ความสำคัญของอุปกรณ์เคลื่อนที่

มีการใช้อุปกรณ์เคลื่อนที่รวมทั้งแล็ปท็อป โทรศัพท์เคลื่อนที่ เครื่องเล่นสื่อ และสื่อที่ถอดออกได้ (เช่น ยูเอสบีแฟลชไดรฟ์) เพิ่มขึ้นเรื่อยๆ ผู้ใช้ก็เพิ่มขึ้น ลูกเล่นที่มีให้ใช้ก็เพิ่มขึ้น เช่น อีเมล การเข้าดูเว็บไซต์ แอปการสื่อสารต่างๆ ก็มีเพิ่มขึ้น เช่น ไลน์ เมสเซนเจอร์ แอปบริการอื่นๆ ก็มีเพิ่มขึ้น เช่น แอปธนาคาร แอปซื้อขายหุ้น แอปช็อปปิ้งต่างๆ ระบบไร้สายต่างๆ ก็มีเพิ่มขึ้น เช่น เครือข่ายโทรศัพท์ไร้สาย ไวไฟ บลูทูธข้อมูลสำคัญทั้งที่เป็นของส่วนตัวและขององค์กรก็บรรจุเพิ่มขึ้นเรื่อยๆ ทั้งหมดนี้ล้วนเพิ่มโอกาสเกิดความเสียหายจากเหตุต่างๆ ที่สำคัญเป็นพิเศษก็คือแล็ปท็อปและสมาร์ทโฟน ที่มีสมรรถภาพในการประมวลข้อมูล การสื่อสาร และการเก็บข้อมูล จึงสามารถใช้คล้ายกับคอมพิวเตอร์ตั้งโต๊ะ แต่ก็จะต้องรักษาความปลอดภัยเป็นพิเศษ[6]

เพราะผู้ใช้เก็บข้อมูลองค์กร/บริษัทไว้ในอุปกรณ์ส่วนตัวเพิ่มขึ้นเรื่อยๆ จึงจำเป็นที่จะต้องวิเคราะห์ความสำคัญอ่อนไหวของข้อมูลทั้งที่เป็นส่วนตัวและขององค์กร และหาวิธีการป้องกันความปลอดภัยของทั้งอุปกรณ์และของข้อมูลเหล่านั้น[7]

ปัญหาความปลอดภัย

แม้จะใช้ประโยชน์ได้ดี แต่เพราะเคลื่อนที่ได้ อุปกรณ์เคลื่อนที่จึงเสี่ยงปัญหาความปลอดภัยต่างๆ มากขึ้น ปัญหารวมทั้งการที่ข้อมูลตกไปอยู่ในมือของบุคคลที่ไม่ควรได้เนื่องกับอุปกรณ์ถูกขโมย ลืม หรือหาย ปัญหาการติดไวรัสหรือการถูกดักฟังการสื่อสาร[8]แม้เมื่อได้อุปกรณ์คืนมา แต่ถ้าปกป้องข้อมูลไว้ไม่ดี ความจริงข้อมูลก็อาจถูกขโมยหรือถูกเปลี่ยนแปลงไปแล้วได้[9]

ปัญหาการใช้ไวไฟ บลูทูธ และอื่นๆ

แม้ปกติโทรศัพท์เคลื่อนที่จะมีการสื่อสารทั้งทางเครือข่ายโทรศัพท์เคลื่อนที่ ทางไวไฟ และทางอื่นๆ เช่น บลูทูธเป็นต้นแต่ปกติการสื่อสารทางเครือข่ายโทรศัพท์จะไม่สามารถปรับอะไรได้[10]

ส่วนการใช้ไวไฟ ผู้ใช้อาจต้องการเชื่อมใช้ไวไฟที่ต่อได้ฟรีซึ่งอาจไม่น่าเชื่อถือ หรือต่อกับเครือข่ายที่การสื่อสารไม่เข้ารหัสลับซึ่งปัจจุบันเป็นสิ่งที่ไม่ใช่ตัวเลือกที่มีโดยอัตโนมัติ ดังนั้นจึงเป็นที่น่าสงสัยผู้ใช้จึงควรพยายามต่อกับระบบไวไฟที่น่าเชื่อถือและเข้ารหัสลับเท่านั้น หรืออาจใช้บริการวีพีเอ็นเป็นตัวแก้ปัญหา[10]

การใช้บลูทูธก็สร้างปัญหาได้เหมือนกัน ดังนั้น ผู้ใช้จึงอาจควรจะพยายามทำสิ่งเหล่านี้คือ เปิดบลูทูธใช้ต่อเมื่อจำเป็นเท่านั้น อย่าทิ้งบลูทูธไว้ในสถานะที่ค้นพบได้ (discoverable) เป็นประจำ และอย่าจับคู่อุปกรณ์กับอุปกรณ์อื่นที่ไม่รู้จัก[11]

อนึ่ง เทคโนโลยีในการเชื่อมต่อกันก็มีเพิ่มขึ้นเรื่อยๆ เช่น การสื่อสารสนามใกล้ (NFC) ซึ่งแม้จะเป็นสิ่งที่เป็นประโยชน์อย่างมากเช่นเดียวกับไวไฟและบลูทูธ แต่ก็จะเกิดจุดเสี่ยงต่างๆ เพิ่มขึ้นเช่นกัน[12]

ปัญหาการพิสูจน์ตัวจริง

เพราะอุปกรณ์เคลื่อนที่เช่นสมาร์ทโฟนมีข้อมูลที่ระบุบุคคลยิ่งกว่าอุปกรณ์ชนิดอื่นๆ การพิสูจน์ตัวจริงที่ดีเพื่อให้บุคคลที่ควรเท่านั้นเข้าถึงข้อมูลต่างๆ ได้จึงสำคัญโดยเฉพาะเพราะยังใช้วิธีการพิสูจน์บางอย่างเป็นอย่างมากเช่นรหัส PIN[13]

ถ้าไม่มีการวิธีพิสูจน์ตนที่ดีแล้วอุปกรณ์ตกไปถึงมือของผู้ร้าย ก็อาจจะทำให้คนร้ายปลอมตัวเป็นบุคคลนั้นทางออนไลน์ได้ และอาจเข้าถึงข้อมูลสำคัญขององค์กรได้ แต่ปัญหาก็คือผู้ใช้อาจไม่รู้สึกว่าจำเป็นต้องป้องกัน หรือมีลูกเล่นจำกัดในการป้องกันอุปกรณ์[14]

ในโทรศัพท์มือถือ บัตรซิมสามารถป้องกันด้วยรหัสพินต่างหากได้ ซึ่งทำให้ไม่สามารถนำบัตรนั้นไปใช้ในโทรศัพท์อื่นๆ โดยไม่รู้รหัสได้การเข้าถึงแอปต่างๆ ในโทรศัพท์ก็ยังสามารถป้องกันต่างหากกับบัตรซิมด้วยรหัสพินหรือรหัสผ่านได้ แต่ปัญหาอย่างหนึ่งคือผู้ใช้ก็จะสับสนว่าทำไมต้องมีรหัสผ่านสองอย่าง[15]ปัญหาอื่นๆ ที่ผู้ใช้ประสบก็คือการไม่เปลี่ยนรหัสที่บริษัทโทรศัพท์ตั้งไว้แล้วโดยปริยาย การใช้รหัสเหมือนกันสำหรับบริการ/อุปกรณ์ต่างๆ และการแชร์รหัสกับคนอื่นๆ[16]ซึ่งปัญหาเหล่านี้บางอย่างก็จะแก้ได้ด้วยการใช้การพิสูจน์ตัวจริงด้วยลักษณะทางชีวมิติ เช่น ลายนิ้วมือและใบหน้า[17]

ให้สังเกตว่าถึงแม้ว่าบริการต่างๆ ที่ผู้ใช้ใช้อาจมีกระบวนการพิสูจน์ผู้ใช้ของตนเองๆ แต่เพราะความสะดวกสบาย ผู้ใช้อาจใช้บริการของระบบปฏิบัติการหรือเว็บบราวเซอร์ในการจำชื่อผู้ใช้และรหัสผ่านไว้ ดังนั้น เพียงแต่เข้าถึงแอปต่างๆ ในระบบได้ บุคคลนั้นก็มักสามารถเข้าถึงบัญชีอื่นๆ ทางเว็บของผู้ใช้ด้วย[18]

ปัญหาการป้องกันรักษาข้อมูล

สิ่งที่ควรจะป้องกันมากที่สุดในอุปกรณ์เคลื่อนที่ได้อาจเป็นข้อมูลซึ่งอาจทดแทนไม่ได้หรืออาจมีค่าหรือสร้างความเสียหายมากยิ่งกว่าตัวอุปกรณ์เองที่แม้มีค่า แต่ก็ยังจำกัดและหามาแทนได้เพราะฉะนั้นสิ่งแรกที่อาจควรพิจารณาก็คือ ข้อมูลส่วนตัวหรือข้อมูลองค์กร ควรจะมีอยู่ในอุปกรณ์นั้นหรือไม่ ถ้าเป็นข้อมูลส่วนตัว นี้เป็นเรื่องที่ตัวบุคคลต้องพิจารณาถ้าเป็นข้อมูลองค์กร องค์กรควรจะมีนโยบายการให้มีข้อมูลในอุปกรณ์ส่วนตัวและการมีระบบควบคุมเพื่อจัดการข้อมูลเช่นนั้นๆ[19]

ปัญหาก็คือข้อมูลขององค์กรอาจไม่ได้รับการป้องกันที่เหมาะสมในอุปกรณ์ส่วนตัว ส่วนในอุปกรณ์ขององค์กร ข้อมูลส่วนตัวอาจทำให้องค์กรเกิดเสียชื่อเสียงเพราะเหตุผู้ใช้ หรือว่าผู้ใช้อาจไม่ชอบใจว่าข้อมูลส่วนตัวถูกจัดรวมเข้ากับข้อมูลที่นำไปใช้ในองค์กร[20]ดังนั้น องค์กรควรมีนโยบายที่ชัดเจนว่าข้อมูลอะไรบ้างสามารถเก็บไว้ในอุปกรณ์ผู้ใช้ได้ว่าอุปกรณ์ส่วนตัวเช่นไรสามารถใช้ในที่ทำงานได้ว่าข้อมูลเช่นใดในสถานการณ์เช่นใดควรเก็บไว้ในอุปกรณ์เคลื่อนที่ได้และควรมีวิธีทางเทคนิคในการควบคุมข้อมูลทั้งขาเข้าและขาออกจากระบบขององค์กร โดยป้องกันไม่ให้คนที่ไม่สมควรเข้าถึงได้[21]

ข้อมูลพิจารณาได้ว่าต้องรักษาไว้ในสามระดับคือ

1. สามารถเก็บไว้ได้เปล่าๆ โดยไม่ต้องเข้ารหัสลับ
2. ต้องเก็บไว้โดยเข้ารหัส
3. ไม่ควรเก็บไว้ในอุปกรณ์เคลื่อนที่โดยประการทั้งปวง[22]

ปัญหาการเก็บข้อมูลอย่างหนึ่งก็คือว่า อุปกรณ์ต่างๆ มีสมรรถภาพและลูกเล่นต่างๆ ไม่เท่ากัน ดังนั้น ข้อมูลที่ต้องได้รับการป้องกันอย่างสูงสุดอาจควรเก็บไว้ในอุปกรณ์ที่มีระบบสนับสนุนการป้องกันข้อมูลอย่างสูงสุดเช่นกัน เช่น การเข้ารหัสลับด้วยฮาร์ดแวร์[22]วิธีการเข้ารหัสลับที่เป็นมาตรฐานก็สำคัญด้วย เช่น AES อุปกรณ์เคลื่อนที่บางอย่าง เช่น แอนดรอยด์ อาจสามารถล็อกอุปกรณ์หรือล้างข้อมูลด้วยคำสั่งระยะไกลได้แต่ก็ต้องเข้าใจว่า นี่ไม่ใช่วิธีป้องกันที่ควรทำตั้งแต่เบื้องต้น แต่เป็นการแก้ปัญหาที่ปลายเหตุแล้ว และเวลาที่อุปกรณ์หายกับเวลาที่สั่งล้าง ก็อาจห่างกันเกินไป[23]

อุปกรณ์ที่จะให้คนอื่นใช้ต่อไป หรือว่าที่หมดอายุการใช้งานแล้ว จะต้องล้างให้ดีเพื่อไม่ให้กู้ข้อมูลกลับมาได้ บางชนิดอาจจะต้องเขียนทับข้อมูล บางอย่างใช้แม่เหล็กลบ บางอย่างอาจจะต้องทำลายถึงขั้นเผาทิ้ง[24]

การสำรองข้อมูลก็สำคัญด้วย เพราะอุปกรณ์อาจหาย ถูกขโมย เสีย หรือซอฟต์แวร์เสียการควบคุมการเข้าไปยังระบบขององค์กร หรือออกจากระบบขององค์กรไปยังอุปกรณ์เคลื่อนที่ก็สำคัญด้วย เป็นการป้องกันไม่ให้นำอันตรายเข้าสู่ระบบขององค์กร และเป็นการกันไม่ให้เอาข้อมูลสำคัญและมีค่าไปในทางที่ไม่ควร[25]

ปัญหาไวรัส มัลแวร์ และม้าโทรจัน

ไวรัส หนอนคอมพิวเตอร์ มัลแวร์ และม้าโทรจันมีเพิ่มขึ้นในอุปกรณ์เคลื่อนที่ขึ้นเรื่อยๆ โดยแล็ปท็อปก็มีปัญหาคล้ายๆ กับคอมพิวเตอร์ตั้งโต๊ะที่มีอยู่แล้ว[26]โดยอาจกระจายผ่านบลูทูธ และบริการข้อความสื่อประสม[27]

แม้การใช้โปรแกรมป้องกันไวรัสโดยเฉพาะๆ อาจยังไม่จำเป็นในสมาร์ทโฟน แต่ก็ยังต้องมีการป้องกันในระดับหนึ่งเช่น แอปสโตร์ และกูเกิล เพลย์ต่างก็มีกระบวนการป้องกันไวรัสไม่ให้ไปถึงอุปกรณ์ของผู้ใช้ในระดับหนึ่ง[28]

สมาร์ทโฟนยังอาจมีปัญหาในเรื่องการโจมตีโดยปฏิเสธการให้บริการ สแปม ฟิชชิ่ง โดยผ่านระบบเอสเอ็มเอส อีเมลและระบบการสื่อสารอื่นๆ เช่น ไลน์ อีกด้วยดังนั้นผู้ใช้จึงควรระวังและใช้ระบบการป้องกันภัยต่างๆ ที่ระบบมีให้ใช้ แม้จะมีจำกัดเทียบกับคอมพิวเตอร์ตั้งโต๊ะ[29]

ผลเสียต่างๆ จากมัลแวร์

เมื่อสมาร์ทโฟนติดมัลแวร์แล้ว ผู้ร้ายอาจทำอะไรได้หลายอย่าง

• สามารถทำให้เป็นเครื่องซอมบี้ คือเครื่องที่แฮ็กเกอณ์สามารถสื่อสารแล้วส่งคำสั่งให้ส่งข้อความทางอีเมลหรือทางเอสเอ็มเอส[30]
• สามารถใช้โทรศัพท์ได้ เช่น อาจใช้เอพีไอ PhoneMakeCall ของไมโครซอฟต์ที่ปกติจะไม่มีในสมาร์โฟน ซึ่งจะเก็บเบอร์โทรศัพท์จากแหล่งต่างๆ (รวมทั้งสมุดหน้าเหลือง) แล้วโทรไปยังเบอร์เหล่านั้น[30] หรืออาจโทรไปยังเบอร์ที่คิดค่าบริการกับเจ้าของโทรศัพท์ บางทีอาจทำการอันตราย เช่น โทรไปเพื่อขัดขวางปฏิบัติการของบริการฉุกเฉินต่างๆ[30]
• สมาร์ทโฟนที่ถูกแฮ็กแล้ว อาจบันทึกการพูดคุยของเจ้าของกับคนอื่นๆ แล้วส่งไปให้บุคคที่สาม[30] แล้วสร้างปัญหาความเป็นส่วนตัวและปัญหาความมั่นคงทางธุรกิจ
• แฮ็กเกอร์ยังอาจขโมยข้อมูลระบุบุคคลผู้ใช้ ปลอมตนเป็นบุคคลนั้น (เพราะมีข้อมูลซิม หรือแม้แต่สามารถใช้โทรศัพท์เอง) ซึ่งเป็นปัญหาความปลอดภัยในประเทศต่างๆ ที่สามารถใช้สมาร์ทโฟนในการสั่งของ จัดการบัญชีธนาคาร หรือใช้เป็นตัวระบุบุคคล[30]
• แฮ็กเกอร์อาจทำให้ใช้การโทรศัพท์ได้ไม่ดี เช่นทำให้แบ็ตหมดเร็วขึ้น[31] เช่น อาจเปิดแอปที่ใช้หน่วยประมวลผลกลางอยู่ตลอด ทำให้แบ็ตหมด[32]
• แฮ็กเกอร์อาจทำให้โทรศัพท์ใช้ไม่ได้[33] เช่น อาจลบเอาสคริปต์สำหรับปลุกเครื่องโทรศัพท์ออก ทำให้ระบบปฏิบัติการใช้ไม่ได้ อาจเปลี่ยนไฟล์บางอย่างทำให้โทรศัพท์ใช้ไม่ได้ เช่น เป็นสคริปต์ที่ทำการเมื่อเปิดโทรศัพท์เป็นการปิดแล้วเปิดโทรศัพท์อีก หรืออาจเปิดแอปที่ทำให้แบ็ตหมด[32]
• แฮ็กเกอร์อาจลบข้อมูลผู้ใช้ออก ไม่ว่าจะเป็นข้อมูลส่วนตัว เช่น ภาพถ่าย แทร็คเพลง หรือวิดิโอ หรืออาจเป็นข้อมูลทางอาชีพ เช่น สมุดรายชื่อคนติดต่อ ปฏิทิน[33]

ความจำกัดของอุปกรณ์เคลื่อนที่

สมาร์ทโฟนมีระบบรักษาความปลอดภัย แต่ปกติจะจำกัดเมื่อเทียบกับระบบคอมพ์ตั้งโต๊ะหรือแล็ปท็อป ผู้ใช้จึงควรเข้าใจจุดอ่อนของอุปกรณ์นี่เป็นปัญหาสำคัญเมื่อสมาร์ทโฟนสามารถเข้าถึงข้อมูลและระบบต่างๆ เท่าๆ กับอุปกรณ์ตั้งโต๊ะ[34]ดังนั้น จึงพึงพิจารณาว่า ถ้าไม่มีวิธีการป้องกันการเข้าถึงข้อมูลบางอย่างหรือการเข้าถึงระบบต่างๆ ได้ดี ควรไหมที่จะใช้สมาร์ทโฟนเพื่อเข้าถึงข้อมูลหรือระบบต่างๆ เหล่านั้นและดังที่กล่าวแล้ว องค์กรพึงมีนโยบายการเก็บข้อมูลและการใช้อุปกรณ์ทั้งที่เป็นขององค์กรและที่เป็นของส่วนบุคคลในบริเวณองค์กรที่ชัดเจน[35]