จ่ายค่าไถ่ให้แฮกเกอร์ : สองมุมมองของผู้เชี่ยวชาญว่าควรทำหรือไม่

hacker with money

ที่มาของภาพ, Getty/ BBC

    • Author, โจ ไทดี
    • Role, ผู้สื่อข่าวไซเบอร์

อาชญากรรมไซเบอร์ที่กำลังเกิดขึ้นและสร้างความเสียหายใหญ่หลวงไปทั่วโลก ได้จุดชนวนให้มีการเรียกร้องให้รัฐบาลต่าง ๆ ออกกฎหมายห้ามการจ่ายเงินค่าไถ่ให้แก่แฮกเกอร์

อาชญากรรมแรนซัมแวร์ (Ransomware) เกิดขึ้นแทบทุกวัน เป็นการเข้ายึดระบบคอมพิวเตอร์ไว้เป็นตัวประกัน แล้วเรียกร้องเงินจำนวนมหาศาลจากเหยื่อเพื่อให้เข้าถึงข้อมูลของตัวเองได้ดังเดิม

ประธานเจ้าหน้าที่บริหารของโคโลเนียล ไพป์ไลน์ (Colonial Pipeline) ยอมรับว่า บริษัทของเขาจ่ายเงินให้กับแฮกเกอร์เกือบ 4.5 ล้านดอลลาร์สหรัฐฯ (ประมาณ 141 ล้านบาท) เมื่อสัปดาห์ที่แล้ว หลังจากที่แฮกเกอร์เข้าจู่โจมระบบคอมพิวเตอร์ของบริษัท จนต้องยุติการส่งเชื้อเพลิง

แต่การวิจัยจากเอลลิปติก (Elliptic) บริษัทวิเคราะห์เรื่องบิตคอยน์ ระบุว่า นี่เป็นเพียงส่วนน้อยนิดเท่านั้น

นับตั้งแต่เดือน ส.ค. ปีที่แล้ว สถิติเกี่ยวกับบิตคอยน์เผยให้เห็นว่า ดาร์กไซด์ (DarkSide) แฮ็กเกอร์ที่ก่อเหตุ ทำเงินค่าไถ่ได้อย่างน้อย 90 ล้านดอลลาร์สหรัฐฯ (ประมาณ 2,800 ล้านบาท) จากเหยื่อ 47 ราย

นอกจากนี้ ดาร์กไซด์ ยังเป็นหนึ่งในแก๊งแรนซัมแวร์ที่โด่งดังกว่า 10 ราย ที่ทำกำไรมหาศาลจากการเรียกค่าไถ่จากกลุ่มบริษัทต่าง ๆ, โรงเรียน, รัฐบาล และโรงพยาบาล

โคโลเนียล ไพป์ไลน์ (Colonial Pipeline)

ที่มาของภาพ, Colonial Pipeline

คำบรรยายภาพ, โคโลเนียล ไพป์ไลน์ (Colonial Pipeline) จ่ายเงินให้กับแฮกเกอร์เกือบ 4.5 ล้านดอลลาร์สหรัฐฯ (ประมาณ 141 ล้านบาท) ภายในเวลาไม่กี่ชั่วโมงหลังถูกแฮก

พวกเขาทำการโดยไม่มีการเปิดเผยตัวตนจึงเป็นเรื่องยากในการแกะรอย และหลายคนก็ปฏิบัติการอยู่ในประเทศที่ไม่ต้องการจับกุมตัวพวกเขา

หน่วยงานบังคับใช้กฎหมาย

การโจมตีด้วยแรนซัมแวร์ ทำให้เหยื่อเข้าไม่ถึงระบบคอมพิวเตอร์หรือข้อมูลจนกว่าจะมีการจ่ายค่าไถ่

Skip ได้รับความนิยมสูงสุด and continue reading
ได้รับความนิยมสูงสุด

End of ได้รับความนิยมสูงสุด

หน่วยงานบังคับใช้กฎหมายทั่วโลกกำลังเรียกร้องให้เหยื่ออย่ายอมจ่ายค่าไถ่ แม้การจ่ายค่าไถ่ไม่ใช่เรื่องผิดกฎหมาย แต่หลายองค์กรก็ทำการจ่ายอย่างลับ ๆ

ปัจจุบัน คณะทำงานพิเศษด้านแรนซัมแวร์ (Ransomware Task Force--RTF) ซึ่งเป็นการรวมตัวกันของผู้เชี่ยวชาญด้านไซเบอร์จากทั่วโลก กำลังโน้มน้าวให้รัฐบาลนานาชาติออกนโยบาย

ทางกลุ่มได้มีคำแนะนำเกือบ 50 ข้อ เพื่อลดการก่ออาชญากรรมทางไซเบอร์ แต่ก็เห็นไม่ตรงกันเกี่ยวกับเรื่องที่ประเทศต่าง ๆ ควรจะจ่ายค่าไถ่หรือไม่

เราได้พูดคุยกับสมาชิกของกลุ่มดังกล่าว 2 คนถึงเหตุผลในเรื่องนี้

"การห้ามจ่ายค่าไถ่จะส่งผลให้เกิดเกมที่ต่างฝ่ายต่างไม่ยอมกันขึ้น"

กลุ่มแรพิด 7 (Rapid7) และเจน เอลลิส รองประธานฝ่ายกิจการสาธารณะ ระบุว่า "คนส่วนใหญ่เห็นตรงกันว่า ในโลกแห่งอุดมคติ รัฐบาลควรห้ามการจ่ายเงินค่าไถ่"

"เนื่องจากแรมซัมแวร์เป็นอาชญากรรมที่มีผลประโยชน์เป็นแรงจูงใจ การทำเช่นนี้ก็คงจะทำให้อาชญากรรมลดลงโดยรวม และไม่มีใครจะต้องถูกบีบให้จ่ายเงินให้กับอาชญากรรมที่เกิดขึ้นอย่างเป็นระบบนี้"

เธอกล่าวต่อว่า "ปัญหาคือ เราไม่ได้อยู่ในโลกแห่งอุดมคติ"

"ในโลกที่เราอาศัยอยู่ การห้ามจ่ายเงินจะส่งผลให้เกิดการเล่นเกมที่ไม่มีใครยอมถอย ซึ่งอาชญากรอาจจะหันไปเล่นงานองค์กรต่าง ๆ ที่น่าจะมีความสามารถในการรับมือกับการที่ระบบคอมพิวเตอร์ชะงักได้น้อยกว่า เช่น โรงพยาบาล, โรงงานบำบัดน้ำเสีย, ผู้ให้บริการด้านพลังงาน, และโรงเรียนต่าง ๆ แทน"

"แฮกเกอร์อาจคาดหวังว่า การทำให้สังคมได้รับความเสียหายจากช่วงเวลาคอมพิวเตอร์ใช้งานไม่ได้ จะทำให้มีแรงกดดันจนต้องยอมจ่ายค่าปรับ"

"พวกเขาไม่มีอะไรเสียในการทำเช่นนี้ และอาจจะได้ผลประโยชน์มหาศาลด้วย"

สัญลักษณ์ของ Travelex

ที่มาของภาพ, Getty Images

คำบรรยายภาพ, มีรายงานว่า Travelex จ่ายบิตคอยน์มูลค่ามากกว่า 2 ล้านดอลลาร์สหรัฐฯ (ประมาณ 63 ล้านบาท) ให้กับแฮกเกอร์ หลังจากถูกโจมตีด้วยแรนซัมแวร์เมื่อเดือน ม.ค. 2020

"สมมุติว่า รัฐบาลสร้างกองทุนสนับสนุนองค์กรเหล่านี้ เพื่อที่พวกเขาจะได้ไม่ต้องจ่ายเงิน"

"ถ้าเรื่องนี้เกิดขึ้น ผู้ก่อเหตุอาจจะหันไปเล่นงานธุรกิจห้างร้านขนาดเล็ก และองค์กรที่ไม่แสวงหากำไร ที่ไม่มีทรัพยากรในการปกป้องตัวเอง"

"พวกเขาอาจเผชิญกับความเสียหายอย่างยับเยิน ถ้าไม่จ่ายเงิน"

"การเผชิญกับการประกาศให้ล้มละลาย องค์กรเหล่านี้อาจพิจารณาจ่ายค่าปรับอย่างลับ ๆ ซึ่งก็จะทำให้พวกเขาต้องตกอยู่ในกำมืออาชญากร ที่อาจข่มขู่ว่าจะป่าวประกาศเรื่องนี้"

"การแก้ปัญหาเหล่านี้ จะทำอย่างทื่อ ๆ ไม่ได้"

"มันจะต้องใช้เวลา การศึกษา และการลงทุนระยะยาว"

"การห้ามจ่ายเป็นเป้าหมายใหญ่ที่จะต้องไปให้ถึง"

"แต่เราต้องทำเป็นระบบ มีวิธีการที่สร้างความมั่นใจว่า เราจะไม่ทำให้เกิดความเสียหายทางสังคมและเศรษฐกิจอย่างมหาศาลขึ้น"

"การห้ามจ่ายอาจช่วยลดภาระขององค์กรต่าง ๆ"

ไมเคิล แดเนียล ประธานเจ้าหน้าที่บริหารและประธานของกลุ่มพันธมิตรต้านภัยคุกคามไซเบอร์ (Cyber Threat Alliance) กล่าวว่า "กรณีการห้ามจ่ายค่าไถ่มีความชัดเจน"

"การโจมตีแรนซัมแวร์หลัก ๆ มีแรงจูงใจจากผลประโยชน์"

"ถ้าไม่มีผลประโยชน์ ผู้ก่อเหตุก็จะเลิกใช้กลยุทธ์นี้"

"ยิ่งไปกว่านั้น มีการนำผลกำไรจากค่าไถ่ไปสนับสนุนอาชญากรรมที่ร้ายแรงยิ่งกว่านี้อีก อย่าง การค้ามนุษย์ การหาผลประโยชน์จากเด็ก และการก่อการร้าย"

"สุดท้ายแล้ว การจ่ายเงินก็ยิ่งทำให้เกิดการโจมตีมากขึ้น และส่งเสริมให้มีการใช้กลยุทธ์นี้มากขึ้น"

"ไม่มีองค์กรไหนต้องการจ่ายค่าไถ่"

"แต่พวกเขารู้สึกว่าไม่มีทางเลือก ไม่ว่าจะเพราะความเสี่ยงในการล้มละลาย การเสื่อมเสียชื่อเสียงที่เกิดจากบริการขัดข้อง หรือโอกาสในการสูญเสียชีวิต หรือผลกระทบทางเศรษฐกิจขนาดใหญ่"

"จากมุมมองในระยะสั้นขององค์กร การจ่ายค่าไถ่มักเป็นการตัดสินใจที่คำนึงถึงผลทางเศรษฐกิจ"

การ์มิน (Garmin)

ที่มาของภาพ, Getty Images

คำบรรยายภาพ, มีรายงานว่า การ์มิน (Garmin) จ่ายเงิน 10 ล้านดอลลาร์สหรัฐฯ (ประมาณ 314 ล้านบาท) ให้กับแฮกเกอร์ในเดือน ส.ค. 2020

"เราจำเป็นต้องทำลายวงจรนี้ และกำจัด 'เชื้อเพลิง' ของระบบนิเวศแรนซัมแวร์"

"การห้ามจ่ายจะช่วยลดภาระขององค์กรต่าง ๆ ด้วยการทำให้การจ่ายเงินนี้เป็นเรื่องผิดกฎหมาย"

"ผลก็คือ การห้ามที่มีการออกแบบมาแล้วอย่างดี จะทำให้องค์กรที่ตกเป็นเป้าหมายสามารถที่ในการต้านทานเหล่าแฮ็กเกอร์ที่เข้ามาโจมตีได้"

"การห้ามเช่นนั้นไม่ควรมีผลบังคับใช้ในทันที"

"ความจริงแล้ว การห้ามเช่นนั้น ควรจะมีผลบังคับใช้ก็ต่อเมื่อ รัฐบาลต่าง ๆ ได้ก่อตั้งกลไกในการช่วยเหลือเหยื่ออย่างมีประสิทธิผลขึ้นแล้วเท่านั้น"

"การห้ามจ่ายควรเป็นส่วนหนึ่งของการรณรงค์อย่างกว้างขวาง เพื่อพัฒนาการป้องกัน การป้องปราม การขัดขวาง และการตอบโต้"

"ผู้ที่คัดค้านการห้ามนี้ ได้มีมุมมองที่ยอดเยี่ยมเกี่ยวกับต้นทุนมหาศาลที่อาจเกิดขึ้น ซึ่งองค์กรต่าง ๆ ที่ถูกโจมตีอาจเผชิญในช่วงเปลี่ยนผ่าน จนถึงขั้นอาจจะต้องล้มละลาย หรือเผชิญกับแรงกัดดันมหาศาลในการทำให้การให้บริการกลับมาใช้งานได้"

"ดังนั้น การห้ามจ่ายเพื่อให้ได้ผลที่ต้องการจริง ๆ รัฐบาลจะต้องจัดหาทรัพยากรให้แก่บริษัทต่าง ๆ และสนับสนุนให้ต้านทานการโจมตีเหล่านี้"