ไทย
ค้นหา

คลังความรู้

CANON โดน RANSOMWARE โจมตี

เมื่อประมาณสัปดาห์ที่ผ่านมา มีข่าวออกมาว่า CANON ได้ถูก RANSOMWARE โจมตี

ข่าวนี้ยังไม่ได้รับการประกาศทางการจาก Canon แต่มีข้อมูลจากแหล่งข่าวว่า บริการ image.canon หรือ Cloud Storage เพื่อเก็บข้อมูลรูปภาพและวีดีโอ ล่มไปประมาณปลายเดือนกรกฎาคม Website ที่มี Canon เป็น Domain ไม่สามารถใช้งานได้สมบูรณ์ ซึ่งถ้าเป็นไปตามนี้จริง คงจะมีประเด็นสำหรับองค์กรระดับโลกแห่งนี้อย่างแน่นอน คงต้องติดตามข่าวกันต่อว่าจะมีการเรียกค่าไถ่จำนวนเท่าไร และทาง Canon จะยินยอมจ่ายหรือไม่ต่อไป 

Garmin ระบบล่ม

เมื่อ 1-2 สัปดาห์ที่ผ่านมาเกิดเหตุการณ์ที่บริการของ Garmin หลายส่วนต้องหยุดให้บริการชั่วคราว ทั้งนี้ยังไม่ทราบแน่ชัดถึงสาเหตุที่แท้จริง

Credit: Zdnet

โดยคาดว่าอาจต้องใช้เวลาการแก้ไขปัญหาไปอีกหลายวัน ทั้งนี้ปัจจุบันผลกระทบที่รับรู้ได้จากฝั่งผู้ใช้งานคือ ส่วนของหน้า Website บริษัท บริการ Garmin Connect (บริการซิงค์โครไนซ์ข้อมูลผู้ใช้) บริการ Aviation Database รวมไปถึง Call Center ต้องหยุดชะงัก ประเด็นคือจะมีข้อมูลผู้ใช้งานรั่วไหลหรือไม่ และเกิดจากสาเหตุใด อีกทั้งยังไม่ทราบถึงขอบเขตความเสียหายด้วย

ภัยของ RANSOMWARE

ช่วงเวลาที่ผ่านมา มีหลายธุรกิจในไทยที่ได้รับผลกระทบจาก Ransomware โดยมี Server จำนวนมากใน Data Center ต้องหยุดชะงักการให้บริการไป

ทั้งที่ธุรกิจเหล่านั้นมีการลงทุนระบบป้องกันภัยคุกคามทางไซเบอร์ไว้อยู่แล้ว ทั้ง Firewall, Endpoint Protection, DLP หรืออื่น ๆ แต่ในความเป็นจริงนั้น ไม่มีระบบป้องกันใดสามารถการันตีได้อย่าง 100% ว่าจะไม่ถูกโจมตี ส่วนที่ยังหลุดรอดมาได้แม้เพียงเล็กน้อยก็อาจจะทำความเสียหายใหญ่หลวงให้แก่ธุรกิจได้ การมีระบบที่มารองรับเพิ่มเติมจึงเป็นเรื่องจำเป็น เพื่อนำมาช่วยบรรเทาความเสียหายจากภัยคุกคามเหล่านั้น 

อีกส่วนที่สำคัญมาก คือ องค์กรต้องมีการทำ Awareness ที่ดี อย่าหลงเชื่อ Phishing Email หรือ File ที่ถูกส่งมาด้วย Subject แปลก ๆ ถ้าในมุมของ IT Infrastructure ก็ควรจะมีระบบที่สามารถ ฺฺBackup และ Restore ได้อย่างมีประสิทธิภาพ เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากการถูกโจมตี

Privacy Enhanced Technology: PET

องค์กรหลาย ๆ แห่งเริ่มที่จะ Implement กระบวนการให้สอดคล้องกับ THAI PDPA แล้ว

จะเห็นได้ว่าองค์กรอาจจะมีความจำเป็นต้องนำ Technology หรือ Tools เข้ามาช่วยเพื่อให้กระบวนการสอดคล้องได้อย่างรวดเร็วและอัตโนมัติ โดยการนำพวกนี้เข้ามานั้นองค์กรต้องพิจารณาความคุ้มค่าในการลงทุนด้วย เพราะการนำ Technology เข้ามาช่วยนั้นถึงแม้จะดีแต่ก็มีส่วนที่ต้องพิจารณาเพิ่ม เช่น ความชำนาญของพนักงาน ค่า MA ระบบ เป็นต้น

ส่วนใหญ่ Technology ที่เข้ามาช่วยตอบโจทย์ด้านนี้ ได้แก่

1. Data Inventory/Data Mapping

2. Data Masking

3. Data Encryption

4. Consent Management

5. Cookie Management

โดยปัจจุบันมีหลายยี่ห้อที่มีความสามารถดังกล่าว เช่น IBM, ORACLE, OneTrust, SecuPI เป็นต้น 

 

Password ที่ดี

การตั้ง Password นั้นเป็นปัญหาใหญ่ของหลาย ๆ คน เพราะหากตั้งไม่ดีก็เสี่ยง ตั้งซํบซ้อนไปก็จำไม่ได้

จริง ๆ แล้ว การตั้ง Password มีเทคนิคอยู่เหมือนกัน เช่น

1. รหัส Password ที่ดีควรมีความยาวที่เหมาะสม โดยปกติไม่ควรต่ำกว่า 8 ตัวอักษร เพราะการตั้งให้ยาวมากเราก็จำไม่ได้ สั้นไปผู้ไม่ประสงค์ดีก็สามารถเดาได้โดยใช้เวลาไม่นาน

2. พยายามอย่าใช้ Password ที่เป็นเรื่องใกล้ตัวมากนัก เช่น บ้านเลขที่ วันเดือนปีเกิด หรือชื่อสัตว์เลี่ยง เป็นต้น

3. ใช้ตัวอักษรให้หลากหลาย อาจจะผสมทั้งตัวอักษรเล็ก ใหญ่ ตัวเลข อักขระพิเศษ เช่น aWsCl0UD@2020 เป็นต้น

ลองดูนะครับ เทคนิคนี้เป็นข้อมูลเบื้องต้นที่เรา ๆ ควรเริ่มนำมาใช้ในชีวิตประจำวัน และสำคัญอีกเรื่องคือระบบงานที่เราใช้อยู่ อย่าใช้ Password เดียวกันทั้งหมด เพราะพอ HACKER ได้ไป ก็สามารถเข้าถึงทุกระบบของเราได้อย่างง่ายดาย

สิ่งที่ CISO ควรจะทำในยุคนี้

ตำแหน่ง CISO (Chief Information Security Officer) ซึ่งถือว่าเป็นผู้นำในด้านความมั่นคงปลอดภัยขององค์กร โดยการที่ตำแหน่งนี้สำคัญจึงต้องมีสิ่งควรทำประกอบด้วย

 

1. นโยบายความมั่นคงปลอดภัยในองค์กร

การที่องค์กรจะถูกนำพาไปสู่ความเป็น Cyber Resilience ได้ในอนาคตนั้น อย่างแรกที่เราควรมีคือนโยบายที่ดี ซึ่งอาจจะอ้างอิงกับมาตรฐานหรือ Framework ใด ๆ ก็ตาม เช่น ISO, NIST CSF, Cyber Essential เป็นต้น และที่สำคัญที่สุดเมื่อมีนโยบายก็ต้องมีการปฎิบัติตามด้วย ทั้งในระดับปฎิบัติการและระดับผู้บริหารเพื่อปกป้องตนเองจากการตกเป็นเหยื่อของอาชญากรไซเบอร์และเป็นตัวอย่างที่ดีแก่พนักงาน 

2. การลงทุนด้านความมั่นคงปลอดภัย

การลงทุนด้านความมั่นคงปลอดภัยนั้น เราควรจะลงทุนอย่างมีวินัย มีกรอบ มีจุดมุ่งหมายที่ชัดเจน โดยเฉพาะอย่างยิ่งในช่วง COVID-19 ที่เปิดให้พนักงานสามารถ Work from Home ได้ สิ่งเหล่านี้มักมาพร้อมกับช่องโหว่ใหม่ๆ เมื่อมีช่องโหว่มากขึ้น การโจมตีก็จะเพิ่มมากขึ้น ส่งผลให้ความเสี่ยงขององค์กรเพิ่มสูงขึ้นตาม 

3. การพัฒนาบุคลากรด้านความมั่นคงปลอดภัย

เราปฏิเสธไม่ได้ว่าคนเป็น Asset สำคัญในองค์กร ดังนั้นสิ่งสำคัญฌช่นนี้จึงต้องถูกดูแลให้ดี ทั้งในด้านพัฒนาศักยภาพ ความรู้ ความชำนาญ ถ้าเรามีอุปกรณ์ดี เทคโนโลยีขั้นเทพ แต่ใช้ไม่เป็นก็เท่านั้นไม่สามารถช่วยอะไรได้ ถ้าองค์กรใดสามารถส้รางและ Maintain คนกลุ่มนี้ได้ องค์กรนั้นก็สามารถยกระดับตนเองได้มากขึ้นตาม หน้าที่นี้ CISO จึงควรจะทำในอันดับแรก ๆ

4. การรับมือสิ่งไม่คาดคิด

จาก COVID-19 ที่แพร่ระบาดในขณะนี้ที่มีการแพร่ระบาด หรือภัยพิบัติทางธรรมชาติ CISO จำเป็นต้องมีการรับมือและเอาใจใส่ เพราะนอกจากเราต้องปกป้องสุขภาพคนแล้ว ระบบงานก็ต้องสามารถทำงานได้อย่างต่อเนื่อง เพื่อตอบสนองธุรกิจที่มีความไม่แน่นอนสูง

PIMS กับ ISMS

ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) ซึ่งเป็นส่วนขยายจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) 

 

ซึ่งองค์กรสามารถเลือกการขอรับรองได้ตามบทบาทหน้าที่ ไม่ว่าจะเป็น Data Controller หรือ Data Processor เพราะส่วนของ Control จะแยกกันอย่างชัดเจน ก็คือ Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) อีกทั้งในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็นบริบทองค์กร การวิเคราะห์ปัจจัยภายในและภายนอก การประเมินความเสี่ยงก็จะมีในเรื่องของการพิจารณาความเสี่ยงที่เกี่ยวข้องกับ Privacy Risks เป็นต้น

อย่างไรก็ตามการขอการรับรองมาตรฐานนั้น องค์กรจำเป็นต้องได้รับการรับรอง ISO/IEC 27001:2013 บนขอบเขตที่ไม่น้อยกว่าการขอรับรอง ISO/IEC 27701:2019 เท่านั้น จึงเป็นที่มาว่าองค์กรจะต้องวางแผนให้ดีและสอดคล้องกับกระบวนการที่จะต้องปรับปรุงองค์กรให้เป็นไปตามข้อกำหนดใน THAI PDPA ด้วย

ISO/IEC 27001:2013 Foundation Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากทางบริษัท คิวบิกโปร จำกัด

ในการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation Training เมื่อวันที่ 5 มิถุนายน 2563 ซึ่งแสดงถึงวิสัยทัศน์ในการให้ความสำคัญด้าน Security and Compliances ของผู้บริหารองค์กร เพื่อนำไปสู่การรับรองมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลในอนาคต

DPO ทำหน้าที่อะไร?

ถึงแม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนไป ปี ในบางมาตรา แต่เรื่องความปลอดภัย (Security) ไม่ได้ถูกเลื่อนออกไป 

การเป็น DPO ที่ดีนั้นควรจะมีความรู้ทั้งด้าน IT และ Legal หน้าที่หลัก ๆ เขามีดังนี้ 

1. สร้างและพัฒนากระบวนการตามมาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC 29100:2011, ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น  

2. สร้างกระบวนการตรวจสอบ ทบทวนและปรับปรุงกระบวนการประเมินความเสี่ยง (Risk Management) ขององค์กรอย่างเป็นประจำ

3. จัดฝึกอบรมพนักงานให้มีความเข้าใจในเรื่องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 

อีกทั้งตำแหน่งนี้จะต้องสามารถประสานงานคนภายในองค์กร เจ้าของข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดี นั้นจึงทำให้ตอนนี้ตลาดแรงงานจึงมีความต้องการคนที่ความสามารถแบบนี้เป็นอย่างมาก

ISO 27701 คืออะไร???

ISO/IEC 27701:2019 มาตรฐานที่ต่อยอดมาจาก ISO/IEC 27001;2013 โดยจะให้ความสำคัญในด้าน Privacy ยิ่งขั้น

โดยมีการเพิ่มข้อกำหนดสำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งก็จะสอดคล้องกับความต้องการของกฎหมายและข้อบังคับในปัจจุบันอย่าง GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรฐานนี้ถูกออกแบบมาเพื่อเป็นกรอบการทำงานทั้งสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ซึ่งช่วยให้บริหารจัดการมาตรการควบคุมด้านความเป็นส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงอันเนื่องมาจากการละเมิดความเป็นส่วนบุคคล

อย่างไรก็ตามองค์กรที่ต้องการรับรองมาตรฐานดังกล่าว จะต้องได้การรับการรับรองมาตรฐาน ISO/IEC 27001:2013 เสียก่อนและต้องได้รับการรับรองในขอเบเขตที่เกี่ยวกับระบบที่เก็บข้อมูลส่วนบุคคลด้วย ดังนั้นมาตรฐานนี้ก็น่าจะเป็นนิยมอย่างสูงเหมือนกับ ISO ด้าน Security อื่น ๆ ในอนาคต