IOT SECURITY

ความท้าทายใหม่บนอุปกรณ์ IoT: เชื่อมต่อล้ำหน้าขึ้น แต่ทำไมถึงกลายเป็นเป้าโจมตีที่ง่ายที่สุด

อุปกรณ์ IoT ไม่ได้เสี่ยงเพราะมันเล็กหรือราคาถูกอย่างเดียว แต่เพราะมันกระจายอยู่ทุกที่ เชื่อมกับ 5G, edge computing, cloud และระบบธุรกิจมากขึ้น บทความนี้สรุปโจทย์จริงและ checklist สำหรับลดความเสี่ยงแบบ practical

Nattapon Chatprechakul

2 min read
Share
ภาพประกอบเมืองและบ้านอัจฉริยะที่มีอุปกรณ์ IoT, 5G, edge server และทีม security เฝ้าดูเส้นทางข้อมูล

เวลาเราพูดถึง IoT หรือ Internet of Things หลายคนจะนึกถึงกล้องวงจรปิด smart plug, smart TV, sensor, wearable, router, NAS, เครื่องสแกนนิ้ว หรืออุปกรณ์ในโรงงานที่ต่อ network ได้ สิ่งเหล่านี้ทำให้ชีวิตและงานสะดวกขึ้นมาก แต่ในมุม security มันก็สร้างโจทย์ที่ต่างจากคอมพิวเตอร์หรือ server แบบเดิมพอสมควร

ปัญหาไม่ได้อยู่แค่ว่าอุปกรณ์ IoT “โดนแฮกง่าย” แบบที่ชอบพูดกันกว้าง ๆ แต่อยู่ที่อุปกรณ์เหล่านี้มักมีจํานวนมาก กระจายอยู่หลายพื้นที่ มีเจ้าของไม่ชัด อัปเดตยาก ตั้งค่าผิดได้ง่าย และบางตัวถูกออกแบบมาให้ราคาถูกหรือใช้งานง่ายก่อนความปลอดภัย

พอเอา 5G network, edge computing และ cloud service เข้ามาเพิ่ม ภาพก็ยิ่งซับซ้อนขึ้น เพราะอุปกรณ์ไม่ได้แค่ต่อ Wi-Fi ในบ้านอีกต่อไป แต่มันอาจส่งข้อมูลจากหน้างานไปยัง edge gateway, AI analytics, mobile app, vendor cloud และระบบภายในองค์กรพร้อมกัน ถ้าเราไม่รู้ว่ามันต่อกับอะไรบ้าง อุปกรณ์เล็ก ๆ ตัวหนึ่งก็อาจกลายเป็นช่องทางเข้าระบบใหญ่ได้

เริ่มจากข้อเท็จจริงก่อน: IoT ไม่ได้เหมือน endpoint ทั่วไป

ถ้าเป็น laptop หรือ server ทีม IT มักรู้ว่าเครื่องอยู่ที่ไหน ใครใช้ ลง agent อะไรได้บ้าง และ patch อย่างไร แต่ IoT หลายตัวไม่เป็นแบบนั้น บางตัวไม่มีหน้าจอ ไม่มี keyboard ไม่มี endpoint protection ลงเพิ่มไม่ได้ ใช้ firmware เฉพาะทาง และตั้งค่าได้ผ่าน web interface หรือ mobile app ที่ vendor ทำมาให้เท่านั้น

NISTIR 8259A จึงพูดถึง baseline capability ของ IoT device เช่น device identification, device configuration, data protection, logical access to interfaces, software update, cybersecurity state awareness และ device security พูดง่าย ๆ คืออุปกรณ์ที่ดีไม่ควรเป็นเพียง “ของที่ต่อเน็ตได้” แต่ควรมีความสามารถพื้นฐานให้ผู้ใช้หรือองค์กรจัดการความปลอดภัยได้จริง

ในทางปฏิบัติ ผมมองว่า IoT เสี่ยงจาก 5 เรื่องหลัก:

  1. ไม่รู้ว่ามีอุปกรณ์อะไรอยู่ใน network บ้าง
  2. ตั้งค่าด้วย default password หรือ credential ที่เดาง่าย
  3. firmware เก่าและไม่รู้ว่า vendor ยัง support หรือไม่
  4. เปิด service หรือ remote access มากเกินจำเป็น
  5. เชื่อมกับระบบอื่นโดยไม่มีการแยกสิทธิ์และ network ที่ดีพอ

สิ่งเหล่านี้ฟังดูพื้นฐาน แต่เป็นพื้นฐานที่พลาดบ่อยมาก โดยเฉพาะบ้าน, homelab, office ขนาดเล็ก และสาขาที่ไม่ได้มีทีม IT อยู่ประจำ

ภาพประกอบ: โต๊ะ inventory ที่จัดกลุ่มอุปกรณ์ IoT ตามเจ้าของ firmware และสถานะการอัปเดต

ทำไม 5G และ edge computing ทำให้โจทย์เปลี่ยน

5G ทำให้อุปกรณ์จำนวนมากเชื่อมต่อได้เร็วขึ้น latency ต่ำลง และใช้งานนอกพื้นที่ office หรือบ้านได้ง่ายขึ้น ส่วน edge computing ทำให้การประมวลผลบางอย่างเกิดใกล้หน้างานมากกว่าเดิม เช่น กล้องที่วิเคราะห์ภาพในโรงงาน sensor ที่ส่งข้อมูลไป edge gateway หรือระบบ logistics ที่ประมวลผลข้อมูลจาก vehicle และ handheld device ใกล้จุดปฏิบัติงาน

ข้อดีคือระบบตอบสนองเร็วขึ้น ลดการส่งข้อมูลบางส่วนกลับ cloud และรองรับ use case ที่เดิมทำยาก แต่ข้อเสียคือ attack surface กระจายกว่าเดิม จากที่เคยมี data centre หรือ cloud เป็นศูนย์กลาง ตอนนี้มี gateway, micro data centre, SIM/eSIM, private 5G, API, mobile app และ vendor management portal เพิ่มเข้ามา

ถ้าออกแบบดี สิ่งเหล่านี้ช่วยให้ระบบยืดหยุ่นและปลอดภัยขึ้นได้ แต่ถ้าออกแบบแบบเร่งใช้งานก่อนคิด security ภายหลัง เราอาจได้ระบบที่มีจุดเชื่อมต่อเยอะมาก แต่ไม่มีใครถือภาพรวมทั้งหมด

ตัวอย่างคำถามที่ควรถามตั้งแต่ต้นคือ:

  1. อุปกรณ์นี้ส่งข้อมูลไปที่ไหนบ้าง
  2. ใครเป็นเจ้าของ edge gateway หรือ cloud tenant
  3. credential ของอุปกรณ์ถูกสร้าง เก็บ และ rotate อย่างไร
  4. ถ้า vendor cloud ล่มหรือ vendor ถูก compromise ธุรกิจหยุดไหม
  5. log จาก device, gateway และ cloud ถูกเก็บพอสำหรับ incident response หรือไม่
  6. ถ้าต้องถอดอุปกรณ์ออกจาก network แบบฉุกเฉิน ทำได้จริงหรือเปล่า
ภาพประกอบ: Edge gateway เชื่อมอุปกรณ์ผ่าน 5G พร้อมจุดแบ่ง network และ security checkpoint

Default password ยังเป็นปัญหาที่ไม่ควรมีแล้ว

เรื่องหนึ่งที่ดูเก่าแต่ยังสำคัญมากคือ default password หรือ password ที่เหมือนกันทุกเครื่อง CISA เคยออก Secure by Design Alert โดยระบุชัดว่าผู้ผลิตควรลดความเสี่ยงจาก static default password เพราะการปล่อยให้ลูกค้าหลายพันรายต้องเปลี่ยนเองภายหลังไม่เพียงพอในสภาพแวดล้อมภัยคุกคามปัจจุบัน

ถ้าเอามาแปลเป็นภาษาคนใช้งาน คืออุปกรณ์ที่ดีควรบังคับให้ตั้ง password ใหม่ตอน setup, ใช้ initial password ที่ไม่ซ้ำกันแต่ละเครื่อง, ปิด service ที่ไม่จำเป็นเป็นค่าเริ่มต้น และมีวิธี update firmware ที่เข้าใจได้ ไม่ใช่ให้ผู้ใช้ค้นไฟล์จากเว็บ vendor เองทุกครั้ง

ETSI EN 303 645 ซึ่งเป็นมาตรฐาน cybersecurity สำหรับ consumer IoT ก็วาง baseline ในแนวเดียวกัน เช่น หลีกเลี่ยง universal default password, มีช่องทางรายงาน vulnerability, ดูแล software update, เก็บ credential อย่างเหมาะสม และปกป้องข้อมูลส่วนบุคคล

สำหรับผู้ใช้ทั่วไปหรือทีมเล็ก เราอาจควบคุมการออกแบบของ vendor ไม่ได้ทั้งหมด แต่เราเลือกซื้อและตั้งค่าให้ดีขึ้นได้ เช่น เลือกอุปกรณ์ที่มี update policy ชัดเจน ไม่ซื้ออุปกรณ์ที่ต้องเปิด port จากอินเทอร์เน็ตโดยไม่จำเป็น และแยก IoT network ออกจากเครื่องทำงานหรือ NAS ที่เก็บข้อมูลสำคัญ

IoT ไม่ใช่แค่ privacy แต่กระทบ resilience ด้วย

กล้องและไมค์ในบ้านอาจทำให้เราคิดเรื่อง privacy ก่อน เช่น ใครดูภาพได้ ข้อมูลถูกส่งไปประเทศไหน หรือ vendor ใช้ข้อมูลเพื่ออะไร แต่ในองค์กร IoT ยังเกี่ยวกับ resilience ด้วย เพราะอุปกรณ์บางตัวควบคุมประตู ระบบอาคาร เครื่องจักร sensor ความปลอดภัย หรือระบบติดตามสินทรัพย์

ENISA Threat Landscape 2024 ระบุว่า threats against availability เป็นหนึ่งในภัยคุกคามหลัก และในโลก IoT availability มีความหมายมากกว่าระบบเว็บล่ม เพราะถ้า sensor ไม่ส่งข้อมูล gateway ล่ม หรือกล้องในพื้นที่สำคัญใช้งานไม่ได้ ผลกระทบอาจไปถึง operation, safety และการตัดสินใจหน้างาน

ดังนั้นการดูแล IoT security ไม่ใช่แค่ป้องกันคนแอบดูภาพจากกล้อง แต่รวมถึงการทำให้ระบบยังทำงานต่อได้เมื่ออุปกรณ์บางส่วนมีปัญหา เช่น มี fallback, backup configuration, spare device, documented reset process และรู้ว่า service ใดต้อง recover ก่อน

ถ้าอยากเชื่อมเรื่องนี้กับการฟื้นตัวหลังเหตุการณ์ไซเบอร์ อ่านต่อได้ที่ ประตูหลังที่คาดไม่ถึง: เจาะลึกความเสี่ยงและวิธีป้องกัน Supply Chain Attacks เพราะ IoT vendor และ cloud service ก็เป็นส่วนหนึ่งของ supply chain เช่นกัน

Checklist เริ่มต้นสำหรับบ้าน, homelab และทีมเล็ก

ผมคิดว่า IoT security ที่ใช้งานได้จริงควรเริ่มจากสิ่งที่ทำได้ทันที ไม่ใช่เริ่มจากการซื้อ platform ใหญ่ ถ้าดูแลบ้าน, homelab หรือ office เล็ก ๆ ลองเริ่มจาก checklist นี้ก่อน:

ภาพประกอบ: ทีมกำลังใช้ checklist สำหรับตั้งค่า IoT อย่างปลอดภัย เช่น segment, update, credential, log และ vendor lifecycle
  1. ทำ inventory ว่ามีอุปกรณ์อะไร รุ่นอะไร อยู่ตรงไหน และใครเป็น owner
  2. เปลี่ยน default password และใช้ password manager เก็บ credential
  3. เปิด MFA ถ้า vendor account หรือ cloud dashboard รองรับ
  4. อัปเดต firmware และจดไว้ว่ารุ่นใดยังได้รับ support
  5. ปิด remote access, UPnP, Telnet, FTP หรือ service ที่ไม่จำเป็น
  6. แยก IoT VLAN หรือ guest network ออกจาก laptop, NAS และ server สำคัญ
  7. จำกัด outbound traffic เมื่อทำได้ โดยเฉพาะอุปกรณ์ที่ไม่ควรคุยกับอินเทอร์เน็ตตลอดเวลา
  8. ใช้ local control เมื่อเหมาะสม แทนการพึ่ง vendor cloud ทุกอย่าง
  9. เก็บ log จาก router, firewall หรือ controller เท่าที่ขนาดระบบรองรับ
  10. มีแผนเลิกใช้อุปกรณ์เมื่อ vendor หยุด update หรือ cloud service ปิดตัว

สำหรับคนทำ homelab จุดที่ควรระวังเพิ่มคืออย่าเอา IoT network ไปปนกับ lab server ที่เปิด service ทดลองหลายตัว และอย่าเปิด management interface ออกอินเทอร์เน็ตโดยตรง ถ้าต้องการปูพื้นเรื่องการวางระบบเล็ก ๆ ในบ้านให้เป็นระบบมากขึ้น เริ่มจาก Homelab คืออะไร เริ่มต้นอย่างไร ได้

เลือกซื้ออุปกรณ์ IoT ให้ดู lifecycle ไม่ใช่ดูแค่ราคา

อุปกรณ์ IoT ราคาถูกอาจดูคุ้มตอนซื้อ แต่ต้นทุนจริงอยู่ที่ support lifecycle ด้วย ถ้าไม่มี firmware update, ไม่มี vulnerability disclosure, ไม่มีเอกสารเรื่อง data collection, ใช้ cloud ที่ไม่รู้ว่าอยู่ที่ไหน และต้องเปิด permission กว้างเกินจำเป็น ราคาถูกตอนแรกอาจกลายเป็นความเสี่ยงระยะยาว

ในสหรัฐฯ FCC เปิดตัว US Cyber Trust Mark เพื่อช่วยให้ผู้บริโภคมองเห็นอุปกรณ์ IoT ที่ผ่านเกณฑ์ cybersecurity บางอย่าง แม้รายละเอียดการใช้งานจริงของตลาดจะยังต้องติดตามต่อ แต่แนวคิดเรื่อง security label สะท้อนทิศทางสำคัญ คือผู้ซื้อไม่ควรต้องเดาเองทั้งหมดว่าอุปกรณ์ปลอดภัยพอหรือไม่

ระหว่างที่ label และมาตรฐานยังไม่ได้ครอบคลุมทุกตลาด คำถามง่าย ๆ ก่อนซื้อคือ:

  1. vendor บอกระยะเวลา support ไหม
  2. มี firmware update อัตโนมัติหรืออย่างน้อย update ง่ายหรือไม่
  3. ใช้ account กลางขององค์กรได้ไหม หรือบังคับ personal account
  4. ตั้งสิทธิ์ผู้ใช้แยก role ได้หรือไม่
  5. ถ้าเลิกใช้ ลบ account, device binding และข้อมูลใน cloud ได้อย่างไร
  6. มีทางใช้แบบ local-only หรือจํากัด cloud ได้หรือไม่

คำถามเหล่านี้อาจดูไม่หวือหวา แต่ช่วยคัดอุปกรณ์ที่สร้างภาระระยะยาวออกไปได้เยอะ

สรุป

IoT ทำให้โลก physical กับ digital ใกล้กันขึ้นมาก กล้อง, sensor, gateway, wearable, router และอุปกรณ์ edge ช่วยให้เรามองเห็นและควบคุมสิ่งต่าง ๆ ได้ดีขึ้น แต่ยิ่งเชื่อมต่อมาก ความรับผิดชอบด้าน security ก็ยิ่งกระจายมากขึ้นตามไปด้วย

จากประสบการณ์ ผมไม่คิดว่าคำตอบคือการกลัว IoT จนไม่ใช้อะไรเลย คำตอบที่ practical กว่าคือมองอุปกรณ์เหล่านี้เป็น asset จริงในระบบ ไม่ใช่ของใช้เล็ก ๆ ที่ต่อเน็ตเฉย ๆ ต้องรู้ว่ามีอะไรอยู่ตรงไหน ใครเป็นเจ้าของ อัปเดตอย่างไร คุยกับระบบใด และถ้าเกิดเหตุจะตัดหรือกู้คืนอย่างไร

ถ้าทำได้แค่นี้ก่อน ความเสี่ยงจะลดลงมากแล้ว เพราะผู้โจมตีจำนวนมากไม่ได้เริ่มจากเทคนิคซับซ้อน แต่เริ่มจากอุปกรณ์ที่ไม่มีใครดูแล password เดิม firmware เก่า หรือ network ที่เชื่อทุกอย่างมากเกินไป

อ่านต่อที่เกี่ยวข้อง

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe