สรุปสั้น
กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (Department of Homeland Security หรือ DHS) ออกมายืนยันว่ากำลังสอบสวนเหตุการโจมตีทางไซเบอร์ที่เจาะเข้าระบบ Homeland Security Information Network (HSIN) ซึ่งเป็นแพลตฟอร์มสำหรับแบ่งปันข้อมูลอ่อนไหวระหว่างหน่วยงานระดับรัฐบาลกลาง มลรัฐ ท้องถิ่น และภาคเอกชน โดยการบุกรุกครั้งนี้ถูกเปิดเผยครั้งแรกโดยเว็บไซต์ Nextgov และเชื่อว่าเกิดขึ้นในช่วงไม่กี่สัปดาห์ที่ผ่านมา คาดว่าอยู่ระหว่างปลายเดือนพฤษภาคมถึงต้นเดือนมิถุนายน 2026 ตามข้อมูลจากแหล่งข่าวสองรายที่ใกล้ชิดกับเรื่องนี้ ปัจจุบัน DHS ยังไม่ได้ระบุตัวผู้อยู่เบื้องหลังหรือเชื่อมโยงกับรัฐบาลต่างชาติใด และยังไม่ชัดเจนว่ามีเอกสารใดถูกขโมยออกไปหรือไม่ ผู้โจมตีพุ่งเป้าไปที่เซิร์ฟเวอร์ของ HSIN รวมถึงระบบ SharePoint ที่ใช้ทำงานร่วมกัน ซึ่งสำนักงานข่าวกรองและการวิเคราะห์ของ DHS ได้ประเมินความเสียหายไปแล้ว
DHS ยืนยันกับ BleepingComputer ว่าเหตุการณ์นี้เกิดกับสภาพแวดล้อมการแบ่งปันข้อมูลรุ่นเก่าที่ไม่ได้จัดชั้นความลับ พร้อมเน้นย้ำว่าระบบที่จัดชั้นความลับไม่ได้รับผลกระทบ และได้ดำเนินการแยกระบบที่ได้รับผลกระทบออกทันที พร้อมเปิดการสอบสวนทางนิติวิทยาศาสตร์อย่างครอบคลุม ในขณะที่สหรัฐฯ กำลังดูแลความมั่นคงของการแข่งขันฟุตบอลโลกที่จัดขึ้นทั่วประเทศ Nextgov จึงตั้งข้อกังวลว่าการรั่วไหลนี้อาจเปิดเผยแผนรักษาความปลอดภัย การประสานงานระหว่างหน่วยงาน หรือขั้นตอนการรับมือเหตุการณ์ต่าง ๆ ได้
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2569 ว่ากระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ กำลังสอบสวนการโจมตีทางไซเบอร์ที่เจาะเข้าระบบ Homeland Security Information Network (HSIN) โดยเหตุการณ์ถูกเปิดเผยครั้งแรกโดย Nextgov และดำเนินการโดยผู้โจมตีที่ยังไม่ทราบตัวตนในช่วงหลายสัปดาห์ที่ผ่านมา
HSIN เป็นแพลตฟอร์มของ DHS สำหรับแบ่งปันข้อมูลที่อ่อนไหวแต่ไม่ได้จัดชั้นความลับ (sensitive but unclassified) ในหมู่พันธมิตรทั้งภาครัฐ องค์กรระหว่างประเทศ และภาคเอกชน ผู้ใช้ที่ได้รับอนุมัติสามารถเข้าถึงข้อมูล แลกเปลี่ยนคำร้องขอกับหน่วยงานพันธมิตร บริหารจัดการปฏิบัติการ ประสานงานด้านความปลอดภัยสำหรับกิจกรรมที่วางแผนไว้ รับมือกับเหตุการณ์ และแบ่งปันข้อมูลสำคัญที่จำเป็นต่อการปกป้องชุมชนของตน แพลตฟอร์มนี้รองรับการสื่อสารแบบเรียลไทม์ การแจ้งเตือน และการจัดการเหตุการณ์ อีกทั้งยังใช้แลกเปลี่ยนข้อมูลเกี่ยวกับบุคคลที่น่าสนใจและภัยคุกคามที่อาจเกิดขึ้น
ตามข้อมูลจากแหล่งข่าวของ Nextgov ผู้โจมตีพุ่งเป้าไปที่เซิร์ฟเวอร์ HSIN รวมถึงระบบ SharePoint ที่ใช้ทำงานร่วมกัน หลังจากนั้นสำนักงานข่าวกรองและการวิเคราะห์ (Office of Intelligence and Analysis) ของกระทรวงได้ทำการประเมินความเสียหายจากการบุกรุก โฆษกของ DHS กล่าวในแถลงการณ์ว่า “กระทรวงความมั่นคงแห่งมาตุภูมิรับทราบถึงเหตุการณ์ทางไซเบอร์ล่าสุดที่เกี่ยวข้องกับสภาพแวดล้อมการแบ่งปันข้อมูลรุ่นเก่าที่ไม่ได้จัดชั้นความลับ เราได้ดำเนินการแยกระบบที่ได้รับผลกระทบทันที บรรเทาช่องโหว่ และเปิดการสอบสวนทางนิติวิทยาศาสตร์อย่างครอบคลุม ไม่มีสัญญาณบ่งชี้ว่าเครือข่ายที่จัดชั้นความลับได้รับผลกระทบ และระบบยังคงใช้งานได้สำหรับพันธมิตรของเรา”

รายละเอียดการโจมตี
เนื่องจากการสอบสวนยังอยู่ระหว่างดำเนินการ DHS จึงยังไม่เปิดเผยรายละเอียดเชิงเทคนิคของช่องทางที่ผู้โจมตีใช้เจาะเข้าระบบ อย่างไรก็ตาม จุดที่ถูกกล่าวถึงคือเซิร์ฟเวอร์ HSIN และระบบ SharePoint ที่ใช้ในการทำงานร่วมกัน ซึ่งเป็นเป้าหมายที่พบบ่อยในการโจมตีองค์กรขนาดใหญ่ เพราะ SharePoint มักเก็บเอกสารและข้อมูลภายในจำนวนมาก
ที่น่าสังเกตคือ HSIN เคยประสบเหตุด้านความปลอดภัยมาแล้วในปี 2023 เมื่อการตั้งค่าการเข้าถึงที่ผิดพลาด ซึ่งเชื่อมโยงกับข้อผิดพลาดในการเขียนโค้ดของผู้รับเหมา ทำให้ข้อมูลที่ถูกจำกัดสิทธิ์ภายในส่วน HSIN-Intel (ส่วนงานข่าวกรองของแพลตฟอร์ม) ถูกเปิดเผย โดยข้อผิดพลาดดังกล่าวตั้งค่าสิทธิ์การเข้าถึงเป็น “everyone” แทนที่จะจำกัดเฉพาะผู้ใช้ที่ได้รับอนุญาต ส่งผลให้ข้อมูลรวมถึงข้อมูลบุคคลสัญชาติสหรัฐฯ ที่อ่อนไหวและข้อมูลระบุตัวตนส่วนบุคคล (PII) อื่น ๆ ถูกเปิดเผยต่อผู้ใช้ทุกคนบน HSIN
ผลกระทบต่อไทย
แม้ HSIN จะเป็นระบบเฉพาะของสหรัฐฯ ที่ไม่ได้ใช้ในประเทศไทยโดยตรง แต่กรณีนี้เป็นบทเรียนสำคัญสำหรับหน่วยงานภาครัฐไทยที่ใช้แพลตฟอร์มแบ่งปันข้อมูลระหว่างหน่วยงาน โดยเฉพาะระบบที่สร้างบน SharePoint หรือแพลตฟอร์มรุ่นเก่า (legacy) ที่อาจขาดการอัปเดตด้านความปลอดภัย เนื่องจากระบบเหล่านี้มักเก็บข้อมูลอ่อนไหวที่ไม่ได้จัดชั้นความลับแต่ยังมีคุณค่าสูงต่อผู้โจมตี
ประเทศไทยเองมีการจัดงานระดับนานาชาติและมีการประสานงานความมั่นคงข้ามหน่วยงานอยู่เสมอ การรั่วไหลของแผนรักษาความปลอดภัยหรือขั้นตอนการรับมือเหตุการณ์อาจส่งผลกระทบร้ายแรงต่อความปลอดภัยของงานและบุคคลสำคัญ หน่วยงานที่ดูแลระบบลักษณะเดียวกันจึงควรทบทวนการควบคุมการเข้าถึงและการแยกส่วนของระบบข้อมูลอ่อนไหวอย่างจริงจัง
คำแนะนำ
ผู้ดูแลระบบและหน่วยงานที่ใช้แพลตฟอร์มแบ่งปันข้อมูลควรทบทวนการตั้งค่าสิทธิ์การเข้าถึง (access control) อย่างสม่ำเสมอ โดยยึดหลัก least privilege และหลีกเลี่ยงการตั้งค่าสิทธิ์แบบเปิดกว้างเช่น “everyone” ซึ่งเป็นสาเหตุของเหตุการณ์ HSIN ในปี 2023 ควรอัปเดตและแพตช์ระบบ SharePoint และแพลตฟอร์มรุ่นเก่าให้เป็นเวอร์ชันล่าสุดเสมอ เพราะเป็นเป้าหมายยอดนิยมของผู้โจมตี
นอกจากนี้ควรแยกส่วน (segmentation) ระบบที่เก็บข้อมูลอ่อนไหวออกจากเครือข่ายทั่วไป เปิดการบันทึกล็อกและตรวจสอบพฤติกรรมผิดปกติอย่างต่อเนื่อง และมีแผนตอบสนองเหตุการณ์ที่พร้อมแยกระบบที่ถูกบุกรุกออกได้ทันที เพื่อจำกัดความเสียหายเช่นเดียวกับที่ DHS ดำเนินการ
