สรุปสั้น
บริษัท Coca-Cola เปิดเผยว่าการโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบต่อบริษัทลูกด้านผลิตภัณฑ์นม Fairlife ได้สร้างความปั่นป่วนต่อการดำเนินงาน จนต้องระงับการผลิตสินค้า Fairlife ทั่วสหรัฐอเมริกาเป็นการชั่วคราว โดยในเอกสาร Form 8-K ที่ยื่นต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) Coca-Cola ระบุว่า Fairlife ตรวจพบการเข้าถึงระบบบางส่วนโดยไม่ได้รับอนุญาต รวมถึงระบบที่เกี่ยวข้องกับการผลิต ซึ่งเชื่อมโยงกับการโจมตีแรนซัมแวร์ บริษัทระบุว่าหลังตรวจพบปัญหา ได้เปิดใช้กระบวนการตอบสนองเหตุการณ์และแผนความต่อเนื่องทางธุรกิจทันที พร้อมทั้งแจ้งหน่วยงานบังคับใช้กฎหมายและใช้ที่ปรึกษาภายนอกและผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เข้าช่วยสอบสวน ทั้งนี้บริษัทยืนยันว่าคุณภาพและความปลอดภัยของสินค้าไม่ได้รับผลกระทบจากการโจมตีครั้งนี้ แต่การผลิตที่โรงงานของ Fairlife ในสหรัฐฯ ถูกระงับชั่วคราวระหว่างที่บริษัทกำลังตอบสนองต่อเหตุการณ์และกู้คืนระบบที่ได้รับผลกระทบ ขณะที่การผลิตในแคนาดายังไม่ได้รับผลกระทบในขณะนี้
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Coca-Cola ได้เปิดเผยในวันเดียวกันถึงการโจมตีแรนซัมแวร์ที่บริษัทลูก Fairlife ซึ่งทำให้ต้องระงับการผลิตผลิตภัณฑ์นมในสหรัฐฯ ชั่วคราว โดยในเอกสารที่ยื่นต่อ SEC บริษัทระบุว่า Fairlife ตรวจพบการเข้าถึงระบบบางส่วนโดยไม่ได้รับอนุญาต ซึ่งรวมถึงระบบที่เกี่ยวกับการผลิต และเชื่อมโยงกับการโจมตีแรนซัมแวร์ บริษัทกล่าวว่ากำลังดำเนินการกู้คืนระบบที่ได้รับผลกระทบและกลับมาดำเนินงานตามปกติ แต่ผลกระทบทั้งหมดของเหตุการณ์ยังอยู่ระหว่างการสอบสวน จึงยังไม่สามารถระบุได้ว่าการโจมตีไซเบอร์ครั้งนี้มีแนวโน้มที่จะส่งผลกระทบอย่างมีนัยสำคัญต่อบริษัทหรือไม่
Fairlife เป็นหนึ่งในแบรนด์ผลิตภัณฑ์นมของ Coca-Cola ที่ผลิตนมกรองพิเศษ (ultra-filtered milk) โปรตีนเชค และเครื่องดื่มเสริมโภชนาการที่วางจำหน่ายในสหรัฐฯ โดยสินค้าของบริษัทประกอบด้วย Ultra-Filtered Milk, Core Power Protein Shakes และ Nutrition Plan ในขณะนี้ Coca-Cola ยังไม่ได้เปิดเผยว่ามีข้อมูลใดถูกขโมยระหว่างการโจมตีหรือไม่ บริษัทถูกเรียกค่าไถ่หรือไม่ หรือกลุ่มปฏิบัติการแรนซัมแวร์ใดอยู่เบื้องหลัง และยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบต่อการโจมตีครั้งนี้ ทั้งนี้หากมีข้อมูลถูกขโมยไประหว่างการบุกรุก ผู้โจมตีก็มีแนวโน้มที่จะพยายามข่มขู่เรียกค่าไถ่จากบริษัทในภายหลัง ด้วยการขู่จะเผยแพร่ข้อมูลหากไม่จ่ายเงิน เมื่อ BleepingComputer ติดต่อสอบถาม Coca-Cola ว่าผู้โจมตีขโมยข้อมูลหรือไม่ บริษัทได้รับข้อเรียกร้องค่าไถ่หรือไม่ และกลุ่มแรนซัมแวร์ใดอยู่เบื้องหลัง โฆษกของบริษัทตอบว่าไม่มีข้อมูลเพิ่มเติมนอกเหนือจากแถลงการณ์สาธารณะ
รายละเอียดการโจมตี
การโจมตีครั้งนี้เป็นตัวอย่างของแรนซัมแวร์ที่พุ่งเป้าไปที่ระบบการผลิต (production systems) โดยตรง ซึ่งต่างจากการโจมตีที่เน้นขโมยข้อมูลเพียงอย่างเดียว เพราะเมื่อระบบที่ควบคุมสายการผลิตถูกกระทบ ผลลัพธ์คือโรงงานต้องหยุดเดินเครื่อง สร้างความเสียหายต่อธุรกิจในทันทีแม้ยังไม่มีการยืนยันว่าข้อมูลรั่วไหล Coca-Cola เลือกที่จะระงับการผลิตเองเพื่อควบคุมความเสียหายและกู้คืนระบบอย่างปลอดภัย ซึ่งเป็นแนวทางตอบสนองที่พบได้บ่อยในองค์กรที่เผชิญแรนซัมแวร์ในระบบที่เชื่อมโยงกับการผลิต การที่ยังไม่มีกลุ่มใดอ้างความรับผิดชอบและบริษัทยังไม่เปิดเผยรายละเอียดเรื่องการเรียกค่าไถ่ ทำให้ยังไม่ชัดเจนว่าเหตุการณ์นี้เป็นการโจมตีแบบเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ (encryption-based) หรือเป็นการขโมยข้อมูลเพื่อข่มขู่ (data extortion) หรือทั้งสองอย่าง ซึ่งเป็นรูปแบบที่พบมากขึ้นในปัจจุบัน
ผลกระทบต่อไทย
แม้เหตุการณ์นี้จะเกิดกับโรงงานในสหรัฐฯ แต่เป็นบทเรียนสำคัญสำหรับภาคอุตสาหกรรมการผลิตอาหารและเครื่องดื่มของไทย ซึ่งเป็นภาคเศรษฐกิจสำคัญและมีการใช้ระบบอัตโนมัติในสายการผลิตมากขึ้นเรื่อย ๆ การโจมตีแรนซัมแวร์ที่กระทบระบบการผลิตโดยตรงสามารถทำให้โรงงานต้องหยุดเดินเครื่อง สร้างความเสียหายทางธุรกิจมหาศาลและกระทบห่วงโซ่อุปทาน (Supply Chain) ของสินค้าอุปโภคบริโภคได้ทันที แม้ตัวข้อมูลจะไม่รั่วไหลก็ตาม องค์กรไทยในภาคการผลิตจึงควรตระหนักว่าระบบเทคโนโลยีปฏิบัติการ (OT) และระบบไอทีที่เชื่อมโยงกับสายการผลิตเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี เพราะการหยุดผลิตสร้างแรงกดดันให้ต้องรีบจ่ายค่าไถ่ นอกจากนี้กรณีนี้ยังแสดงให้เห็นถึงแนวปฏิบัติที่ดีของ Coca-Cola ที่รีบเปิดใช้แผนตอบสนองเหตุการณ์และแผนความต่อเนื่องทางธุรกิจ พร้อมแจ้งหน่วยงานบังคับใช้กฎหมาย ซึ่งเป็นสิ่งที่องค์กรไทยควรเตรียมไว้ล่วงหน้า
คำแนะนำ
องค์กรในภาคการผลิตควรแยกเครือข่ายระบบเทคโนโลยีปฏิบัติการ (OT) ที่ควบคุมสายการผลิตออกจากเครือข่ายไอทีทั่วไป (network segmentation) เพื่อจำกัดไม่ให้แรนซัมแวร์ที่เข้ามาทางฝั่งไอทีลุกลามไปหยุดสายการผลิตได้ ควรจัดทำและทดสอบแผนสำรองข้อมูล (backup) แบบออฟไลน์ที่ผู้โจมตีเข้าถึงไม่ได้อย่างสม่ำเสมอ พร้อมทั้งมีแผนตอบสนองเหตุการณ์และแผนความต่อเนื่องทางธุรกิจที่ซักซ้อมไว้ล่วงหน้า เพื่อให้สามารถกู้คืนการผลิตได้อย่างรวดเร็วโดยไม่ต้องจ่ายค่าไถ่ ควรบังคับใช้การยืนยันตัวตนหลายชั้น (MFA) กับทุกช่องทางการเข้าถึงระบบ เฝ้าระวังการเข้าถึงที่ผิดปกติ และจำกัดสิทธิ์การเข้าถึงตามหลักการให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น นอกจากนี้ควรมีช่องทางประสานงานกับหน่วยงานบังคับใช้กฎหมายและผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ไว้ล่วงหน้า เพื่อให้ตอบสนองได้ทันทีเมื่อเกิดเหตุ
