เว็บไซต์ทางการของ ‘ศาลรัฐธรรมนูญ’ ถูกแฮก เปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips
เมื่อวันที่ 11 พฤศจิกายน 2564 ที่ผ่านมาได้ถูกแฮกเกอร์เปลี่ยนหน้าเว็บไซต์ทางการของ ‘ศาลรัฐธรรมนูญ’ เป็นเพลง Death Grips ดังรูปภาพที่ 1
รูปที่ 1
อ้างอิง https://www.bangkokbiznews.com
จากรูปที่ 1 ในข้างต้น เกิดจากแฮกเกอร์มือดีมาเปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips ของวง Guillotine อัลบั้ม It goes Yah ทั้งนี้สาเหตุในเบื้องต้นอาจจะเกิดจากคำวินิจฉัยของศาลรัฐธรรมนูญซึ่งมีมติ 8:1 ให้ลงโทษ 3 แกนนำ ได้แก่ น.ส.ปนัสยา สิทธิจิรวัฒกุล นายอานนท์ นำภา และนายภาณุพงศ์ จาดนอก กรณีการชุมนุมปราศรัยวันที่ 10 ส.ค. 2563 ที่เป็นการใช้สิทธิเสรีภาพเพื่อล้มล้างการปกครองตามระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุข ทำให้เกิดความไม่พอใจจากกลุ่มผู้ชุมนุม
ในเบื้องต้นผู้ดูแลเว็บไซต์ได้ดำเนินการปิดเว็บไซต์ของศาลรัฐธรรมนูญลงดังรูปที่ 2 เพื่อเก็บรวบรวมข้อมูลพยานหลักฐาน และหาผู้กระทำผิดมาลงโทษ พร้อมทั้งแก้ไขช่องโหว่ที่เกิดขึ้นบนเว็บไซต์ และวางมาตรการป้องกันในการพัฒนาเว็บไซต์ให้ได้มาตราฐานความมั่นคงปลอดภัย
รูปที่ 2
อ้างอิง www.tnetitsolution.co.th
ต่อมาเมื่อวันที่ 12 พฤศจิกายน 2564 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดังรูปที่ 3 ได้มีการประสานกับทางศาลรัฐธรรมนูญ และทางศาลรัฐธรรมนูญ ได้มีการว่าจ้างบริษัทเอกชนแห่งหนึ่งเข้ามาดูแล เนื่องจากทางบริษัทอาจมีมาตรการป้องกันไม่เพียงพอซึ่งตอนนี้ได้ดำเนินการปิดเว็บไซต์ไปแล้ว สันนิษฐานว่า ข้อมูลชื่อผู้ใช้ (ยูสเซอร์เนม) และรหัสผ่าน (พาสเวิร์ด) อาจหลุดจากแอดมิน หรือแฮกเกอร์ภายนอกอาจลองเจาะระบบ ซึ่งอยู่ในระหว่างการสืบสวน
รูปที่ 3
อ้างอิง https://www.dailynews.co.th/
จากการตรวจสอบเบื้องต้นเว็บไซต์ศาลรัฐธรรมนูญพบว่ายังไม่มีข้อมูลที่ได้รับความเสียหาย เป็นเพียงการดิสเครดิตเท่านั้น โดย นายชัยวุฒิ กล่าวว่า “รู้อยู่แล้วว่ากลุ่มไหนที่พยายามแฮกเข้ามา” และหลายฝ่ายมีการเชื่อมโยงว่า เกี่ยวข้องกับที่ศาลรัฐธรรมนูญมีคำวินิจฉัย #ม็อบ10 สิงหา ว่าเข้าข่ายล้มล้างการปกครอง ที่ศาลจะมีคำวินิจฉัย ซึ่งนายชัยวุฒิ กล่าวอีกว่า “ในช่วงนี้ได้มีข่าวเว็บไซต์ของหน่วยงานภาครัฐถูกโจมตีอยู่บ่อย ๆ เนื่องจากหน่วยงานมีข้อจำกัดเรื่องงบประมาณ” จึงทำให้ระบบรักษาความมั่นคงความปลอดภัยระบบสารสนเทศไม่เพียงพอ นอกจากนี้หากงบประมาณไม่เพียงพอก็อาจใช้งบประมาณจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ที่มีอยู่ปีละ 4-5 พันล้านบาทมาปรับปรุงระบบความปลอดภัยให้ทุกหน่วยงานภาครัฐ
นายชัยวุฒิ กล่าวทิ้งท้ายว่า “ขอฝากไปยังเว็บไซต์หน่วยงานราชการ ต้องระวังเรื่องยูสเซอร์เนมและพาสเวิร์ด ทีมแอดมินต้องมีระบบป้องกันการจู่โจม มีรหัสผ่านที่จำได้ยาก ทั้งนี้บริษัทที่ดูแลเว็บไซต์ต้องมีมาตรฐาน มีความพร้อมดูแลข้อมูลขององค์กรด้วย”
แนวทางการป้องกัน
1.พัฒนาเว็บไซต์ให้มีมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ [1]
2.ควรมีการสำรองข้อมูลของเว็บไซต์
3.ควรตั้งรหัสผ่านให้ยากต่อการคาดเดา
4.ควรมีการเก็บ Log ผู้ใช้งานเว็บไซต์
5.ควรมีการกำหนดรูปแบบไฟล์ที่ทำการอัพโหลดเข้ามายังเว็บไซต์ เช่น .jpg, .png, .svg เป็นต้น
6.ควรตรวจสอบความถูกต้องของข้อมูล (Input Validation) ก่อนที่จะนำไปประมวลผล
7.ควรอัพเดตระบบป้องกันไวรัสอย่างสม่ำเสมอ
8.ควรมีการแบ่งความสำคัญของข้อมูลในระบบ และสำรองข้อมูลอย่างสม่ำเสมอ
9.จำกัดการเข้าถึงของเครือข่ายในองค์กร
อ้างอิง :
ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์
ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง
เผยแพร่ : วันที่ 14 พฤศจิกายน 2564