สรุปสั้น

เมื่อวันพุธที่ผ่านมา สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) พร้อมกับหน่วยงานความมั่นคงไซเบอร์พันธมิตรอีก 4 ชาติ ได้เผยแพร่ไกด์ที่แนะนำผู้ผลิตซอฟต์แวร์เกี่ยวกับวิธีสร้างโปรแกรมเปิดเผยช่องโหว่แบบประสานงาน (Coordinated Vulnerability Disclosure หรือ CVD) โดยพันธมิตรประกอบด้วยสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (NSA), ศูนย์ประสานงานเหตุฉุกเฉินคอมพิวเตอร์ญี่ปุ่น (JPCERT/CC), ศูนย์ความมั่นคงไซเบอร์แห่งชาติเนเธอร์แลนด์ (NCSC-NL) และศูนย์ความมั่นคงไซเบอร์แห่งชาติสหราชอาณาจักร (NCSC-UK)

หกวันก่อนหน้านั้น CISA ได้เผยแพร่บล็อกโพสต์ที่อธิบายว่านักวิจัยด้านความปลอดภัยรายหนึ่งพยายามรายงานปัญหาร้ายแรงให้ CISA เองซ้ำแล้วซ้ำเล่าแต่ล้มเหลว เมื่ออ่านเอกสารทั้งสองฉบับควบคู่กัน จังหวะเวลาดูเหมือนจะเป็นความตั้งใจ ไกด์แนะนำว่าผู้ผลิตควรออกแบบโปรแกรม CVD เพื่อร่วมมือกับนักวิจัยด้านความปลอดภัยอย่างมีประสิทธิภาพและโปร่งใสในการรายงานและแก้ไขช่องโหว่ ซึ่งทำได้โดยการเผยแพร่นโยบายเปิดเผยช่องโหว่ (Vulnerability Disclosure Policy) บนเว็บไซต์และระบุอย่างชัดเจนว่าเปิดรับรายงานจากสาธารณะ

รายละเอียดข่าว

เว็บไซต์ Help Net Security รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่าไกด์แนะนำให้ผู้ผลิตใช้ไฟล์ security.txt ซึ่งเป็นรูปแบบที่อ่านได้ทั้งโดยเครื่องและมนุษย์ตามที่กำหนดใน RFC 9116 เพื่อให้นักวิจัยสามารถค้นหาข้อมูลติดต่อได้โดยไม่ต้องเสียเวลาค้นหา อีกทั้งควรกำหนดขอบเขตการทดสอบให้กว้างที่สุดเท่าที่จะเป็นไปได้ ด้วยเหตุผลว่าการตั้งขอบเขตที่จำกัดโดยพลการนั้นเป็นการจำกัดนักวิจัยแต่ไม่ได้จำกัดผู้โจมตี นอกจากนี้หน่วยงานยังแนะนำให้ตอบรับการติดต่อของนักวิจัยภายในกรอบเวลาที่กำหนด โดยควรอยู่ระหว่าง 2 ถึง 3 วันทำการ

หนึ่งในคำแนะนำคือความล้มเหลวของ CISA เองที่ถูกเขียนขึ้นเป็นคำแนะนำ นั่นคือการแยกช่องทางการเปิดเผยและคัดกรองช่องโหว่ออกจากช่องทางสนับสนุนลูกค้าที่มีอยู่ เพราะการใช้ช่องทางเดิมอาจทำให้รายงานถูกมองข้ามและประเมินค่าต่ำเกินไป หรือเกิดการเปิดเผยโดยไม่ตั้งใจ โดยเมื่อวันที่ 9 กรกฎาคม รักษาการ CIO และ CISO ของ CISA ได้อธิบายเหตุการณ์ที่ CISA รับทราบเมื่อวันที่ 15 พฤษภาคม 2569 เมื่อนักข่าวสายสืบสวนสอบถามเกี่ยวกับกุญแจ AWS GovCloud ภายในของ CISA และข้อมูลอื่นที่อยู่ในที่เก็บโค้ดสาธารณะ

รายละเอียดแนวทาง

นาย Guillaume Valadon นักวิจัยจาก GitGuardian ผู้ค้นพบข้อมูลดังกล่าว เขียนว่าหลังจากส่งอีเมลแจ้งเตือน 9 ฉบับแต่ไม่มีการตอบกลับ รายงานของเขาก็ไปถึง CISA ผ่านเส้นทางที่ซับซ้อนเกินความจำเป็น CISA ยอมรับว่าช่องทางการรายงานของตน “ไม่ได้ถูกกำหนดไว้อย่างชัดเจน” ซึ่งทำให้นักวิจัยต้องลองหลายช่องทาง ทั้งอีเมลถึงผู้รับเหมา ส่งผ่านแพลตฟอร์มเปิดเผยช่องโหว่ของ CISA (ที่มีไว้สำหรับช่องโหว่ที่กระทบชุมชนในวงกว้าง ไม่ใช่ตัว CISA เอง) และสุดท้ายต้องอาศัยนักข่าว CISA ยังยอมรับว่าเสียเวลาในช่วงต้นเพราะไม่มีคู่มือรับมือเหตุการณ์สำหรับ GitHub หรือคลาวด์ และต้องเขียนขึ้นระหว่างจัดการเหตุการณ์ อีกทั้งการหมุนเวียนกุญแจ (Key Rotation) ใช้เวลานานกว่าที่คาดไว้เนื่องจากความซับซ้อนของระบบ

ไกด์ยังมีคำแนะนำเพิ่มเติมอื่น ๆ ได้แก่ การใช้ถ้อยคำให้ความคุ้มครองทางกฎหมาย (Safe Harbor) เพื่อรับรองว่างานโดยสุจริตของนักวิจัยได้รับอนุญาตภายใต้กฎหมายต่อต้านการแฮ็ก การหลีกเลี่ยงข้อตกลงห้ามเปิดเผยข้อมูลแบบครอบคลุมและการแก้ไขแบบเงียบ ๆ การกำหนดหมายเลข CVE ให้กับช่องโหว่ที่ค้นพบภายในองค์กรเองด้วยไม่ใช่เฉพาะรายงานจากภายนอก และการเผยแพร่คำแนะนำด้านความปลอดภัยตามรูปแบบ Common Security Advisory Framework โดยไม่ซ่อนอยู่หลังกำแพงชำระเงิน ทั้งนี้มีน้ำหนักด้านกฎระเบียบหนุนหลังคำแนะนำนี้ เพราะ BOD 20-01 ได้กำหนดให้หน่วยงานพลเรือนของรัฐบาลกลางสหรัฐฯ ต้องเผยแพร่นโยบายเปิดเผยช่องโหว่อยู่แล้ว และกฎหมาย EU Cyber Resilience Act ก็ขยายภาระผูกพันนี้ไปยังผู้ผลิตที่ดำเนินงานในสหภาพยุโรป

ผลกระทบต่อไทย

แนวทาง CVD ฉบับนี้เป็นต้นแบบที่มีประโยชน์อย่างยิ่งสำหรับองค์กรและหน่วยงานรัฐของไทย ทั้งผู้ผลิตซอฟต์แวร์ ผู้ให้บริการออนไลน์ และหน่วยงานภาครัฐที่ต้องการสร้างช่องทางรับแจ้งช่องโหว่จากนักวิจัยด้านความปลอดภัยอย่างเป็นระบบ ปัจจุบันหลายองค์กรไทยยังไม่มีนโยบายเปิดเผยช่องโหว่ที่ชัดเจน ทำให้นักวิจัยที่หวังดีไม่รู้จะแจ้งช่องโหว่ที่ไหน หรือกลัวถูกดำเนินคดีทางกฎหมาย ส่งผลให้ช่องโหว่ร้ายแรงอาจไม่ได้รับการแก้ไขทันเวลา การนำแนวทางเช่นการเผยแพร่นโยบายชัดเจน การใช้ security.txt การกำหนดกรอบเวลาตอบรับ และการให้ความคุ้มครองทางกฎหมายแก่นักวิจัยโดยสุจริต มาปรับใช้ จะช่วยยกระดับความมั่นคงปลอดภัยไซเบอร์ของไทยและสร้างความร่วมมือที่ดีระหว่างองค์กรกับชุมชนนักวิจัย

คำแนะนำ

องค์กรที่พัฒนาซอฟต์แวร์หรือให้บริการออนไลน์ควรจัดทำนโยบายเปิดเผยช่องโหว่ (Vulnerability Disclosure Policy) และเผยแพร่บนเว็บไซต์อย่างชัดเจนในหลายจุดที่มองเห็นง่าย พร้อมใช้ไฟล์ security.txt ตามมาตรฐาน RFC 9116 เพื่อให้นักวิจัยติดต่อได้สะดวก ควรแยกช่องทางรับแจ้งช่องโหว่ออกจากช่องทางสนับสนุนลูกค้าทั่วไป กำหนดขอบเขตการทดสอบให้กว้าง ตอบรับการติดต่อภายใน 2-3 วันทำการ และใส่ถ้อยคำคุ้มครองทางกฎหมายเพื่อรับรองว่างานโดยสุจริตของนักวิจัยจะไม่ถูกดำเนินคดี นอกจากนี้ควรมีคู่มือรับมือเหตุการณ์สำหรับสภาพแวดล้อมสมัยใหม่อย่าง GitHub และคลาวด์ไว้ล่วงหน้า รวมถึงมีระบบบริหารจัดการกุญแจ (Key Management) ที่พร้อมหมุนเวียนได้อย่างรวดเร็วเมื่อเกิดเหตุ

แหล่งอ้างอิง