dSURE ตัวช่วยของผู้บริโภคและกลไกการยกระดับอุปกรณ์ดิจิทัลของไทย

กระแสความนิยมใช้อุปกรณ์ IoT ในประเทศไทยเติบโตขึ้นอย่างต่อเนื่อง อันเป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ยุคดิจิทัล อุปกรณ์ เครื่องมือ เครื่องใช้ต่าง ๆ มีการพัฒนาให้ทำงานได้ฉลาดขึ้น ผู้ใช้งานสามารถสั่งอุปกรณ์ให้ทำงานตามความต้องการผ่านทางแอปพลิเคชันในสมาร์ทโฟน ซึ่งช่วยอำนวยความสะดวกสบายและเพิ่มอรรถประโยชน์ให้แก่ผู้ใช้งาน อุปกรณ์ IoT จะทำงานร่วมกับระบบจัดการและประมวลผลข้อมูลบนเซิร์ฟเวอร์หรือระบบคลาวด์ ผ่านโครงข่ายอินเทอร์เน็ตหรือเครือข่ายการสื่อสารในรูปแบบต่าง ๆ เพื่อรับส่งข้อมูลระหว่างกัน

อย่างไรก็ตามข้อมูลที่ส่งผ่านอุปกรณ์ดังกล่าว อาจไม่ได้มีเพียงแค่ข้อมูลทั่วไปที่ใช้สำหรับการทำงานตามหน้าที่ของอุปกรณ์เท่านั้น แต่ยังอาจรวมถึงข้อมูลอื่น ๆ ที่อุปกรณ์ได้เก็บรวบรวมไว้ ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของผู้ใช้งานอีกด้วย ผลที่ตามมาคือเกิดความเสี่ยงของการรั่วไหลข้อมูล ซึ่งบางอย่างอาจเป็นเรื่องสำคัญที่จะทำให้ผู้ใช้งานเกิดความเสียหายได้ เช่น ข้อมูลพิกัดตำแหน่งที่อยู่ วัน/เดือน/ปีเกิด ภาพและวิดีโอ เป็นต้น ดังนั้นอุปกรณ์ IoT ที่ได้มาตรฐานหรือมีคุณภาพ จะต้องมีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ สามารถป้องกันผู้อื่นเข้ามาเชื่อมต่อหรือควบคุมการทำงานแทนเจ้าของได้ ทั้งนี้ นอกจากระบบการรักษาความปลอดภัยของข้อมูลที่ดีในตัวอุปกรณ์แล้ว ผู้ใช้งานก็จะต้องมีความตระหนักและมีความรู้ความเข้าใจถึงความสำคัญของเรื่องดังกล่าวด้วย

The Open Web Application Security Project (OWASP) เป็นองค์กรที่มีวัตถุประสงค์เพื่อสร้างความร่วมมือระหว่างนักพัฒนาแอปพลิเคชันจากทั่วทุกมุมโลกในการสร้างแอปพลิเคชันให้มีความปลอดภัย จะมีการจัดทำรายงาน OWASP Top 10 ที่เป็นการรวบรวมข้อกังวลด้านความปลอดภัยของเว็บแอปพลิเคชัน โดยทีมผู้เชี่ยวชาญด้านความปลอดภัย และจัดลำดับความเสี่ยงที่สำคัญที่สุด 10 รายการ เพื่อให้หน่วยงานหรือองค์กรที่เกี่ยวข้องนำรายงานดังกล่าวไปใช้อ้างอิงเพื่อป้องกันหรือลดความเสี่ยงด้านความปลอดภัยในผลิตภัณฑ์ของตน

สำหรับในปี 2018 OWASP ได้จัดทำ Top 10 Internet of Things โดยรวบรวมความเสี่ยง 10 รายการ ที่มักเจอในอุปกรณ์ IoT ประกอบด้วย

(1) การใช้รหัสผ่านที่อ่อนแอ เช่น กำหนดรหัสผ่านเริ่มต้นที่คาดเดาได้ง่าย ไม่ได้บังคับให้ผู้ใช้งานตั้งรหัสผ่านใหม่ทันทีที่เริ่มใช้งาน ไม่มีตัวเลือกให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้ หรือฝังรหัสผ่านคงที่ (Hardcoded) ลงในอุปกรณ์

(2) ระบบเครือข่ายของอุปกรณ์ไม่ปลอดภัย โดยเฉพาะเครือข่ายที่มีการเชื่อมต่ออินเทอร์เน็ต เช่น ไม่มีปิดพอร์ตการเชื่อมต่อที่ไม่จำเป็น หรือเชื่อมต่ออุปกรณ์กับเครือข่ายอินเตอร์เน็ตสาธารณะ

(3) ระบบต่าง ๆ ที่ทำงานร่วมกับอุปกรณ์ไม่มั่นคงปลอดภัย ทั้งในส่วนของเว็บแอปพลิเคชันหรือแอปพลิเคชันโทรศัพท์มือถือที่ติดต่อกับอุปกรณ์ รวมถึงการใช้ระบบคลาวด์ที่ไม่ได้มาตรฐาน โดยปัญหาที่พบโดยทั่วไป เช่น ไม่มีการพิสูจน์ตัวตนหรือการกำหนดสิทธิ์ในการเข้าถึงเวลาใช้งานระบบต่าง ๆ ที่เกี่ยวข้องกับอุปกรณ์

(4) ขาดกลไกในการปรับปรุงระบบความมั่นคงปลอดภัยบนอุปกรณ์ เช่น ไม่มีการปรับปรุงเฟิร์มแวร์อย่างสม่ำเสมอ ไม่มีการแจ้งเตือนมีการการปรับปรุงเฟิร์มแวร์เวอร์ชั่นใหม่ หรือที่แย่ที่สุดคือเฟิร์มแวร์ที่ใช้ไม่ได้คำนึงถึงเรื่องความปลอดภัย

(5) การใช้ส่วนประกอบของอุปกรณ์ที่ไม่มั่นคงปลอดภัยหรือล้าสมัย เช่น ซอฟท์แวร์ที่ใช้ควบคุมอุปกรณ์ถูกพัฒนาโดยไม่ได้คำนึงถึงเรื่องความปลอดภัย ใช้คลังโปรแกรม (Libraries) ที่ล้าสมัยมาพัฒนาซอฟท์แวร์ รวมทั้งการเลือกใช้ชิ้นส่วนฮาร์ดแวร์จากผู้ผลิตที่ไม่ได้มาตรฐานหรือคำนึงถึงความมั่นคงปลอดภัยมาเป็นส่วนหนึ่งของอุปกรณ์

(6) การปกป้องข้อมูลส่วนบุคคลของผู้ใช้งานที่ไม่เพียงพอ ทั้งในส่วนของข้อมูลที่อยู่บนอุปกรณ์และระบบที่เกี่ยวข้องไม่ได้คำนึงถึงการรักษาความปลอดภัยหรือไม่มีระบบการป้องกันที่ดี

(7) การจัดเก็บและรับส่งข้อมูลไม่มั่นคงปลอดภัย เช่น ไม่มีการเข้ารหัสข้อมูลสำคัญในแต่ละขั้นตอน ทั้งการจัดเก็บ การรับส่ง หรือการประมวลผลข้อมูล

(8) ขาดการบริหารจัดการอุปกรณ์ ในกรณีที่มีการใช้งานอุปกรณ์ร่วมกันหลายอุปกรณ์ ควรกำหนดวิธีการติดตามดูแลอุปกรณ์ที่มีประสิทธิภาพและสามารถปรับปรุงระบบความปลอดภัยได้อย่างรวดเร็ว เพื่อไม่ให้เกิดช่องโหว่ขึ้นในเครือข่ายจากอุปกรณ์ที่มีระบบรักษาความปลอดภัยที่อ่อนแอ

(9) การตั้งค่าจากโรงงานที่ไม่ปลอดภัย เช่น ใช้รหัสผ่านเริ่มต้นที่เหมือนกันในอุปกรณ์รุ่นเดียวกัน หรือทุกรุ่น

(10) ขาดการสร้างความมั่นคงปลอดภัยทางกายภาพให้แก่อุปกรณ์ เช่น ไม่มีกลไกการป้องกันการถอดการ์ดหน่วยความจำออกจากอุปกรณ์

ปัจจุบันแนวทางการป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลทางไซเบอร์ของอุปกรณ์ IoT ยังไม่ได้มีการกำหนดเป็นมาตรฐานของประเทศไทย เพื่อเป็นการสร้างความตระหนักในเรื่องดังกล่าว สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) จึงได้จัดทำข้อกำหนดสำหรับการรับรองผลิตภัณฑ์ดิจิทัลที่มีการคำนึงถึงการป้องกันความเสี่ยงด้านข้อมูลส่วนบุคคลของผู้ใช้งาน โดยสร้างเครื่องหมาย dSURE เพื่อใช้เป็นเครื่องมือสำหรับแสดงให้ผู้บริโภคทราบว่าสินค้าดังกล่าว มีการคำนึงถึงเรื่องการป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลส่วนบุคคล ผู้ประกอบการด้านผลิตภัณฑ์ดิจิทัลและอุปกรณ์ IoT ที่จดทะเบียนนิติบุคคลในประเทศไทยสามารถส่งผลิตภัณฑ์เพื่อขอรับรองเครื่องหมาย dSURE ได้ทุกราย ซึ่งทาง depa ได้กำหนดหลักเกณฑ์และเงื่อนไขในการพิจารณารับรองผลิตภัณฑ์ไว้ 3 ด้าน ประกอบด้วย การรักษาความปลอดภัยของข้อมูล (Security) ความปลอดภัยในการใช้งาน (Safety) และความสามารถในการทำงาน (Functionality) โดยผู้ประกอบการที่จะขอรับรองเครื่องหมาย dSURE จะต้องส่งผลิตภัณฑ์เข้าทดสอบที่ห้องปฏิบัติการทดสอบที่ depa รับรอง และหากผลิตภัณฑ์ดังกล่าวมีผลการทดสอบผ่านเกณฑ์ที่กำหนดไว้ก็จะได้รับอนุญาตให้สามารถใช้เครื่องหมาย dSURE แสดงบนผลิตภัณฑ์ดังกล่าวได้

ผลิตภัณฑ์นำร่องที่ depa จะให้การรับรองเครื่องหมาย dSURE คือ กล้องวงจรปิดชนิด IP Camera ที่ควบคุมด้วยโมบายแอปพลิเคชัน ซึ่งมีการใช้งานกันอย่างแพร่หลายทั้งในบ้านอยู่อาศัย และอาคารสำนักงานต่าง ๆ โดยหลักเกณฑ์และข้อกำหนดของการรับรองเครื่องหมาย dSURE สำหรับกล้อง IP Camera มีรายละเอียด ดังนี้

• ด้านการรักษาความปลอดภัยทางไซเบอร์ทั้งส่วนของตัวกล้อง และโมบายแอปพลิเคชันที่ใช้ควบคุมการทำงานของกล้อง โดยข้อกำหนดทางเทคนิคในการพิจารณาผลิตภัณฑ์ อ้างอิงจากแนวทางการป้องกันภัยคุกคามที่ปรากฏใน OWASP IoT Top 10 สำหรับกล้อง และ OWASP Mobile Top 10 สำหรับโมบายแอปพลิเคชัน

• ด้านความปลอดภัยในการใช้งานอุปกรณ์ ข้อกำหนดทางเทคนิคในการพิจารณารับรองผลิตภัณฑ์ อ้างอิงตามมาตรฐาน มอก. 1561-2556 มาตรฐานผลิตภัณฑ์อุตสาหกรรม บริภัณฑ์เทคโนโลยีสารสนเทศ ด้านความปลอดภัย

• ด้านความสามารถในการทำงาน ข้อกำหนดทางเทคนิคในการรับรองผลิตภัณฑ์อ้างอิงตามมาตรฐาน IEC 62676 มาตรฐานระบบบันทึกภาพเพื่อใช้ในงานด้านการรักษาความปลอดภัย นอกจากนี้ยังมีข้อกำหนดเพิ่มเติมสำหรับการคุ้มครองผู้บริโภคจากการใช้งานอุปกรณ์ด้วย เช่น การกำหนดให้มีเงื่อนไขการรับประกันสินค้าไม่น้อยกว่า 1 ปี และการจัดทำคู่มือการใช้งานภาษาไทย เป็นต้น

depa มุ่งหวังจะให้ dSURE จะเป็นเครื่องหมายรับรองคุณภาพผลิตภัณฑ์ดิจิทัลที่ได้รับการยอมรับในระดับประเทศและระดับสากล ซึ่งจะช่วยยกระดับสินค้าดิจิทัลที่วางขายในประเทศ โดยคัดกรองสินค้าคุณภาพต่ำออกจากตลาด ลดปัญหาที่เกี่ยวเนื่องกับความปลอดภัยในการใช้งานและความมั่นคงของการเก็บรักษาข้อมูลส่วนบุคคลแล้ว และยังสามารถใช้เป็นกลไกในการส่งเสริมผู้ประกอบการไทยให้พัฒนาผลิตภัณฑ์ให้มีคุณภาพเพื่อเพิ่มขีดความสามารถในการแข่งขันในตลาดสากลอีกด้วย

นายสัญญา พิพัฒพรรณวงศ์

โดย สถาบันไอโอทีและนวัตกรรมดิจิทัล

สำนักงานส่งเสริมเศรษฐกิจดิจิทัล

ข้อมูลอ้างอิง

• https://www.owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf
• https://www.owasp.org/www-project-mobile-top-10/
• http://www.ratchakitcha.soc.go.th/DATA/PDF/2556/E/129/14.PDF
• https://www.imatest.com/solutions/iec-62676/