ไทย
ค้นหา

คลังความรู้

MICRO Leasing: ISO/IEC 27001:2013 Certification

ขอขอบพระคุณทางบริษัท​ ไมโคร​ ลิสซิ่ง​ จำกัด​ (มหาชน)​ ที่ให้ความไว้วางใจบริษัท​ พราวด์​ คอนซัลติ้ง​ จำกัด

ในการให้คำปรึกษาเพื่อขอการรับรองมาตรฐาน​ ISO/IEC27001:2013 ไปเมื่อวันที่ 19 พฤษภาคม 2565 ที่ผ่านมา แสดงถึงวิสัยทัศน์องค์กรที่ให้ความสำคัญด้านความมั่นคงปลอดภัย​สารสนเทศซึ่งเป็นสิ่งสำคัญในการดำเนินธุรกิจและสร้างความน่าเชื่อถือแก่ผู้ใช้บริการ

ข่าวรายวันของเหยื่อ HACKER

Lapsus$ หรือกลุ่มคนร้ายที่เคยเล่นงานยักษ์ใหญ่ด้านไอทีหลายราย ซึ่งได้เป็นข่าวมาก่อนหน้านี้ 

การโจมตีครั้งนี้คนร้ายอ้างว่าตนสามารถเข้าไปโจรกรรมข้อมูลได้กว่า 30,000 ซอร์สโค้ดในระบบของบริษัทยักษ์ใหญ่ทางด้านเครือข่ายฝั่งยุโรปแห่งหนึ่ง โดยทางองค์กรดังกล่าวแจ้งว่าสามารถตรวจจับพบความพยายามเข้าถึงที่ไม่ได้รับอนุญาตด้วยการใช้ Credential ที่ถูกขโมยไป นอกจากคนร้ายจะโจรกรรม Credential ได้แล้ว แต่ยังสามารถเข้าถึงระบบภายในที่สำคัญที่ใช้บริหารจัดการบัญชีลูกค้าได้อีกด้วย  

 

Supply Chain Attack

เมื่อประมาณเดือนที่ผ่านมาบริษัทผู้ให้บริการ Identity Management as-a-Service ออกมายอมรับว่าถูกโจมตีและถูกเข้าถึงข้อมูลลูกค้า

โดยบริษัทดังกล่าวก็ได้ออกแถลงการณ์ถึงกรณีที่ถูกโจมตีโดยกลุ่ม Lapsus$ ทำให้ข้อมูลลูกค้าหลุดรั่วออกไป ซึ่งการโจมตีนี้เป็นส่วนหนึ่งในลักาณะ Supply C้hain Attack โดยกำลังระบาดหนักในหลายธุรกิจที่ผู้ไม่ประสงค์ดีจะไม่ได้โจมตีโดยตรงไปยัง Target หลัก แต่จะโจมตีผู้ให้บริการมากขึ้น อย่างไรก็ตามบริการหลักของบริษัทนี้คือระบบ Single sign-on ซึ่งอาจทำให้กลุ่มผู้ไม่หวังดีนำข้อมูล Credential ที่หลุดรั่วออกไปใช้ในเข้าถึงข้อมูลอื่น ๆ ต่อไปได้ 

องค์กรจึงควรระมัดระวังในการจ้าง Outsource หรือ Supplier มากขึ้น โดยควรจะมีการตรวจสอบความมั่นคงปลอดภัยในบริการของบริษัทที่เราว่าจ้างอย่างเป็นประจำ

NIST for SUPPLY CHAIN SOFTWARE

ช่วงนี้ข่าวการโจมตี Supply Chain มีอยู่เรื่อย ๆ และทวีความรุนแรงมากยิ่งขึ้น

เนื่องด้วยการโจมตีตรง ๆ หาองค์กรใหญ่ ๆ นั้นเริ่มทำได้ยากขึ้นและใช้เวลานาน รวมไปถึงเมื่อโจมตีได้แล้วบางทีข้อมูลที่ได้มาอาจจะไม่คุ้มกับระยะเวลาที่เสียไป การโจมตีในลักษณะนี้จึงมีมากขึ้นเรื่อย ๆ 

จึงเป็นที่มาทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น โดยสรุปมีดังนี้

1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF)

2.) ผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย

3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจากหน่วยงานอื่น ๆ

4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า

สามารถอ่านเพิ่มเติมได้ที่ https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft 

Remote working ความท้าทายใหม่ของผู้บริหาร

การทำงานปัจจุบันของหลาย ๐ องค์กรเปลี่ยนไปเป็นแบบ Work from Home เพราะมีแนวโน้มว่าสถานการณ์ COVID-19 ยังคงอยู่กับเราต่อไปอีกสักพัก

องค์กรสมัยใหม่จำเป็นต้องสร้างการปกป้องความมั่นคงปลอดภัยที่มากขึ้น  โดยระบบต้องสามารถตรวจจับพฤติกรรมที่มีความเสี่ยงและผิดปกติได้อย่างต่อเนื่อง และพร้อมที่จะยกระดับความเชื่อใจหากถูกคุกคามทางไซเบอร์ได้อย่างทันท่วงที และทำให้ระบบความมั่นคงปลอดภัยขององค์กรต้องมีการปรับเปลี่ยนให้ทันยุคทันสมัย

สถาปัตยกรรมด้านความมั่นคงปลอดภัยสมัยใหม่จึงถูกออกแบบให้ผู้ดูแลระบบไม่ควรเชื่อใจทั้งบุคคลและอุปกรณ์ต่าง ๆ ในรูปแบบเดิมอีกต่อไป จึงมีการนำ Zero Trust Architecture มาใช้ โดยมีการตรวจสอบทั้งบุคคลและอุปกรณ์เป็นระยะอย่างต่อเนื่องเพราะภัยไซเบอร์ในปัจจุบันและอนาคตมีการพัฒนารูปแบบใหม่ๆ อยู่ตลอดเวล

Cloud Security ที่ต้องบริหารจัดการ

ตอนนี้คงไม่มีใครไม่รู้จักการใช้งาน Cloud ซึ่งมีการใช้งานเพิ่มขึ้นสูงขึ้นเรื่อย ๆ จากการที่องค์กรต้องประหยัดค่า Infrastructure และการที่เปลี่ยนแปลงสภาพการทำงาน

ซึ่งต้องมีการบริหารจัดการด้าน Cybersecurity ที่ดีพอ ไม่ว่าจะเป็นประเด็นเหล่านี้

Cloud Breach ที่ต้องพิจารณามาก ๆ เพราะเกี่ยวข้องกับกฎหมายด้วย ซึ่งเรื่อง IAM (Indentify and Access Management) ก็เป็นสิ่งสำคัญในการยืนยันตัวตน 

Supply Chain Attack ก็ต้องดูแลให้ดี เพราะเดี๋ยวนี้การโจมตีของ Hacker คงไม่ได้ทำโดยตรงมากนัก อาจจะมีการโจมตีผ่านทาง Outsource หรือ Vendors ที่เข้ามาให้บริการองค์กร ยิ่งตอนนี้ WFH มากขึ้นโอกาสเรื่องนี้จึงมากขึ้นตามไปด้วย 

Zero Trust กระบวนการนี้จะมีการนำมาใช้มากขึ้น รวมไปถึงการบริหารจัดการด้าน Network, Privilege ต่าง ๆ และการทำ Access control ก็จะต้องพร้อมใช้งานทุกองค์ประกอบ 

Cybersecurity for OT

โลกในปัจจุบันขับเคลื่อนโดยดิจิทัลมากขึ้น ทำให้องค์กรต่างๆ จำเป็นต้องปรับตัวและปรับเปลี่ยนกระบวนการปฏิบัติงานใหม่มาใช้เพื่อให้อยู่รอดได้กับการแข่งขันที่สูงขึ้น

นวัตกรรมที่ขับเคลื่อนด้วยเทคโนโลยีนั้นเกิดขึ้นอย่างรวดเร็วทำให้ยากต่อการจัดการให้มีความปลอดภัยที่ต่อเนื่องได้ ทั้งนี้ ในกลยุทธ์ด้านโซลูชันด้านความปลอดภัยให้กับ OT บนคลาวด์นั้น ทีมรักษาความปลอดภัยจำเป็นจะต้องสามารถจัดการกับความท้าทายต่อไปนี้ได้

การปกป้องระบบ ICS (ระบบควบคุมอุตสาหกรรม) เชิงรุกจึงเป็นสิ่งสำคัญในการลดความเสี่ยง ท่ามกลางการปฏิรูปการดำเนินงานให้เป็นดิจิทัลนั้น องค์กรต่างๆ จะต้องสามารถปกป้องข้อมูลที่เคลื่อนย้ายไปมาระหว่างโครงสร้างพื้นฐาน OT และไอทีได้ องค์กรควรรวมการรักษาความปลอดภัยทางไซเบอร์ไว้ในแผนของตนอย่างสอดคล้องตั้งแต่เริ่มต้น 

การมีแพลตฟอร์มการรักษาความปลอดภัยทางไซเบอร์แบบบูรณาการจะช่วยให้องค์กรมีกระบวนการรักษาความปลอดภัยที่สม่ำเสมอทั่วทั้งเครือข่าย ให้การทำงานร่วมกันที่ราบรื่นและการมองเห็นที่สมบูรณ์ นอกจากนี้ยังจะช่วยลดเวลาที่ใช้ในการตรวจจับภัยคุกคามและในการตอบสนองให้น้อยลง นับเป็นการยกระดับแก้ไขภัยคุกคามให้มีทั่วทั้งเครือข่ายได้อย่างมีประสิทธิภาพ

ป้องกันข้อมูลรั่วไหล

ทุกวันนี้ การโจมตีทางไซเบอร์ยังคงมีอย่างต่อเนื่อง และกระจายไปสู่หลากหลายธุรกิจมากขึ้น ไม่ว่าจะเป็นการศึกษา การแพทย์หรือแม้แต่กลุ่มพลังงาน 

องค์กรในยุคปัจจุบันกำลังเผชิญกับความเสี่ยงด้านความปลอดภัยมากกว่าในอดีตอย่างมาก อีกทั้งการโจมตีทางไซเบอร์ยังมีการพัฒนารูปแบบการจู่โจมที่หลากหลายมากยิ่งขึ้น การป้องกันจึงจำเป็นต้องอาศัยเทคโนโลยีต่างๆ มาช่วยในการดูแลบริหารจัดการความปลอดภัยให้ครอบคลุมทุกกระบวนการทำงานภายในองค์กร เพื่อให้สามารถรับมือและโต้ตอบการจู่โจมทางไซเบอร์ที่อาจจะเกิดขึ้นในอนาคตได้

ดังนั้นเมื่อความปลอดภัยไม่ได้อยู่ที่พาสเวิร์ดเพียงอย่างเดียว เราสามารถเพิ่มความปลอดภัยมากยิ่งขึ้น ด้วยการนำเทคโนโลยี Multi-Factor Authentication มาใช้ร่วมกับการเข้าใช้งานระบบผ่านการตรวจสอบความเป็นเจ้าของด้วยการยืนยันตัวตนครั้งที่สอง ด้วย รหัส OTP, Security Key, PIN, Face ID, Fingerprint 

Cybersecurity Maturity

การทำ Cyber Resilience หรือก็คือการสร้างความยืดหยุ่น ความต้านทานต่อภัยคุกคาม ต่อให้องค์กรถูกโจมตีแต่ธุรกิจก็ยังคงดำเนินต่อไปได้ พร้อมๆ กับการรับมือและฟื้นฟูความเสียหายให้กลับสู่สภาวะปกติ 

ก้าวแรกของการเริ่มทำ Cyber Resilience คือ การประเมินความพร้อม ซึ่งจะทำให้องค์กรรู้ระดับ Maturity Level ของตนเอง  รวมไปถึงทำให้ทราบภัยคุกคามที่องค์กรต้องเตรียมพร้อมรับมือ ความเสียหายและผลกระทบที่อาจเกิดขึ้น ไปจนถึงความเสี่ยงทั้งด้านธุรกิจและระบบ IT และความสอดคล้องกับกฎหมายและข้อบังคับต่างๆ

สำหรับวิธีที่จะใช้ประเมินเบื้องต้น ทาง PROUD ขอแนะนำดังต่อไปนี้

  • ใช้เครื่องมือประเมินในการ Self-assessment เช่น Cyber Security Evaluation Tool (CSET), Cyber Resilience Assessment Framework (CRAF) ของแต่ละ Regulatiors ต่าง ๆ เช่น BOT, SEC หรือ OIC เป็นต้น 
  • ประเมินตามกรอบการทำงานหรือ Frameworks ที่ได้รับการยอมรับและเป็นมาตรฐาน เช่น ISO 27000 Series, Cyber Essential, HITRUST CSF, CIS Top 18, NIST Cybersecurity Framework เป็นต้น
  • ให้หน่วยงานภายนอกให้มาประเมินตามมาตรฐานหรือข้อบังคับต่างๆ เช่น ISO/IEC 27001:2013, PCI DSS, PDPA, HIPAA, GDPR เป็นต้น

โดยรากฐานของการทำ Cyber Resilience ประกอบด้วย การดำเนินงาน (Operations) ที่สามารถทำได้อย่างต่อเนื่อง พร้อมรับมือภัยคุกคามในปัจจุบัน และการประเมินความเสี่ยงที่ยอมรับได้

Basic เครื่องมือรักษาความปลอดภัยพื้นฐาน

ทุกวันนี้กระแสการโจมตีทางไซเบอร์มีให้เห็นอยู่บ่อยครั้ง เราพร้อมรับมือจากภัยคุกคามเหล่านี้หรือยัง เพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กรของตนเอง 

ดังนั้นจำเป็นอย่างยิ่งที่ทุกองค์กรจะต้องตระหนักถึงการโจมตีด้านไซเบอร์ที่เป็นอันตรายต่อการดำเนินธุรกิจขององค์กร PROUD จึงขอแนะนำเครื่องมือการรักษาความปลอดภัยขั้นพื้นฐานที่ทุกองค์กรควรมีสัก 5 ประเภทดังนี้

1.) Network Security - Firewall

2.) Malware prevention - Advanced Endpoint Protection

3.) Backup - Backup & Recovery, Ransomware Protection

4.) Secure Access - Unified endpoint management (UEM)

5.) Identity and Access Management - Identity Management, SSO

จริง ๆ ยังมีเครื่องมืออีกมากพอสมควรที่ควรจะมีแต่ข้อมูลด้านบนจะเป็นเครื่องมือเบื้องต้นในการเริ่มให้องค์กรมีความมั่นคงปลอดภัยที่ดีขึ้น เพราะเรื่อง Cybersecurity ไม่มีวันที่จบหรือหยุดได้ 100%