xs
xsm
sm
md
lg

วิกฤตไซเบอร์สหรัฐฯ แฮกเกอร์เจาะระบบข้อมูล HSIN เขย่าความเชื่อมั่นกระทรวงความมั่นคงฯ

เผยแพร่:   ปรับปรุง:



เหตุการณ์มือดีบุกเข้าระบบ HSIN ซึ่งเป็นเส้นเลือดใหญ่ด้านการแลกเปลี่ยนข่าวกรองของกระทรวงความมั่นคงมาตุภูมิสหรัฐ เปิดทางให้ข้อมูลปฏิบัติการต่อต้านก่อการร้าย ฐานข้อมูลโครงสร้างพื้นฐานสำคัญ และข่าวกรองระหว่างหน่วยงานรัฐบาลกลางรั่วไหลออกไปจำนวนมหาศาล ด้านรัฐมนตรีคริสตี้ โนเอม สั่งยกระดับเตือนภัยขั้นวิกฤต ขณะที่นักวิเคราะห์ชี้ช่องโหว่จากการรวมศูนย์ข้อมูลไร้การแยกส่วนความมั่นคงขั้นเทพคือชนวนเหตุ เบื้องลึกของหายนะครั้งนี้อาจสั่นคลอนพันธมิตรข่าวกรองระดับโลกยาวนานหลายปี

กระทรวงความมั่นคงมาตุภูมิสหรัฐ (Department of Homeland Security – DHS) กำลังเผชิญมรสุมความมั่นคงทางไซเบอร์ครั้งรุนแรงที่สุดในประวัติศาสตร์ เมื่อเครือข่ายสารสนเทศเพื่อความมั่นคงแห่งมาตุภูมิ หรือ HSIN (Homeland Security Information Network) ถูกผู้ไม่ประสงค์ดีเจาะเข้าสู่แกนกลางของระบบสำเร็จ ส่งผลให้ข้อมูลลับที่มีความอ่อนไหวของรัฐบาลกลางไหลทะลักออกสู่โลกภายนอกแบบที่ไม่อาจประเมินความเสียหายได้ในระยะเวลาอันใกล้

รายงานข่าวกรองเบื้องต้นที่หลุดถึงมือสื่อมวลชนเฉพาะกิจระบุว่า เหตุละเมิดความปลอดภัยครั้งนี้ถูกตรวจพบเมื่อช่วงดึกของวันที่ 4 กรกฎาคม 2569 ตรงกับวันชาติสหรัฐอเมริกาพอดิบพอดี ซึ่งเป็นจังหวะที่ทีมเฝ้าระวังระบบจำนวนหนึ่งลดกำลังลงเพื่อร่วมการเฉลิมฉลอง จุดเริ่มต้นของหายนะมาจากบัญชีผู้ดูแลระบบระดับสูงของหน่วยงานตำรวจท้องถิ่นแห่งหนึ่งในรัฐเท็กซัสที่ถูกขโมยสิทธิ์ผ่านช่องโหว่แบบ Zero-Day ในซอฟต์แวร์บริหารจัดการข้อมูลประวัติอาชญากรรมรุ่นเก่า ซึ่งยังไม่ได้รับการอัปเดตแพตช์ตามรอบการซ่อมบำรุง

เมื่อแฮกเกอร์ยึดบัญชีดังกล่าวได้สำเร็จ พวกมันใช้กลไก Single Sign-On แทรกซึมเข้าสู่โครงข่าย HSIN ซึ่งถูกออกแบบมาให้หน่วยงานบังคับใช้กฎหมายทั้งระดับสหพันธรัฐ รัฐบาลมลรัฐ และองค์กรท้องถิ่นสามารถเชื่อมต่อและแบ่งปันข้อมูลกันอย่างรวดเร็วผ่านพอร์ทัลเดียว จุดอ่อนถึงตายคือการเชื่อมโยงแบบทแยงราบที่ไร้การแบ่งส่วนเครือข่ายแบบ Zero Trust อย่างแท้จริง ทำให้ผู้บุกรุกสามารถขยับขยายสิทธิ์จากบัญชีท้องถิ่นขึ้นไปถึงระดับผู้ดูแลเครือข่ายกลางภายในเวลาไม่ถึงสามชั่วโมง

ข้อมูลที่ถูกคัดลอกออกไประหว่างการโจมตีกินเวลาต่อเนื่องราว 7 ชั่วโมงก่อนที่ระบบตรวจจับความผิดปกติขั้นสูงจะลั่นสัญญาณเตือน ประกอบด้วยห้วงข่าวกรองที่อ่อนไหวหลายหมวด อาทิ รายงานการเคลื่อนไหวของกลุ่มก่อการร้ายข้ามชาติ แผนรับมือภัยคุกคามโครงสร้างพื้นฐานสำคัญด้านพลังงานและระบบน้ำประปา ฐานข้อมูลชีวมิติของบุคคลเฝ้าระวัง และกระทั่งบันทึกการสื่อสารระหว่างหน่วยวิเคราะห์ข่าวกรองของ DHS กับสำนักงานสอบสวนกลางหรือ FBI ข้อมูลบางส่วนปรากฏร่องรอยการถูกส่งออกไปยังเซิร์ฟเวอร์ภายนอกที่ตั้งอยู่ในเขตปกครองตนเองของยุโรปตะวันออกซึ่งถูกใช้เป็นฟาร์มบอตเน็ตของกลุ่มแรนซัมแวร์รายใหญ่หลายกลุ่ม

คริสตี้ โนเอม (Kristi Noem) รัฐมนตรีกระทรวงความมั่นคงมาตุภูมิ ออกแถลงการณ์ฉุกเฉินเมื่อช่วงสายของวันที่ 5 กรกฎาคม ระบุชัดเจนว่า รัฐบาลยกระดับสถานการณ์ไซเบอร์เป็นระดับ “วิกฤตสูงสุด” พร้อมกับสั่งการให้หน่วยงานรัฐทุกแห่งที่เชื่อมต่อกับ HSIN ระงับการใช้งานเครือข่ายทันทีเป็นการชั่วคราว ขณะที่ทีมปฏิบัติการตอบสนองภัยไซเบอร์แห่งชาติ หรือ National Cyber Response Group ถูกระดมกำลังประชุมเต็มรูปแบบผ่านวงจรลับเพื่อประเมินแนวทางสกัดข้อมูลส่วนที่ยังอาจถูกขโมยออกไปเพิ่ม

“สิ่งที่เกิดขึ้นไม่ใช่แค่การโจมตีเชิงเทคนิค หากแต่เป็นการมุ่งทำลายเส้นประสาทหลักของการบูรณาการข่าวกรองระหว่างหน่วยงานของเรา” โนเอมกล่าว พร้อมยอมรับว่าจากหลักฐานทางเทคนิคเบื้องต้น ผู้บุกรุกมีขีดความสามารถระดับรัฐชาติสนับสนุน เนื่องจากเทคนิคการเคลื่อนที่ในแนวราบ การใช้เชลล์โค้ดเฉพาะกิจ และการทำลายเส้นทางการเชื่อมต่อย้อนกลับหลังเสร็จสิ้นภารกิจ ล้วนสอดคล้องกับกลุ่มปฏิบัติการทางไซเบอร์ขั้นสูงที่มีรหัสติดตามว่า “APT เกรย์ดัสก์” ซึ่งหน่วยงานข่าวกรองสหรัฐเคยระบุว่ามีความเชื่อมโยงกับหน่วยงานความมั่นคงของสาธารณรัฐประชาชนจีน

กระนั้น ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์อิสระ ตั้งข้อสังเกตต่างออกไปว่า ลายเซ็นของเครื่องมือขุดข้อมูลที่ใช้มีความคล้ายคลึงกับกลุ่มที่ใช้ภาษารัสเซียเป็นหลักมากกว่า โดยเฉพาะกลุ่ม Turla และกลุ่ม Cozy Bear ที่เคยบุกโจมตีระบบของกระทรวงการต่างประเทศสหรัฐเมื่อหลายปีก่อน การปักธงเท็จผ่านผลกระทบทางภูมิรัฐศาสตร์คือกลเกมชั้นสูงที่มหาอำนาจไซเบอร์หลายชาติใช้กลบเส้นทางสืบสวน ในทางกลับกันหลักฐานชิ้นส่วนของตัวอักษรซีริลลิกที่พบในโค้ดบางตอนอาจถูกจงใจปลูกฝังเพื่อเบี่ยงเบนเป้าหมายการสืบสวนไปยังขั้วอำนาจอื่น ขณะนี้หน่วยงาน NSA และ Cyber Command จึงยังไม่ฟันธงผู้กระทำผิดแน่ชัด ตรงกันข้ามกลับรวบรวมภาพถ่ายดิจิทัลจากปลายทางเซิร์ฟเวอร์ในยุโรปตะวันออกเพิ่มเติมอย่างเร่งด่วน

สืบเนื่องจากธรรมชาติของ HSIN ที่ออกแบบให้เป็นศูนย์กลางแลกเปลี่ยนข่าวกรองแบบหลายทิศทาง ผลกระทบจากการรั่วไหลไม่ได้จำกัดอยู่ที่หน่วยงานบังคับใช้กฎหมายภายในประเทศเท่านั้น ข้อมูลที่ถูกขโมยส่วนใหญ่มีรหัสกำกับว่าเป็นข้อมูลที่แชร์มาจากพันธมิตร Five Eyes ได้แก่ สหราชอาณาจักร แคนาดา ออสเตรเลีย และนิวซีแลนด์ ย่อมหมายความว่าปฏิบัติการลับของหน่วยข่าวกรองตะวันตกจำนวนมากอาจต้องถูกเปิดเผยหรือถูกปรับเปลี่ยนหน้างานอย่างฉุกเฉิน มิเช่นนั้นแหล่งข่าวหรือสายลับที่แฝงตัวในเครือข่ายก่อการร้ายอาจตกอยู่ในอันตรายถึงชีวิต สถานการณ์นี้บีบให้ผู้อำนวยการหน่วยข่าวกรองกลางสหรัฐ (CIA) ต้องเปิดสายตรงด่วนถึงหัวหน้าหน่วยข่าวกรองมิตรประเทศตลอดทั้งคืนเพื่อประเมินความเสียหายร่วมกัน

ขณะที่ด้านตลาดการเงินและภาคธุรกิจก็รับรู้แรงสั่นสะเทือนของเหตุการณ์นี้แบบทันทีเช่นกัน หุ้นกลุ่มเทคโนโลยีความปลอดภัยไซเบอร์พุ่งขึ้นสวนทางตลาดหุ้นโดยรวม เนื่องจากนักลงทุนคาดการณ์ว่าคำสั่งซื้อโซลูชันด้านการแยกส่วนเครือข่ายและระบบยืนยันตัวตนขั้นสูงจากหน่วยงานรัฐบาลจะถาโถมเข้ามาหลังเหตุการณ์นี้ กดดันให้ราคาบิทคอยน์ร่วงลงกว่า 4% ในช่วงเช้าของวันที่ 5 กรกฎาคม ก่อนจะดีดกลับแรงในช่วงบ่าย อันเป็นผลจากแรงซื้อที่มาจากความต้องการหลบเลี่ยงการตรวจสอบของกลุ่มที่กังวลว่าการสอบสวนทางการเงินจะเข้มข้นขึ้น ปรากฏการณ์ตอกย้ำว่าสินทรัพย์ดิจิทัลยังทำหน้าที่เป็นบารอมิเตอร์ของความเชื่อมั่นต่อเสถียรภาพของรัฐในสายตาตลาดมืดได้อย่างไม่เป็นทางการ

ยิ่งไปกว่านั้น เมื่อมองในมิติของสถาปัตยกรรมความมั่นคงไซเบอร์ของสหรัฐเอง เหตุการณ์ HSIN เปรียบเสมือนระเบิดเวลาที่ถูกจุดชนวนจากความผิดพลาดในการออกแบบระบบที่ให้ความสำคัญกับความสะดวกในการเชื่อมโยงข้อมูลเหนือหลักการ “ไม่วางใจผู้ใดเป็นพื้นฐาน” (Zero Trust) แบบสุดโต่ง นักวิเคราะห์อาวุโสด้านไซเบอร์จากสถาบันวิจัยนโยบายต่างประเทศคาดการณ์ว่า DHS จะถูกบีบให้ทบทวนโครงการเชื่อมโยงข้อมูลขนาดยักษ์ทั้งหมด โดยเฉพาะโครงการที่เกี่ยวเนื่องกับพระราชบัญญัติไซเบอร์เซกเคียวริตี้และการรักษาความปลอดภัยโครงสร้างพื้นฐาน หรือ CISPA ซึ่งมีแผนจะขยายการเข้าถึงข้อมูลระหว่างภาครัฐและเอกชนให้กว้างขวางยิ่งขึ้นในระยะเวลาเพียง 18 เดือนข้างหน้า คำถามใหญ่ที่สุดที่บังเกิดตามมาคือ หากระบบที่ถูกออกแบบมาเพื่อหน่วยงานความมั่นคงโดยตรงยังมีช่องโหว่ถึงก้านคอเช่นนี้ ใครจะกล้าไว้วางใจให้ภาคเอกชนแบ่งปันข้อมูลอ่อนไหวของตนผ่านโครงสร้างพื้นฐานเดียวกัน

ความเคลื่อนไหวของสภาคองเกรสก็ตอบสนองต่อแรงเสียดทานทางการเมืองทันควันเช่นกัน สมาชิกคณะกรรมาธิการด้านความมั่นคงแห่งมาตุภูมิของสภาผู้แทนราษฎรจากพรรคเดโมแครตหลายคนเตรียมยื่นญัตติเรียกตัวรัฐมนตรีโนเอมเข้าให้ถ้อยคำในชั้นสอบสวนแบบปิดภายในสัปดาห์หน้า ขณะที่ตัวแทนจากพรรครีพับลิกันสายเหยี่ยวเน้นโจมตีไปที่ความบกพร่องของระบบที่วางรากฐานมาตั้งแต่สมัยรัฐบาลก่อนหน้า การเมืองภายในของวอชิงตันที่ถูกแบ่งขั้วอย่างแหลมคมนับตั้งแต่การเลือกตั้งใหญ่ปลายปี 2567 ย่อมทำให้การผลักดันกฎหมายยกระดับโครงสร้างพื้นฐานไซเบอร์ฉบับใหม่กลายเป็นสมรภูมิแห่งการต่อรองที่ยืดเยื้อและเต็มไปด้วยวาทกรรมโทษกันไปมา

ในอีกด้านหนึ่ง วิกฤต HSIN ครั้งนี้ได้เปลือยจุดเปราะบางของระบบการแบ่งปันข่าวกรองแนวราบที่หลายประเทศทั่วโลกกำลังเลียนแบบ โดยเฉพาะอย่างยิ่งไทยซึ่งอยู่ระหว่างการยกร่างกฎหมายความมั่นคงทางไซเบอร์และการบูรณาการข้อมูลระหว่างหน่วยงานบังคับใช้กฎหมายกับศูนย์ไซเบอร์แห่งชาติ ตัวอย่างจากสหรัฐตอกย้ำว่า ความเร็วและความครอบคลุมในการแลกเปลี่ยนข้อมูลต้องมาพร้อมกับการออกแบบสถาปัตยกรรมการป้องกันที่ไม่ใช่แค่การสร้างกำแพงสูง แต่ต้องออกแบบให้ระบบสามารถรองรับสถานการณ์ “สันนิษฐานว่าถูกเจาะแล้ว” ได้ตั้งแต่ขั้นตอนการออกแบบขั้นแนวคิด มิฉะนั้น การอุดช่องโหว่ทีละจุดหลังเกิดเหตุจะเป็นเพียงการวิ่งตามหางตัวเองของระบบราชการที่ไร้จุดสิ้นสุด

กล่าวโดยสรุป การล่มสลายของเครือข่ายข้อมูลความมั่นคงแห่งมาตุภูมิของสหรัฐมิใช่เหตุการณ์ที่อุบัติขึ้นจากฝีมืออัจฉริยะของผู้บุกรุกเพียงด้านเดียว หากแต่เป็นผลพวงจากความประมาททางเทคนิคและความเคยชินของระบบราชการที่เชื่อว่าเครือข่ายรวมศูนย์จะควบคุมความปลอดภัยได้ดีกว่าการกระจายอำนาจ ตราบใดที่ปรัชญาการออกแบบระบบในทำเนียบรัฐบาลยังยึดโยงกับความสะดวกในการเข้าถึงมากกว่าความยืดหยุ่นเมื่อถูกโจมตี หายนะครั้งต่อไปจะมิใช่คำถามว่า “จะเกิดหรือไม่” แต่เป็น “เมื่อใด” และ “ข้อมูลของใครที่จะเป็นเป้าหมายรายถัดไป” อย่างหลีกเลี่ยงไม่ได้