ทำไม IoT เป็นที่รักของโจร#

ลองคิดมุมโจรครับ. ถ้าคุณเป็น hacker — คุณจะโจมตี:

• Windows server ที่มี Microsoft patch ทุกเดือน + EDR + admin คอย monitor 24/7? หรือ
• สมาร์ทบัลบ์ ที่บริษัทผู้ผลิตเลิกทำ firmware update ตั้งแต่ปี 2019 + รหัสผ่าน default + ไม่มีใคร monitor + เจ้าของบ้านไม่รู้ด้วยซ้ำว่ามันต่อเน็ต?

คำตอบชัดเจน. IoT คือ low-hanging fruit ที่สุดของวงการ ด้วย 5 เหตุผล:

1. Default credentials — รหัสผ่าน factory default ที่ไม่มีใครเปลี่ยน. admin/admin, root/root, admin/password. มีเว็บชื่อ Shodan ที่ scan IoT device ทั้งโลก + แสดงตัวที่ยังใช้ default password — มีเป็นล้านเครื่อง

2. ไม่มี firmware update — บริษัท IoT ราคาถูก ขายแล้วลืม. ลูกค้าซื้อสมาร์ทบัลบ์ราคา 200 บาท — บริษัทผู้ผลิตจะมาทำ security patch ให้คุณตลอดชีพหรือ? ไม่. หลายยี่ห้อหายไปจากตลาดในปีที่ 2 — ของยังใช้งานได้ แต่ไม่มี patch อีกตลอดชาติ

3. ไม่มี CPU + memory พอที่จะรัน security agent — สมาร์ทบัลบ์มี chip จิ๋ว. คุณจะติด EDR ลงสมาร์ทบัลบ์ได้ยังไง? ไม่ได้. มันไม่มี OS ที่รองรับ + ไม่มี memory พอ + ไม่มี API ให้ install agent

4. ผู้ใช้ไม่รู้ตัวว่ามันต่อเน็ต — เจ้าของบ้านคิดว่า “นี่คือสมาร์ทแอร์” — ไม่คิดว่ามันคือ Linux box ที่ต่ออินเทอร์เน็ต ที่ตั้งอยู่ในบ้าน

5. มันเป็นสะพานเข้า network — ถึงสมาร์ทบัลบ์เองจะไม่มีข้อมูลค่า — แต่มันอยู่ใน Wi-Fi เดียวกับ laptop ทำงาน + database ที่บ้าน + NAS ของครอบครัว. โจรเข้าสมาร์ทบัลบ์ → pivot → ไปต่อที่อื่นได้

มุมผู้บริหาร: ถ้าบริษัทคุณ implement Zero Trust ในออฟฟิศแล้ว — แต่ work from home ของพนักงาน ใช้ home Wi-Fi ที่มี IoT 30 ตัว — laptop ทำงานของพนักงานอยู่ใน segment เดียวกับสมาร์ทบัลบ์ที่ไม่ได้ patch มา 3 ปี — Zero Trust ของบริษัทพังที่ end ของ tunnel. นี่เป็น scenario ที่ผู้บริหารหลายคนยังไม่เห็นภาพ. ทางแก้ไม่ใช่ “ห้ามพนักงานมี IoT ที่บ้าน” (ทำไม่ได้) — แต่คือ assume home network = hostile + ใช้ ZTNA + EDR + browser isolation ที่ปกป้องไม่ว่าพนักงานนั่งทำงานที่ไหน. ใน EP.37 จะเจาะ ZTNA ต่อ — แต่ insight สำคัญของ EP.36 คือ — บ้านของพนักงาน = ส่วนขยายของพื้นที่โจมตีของบริษัท ครับ

ICS = Industrial Control System (ระบบควบคุมอุตสาหกรรม)#

คำใหญ่สุด — หมายถึงทุกอย่างในโรงงานที่ “ควบคุมการผลิต”. รวมทั้ง PLC + HMI + sensor + actuator + control room + protocol. ทุกระบบควบคุมโรงงาน = ICS

SCADA = Supervisory Control and Data Acquisition (ระบบควบคุม + เก็บข้อมูลแบบรวมศูนย์)#

SCADA = ระบบ ICS ที่ รวมศูนย์การควบคุม — แทนที่จะมีคนเดินไปดูแต่ละเครื่อง — มี control room กลาง ที่ engineer นั่งดู dashboard เห็นทุก sensor + ทุก valve + ทุกเครื่องจักร พร้อมกัน + สั่งงานจากที่นั่งเดียวได้

โรงไฟฟ้า → มี SCADA ของโรงไฟฟ้า. โรงประปา → มี SCADA ของน้ำ. รถไฟฟ้า → SCADA ของระบบเดินรถ. โรงกลั่นน้ำมัน → SCADA ของกระบวนการกลั่น

PLC = Programmable Logic Controller (ตัวควบคุมที่โปรแกรมได้)#

PLC = สมองของโรงงาน. มันคือ คอมพิวเตอร์ industrial ที่ออกแบบมาทำงาน 24/7 ในสภาพแวดล้อมโรงงาน (ร้อน, ฝุ่น, สั่น, สนามไฟฟ้า)

PLC อ่าน input จาก sensor (อุณหภูมิ, แรงดัน, ระดับน้ำ) → ตัดสินใจตาม logic ที่เขียนไว้ → สั่ง output ไป actuator (เปิด/ปิด valve, สตาร์ทมอเตอร์, ปิด heater)

ตัวอย่างง่ายๆ — PLC ของหม้อต้มน้ำในโรงงาน:

• ถ้าอุณหภูมิ > 200°C → ปิด heater + เปิด valve ระบายไอ
• ถ้าแรงดัน > 10 bar → emergency shutdown
• ถ้าระดับน้ำ < 30% → เปิด refill valve

PLC ที่เจอบ่อย — Siemens S7 (เคสที่ Stuxnet โจมตี), Rockwell Allen-Bradley, Schneider Modicon, Mitsubishi MELSEC, Omron

HMI = Human-Machine Interface (หน้าจอที่คนคุยกับเครื่อง)#

HMI = หน้าจอใน control room ที่ engineer ใช้ดูสถานะ + สั่งงาน PLC. มันคือ Windows PC หรือ industrial touchscreen ที่รัน software ของ Siemens / Rockwell / Schneider — แสดงผังโรงงาน + ค่า sensor real-time + ปุ่มกด

ปัญหาคลาสสิคของ HMI — รัน Windows XP / Windows 7 ที่เลิก support แล้ว เพราะ software ของ Siemens version เก่าไม่รองรับ Windows 10/11. เครื่องนี้อยู่ในโรงงาน — ต่อ network โรงงาน — ไม่ได้ patch มา 10 ปี — โจรเข้าได้ทันที

Modbus / DNP3 / Profinet: โปรโตคอลโบราณที่ไม่มี authentication#

Modbus — โปรโตคอลที่ออกแบบโดย Modicon ในปี 1979 — ใช้คุยระหว่าง PLC กับ sensor / actuator. ตอนออกแบบ — โลกยังไม่มี TCP/IP — ไม่มีคนคิดว่าจะมี hacker เข้า network โรงงาน

ผลคือ — Modbus ไม่มี authentication + ไม่มี encryption + ไม่มี integrity check. ใครส่งคำสั่งเข้าไป — PLC ก็ทำตาม. โจรที่เข้า network โรงงานได้ → ส่ง Modbus command “เปิด valve 100%” → PLC ทำทันที — ไม่ถามว่าใคร

โปรโตคอลที่อายุเทียบกัน:

• Modbus (1979) — โรงงานทั่วไป
• DNP3 (1993) — utility (ไฟฟ้า, น้ำ, ก๊าซ)
• Profinet (2003) — Siemens
• EtherNet/IP (2001) — Rockwell

ทั้งหมด — design ในยุคที่ “network ของโรงงานคือ network ที่ปลอดภัยโดยธรรมชาติ”. ทุกตัว — มี version ใหม่ที่เพิ่ม authentication (เช่น Modbus Secure) — แต่บริษัททั่วโลกยังใช้เวอร์ชั่นเก่าเพราะของอายุ 20 ปียังเดิน

มุมผู้บริหาร: ถ้าบริษัทคุณมีโรงงาน — ขอ Plant Manager ตอบคำถามเดียว — “OT network กับ IT network ของเราแยกขาดจริง หรือเชื่อมแค่ครั้งเดียวเพื่อ remote support ของ vendor?” เคสคลาสสิคของวงการ — Plant Manager ตอบไม่ได้ เพราะ OT ถูก vendor (Siemens / Rockwell) ส่ง engineer มาดูแลเอง. นี่คือ blind spot ระดับ board ที่ต้องหาคำตอบให้ได้ ก่อน Stuxnet รุ่นใหม่จะมาเยือน

Frameworks ที่ช่วยจัดระเบียบ OT/IoT security#

ในเมื่อ air-gap ไม่จริง — ต้องมี framework ช่วยจัดระบบ. 3 ตัวที่ผู้บริหารต้องรู้:

1. IEC 62443 — มาตรฐานสากลของ International Electrotechnical Commission สำหรับ OT/ICS security. ครอบคลุมตั้งแต่ Operating environment → System → Component. ใช้แนวคิด zones + conduits — แบ่งโรงงานเป็น zone ตาม risk → ระบุ conduits (เส้นทางคุย) ระหว่าง zone → security ของแต่ละ conduit. มาตรฐานเดียวที่ vendor OT ทั่วโลกยอมรับร่วมกัน — ถ้าบริษัทคุณมีโรงงาน ขอ vendor ส่ง IEC 62443-4-2 certification ของ PLC ที่ขาย

2. NIST IR 8259 — Internal Report ของ NIST สำหรับ IoT manufacturers. มี baseline ของ security feature ที่ IoT ทุกตัวควรมี — device identification, configuration, data protection, logical access, software update, cybersecurity state awareness. เกณฑ์การจัดซื้อ IoT ของบริษัท ใช้ NIST IR 8259 เป็นเช็คลิสต์ได้เลย

3. CISA OT Alerts — Cybersecurity and Infrastructure Security Agency ของสหรัฐ ออก alert + advisory สำหรับ OT/ICS vulnerability เป็นประจำ. ที่ ics-cert.us-cert.gov มี database ของช่องโหว่ของ PLC ทุกยี่ห้อ. ทีม OT ของบริษัทคุณควร subscribe + อ่านทุกสัปดาห์

มุมผู้บริหาร: air-gap = ตำนาน — นี่คือ takeaway ที่อยากให้ผู้บริหารจำที่สุดของ EP นี้. ถ้า Plant Manager บอกว่า “เรา air-gap” — ขอให้เขาพิสูจน์ด้วยคำถามเดียว — “list ทุก vendor remote access ของโรงงานให้ดู — กี่ราย + ผ่าน VPN ไหน + มี MFA ไหม?” ถ้า list ไม่ได้ภายในวันเดียว = ไม่ใช่ air-gap. แทนที่จะอ้าง air-gap — ให้ assume breach แล้ว implement defense in depth + IEC 62443

Stuxnet 2010 — Iran Nuclear Centrifuges#

โจรเข้าทาง: USB drive ที่ engineer ของโรงงาน Natanz เสียบเข้า HMI → malware ติดต่อ Siemens S7 PLC ที่ควบคุม centrifuge เสริมสมรรถนะ uranium → สั่งให้ centrifuge หมุนเร็วเกินสเปกเป็นพักๆ → ใบพัดพังจริง — แต่ในจอ HMI แสดงค่าปกติ → ไอหร่านสงสัยตัวเองว่า engineer ของตัวเองทำพังเอง

Impact: Iran เสีย centrifuge 1,000+ ตัว + nuclear program ช้าลง 2-3 ปี

บทเรียน: เคสแรกของโลกที่ malware ทำลายของจริง (kinetic damage). เปลี่ยนวงการ OT ทั้งหมด — ไม่มีใครพูดได้อีกแล้วว่า “hacker ทำได้แค่ขโมยข้อมูล — ไม่ทำลายของจริง”. ผู้สงสัยอันดับ 1 = US + Israel — ไม่มีฝ่ายไหนยืนยัน

Ukraine Power Grid 2015 + 2016#

ปี 2015 — โจรเข้าทาง: spear phishing email ถึง engineer ของ 3 utility company ในยูเครน → ติด BlackEnergy malware → ใช้ stolen credential เข้า SCADA → engineer ของรัสเซีย คลิกปุ่ม “เปิด breaker” ของสถานีไฟฟ้าหลายแห่ง → 220,000 ครัวเรือนไฟดับ ในกลางฤดูหนาว -20°C เป็นเวลา 6 ชม.

ปี 2016 — โจรอัพเกรด: ครั้งนี้ใช้ malware ชื่อ Industroyer / CrashOverride ที่ออกแบบมาเฉพาะ โดยพูดภาษา IEC 60870-5-101 + 104 (โปรโตคอลของ Ukrainian grid) — automate การปิด breaker — ไม่ต้องมี engineer คลิก

Impact: เคสแรกของโลกที่ cyberattack ปิดไฟของประเทศ. เคสที่ทำให้ทุกประเทศจริงจังกับ critical infrastructure security

Casino Fish Tank Hack 2017#

โจรเข้าทาง: เทอร์โมมิเตอร์ของตู้ปลา ใน lobby ของ casino — ต่อ Wi-Fi + อยู่ใน network เดียวกับ database server. โจร scan ผ่าน Shodan → เข้าได้ → pivot → ดูดฐานข้อมูล high-roller (VIP) 10GB ออกผ่าน thermometer ตัวเดียวกัน

บทเรียน: IoT ใน lobby = backdoor เข้า database. เคสนี้เป็น metaphor เปิดของ EP นี้ — เพราะมัน vivid + จำง่าย + ทำให้ผู้บริหารเห็นว่า IoT ในที่ทำงาน = attack surface

Triton / Trisis 2017 — Saudi Petrochemical#

โจรเข้าทาง: malware ที่ออกแบบเฉพาะสำหรับ Schneider Triconex Safety Instrumented System (SIS) — เป็นระบบ safety ที่ออกแบบมา ปิดโรงงานอัตโนมัติเมื่อเกิดอันตราย (เช่น แรงดันสูงเกินจะระเบิด → SIS ปิดทุกอย่างเอง). โจรพยายามจะ disable SIS ก่อน — เพื่อให้ถ้าหลังจากนั้นมี attack อื่น — โรงงานไม่ปิดตัวเอง — ระเบิดได้จริง

โชคดี — โจรทำผิดพลาดระหว่าง deploy malware → SIS trigger emergency shutdown ของตัวเอง → ทีม OT พบ malware

Impact: เคสแรกของโลกที่โจรพยายามจะทำให้คนตาย ผ่าน cyberattack (ไม่ใช่แค่ข้อมูลรั่ว / ไฟดับ). เปลี่ยนวงการ OT — safety system ที่ทุกคนคิดว่า “isolated by design” ก็โดน hack ได้

Colonial Pipeline 2021 — US East Coast Fuel#

โจรเข้าทาง: legacy VPN account ที่ ไม่ได้ใช้แล้ว + ไม่มี MFA + password ปรากฏใน dark web → กลุ่ม DarkSide ransomware เข้า IT network → encrypt billing system

Twist: ransomware ไม่ได้แตะ OT — แต่ Colonial ปิด pipeline เอง เพราะกลัวว่าถ้า IT (billing) ใช้ไม่ได้ — จะไม่รู้ว่าใครซื้อน้ำมันเท่าไหร่ — เก็บเงินไม่ได้ → ปิดท่อน้ำมัน 5,500 ไมล์ ที่ส่ง gasoline 45% ของ US East Coast

Impact: น้ำมันขาดทั่วฝั่งตะวันออกของ US เป็นสัปดาห์. Biden ประกาศ emergency. Colonial จ่ายค่าไถ่ $4.4M (FBI กู้คืนได้ครึ่งหนึ่ง)

บทเรียน: IT incident → OT impact — ไม่จำเป็นต้อง hack OT ตรงๆ. ถ้า IT ของบริษัทพัง — operations อาจ shutdown เองด้วยความระมัดระวัง

Verkada 2021 — 150,000 Cameras#

โจรเข้าทาง: กลุ่ม hacktivist พบ admin credential ของ Verkada (บริษัทกล้อง IP cloud-based) อยู่ใน internal Jenkins tool ที่เปิดสาธารณะ → ใช้ super admin token เข้า cloud → เข้าถึง live feed ของกล้อง 150,000 ตัว ของลูกค้า Verkada ทั่วโลก — รวมถึง Tesla factory, Cloudflare office, โรงพยาบาล, เรือนจำ

บทเรียน: IoT cloud backend = single point of failure. ถ้าบริษัท IoT cloud โดน hack — กล้องทุกตัวของลูกค้าโดนหมด — ลูกค้าทำอะไรไม่ได้

Mirai 2016 (Revisit) — IoT Botnet#

ย้อนกลับไปที่ EP.31 (DDoS) คุณเจอ Mirai แล้ว — แต่ผมอยากย้ำใน context ของ EP นี้

โจรเข้าทาง: วัยรุ่น 3 คนใน US เขียน worm ชื่อ Mirai ที่ scan ทั่วเน็ตหาก กล้อง IP + DVR + router ที่ใช้รหัส default — รายการรหัสแค่ 61 คู่ (admin/admin, root/12345, root/xc3511, etc.) → ติด IoT 600,000+ เครื่อง ภายใน 2 เดือน → ใช้ botnet ยิง DDoS

Impact ใหญ่: ปิด Dyn DNS ในวันที่ 21 ตุลาคม 2016 — ทำให้ Twitter, Netflix, Reddit, GitHub, Spotify, Airbnb ล่มทั้งฝั่ง US เป็นวัน. เคสที่เปิดตาโลกว่า IoT ราคา 500 บาทเป็นเครื่องมือทำลายเน็ตได้

บทเรียน: default password ของ IoT = ปัญหาระดับ internet — ไม่ใช่แค่ปัญหาของเจ้าของ device

มุมผู้บริหาร: 7 เคสนี้ — ไม่ใช่เคสที่ “ห่างไกล” ครับ. ในไทย — เราอยู่ในวงจรเดียวกัน. โรงไฟฟ้า MEA / PEA / EGAT มี SCADA. โรงประปา กปน. / กปภ. มี SCADA. โรงงานในนิคมอุตสาหกรรม ทุกแห่งมี PLC + HMI. บ้านระดับกลางทุกบ้าน มี IoT 20-40 ตัว. โรงพยาบาลใหญ่ มี ICS ของระบบจ่ายแก๊สทางการแพทย์ + ระบบไฟฟ้าสำรอง. 7 เคสข้างบน — สามารถเกิดในประเทศไทยได้ทุกเคส. คำถามคือ เมื่อไหร่ — ไม่ใช่ ถ้าเกิด. การลงทุนใน OT/IoT security วันนี้ — เทียบกับ cost ของ Colonial Pipeline ($4.4M ค่าไถ่ + impact หลายพันล้าน) หรือ Ukraine grid (impact ระดับชาติ) — ROI ที่จับต้องได้ครับ — แต่ส่วนใหญ่บริษัทไม่ลงทุนจนกว่าจะเกิดเรื่องครั้งแรก ซึ่งสายเกินไป

2 Leader Takeaways#

ข้อหนึ่ง — IoT/OT คือ attack surface ที่ผู้บริหารส่วนใหญ่ตาบอด

ใน scenario ทั่วไปของบริษัทไทย — CISO รู้จำนวน server + endpoint + พนักงาน + cloud account. แต่ถ้าถามว่า — บริษัทเรามี IoT กี่ตัวในออฟฟิศ + กี่ตัวในโรงงาน + กี่ตัวที่บ้านพนักงาน? — ส่วนใหญ่ตอบไม่ได้

นี่คือ inventory blind spot ที่ใหญ่ที่สุดของวงการ Cyber. ทางแก้ขั้นแรก — discovery — ใช้ network scanner หา device ทุกตัวที่ต่อ network ของบริษัท + ทำ inventory ที่ update ตลอด. ขั้นที่สอง — classify — แบ่งกลุ่ม device + ระบุ risk + กำหนด policy ของแต่ละกลุ่ม. ขั้นที่สาม — isolate — IoT/OT ไปอยู่ใน VLAN แยก + ไม่ให้คุยกับ corporate network โดยตรง

ข้อสอง — เลิกเชื่อว่า “ไม่ต่อเน็ต = ปลอดภัย”

ทุกเคสที่เล่าใน EP นี้ — Stuxnet, Ukraine, Triton — เกิดในสภาพแวดล้อมที่ทาง management เชื่อว่า “air-gapped”. การพึ่งพา air-gap = การฝากชีวิตของบริษัทกับสมมติฐานที่พิสูจน์แล้วว่าผิดมาตลอด 15 ปี

แทนที่จะอ้าง air-gap — assume breach (จาก EP.05) + ใช้ defense in depth + segmentation (จาก EP.28) + monitoring + least privilege สำหรับ vendor access. ของพวกนี้ใช้กับ IT ก็ใช้กับ OT ได้ — แค่ปรับให้รองรับ lifecycle 20 ปี + downtime ที่ยอมรับไม่ได้

ลองคิดง่ายๆ — โรงงานคือ data center ที่ผลิตของจริง — security ของมันควรซีเรียสเท่ากับ data center หลักของบริษัท. ถ้าบริษัทคุณมี SOC (Security Operation Center) ดู IT — มันควรมีตา ดู OT ด้วย — หรืออย่างน้อย — มี OT-SOC แยกที่คุยกับ IT-SOC ได้