การป้องกันทางไซเบอร์ของสหรัฐฯ กำลังถูกรื้อจากภายใน
(theregister.com)- วิกฤตการหยุดชะงักของฐานข้อมูล CVE แสดงให้เห็นว่าโครงสร้างความมั่นคงปลอดภัยไซเบอร์ของรัฐบาลกลางสหรัฐฯ สามารถสั่นคลอนได้จากเพียง การตัดสินใจด้านงบประมาณ บุคลากร และองค์กร
- หาก CVE ซึ่งเป็นจุดอ้างอิงร่วมของช่องโหว่ความปลอดภัยตลอด 25 ปีที่ผ่านมาเกิดสั่นคลอน ฝ่ายป้องกันจะต้องเสียเวลาไปกับการตรวจสอบว่ากำลังพูดถึงช่องโหว่เดียวกันหรือไม่ ขณะที่ฝ่ายโจมตีสามารถฉวยประโยชน์จากความสับสนนี้ได้
- CISA ถูกวางเป้าหมายให้ลดพนักงานมากกว่าหนึ่งในสาม และสัญญา CVE ของ MITRE แม้จะได้รับการต่ออายุก่อนเส้นตาย แต่จะหมดอายุอีกครั้งใน มีนาคม 2026
- การปลดผู้นำ NSA และ US Cyber Command, การยุบ CSRB โดยพฤตินัย, การหยุดสอบสวน Salt Typhoon, การเปลี่ยนไปสู่การเตรียมพร้อมที่ยึดรัฐและท้องถิ่นเป็นศูนย์กลาง, และการตัดเงินอุดหนุนจากรัฐบาลกลาง กำลังบั่นทอน ขีดความสามารถด้านการป้องกันของรัฐบาลกลาง
- เมื่อรวมกับการเข้าถึงระบบรัฐบาลกลางที่อ่อนไหวของ DOGE ความอ่อนแอด้านความปลอดภัยที่สหรัฐฯ ก่อขึ้นเองอาจส่งผลต่อ ระบบนิเวศเทคโนโลยีนอกสหรัฐฯ ด้วย
วิกฤต CVE และความสับสนในการจัดการช่องโหว่
- ฐานข้อมูล Common Vulnerabilities and Exposures หรือ CVE เป็นรายการหลักที่ใช้รวบรวมช่องโหว่ด้านความปลอดภัยแทบทั้งหมดมาโดยพฤตินัยตลอด 25 ปีที่ผ่านมา
- Jen Easterly อดีตผู้อำนวยการ CISA อธิบายว่า CVE คือ แคตตาล็อกระดับโลก ที่ทำให้ทีมความปลอดภัย ผู้จำหน่ายซอฟต์แวร์ นักวิจัย และรัฐบาล สามารถจัดระเบียบและพูดคุยเรื่องช่องโหว่บนกรอบอ้างอิงเดียวกันได้
- หากไม่มี CVE แต่ละองค์กรก็อาจใช้รายการคนละชุดหรือรับมือโดยไม่มีรายการเลย ทำให้ต้องใช้เวลามากขึ้นในการยืนยันว่ากำลังพูดถึงปัญหาเดียวกันหรือไม่ และผู้โจมตีก็สามารถใช้ประโยชน์จากความสับสนนั้นได้
- CISA ซึ่งกำกับดูแล CVE ถูกวางเป้าหมายให้ลดพนักงานมากกว่าหนึ่งในสาม และพนักงานได้รับแจ้งให้เลือกภายในเที่ยงคืนวันจันทร์ว่าจะทำงานต่อหรือจะลาออก
- สัญญา CVE ของ MITRE ได้รับการต่ออายุก่อนเส้นตาย แต่มีแผนจะหมดอายุอีกครั้งใน มีนาคม 2026
การหดตัวของ CISA และองค์กรไซเบอร์ระดับรัฐบาลกลาง
- การลดกำลังคนของ CISA และความไม่แน่นอนของสัญญา เชื่อมโยงโดยตรงกับปัญหาความต่อเนื่องของ CVE
- ในอดีต การต่อสัญญา CVE แทบเป็นการตัดสินใจที่แน่นอนอยู่แล้ว แต่ตอนนี้ยังไม่ชัดเจนว่าการต่อครั้งถัดไปจะเกิดขึ้นหรือไม่
- หากฐานร่วมอย่าง CVE สั่นคลอน ก็จะยิ่งยากในการประสานการรับมือช่องโหว่ทั่วทั้งวงการความปลอดภัยทางเทคนิค
การปลดผู้บริหารไซเบอร์ระดับสูงและการยุบคณะกรรมการที่ปรึกษา
- General Timothy D. Haugh ผู้นำ NSA และ US Cyber Command ถูก ปลดเมื่อต้นเดือนเมษายน
- เขาถูกมองว่าเป็นบุคคลสำคัญในการปกป้องโครงสร้างพื้นฐานไซเบอร์ของประเทศ รวมถึงการรับมือการแทรกแซงจากรัสเซียหลังการเลือกตั้งปี 2016
- เหตุผลเบื้องหลังการปลดมีการกล่าวถึงว่า Laura Loomer ผู้สนับสนุนทฤษฎีสมคบคิดฝ่ายขวาจัดและบุคคลฝั่ง Trump ไม่ชอบเขา
- Cyber Safety Review Board หรือ CSRB เป็นองค์กรที่รัฐบาล Biden จัดตั้งขึ้นเพื่อสอบสวนเหตุการณ์ไซเบอร์สำคัญ
- สมาชิกทั้งหมดถูกยุติบทบาท ทำให้องค์กรนี้แทบถูกยุบโดยพฤตินัย
- การสอบสวนการโจมตีไซเบอร์สำคัญ เช่น การแฮ็กของจีนที่เรียกว่า “Salt Typhoon” ถูกหยุดลง
- แม้การโจมตี Salt Typhoon จะพุ่งเป้าไปที่ Trump และรองประธานาธิบดี JD Vance ด้วย แต่รัฐบาลกลับถูกวิจารณ์ว่าไม่ได้ให้ความสำคัญกับประเด็นนี้
การเตรียมพร้อมที่ยึดรัฐและท้องถิ่นเป็นศูนย์กลาง และการลดการสนับสนุนจากรัฐบาลกลาง
- คำสั่งฝ่ายบริหารของ Trump เรื่อง Achieving Efficiency Through State and Local Preparedness ระบุว่าขีดความสามารถด้านการเตรียมพร้อมนั้นมีประสิทธิภาพที่สุดเมื่อเป็นสิ่งที่รัฐ ท้องถิ่น และปัจเจกชนเป็นเจ้าของและบริหารจัดการ โดยรัฐบาลกลางทำหน้าที่สนับสนุน
- คำสั่งนี้รวมถึงการโจมตีทางไซเบอร์ ไฟป่า พายุเฮอริเคน และสภาพอากาศอวกาศ ให้เป็นเรื่องของการตัดสินใจและการลงทุนในระดับท้องถิ่น
- มีเสียงวิจารณ์ว่า เนื่องจากการโจมตีทางไซเบอร์ไม่ได้หยุดอยู่แค่รัฐใดรัฐหนึ่ง การให้ทั้ง 50 รัฐรับมือทีมแฮ็กที่ได้รับการสนับสนุนจากรัฐชาติแยกกันนั้นเป็นโครงสร้างที่ไม่สมจริง
- Trump ยังตัดงบของ โครงการเงินอุดหนุนจากรัฐบาลกลาง ที่จัดไว้เฉพาะด้านความมั่นคงปลอดภัยไซเบอร์ในช่วงต้นวาระด้วย
- รัฐต่าง ๆ อาจประสบปัญหาในการจ้างผู้เชี่ยวชาญด้านความปลอดภัยระดับแนวหน้าได้อย่างเพียงพอ
การเข้าถึงระบบอ่อนไหวของ DOGE และความเสี่ยงด้านข้อมูล
- Department of Government Efficiency ของ Elon Musk หรือ DOGE ได้เข้าถึงระบบรัฐบาลกลางที่อ่อนไหว
- ระบบที่ถูกเข้าถึงรวมถึงระบบการชำระเงินของ Treasury Department และ Social Security System
- มีความกังวลว่าข้อมูลเหล่านั้นอาจถูกคัดลอกไปไว้ที่อื่น และเปิดให้ผู้ที่ไม่มีสิทธิ์ดูหรือไม่มีสิทธิ์ใช้งานสามารถเข้าถึงได้
- มีเสียงวิจารณ์ต่อเนื่องว่า ไม่เพียงแต่การป้องกันไซเบอร์จากภายนอกเท่านั้นที่ถูกกระทบ แต่ยังรวมถึงข้อมูลที่อาจกลายเป็นฐานสำหรับการโจมตีด้านความปลอดภัยขนาดใหญ่ซึ่งพุ่งเป้าไปยังประชาชนรายบุคคลด้วย
- แม้แต่กรณีบริษัทประกันแห่งหนึ่งที่ข้อมูล Social Security ของประชาชน 1.6 ล้านคนถูกขโมย ก็ยังถูกมองว่าเป็นเหตุการณ์ขนาดเล็กเมื่อเทียบในบริบทนี้
ผลกระทบที่อาจลามออกไปนอกสหรัฐฯ
- สหรัฐฯ มีบทบาทนำด้านความมั่นคงปลอดภัยเทคโนโลยีมาอย่างยาวนาน ดังนั้นการอ่อนแอลงของการป้องกันไซเบอร์ระดับรัฐบาลกลางจึงไม่ได้เป็นเพียงปัญหาภายในประเทศเท่านั้น
- ผู้เสียหายมากที่สุดจะเป็นสหรัฐฯ เอง แต่ทั่วโลกก็อาจรับรู้ถึงแรงกระเพื่อมจากเรื่องนี้ได้เช่นกัน
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
เรื่องนี้ช่วย ประชาชนอเมริกัน ได้อย่างไรกันแน่?
ในแง่ต้นทุนยังพอถกเถียงกันได้ เช่น ฐานข้อมูล CVE มีมูลค่าปีละ 50 ล้านดอลลาร์จริงหรือไม่ โดยเฉพาะเมื่อคำนึงถึงงานค้าง
นอกจากนี้ยังอาจตั้งสมมติฐานได้ว่าจะมีบริการทดแทนจากเอกชนหรือกึ่งเอกชนเกิดขึ้น และเมื่อมีหลายรายแข่งขันกันก็จะดีขึ้น หรืออาจโต้แย้งแบบเสรีนิยมสุดโต่งว่า บริการใดก็ตามที่ไม่ใช่การผูกขาดอำนาจบังคับใช้ ควรให้เอกชนทำทั้งหมด
แต่นั่นไม่ใช่เหตุผลที่ดี 50 ล้านดอลลาร์ดูเป็นเงินก้อนใหญ่ และอาจมีช่องให้ลดได้ แต่ก็อยากเห็นการวิเคราะห์การดำเนินงานจริง มากกว่าจะยุติโปรแกรมไปเฉยๆ
เหตุผลข้อที่สองยิ่งแย่กว่า NIST และ NOAA เป็นตัวอย่างของหน่วยงานที่ให้ประโยชน์คุ้มค่าต้นทุนสูง และแนวคิด NIST แสวงกำไรหรือ NOAA แสวงกำไรก็ดูไม่ค่อยสมเหตุสมผล ถึงอย่างนั้นก็ควรพิจารณาข้อดีข้อเสียโดยทั่วไปของบริการที่ใช้เงินสาธารณะเทียบกับเวอร์ชันเอกชน เหตุผลที่แย่ก็ยังดีกว่าไม่มีเลย แต่รัฐบาลชุดปัจจุบันไม่ได้เสนอแม้แต่เหตุผลแบบนั้น
มีทฤษฎีสมคบคิดมากมายว่าสิ่งนี้จะถูกใช้เพื่อกดทับสิทธิ และสุดท้ายก็อาจเป็นแบบนั้นได้ แต่คงเป็นการตอบสนองภายหลังต่อผลลัพธ์ของการกระทำที่งุ่มง่ามมากกว่า
ความเชื่อทั่วไปในรัฐบาล Trump ตอนนี้คือโปรแกรมความมั่นคงไซเบอร์แบบนี้เป็นการผลาญเงิน และภาคเอกชนจะปรากฏขึ้นมาอย่างมหัศจรรย์เพื่อช่วยเรา
ตอนนี้ทุกคนจะได้เผชิญต้นทุนอันสูงลิ่วของทุนมนุษย์ที่ต่ำ
น่าเสียดายที่ Putin มีแนวโน้มสูงว่าจะรุกรานต่อไปจนถึง Fulda Gap ของเยอรมนี ถ้าเรายังอยู่ใน NATO เราก็คงไม่มีทางเลือกนอกจากประกาศสงคราม
รัฐบาล Trump เห็นว่าเงินถูกใช้ไปกับโครงการที่เป็นประโยชน์ต่อคนนอกสหรัฐฯ ด้วย โดยไม่สนใจคุณค่าภายในประเทศ แล้วก็ทึกทักว่าเงินของสหรัฐฯ ถูกใช้ไปกับประเทศอื่น
พวกเขาไม่ได้ฉลาดพอ ไม่ได้รู้มากพอ และแทบไม่มีความตั้งใจจะเรียนรู้หรือฟังคนที่ฉลาดกว่า เมื่อเห็นรายการงบประมาณที่ตนไม่เข้าใจก็คิดว่าตัดทิ้งได้
ดูเหมือนมีสมมติฐานแฝงอยู่ว่าถ้ามันสำคัญจริง เดี๋ยวก็มีใครสักคนทำเป็นธุรกิจเอง
แชต Signal เป็นแค่เรื่องรอง เมื่อเทียบกับการเปิดรัฐบาลให้เสี่ยงต่อ ข้อมูลรั่วไหล และอิทธิพลจากต่างชาติ
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
พวกเขาไม่เห็นเรื่องแบบนี้ ไม่มีการรายงานที่เหมาะสม แม่ผมไม่รู้แม้แต่ขอบเขตของภาษีศุลกากร และไม่รู้เรื่อง การฉ้อโกงคริปโตของ DJT ด้วย Signal ก็อธิบายไปหลายครั้งแล้ว แต่เรื่องซับซ้อนนี่เขาไม่เข้าใจจริงๆ
แม่บอกว่า “รู้ว่า Trump เป็นคนหยาบคาย” แต่ขออ้างคำพูดว่า เธอต้องการ “อเมริกาเพื่อชาวอเมริกัน” ต้องการให้จีนอยู่ในที่ของตน และต้องการปกป้องพรมแดน
ผมบอกพ่อว่า “คิดว่าทำไมอเมริกาถึงทรงพลังและมีอิทธิพลขนาดนั้น? เพราะเราลงทุนในโลกและรับนักศึกษาเข้ามาในสหรัฐฯ เราไม่ได้เป็นศูนย์กลางของโลกโดยไม่มีเหตุผลหรอก” เขาก็ตอบแค่ว่า “เราคือศูนย์กลางของโลก”
ประเทศของเราเต็มไปด้วยคนที่คิดเชิงนามธรรมไม่เป็นและเสพติดคำโกหก
งบประมาณไม่ใช่ประเด็นหลัก แต่เป็นสิ่งที่ทำให้ไขว้เขว การรื้อถอน ระบบความมั่นคงไซเบอร์ ภาคเอกชนคือวิธีทำให้สาธารณชนเปิดรับปฏิบัติการชี้นำอิทธิพลและความเสียหายอื่นๆ เพื่อให้ภายหลังต้องการวิธีแก้แบบ “ผู้นำเข้มแข็ง” มากขึ้น [0,1]
ต้องทำลาย “การป้องกันไซเบอร์” ก่อน จึงจะอ้างวิกฤตและประกาศได้ว่า “ความมั่นคงไซเบอร์ตายแล้ว ความมั่นคงไซเบอร์ใหม่จงเจริญ”
และสิ่งนั้นจะไม่มีวันเป็นความปลอดภัยเพื่อคุณแน่นอน
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
บทความค่อนข้างบางไปหน่อย เรื่องที่ งบประมาณ CVE เกือบถูกตัดขาดแน่นอนว่าเป็นโศกนาฏกรรม แต่ไม่ได้พูดถึงกรณีดึงข้อมูลออกจาก NLRB แล้วล็อกทุกคนออกจากบัญชี และพูดถึงการตัดเงินอุดหนุนของรัฐบาลกลางด้านความมั่นคงไซเบอร์กับงบ CISA แค่สั้นๆ
ยังมีกระสุนอีกมากที่จะใช้แสดงให้เห็นว่ารัฐบาล Trump และทีม DOGE ของ Musk ไร้ความสามารถจริงๆ แค่ไหน
รายงานค่อนข้างละเอียดถึงหลักฐานว่าเจ้าหน้าที่ DOGE จงใจพยายามซ่อนกิจกรรมของตนในบัญชี Azure ของ NLRB แน่นอนว่านี่คงเป็นเรื่องดีต่อความโปร่งใสของรัฐบาล
ในคำเปิดโปงของ Berulis ระบุว่าไม่กี่นาทีหลังจาก DOGE เข้าถึงระบบของ NLRB ก็มีใครบางคนจากที่อยู่ IP ของรัสเซียเริ่มพยายามล็อกอิน ความพยายามนั้นเกิดขึ้น “แทบจะเรียลไทม์”
ความพยายามล็อกอินถูกบล็อกไว้ แต่ก็น่ากังวลเป็นพิเศษ เพราะผู้ที่พยายามล็อกอินใช้หนึ่งในบัญชี DOGE ที่เพิ่งสร้างขึ้น และมีรายงานว่ารู้ชื่อผู้ใช้กับรหัสผ่านที่ถูกต้อง
เราอาจต้องมี ฐานข้อมูลแบบ CVE ที่ไม่ต้องพึ่งพารัฐบาลสหรัฐฯ นี่เป็นจุดอ่อนของโลก IT เอง
ถ้ารู้ประวัติของ CVE ในช่วง 10 ปีที่ผ่านมาแล้ว จะเสนอใครได้อย่างจริงจัง? จะจ้าง Cisco หรือ Oracle เป็นผู้รับเหมาช่วงหรือ?
https://www.thecvefoundation.org/
เป็นความคิดที่แหวกแนว แต่ถ้า กระจาย CVE ไปหลายประเทศ เพื่อไม่ให้องค์กรใดองค์กรหนึ่งมีอำนาจยกเลิกมันได้ล่ะ?
ต่อให้สหรัฐฯ ไม่ให้ความร่วมมือ มันก็เป็นฐานข้อมูลสาธารณะไม่ใช่หรือ? มีอะไรที่ขัดขวางไม่ให้ UN, EU, สหราชอาณาจักร, ออสเตรเลีย ฯลฯ คัดลอกแล้วตั้ง CVE ร่วมกัน?
Trump จะต้องตกใจเป็นครั้งที่สองกับข้อเท็จจริงที่ว่า “ทุกอย่างคือคอมพิวเตอร์”
นี่คือ การก่อวินาศกรรม แล้วใครเป็นคนทำ?
“Washington Monument syndrome หรือที่เรียกว่า Mount Rushmore syndrome หรือ firemen first principle เป็นคำที่หมายถึงปรากฏการณ์ที่หน่วยงานรัฐบาลสหรัฐฯ เมื่อเผชิญกับการตัดงบประมาณ จะลดบริการที่รัฐบาลจัดให้ซึ่งมองเห็นได้ชัดที่สุดหรือได้รับการประเมินค่าสูงที่สุด”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome