คุณอาจคิดว่าข้อมูลของรัฐบาลต้องปลอดภัย แต่เหตุการณ์ล่าสุดในสวิตเซอร์แลนด์กำลังแสดงให้เห็นว่า แม้แต่ระบบของรัฐก็อาจถูกคุกคามได้ผ่าน “ประตูหลัง” อย่างองค์กรภายนอก
เมื่อวันที่ 16 มิถุนายน 2568 มูลนิธิ Radix องค์กรไม่แสวงหาผลกำไรด้านสุขศึกษาในซูริก ตกเป็นเหยื่อของการโจมตีด้วย แรนซัมแวร์จากกลุ่ม Sarcoma เหตุการณ์นี้ไม่เพียงสร้างความเสียหายให้ Radix เท่านั้น แต่ยังส่งผลให้ ข้อมูลสำคัญของสำนักงานรัฐบาลกลางสวิตเซอร์แลนด์หลายแห่ง ถูกขโมยและเผยแพร่บน Dark Web จำนวนมหาศาลถึง 1.3TB!
กลุ่ม Sarcoma: กลยุทธ์และวิธีการโจมตี
กลุ่ม Sarcoma ไม่ได้เพิ่งปรากฏตัว แต่มีประวัติการเคลื่อนไหวเชิงรุกมาตั้งแต่เดือนตุลาคม 2567 พวกเขามีกลยุทธ์ที่หลากหลาย เช่น:
- Phishing (การหลอกลวงผ่านอีเมล): วิธีคลาสสิกแต่ยังคงมีประสิทธิภาพในการเข้าถึงระบบ
- การใช้ประโยชน์จากช่องโหว่เก่า (Exploit): เจาะระบบที่ยังไม่ได้รับการอัปเดตแพตช์ป้องกัน ซึ่งเป็นความเสี่ยงที่องค์กรมักมองข้าม
- การโจมตีซัพพลายเชน (Supply-chain attack): มุ่งเจาะระบบของซัพพลายเออร์หรือผู้ให้บริการภายนอก เพื่อใช้เป็นทางผ่านเข้าสู่องค์กรเป้าหมายหลัก
เมื่อสามารถเข้าถึงเครือข่ายได้ ผู้โจมตีจะใช้ Remote Desktop Protocol (RDP) เพื่อเคลื่อนย้ายในระบบ ขโมยข้อมูล และบางครั้งก็ทำการเข้ารหัสข้อมูล (encryption) เพื่อเรียกค่าไถ่
ข้อมูลที่รั่วไหลและผลกระทบที่ตามมา
หลังจากที่ Radix ปฏิเสธการจ่ายค่าไถ่ กลุ่ม Sarcoma ได้นำข้อมูลที่ขโมยไปเผยแพร่บนพอร์ทัลของพวกเขาบน Dark Web เมื่อวันที่ 29 มิถุนายน 2568 โดยข้อมูลที่รั่วไหลมีขนาดมากถึง 1.3TB ประกอบด้วย เอกสารราชการและสแกนเอกสาร, บันทึกทางการเงิน, สัญญา, และการสื่อสารภายในองค์กร ซึ่งทั้งหมดถูกเปิดให้ดาวน์โหลดได้ฟรี และอาจถูกนำไปใช้ในการหลอกลวงแบบฟิชชิ่ง หรือการขโมยข้อมูลประจำตัวในอนาคต
การรับมือของ Radix และหน่วยงานรัฐสวิส
แม้ Radix จะไม่มีสิทธิ์เข้าถึงระบบของรัฐบาลกลางโดยตรง แต่เนื่องจากเป็นผู้ให้บริการแก่หน่วยงานบริหารของรัฐบาลสวิตเซอร์แลนด์หลายแห่ง ข้อมูลที่เกี่ยวข้องกับภาครัฐบางส่วนจึงรั่วไหลออกไปด้วย ศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ของสวิส กำลังดำเนินการสอบสวนเพื่อระบุหน่วยงานและประเภทข้อมูลที่ได้รับผลกระทบอย่างละเอียด
หลังการโจมตี Radix ได้ดำเนินการอย่างเร่งด่วน ได้แก่ การแจ้งเตือนผู้ที่อาจได้รับผลกระทบ, ปิดการเข้าถึงระบบทันทีที่ตรวจพบ, กู้คืนจากข้อมูลสำรอง, และประสานงานอย่างใกล้ชิดกับ NCSC นอกจากนี้ ยังได้แจ้งเตือนสาธารณชนให้ระมัดระวังการโจมตีแบบฟิชชิ่ง หรือการพยายามขโมยข้อมูลส่วนตัวที่อาจเกิดขึ้นจากข้อมูลที่รั่วไหลไป
ทั้งนี้ รัฐบาลสวิสเคยเผชิญเหตุการณ์คล้ายกันเมื่อเดือนมีนาคม 2567 เมื่อผู้ให้บริการซอฟต์แวร์ชื่อ Xplain ถูกโจมตีโดยกลุ่มแรนซัมแวร์ Play ส่งผลให้ข้อมูลราชการกว่า 65,000 รายการรั่วไหลออกสู่สาธารณะ
บทเรียนสำคัญ: จุดอ่อนที่ซ่อนอยู่ใน “ความไว้ใจ”
เหตุการณ์เหล่านี้เป็นสัญญาณเตือนที่สำคัญว่า: แม้ระบบขององค์กรจะได้รับการปกป้องอย่างดีเยี่ยม แต่หากผู้ให้บริการภายนอกหรือจุดเชื่อมต่อที่ได้รับความเชื่อมั่นมีช่องโหว่ ก็อาจกลายเป็นประตูสู่การรั่วไหลของข้อมูลได้ แรนซัมแวร์ไม่ได้เพียงแค่เข้ารหัสไฟล์ แต่มันกำลัง "กัดกร่อนความเชื่อมั่น" ที่สำคัญยิ่ง
สิ่งที่องค์กรควรทำทันที:
- ประเมินความเสี่ยงของซัพพลายเชน: ตรวจสอบและประเมินมาตรฐานความปลอดภัยของผู้ให้บริการบุคคลที่สามอย่างละเอียดถี่ถ้วน
- วางแผนรับมือเหตุการณ์: จัดทำแผนการตอบสนองเมื่อเกิดเหตุละเมิดข้อมูล และหมั่นฝึกซ้อมอย่างสม่ำเสมอ
- บริหารจัดการสิทธิ์การเข้าถึงข้อมูล: กำหนดสิทธิ์การเข้าถึงข้อมูลให้เท่าที่จำเป็น และเฝ้าระวังพฤติกรรมที่ผิดปกติในระบบ
- เสริมสร้างความตระหนักรู้แก่บุคลากร: โดยเฉพาะการฝึกอบรมให้พนักงานระมัดระวังภัยจากวิศวกรรมทางสังคม อีเมลปลอม หรือการหลอกลวงขอข้อมูลส่วนตัว
การโจมตี Radix เป็นตัวอย่างที่ชัดเจนว่า ภัยไซเบอร์ไม่ได้เลือกเป้าหมายตามชื่อเสียงหรือขนาดองค์กร แต่มักเลือกจากจุดอ่อน และในโลกที่เชื่อมต่อกันอย่างซับซ้อน ความอ่อนแอขององค์กรหนึ่งอาจกลายเป็นจุดพังทลายของอีกหลายองค์กรตามมา ถึงเวลาแล้วที่ทั้งองค์กรเอกชน, หน่วยงานรัฐ, และประชาชนทั่วไป จะต้องร่วมมือกันสร้างภูมิคุ้มกันให้กับข้อมูลและความเป็นส่วนตัว ก่อนที่ “ภัยเงียบ” นี้จะกลายเป็นเรื่องปกติในชีวิตประจำวัน