SUSE by Ingram

[PR] รถไร้คนขับ: วิถีชีวิตใหม่และภัยไซเบอร์ใหม่

รถไร้คนขับเริ่มเป็นหัวข้อในการสนทนามากขึ้น โดยประเทศฝรั่งเศส อังกฤษ และสวิสเซอร์แลนด์ได้เริ่มการทดสอบยานพาหนะไร้คนขับนี้แล้ว ทั้งนี้ การ์ทเนอร์ได้ประมาณการณ์ว่า ภายในปีคศ. 2030 จะมีการใช้รถไร้คนขับนี้ในตลาดประเทศที่มีความพร้อมมากนี้ถึงประมาณ 25%

ในขณะที่รถไร้คนขับนี้แสดงถึงวิสัยทัศน์ต่ออนาคต สำหรับพวกแฮกเกอร์แล้วย่อมเป็นโอกาสในการโจรกรรมด้วยเช่นกัน ซึ่งตอนนี้อุตสาหกรรมยานยนต์และอุตสาหกรรมความปลอดภัยกำลังให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก

รถไร้คนขับจะใช้เทคโนโลยีใหม่ๆ เข้ามาใช้ อาทิ เซ็นเซอร์ เรดาร์ GPS mapping และ Artificial intelligence เพื่อให้รถขับเคลื่อนด้วยตัวเองได้ ซึ่งต้องมีการต่อเชื่อมระบบเหล่านี้เข้าไปยังระบบออนบอร์ดอีเล็กทรอนิกส์ รวมทั้งต้องสร้างเครือข่ายการเชื่อมโยงแบบไร้สายไปยังผู้ผลิตและผู้ให้บริการบุคคลที่สามให้สามารถเข้ามาจัดการแก้ไขให้บริการในกรณีต่างๆ ได้เช่นกัน และนี่คือประเด็นปัญหา ที่แฮกเกอร์สามารถทำการรีโมทเข้ามาที่รถและหาทางให้ระบบออนบอร์ดนั้นยอมรับภัย หรือที่เรียกกันว่าการคอมโพรไม้ส์ (Compromise) ให้เข้าไปในระบบ จึงเกิดความเสี่ยงเรื่องการขโมยข้อมูลด้านการค้าและข้อมูลส่วนตัว รวมถึงมีผลถึงความปลอดภัยด้านกายภาพของคนและสิ่งของด้วยเช่นกัน

driverelss-car-1

 

แนวโน้มภัยที่อาจเกิดขึ้นกับรถไร้คนขับ ได้แก่:

เข้ามาทางจุดอ่อนในระบบ – ไม่ใช่ว่าระบบและเครือข่ายในรถยนต์เครือข่ายจะถูกสร้างขึ้นมาเหมือนกันหมด ผู้โจมตีจะหาช่องโหว่บนบริการที่การปกป้องน้อยกว่า เช่น ระบบความบันเทิง และพยายามที่จะกระโดดเข้ามาเครือข่ายภายในรถไปยังระบบที่มีความสำคัญมากขึ้นผ่านระบบการสื่อสารที่เชื่อมโยงกันนั้น เช่น ระบบควบคุมการทำงานของเครื่องยนต์ ซึ่งอาจจะทำให้แสดงข้อความบนหน้าจอขึ้นมาเองว่า “Engine fault” (เครื่องยนต์มีความผิดพลาด) และ “Cruise Control is Active” (ใช้โหมดควบคุมพาหนะอยู่)

ด้านความเสถียรภาพของระบบ – รถประเภทเดิมๆ นั้นมักจะมีการควบคุมดูแลรักษาได้ดีระดับหนึ่งและผลิตมาจากโรงงานผู้ผลิตรายเดียว แต่รถไร้คนขับนี้จะได้รับการพัฒนามาจากผู้ค้าที่หลากหลาย อาทิ ด้านซอฟต์แวร์โอเพ่นซอร์ส เทคโนโลยีสารสนเทศ ซึ่งมีแนวโน้มที่จะมีปัญหาการใช้งานในลักษณะคาดเดาล่วงหน้าไม่ได้ แน่นอนว่า เราต้องอดทนถ้ามีปัญหาเรื่องเว็บไซต์ล่มจนถึงการที่ต้องรีบูทเซิร์ฟเวอร์ใหม่ แต่เราจะยอมรับได้ยากขึ้นถ้าเป็นปัญหาที่เกิดที่ระบบนำทางของพาหนะ ซึ่งเป็นผลกระทบจากปัญหาที่ระบบอื่นๆ เช่น เรื่องระบบความบันเทิงในรถหรือระบบ Wi-Fi แฮงค์

ยังมีการคาดเดาว่า จะเห็นภัยที่รู้จักอยู่แล้ว อาทิ ภัยที่เกิดบนแล็ปท้อปและสมาร์ทโฟน จะไปเกิดที่อุปกรณ์ไอโอทีและรถไร้คนขับ อาทิ

  • แรนซัมแวร์: ในปัจจุบัน เราพบแรนซัมแวร์บนแล็ปท้อปและสมาร์ทโฟน เราอาจมีโอกาสแบคอัปข้อมูลไว้ จึงไม่จำเป็นต้องจ่ายค่าไถ่ แต่ภัยแรนซัมแวร์ที่จะเกิดกับรถไร้คนขับนี้จะเป็นเรื่องที่แตกต่างกันโดยสิ้นเชิง แรนซัมแวร์อาจเข้ามาควบคุมรถและเมื่อรถอยู่ห่างจากบ้านจะแสดงตนที่หน้าจอภายในรถ แจ้งว่า รถถูกควบคุม ไม่สามารถทำงานและเคลื่อนที่ได้ และเรียกค่าไถ่เพื่อให้รถกลับมาทำงานได้เช่นเดิม เจ้าของรถจึงจำเป็นต้องเรียกผู้เชี่ยวชาญเข้ามาจัดการ อย่างน้อยต้องรีเซ็ทอุปกรณ์ที่โดนควบคุมนั้นใหม่ ในขณะเดียวกัน อาจต้องใช้บริการลากรถอีกด้วย ดังนั้น จึงคาดเดากันว่า ค่าเสียหายที่จะเกิดขึ้นน่าจะมากกว่าที่จ่ายให้แรนซัมแวร์ที่เกิดขึ้นบนแล็ปท้อปและสมาร์ทโฟนหลายเท่าตัว แต่จะน้อยกว่าค่าใช้จ่ายที่เจ้าของรถยินดีจะซ่อม
  • สปายแวร์: นอกจากนี้ จะมีสปายแวร์ที่แฮกเกอร์ใช้รวบรวมข้อมูลของท่าน ไม่ว่าจะเป็นสถานที่ท่านชอบไปบ่อยๆ คนที่ไปกับท่าน ของที่ท่านชอบซื้อ ท่านซื้อของจากที่ไหน ท่านลองคิดดูว่า หากแฮกเกอร์รู้ว่าท่านจะไม่อยู่บ้านเวลาใดบ้างและขายข้อมูลดังกล่าวให้กับแก็งค์มิจฉาชีพ ที่จะทำการโจรกรรมทรัพย์สินที่บ้านท่าน หรือใช้ข้อมูลบัญชีออนไลน์ของท่านกวาดเงินไปจนหมดบัญชี

ท้ายสุด รถไร้คนขับนี้ เป็นเหมือนเกทเวย์ของธุรกรรมทางอิเล็กทรอนิกส์ที่ท่านทำทุกๆ วัน เช่น การชำระเงินแบบออโตเมติคสำหรับค่ากาแฟ ค่าที่จอดรถ ค่าซ่อมแซมต่างๆ และการใช้เทคโนโลยีการชำระเงินประเภท RFIDs และ Near Field Communications (NFC) ของบัตรต่างๆ จะกลายเป็นเรื่องธรรมดา ซึ่งการเข้าข้อมูลที่รถของท่านได้นี้ เท่ากับเป็นอีกวิธีที่จะดึงข้อมูลของท่านและผู้โดยสารในรถที่มีค่าเหล่านี้ไปได้

นอกจากนี้ ยังมีข้อควรคิดในด้านกฏหมาย อาทิ เราสรุปได้ไหมว่าข้อมูลที่บันทึกอยู่ในรถนั้นถือว่าเป็นข้อมูลแท้ดั้งเดิม ถ้าถือว่าใช่ หากว่า รถของท่านรายงานว่ามีการเปิด ปิดประตู มีการเข้ามาในรถ มีการเดินทางไปที่แห่งหนึ่งในเวลาหนึ่งของวัน รายงานดังกล่าวสามารถนำขึ้นมาประกอบการในชั้นศาลได้หรือไม่ ข้อมูลดังกล่าวสามารถถูกแอบแก้ไข หรือนำไปใช้ผิดๆ ได้หรือไม่ ขณะเดียวกัน รถไร้คนขับมักจะใช้ซอฟ์ทแวร์ที่มาจากผู้ผลิตหลายราย ที่ส่งผ่านเครือข่ายมากมายทั้งวัน ดังนั้น ใครจะเป็นผู้รับผิดชอบหากเกิดกรณีละเมิดด้านความปลอดภัยและเกิดผลเสียหาย จะถือว่าเป็นเพราะซอฟท์แวร์ทำงานบกพร่อง? หรือเครือข่ายบกพร่อง? หรือเจ้าของรถใช้งานผิดพลาด? หรือขาดการอบรม?

ดังนั้น เราควรจะมีการป้องกันอย่างไร

อันดับแรก ผู้ผลิตควรตระหนักถึงภัยไซเบอร์ที่อาจเกิดขึ้น ควรร่วมมือกับหน่วยงานที่มีประสบการณ์ด้านความปลอดภัยมากกว่าตนเอง อาทิ The Automobile ISAC (information Sharing and Analysis Centre)

ต่อไป ควรจะหาจุดสมดุลย์ระหว่างการสร้างประสิทธิภาพของรถเพื่อให้ผู้ใช่งานสะดวกสบายและกระบวนการจัดการกับภัยที่อาจเกิดขึ้น ควรมีเป้าหมายอันดับแรกและแน่ใจว่าได้ใช้เทคโนโลยีที่มีประสิทธิภาพในระบบ

อิงและติดตามความคืบหน้าของมาตรฐานการใช้งาน IoT อย่างเคร่งครัด เนื่องจากรถไร้คนขับนี้มีการเชื่อมโยงแบบ IoT

ในขณะเดียวกัน ผู้ผลิตต้องทำงานร่วมกับผู้จัดการด้านสื่อสารและเทคโนโลยีต่างๆ อย่างใกล้ชิดในภูมิภาคที่ขายรถได้ อาทิ ระบบเซลลูล่าร์ เพื่อให้แน่ใจว่าระบบสื่อสารของรถนั้นมีเกราะคุ้มกันภัยอย่างเรียบร้อยดีตลอดเวลา

ควรจัดสร้างความปลอดภัยอย่างน้อย ดังนี้

  • การสื่อสารภายในรถ (Intra-vehicle communications) รถสมาร์ทคาร์จะมีระบบออนบอร์ดที่แยกจากกันมากมาย อาทิ ระบบควบคุมรถ ระบบสันทนาการ เครือข่ายเพื่อผู้โดยสาร ระบบของบุคคลที่สามที่เจ้าของรถเป็นผู้โหลดเข้ามาเอง ดังนั้น ระบบทั้งหลายนี้จึงควรคุยข้ามระบบ (Cross-talk) กันได้ ซึ่งแน่นอนว่าการคุยข้ามระบบนี้จะต้องมีถูกตรวจสอบและจัดการโดยระบบด้านความปลอดภัย อาทิ ไฟร์วอลล์และ Intrusion Prevention Systems (IPS) ที่มีศักยภาพในการแบ่งแยกความแตกต่างระหว่างการสื่อสารที่ถูกต้องและปกติ กับกิจกรรมที่ผิดกฎหมายภายในเครือข่ายของรถ
  • การสื่อสารภายนอก (External communications) รถจะมีระบบออนบอร์ดจำนวนมากที่มีเหตุผลในการสื่อสารกับบริการที่อยู่บนอินเทอร์เน็ต ไม่ว่าจะเป็นเพื่อการบำรุงรักษารถ การอัปเดทซอฟแวร์สำบริการอินเตอร์เน็ตของผู้โดยสาร บริการแนะนำเส้นทางขับรถ การซื้อสินค้าหรือบริการ และเพื่อการสำรองข้อมูล ดังนั้น การสื่อสารภายนอกมีแนวโน้มที่จะเป็นได้ทั้งการ “ดัน” และ “ดึง” – ที่อาจจะเริ่มต้นทั้งจากภายในรถ หรือจากผู้ผลิตหรืออินเทอร์เน็ตภายนอกรถ นี่ก็หมายความว่า ทราฟฟิคจากรถจะต้องมีการตรวจสอบ และมีการจัดการกับภัยคุกคามและการสื่อสารไม่ได้รับอนุญาต โดยใช้อุปกรณ์ไฟร์วอลล์และ IPS
  • โครงข่ายเชื่อมโยง (Connectivity infrastructure) มักใช้เครือข่ายที่เป็นที่รู้จัก อาทิ 3G และ 4G ซึ่งเครือข่ายเหล่าได้รองรับการใช้งานของสมาร์ทโฟนนับพันล้านเครื่องอยู่แล้ว ซึ่งมีปัญหาเรื่องความปลอดภัยที่ไม่ต่อเนื่องอยู่แล้ว หากมีปัญหาใดเกิดขึ้นในเครือข่ายอาจทำให้รถทำงานผิดปกติได้ อาทิ รถนับพันๆ คันหยุดทำงานพร้อมๆ กันได้ ดังนั้น ผู้ให้บริการโทรศัพท์มือถือจึงควรให้ความสำคัญในเรื่องการเชื่อมโยงเครือข่ายสำหรับรถไร้คนขับอย่างมีนัยสำคัญเป็นพิเศษ
  • ท้ายสุด ควรมีระบบที่ควบคุมการใช้งาน และตัวแทนเจ้าของรถที่แข็งแกร่ง (High-assurance identity and access control systems) ที่ออกแบบอย่างเหมาะสมให้ทำงานกับอุปกรณ์ ไม่ใช่กับคน จึงทำให้รถฉลาดและสามารถรับการเชื่อมโยงจากภายนอกเข้ามาที่ระบบสำคัญๆ ของรถได้ รวมทั้ง บริการที่อยู่บนอินเตอร์เน็ตจะสามารถอนุญาตให้รถนั้นเชื่อมโยงไปยังคลาวด์และดึงข้อมูลกลับมาได้ และอนุญาตให้รถนั้นกระทำการแทนเจ้าของรถได้ เช่น การขอใช้บริการ การทำธุรกรรม การเติมน้ำมัน และการจ่ายค่าผ่านทาง เป็นต้น

การเตรียมตัวเหล่านี้เพื่อจะให้รถไร้คนขับเป็นวิถีชีวิตแนวใหม่ ที่ผู้คนจำนวนมากสามารถใช้ชีวิตได้อย่างสะดวกและปลอดภัย

####

peerapong-jongvibool_fortinet

โดยคุณพีระพงศ์ จงวิบูลย์
รองประธาน แห่งภูมิภาคเอเชียตะวันออกเฉียงใต้และฮ่องกง
ฟอร์ติเน็ต

About TechTalkThai PR 2

Check Also

[Guest Post] ติงส์ ออน เน็ต ผนึก หัวเว่ย เพิ่มขุมพลังโซลูชันสำรองข้อมูลที่ปกป้องความปลอดภัยขั้นสูงสุด

บริษัท ติงส์ ออน เน็ต จำกัด ผู้นำด้านบริการโซลูชันไอโอทีครบวงจร ด้วยโครงข่ายเทคโนโลยีสื่อสารระดับโลก และ บริษัท หัวเว่ย เทคโนโลยี่ (ประเทศไทย) จำกัด ผู้ให้บริการโซลูชันเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) …

[Guest Post] เอไอเอส ยืนยันนำคลื่น 700 MHz สร้างประโยชน์เพื่อคนไทย

เอไอเอส ยืนยันนำคลื่น 700 MHz สร้างประโยชน์เพื่อคนไทย ตอกย้ำรายเดียวที่มีคลื่นความถี่ครบและมากที่สุด พร้อมมอบความเร็วได้สูงสุด โชว์ผลงานขยายเครือข่ายคลื่น 1800 MHz และ 900 MHz ได้เกินเกณฑ์ กสทช.