Case Study: อดีตพนักงานสุดโกรธ แฮคบริษัทเสียหายกว่า 27 ล้าน

June 15, 2024

Written for you by

S. Wirat, Managing Director

สารบัญ

วันนี้เรามาดูกรณีศึกษาเรื่องการละเลยความปลอดภัยที่เกิดขึ้นในประเทศเพื่อนบ้านเรามาหมาด ๆ กันครับ ซึ่งหนึ่งในสิ่งที่พวกเราแคร์ดิจิตัลได้เจอตลอดหลายปีที่ผ่านมาเมื่อพูดคุยกับระดับผู้บริหารของแต่ละบริษัทคือ หลายคนไม่สนเรื่องความปลอดภัยทางไซเบอร์ครับ เราก็โทษเจ้าของไม่ได้นั่นแหละ เพราะงานบริษัทที่รัดตัวมันทำให้ใครจะมีเวลามาโฟกัสเรื่องนี้ แต่ปัญหาคือ ถ้าคุณมีพนักงานแผนก IT อยู่แล้ว คุณก็ควรมีมาตรการความปลอดภัยหรือให้แผนก IT จัดการครับ โดยส่วนใหญ่กลับไม่ได้สนใจอะไรแบบนี้เลยน่ะสิ

วันนี้เราเจอข่าวจาก Channel News Asia เกี่ยวกับประเทศเพื่อนบ้านของเราอย่าง สิงคโปร์ ที่บริษัทหนึ่งโดนพนักงานที่โดนไล่ออกไปแล้วแฮคเข้าให้ ความโกรธเปลี่ยนเป็นความเสียหายแก่บริษัทกว่า 27 ล้านบาท ทั้ง ๆ ที่สิ่งที่เกิดขึ้นป้องกันได้ไม่ยากเลย ควรอ่านครับโดยเฉพาะใครที่ชอบให้ Account หลักของบริษัทแก่พนักงาน ไม่ว่าจะเป็นอีเมล, บัญชีโซเชียล, บัญชียิงโฆษณา เป็นต้น คุณจะไม่อยากทำแบบนั้นอีกเลย

เรื่องราวก่อนเกิดเหตุการณ์เจาะระบบบริษัท

Male employee is stressed or angry while he is fired from being an employee of the company.

คันดูลา นาการาจู วัย 39 ปี เป็นพนักงานของ NCS (National Computer Systems) บริษัทไอทีชั้นนำในเอเชียตะวันออกเฉียงใต้ที่ตั้งอยู่ในสิงคโปร์ เขาทำงานในทีม QA (Quality Assurance) ของบริษัท ซึ่งมีหน้าที่จัดการระบบคอมพิวเตอร์ที่ใช้สำหรับการทดสอบซอฟต์แวร์ใหม่ ๆ ก่อนปล่อยให้ลูกค้าและผู้ใช้ได้ใช้งานกัน

เมื่อเดือนตุลาคม 2022 สัญญาของนาการาจูถูกยกเลิกเนื่องจากผลงานที่ไม่ดีนัก แม้ว่าเขาจะออกจากออฟฟิศไปแล้ว แต่วันสุดท้ายของการจ้างงานอย่างเป็นทางการของเขานั่นคือวันที่ 16 พฤศจิกายน 2022 นาการาจูรู้สึก “สับสนและไม่พอใจ” ที่ถูกไล่ออกเนื่องจากเขารู้สึกว่าได้ทำผลงานได้ดีและ “มีส่วนร่วมอย่างดี” กับ NCS ในระหว่างการจ้างงาน

หลังออกจาก NCS เขาไม่มีงานใหม่ในสิงคโปร์และได้กลับไปอินเดีย บ้านเกิดของเขา แต่ระหว่างนั้นนาการาจูก็ค้นพบสิ่งหนึ่ง…ข้อมูลล็อกอินในฐานะผู้ดูแลระบบของเขายังใช้งานได้อยู่!

เกิดอะไรขึ้นกับเหตุการณ์แฮคระบบดิจิตอลของบริษัท?

ระหว่างเดือนมกราคมถึงมีนาคม 2023 เมื่อนาการาจูพบว่าบัญชีผู้ระดับแอดมินในบริษัท (Account Credential) ของเขายังคงใช้งานได้และทำให้เขาสามารถเข้าถึงระบบของ NCS จากระยะไกล (Remote Access) เขาจึงวางแผนแก้แค้นอดีตนายจ้างของเขา เขาเสิร์ชหา “server delete scripts” บน Google และใช้บัญชีที่ยังเข้าได้อยู่นี้เพื่อทดสอบ Script เหล่านั้นบนเซิร์ฟเวอร์ของ NCS

ไม่มีใครในทีมเก่าของเขารู้เรื่องนี้เลย ทำให้เขาสามารถเข้าถึงระบบได้กว่า 13 ครั้งเฉพาะในเดือนมีนาคม 2023 เท่านั้น ในช่วงเวลานี้เองที่เขาได้ปรับแต่งและซ่อนสคริปต์การลบไว้อย่างแนบเนียน และในที่สุด ในวันที่ 18 และ 19 มีนาคม เขาก็เปิดใช้งานสคริปต์ ซึ่งเริ่มลบเซิร์ฟเวอร์ทีละลูกเพื่อลดความผิดสังเกต รวมแล้วถูกลบไปทั้งหมด 180 เซิร์ฟเวอร์ใน 2 วันเท่านั้น!

แล้วทำไมเขาถึงยังเข้าระบบของบริษัทได้ในเมื่อโดนไล่ออกไปแล้ว

Login button on a computer keyboard for accessing your account online on a website

เป็นเรื่องแปลกที่อดีตพนักงานยังสามารถเข้าถึงระบบได้หลังจากที่เขาถูกไล่ออก NCS อธิบายในแถลงการณ์ต่อ CNA ว่า “เนื่องจากความผิดพลาดของแผนก HR ในการบริหารทำให้การเข้าสู่ระบบด้วยบัญชีของเขาทำได้ เพราะ NCS ยังไม่ได้ลบบัญชีของเขาออกจากบริษัท”

นี่แสดงให้เห็นถึงความผิดพลาดร้ายแรงในการจัดการสุขอนามัยการใช้งานระบบดิจิตอลหรือ Digital Hygiene ซึ่งเป็นองค์ประกอบพื้นฐานสำหรับความมั่นคงทางไซเบอร์ในทุกแบรนด์และทุกองค์กรครับ

การละเลยความปลอดภัยในการใช้งานระบบดิจิตอล = ตัวทำลายบริษัทชั้นดี

Technician damaging a computer with a screwdriver

ในกรณีนี้ NCS ควรจะต้องตรวจสอบให้แน่ใจว่า ทันทีที่ยกเลิกสัญญากับพนักงาน สิทธิ์การเข้าถึงทั้งหมดจะต้องถูกยกเลิกอย่างทันท่วงที อย่างน้อยที่สุดคือ การรีเซ็ตรหัสผ่านเพื่อไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงระบบได้ แต่นี่กลับไม่เกิดขึ้น และกลายเป็นโอกาสให้อดีตพนักงานย้อนกลับมาทำลายระบบทั้งหมด เรามาทำความรู้จักกับการจัดการความปลอดภัยด้านระบบดิจิตอล หรือ Security Hygiene กันเบื้องต้นก่อนดีกว่าครับ

สุขอนามัยความปลอดภัยดิจิตอลคืออะไร?

สุขอนามัยความปลอดภัยการใช้งานดิจิทัล (Digital Security Hygiene) คือแนวทางพึงปฏิบัติด้านความปลอดภัยเวลาใช้งานเทคโนโลยีทุกประเภท ซึ่งบริษัททุกระดับควรทำอย่างสม่ำเสมอและให้ความสำคัญเป็นอันดับแรก องค์ประกอบหลักประกอบด้วย:

การบริหารจัดการสิทธิ์ผู้ใช้งาน (User Access Management) คุณไม่จำเป็นต้องโยนทั้ง Account ให้พนักงานนะครับ เพราะหลายซอฟต์แวร์มีระบบจัดการ User ที่คุณสร้างใหม่และกำหนดสิทธิ์การเข้าถึงได้ ทุกครั้งที่มีการเปลี่ยนแปลงสถานะพนักงาน ควรมีการอัพเดทสิทธิ์การเข้าถึงด้วย
การกำหนดนโยบายรหัสผ่านที่ปลอดภัย (Secure Password Policy) ควรกำหนดความยาวรหัสขั้นต่ำ การใช้ตัวอักษรที่หลากหลาย และกำหนรอบในการรีเซ็ทรหัสอยู่เสมอ
การฝึกอบรมพนักงานในการตระหนักรู้ด้าน Cybersecurity (Employee Cybersecurity Awareness Training) แม้ว่าหลายองค์กรมักจะมองข้ามไป แต่พนักงานที่ไม่ระวังและไม่รู้เท่าทันนั้นเป็นความเสี่ยงสูงต่อบริษัทเลยทีเดียว และนี่ก็เป็นหนึ่งในเรื่อง Governance ที่ดีอีกต่างหาก
การใช้หลักการ “ให้สิทธิ์ต่ำสุดเท่าที่ทำได้” (Principle of Least Privilege Access) คือการให้พนักงานเข้าถึงระบบได้แค่ส่วนทีจำเป็นต่อการทำงานเท่านั้น ไม่ควรให้สิทธิ์การเข้าถึงมากเกินจำเป็น ซึ่งเรื่องง่าย ๆ นี้จะเซฟความเสียหายบริษัท NCS ไปได้ถึง 27 ล้านบาทเลยนะครับ

ทำไมเจ้าของธุรกิจอย่างคุณถึงควรสนใจ Security Hygiene?

ในยุคที่ธุรกิจต้องพึ่งพาเทคโนโลยีดิจิทัลมากขึ้น การขาดความใส่ใจในการจัดการสุขอนามัยดิจิทัลก็เท่ากับการเปิดประตูต้อนรับภัยคุกคามทางไซเบอร์ได้ตลอดเวลา เรื่องราวนี้เป็นกรณีตัวอย่างของความสูญเสียที่อาจเกิดขึ้นกับองค์กรได้หากไม่ใส่ใจ ถึงแม้ NCS จะอ้างว่าไม่มีข้อมูลที่ละเอียดอ่อนถูกเก็บอยู่ใน Server ที่ถูกลบ แต่อย่างน้อยก็ทำให้บริษัทต้องเสียเงินไปกว่า 27 ล้านบาทเพื่อแก้ไขสถานการณ์ในครั้งนี้ จินตนาการถึงผลลัพธ์ที่อาจเลวร้ายกว่านี้ หากเป็นข้อมูลลูกค้าหรือข้อมูลทางการเงินที่สูญหาย นอกจากความสูญเสียทางการเงินแล้ว ความน่าเชื่อถือขององค์กรก็จะได้รับผลกระทบอย่างหนักด้วย (ซึ่ง NCS คงเสียหายแบบประเมินค่าไม่ได้เลยในจุดนี้ครับ)

สิ่งที่ธุรกิจของคุณสามารถทำได้เลยวันนี้

การพัฒนากระบวนการความมั่นคงปลอดภัยอย่างต่อเนื่องเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในการทำธุรกิจยุคดิจิทัล เจ้าของธุรกิจหรือผู้บริหารควรเริ่มต้นที่จะ:
• ทำความเข้าใจ และให้ความสำคัญกับการจัดการสุขอนามัยดิจิทัลพื้นฐานในองค์กร
• จัดให้มีการประเมินความเสี่ยงทางไซเบอร์เป็นระยะ เพื่อระบุจุดอ่อนในองค์กร
• ตรวจสอบและปรับปรุงกระบวนการด้านความมั่นคงปลอดภัยทางไซเบอร์ให้ทันสมัย
• ลงทุนในการฝึกอบรมพนักงาน ให้ความรู้เกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์และสิ่งที่ไม่ควรทำ
• ตั้งเป้าหมายในการสร้าง “วัฒนธรรมแห่งการรักษาความปลอดภัย” มากกว่าแค่กระบวนการ

เหตุผลที่เอเจนซี่ออกแบบเว็บไซต์ของเราให้ความสำคัญกับความปลอดภัยในโลกออนไลน์

เว็บไซต์ของลูกค้าที่เอเจนซี่เก่าทำไว้ ไม่มีการอัปเดตและปลั๊กอินที่ติดตั้งหลายตัวไม่ได้ผ่านการประเมินความปลอดภัย

คุณจินตนาการไม่ออกแน่นอนครับว่าเราเจอลูกค้าใหม่เอาเว็บไซต์บริษัทมาให้เราดูเรื่องเว็บไซต์โดน Malware บ่อยแค่ไหน หนึ่งในลูกค้าของเราได้ทำเว็บไซต์กับฟรีแลนซ์ที่ทำเสร็จแล้วหนีหาย ปล่อยเว็บร้างไม่อัปเดตจนโดนแฮ็ค เพียงเพราะต้องการเว็บราคาถูก นี่จึงเป็นเหตุผลที่เอเจนซี่ของเรายอมไม่ได้ถ้าเป็นเรื่องความปลอดภัยครับ เว็บไม่สวยไม่เท่าไหร่ แต่การส่งเว็บที่มันไม่ปลอดภัยให้ลูกค้า เหมือนคุณไปซื้อรถแล้วเขาให้รถที่เครื่องยนต์พร้อมจะไหม้ได้ตลอดเวลา ใครมันจะไปรู้สึกดีจริงไหมครับ

สิ่งที่เอเจนซี่ออกแบบเว็บไซต์ของเราทำเพื่อให้เว็บไซต์ของคุณปลอดภัย

อย่างในเคสนี้ เรามีการใช้หลักการ “ให้สิทธิ์ต่ำสุดเท่าที่ทำได้” (Principle of Least Privilege) มาโดยตลอดกับทีมของเราที่มีส่วนเกี่ยวข้องกับเว็บไซต์และข้อมูลละเอียดอ่อนของลูกค้า เพื่อให้มั่นใจได้ว่า เมื่อคุณเชื่อมั่นใจแคร์ดิจิตัลแล้ว คุณต้องได้รับความปลอดภัยเช่นกัน ซึ่งหลักการนี้สามารถป้องกันสิ่งที่จะเกิดขึ้นในบทความนี้ของ NCS ได้แบบ 100% ครับ ยังไม่รวมถึงมาตรการอื่น ๆ อย่าง

การตั้งพาสเวิร์ดในระดับเกิน 120 ตัวอักษรแบบผสม
การใช้ 2 Factor Authentication ในการเพิ่มความปลอดภัยของ Account
การจัดเก็บพาสเวิร์ดแบบเข้ารหัส End to End Encryption ที่ถือว่าเป็นมาตรารปลอดภัยที่สุด
การเสริมความปลอดภัยในระดับ Server (Server Hardening)
การเสริมความปลอดภัยในระดับเว็บไซต์ เช่น 0-Day Virtual Patching และ Regular Maintenance เป็นต้น
และอื่น ๆ

ซึ่งเราคิดว่าสิ่งเหล่านี้เป็นสิ่งที่คุณก็ควรทำกับทุกอย่างของบริษัทที่เชื่อมต่อเข้ากับอินเทอร์เน็ตครับ หากมีสิ่งใดที่เราสามารถช่วยเหลือได้ ติดต่อมาหาแคร์ดิจิตัลได้นะครับ เรายินดีช่วยเหลือธุรกิจของไทยให้เติบโตไปพร้อมความปลอดภัยซึ่งไม่ใช่เรื่องยาก แต่เป็นเรื่องจำเป็นที่ละเลยไม่ได้

ขอบคุณที่มาของข่าว: https://www.channelnewsasia.com/singapore/former-employee-hack-ncs-delete-virtual-servers-quality-testing-4402141

แชร์คอนเทนต์ให้ทุกคนได้อ่าน