การประชุมออนไลน์แบบ Video Conference ที่ได้รับความนิยมเพิ่มขึ้นหลังจากเกิดการแพร่ระบาดของไวรัสโควิด-19 ทำให้หลายองค์กรต้องปรับรูปแบบการทำงานเป็นการทำงานจากที่บ้าน (Work from home) หรือสถาบันการศึกษาหลายแห่งต้องปรับรูปแบบมาสอนออนไลน์แทน
“ไทยเซิร์ต” ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ได้เผยแพร่กรณีศึกษาเกี่ยวกับ การโพสต์ภาพการประชุม Video Conference ออกสู่อินเทอร์เน็ต ซึ่งอาจเสี่ยงทั้งด้านความมั่นคงปลอดภัยไซเบอร์และความเป็นส่วนตัว
โดยได้ยกตัวอย่างกรณีที่ “Boris Johnson” นายกรัฐมนตรีของสหราชอาณาจักรได้โพสต์ภาพผ่านบัญชี Twitter ส่วนตัวเมื่อวันที่ 31 มีนาคม 2563 เป็นภาพหน้าจอคอมพิวเตอร์ที่เปิดโปรแกรม Zoom ระหว่างที่ video conference กับคณะรัฐมนตรี
This morning I chaired the first ever digital Cabinet.
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
— Boris Johnson (@BorisJohnson) March 31, 2020
แค่ภาพ Video Conference ก็ไม่ปลอดภัย
เหตุการณ์ดังกล่าวผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์หลายรายได้แสดงความเห็นว่า ในหน้าจอที่แสดงนั้นมีข้อมูลหลายอย่างที่ผู้ไม่หวังดีอาจนำไปใช้เพื่อการโจมตีได้ ตัวอย่างเช่น
- ใน title bar ของโปรแกรม Zoom ได้มีการระบุหมายเลข ID ของห้องประชุม ซึ่งผู้ประสงค์ร้ายอาจเชื่อมต่อเข้าไปยังห้องประชุมนี้ได้หากไม่ได้มีการตั้งรหัสผ่านที่ปลอดภัยเพียงพอ
- ในหน้าจอคอมพิวเตอร์ที่ใช้ประชุม แสดงให้เห็นว่าระบบปฏิบัติการที่ใช้งานคือ Windows 10 ที่ติดตั้ง Google Chrome, Microsoft Powerpoint, และ Microsoft Outlook ซึ่งผู้ประสงค์ร้ายอาจโจมตีผ่านช่องโหว่ของโปรแกรมเหล่านั้นได้ (หากมี) หรืออาจใช้วิธีโจมตีแบบ social engineering เช่น ส่งอีเมลหลอกให้ดาวน์โหลดมัลแวร์ที่แอบอ้างว่าเป็นอัปเดตล่าสุดของโปรแกรมตามรายชื่อดังกล่าว
- บางภาพของผู้เข้าร่วมประชุมได้แสดงให้เห็นถึงภายในบริเวณบ้าน หรือแสดงข้อมูลบางอย่างที่อาจส่งผลกระทบต่อความเป็นส่วนตัวหรือความปลอดภัยของชีวิตและทรัพย์สินได้
ดังนั้น เพื่อลดความเสี่ยงและป้องกันปัญหาที่อาจจะเกิดขึ้น หากไม่จำเป็นไม่ควรโพสต์ภาพในขณะที่มีการประชุม video conference ออกสู่อินเทอร์เน็ต หรือควรตัดมาเฉพาะส่วนที่เป็นหน้าจอการประชุมเท่านั้น ไม่ควรแสดงให้เป็นรายชื่อโปรแกรมหรือข้อมูลอื่นๆ ที่ไม่เกี่ยวข้อง
นอกจากนี้ผู้ที่ทำงานที่บ้านไม่ควรโพสต์ภาพถ่ายของเครื่องคอมพิวเตอร์หรืออุปกรณ์ของสำนักงานที่นำกลับไปใช้ที่บ้านด้วยเพราะอาจมีความเสี่ยงได้เช่นกัน
สำหรับการใช้โปรแกรม Zoom เพื่อประชุม video conference อย่างปลอดภัย ผู้จัดประชุมควร “ตั้งรหัสผ่าน” ของการประชุมที่คาดเดาได้ยาก เปิดใช้งาน waiting room เพื่อให้คนที่เข้ามาใหม่ต้องได้รับการอนุมัติจากผู้จัดประชุมก่อนถึงจะสามารถเข้าร่วมประชุมได้ และหากผู้เข้าร่วมประชุมมาครบทุกคนแล้วควรตั้งค่า lock meeting เพื่อปิดไม่ให้บุคคลอื่นเข้ามาในห้องประชุมดังกล่าวได้อีก