ไทย
ค้นหา

คลังความรู้

Data Leak Prevention

การสูญหายของข้อมูล การเปลี่ยนแปลงแก้ไขอันมีผลให้ข้อมูลผิดเพี้ยนไปจากต้นฉบับ หรือ แม้แต่การละเมิด/เผยแพร่โดยไม่ได้รับอนุญาต 

 ล้วนแล้วแต่เป็นสิ่งที่ส่งผลกระทบกับธุรกิจขององค์กร รวมไปถึงชื่อเสียง และความน่าเชื่อถือ ทำให้หลายๆ องค์กร เริ่มให้ความสำคัญกับเรื่อง Data Protection มากขึ้น

การป้องกันข้อมูลนั้นนอกจากจะต้องทำการป้องกันข้อมูลต่าง ๆ ขององค์กรเองแล้ว สำหรับบางธุรกิจอาจครอบคลุมไปถึงข้อมูลของลูกค้าด้วย เช่น ข้อมูลประวัติคนไข้ที่ทางโรงพยาบาลจัดเก็บ, ประวัติการซื้อขายหลักทรัพย์, ข้อมูลประเภท Personnel Information Identification เป็นต้น

การป้องกันข้อมูลมีขอบเขตแค่ไหน

นโยบายที่ดีควรจะครอบคลุมไปถึงในส่วนของการจัดระเบียบของข้อมูล และการใช้งาน ส่วนนี้เป็นส่วนที่หลายๆ องค์กรยังไม่ได้ลงในรายละเอียดนัก แต่ควรที่จะต้องเริ่มคิดวางแผนในการจัดระเบียบตั้งแต่วันนี้ เพราะยิ่งปล่อยให้เวลาผ่านไปจะทำให้ยาก และซับซ้อนขึ้น

การป้องกัน และกำกับดูแล

การป้องกันและกำกับดูแลนั้นเริ่มจากการจัดระเบียบของข้อมูล สิ่งแรกที่จะต้องรู้ คือองค์กรจะใช้ประโยชน์อะไรจากข้อมูลแต่ละประเภทบ้าง ซึ่งจะทำให้เราสามารถทราบถึงวัตถุประสงค์ขององค์กรในการใช้ข้อมูลต่าง ๆ ทำให้ทราบความสำคัญ/Value ของข้อมูลแต่ละประเภท สิ่งที่ต้องทำประกอบกันไป คือ Data Classification หรืออย่างน้อยควรมีการคัดแยกข้อมูลออกเป็นกลุ่มเพื่อให้ทราบว่าควรจะดูแล และจัดเก็บอย่างไรให้เหมาะสม เมื่อข้อมูลถูกจำแนกออกเป็นกลุ่มที่ชัดเจนจะทำให้การกำกับดูแลทำได้ง่ายขึ้น งบประมาณก็จะถูกจัดสรรอย่างเหมาะสม

นอกจากการกำหนดนโยบายสำหรับการป้องกันการรั่วไหลข้อมูลแล้ว สิ่งที่ต้องคำนึงถึงอีกอย่างหนึ่งก็คือการรักษาความปลอดภัยของเครื่องที่ใช้ในการ Process หรือการเข้าถึงข้อมูล ในส่วนนี้เราจะต้องหลีกเลี่ยง/ป้องกัน Security Compromise ที่อาจเกิดขึ้น การทำ Patch Management, Asset Inventory, Endpoint Protection, การตรวจหาจุดอ่อนของ Server/Application (Vulnerability and Penetration Testing) สิ่งเหล่านี้จะต้องมีการทำอย่างต่อเนื่อง และอย่างสม่ำเสมอ

สุดท้ายที่จะขาดไม่ได้ คือการ Response และ Take Action ต่อเหตุการณ์ที่เกิดขึ้นให้ได้อย่างเหมาะสม และควรพึงระวังเรื่อง False Positive Incident ที่มีโอกาสที่เกิดขึ้นได้ การรวบรวมเหตุการณ์ที่เกิดขึ้นนี้ต้องอาศัย Technology- People- Process ทั้งสามอย่างจะต้องมีความสัมพันธ์กัน ขาดสิ่งใดสิ่งหนึ่งไม่ได้ ทุกอย่างจะต้องคำนึงถึง Business Objective เป็นหลัก Security Policy จะต้องมีความสมดุล ไม่เกิดความขัดแย้งในหลักการ

 

ISMS Internal Audit Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด

ดำเนินการจัดฝึกอบรม ISMS Internal Audit Training เมื่อวันที่ 2 พฤศจิกายน 2563 เพื่อเตรียมความพร้อมเข้าสู่กระบวนการตรวจรับรองมาตรฐาน ISO/IEC 27001:2013 ในอนาคตต่อไป

Maze Ransomware ภัยร้ายที่ควรระวัง

มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว

มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้ว

MICROSOFT ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk 

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware ทั้งในส่วนของเวลาที่ใช้ในปฏิบัติการ (Operation time) และหลักฐานหลังจากการโจมตี (Post-incident artifacts)

 

เรื่องน่ารู้เกี่ยวกับ Data Protection Officer

..คุ้มครองข้อมูลส่วนบุคคล พ..2562 เป็นกฎหมายที่มีคนให้ความสนใจเป็นจำนวนมาก เนื่องจากมีความเกี่ยวข้องกับทุกธุรกิจ 

ทำให้ตำแหน่งที่เรียกว่า Data Protection Officer (DPO)” กลายเป็นตำแหน่งที่เป็นที่ต้องการเป็นอย่างมาในช่วงเวลานี้ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องแต่งตั้งบุคลากรที่มีความสามารถ หรือจัดหา Outsourced DPO Service เพื่อดูแลในเรื่องนี้โดยเฉพาะ โดยหน้าที่หลัก ๆ ของตำแหน่งนี้คือ

ให้คำแนะนำ แก่บุคคลในองค์กรให้มีความรู้ ความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พ.ร.บ.

ตรวจสอบการดำเนินงาน ของผู้ที่มีการเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ประสานงาน ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และประสานงานกับบุคคลภายในองค์กร และเจ้าของข้อมูล

รักษาความลับ ของข้อมูลส่วนบุคคลที่เกี่ยวข้องจากการปฏิบัติตามหน้าที่ให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

CANON โดน RANSOMWARE โจมตี

เมื่อประมาณสัปดาห์ที่ผ่านมา มีข่าวออกมาว่า CANON ได้ถูก RANSOMWARE โจมตี

ข่าวนี้ยังไม่ได้รับการประกาศทางการจาก Canon แต่มีข้อมูลจากแหล่งข่าวว่า บริการ image.canon หรือ Cloud Storage เพื่อเก็บข้อมูลรูปภาพและวีดีโอ ล่มไปประมาณปลายเดือนกรกฎาคม Website ที่มี Canon เป็น Domain ไม่สามารถใช้งานได้สมบูรณ์ ซึ่งถ้าเป็นไปตามนี้จริง คงจะมีประเด็นสำหรับองค์กรระดับโลกแห่งนี้อย่างแน่นอน คงต้องติดตามข่าวกันต่อว่าจะมีการเรียกค่าไถ่จำนวนเท่าไร และทาง Canon จะยินยอมจ่ายหรือไม่ต่อไป 

Garmin ระบบล่ม

เมื่อ 1-2 สัปดาห์ที่ผ่านมาเกิดเหตุการณ์ที่บริการของ Garmin หลายส่วนต้องหยุดให้บริการชั่วคราว ทั้งนี้ยังไม่ทราบแน่ชัดถึงสาเหตุที่แท้จริง

Credit: Zdnet

โดยคาดว่าอาจต้องใช้เวลาการแก้ไขปัญหาไปอีกหลายวัน ทั้งนี้ปัจจุบันผลกระทบที่รับรู้ได้จากฝั่งผู้ใช้งานคือ ส่วนของหน้า Website บริษัท บริการ Garmin Connect (บริการซิงค์โครไนซ์ข้อมูลผู้ใช้) บริการ Aviation Database รวมไปถึง Call Center ต้องหยุดชะงัก ประเด็นคือจะมีข้อมูลผู้ใช้งานรั่วไหลหรือไม่ และเกิดจากสาเหตุใด อีกทั้งยังไม่ทราบถึงขอบเขตความเสียหายด้วย

ภัยของ RANSOMWARE

ช่วงเวลาที่ผ่านมา มีหลายธุรกิจในไทยที่ได้รับผลกระทบจาก Ransomware โดยมี Server จำนวนมากใน Data Center ต้องหยุดชะงักการให้บริการไป

ทั้งที่ธุรกิจเหล่านั้นมีการลงทุนระบบป้องกันภัยคุกคามทางไซเบอร์ไว้อยู่แล้ว ทั้ง Firewall, Endpoint Protection, DLP หรืออื่น ๆ แต่ในความเป็นจริงนั้น ไม่มีระบบป้องกันใดสามารถการันตีได้อย่าง 100% ว่าจะไม่ถูกโจมตี ส่วนที่ยังหลุดรอดมาได้แม้เพียงเล็กน้อยก็อาจจะทำความเสียหายใหญ่หลวงให้แก่ธุรกิจได้ การมีระบบที่มารองรับเพิ่มเติมจึงเป็นเรื่องจำเป็น เพื่อนำมาช่วยบรรเทาความเสียหายจากภัยคุกคามเหล่านั้น 

อีกส่วนที่สำคัญมาก คือ องค์กรต้องมีการทำ Awareness ที่ดี อย่าหลงเชื่อ Phishing Email หรือ File ที่ถูกส่งมาด้วย Subject แปลก ๆ ถ้าในมุมของ IT Infrastructure ก็ควรจะมีระบบที่สามารถ ฺฺBackup และ Restore ได้อย่างมีประสิทธิภาพ เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากการถูกโจมตี

Privacy Enhanced Technology: PET

องค์กรหลาย ๆ แห่งเริ่มที่จะ Implement กระบวนการให้สอดคล้องกับ THAI PDPA แล้ว

จะเห็นได้ว่าองค์กรอาจจะมีความจำเป็นต้องนำ Technology หรือ Tools เข้ามาช่วยเพื่อให้กระบวนการสอดคล้องได้อย่างรวดเร็วและอัตโนมัติ โดยการนำพวกนี้เข้ามานั้นองค์กรต้องพิจารณาความคุ้มค่าในการลงทุนด้วย เพราะการนำ Technology เข้ามาช่วยนั้นถึงแม้จะดีแต่ก็มีส่วนที่ต้องพิจารณาเพิ่ม เช่น ความชำนาญของพนักงาน ค่า MA ระบบ เป็นต้น

ส่วนใหญ่ Technology ที่เข้ามาช่วยตอบโจทย์ด้านนี้ ได้แก่

1. Data Inventory/Data Mapping

2. Data Masking

3. Data Encryption

4. Consent Management

5. Cookie Management

โดยปัจจุบันมีหลายยี่ห้อที่มีความสามารถดังกล่าว เช่น IBM, ORACLE, OneTrust, SecuPI เป็นต้น 

 

Password ที่ดี

การตั้ง Password นั้นเป็นปัญหาใหญ่ของหลาย ๆ คน เพราะหากตั้งไม่ดีก็เสี่ยง ตั้งซํบซ้อนไปก็จำไม่ได้

จริง ๆ แล้ว การตั้ง Password มีเทคนิคอยู่เหมือนกัน เช่น

1. รหัส Password ที่ดีควรมีความยาวที่เหมาะสม โดยปกติไม่ควรต่ำกว่า 8 ตัวอักษร เพราะการตั้งให้ยาวมากเราก็จำไม่ได้ สั้นไปผู้ไม่ประสงค์ดีก็สามารถเดาได้โดยใช้เวลาไม่นาน

2. พยายามอย่าใช้ Password ที่เป็นเรื่องใกล้ตัวมากนัก เช่น บ้านเลขที่ วันเดือนปีเกิด หรือชื่อสัตว์เลี่ยง เป็นต้น

3. ใช้ตัวอักษรให้หลากหลาย อาจจะผสมทั้งตัวอักษรเล็ก ใหญ่ ตัวเลข อักขระพิเศษ เช่น aWsCl0UD@2020 เป็นต้น

ลองดูนะครับ เทคนิคนี้เป็นข้อมูลเบื้องต้นที่เรา ๆ ควรเริ่มนำมาใช้ในชีวิตประจำวัน และสำคัญอีกเรื่องคือระบบงานที่เราใช้อยู่ อย่าใช้ Password เดียวกันทั้งหมด เพราะพอ HACKER ได้ไป ก็สามารถเข้าถึงทุกระบบของเราได้อย่างง่ายดาย

สิ่งที่ CISO ควรจะทำในยุคนี้

ตำแหน่ง CISO (Chief Information Security Officer) ซึ่งถือว่าเป็นผู้นำในด้านความมั่นคงปลอดภัยขององค์กร โดยการที่ตำแหน่งนี้สำคัญจึงต้องมีสิ่งควรทำประกอบด้วย

 

1. นโยบายความมั่นคงปลอดภัยในองค์กร

การที่องค์กรจะถูกนำพาไปสู่ความเป็น Cyber Resilience ได้ในอนาคตนั้น อย่างแรกที่เราควรมีคือนโยบายที่ดี ซึ่งอาจจะอ้างอิงกับมาตรฐานหรือ Framework ใด ๆ ก็ตาม เช่น ISO, NIST CSF, Cyber Essential เป็นต้น และที่สำคัญที่สุดเมื่อมีนโยบายก็ต้องมีการปฎิบัติตามด้วย ทั้งในระดับปฎิบัติการและระดับผู้บริหารเพื่อปกป้องตนเองจากการตกเป็นเหยื่อของอาชญากรไซเบอร์และเป็นตัวอย่างที่ดีแก่พนักงาน 

2. การลงทุนด้านความมั่นคงปลอดภัย

การลงทุนด้านความมั่นคงปลอดภัยนั้น เราควรจะลงทุนอย่างมีวินัย มีกรอบ มีจุดมุ่งหมายที่ชัดเจน โดยเฉพาะอย่างยิ่งในช่วง COVID-19 ที่เปิดให้พนักงานสามารถ Work from Home ได้ สิ่งเหล่านี้มักมาพร้อมกับช่องโหว่ใหม่ๆ เมื่อมีช่องโหว่มากขึ้น การโจมตีก็จะเพิ่มมากขึ้น ส่งผลให้ความเสี่ยงขององค์กรเพิ่มสูงขึ้นตาม 

3. การพัฒนาบุคลากรด้านความมั่นคงปลอดภัย

เราปฏิเสธไม่ได้ว่าคนเป็น Asset สำคัญในองค์กร ดังนั้นสิ่งสำคัญฌช่นนี้จึงต้องถูกดูแลให้ดี ทั้งในด้านพัฒนาศักยภาพ ความรู้ ความชำนาญ ถ้าเรามีอุปกรณ์ดี เทคโนโลยีขั้นเทพ แต่ใช้ไม่เป็นก็เท่านั้นไม่สามารถช่วยอะไรได้ ถ้าองค์กรใดสามารถส้รางและ Maintain คนกลุ่มนี้ได้ องค์กรนั้นก็สามารถยกระดับตนเองได้มากขึ้นตาม หน้าที่นี้ CISO จึงควรจะทำในอันดับแรก ๆ

4. การรับมือสิ่งไม่คาดคิด

จาก COVID-19 ที่แพร่ระบาดในขณะนี้ที่มีการแพร่ระบาด หรือภัยพิบัติทางธรรมชาติ CISO จำเป็นต้องมีการรับมือและเอาใจใส่ เพราะนอกจากเราต้องปกป้องสุขภาพคนแล้ว ระบบงานก็ต้องสามารถทำงานได้อย่างต่อเนื่อง เพื่อตอบสนองธุรกิจที่มีความไม่แน่นอนสูง