สภาผู้แทนราษฎรแห่งสหรัฐอเมริกา ได้ประกาศแบนการใช้งานแอปพลิเคชัน WhatsApp บนอุปกรณ์ราชการทั้งหมดที่ออกให้กับเจ้าหน้าที่รัฐสภา ซึ่งถือเป็นก้าวสำคัญในการยกระดับมาตรการด้านความมั่นคงทางไซเบอร์ของรัฐบาลขึ้นอย่างมาก
เจ้าหน้าที่บริหารระดับสูง (CAO) ได้ออกคำสั่งดังกล่าวเมื่อวันจันทร์ที่ผ่านมา โดยอ้างถึงช่องโหว่ระดับ Critical ในระบบป้องกันข้อมูล และข้อกังวลเกี่ยวกับความโปร่งใสของแพลตฟอร์มการสื่อสารของ Meta
การดำเนินการครั้งนี้สะท้อนถึงความพยายามในวงกว้างของรัฐบาลสหรัฐฯ ในการลดความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับแอปพลิเคชันที่มีเจ้าของเป็นต่างชาติ และโปรโตคอลการสื่อสารที่ยังไม่ได้รับการตรวจสอบ ซึ่งอาจเป็นอันตรายต่อโครงสร้างพื้นฐานที่สำคัญของภาครัฐ
สภาผู้แทนราษฎรสหรัฐฯ แบน WhatsApp หลังพบช่องโหว่ด้านความปลอดภัยที่มีความเสี่ยงสูง
สำนักงานความมั่นคงทางไซเบอร์ของสภาผู้แทนราษฎร ได้จัดให้ WhatsApp เป็นแอปพลิเคชันที่มีความเสี่ยงสูง เนื่องจากตรวจพบช่องโหว่ทางเทคนิคหลายประการในโครงสร้างด้านความปลอดภัยของแอปฯ
การประเมินของ CAO ได้ระบุข้อกังวลหลัก 3 ประการ ได้แก่ ความโปร่งใสไม่เพียงพอในโปรโตคอลการปกป้องข้อมูลผู้ใช้, การไม่มีระบบเข้ารหัสข้อมูลที่จัดเก็บอย่างครอบคลุมนอกเหนือจากการเข้ารหัสระหว่างการส่งข้อมูล และช่องโหว่ด้านความปลอดภัยภายในแอปพลิเคชัน
ข้อจำกัดทางเทคนิคเหล่านี้ก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อการสื่อสารของรัฐบาล โดยอาจนำไปสู่การเข้าถึงข้อมูลของรัฐบาลโดยไม่ได้รับอนุญาต หรือการดักฟังข้อมูลที่มีความสำคัญ
คำสั่งห้ามนี้ครอบคลุมทุกรูปแบบของการใช้งาน WhatsApp ทั้งในแอปพลิเคชันมือถือ, โปรแกรมบนเดสก์ท็อป และเวอร์ชันที่ใช้ผ่านเว็บเบราว์เซอร์
ผู้ดูแลระบบ IT ของรัฐบาลได้รับคำสั่งให้ดำเนินการตรวจสอบอุปกรณ์ทั้งหมดอย่างละเอียด เพื่อค้นหา และลบการติดตั้ง WhatsApp ที่มีอยู่
แนวทางนี้ช่วยให้มั่นใจได้ว่า แอปพลิเคชันถูกจำกัดออกจากโครงสร้างพื้นฐานของสภาอย่างสมบูรณ์ และยังช่วยป้องกันการรั่วไหลของข้อมูลที่อาจเกิดขึ้นจากไฟล์แอปพลิเคชัน หรือการสื่อสารที่เก็บไว้ในแคช
แพลตฟอร์มการส่งข้อความทางเลือกที่ได้รับอนุมัติ
สำนักข่าว Reuters รายงานว่า เพื่อคงความสามารถในการสื่อสารที่จำเป็นไว้ CAO ได้อนุมัติให้ใช้แอปพลิเคชันส่งข้อความทางเลือกหลายแพลตฟอร์ม เช่น Microsoft Teams, Wickr, Signal, iMessage, FaceTime เป็นทางเลือก
Microsoft Teams เป็นแพลตฟอร์มการสื่อสารหลักในระดับองค์กร โดยมีการเข้ารหัสในระดับองค์กร และการผสานกับ Azure Active Directory ทำหน้าที่เป็นแพลตฟอร์มการสื่อสารระดับสถาบันหลัก
Signal ซึ่งมีจุดเด่นจาก Signal Protocol โอเพ่นซอร์ส ซึ่งใช้การเข้ารหัส Double Ratchet ช่วยให้สามารถส่งข้อความส่วนตัวได้อย่างปลอดภัย
แอปพลิเคชันอื่น ๆ ที่ได้รับการอนุมัติ ได้แก่ Wickr ใช้การเข้ารหัสแบบ AES-256 พร้อม Perfect Forward Secrecy, iMessage ของ Apple มีการเข้ารหัส End-to-End และ FaceTime ใช้สำหรับการสื่อสารแบบวิดีโออย่างปลอดภัย
คำสั่งดังกล่าวแสดงให้เห็นถึงการปฏิบัติตามมาตรฐานการเข้ารหัสของรัฐบาลกลาง รวมถึงการตรวจสอบ FIPS 140-2 และการยึดมั่นใน frameworks ความปลอดภัยของ NIST
แอปพลิเคชันที่ได้รับการอนุมัติจะรักษาเส้นทางการตรวจสอบที่ครอบคลุม และมีเครื่องมือควบคุมสำหรับผู้ดูแลระบบ ที่จำเป็นต่อการกำกับดูแล และติดตามการปฏิบัติตามข้อกำหนดของรัฐบาล
Andy Stone โฆษกของ Meta คัดค้านการประเมินความปลอดภัยของสภาอย่างหนัก โดยเน้นที่การนำการเข้ารหัสแบบ end-to-end โดยใช้ Signal Protocol ของ WhatsApp
Stone โต้แย้งว่า WhatsApp มีระบบเข้ารหัสเริ่มต้นที่ให้ความปลอดภัยที่เหนือกว่าเมื่อเปรียบเทียบกับแอปพลิเคชันที่ได้รับการอนุมัติจาก CAO ซึ่งอาจไม่มีการป้องกันข้อความอย่างครอบคลุมเทียบเท่า
Meta ยังเน้นว่า สถาปัตยกรรมการเข้ารหัสของ WhatsApp ได้รับการออกแบบให้แม้แต่บริษัทเองก็ไม่สามารถเข้าถึงข้อความของผู้ใช้ได้ เนื่องจากใช้การเข้ารหัสฝั่งผู้ใช้งาน โดยมีเพียงการส่งข้อความผ่านเซิร์ฟเวอร์เท่านั้น
ประเด็นนี้สะท้อนถึงความขัดแย้งที่ดำเนินอยู่อย่างต่อเนื่องระหว่างความต้องการด้านความมั่นคงทางไซเบอร์ของรัฐบาล และแพลตฟอร์มการส่งข้อความเชิงพาณิชย์
ในขณะที่ Meta ยืนยันว่า WhatsApp ปฏิบัติตามมาตรฐานการเข้ารหัสในระดับอุตสาหกรรม แต่หน่วยงานรัฐบาลกลางกลับให้ความสำคัญกับการตรวจสอบความปลอดภัยเชิงลึก ความมั่นคงของข้อมูล และความโปร่งใสในการดำเนินงานด้านความปลอดภัย มากกว่าการพิจารณาเพียงแค่คุณสมบัติการเข้ารหัสเฉพาะจุดเพียงอย่างเดียว
ที่มา : https://cybersecuritynews.