รัฐบาลต้องการให้อุปกรณ์สมาร์ทของคุณมีข้อบกพร่องด้านความปลอดภัยที่โง่เขลา

รัฐบาลต้องการให้อุปกรณ์สมาร์ทของคุณมีข้อบกพร่องด้านความปลอดภัยที่โง่เขลา

คลิกที่นี่เพื่อฆ่าทุกคน: ความปลอดภัยและการอยู่รอด

ในโลกที่เชื่อมต่อกันอย่างไฮเปอร์ Bruce Schneier W.W. Norton (2018)

เกือบหนึ่งวันผ่านไปโดยไม่มีรายงานการละเมิดความปลอดภัยของคอมพิวเตอร์และการโจรกรรมหรือการประนีประนอมข้อมูลที่เป็นความลับ ฝันร้ายทางดิจิทัลนั้นกำลังจะเลวร้ายลงกว่าเดิมมาก Bruce Schneier นักเทคโนโลยีด้านความปลอดภัยยืนยันใน Click Here to Kill Everyone คำวิจารณ์ของเขาเกี่ยวกับความเฉื่อยของรัฐบาลต่อความปลอดภัยทางอินเทอร์เน็ต

Schneier เขียนถึงภัยคุกคามที่กำลังขยายตัวอย่างรวดเร็ว เกิดจากการขยายตัวอย่างรวดเร็วของการเชื่อมต่อออนไลน์ไปยังโหนดที่ไม่ปลอดภัยหลายพันล้านเครื่อง Internet of Things ซึ่งวัตถุและอุปกรณ์ทางกายภาพเชื่อมต่อกัน กำลังจะกลายเป็นอินเทอร์เน็ตของทุกสิ่ง ในช่วงทศวรรษที่ผ่านมา มีการขายผลิตภัณฑ์จำนวนมากขึ้นเรื่อยๆ พร้อมซอฟต์แวร์ฝังตัวและความสามารถในการสื่อสาร: เครื่องใช้ในครัวเรือน รถยนต์ เครื่องมือทางการแพทย์ และแม้แต่เสื้อผ้า สามารถตรวจสอบและควบคุมได้จากระยะไกล เช่นเดียวกันกำลังจะเกิดขึ้น เนื่องจากบ้านอัจฉริยะยอมจำนนต่อเมืองอัจฉริยะ และระบบอัตโนมัติมีบทบาทมากขึ้นในการจัดการโครงสร้างพื้นฐานที่สำคัญ เวิร์มคอมพิวเตอร์ Stuxnet ใช้ในการโจมตีโปรแกรมเสริมสมรรถนะยูเรเนียมของอิหร่านจากระยะไกลในปี 2010 เป็นตัวบ่งชี้ถึงภัยคุกคามในระยะแรกและกล้าได้กล้าเสีย

การเชื่อมต่อทั่วโลกที่ได้รับการปรับปรุงมีข้อดีหลายประการสำหรับการแบ่งปันความรู้ การค้าขาย และความสะดวกสบาย อย่างไรก็ตาม การรักษาความปลอดภัยให้เป็นโอกาสที่น่ากลัว ช่องโหว่ที่คุ้นเคยกันมากของเครือข่ายคอมพิวเตอร์ — ความอ่อนแอต่อความล้มเหลว การหยุดชะงัก และการรบกวนจากมัลแวร์ ไวรัส และปัจจัยอื่นๆ — ถูกขยายเพิ่มขึ้นเมื่อทุกอย่างกลายเป็นระบบคอมพิวเตอร์ การขยายตัวอย่างไม่หยุดยั้งของไซเบอร์สเปซไปสู่โดเมนทางกายภาพทำให้เกิดภัยคุกคามใหม่ๆ ต่อระบบไฟฟ้า ขนส่งมวลชน สาธารณสุขและความปลอดภัย และแม้แต่สถาบันทางการเมือง ซึ่งแสดงให้เห็นอย่างมีประสิทธิภาพจากการดำเนินงานด้านข้อมูลของรัสเซียที่มุ่งเป้าไปที่การเลือกตั้งประธานาธิบดีสหรัฐฯ ประจำปี 2559

แม้จะมีชื่อที่น่ากลัว แต่หนังสือของ Schneier 

ก็มีสติสัมปชัญญะ ชัดเจน และมักจะฉลาดในการวินิจฉัยว่าความท้าทายด้านความปลอดภัยที่เกิดจากการขยายอินเทอร์เน็ตนั้นเกิดขึ้นได้อย่างไร และในการเสนอสิ่งที่ควรทำ (แต่อาจจะไม่ทำ) เกี่ยวกับพวกเขา

ในขณะที่เขาตั้งข้อสังเกต การรักษาความปลอดภัยไม่ใช่ปัญหาหลักในการออกแบบอินเทอร์เน็ตในยุคแรกๆ ในช่วงกลางถึงปลายศตวรรษที่ยี่สิบ นักพัฒนาที่มีความพยายามตั้งแต่แรกเริ่มตั้งแต่ ARPANET ของกระทรวงกลาโหมสหรัฐฯ เป็นต้นไป ไม่ได้คาดการณ์ว่าอินเทอร์เน็ตจะเติบโตอย่างรวดเร็วหรือมีบทบาทในการค้าและการสื่อสารระดับโลก แม้แต่ทุกวันนี้ ก็แทบไม่มีแรงจูงใจที่จะให้ความสำคัญกับการรักษาความปลอดภัยเหนือความกังวลอื่นๆ ตัวอย่างเช่น อีเมลอาจมาจากผู้ส่งที่มีชื่อหรือไม่ก็ได้

ทุนนิยมสอดส่อง

น่าแปลกสำหรับบางคน ธุรกิจอินเทอร์เน็ตส่วนใหญ่มีสาเหตุมาจากความไม่มั่นคง ‘ทุนนิยมการสอดส่อง’ — การรวบรวมข้อมูลผู้ใช้และการขายให้กับผู้โฆษณาและอื่นๆ — ขึ้นอยู่กับแนวทางปฏิบัติทางอินเทอร์เน็ตที่มีช่องโหว่ เช่นเดียวกับการรวบรวมข่าวกรองสำหรับความมั่นคงของชาติและการบังคับใช้กฎหมาย รัฐบาลดำเนินการราวกับว่าความต้องการของพวกเขาในการตรวจสอบอินเทอร์เน็ตสามารถเป็นที่พอใจได้โดยไม่มีการประนีประนอมเรื่องความปลอดภัย ชไนเออร์เขียนว่าไม่เป็นเช่นนั้น

โดยหลักการแล้ว เขาอธิบายว่าการรักษาความปลอดภัยของอินเทอร์เน็ตนั้นตรงไปตรงมา แต่จะเรียกร้องให้มีการดำเนินการของรัฐบาลร่วมกันในแต่ละขั้นตอน แรงจูงใจทางการเงินควรได้รับการปรับใหม่เพื่อส่งเสริมการรักษาความปลอดภัยและลงโทษความล้มเหลวโดยกำหนดให้ผู้ผลิตเปิดเผยข้อบกพร่องในซอฟต์แวร์เชิงพาณิชย์ ทำให้พวกเขาต้องรับผิดตามกฎหมายสำหรับข้อบกพร่อง อุปกรณ์ใหม่ควรมีการรักษาความปลอดภัย และให้รางวัลผ่านการอุดหนุนและการลดหย่อนภาษี ข้อมูลควรได้รับการเข้ารหัสเพื่อป้องกันการเก็บรวบรวมที่ไม่ต้องการ โครงสร้างพื้นฐานที่สำคัญ เช่น โครงข่ายไฟฟ้า การสื่อสาร และการขนส่ง ควรได้รับการปกป้องด้วยการเสริมความปลอดภัยเครือข่ายหรือตัดการเชื่อมต่อจากเครือข่ายโดยสิ้นเชิง

หน่วยงานของรัฐตระหนักดีว่าอินเทอร์เน็ตที่กำลังขยายตัว “จะสร้างพื้นที่การแสวงประโยชน์ที่ใหญ่ขึ้นอย่างคาดไม่ถึงสำหรับผู้คุกคามทางไซเบอร์” ตามที่ศูนย์ข่าวกรองและความมั่นคงแห่งชาติของสหรัฐฯ ระบุไว้ในรายงานปี 2018 เรื่อง Foreign Economic Espionage in Cyberspace ทว่ามุมมองของ Schneier เกี่ยวกับความปลอดภัยนั้นแตกต่างอย่างมากจากมุมมองของเจ้าหน้าที่รัฐบาลหลายแห่งในสหรัฐอเมริกาและที่อื่น ๆ ตัวอย่างเช่น Schneier ถือว่าการเข้ารหัสที่รัดกุมเป็นสิ่งจำเป็นสำหรับการรักษาความปลอดภัยส่วนบุคคลและเครือข่าย กระทรวงยุติธรรมสหรัฐมองว่าเป็น “ความท้าทายที่ร้ายแรงต่อการบังคับใช้กฎหมายอย่างมีประสิทธิภาพ”