www.cioworldmagazine.com

 Breaking News

ธนชาติ นุ่นนนท์ ให้ความเห็นกรณีข้อมูลลูกค้าทรู เป็นข้อผิดพลาดการใช้ Cloud ของทรูมูฟเอชเอง

ธนชาติ นุ่นนนท์ ให้ความเห็นกรณีข้อมูลลูกค้าทรู เป็นข้อผิดพลาดการใช้ Cloud ของทรูมูฟเอชเอง
April 20
15:28 2018

ดร.ธนชาติ นุ่มนนท์ ผู้อำนวยการ สถาบันไอเอ็มซี ให้ความเห็นกรณีผู้เชี่ยวชาญต่างประเทศเข้าถึงข้อมูลลูกค้า Truemove H เป็นผิดพลาดของการใช้ Cloud ของทรูเอง ไม่ใช่การแฮก

HPE1 662x190

เมื่อวันที่ 18 เมษายน ดร.ธนชาติ นุ่มนนท์ ผู้อำนวยการ สถาบันไอเอ็มซี ผู้เชี่ยวชาญด้านเทคโนโลยีคอมพิวเตอร์ ได้แสดงความเห็นในเฟซบุ๊กส่วนตัว กรณีข่าว ผู้เชี่ยวชาญความปลอดภัยไซเบอร์พบข้อมูลลูกค้า TrueMove H หลุดจาก Amazon S3 และ หลังจากที่ ทรูมูฟเอช ชี้แจงกสทช. บอกถูกแฮกข้อมูล โดยความเห็นที่มุ่งไปใน 3 ประเด็น คือ หนึ่ง ข้อบกพร่องของบริษัท ทรูฯ ในการใช้งาน ระบบคลาวด์ของ AWS เอง สอง การให้ความเห็นคำว่า ถูกแฮก รวมถึงอยากให้ผู้ให้บริการคลาวด์ออกมาชี้แจงเรื่องนี้ และสาม ย้ำถึงความปลอดภัยการใช้ระบบพับบลิคคลาวด์

ส่วนหนึ่ง ความเห็นของดร.ธนชาติ นุ่มนนท์ ในวันที่ 18 เมษายน

“ผมใช้ AWS มา 7 ปี และก็ชำระเงินผ่าน True IDC ที่เป็น partner ของ AWS มาตลอด (บางเดือนจ่ายเป็นแสนบาท) ผมอ่านแถลงข่าวแล้วผมคิดว่าคำถามที่ทั้งสองบริษัทควรให้คำชี้แจงคือ

1) บริษัท True ไปเปิดข้อมูลที่อยู่ใน Cloud storage S3 ให้เป็นสาธารณะทำไม เพราะปกติโดย Default มันต้องปิด และไม่มีเหตุผลใดๆ ที่ต้องมาเปิดยกเว้นต้องการแชร์สู่สาธารณะ ดังนั้นประเด็นนี้คือ ไม่ใช่ลืมปิด ลืมล็อกประตู แต่ประเด็นคือคุณไปเปิดทำไม ในเมื่อปกติมันปิดและไม่ควรเปิดสาธารณะแต่ต้น

2) ถ้า True อ้างว่าถูก Hack แล้วเป็นระบบที่ปิดได้จริง (คำว่า Hack น่าจะต้องเป็นระบบที่ไม่เปิดสาธารณะ) ซึ่งยังไม่มีครั้งใดที่เจอข่าวแบบนี้สำหรับ AWS S3 ทางผู้ให้บริการ Cloud ควรต้องออกมาย้ำให้สาธารณชนทราบว่าระบบปลอดภัยไม่สามารถเข้าถึงระบบปิดได้ น่าจะเกิดจากการผิดพลาดการใช้งานของผู้ใช้มากกว่า”

Thanachart Facebook 18_04นั่นเป็นความเห็นในวันที่ 18 เมษายน จากนั้น 19 เมษายน ก็ให้ความเห็นผ่านเฟซบุ๊กส่วนตัวอีกครั้ง โดยเน้นให้ความเข้าใจถึงการใช้ระบบคลาวด์ ซึ่งอธิบายว่าระบบคลาวด์นั้น มีความปลอดภัยสูง และย้ำว่า “เรื่องที่เกิดขึ้นไม่ใช่เรื่อง Security แต่เป็นการผิดพลาดของการใช้ Cloud ของ AWS”

ตั้งคำถาม Truemove H การตั้งค่าความปลอดภัยบนคลาวด์

ส่วนหนึ่ง ความเห็นของดร.ธนชาติ นุ่มนนท์ ในวันที่ 19 เมษายน

ดร.ธนชาติ นุ่มนนท์ ผู้อำนวยการ สถาบันไอเอ็มซี

ดร.ธนชาติ นุ่มนนท์ ผู้อำนวยการ สถาบันไอเอ็มซี

“ผมสอนและแนะนำให้คนใช้ Cloud storage ทั้งของ AWS, Google, Azure และ อีกหลายๆ เจ้า โดยเฉพาะกลุ่มที่ต้องการทำ Big Data เพราะการใช้ Cloud storage เหมาะในการทำ Data Lake และช่วยทำให้ลดค่าใช้จ่ายและทำให้เราเริ่มต้นทำ Big Data ได้อย่างรวดเร็วและราคาถูกมากๆ มีคนถามผมเรื่องความปลอดภัย ผมก็มักจะบอกว่าระบบปลอดภัยมากๆ ยิ่งกว่าเราติดตั้งระบบเองเสียอีก เพราะระบบมันปิด และถ้าข้อมูลใดที่คิดว่าเป็น sensitive data คุณก็ทำการ encryption ก่อนเอาขึ้นไป

พอมาฟังคำชี้แจงของ True ว่าระบบถูก Hack เลยต้อง comment เชิงวิชาการเพราะกลัวคนจะเข้าใจเรื่อง Cloud storage ผิดว่าไม่ปลอดภัย ทั้งๆ ที่ผมปฏิเสธจะให้สัมภาษณ์เรื่องนี้กับสื่อตลอด พร้อมทั้งบอกสื่อว่าเรื่องที่เกิดขึ้นไม่ใช่เรื่อง Security แต่เป็นการผิดพลาดของการใช้ Cloud ของ AWS สื่อควรสัมภาษณ์ผู้ที่เข้าใจและเคยใช้ AWS ประจำจะได้ทราบว่าเกิดจาก สาเหตุอะไร

แม้ผมตั้งคำถามว่า “ทำไมต้องเปิด folder ใน AWS S3 bucket ให้เป็น public โดยไม่มีเหตุผลใดๆ ทั้งๆ ที่โดย default มันปิดครับ” ก็ยังเจอบางท่านไปสร้างความเข้าใจผิดอีกว่า ถ้าจะใช้ S3 storage ให้ไปเชื่อมกับระบบอื่นๆ เช่น Web Server, App Server เราต้องเปิดเป็น Public ซึ่งก็ไม่เป็นความจริงแต่อย่างใด เพราะเรากำหนด policy และวิธีการทำ Authentication ได้ จะกำหนดให้เข้าได้เฉพาะจากเครื่องไหนก็ยังได้ ไม่ต้องเปิด public แต่อย่างใด

ผมยืนยันเช่นเดิมครับระบบ Cloud storage อย่าง AWS S3, Google cloud storage และอื่นๆ ปลอดภัยมากๆ Hack ไม่ได้หรอกครับ ยกเว้นแต่ผู้ใช้ทำไม่เป็นไปเปิดอะไรที่ไม่ควรทำ หากองค์กรใดต้องการใช้ cloud storage แล้วมี folder หรือ ไฟล์ใดที่ต้องการเปิดสาธารณะ องค์กรควรแยกสร้าง bucket เป็นสองชุด อันหนึ่งเป็น public แล้วมีข้อมูลที่ไม่สำคัญแล้วอย่างแชร์ให้สาธารณะเก็บอยู่ในบาง folder ส่วนอีก bucket ก็ให้เป็น private และเก็บข้อมูลส่วนใหญ่ไว้ ซึ่งโดยปกติมันก็ปิดอยู่แล้ว ไม่ต้องกังวลใดๆ”

Thanachart Facebook 19_04

โพสต์ของดร.ธนชาติ นุ่มนนท์ วันที่ 19 เมษายน

อ่านข่าวที่เกี่ยวข้อง

ผู้เชี่ยวชาญความปลอดภัยไซเบอร์พบข้อมูลลูกค้า TrueMove H หลุดจาก Amazon S3

Truemove H ชี้แจงกสทช. บอกถูกแฮกข้อมูล

 

Related Articles

2 Comments

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_1

Like Us On Facebook

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com

Categories