วิธีทำข่าวสืบสวนสอบสวน แกะรอยจากอาชญากรรมไซเบอร์และเว็บมืด

นักข่าวสายเทคโนโลยีที่ติดตามประเด็นความปลอดภัยทางไซเบอร์ให้กับสำนักข่าว CNBC ของสหรัฐฯ ผู้ควบตำแหน่งเป็นศาสตราจารย์วุฒิคุณด้านโปรแกรมปัญญาประยุกต์ที่มหาวิทยาลัยจอร์จวอชิงตัน แนะเคล็ดลับการทำข่าวสืบสวนสอบสวนเกี่ยวกับอาชญากรรมทางไซเบอร์เพื่อเป็นความรู้แก่นักข่าวและบุคคลที่สนใจในขั้นตอนการสืบเสาะหาข้อมูลของอาชญากร รวมถึงวิธีการนำเสนอข่าวที่นำเสนอข้อมูลครอบคลุมรอบด้าน

ที่มาภาพ: Sora Shimazaki / Pexels (อ้างใน GIJN)
 

อาชญากรรมไซเบอร์คืออาชญากรรมที่เกิดขึ้นในโลกดิจิทัล เมื่อเราพูดถึงอาชญากรรมในโลกไซเบอร์ เรามักนึกถึง “การแฮ็ก” ที่หมายถึงการเข้าสู่ระบบดิจิทัลโดยไม่ได้รับอนุญาต แต่แท้จริงแล้วมีอาชญากรรมประเภทอื่นๆ อีกมากมายที่เกิดขึ้นในโลกจริง รวมถึงอาชญากรรมทางกายภาพ

นับตั้งแต่การค้ามนุษย์ในสื่อลามกอนาจารเด็ก ไปจนถึงการที่พนักงานธนาคารลักลอบเปลี่ยนข้อมูล ATM ลูกค้าเพื่อถอนเงินอย่างผิดกฎหมาย ตลอดจนการขโมยรหัสต้นฉบับ (Source code) สิ่งเหล่านี้ล้วนจัดเป็นอาชญากรรม “ไซเบอร์” ทั้งสิ้น อาชญากรรมไซเบอร์ที่กระทำผิดโดยสำเร็จมักจะเกี่ยวข้องกับการละเมิดความเป็นส่วนตัวทางกฎหมาย เช่น เมื่อมีการขโมยข้อมูลส่วนบุคคลของลูกค้าบริษัทอย่างไม่เหมาะสม จะถือเป็นการละเมิดความเป็นส่วนตัวของลูกค้าของบริษัทนั้น และผู้ขโมยข้อมูลกลายเป็นผู้ก่ออาชญากรรมไซเบอร์

ที่ผ่านมา การสูญเสียทรัพย์อันเนื่องมาจากอาชญากรรมไซเบอร์เกิดขึ้นอย่างแพร่หลาย และเป็นสิ่งที่คาดการณ์หรือคำนวณได้ยาก วอร์เรน บัฟเฟตต์ (Warren Buffett) นักลงทุนและมหาเศรษฐีชาวอเมริกันเคยให้ความเห็นว่าธุรกิจของเขาหลีกเลี่ยงตลาดประกันภัยแบบออนไลน์ เพราะมีข้อมูลไม่เพียงพอเกี่ยวกับความเสี่ยงประเภทนี้ ความเสี่ยงที่คาดการณ์ได้ยากนี้แตกต่างอย่างมากกับความเข้าใจของเราในการคาดการณ์การสูญเสียทางการเงินประเภทอื่นๆ จากภัยธรรมชาติอย่างพายุเฮอริเคนหรือน้ำท่วม หรืออาชญากรรมอื่นๆ เช่น การปล้นธนาคารหรือการก่อวินาศกรรมทางกายภาพ หลายหน่วยงานซึ่งรวมถึง McAfee, Cybersecurity Ventures, SANS Institute และสำนักงานสอบสวนกลางของสหรัฐฯ (FBI) ประเมินความเสียหายคร่าวๆ จากอาชญากรรมไซเบอร์ที่ส่งผลต่อภาครัฐและภาคเอกชน รวมมูลค่าหลายล้านล้านดอลลาร์

ถึงแม้จะมีการเปลี่ยนแปลงที่ชัดเจนและรวดเร็วในระดับแนวหน้าเกี่ยวกับวาระการรักษาความปลอดภัย แต่โลกใต้ดินของความมั่นคงทางไซเบอร์ก็มีโครงสร้างที่คล้ายคลึงกับโลกธุรกิจอย่างน่าประหลาดใจ “ธุรกิจอาชญากรรมสตาร์ทอัพ” ของกลุ่มอาชญากรเล็กๆ ที่เชื่อมต่อกันอย่างหลวมๆ ทางภูมิศาสตร์หรือด้วยความสนใจที่คล้ายคลึงกันสามารถเจริญเติบโตได้ พวกเขาสามารถขโมยเครื่องมือจากกันและกัน แข่งขัน และร่วมมือกันอย่างคล่องตัวด้วยความทะเยอทะยานที่เทียบได้กับธุรกิจในซิลิคอนวัลเลย์ (Silicon Valley) ผู้เล่นใต้ดินที่ยิ่งใหญ่พยายามผนวกรวมผลประโยชน์ทั่วทั้งเอเชีย ยุโรป แอฟริกา และอเมริกา โดยใช้กลยุทธ์ผู้นำแบบรวมศูนย์ มีนายหน้าเฟ้นหาอาชญากรที่ทำงานประหนึ่งเป็นผู้บริหารฝ่ายทรัพยากรบุคคล (HR) และที่เหมือนจริงจนเกินจริงไปยิ่งกว่านั้นคือมีแม้กระทั่งฝ่ายบริการลูกค้าที่คอยแนะนำเหยื่อที่โทรมาถามวิธีสร้างกระเป๋าเงินบิตคอยน์ (Bitcoin) เพื่อจ่ายเงินค่าไถ่

ที่มาภาพ: Shutterstock (อ้างใน GIJN)
 

กิจกรรมผิดกฎหมายส่วนใหญ่เริ่มต้นหรือเกิดขึ้นในที่ที่เรียกว่า “เว็บมืด” ซึ่งเป็นเลเยอร์ที่ซ่อนอยู่ในเว็บที่เข้าถึงได้ผ่านเบราว์เซอร์ของ Tor เท่านั้น อาจมีวันที่คุณสามารถ “สมัครงาน” บนเว็บมืด เพื่อเป็นผู้ดูแลแชตบอตมัลแวร์เรียกค่าไถ่ (Ransomware) ในประเทศ เป็นคนขับอูเบอร์ (Uber) ปลอมที่ฟอกเงินที่ได้มาจากอาชญากรรมไซเบอร์ ด้วยการขับรถปลอมๆ หรือเป็นคนที่ใช้บัตรปลอมเพื่อดูดเงินจากตู้ ATM

แหล่งข้อมูลสำคัญ

นักวิชาการ: ศูนย์ต่างๆ ในมหาวิทยาลัยหลายแห่งที่ติดตามการโจมตีทางออนไลน์อาจให้ข้อมูลที่เป็นประโยชน์ในบางคดี เช่น มหาวิทยาลัยคาร์เนกีเมลลอนในรัฐเพนซิลเวเนียของสหรัฐฯ เป็นหนึ่งในศูนย์ที่มีชื่อเสียงมากที่สุดในเรื่องนี้ เพราะเป็นที่สถานที่ทำงานของทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์แห่งสหรัฐฯ (Computer Emergency Response Team: CERT) ซึ่งมีหน้าที่รับผิดชอบในการแจ้งเตือนจุดอ่อนที่สำคัญ นอกจากนี้ ที่มหาวิทยาลัยเคมบริดจ์ในสหราชอาณาจักรก็มีศูนย์อาชญากรรมไซเบอร์เช่นกัน

บริษัทด้านความปลอดภัยทางไซเบอร์: บริษัทต่างๆ เช่น McAfee, Crowdstrike, Carbon Black, FireEye และผู้ให้บริการระบบคลาวด์รายใหญ่อย่าง Amazon, Microsoft และ Google มีฝ่ายกฎหมายเฉพาะจำนวนมากที่คอยตรวจสอบการโจมตีล่าสุด คุณสามารถไปพูดคุยกับบริษัทเหล่านี้เพื่อหารือเกี่ยวกับประเภทของการโจมตีที่พวกเขาเจอ อย่างไรก็ตาม ควรคำนึงไว้ว่าบริษัทเหล่านี้มีส่วนได้เสียเชิงพาณิชย์ในประเด็นนี้ พวกเขาอาจมีความเชี่ยวชาญ แต่พึงระลึกไว้เสมอว่าอาจมีผลประโยชน์ทับซ้อนที่บิดเบือนความเป็นกลาง ด้วยเหตุนี้ การติดต่อเจ้าหน้าที่รักษาความปลอดภัยทางไซเบอร์ในบริษัทที่ถูกโจมตีจึงเป็นเรื่องสำคัญ เพื่อทำความเข้าใจกับสิ่งที่เกิดขึ้น แม้ว่าการเข้าถึงแหล่งข้อมูลเหล่านี้อาจยาก แต่อาจเพิ่มมุมมองที่สำคัญต่อการรายงานของคุณ

เจ้าหน้าที่รัฐ: เฉพาะในสหรัฐฯ มีหน่วยงานอาชญากรรมไซเบอร์ของรัฐบาลอย่างน้อย 20 หน่วย ยกตัวอย่างเช่น สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ที่อยู่ภายใต้กระทรวงความมั่นคงแห่งมาตุภูมิ CISA อาจถือได้ว่าเป็นหน่วยงานที่เป็นมิตรกับสื่อมวลชนมากที่สุดและสื่อสารกับสาธารณชนอย่างต่อเนื่อง หรือแผนกอาชญากรรมทางอินเทอร์เน็ตของ FBI ที่สร้างสถิติอันมีคุณค่าและเป็นกลาง ซึ่งสามารถช่วยให้บทความมีข้อมูลที่เป็นข้อเท็จจริงและเป็นกลางเกี่ยวกับการโจมตีทางไซเบอร์และค่าเสียหาย แม้กระทั่งหน่วยงานสืบราชการลับ (US Secret Service) และกระทรวงการคลังของสหรัฐฯ ก็อาจเป็นแหล่งข้อมูลเพิ่มเติมที่น่าสนใจ หน่วยงานของรัฐที่คล้ายคลึงกันในประเทศต่างๆ ทั่วโลกก็อาจช่วยได้เช่นกัน อย่างในสหราชอาณาจักรมีศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (National Cyber ​​Security Centre) ซึ่งมีทีมข่าวที่ทำงานร่วมกับนักข่าว สำนักงานตำรวจสากลยุโรป (Europol) มีศูนย์อาชญากรรมทางอินเทอร์เน็ตของยุโรป เมื่อเร็วๆ นี้ ศูนย์ความพร้อมและยุทธศาสตร์ด้านความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติของญี่ปุ่น (NISC) ได้จัดตั้งหน่วยงานเฉพาะด้านอาชญากรรมทางไซเบอร์สหประชาชาติ (UN) มีโครงการอาชญากรรมไซเบอร์ ซึ่งเป็นส่วนหนึ่งของสำนักงานสหประชาชาติว่าด้วยยาเสพติดและอาชญากรรม (UNODC)

เหยื่อ: เหยื่อจากอาชญากรรมไซเบอร์อาจไม่ใช่คน แต่อาจเป็นสถาบัน กลุ่ม รัฐบาล หรือแพลตฟอร์มโซเชียลมีเดีย เป็นต้น การมีส่วนร่วมเพื่อหารือเกี่ยวกับประสบการณ์การถูกโจมตีกับเหยื่อจึงถือเป็นสิ่งสำคัญ ในรายงานข่าวทั้งหมดเกี่ยวกับการโจมตีทางไซเบอร์ ควรมีการพูดคุยกับเหยื่อหรือคำอธิบายว่าทำไมบุคคลหรือหน่วยงานนั้นปฏิเสธที่จะแสดงความคิดเห็น การรายงานเกี่ยวกับขนาดและความเสียหายจากการโจมตีทางอินเทอร์เน็ตอาจทำให้เกิดการเข้าใจผิดได้ จากประสบการณ์ในการทำงานที่ผ่านมา เหตุการณ์ที่อาจดูเลวร้ายในตอนแรกอาจไม่เป็นอันตรายต่อบริษัทเลย หรือในบางเหตุการณ์ การโจมตีที่ดูไม่ร้ายแรงอาจส่งผลกระทบอย่างใหญ่หลวง

เคล็ดลับและเครื่องมือ

เนื่องจากการโจมตีทางไซเบอร์ในสหรัฐฯ หลายครั้งจบลงในห้องพิจารณาคดี ไม่ว่าจะเป็นคดีอาญาหรือคดีแพ่ง แหล่งข้อมูลที่มีค่าที่สุดในการสื่อสารมวลชนด้านความมั่นคงปลอดภัยทางไซเบอร์คือฐานข้อมูลคดีออนไลน์ในระดับรัฐบาลกลาง (Public Access to Court Electronic Records: PACER) ผู้ใช้ต้องจ่ายค่าธรรมเนียมค้นหาและเอกสารตามการใช้งาน การเข้าถึงบันทึกอิเล็กทรอนิกส์ของศาล การอ่านเอกสารที่ยื่นฟ้อง โดยเฉพาะคำฟ้องของอาชญากรไซเบอร์ในประเทศหรือต่างประเทศ สิ่งเหล่านี้สามารถให้มุมมองที่รอบด้านเกี่ยวกับการโจมตีทางไซเบอร์ และยังเน้นถึงข้อจำกัดของกรอบกฎหมายที่มีอยู่ในการดำเนินคดีกับพวกเขา ผู้สื่อข่าวควรทำความคุ้นเคยกับ Shodan ซึ่งเป็นโปรแกรมค้นหา ​(Search Engine)  ซึ่งคนธรรมดาสามารถค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้

ที่มาภาพ: Ann Kiernan (อ้างใน GIJN)
 

หน่วยงานของรัฐและโดยเฉพาะอย่างยิ่ง บริษัทรักษาความปลอดภัยทางไซเบอร์เป็นพันธมิตรที่มีคุณค่าในการเปิดโปงอาชญากรไซเบอร์หรือวิเคราะห์คดีในด้านกฎหมาย นักข่าวควรระมัดระวังและตรวจสอบความสัมพันธ์ของกลุ่มธุรกิจต่างๆ หรือผลประโยชน์ทับซ้อน เพื่อเลี่ยงการลำเอียง บริษัทรักษาความปลอดภัยทางไซเบอร์มักยินดีร่วมมือกับนักข่าวหรือโครงการบริการสาธารณะ เนื่องจากทำให้เกิดภาพลักษณ์ที่ดีต่อองค์กร ดังนั้นควรระมัดระวังในการเปิดเผยบทบาทของบริษัทในการรายงานของคุณ

กรณีศึกษา

การปล้นธนาคารหลังยุคสหภาพโซเวียต

เรื่องนี้ไม่ได้ถูกตีพิมพ์ในหนังสือพิมพ์ แต่ถูกเปิดเผยโดยบริษัทวิจัยความปลอดภัยทางไซเบอร์สัญชาติอเมริกันที่มีชื่อว่า Trustwave งานวิจัยนี้จัดทำขึ้นในปี 2017 ซึ่งช่วยให้เราเข้าใจโลกที่ซับซ้อนของขบวนการอาชญากรไซเบอร์ (เอกสารที่สามารถดาวน์โหลดได้ต้องส่งคำขอไปยัง Trustwave เท่านั้น)

ที่มาภาพ: GIJN
 

การละเมิดข้อมูลผู้บริโภคของ Equifax

ฟาสซินี ผู้เขียนบทความนี้ระบุว่าข่าวนี้เป็นเรื่องที่เธอเขียนให้สำนักข่าว CNBC เกี่ยวกับการละเมิดข้อมูลจำนวนมหาศาลของบริษัทสินเชื่อเพื่อผู้บริโภคที่ใหญ่ที่สุดแห่งหนึ่งของสหรัฐฯ ฟาสซินีบอกว่าเธอสามารถโน้มน้าวนักวิเคราะห์ด้านความปลอดภัยซึ่งเป็นคนที่ทำงาน “ระดับล่าง” แต่มีบทบาทสำคัญในการอธิบายความผิดหวังในการค้นหาข้อมูลจำนวนมหาศาลที่ถูกขโมยจากบริษัท Equifax แม้ว่าการละเมิดดังกล่าวมีสาเหตุมาจากจีน แต่ข้อมูลที่ถูกขโมยมานั้นไม่เคยถูกพบในเว็บมืดหรือที่อื่นใดเลย ซึ่งเป็นสถานการณ์ที่ค่อนข้างไม่ปกติ เนื่องจากข้อมูลที่ถูกแฮ็กในลักษณะนี้มักจะถูกขายในรูปแบบบางอย่างภายหลัง เรื่องการละเมิดบริษัท Equifax ได้รับการอ้างถึงโดยสมาชิกสภานิติบัญญัติในรัฐสภาคองเกรสของสหรัฐฯ

เรื่องของรหัสผ่าน NIST

ฟาสซินีบอกว่านี่เป็นรายงานพิเศษสุดคลาสสิกของสำนักข่าวเดอะวอลสตรีทเจอร์นัล (The Wall Street Journal) เกี่ยวกับความเสียใจของพนักงานรัฐที่ช่วยสร้างข้อกำหนดรหัสผ่านที่ประกอบด้วย “ตัวอักษร ตัวเลข และสัญลักษณ์” ที่คนในปัจจุบันรู้จักดี และเผลอๆ อาจจะเกลียดด้วย รายงานพิเศษนี้มีความสำคัญอย่างเหลือเชื่อเกี่ยวกับปัญหาความปลอดภัยทางไซเบอร์จากมุมมองของผู้ใช้ปลายทาง ไม่ว่าจะเป็นเรื่องที่ทุกคนต่างๆ เกลียดการตั้งรหัสผ่านอย่างไม่รู้จบแบบนี้ได้อย่างไร รวมถึงความเข้าใจเกี่ยวกับความปลอดภัยทางไซเบอร์ในภาพรวม ซึ่งเราทุกคนมีน้อยมาก

การผงาดขึ้นของกองทัพแฮ็กเกอร์ของเกาหลีเหนือ

นิตยสารข่าวเดอะนิวยอร์กเกอร์ (The New Yorker) รายงานข่าวเกี่ยวกับการสืบสวนที่ละเอียดถี่ถ้วนเกี่ยวกับจุดกำเนิดของการแฮ็กครั้งหนึ่ง ซึ่งคาดว่าเป็นหน่วยงานอาชญากรไซเบอร์ที่ใหญ่ที่สุดในโลก นั่นคือ กองทัพแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือ หน่วยงานลาดตระเวนทั่วไป (Reconnaissance General Bureau) หรือ RGB อาจดูเป็นชื่อที่ธรรมดา แต่แท้จริงแล้วหน่วยงานนี้เป็นอสูรกายที่ดำเนินการทุกอย่างตั้งแต่มัลแวร์เรียกค่าไถ่ (Ransomware) การปล้นธนาคารไปจนถึงการขโมยสกุลเงินดิจิทัล มีการสันนิษฐานว่ากลุ่มนี้ยังอยู่เบื้องหลังการแฮ็กที่อาจหาญที่สุดในประวัติศาสตร์ นั่นคือการโจมตีบริษัท Sony Pictures ในปี 2014 รายงานขององค์การสหประชาชาติ (UN) ฉบับหนึ่งระบุว่ากิจกรรมที่ผิดกฎหมายทั้งหมดสร้างรายได้จากทั่วโลกได้ 2,000 ล้านดอลลาร์สหรัฐฯ ซึ่งส่วนใหญ่ถูกส่งไปให้กองทัพเกาหลีเหนือซื้ออาวุธ รายงานข่าวชิ้นพิเศษของเดอะนิวยอร์กเกอร์ฉบับนี้ได้อธิบายเบื้องหลังวิธีการที่ RBG สรรหาผู้ทำงานและวิธีการที่พวกเขาใช้ก่ออาชญากรรมไซเบอร์ทั่วโลกให้ผู้อ่านได้เข้าใจยิ่งขึ้น

กลยุทธ์การสืบสวน

ความแตกต่างหลักระหว่างอาชญากรรมแบบดั้งเดิมและอาชญากรรมไซเบอร์มี 3 ประเด็น ได้แก่ วิธีการกระทำความผิดของอาชญากรไซเบอร์กับวิธีการของอาชญากรแบบดั้งเดิม การจำกัดความเหยื่อของอาชญากรรมไซเบอร์ และปัญหาที่เกิดขึ้นใหม่สำหรับอาชญากรรมไซเบอร์กับอาชญากรรมแบบดั้งเดิม

ผู้กระทำความผิด

ในอาชญากรรมแบบดั้งเดิม ไม่ว่าเราจะพูดถึงการละเมิดกฎจราจรหรือฆาตกรรมก็ตาม ผู้กระทำผิดมักอาศัยอยู่ใกล้กับที่เกิดเหตุ อย่างไรก็ตาม กฎหมายระดับประเทศกลับแตกต่างกันไปในการเข้าถึงผู้ต้องหาที่ถูกกล่าวหาว่าเป็นอาชญากรไซเบอร์ แต่ถือเป็นการปฏิบัติตามหลักจริยธรรมที่ดีสำหรับนักข่าวที่จะนำเสนอมุมมองของอาชญากรเมื่อเป็นไปได้ ไม่ว่าคดีจะเล็กน้อยแค่ไหนก็ตาม ในสหรัฐฯ ผู้ถูกกล่าวหาว่ากระทำความผิดยังคงเป็นผู้บริสุทธิ์จนกว่าจะได้รับการพิสูจน์ว่ามีความผิดจริง แต่นักข่าวที่ไม่พยายามเข้าถึงผู้ถูกกล่าวหาถือว่ากำลังฏิบัติหน้าที่บกพร่อง เพียงรายงานว่า “ไม่มีความเห็น” “เราไม่สามารถติดต่อผู้ถูกกล่าวหาได้หลังจากพยายามหลายครั้ง” หรือ “ทนายความของผู้ถูกกล่าวหาปฏิเสธที่จะแสดงความคิดเห็น” ก็เพียงพอแล้ว

หากไม่มีการระบุชื่อผู้ต้องสงสัย เช่น ในกรณีความรุนแรงที่เกี่ยวข้องกับแก๊งหรืออาชญากรรมทางเชื้อชาติ นักข่าวจะต้องรวบรวมข้อมูลเกี่ยวกับผู้กระทำความผิดจากตำรวจและชุมชนที่เกิดอาชญากรรม

อย่างไรก็ตาม โอกาสเหล่านี้ไม่ค่อยเกิดขึ้นในการทำข่าวอาชญากรรมไซเบอร์ ความคาดหวังหลายอย่างเปลี่ยนไป “ผู้ถูกกล่าวหา” อาจเป็นกลุ่มอาชญากรไซเบอร์ที่คุยโวเกี่ยวกับอาชญากรรมทางออนไลน์หรืออาจเป็นคนเพียงคนเดียว รัฐบาลต่างประเทศอาจดำเนินการสอบสวนอาชญากรรมขึ้นอยู่กับพร็อกซี่หรือจุดเซิร์ฟเวอร์ของกลุ่มอาชญากร อาชญากรอาจเป็นสายลับของรัฐบาลประเทศใดประเทศหนึ่ง หรืออาจจะเป็นแค่วัยรุ่นคนหนึ่งในห้องใต้ดินที่กรุงเฮลซิงกิ เมืองหลวงของฟินแลนด์ก็เป็นไปได้

Recorded Future บริษัทรักษาความปลอดภัยโลกไซเบอร์ที่ผลิตวารสารด้านอุตสาหกรรมภายใต้ชื่อเดียวกัน นำเสนอกรณีที่สมาชิกแก๊งมาเฟียอิตาลี 106 คนถูกจับกุมในข้อหาร่วมก่ออาชญากรรมทางอินเทอร์เน็ตเมื่อไม่นานมานี้ มีการสลับซิมการ์ดและการหลอกให้โอนเงินผ่านทางอีเมล (Business Email Compromise: BEC) การโกงด้วยซิมการ์ดทำได้ด้วยการปลอมแปลงซิมการ์ดเพื่อยืนยันการเข้าสู่ระบบบัญชีธนาคารและยักยอกเงิน ส่วนการหลอกให้โอนเงินผ่านทางอีเมลเกี่ยวข้องกับการโน้มน้าวเหยื่อให้โอนเงินเข้าบัญชีอาชญากรผ่านทางการใช้อีเมล ข้อมุลของ FBI ระบุว่าข้อมูลอาชญากรรมโดยมากมักจะเชื่อมโยงถึงกันและก่อให้เกิดความสูญเสียกับธุรกิจและระดับบุคคลปีละหลายพันล้านดอลลาร์

อย่างไรก็ตาม ธรรมชาติของการสืบสวนของอาชญากรไซเบอร์ โดยปกติแล้วเราไม่สามารถทราบข้อมูลใดๆ เกี่ยวกับผู้โจมตีได้ทันทีหลังจากการโจมตี อาจต้องใช้เวลาหลายสัปดาห์ หลายเดือน หรือบางครั้งก็หลายปี ซึ่งระบุได้แค่ว่าการโจมตีนั้นมาจากประเทศใด สิ่งนี้คือความท้าทายสำหรับนักข่าวที่ทำประเด็นอาชญากรรม เมื่อต้องเผชิญกับความไม่ชัดเจนของผู้กระทำความผิด นักข่าวควรคำนึงถึงคำแนะนำต่อไปนี้

  1. การสืบสวนทางไซเบอร์ไม่ได้ใช้เพียงหลักวิทยาศาสตร์เท่านั้น ผู้สืบสวนหรือผู้เชี่ยวชาญอาจคาดการณ์ผิดพลาดได้ อาจมีการอ้างว่าผู้กระทำความผิดมีส่วนเกี่ยวข้องกับรัฐชาติ กลุ่มแฮ็กเกอร์ หรือบุคคลใดๆ โดยเฉพาะอย่างยิ่งในทันทีหลังจากเกิดเหตุการณ์ขึ้น ควรระมัดระวังการกล่าวอ้างเหล่านี้
  2. อาชญากรไซเบอร์ใช้เล่ห์กลหลายชั้นเพื่อปกปิดตัวตนของพวกเขา โดยเฉพาะอย่างยิ่งในการโจมตีที่ซับซ้อน ข้อมูลเบื้องต้นเกี่ยวกับผู้ต้องสงสัยที่สงสัยว่าเป็นแฮ็กเกอร์อาจเป็นการเบี่ยงเบนความสนใจ ผู้สื่อข่าวควรระมัดระวังในการแจ้งให้ผู้ชมทราบเกี่ยวกับระยะเวลาที่คาดว่าจะใช้ในการตรวจสอบ

การหาแหล่งข้อมูลจากฝั่งอาชญากรไซเบอร์เป็นสิ่งที่เป็นไปได้ยากมาก จากประสบการณ์ของฟาสซินีซึ่งเป็นผู้เขียนรายงานชิ้นนี้ เธอบอกว่าการติดต่อเพื่อพูดคุยกับผู้ที่เคยก่ออาชญากรรมในโลกไซเบอร์ทำได้ง่ายกว่าการหาเหยื่อที่เต็มใจจะพูดคุยเป็นอย่างมาก พวกเขาสามารถช่วยอธิบายมุมมองและวิธีที่การก่ออาชญากรรมมองจากมุมมองของพวกเขา และสิ่งนี้นำเราไปสู่ปัญหาต่อไป

เหยื่อ

เนื่องจากการระบุตัวผู้กระทำความผิดทางไซเบอร์อาจไม่ชัดเจนในตอนแรก นักข่าวมักจะเปลี่ยนโฟกัสไปที่เหยื่ออย่างรวดเร็ว ซึ่งมักจะเป็นองค์กรหรือหน่วยงานของรัฐที่ไม่มีความเห็นอกเห็นใจและมีแนวโน้มที่จะถูกสังคมวิพากษ์วิจารณ์ได้ เนื่องจากถูกมองว่าพวกเขาละเมิดในหน้าที่เพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองหรือผู้บริโภค

นักข่าวต้องระลึกไว้ว่าหน่วยงานเหล่านี้เป็นเหยื่อ และพวกเขาจ้างคนที่อาจได้รับผลกระทบจากอาชญากรรม พนักงานด้านไอทีและความปลอดภัยส่วนบุคคลของบริษัทที่ถูกโจมตีอาจต้องใช้เวลาหลายเดือนในการแก้ไขผลกระทบ โดยเฉพาะอย่างยิ่งในกรณีของมัลแวร์หรือโปรแกรมเรียกค่าไถ่ (Ransomware) มีรายงานว่าพนักงานด้านไอทีของบริษัทที่เป็นเหยื่อต้องเผชิญโรคเครียดหลังเหตุการณ์สะเทือนใจ (Post-Traumatic Stress Disorder: PTSD) บางคนต้องกินนอนในสำนักงานเป็นเวลาหลายวันและเผชิญกับการคุกคามจากลูกค้าหรือเพื่อนร่วมงานที่ตำหนิพวกเขาเป็นการส่วนตัวหลังถูกโจมตี

อาจจะจริงที่บางบริษัทละเลยเรื่องความปลอดภัย ส่วนบางบริษัทก็ใช้งบประมาณอย่างไม่ชาญฉลาดและจ้างพนักงานที่ไม่เหมาะมาทำงานเรื่องความปลอดภัยหรือเทคโนโลยี องค์กรภาครัฐและองค์กรไม่แสวงหาผลกำไร บางแห่งมีแนวทางการจัดการที่ไม่มีประสิทธิภาพและใช้ระบบเทคโนโลยีที่ล้าสมัย แต่ในบางครั้งบริษัทที่ค่อนข้างทันสมัยและมีการจัดการที่ดี แต่หากสร้างข้อผิดพลาดเพียงจุดเดียวที่ผู้โจมตีสามารถใช้ประโยชน์ได้ก็อาจตกที่นั่งลำบากเช่นกัน

อย่างไรก็ตาม นักข่าวยังมักจะขีดเส้นแบ่งที่ไม่ชัดเจนระหว่างเหยื่อกับผู้กระทำความผิด และเส้นแบ่งนั้นยังไม่เป็นที่ยอมรับในการรายงานข่าวอาชญากรรมแบบดั้งเดิม แต่การทำความเข้าใจเหยื่อ และทำความเข้าใจว่าเหตุใดพวกเขาจึงตกเป็นเป้าหมายจะช่วยให้เราเข้าใจถึงอาชญากรรมได้ การตรวจสอบช่องโหว่ของเหยื่อควรเป็นส่วนหนึ่งของการรายงานข่าว และไม่ควรปิดบังข้อเท็จจริงเกี่ยวกับหน่วยงานอื่นที่ก่ออาชญากรรม

การรายงานอาชญากรรมทางอินเทอร์เน็ตจำเป็นต้องมีมุมมองที่เหมาะสม แม้ว่าตัวตนของอาชญากรอาจไม่ปรากฏชัดในทันที แต่ก็ยังมีองค์ประกอบต่างๆ ที่เกี่ยวข้องอยู่ การหาข่าววงในเกี่ยวกับบุคคล หน่วยงานหรือประเทศที่เกี่ยวข้องกับการโจมตีเป็นหน้าที่ของนักข่าวอาชญากรรมไซเบอร์ เช่นเดียวกับเจ้าหน้าที่ตำรวจหรือนักสืบสวนอื่นๆ

แหล่งข่าวที่น่าเชื่อถือเป็นสิ่งสำคัญที่สุด เพื่อให้เข้าใจว่าการละเมิดเกิดขึ้นได้อย่างไร นักข่าวควรพยายามอย่างเต็มที่เพื่อให้ได้ข้อเท็จจริง จากผู้ที่ใกล้ชิดกับการละเมิดมากที่สุด และผู้ที่สามารถตีความความหมายของการละเมิดและความหมายของมาตรการรับมือ แหล่งข่าวเหล่านี้หาได้ยาก เป็นเรื่องยากมากที่จะโน้มน้าวให้พนักงานพูดถึงเบื้องหลังเหตุการณ์ เพราะอาจเป็นการละเมิดข้อตกลงในการจ้างงาน การโน้มน้าวใจพนักงานรักษาความปลอดภัยที่มากประสบการณ์ก็เป็นสิ่งที่ยากเช่นกัน เพราะพวกเขามักจะไม่อยากบอกข้อมูลที่เป็นความลับกับนักข่าว

แต่นักข่าวควรพยายามติดต่อกลุ่มบุคคลที่ใกล้ชิดกับการละเมิดมากที่สุด นักข่าวควรเลือกความเห็นจากผู้เชี่ยวชาญภายนอกหรือผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์อย่างระมัดระวัง ซึ่งผู้ปฏิบัติงานในกรณีนี้คือพนักงานที่ได้รับบทบาทการรักษาความปลอดภัยทางไซเบอร์บางประเภทในช่วง 12 เดือนที่ผ่านมา เพราะในบางกรณี คนนอกอาจไม่มีความรู้ที่ถูกต้องเกี่ยวกับเรื่องนั้น

โลกภายนอก

สิ่งที่แตกต่างกันของการรายงานข่าวเรื่องความปลอดภัยทางไซเบอร์กับการรายงานเรื่องอาชญากรรมแบบดั้งเดิมคือความเกี่ยวข้องของโลกภายนอกตลอดจนมุมมองของบุคคลทั่วไปต่ออาชญากรรม

นักข่าวด้านความปลอดภัยททางไซเบอร์จะต้องเข้าใจจากตัวละครในประเทศและระดับนานาชาติของเหตุการณ์นั้นๆ เพื่อให้ผู้อ่านเข้าใจบริบทของเหตุการณ์ที่ครบถ้วน

ตัวอย่างที่ดีจากเอกสารของราชการล่าสุดนั้นเกี่ยวกับเหตุการณ์มัลแวร์เรียกค่าไถ่ (Ransomware) ในเมืองหนึ่งที่รัฐเท็กซัสของสหรัฐฯ ผู้มีส่วนได้เสียในเหตุการณ์นี้ ได้แก่ มหาวิทยาลัยเทกซัสเอแอนด์เอ็ม (Texas A&M University) ซึ่งรวมถึงอาสาสมัคร สำนักงานเอฟบีไอในพื้นที่ หน่วยสืบราชการลับ (เนื่องจากการมีส่วนร่วมในการฉ้อโกงทางสาย) กระทรวงความมั่นคงแห่งมาตุภูมิ และบริษัทแก้ไขปัญหาไซเบอร์ที่ตั้งอยู่ในกรุงวอชิงตัน ดี.ซี. เนื่องจากบริษัทดังกล่าวที่ได้รับผลกระทบมีธุรกิจอยู่ในอุตสาหกรรมน้ำมันและก๊าซธรรมชาติมีเจ้าของเป็นชาวซาอุดีอาระเบีย บริษัทจึงได้จ้างทีมงานสืบสวนมาช่วยแก้ไขปัญหาด้วย ทีมงานของซาอุดีอาระเบียได้ค้นพบข้อบกพร่องในซอฟต์แวร์วิศวกรรมกระบวนการบางตัวที่อยู่ในฝรั่งเศส ทำให้สหภาพยุโรปเริ่มสอบสวนต่อ ควบคู่ไปกับหน่วยงานความมั่นคงทางไซเบอร์แห่งชาติของรัฐบาลฝรั่งเศส สุดท้ายจึงค้นพบว่าการแฮ็กนี้เกิดขึ้นในภาคตะวันตกเฉียงใต้ของสหรัฐฯ ทำให้เกิดความกังวลด้านความมั่นคงของชาติทั้งในสหรัฐฯ และซาอุดีอาระเบีย อีกทั้งยังสร้างความระแวงให้แก่ประเทศหรือบริษัทใดๆ ก็ตามที่ใช้ซอฟต์แวร์สัญชาติฝรั่งเศสนี้ เรื่องนี้เป็นบททดสอบให้สหภาพยุโรปบังคับใช้กฎหมายที่เข้มงวดยิ่งขึ้น

เคล็ดลับสุดท้ายของฟาสซินีคือการหาแหล่งข้อมูลจากผู้มีส่วนได้ส่วนเสียทั่วโลกที่มีความสำคัญต่อปัญหาความปลอดภัยทางไซเบอร์ ประเด็นข่าวที่เธอเสียดายและเห็นว่าควรจะรายงานให้ดีกว่านี้คือความแตกต่างระหว่างการแฮ็กข้อมูลของฮิลลารี คลินตัน ผู้สมัครชิงตำแหน่งประธานาธิบดีสหรัฐฯ ในปี 2016 กับการแฮ็กข้อมูลของเอ็มมานูเอล มาครง ประธานาธิบดีฝรั่งเศสคนปัจจุบันที่หาเสียงในปีถัดมาต่อจากคลินตัน (ปี 2017) ในขณะที่เรารู้มากขึ้นเกี่ยวกับการแทรกซึมของรัสเซียในการหาเสียงครั้งที่ผ่านมา เรากลับไม่เคยได้รับเรื่องรู้ราวทั้งหมดว่าเหตุใดรัสเซียถึงไม่สามารถมีอิทธิพลต่อการหาเสียงของมาครง ซึ่งในที่สุดเขาก็ชนะเลือกตั้งได้เป็นประธานาธิบดีฝรั่งเศส

เหตุผลคงเป็นเพราะเทคนิคที่น่าสนใจและสร้างสรรค์ของฝ่ายความปลอดภัยทางไซเบอร์ของมาครง พวกเขาคาดการณ์การบิดเบือนข้อมูลของรัสเซียและตอบสนองต่อข้อมูลดังกล่าวในเชิงรุก ทีมแคมเปญหาเสียงของมาครงรู้ว่ามีการสร้างข้อมูลเท็จในอีเมล พวกเขาสามารถยุติเหตุการณ์นี้อย่างเปิดเผยได้อย่างง่ายดาย ฟาสซินีบอกว่าถ้าเธอสามารถสร้างความสัมพันธ์กับเจ้าหน้าที่รัฐบาลฝรั่งเศสหรือทีมหาเสียงไว้ในอดีต เธอคงสามารถสร้างเรื่องราวที่รอบด้านมากขึ้นและเชื่อมโยงกับข้อผิดพลาดที่เกิดขึ้นกับการเลือกตั้งในสหรัฐฯ ซึ่งไม่ควรเกิดขึ้นอีก แต่ใครจะไปรู้ คนที่กำลังอ่านบทความชิ้นนี้อยู่อาจเป็นคนเขียนเรื่องเหล่านั้นแทนเธอก็เป็นได้

แหล่งข้อมูลเพิ่มเติม

เคท ฟาสซินี (Kate Fazzini) เป็นนักข่าวเทคโนโลยี ที่ติดตามประเด็นความปลอดภัยทางไซเบอร์ให้กับสำนักข่าว CNBC เป็นผู้เขียนหนังสือ “Kingdom of Lies: Unnerving Adventures in the World of Cybercrime” ตีพิมพ์เมื่อ ค.ศ. 2019 ฟาสซินีจบการศึกษาระดับมหาบัณฑิตด้านยุทธศาสตร์ความปลอดภัยทางไซเบอร์จากมหาวิทยาลัยจอร์จวอชิงตัน (George Washington University) และเป็นศาสตราจารย์วุฒิคุณ ด้านโปรแกรมปัญญาประยุกต์ที่มหาวิทยาลัยจอร์จวอชิงตัน

แปลและเรียบเรียงจาก:

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท