนั้นได้ง่ายเกินไป การแอบใช้คงไม่ได้เสียหายอะไร แต่ถ้าข้างบ้านเป็น Hacker แล้วละ เท่ากับว่าการเข้าถึงรหัส Wi-Fi บ้านเรานั้น เสมือนมีเครื่องใครไม่ทราบมานั่งในบ้านเราอีกคน ส่วนใหญ่แล้วเหตุการณ์นี้ไม่มีเจ้าบ้านคนไหนรู้ตัว จะรู้ตัวก็ต่อเมื่อเน็ตที่บ้านช้าผิดปกติ เพราะ Hacker อาจใช้เครือข่ายนี้โหลดอะไรบางอย่าง จะรู้ตัวอีกครั้งเมื่อกล้องวงจรปิดที่บ้านมีอากาศผิดปกติ เช่นเปลี่ยนทิศทางการหันกล้องเป็นต้น

ส่วนที่อันตรายที่สุดในข้อนี้คือ Hacker จะทำการยึด Router และเปลี่ยนเส้นทางการรับส่งข้อมูลได้ผ่านเทคนิค DNS คือเปลี่ยน DNS Server มายัง Server ของ Hacker ผ่าน Router ตัวดีของเรานี้แหละ ซึ่งเหตุการณ์นี้เคยเกิดขึ้นจริงเมื่อหลายปีก่อน ที่อุปกรณ์ Router หลายหมื่นเครื่องที่บ้านทั่วโลก ถูกเปลี่ยนเส้นทางให้ Hacker เช่น เปลี่ยนเข้าเว็บที่ Hacker ได้สร้างขึ้นมาหลอก เพื่อเรารับค่า Exploit หรือชุดซอฟต์แวร์อันไม่ปรารถนา เข้าฝั่งในเครื่องเราได้ อันนี้รวมไปถึงการเข้ามาควบคุมกล้องวงจรปิดในบ้านเราได้ด้วย เพราะตอนนี้อย่าลืมว่ามีเครื่อง Hacker นั่งในบ้านเราเรียบร้อยแล้ว อย่างน้อยสุด Hacker ที่สุภาพหน่อยก็สามารถดักฟัง (Sniffer) ผ่านเทคนิคเรียกว่า MITM (Man In The Middle) บนระบบเครือข่ายเราได้เลย หากข้อมูลไม่ได้เข้ารหัสนั้นสามารถดักรับได้ทันที  ซึ่งเป็นภัยอันตรายที่ทำให้ข้อมูลและความเป็นส่วนตัวเราลดลง   

ความปลอดภัยง่ายๆ ในส่วนนี้คือ ถ้ารหัสผ่านที่ได้รับจาก Wi-Fi ให้มีความปลอดภัย ให้ดี ให้ตรวจดูอุปกรณ์ที่เชื่อมสัญญาณไร้สายในบ้าน เช่น ทีวี กล้องวงจรปิด เครื่องปริ้นเตอร์ มือถือ โน้ตบุ๊ค คอมพิวเตอร์ตั้งโต๊ะ ให้พยายามอัพเดทซอฟต์แวร์ให้มีความทันสมัยล่าสุดเสมอ  หากมีรหัสผ่าน เช่น กล้องวงจรปิด ที่เปิดผ่านแอพดูที่ไหนก็ได้ตั้งให้ยากแก่การเดา จากโปรแกรม Brute force เสมอ

(2) การ Remote เพื่อทำงานไปยังออฟฟิศ


เพื่อไปใช้ระบบงานสำคัญในหน่วยงานไม่ว่าเป็นระบบ ERP, ระบบทรัพยากรบุคคล, ระบบบัญชี เป็นต้น การใช้ VPN เพื่อเชื่อมต่อออฟฟิศ ค่าไอพีแอดเดรสเครื่องคอมพิวเตอร์เรา จะได้รับค่าเป็น ไอพีในวง LAN (Private IP) ของออฟฟิศ ที่เราเชื่อมต่อหากเครื่องเราไม่ปลอดภัย อาจทำให้ออฟฟิศเราไม่ปลอดภัยตามไปด้วย  ดังนั้นส่วนที่เป็น VPN จากบ้านบนเครื่องที่เรียกว่า UnControl จำเป็นต้องดูแลตัวเอง เช่น ต้องอัพเดท Security software Patch หากเป็นระบบปฏิบัติการ Windows ก็จะมีการเตือนให้อัพเดทอยู่แล้ว VPN ควรกันกลุ่ม Remote จากบ้านมาไปอยู่อีกโซนย่านไอพีที่ระบบเฝ้าระวังตรวจสอบได้ เป็นต้นซึ่งจะไม่ขอกล่าวในที่นี้  ในองค์กรควรมีการกำหนดนโยบายและกำหนดสิทธิการเข้าถึงข้อมูลจากภายนอกอย่างรัดกุม เพราะมีหลายกรณีที่ผ่านมาที่ VPN จากเครื่องติดไวรัส และเอาไวรัสไปแพร่ที่ออฟฟิศทั้งที่ตัวและเครื่องอยู่ที่บ้าน

การพิจารณา ส่วนที่ 3  ข้อมูลเข้าและออกภายในเครื่องคอมพิวเตอร์ และเครื่องมือถือที่เราใช้ทำงานที่บ้าน ในที่นี้จะขอเน้นคอมพิวเตอร์ไม่ว่าเป็นโน้ตบุ๊ค และพีซีตั้งโต๊ะ ในหลายหน่วยงาน

คอมพิวเตอร์ที่เราใช้ อาจมีโอกาสในท่องอินเทอร์เน็ต และได้ติดไวรัสจากบราวเซอร์ ได้ทุกเมื่อ ดังนั้นในการท่องอินเทอร์เน็ตการหาข้อมูล การทำงานผ่านเว็บบราวเซอร์ จะมีโอกาสติดไวรัสน้อยลงหากติดตั้ง Extension บนบราวเซอร์  วิธีป้องกันตัวเองง่ายๆ เช่น ติด Adblock, Ublock บนบราวเซอร์เราไม่ว่าเป็น Chrome, Firefox และ IE  พวกเว็บไซต์ที่เป็น Phishing หรือที่มีไวรัสคอมพิวเตอร์แฝงอยู่ก็จะถูกกันออกไปในการเข้าเว็บไซต์  ส่วนของไทยก็มี Arak (https://arak.cipat.org) ของสมาคมส่งเสริมนวัตกรรมเทคโนโลยีไซเบอร์ ทำแจกเช่นกัน  ก็จะเป็น Software ที่กัน host อันตรายที่อาจติดต่อจากการท่องอินเทอร์เน็ตได้

ส่วนที่ 3 จะเกิดจากพฤติกรรมและประสบการณ์ผู้ใช้งานด้วย โดยเฉพาะผู้ใช้งานที่ทำงาน WFH นั้นเมื่อได้รับ Link จากใคร ไม่ว่าจาก Line chat, หรือจาก E-mail link ที่ได้รับมาอย่าพึ่งคลิกทันทีให้ โดยเฉพาะ Link ที่มากับ short URL เช่น tinnyurl bit.ly go.gl และหากได้รับไฟล์แนบ ไม่ว่าเป็นไฟล์ .zip, .rar, pdf, หรือ .exe ยังไม่ควรรีบ Download ควรเอาค่า link ไปตัวที่เว็บไซต์ และไฟล์ดังกล่าวไปตรวจสอบที่ Virustotal   https://virustotal.com  โดยนี้จะใช้ Anti-virus กว่า 70 ยี่ห้อ สแกนให้เราหากไม่พบว่าอันตรายก็สามารถเข้าใช้งานได้  เสียเวลานิดเดียวแต่เราปลอดภัยขึ้นเป็นต้น

ภาพ Virustotal ทำการตรวจสอบไฟล์ที่เรา Download ลงในโน้ตบุ๊คเราแต่ยังไม่ Install เอาตรวจสอบที่เว็บไซต์นี้ก่อนหาก Anti-virus มากกว่า 1 ตัวตรวจพบว่ามีไวรัสก็ไม่ควรนำใช้ในคอมพิวเตอร์เรา 

ภาพจาก Virustotal ทำการตรวจสอบเว็บไซต์หากพบเพียง 1 ที่บอกว่า Short URL เมื่อแตกมาเป็น URL ปกติ Link ที่ได้รับมาจากเพื่อนใน Line หรือในเมล์ นี้อาจจะเสี่ยงก็ไม่ควรเข้า

ก่อนจบ จะทิ้งท้ายด้วยคาถาเพื่อเตือนสติเราให้มีความปลอดภัยที่เกิดกับเราและคอมพิวเตอร์ที่บ้านเรา คือ พิจารณาตาม 3 in 3 out ที่กล่าวไป และ อัพเดทซอฟต์แวร์ ทั้งคอมพิวเตอร์ และมือถือที่เราใช้งาน ไฟล์งานที่สำคัญ ระบบงานที่สำคัญควรมีการ Backup เริ่มจากเอา External Storage เราสำรองข้อมูลเราอย่างสม่ำเสมอ อีกทางเลือกหนึ่งคือ สำรองข้อมูลผ่าน Cloud อันนี้ต้องมั่นใจว่ารหัสผ่านเราปลอดภัยดี และการยืนยันตัวตนเราควรมีอย่างน้อย 2 ชั้นเสมอ เรียกว่า Two factor authentication เช่นใส่รหัสผ่านที่ปลอดภัยแล้ว ต้องมีการยืนยันค่า one time password จาก SMS หรือ email อาจเป็นรหัสตัวเลขไม่เกิน 8 ตัว และหากเจอ Link จาก short URL และไฟล์แนบมาใน chat line หรือ E-mail ให้ช้าอีกนิดเพื่อตรวจให้มั่นใจว่าไม่มีไวรัสแฝงตัวอยู่ผ่าน Virustotal ทั้งหมดที่กล่าวไป เป็นหลักปฏิบัติให้มั่นใจว่าการ WFH เรา ต่อไปนี้จะมีความปลอดภัยมากขึ้นอย่างแน่นอน

 
บทความโดย นนทวัตต์  สาระมาน

กรรมการสภาดิจิทัลเศรษฐกิจและสังคม

download graphic infographic
เรื่องความปลอดภัยทางข้อมูล หรือที่เรียกว่า Data Security นั้นเป็นเสมือนเงาของทุกเรื่อง
download