อุตสาหกรรมใน Asia Pacific เร่งศึกษาวิธีการใช้ Blockchain ในระบบการเงินของธุรกิจ เพื่อลดปัญหาข้อผิดพลาดที่อาจเกิดขึ้นจากโค้ด และการใช้บล็อคเชนส่วนตัวในธุรกิจ…
highlight
- แม้ว่าเทคโนโลยีบล็อกเชนจะมีประโยชน์มากมาย แต่ก็ยังมีอีกมากที่ต้องทำจากมุมมองความปลอดภัยทางไซเบอร์ ผู้เชี่ยวชาญด้านไอทีและความปลอดภัยทางไซเบอร์ยังจะพบกับสิ่งที่ไม่พึงประสงค์มากขึ้นจากการใช้เทคโนโลยีบล็อกเชนเพิ่มมากขึ้น
- เทคโนโลยีใหม่ทุกประเภทมีความเสี่ยง และบล็อกเชน ก็เช่นกัน เพราะยิ่งบล็อกเชนมีการเติบโต และมีความสำคัญทางเศรษฐกิจ มากเท่าไร บล็อกเชน ก็จะกลายเป็นเป้าหมายในการถูกแทรกแซงทางไซเบอร์มากขึ้นเท่านั้น
เทรนด์ของอุตสาหกรร
วันนี้ บล็อกเชน (Blockchain) มิได้เป็นเทคโนโลยีแค่สกุลเงินดิจิทั
โดยจากรายงานการคาดก
นั่นหมายความว่า วันนี้จะมียอดของการลงทุนในเทคโนโลยีบ
โดยคาดว่าญี่ปุ่นจะเป็นผู้นำการใช้
CAGR อยู่ที่ 108.7% โดยภาคสถาบันการเงินได้รับการจัดอั
อย่างไรก็ดี องค์กรที่ให้บริการทางการเงินกำ
นั่นเพราะการใช้บล็อกเชนทั่วโลกในธุรกิจไม่ว่าจะเป็นในก
ทั้งนี้ ภูมิภาคเอเชียแปซิฟิกได้กลายเป็นแหล่งรวมนวัตกรรมแอพพลิเคชั่นสำหรับบล็อกเชน มีโครงการนำร่องที่ใช้บล็อกเชน หรือกำลังดำเนินการอยู่ในทั้งภาครัฐ ธุรกิจสาธารณูปโภค ไฟฟ้า ห่วงโซ่อุปทานของธุรกิจรักษาความปลอดภัย รวมถึงกรณีการใช้งานเพื่อสิ่งแวดล้อม
ตัวอย่างโครงการบล็อกเชนในภูมิภาคเอเชียแปซิฟิกสำคัญ 6 โครงการ ได้แก่
- Energy-Blockchain Labs ใช้บล็อกเชนในการติดตามการปล่อยก๊าซคาร์บอน ซึ่งอาจเชื่อมโยงกับการชดเชยการปล่อยก๊าซ และตลาดซื้อขายคาร์บอนในประเทศจีน
- Blockchain Food Safety Alliance ในประเทศจีน โดย IBM และ Wal-Mart จับมือกันเพื่อติดตามการกระจาย และซัพพลายเชนของสินค้าบริโภค
- เมือง Freemantle ประเทศออสเตรเลีย ได้นำบล็อกเชนมาใช้ในการจัดการโครงสร้างพื้นฐานของการผลิตและจำหน่ายไฟฟ้าพลังงานแสงอาทิตย์และน้ำร้อนแบบอัจฉริยะ เพื่อตอบสนองความต้องการและสภาพแวดล้อมที่เปลี่ยนแปลงตลอดเวลา
- กลุ่ม บริษัท อุตสาหกรรมน้ำมันปาล์มทั่วภูมิภาคเอเชียตะวันออกเฉียงใต้ กำลังปรับใช้บล็อกเชนเพื่อสนับสนุน “โครงการไม่ทำลายป่า ไม่ใช้ถ่านหินพีท ไม่มีเอาเปรียบคนและสิ่งแวดล้อม“ (No deforestation, no peat, no exploitation: NDPE) และรองรับห่วงโซ่อุปทานสำหรับผลิตภัณฑ์น้ำมันพืชที่สำคัญนี้
- เมืองไทเป ได้ใช้เทคโนโลยีบล็อกเชนรวมกับไอโอทีเพื่อสนับสนุนโครงการริเริ่มในด้านรัฐบาลอิเล็กทรอนิกส์ในหลายรูปแบบ รวมถึงการทำบัตรประจำตัวประชาชนอัจฉริยะ และการ์ดแสดงผลมลพิษ/แสดงสภาพอากาศในรูปแบบบัตรขนาดเล็ก
- กระทรวงกิจการภายในและการสื่อสารของญี่ปุ่น กำลังนำระบบบล็อคเชนเพื่อใช้ในการจัดซื้อของรัฐบาลและธุรกรรมอื่นๆ ให้เป็นไปโดยอัตโนมัติ
การใช้ บล็อกเชนที่เพิ่มสูงมากขึ้น ในเอเชียแปซิฟิกนั้นยังบ่งชี้ว่ายังไม่มีแน้วโน้มว่าการใช้งานเหล่านี้จะลดน้อยลงในอนาคตอันใกล้นี้ อย่างไรก็ตาม เนื่องจากอุตสาหกรรมในเอเชียแปซิฟิก และแม้ว่าในประเทศญี่ปุ่นจะมีการใช้บล็อกเชนมากยิ่งขึ้น แต่ก็จำเป็นต้องใช้กระบวนการด้านความปลอดภัยเข้ามาป้องกันโครงการบล็อคเชนใหม่ ๆ ด้วยเช่นกัน
ปัจจัยเสี่ยงด้านความปลอดภัยของบล็อกเชน
เทคโนโลยีใหม่ทุกประเภทมีความเสี่ยง และบล็อกเชน ก็เช่นกัน เพราะยิ่งบล็อกเชนมีการเติบโต และมีความสำคัญทางเศรษฐกิจ มากเท่าไร บล็อกเชน ก็จะกลายเป็นเป้าหมายในการถูกแทรกแซงทางไซเบอร์มากขึ้นเท่านั้น หรืออาจเรียกได้ว่าภัยคุกคามจะทวีเพิ่มจำนวนตามความนิยมของผู้ใช้นั่นเอง
ซึ่งองค์กรที่จะใช้จำเป็นต้องระมัดระวังช่องโหว่บล็อกเชน และเทคโนโลยีการกระจายข้อมูลบัญชี (Distributed Ledger Technology: DLT) ที่ใช้อยู่เป็นจำนวนมากในด้านต่าง ๆ ได้แก่
- การเข้ายึดครองความเป็นเอกฉันท์ (Consensus Hijack) ในเครือข่ายที่เป็นแบบกระจาย ไม่มีตัวกลาง และไม่มีระบบการอนุญาตการเข้าถึงที่แข็งแกร่งในเครือข่ายนี้ ผู้ไม่หวังดีอาจแทรกแซงสามารถแก้ไขขั้นตอนการตรวจสอบได้
- การโจมตีโดยปฏิเสธการให้บริการ (DDoS Attack) เนื่องจากลักษณะของบัญชีในบล็อคเชนนั้นกระจายกันออกไป จึงอาจมีความเสี่ยงต่อการโจมตีแบบ Denial of Service (DDoS) แม้ว่าการโจมตีเหล่านี้จะไม่ถึงกับปิดการเข้าถึงบล็อกเชนอย่างสมบูรณ์ แต่ผู้ที่ไม่ประสงค์ดีอาจระดมส่งทรานสเซ็คชั่นธุรกรรมสแปมจำนวนมากไปยังเครือข่ายที่อาจสร้างการปฏิเสธบริการและเพิ่มเวลาในการประมวลผลได้ เนื่องจากโหนดนั้นต้องใช้เวลาตรวจสอบความถูกต้องของธุรกรรมปลอมนั้นมาก
- ช่องโหว่ในไซด์เชน (Sidechain Vulnerabilities) ปัญหานี้อาจมีผลต่อเกตเวย์ที่ใช้ในการถ่ายโอนเนื้อหาและข้อความระหว่างพาเรนต์ (Parent) และไซด์เชน (Sidechains) ที่ใช้วิธีรับรู้แบบสองทาง ทั้งนี้ หากธุรกรรมแรกนั้นถูกมองว่า “ไม่ถูกต้อง” แล้ว จะผลกระทบต่อธุรกรรมพร็อกซีที่ตามมาด้วย
- สมาร์ทคอนแทร็ค (Smart Contract) ปัญหาอาจเกิดที่โปรแกรมการทำธุรกรรมแบบอัตโนมัติที่ทำงานบนบัญชีแบบกระจายขึ้นอยู่กับประเภทของธุรกิจได้ เช่น การออกนโยบายด้านประกันได้ด้วยตนเอง รวมถึงสัญญาซื้อขายทางการเงินล่วงหน้า สิ่งนี้อาจทำให้เกิดข้อผิดพลาดในการเขียนโค้ดซึ่งมักเกี่ยวข้องกับภาษาการเขียนโปรแกรมพิเศษที่ใช้ในการกำหนดสมาร์ทคอนแทร็คต่างๆ และได้พบเหตุการณ์นี้มาแล้วในสมาร์ทคอนแทร็ค Etherium blockchain ที่เขียนขึ้นโดยใช้ภาษา “Serpent” หรือ “Solidity”
- ช่องโหว่ในบล็อคเชนส่วนตัว (Private Blockchain Vulnerabilities) องค์กรบางแห่งได้ติดตั้งระบบบล็อกเชนส่วนตัวที่สร้างเอาไว้ใช้เองแบบปิด โดยใช้โครงสร้างเครือข่ายที่มีอยู่บนบริการคลาวด์ที่ใช้อยู่ และวิธีกำหนดสิทธิ์การเข้าถึงของผู้ใช้ที่มีอยู่ แต่ผู้ไม่ประสงค์ดีกลับรู้สึกอยากคุกคามเข้ามามากขึ้น และเมื่อเข้ามาได้แล้ว เขาจะมองหาสิ่งที่มีค่า ดังนั้น องค์กรจึงควรพิจารณาสร้างเกราะความปลอดภัยเพื่อปกป้องสิ่งที่มีค่าต่างๆ
ต้องเร่งการออกแบบระบบความปลอดภัยเฉพาะด้าน
แมททิว ควน ผู้อำนวยการฝ่ายการตลาด และโซลูชั่นความปลอดภัย ภูมิภาคเอเชียตะวันออกเฉียงใต้ และฮ่องกง ฟอร์ติเน็ต ได้ความเห็นว่า ในมุมมองของผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์แล้วบล็อกเชนถือว่าเป็นสินทรัพย์ขององค์กรประเภทหนึ่งที่องค์กรต้องป้องกันการรบกวนจากผู้คุกคาม
อย่างไรก็ยังมีโชคดีที่โครงการด้าน บล็อกเชนเกือบทุกโครงการยังอยู่ในวิวัฒนาการช่วงแรกอยู่ จึงทำให้นักออกแบบแอปพลิเคชั่น จึงยังพอที่จะมีเวลาพัฒนาระบบด้านความปลอดภัยให้กับโครงการของตนในช่วงเริ่มต้นนี้ ซึ่งการออกแบบ
โดยมีกระบวนการรักษาความปลอดภัยเป็นวัตถุประสงค์หลักของโครงการบล็อกเชน จะช่วยทำให้สามารถวิเคราะห์โครงสร้างความต้องการด้านความปลอดภัย และลำดับความสำคัญการลงทุนได้ ซึ่งมีอยู่ 6 ขั้นตอน ได้แก่
- ระบุสิ่งที่มีค่าของท่าน ผู้ที่เกี่ยวข้องในบล็อกเชนคือใคร แรงจูงใจของผู้โจมตีคืออะไร?
- สำรวจพื้นผิวการโจมตี จุดใดที่เป็นจุดอ่อนในการโจมตี และเป็นจุดล้มเหลวของเครือข่าย
- ป้องกันภัยคุกคามที่รู้จัก กำหนดความต้องการต่อข้อมูลกรองภัยคุกคาม (Threat intelligence) ระบุกระบวนการ และเทคโนโลยีที่ใช้ในการป้องกันภัยคุกคามที่รู้จัก
- ระบุและตรวจจับภัยคุกคามที่ไม่รู้จัก ต้องสามารถเข้าถึงแหล่งข้อมูลกรองภัยคุกคาม และใช้ข้อมูลที่ค้นพบในการแจ้งและปรับนโยบายในการการบล็อค และมาตรการในการป้องกันต่างๆ
- จัดการกับช่องโหว่ จุดอ่อนของระบบและการละเมิดให้รวดเร็ว เวลาเป็นสิ่งสำคัญสำหรับการตอบสนองและการแก้ไขทุกประเภท ผู้โจมตีเองมีเวลาในการสำรวจและใช้ประโยชน์จากทรัพยากรของท่านเช่นกัน ท่านเองอาจรู้สึกละอายมากหากต้องอธิบายให้โลกรู้ว่าทำไมใช้เวลาหลายสัปดาห์ เดือน ปี สำหรับองค์กรในการค้นหาและปิดกั้นช่องโหว่
- ประเมินและปรับปรุงความปลอดภัยอย่างต่อเนื่อง การป้องกันไม่เคยหยุดนิ่งเพราะผู้โจมตีไม่หยุดนิ่งเช่นกัน
แม้ว่าเทคโนโลยีบล็อกเชนจะมีประโยชน์มากมาย แต่ก็ยังมีอีกมากที่ต้องทำจากมุมมองความปลอดภัยทางไซเบอร์ ผู้เชี่ยวชาญด้านไอทีและความปลอดภัยทางไซเบอร์ยังจะพบกับสิ่งที่ไม่พึงประสงค์มากขึ้นจากการใช้เทคโนโลยีบล็อกเชนเพิ่มมากขึ้นเช่นกัน
ดังนั้น ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ควรรวมกระบวนการความปลอดภัยตั้งแต่ในขั้นตอนการวางแผน และออกแบบบล็อกเชน และด้วยความเชี่ยวชาญในเทคโนโลยีด้านความปลอดภัยไซเบอร์ทำให้ฟอร์ติเน็ตได้ทราบแนวโน้ม และยังสามารถตระหนักถึงปัจจัยเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ที่มีในเทคโนโลยีใหม่ ๆ
รวมถึงบล็อกเชนนี้ได้ทันการ เอกสารรายงานเรื่อง Security Transformation Requires a Security Fabric จะทำให้ท่านทราบถึงการจัดตั้งระบบความปลอดภัยไซเบอร์อย่างไรในยุคดิจิทัลได้ดียิ่งขึ้น
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อการวิเคราะห์ในแง่มุมที่น่าสนใจ
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการและผู้สื่อข่าว)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่
