5 เหตุการณ์ ภัยคุกคามด้าน OT Security ที่น่าสนใจ

16 มกราคม 2023

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

การโจมตีทางไซเบอร์ในปัจจุบันขยายขอบเขตขึ้นเรื่อย ๆ จนก่อให้เกิดความเสียหายต่อโครงสร้างพื้นฐานของธุรกิจ รวมถึงกลุ่มธุรกิจอุตสาหกรรมที่ตกเป็นหนึ่งในเป้าโจมตี เพราะ ระบบการผลิตและบริหารจัดการภายในอุตสาหกรรมต่างจำเป็นต้องใช้ระบบไอทีเข้ามาเป็นส่วนช่วยอำนวยความสะดวกระบบการผลิตและบริหารจัดการภายใน จึงทำให้เพิ่มความเสี่ยงในการถูกโจมตีแบบไม่รู้ตัว  

ในบทความนี้จะกล่าวถึงความหมายและความสำคัญของ OT Security รวมถึงรายงานตัวอย่างเหตุการณ์การโจมตี OT ครั้งใหญ่ที่ส่งผลกระทบต่อธุรกิจอันดับต้นๆ ในต่างประเทศ

OT Security คืออะไร

OT Security หรือ Operational Security เป็นเทคโนโลยีที่ออกแบบมาโดยเฉพาะเพื่อใช้ในโครงสร้างพื้นฐานที่สำคัญอย่างเช่น ไฟฟ้า น้ำ การผลิต และอุตสาหกรรมต่างๆ ลักษณะเป็นการทำงานแบบอัตโนมัติ สามารถตรวจสอบและจัดการการทำงานของเครื่องจักรอุตสาหกรรม โดยใช้โปรโตคอลและซอฟต์แวร์ที่กำหนดเองเพื่อสื่อสารกับระบบการทำงานภายในอุตสาหกรรม และออกแบบมาเพื่อตอบสนองความต้องการด้านความปลอดภัยเฉพาะของระบบจัดการอุตสาหกรรม 

โดยมีเหตุการณ์การโจมตีโครงสร้างพื้นฐานครั้งใหญ่ 5 อันดับล่าสุด ดังนี้

1.การโจมตีสำนักงานใหญ่ของ Oil India

เหตุการณ์เกิดขึ้นในเดือนเมษายน 2022 Oil India บริษัทน้ำมัน ชั้นนำของอินเดียตกเป็นเหยื่อของการโจมตีไซเบอร์ ทำให้ระบบคอมพิวเตอร์เสียหาย ถูกล็อกไม่ให้เข้าใช้งานหลังจากถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ (Ransomware) แม้ว่าทาง Oil India ยืนยันว่าระบบการผลิตและการขุดเจาะน้ำมันไม่ได้รับผลกระทบก็ตาม แต่การโจมตีดังกล่าวแฮกเกอร์เรียกค่าไถ่ได้มากกว่า 7.5 ล้านดอลล่าห์สหรัฐ หรือ ประมาณ 57 ล้านรูปี เพื่อกู้คืนการเข้าถึงระบบคอมพิวเตอร์ โดยบริษัทได้จ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระหว่างประเทศมาช่วยหาต้นตอของการโจมตี หาวิธีรีบูตและกู้คืนระบบ ซึ่งจากการรายงานของบริษัทได้สร้างความมั่นใจให้กับกลุ่มลูกค้าและผู้ถือหุ้นว่าข้อมูลทั้งหมดนั้นปลอดภัย

2.การโจมตีบริษัท Colonial Pipeline ผู้ให้บริการท่อส่งน้ำมันรายใหญ่

Colonial Pipeline ดำเนินธุรกิจระบบท่อส่งน้ำมันที่ใหญ่สุดแห่งหนึ่งของสหรัฐอเมริกา ได้รับผล กระทบจากการระบาดของแรนซัมแวร์เมื่อวันที่ 29 เมษายน 2021 มีรายงานว่าแฮกเกอร์สามารถเข้าถึงเครือข่ายของ Colonial Pipeline เพื่อขโมยข้อมูลเกือบ 100 GB และขู่ว่าจะนำไปเผยแพร่ทางอินเทอร์เน็ตหากไม่เงินจ่ายค่าไถ่ โดยมีรายงานว่าภายในไม่กี่ชั่วโมงหลังการโจมตี บริษัทได้จ่ายค่าไถ่เกือบ 75 Bitcoins (5 ล้านเหรียญสหรัฐ) ให้แฮ็กเกอร์เพื่อแลกกับเครื่องมือถอดรหัส และจากการตรวจสอบระบุว่าสาเหตุเกิดได้จากหลายปัจจัย เช่น ช่องโหว่ที่ขาดการแพทช์อย่างสม่ำเสมอ การส่งอีเมลฟิชชิ่งที่สามารถหลอกลวงพนักงานได้สำเร็จหรืออาจใช้กลยุทธ์อื่นๆ เจาะเครือข่าย บริษัท Colonial Pipeline จึงได้ระงับระบบทั้งหมดเพื่อจำกัดการโจมตี ทำให้การขนส่งน้ำมันไปยังลูกค้าและสายการบิน East Coast ได้รับผล กระทบจากการปิดทำการ เนื่องจากการบุกรุกระบบท่อขนส่งน้ำมันจากโรงกลั่นไปยังตลาดอุตสาหกรรมซึ่งถือเป็นภัยต่อความมั่นคงของชาติ ส่งผลให้ประธานาธิบดี โจ ไบเดน ประกาศภาวะฉุกเฉิน โดยลงนามในคำสั่งผู้บริหารเพิ่มมาตรฐานความปลอดภัยของซอฟต์แวร์ เพิ่มความเข้มงวดในการตรวจจับและรักษาความปลอดภัยในระบบที่มีอยู่ ปรับปรุงการแบ่งปันข้อมูลและการฝึกอบรม จัดตั้งคณะกรรมการพิจารณาความปลอดภัยทางไซเบอร์ และปรับปรุงการตอบสนองต่อเหตุการณ์ นอกจากนี้กระทรวงยุติธรรมของสหรัฐอเมริกายังได้จัดตั้งหน่วยงานด้านความปลอดภัยทางไซเบอร์เพื่อเพิ่มการดำเนินคดีอีกด้วย การดำเนินการขนส่งน้ำมันกลับมาให้บริการอีกครั้งหลังจากการปิดระบบ 6 วัน บริษัทระบุว่าลูกค้ายังคงประสบปัญหาและต้องหยุดชะงักเป็นระยะ พร้อมกับยืนยันว่าจะเคลื่อนย้ายน้ำมันเบนซิน ดีเซล และน้ำมันอากาศยานให้มากที่สุดเท่าที่จะเป็นไปได้อย่างปลอดภัยจนกว่าตลาดจะกลับสู่ภาวะปกติ ซึ่งระบบท่อขนส่งและการดำเนินงานทั้งหมดกลับมาเป็นปกติในวันที่ 15 พฤษภาคม 2021 โดยหลังจากการปิดโรงงาน ต้นทุนเฉลี่ยของประเทศเพิ่มขึ้นสูงสุดในรอบ 6 ปี จากการเพิ่มขึ้นของราคาน้ำมัน

3.การโจมตี Dr Reddy’s Laboratories

ท่ามกลางวิกฤตโควิด-19 ปี 2020 เมื่อโลกกำลังดิ้นรนสร้างวัคซีนป้องกันไวรัส Dr Reddy’s Laboratories บริษัทยักษ์ใหญ่ด้านเภสัชกรรมก็ได้รับผลกระทบจากการละเมิดข้อมูลอย่างรุนแรง   และได้ปิดโรงงานผลิตทั้งหมดทั่วโลกหลังจากมีรายงานการละเมิดข้อมูลในเซิร์ฟเวอร์ เหตุการณ์นี้เกิดขึ้นในอินเดียเพียงไม่กี่วันหลังจากที่บริษัทยาได้รับอนุญาตให้ดำเนินการทดลองวัคซีนของรัสเซียระยะที่ 2 จาก 3 ระยะ โดยเครือข่ายโรงงานในสหรัฐอเมริกา สหราชอาณาจักร บราซิล อินเดีย และรัสเซีย ได้รับผลกระทบจากการโจมตีครั้งนี้ ผู้บริหารฝ่ายสารสนเทศของบริษัทฯ แจ้งต่อตลาดหลักทรัพย์ว่าได้แยกบริการศูนย์ข้อมูลทั้งหมดออกจากระบบที่ถูกโจมตีและระบุว่าธุรกิจมีแผนจะกลับมาให้บริการทั้งหมดภายใน 24 ชั่วโมง พร้อมกับยืนยันว่าปัญหานี้ไม่ส่งผลกระทบต่อการดำเนินงานของบริษัท

4.การโจมตีโรงงานนิวเคลียร์ Kudankulam

การโจมตีทางไซเบอร์ที่โรงไฟฟ้านิวเคลียร์ Kudankulam เกิดขึ้นในต้นเดือนกันยายน 2019

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และอดีตพนักงานของหน่วยงานข่าวกรองของอินเดีย องค์การวิจัยทางเทคนิคแห่งชาติ ทวีตข้อความแจ้งเตือนว่า การเข้าถึงระดับตัวควบคุมโดเมนเกิดขึ้นที่ Kudankulam และตกเป็นเป้าหมายสำคัญของการโจมตี การโจมตีได้รับการตรวจสอบโดยกระทรวงพลังงานปรมาณูของอินเดีย ซึ่งพบว่ามีคอมพิวเตอร์เพียงเครื่องเดียวที่ตกเป็นเป้าหมาย ซึ่งเป็นคอมพิวเตอร์ส่วนบุคคลที่เชื่อมต่อกับเซิร์ฟเวอร์อินเทอร์เน็ตของเครือข่ายที่ใช้ดูแลระบบ แม้ว่าโรงงานจะพยายามมองข้ามเหตุการณ์ดังกล่าว แต่ผู้เชี่ยวชาญด้านความปลอดภัยและเจ้าหน้าที่รัฐบาลอินเดียก็ได้แสดงความกังวลเกี่ยวกับการโจมตีในอนาคต โดยให้ความเห็นว่าการโจมตีทางไซเบอร์ในโรงไฟฟ้านิวเคลียร์อาจส่งผลกระทบทางกายภาพ โดยเฉพาะอย่างยิ่งหากเครือข่ายที่ควบคุมอุปกรณ์และซอฟต์แวร์ที่ควบคุมเครื่องปฏิกรณ์นิวเคลียร์ถูกแฮก อาจก่อให้เกิดผลกระทบต่อความมั่นคงแห่งชาติ และเป็นหายนะครั้งใหญ่ในประเทศที่มีประชากรหนาแน่นอย่างอินเดีย

5.การโจมตี Kemuri โรงงานบำบัดน้ำเสีย

ในเดือนมีนาคม 2016 มีข้อมูลสรุปจาก Verizon เกี่ยวกับการละเมิดข้อมูลโรงงานบำบัดน้ำโดยใช้นามแฝงว่า Kemuri Water Company จากรายงานระบุว่าแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ SQL Injection โจมตีเว็บเซิร์ฟเวอร์ของแอปพลิเคชันการชำระเงิน เซิร์ฟเวอร์นี้มีที่อยู่ IP ภายในและข้อมูลพวกชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ ซึ่งคาดว่าผู้โจมตีได้ขโมยข้อมูลกว่า 2.5 ล้านรายการซึ่งประกอบด้วยข้อมูลลูกค้าและข้อมูลการชำระเงิน นอกจากนี้แฮกเกอร์ยังสามารถเข้าถึงซอฟต์แวร์และเปลี่ยนการตั้งค่าที่เกี่ยวข้องกับการไหลของน้ำและปริมาณของสารเคมีที่ใช้ในการบำบัดน้ำ รายงานระบุอีกว่าแฮกเกอร์เชื่อมต่อกับซอฟต์แวร์ TeamViewer บนเวิร์กสเตชันที่เชื่อมโยงกับการควบคุมการบำบัดน้ำ และเพิ่มปริมาณของด่างในน้ำดื่ม แต่พนักงานโรงงานสังเกตเห็นเคอร์เซอร์ของเวิร์กสเตชันเคลื่อนที่เองและทำงานโดยไม่ได้รับอนุญาต ทำให้การโจมตีถูกขัดขวางอย่างทันท่วงที สามารถคืนค่าการเปลี่ยนแปลงของสารเคมีและการไหลได้อย่างรวดเร็ว ซึ่งช่วยลดผลกระทบต่อลูกค้าได้อย่างมาก

บทสรุป

การโจมตีทางไซเบอร์ขยายขอบเขตและรุนแรงมากขึ้นในหลายกลุ่มธุรกิจ เพราะแฮกเกอร์เปลี่ยนเป้าหมายอยู่เสมอ ทั้งเพื่อโจมตีหน่วยงานรัฐ บริษัทเอกชน ไม่เว้นแม้แต่กลุ่มอุตสาหกรรม ซึ่งสังเกตได้จากตัวอย่าง 5 เหตุการณ์การโจมตีที่มุ่งเป้าไปที่โครงสร้างพื้นฐานอุตสาหกรรมระดับประเทศ แสดงให้เห็นว่าโครงสร้างพื้นฐานที่สำคัญระดับประเทศนั้น มีความเสี่ยงสูงต่อการถูกโจมตี  ดังนั้น ไม่ว่าจะเป็นองค์กร หน่วยงาน หรือ ธุรกิจรูปแบบใดก็จำเป็นต้องมีการรักษาความปลอดภัยของโครงสร้างพื้นฐานโดยครอบคลุมทั้งบุคลากร กระบวนการ เทคโนโลยี และวงจรการบริหารความเสี่ยงทั้งหมด เพื่อลดความเสี่ยงในการตกเป็นผู้เสียหายนั่นเอง

ที่มา: checkpoint , hindustantimes , zdnet , businesstoday , armscontrol , theregister

บทความที่เกี่ยวข้อง