ในปัจจุบันการใช้งานอุปกรณ์เคลื่อนที่แบบไร้สาย โดยเฉพาะกลุ่ม Mobile Phone, Smart Phone, Tablet PC ได้รับการตอบรับสูงขึ้นอย่างต่อเนื่อง คนหนึ่งคนอาจจะมีอุปกรณ์เคลื่อนที่ที่สามารถเชื่อมต่ออินเทอร์เน็ตมากกว่า 1 ชิ้น เช่น Notebook computer + iPhone + iPad โดยอุปกรณ์ดังกล่าวได้มีการปรับเปลี่ยนวิธีการใช้งานแตกต่างไปจากเดิมๆ คือ การพูดคุยด้วยเสียง การใช้เป็นอุปกรณ์ด้านบันเทิง เช่น ฟังเพลง ฟังวิทยุ เป็นอุปกรณ์จัดเก็บข้อมูลต่างๆ โดยเฉพาะข้อมูลส่วนบุคคลที่สำคัญ ข้อมูลของหน่วยงาน และยังเป็นช่องทางการเชื่อมโยงข้อมูลออนไลน์รูปแบบต่างๆ 

จากฟังก์ชันการใช้งานที่ปรับเปลี่ยนไปของผู้ใช้อุปกรณ์ดังข้างต้น ทำให้ความเสี่ยงต่างๆ มีสูงขึ้น ไม่ว่าจะเป็นความเสียงจากการถูกขโมย การทำหาย การถูกเจาะระบบ เพราะโอกาสที่ข้อมูลในอุปกรณ์จะถูกละเมิด เปิดดูย่อมมีสูงขึ้น และส่งผลให้ความปลอดภัยของข้อมูลลดน้อยหรือไม่มีความปลอดภัย ดังเช่นโครงการ The Symantec Smartphone Honey Stick ของบริษัท Symantec ที่นำ Smart Phone จำนวน 50 เครื่องไปวางไว้ในสถานที่ต่างๆ ที่เป็นที่มีผู้คนพลุกพล่าน เช่น ป้ายรถเมล์ ศูนย์อาหาร ห้างสรรพสินค้า ในเมืองใหญ่ 5 เมืองได้แก่ New York City, Washington D.C., Los Angeles, San Francisco และเมือง Ottawa ประเทศแคนาดา โดย Smart Phone ทุกเครื่องมีการใส่ข้อมูลต่างๆ ทั้งข้อมูลองค์กร ข้อมูลส่วนตัว พร้อมซอฟต์แวร์ติดตามการใช้งาน และติดตามพฤติกรรมการเข้าถึงข้อมูลต่างๆ โดยมีผลการทดสอบที่น่าสนใจดังรายงานออนไลน์ (PDF : 383KB)

Symantec Smart Phone Project
ที่มาภาพ : http://www.symantec.com/connect/blogs/introducing-symantec-smartphone-honey-stick-project

โดยมีข้อมูลที่น่าสนใจ เช่น ผู้ที่พบ Smart phone จำนวน 60% คลิกเปิดแอพ Social networking และ eMail 53% เปิดแอพ HR salaries 43% เปิดแอพ online banking นอกจากนี้ยังมีการเปิดดูข้อมูลส่วนตัว ได้แก่ การเปิดดูแฟ้มข้อมูลที่เก็บรหัสผ่าน ถึง 57% การเปิดดูรูปภาพส่วนตัว 72%

จากรายงานข้างต้นของ Symantec จะพบว่าปัญหาความเสี่ยงที่อาจจะเกิดขึ้นกับอุปกรณ์เคลื่อนที่เป็นประเด็นที่ผู้ใช้ควรใส่ใจ โดยความเสี่ยงที่อาจจะเกิดขึ้นกับอุปกรณ์เคลื่อนที่ ได้แก่

 1. อุปกรณ์เคลื่อนที่สูญหาย (Lost)
 2. อุปกรณ์เคลื่อนที่ถูกขโมย (Stolen)
 3. ผู้ใช้ลึมอุปกรณ์ทิ้งไว้ (Left unattended)
 4. อุปกรณ์เคลื่อนที่ไม่มีการกำหนดรหัสผ่าน (No passcode protect) โดยความเสี่ยง 3 รายการแรก มักจะเสี่ยงมากขึ้นเมื่อผู้ใช้ไม่ได้กำหนดรหัสผ่านในการเปิดใช้งาน หรือเข้าใช้งานอุปกรณ์เคลื่อนที่ ในปัจจุบันการกำหนดรหัสผ่านมีทั้งแบบรหัสผ่านอักขระ รหัสผ่านตัวเลข และแบบ Pattern รวมทั้งกำหนดได้ถึงระดับ Apps 
  รหัสผ่านแบบตัวเลข  รหัสผ่านแบบ Pattern
  ดังนั้นผู้ใช้ควรกำหนดรหัสผ่านตั้งแต่การเปิดใช้อุปกรณ์ การเข้าใช้งานอุปกรณ์ การเข้าใช้งาน Apps ให้เหมาะสม
 5. อุปกรณ์เคลื่อนที่มีการเชื่อมต่อไวไฟอัตโนมัติตลอดเวลา (Full time WiFi on and with "Auto connect") อุปกรณ์เคลื่อนที่จำนวนมากมักจะถูกกำหนดให้เชื่อมต่อไวไฟอัตโนมัติ และบางอุปกรณ์ก็เพิ่มให้เชื่อมต่อไวไฟตลอดเวลา โดยอาจจะเพิ่มความเสี่ยงในการใช้งานได้ง่าย ผู้ใช้จึงควรใส่ใจการเปิดใช้งานไวไฟรวมถึงการเชื่อมต่ออินเทอร์เน็ตให้เหมาะสม
 6. ผู้ใช้งานอุปกรณ์เคลื่อนที่ชอบใช้ฟรีไวไฟ (Free WiFi lovers) อันเป็นการเปิดช่องทางการเข้าถึงของ Spyphone ได้ง่ายยิ่งขึ้น 
 7. มีการติดตั้งแอพพลิเคชั่นจำนวนมาก ทั้งที่เชื่อถือได้ และไม่น่าเชื่อถือ (Lots of apps :trusted/untrusted) โดยปกติ Apps ที่เผยแพร่ผ่าน Apple Store จะถูกตรวจสอบความน่าเชื่อถือก่อนเผยแพร่ให้ผู้ใช้ดาวน์โหลดใช้งาน ในขณะที่ Apps ที่เผยแพร่ผ่าน Google Play จะถูกเผยแพร่ก่อน แล้วจึงปลดออกเมื่อพบ "ปัญหาจากประเด็นความน่าเชื่อถือ" รวมถึง Apps ที่ให้บริการโดย Developer อิสระ และผู้พัฒนา/ให้บริการ Smart phone เอง ก็จะมีความน่าเชื่อที่แตกต่างออกไป การศึกษารายละเอียดเกี่ยวกับ Apps ก่อนเลือกใช้งานจึงเป็นสิ่งที่ผู้ใช้ควรใส่ใจ
 8. อุปกรณ์เคลื่อนที่มีการเปิดฟังก์ชันระบุพิกัดสถานที่ปัจจุบัน (Location service) โดยปกติ Smart phone รุ่นใหม่ๆ จะมีการติดตั้งฟังก์ชัน Location Serivce พร้อมใช้งาน ดังนั้นการถูกติดตามย่อมเกิดได้ง่าย รวมทั้งฟังก์ชันนี้จะมีการฝังค่า Geo Location ไว้ใน EXIF Metadata ซึ่งถูกใช้งานโดยโปรแกรมต่างๆ ได้
  Location Services
  ประเด็นน่าสนใจเกี่ยวกับ Location Services คือ ผู้ใช้จำนวนมากเข้าใจว่าการปิด Location Service จะทำให้ระบบติดตามถูกปิดไปด้วย ซึ่งไม่ใช่เพราะการปิด Location Services เป็นเพียงการตัดการสื่อสารกับ Apps ที่ทำงานกับ Location Services เท่านั้น อย่างเช่น iPhone เองก็มีการเก็บค่า Geotag ไว้ในไฟล์เฉพาะที่ชื่อ consolidated.db ซึ่งสามารถนำมา Plot เป็นแผนที่แสดงการใช้งาน iPhone ณ สถานที่ต่างๆ ได้
 9. การเข้าใช้งาน Apps หรือเว็บ มี Pop-up โดยผู้ใช้ก็คลิกทันทีโดยไม่ได้อ่าน หรือให้ความใส่ใจ (Just click) ในการติดตั้งหรือใช้งาน Apps ตลอดทั้งการเข้าถึงเว็บไซต์ต่างๆ อาจจะมี Pop-up ซึ่งพบว่าผูใช้จำนวนมากไม่ใส่ใจที่จะอ่านรายละเอียด และเน้นการคลิก "OK" หรือ "Yes" อันเป็นการเพิ่มความเสี่ยงได้

นอกจากนี้ประเด็นการใช้งาน Protocol https และ http ก็เป็นประเด็นที่ควรใส่ใจ โดยหลักแล้ว https จะมีความปลอดภัยสูงกว่า http (https > http) แต่การใช้ https (without awareness) ย่อมทำให้เป็นการใช้งานแบบ http ได้เช่นกัน (https (without awareness) = http) นอกจากนี้ยังมีประเด็น Man-in-the-Middle Attack ซึ่งทำให้ความปลอดภัยของ https ลดลงได้เช่นกัน โดย Man-in-the-Middle Attack สามารถเกิดได้ง่ายจากการติดตั้ง Apps นั่นเอง

ความเสี่ยงที่เห็นได้ชัดอีกความเสี่ยงหนึ่ง คือ กรณีที่มีภาพหลุดในรัฐสภา (ข่าวตะลึงภาพโป๊โผล่จอมอนิเตอร์ห้องประชุมสภา วันพุธที่ 18 เมษายน 2555) โดยพบว่าสาเหตุมาจากการที่เจ้าหน้าที่ได้นำโทรศัพท์มือถือยี่ห้อต่างๆ รวมถึงแท็บเล็ต และอุปกรณ์ไอทีที่สามารถเชื่อมต่อระบบไวไฟได้ มาทดลองเชื่อมต่อกับจอ LCD ในห้องประชุมผล ปรากฏว่าโทรศัพท์มือถือและแท็บเล็ตยี่ห้อซัมซุงและแอลจี สามารถ all share เชื่อมต่อกับจอ LCD ได้ ทั้งนี้สาเหตุก็เพราะเทคโนโลยีการเชื่อมข้อมูลผ่านอุปกรณ์นั่นเอง โดยจอ LCD ที่มีนำมาใช้ในรัฐสภาเป็น Smart TV นั่นเอง และเมื่อจอ LCD ดังกล่าวถูกได้ถูกตั้งต่าเป็น passive DLNA อันจะมีผลทำให้หากมีใครสักคนที่มี Smart Phone ตลอดทั้ง Notebook ที่รองรับเทคโนโลยี DLNA (Digital Living Network Alliance) และมีแอพที่รองรับเทคโนโลยี DLNA (เช่น Allshare ) อยู่ละก็ จะสามารถส่งภาพหรือข้อมูลจาก Smart Phone ขึ้นไปแสดงบนจอ LCD ได้เลย โดยไม่ต้องใส่รหัสยืนยันตัวตนเพื่อเชื่อมต่อ 

จากความเสี่ยงที่เกิดจาก Mobile Device ข้างต้น จึงก่อให้เกิดประเด็นที่เรียกว่า BYOD - Bring Your Own Device หรือการนำอุปกรณ์ส่วนตัวมาใช้ที่ทำงาน ซึ่งเป็นประเด็นที่องค์กรควรใส่ใจและให้ความสำคัญ โดยเริ่มจาก

 • การสำรวจองค์กร 
 • การประเมินผลกระทบ
 • การกำหนดนโยบาย รวมทั้งเตรียมความพร้อมทั้งทีมงานและเครื่องมือที่จะช่วยดำเนินการ 

เครื่องมือหนึ่งที่สามารถนำมาใช้ในประเด็นนี้ได้ ก็คือ Mobile Device Management : MDM หรือระบบบริหารจัดการอุปกรณ์เคลื่อนที่ ซึ่งควรบริหารจัดการให้ครอบคลุมทั้งมิติ Device, application, Network และ Data 

จากประเด็นข้างต้น จะเห็นว่า "ความเสี่ยง" ในประเด็นไอซีที ได้ปรับโฉมจากอุปกรณ์คอมพิวเตอร์ เป็นอุปกรณ์เคลื่อนที่โดยเฉพาะการเชื่อมต่อแบบไร้สาย ซึ่งเป็นประเด็นที่องค์กรควรใส่ใจและกำหนดแนวปฏิบัติให้เหมาะสม

------ 

สรุปความจากการบรรยายเรื่อง Mobile Device Management โดยคุณไชยกร อภิวัฒโนกุล วันศุกร์ที่ 27 กรกฏาคม 2555 ณ สวทช. พร้อมการค้นคว้าข้อมูลเพิ่มเติมโดยมีแหล่งข้อมูล ดังนี้

biotec

mtec

nectec
nanotec
entec

tsp

AIMI

nctc

ตราโลโก้ ศูนย์เทคโนโลยีเพื่อความมั่นคงของประเทศและการประยุกต์เชิงพาณิชย์ (Logo of National Security and Dual-Use Technology Center: NSD)

ตราโลโก้ ศูนย์ทดสอบทางพิษวิทยาและชีววิทยา (Toxicology and Bio Evaluation Service Center)

 
สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
เป็นหน่วยงานของรัฐที่จัดตั้งขึ้นเพื่อศึกษาวิจัยและพัฒนาทางด้านวิทยาศาสตร์ และเทคโนโลยีเพื่อการพัฒนาประเทศไทย ไม่ได้มีวัตถุประสงค์เพื่อแสวงหากำไร
หากท่านพบว่ามีข้อมูลใดๆ ที่ละเมิดทรัพย์สินทางปัญญาปรากฏอยู่ในเว็บไซต์ของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
โปรดแจ้งให้ทราบเพื่อดำเนินการแก้ปัญหาดังกล่าวโดยเร็วที่สุดต่อไป