Hack บริษัทตัวเอง

โดย...พงศ์วุฒิ ไพรไพศาลกิจ

กระแสการรักษาความปลอดภัยในองค์กรภาครัฐและเอกชนยังคงเป็นประเด็นร้อนแรง ยิ่งในยุคนี้มีเครื่องมือที่ทันสมัยมากขึ้นทำให้ง่ายต่อการเข้าถึงข้อมูลขององค์กรได้ไม่ยากเย็น และระบบรักษาความปลอดภัยเดิมที่มีอยู่อาจจะไม่เพียงพอต่อภัยคุกคามที่เกิดขึ้นใหม่ ดังนั้นเพื่อให้รู้และสามารถป้องกัน อีกทั้งสร้างระบบรักษาความปลอดภัยได้อย่างถูกวิธี องค์กรเองก็ควรจะคิดอย่างเดียวกับที่ Hacker คิดว่ามีช่องว่างใดที่จะทำให้เข้าถึงข้อมูลที่สำคัญขององค์กรได้บ้าง

ขั้นตอนก่อนจะเริ่ม Hack องค์กรตัวเอง ส่วนสำคัญที่สุดคือ การวิเคราะห์ และประเมินความเสี่ยงของระบบ IT ซึ่งจะรวมถึงการวิเคราะห์ตรวจหาช่องโหว่ในระบบที่เรียกว่า “Vulnerability Assessment” และการทดสอบเจาะระบบเพื่อนำเอาข้อมูลที่สำคัญออกมาจากระบบโดยการทดลอง Hack เสมือนว่ามี Hacker เข้ามาเจาะระบบ เรียกขั้นตอนนี้ว่า “Penetration Testing” ซึ่งรวมไปถึงการทดสอบความแข็งแกร่งของระบบโดยการจำลองการโจมตีไว้หลากหลายแบบ

หนึ่งในเทคนิคการเจาะระบบคือการทำ Black-Box Penetration Testing โดยองค์กรจะจ้างผู้เชี่ยวชาญหรือ Hacker มาตรวจสอบระบบ ซึ่ง Hacker เหล่านั้นจะไม่ได้รับข้อมูลใดๆ นอกจากเป้าหมายที่ต้องการให้ทดสอบ ที่เหลือต้องพยายามเจาะเข้ามาจาก Internet โดยใช้ความสามารถในการค้นหาช่องโหว่ที่มีอยู่ในแต่ละระบบขององค์กร มีข้อดี คือ องค์กรสามารถประเมินความแข็งแกร่งของระบบตนเองได้จากภายนอก ซึ่งจะต่างจากการ Hack ระบบขององค์กรในรูปแบบ White-Box Penetration Testing ซึ่งจะเป็นการเจาะระบบที่ Hacker จะต้องเข้ามาที่ Office และ On-Line เข้าสู่ระบบภายในขององค์กรได้ก่อน หรือเป็นการเจาะระบบจากข้างในองค์กรนั่นเอง

ทั้งนี้ องค์กรควรทำทั้งสองแบบแล้วนำผลลัพธ์ที่ได้มาวิเคราะห์ผลรวมกัน เพื่อหาแนวทางแก้ไข ซึ่งการ Hack ระบบขององค์กรตนเองเป็นสิ่งที่แต่ละองค์กรควรทำ เพื่อรู้ช่องโหว่อันจะนำไปสู่การป้องกันที่ถูกต้อง