การโจมตีด้วยแรนซัมแวร์ Colonial Pipeline และการแฮ็ก SolarWinds ล้วนแต่หลีกเลี่ยงไม่ได้ – เหตุใดการป้องกันทางไซเบอร์ระดับชาติจึงเป็นปัญหาที่ ‘ชั่วร้าย’

การโจมตีด้วยแรนซัมแวร์ Colonial Pipeline และการแฮ็ก SolarWinds ล้วนแต่หลีกเลี่ยงไม่ได้ – เหตุใดการป้องกันทางไซเบอร์ระดับชาติจึงเป็นปัญหาที่ 'ชั่วร้าย'

ไม่มีวิธีแก้ปัญหาง่ายๆ ในการเสริมการป้องกันทางไซเบอร์ของสหรัฐฯ

· ห่วงโซ่อุปทานซอฟต์แวร์และบริษัทโครงสร้างพื้นฐานของภาคเอกชนมีความเสี่ยงต่อแฮ็กเกอร์

· บริษัทในสหรัฐฯ หลายแห่งจ้างภายนอกเพื่อพัฒนาซอฟต์แวร์เนื่องจากการขาดแคลนบุคลากร และบางส่วนของการเอาท์ซอร์สนั้นไปให้กับบริษัทในยุโรปตะวันออกที่มีความเสี่ยงต่อเจ้าหน้าที่รัสเซีย

· การป้องกันทางไซเบอร์แห่งชาติของสหรัฐฯ ถูกแบ่งระหว่างกระทรวงกลาโหมและกระทรวงความมั่นคงแห่งมาตุภูมิ ซึ่งทำให้ช่องว่างในอำนาจหน้าที่

การโจมตี ของแรนซัมแว ร์ในโคโลเนียลไปป์ไลน์เมื่อวันที่ 7 พฤษภาคม พ.ศ. 2564 แสดงให้เห็นถึงความท้าทายครั้งใหญ่ที่สหรัฐฯ เผชิญในการป้องกันทางไซเบอร์ บริษัทเอกชนซึ่งควบคุมองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านพลังงานของสหรัฐฯ และจัดหาเชื้อเพลิงเหลวของชายฝั่งตะวันออกเกือบครึ่งหนึ่ง เสี่ยงต่อการถูกโจมตีทางไซเบอร์ประเภทที่พบได้บ่อยเกินไป เอฟบีไอระบุว่าการโจมตีดังกล่าวมาจาก กลุ่มอาชญากร ไซเบอร์ของรัสเซีย คงจะเป็นเรื่องยากสำหรับรัฐบาลที่จะมอบอำนาจการรักษาความปลอดภัยที่ดีขึ้นให้กับบริษัทเอกชน และรัฐบาลก็ไม่สามารถให้การรักษาความปลอดภัยนั้นแก่ภาคเอกชนได้

ในทำนองเดียวกันSolarWinds hackซึ่งเป็นหนึ่งในการโจมตีทางไซเบอร์ที่ร้ายแรงที่สุดในประวัติศาสตร์ ซึ่งปรากฏให้เห็นในเดือนธันวาคม 2020 ได้เปิดเผยช่องโหว่ในห่วงโซ่อุปทานซอฟต์แวร์ทั่วโลกที่ส่งผลกระทบต่อระบบคอมพิวเตอร์ของภาครัฐและเอกชน เป็นการละเมิดความมั่นคงของชาติครั้งใหญ่ซึ่งเผยให้เห็นช่องว่างในการป้องกันทางไซเบอร์ของสหรัฐฯ

ช่องว่างเหล่านี้รวมถึงการรักษาความปลอดภัยที่ไม่เพียงพอโดยผู้ผลิตซอฟต์แวร์รายใหญ่ อำนาจที่แตกแยกสำหรับการสนับสนุนจากภาครัฐต่อภาคเอกชน เส้นแบ่งระหว่างกลุ่มอาชญากรและการจารกรรมระหว่างประเทศ และการขาดแคลนซอฟต์แวร์และทักษะด้านความปลอดภัยทางไซเบอร์ในระดับประเทศ ไม่มีช่องว่างเหล่านี้เชื่อมกันได้ง่ายๆ แต่ขอบเขตและผลกระทบของการโจมตี SolarWinds แสดงให้เห็นว่าการควบคุมช่องว่างเหล่านี้มีความสำคัญต่อความมั่นคงของชาติสหรัฐฯ เพียงใด

การละเมิด SolarWindsซึ่งน่าจะดำเนินการโดยกลุ่มที่เกี่ยวข้องกับบริการรักษาความปลอดภัย FSB ของรัสเซียทำลายห่วงโซ่อุปทานการพัฒนาซอฟต์แวร์ที่ SolarWinds ใช้เพื่ออัปเดตผู้ใช้ผลิตภัณฑ์การจัดการเครือข่าย Orion 18,000 ราย SolarWinds จำหน่ายซอฟต์แวร์ที่องค์กรใช้เพื่อจัดการเครือข่ายคอมพิวเตอร์ของตน แฮ็คซึ่งถูกกล่าวหาว่าเริ่มต้นในต้นปี 2563 ถูกค้นพบในเดือนธันวาคมเท่านั้นเมื่อ บริษัท รักษาความปลอดภัยทางไซเบอร์FireEye เปิดเผยว่าถูกมัลแวร์โจมตี ที่น่าเป็นห่วงกว่านั้น อาจเป็นส่วนหนึ่งของการโจมตีรัฐบาลและเป้าหมายทางการค้าในวงกว้างในสหรัฐอเมริกา

ฝ่ายบริหารของ Biden กำลังเตรียมคำสั่งของผู้บริหารที่คาดว่าจะแก้ไขช่องโหว่ของซัพพลายเชนซอฟต์แวร์เหล่านี้ อย่างไรก็ตาม การเปลี่ยนแปลงเหล่านี้ อาจไม่ได้ป้องกันการโจมตี SolarWinds แม้จะมีความสำคัญก็ตาม และการป้องกันการโจมตีแรนซัมแวร์ เช่น การโจมตี Colonial Pipeline นั้นต้องการหน่วยข่าวกรองและการบังคับใช้กฎหมายของสหรัฐฯ เพื่อแทรกซึมกลุ่มอาชญากรไซเบอร์ทุกกลุ่มในยุโรปตะวันออก

ห่วงโซ่อุปทาน การรักษาความปลอดภัยที่เลอะเทอะ และการขาดแคลนผู้มีความสามารถ

ช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ – การรวบรวมส่วนประกอบซอฟต์แวร์และบริการพัฒนาซอฟต์แวร์ที่บริษัทใช้ในการสร้างผลิตภัณฑ์ซอฟต์แวร์ – เป็นปัญหาที่ทราบกันดีในด้านความปลอดภัย ในการตอบสนองต่อคำสั่ง ผู้บริหารในปี 2560 รายงานโดยหน่วยงานระหว่างหน่วยงานที่นำโดยกระทรวงกลาโหมระบุว่า “ระดับการพึ่งพาอาศัยจากต่างประเทศที่น่าประหลาดใจ” ความท้าทายด้านแรงงานและความสามารถที่สำคัญ เช่น การผลิตแผงวงจรพิมพ์ที่บริษัทต่างๆ ย้ายออกนอกชายฝั่งเพื่อแสวงหาการแข่งขัน การกำหนดราคา ปัจจัยทั้งหมดเหล่านี้มีบทบาทในการโจมตี SolarWinds

SolarWinds ซึ่งได้รับแรงหนุนจากกลยุทธ์การเติบโตและแผนการที่จะแยกธุรกิจผู้ให้บริการที่มีการจัดการออกในปี 2564 นั้นต้องแบกรับความรับผิดชอบอย่างมากต่อความเสียหายดังกล่าว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าว ฉันเชื่อว่าบริษัทเสี่ยงภัยด้วยการจ้างบริษัทพัฒนาซอฟต์แวร์ไปยังยุโรปตะวันออกซึ่งรวมถึงบริษัทในเบลารุสด้วย เป็นที่ทราบกันดีว่าเจ้าหน้าที่รัสเซียใช้บริษัทต่างๆ ในอดีตประเทศดาวเทียมของสหภาพโซเวียตเพื่อแทรกมัลแวร์ลงในซัพพลายเชนซอฟต์แวร์ รัสเซียใช้เทคนิคนี้ในการโจมตี NotPetya ในปี 2560 ซึ่งทำให้บริษัททั่วโลกต้องสูญเสียเงินกว่า 10,000 ล้านเหรียญสหรัฐ

SolarWinds ยังล้มเหลวในการฝึกสุขอนามัยความปลอดภัยทางไซเบอร์ขั้นพื้นฐานตามที่นักวิจัยด้านความปลอดภัยทางไซเบอร์

Vinoth Kumar รายงานว่ารหัสผ่านสำหรับเซิร์ฟเวอร์การพัฒนาของบริษัทซอฟต์แวร์ถูกกล่าวหาว่า “solarwinds123” ซึ่งเป็นการละเมิดมาตรฐานพื้นฐานของความปลอดภัยทางไซเบอร์อย่างร้ายแรง การจัดการรหัสผ่านที่เลอะเทอะของ SolarWinds เป็นเรื่องน่าขันในแง่ของรางวัลการจัดการรหัสผ่านแห่งปีที่บริษัทได้รับในปี 2019 สำหรับผลิตภัณฑ์ Passportal

ในบล็อกโพสต์บริษัทยอมรับว่า “ผู้โจมตีสามารถหลีกเลี่ยงเทคนิคการตรวจจับภัยคุกคามที่ใช้โดย SolarWinds บริษัทเอกชนอื่นๆ และรัฐบาลกลาง”

คำถามที่ใหญ่กว่าคือเหตุใด SolarWinds บริษัทสัญชาติอเมริกันจึงต้องหันไปหาผู้ให้บริการจากต่างประเทศเพื่อพัฒนาซอฟต์แวร์ รายงาน ของกระทรวงกลาโหมเกี่ยวกับซัพพลายเชนระบุว่าการขาดวิศวกรซอฟต์แวร์เป็นวิกฤต ส่วนหนึ่งเป็นเพราะท่อส่งการศึกษาไม่ได้จัดหาวิศวกรซอฟต์แวร์ให้เพียงพอต่อความต้องการในภาคการค้าและการป้องกันประเทศ

ยังขาดแคลนผู้มีความสามารถด้านการรักษาความปลอดภัยทางไซเบอร์ในสหรัฐฯ วิศวกร นักพัฒนาซอฟต์แวร์ และวิศวกรเครือข่าย ถือเป็นทักษะที่จำเป็นที่สุดในสหรัฐอเมริกาและการขาดวิศวกรซอฟต์แวร์ที่ให้ความสำคัญกับความปลอดภัยของซอฟต์แวร์โดยเฉพาะนั้นเป็นเรื่องร้ายแรง

การแบ่งแยกอำนาจ

แม้ว่าฉันจะโต้แย้งว่า SolarWinds มีอะไรให้ตอบอีกมาก แต่ก็ไม่ควรต้องป้องกันตัวเองจากการโจมตีทางไซเบอร์ที่จัดโดยรัฐด้วยตัวมันเอง ยุทธศาสตร์ไซเบอร์แห่งชาติปี 2018อธิบายว่าความปลอดภัยของห่วงโซ่อุปทานควรทำงานอย่างไร รัฐบาลกำหนดความปลอดภัยของผู้รับเหมาของรัฐบาลกลาง เช่น SolarWinds โดยทบทวนกลยุทธ์การจัดการความเสี่ยง ตรวจสอบให้แน่ใจว่าพวกเขาได้รับแจ้งถึงภัยคุกคามและจุดอ่อน และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นในระบบของพวกเขา

อย่างไรก็ตาม กลยุทธ์อย่างเป็นทางการนี้แบ่งความรับผิดชอบเหล่านี้ระหว่างกระทรวงกลาโหมและระบบข่าวกรอง และกระทรวงความมั่นคงแห่งมาตุภูมิสำหรับหน่วยงานพลเรือน โดยยังคงใช้แนวทางแยกส่วนในการรักษาความปลอดภัยข้อมูลที่เริ่มต้นในยุคเรแกน การดำเนินการตามกลยุทธ์จะขึ้นอยู่กับคำสั่งทางไซเบอร์ของสหรัฐอเมริกา ของ DOD และหน่วย งานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของ DHS กลยุทธ์ของ DOD คือการ “ป้องกันไปข้างหน้า” นั่นคือเพื่อขัดขวางกิจกรรมทางไซเบอร์ที่เป็นอันตรายที่แหล่งที่มา ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพในการ เลือกตั้ง กลางเทอมปี 2018 สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน ซึ่งก่อตั้งขึ้นในปี 2561 มีหน้าที่ให้ข้อมูลเกี่ยวกับภัยคุกคามต่อภาคโครงสร้างพื้นฐานที่สำคัญ

ดูเหมือนไม่มีหน่วยงานใดส่งเสียงเตือนหรือพยายามลดการโจมตี SolarWinds การตอบสนองของรัฐบาลมีขึ้นหลังจากการโจมตีเท่านั้น สำนักงานรักษาความปลอดภัยไซเบอร์และโครงสร้างพื้นฐานได้ออกการแจ้งเตือนและคำแนะนำและมีการ จัดตั้ง กลุ่มประสานงานทางไซเบอร์เพื่ออำนวยความสะดวกในการประสานงานระหว่างหน่วยงานของรัฐบาลกลาง

แม้ว่าการกระทำทางยุทธวิธีเหล่านี้จะมีประโยชน์ แต่ก็เป็นเพียงวิธีแก้ปัญหาบางส่วนสำหรับปัญหาเชิงกลยุทธ์ที่ใหญ่กว่า การกระจายตัวของหน่วยงานสำหรับการป้องกันทางไซเบอร์ระดับชาติที่เห็นได้ชัดในการแฮ็ก SolarWinds เป็นจุดอ่อนเชิงกลยุทธ์ที่ทำให้การรักษาความปลอดภัยทางไซเบอร์มีความซับซ้อนสำหรับภาครัฐและเอกชน และเชิญชวนให้มีการโจมตีห่วงโซ่อุปทานซอฟต์แวร์มากขึ้น

ปัญหาร้ายๆ

การป้องกันภัยทางไซเบอร์แห่งชาติเป็นตัวอย่างของ “ ปัญหาที่ชั่วร้าย ” ซึ่งเป็นปัญหาด้านนโยบายที่ไม่มีแนวทางแก้ไขหรือวัดความสำเร็จที่ชัดเจน คณะกรรมาธิการ Cyberspace Solariumระบุถึงความไม่เพียงพอหลายประการของการป้องกันทางไซเบอร์ระดับชาติของสหรัฐฯ ในรายงานประจำปี 2020 คณะกรรมาธิการระบุว่า “ยังไม่มีความเป็นน้ำหนึ่งใจเดียวกันของความพยายามหรือทฤษฎีแห่งชัยชนะที่ชัดเจนซึ่งขับเคลื่อนแนวทางของรัฐบาลกลางในการปกป้องและรักษาความปลอดภัยไซเบอร์สเปซ”

ปัจจัยหลายประการที่ทำให้ความท้าทายในการพัฒนาการป้องกันทางไซเบอร์ระดับชาติแบบรวมศูนย์นั้นอยู่นอกเหนือการควบคุมโดยตรงของรัฐบาล ตัวอย่างเช่น แรงขับเคลื่อนทางเศรษฐกิจผลักดันบริษัทเทคโนโลยีให้นำผลิตภัณฑ์ออกสู่ตลาดอย่างรวดเร็ว ซึ่งอาจนำไปสู่การใช้ทางลัดที่บ่อนทำลายความปลอดภัย การออกกฎหมายตามแนวทางของกฎหมายGramm-Leach-Bliley Act ที่ผ่านในปี 2542 สามารถช่วยจัดการกับความต้องการความเร็วในการพัฒนาซอฟต์แวร์ได้ กฎหมายกำหนดข้อกำหนดด้านความปลอดภัยของสถาบันการเงิน แต่บริษัทพัฒนาซอฟต์แวร์มีแนวโน้มที่จะต่อต้านกฎระเบียบและการกำกับดูแลเพิ่มเติม

ฝ่ายบริหารของ Biden ดูเหมือนจะท้าทายอย่างจริงจัง ประธานาธิบดีได้แต่งตั้งผู้อำนวยการด้านความปลอดภัยทางไซเบอร์แห่งชาติเพื่อประสานงานความพยายามของรัฐบาลที่เกี่ยวข้อง ยังคงต้องจับตาดูว่าฝ่ายบริหารจะจัดการกับปัญหาของหน่วยงานที่กระจัดกระจายอย่างไรและอย่างไร และชี้แจงว่ารัฐบาลจะปกป้องบริษัทที่จัดหาโครงสร้างพื้นฐานดิจิทัลที่สำคัญได้อย่างไร มันไม่สมเหตุสมผลเลยที่จะคาดหวังให้บริษัทในสหรัฐอเมริกาสามารถป้องกันตัวเองจากการโจมตีทางอินเทอร์เน็ตของต่างประเทศได้

ก้าวไปข้างหน้า

ในระหว่างนี้ นักพัฒนาซอฟต์แวร์สามารถใช้แนวทางการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งสนับสนุนโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ รัฐบาลและอุตสาหกรรมสามารถจัดลำดับความสำคัญของการพัฒนาปัญญาประดิษฐ์ที่สามารถระบุมัลแวร์ในระบบที่มีอยู่ได้ อย่างไรก็ตาม ทั้งหมดนี้ต้องใช้เวลา และแฮกเกอร์ก็เคลื่อนไหวอย่างรวดเร็ว

สุดท้ายนี้ บริษัทต่างๆ จำเป็นต้องประเมินจุดอ่อนของตนอย่างจริงจัง โดยเฉพาะอย่างยิ่งโดยมีส่วนร่วมในกิจกรรม ” red teaming ” มากขึ้น กล่าวคือ การให้พนักงาน ผู้รับเหมา หรือทั้งสองบทบาทเป็นแฮ็กเกอร์และโจมตีบริษัท

การตระหนักว่าแฮ็กเกอร์ที่ให้บริการฝ่ายตรงข้ามจากต่างประเทศนั้นทุ่มเท ละเอียดถี่ถ้วน และไม่ถูกจำกัดด้วยกฎเกณฑ์ใดๆ เป็นสิ่งสำคัญสำหรับการคาดการณ์การเคลื่อนไหวครั้งต่อไปและการเสริมกำลังและปรับปรุงการป้องกันทางไซเบอร์ของสหรัฐฯ มิฉะนั้น Colonial Pipeline ไม่น่าจะตกเป็นเหยื่อรายสุดท้ายของการโจมตีโครงสร้างพื้นฐานของสหรัฐฯ ครั้งใหญ่ และ SolarWinds ก็ไม่น่าจะตกเป็นเหยื่อรายสุดท้ายของการโจมตีครั้งใหญ่ในซัพพลายเชนซอฟต์แวร์ของสหรัฐฯ