ไทย
ค้นหา

คลังความรู้

Maze Ransomware ภัยร้ายที่ควรระวัง

มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว

มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้ว

MICROSOFT ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk 

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware ทั้งในส่วนของเวลาที่ใช้ในปฏิบัติการ (Operation time) และหลักฐานหลังจากการโจมตี (Post-incident artifacts)

 

เรื่องน่ารู้เกี่ยวกับ Data Protection Officer

..คุ้มครองข้อมูลส่วนบุคคล พ..2562 เป็นกฎหมายที่มีคนให้ความสนใจเป็นจำนวนมาก เนื่องจากมีความเกี่ยวข้องกับทุกธุรกิจ 

ทำให้ตำแหน่งที่เรียกว่า Data Protection Officer (DPO)” กลายเป็นตำแหน่งที่เป็นที่ต้องการเป็นอย่างมาในช่วงเวลานี้ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องแต่งตั้งบุคลากรที่มีความสามารถ หรือจัดหา Outsourced DPO Service เพื่อดูแลในเรื่องนี้โดยเฉพาะ โดยหน้าที่หลัก ๆ ของตำแหน่งนี้คือ

ให้คำแนะนำ แก่บุคคลในองค์กรให้มีความรู้ ความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พ.ร.บ.

ตรวจสอบการดำเนินงาน ของผู้ที่มีการเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ประสานงาน ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และประสานงานกับบุคคลภายในองค์กร และเจ้าของข้อมูล

รักษาความลับ ของข้อมูลส่วนบุคคลที่เกี่ยวข้องจากการปฏิบัติตามหน้าที่ให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

CANON โดน RANSOMWARE โจมตี

เมื่อประมาณสัปดาห์ที่ผ่านมา มีข่าวออกมาว่า CANON ได้ถูก RANSOMWARE โจมตี

ข่าวนี้ยังไม่ได้รับการประกาศทางการจาก Canon แต่มีข้อมูลจากแหล่งข่าวว่า บริการ image.canon หรือ Cloud Storage เพื่อเก็บข้อมูลรูปภาพและวีดีโอ ล่มไปประมาณปลายเดือนกรกฎาคม Website ที่มี Canon เป็น Domain ไม่สามารถใช้งานได้สมบูรณ์ ซึ่งถ้าเป็นไปตามนี้จริง คงจะมีประเด็นสำหรับองค์กรระดับโลกแห่งนี้อย่างแน่นอน คงต้องติดตามข่าวกันต่อว่าจะมีการเรียกค่าไถ่จำนวนเท่าไร และทาง Canon จะยินยอมจ่ายหรือไม่ต่อไป 

Garmin ระบบล่ม

เมื่อ 1-2 สัปดาห์ที่ผ่านมาเกิดเหตุการณ์ที่บริการของ Garmin หลายส่วนต้องหยุดให้บริการชั่วคราว ทั้งนี้ยังไม่ทราบแน่ชัดถึงสาเหตุที่แท้จริง

Credit: Zdnet

โดยคาดว่าอาจต้องใช้เวลาการแก้ไขปัญหาไปอีกหลายวัน ทั้งนี้ปัจจุบันผลกระทบที่รับรู้ได้จากฝั่งผู้ใช้งานคือ ส่วนของหน้า Website บริษัท บริการ Garmin Connect (บริการซิงค์โครไนซ์ข้อมูลผู้ใช้) บริการ Aviation Database รวมไปถึง Call Center ต้องหยุดชะงัก ประเด็นคือจะมีข้อมูลผู้ใช้งานรั่วไหลหรือไม่ และเกิดจากสาเหตุใด อีกทั้งยังไม่ทราบถึงขอบเขตความเสียหายด้วย

ภัยของ RANSOMWARE

ช่วงเวลาที่ผ่านมา มีหลายธุรกิจในไทยที่ได้รับผลกระทบจาก Ransomware โดยมี Server จำนวนมากใน Data Center ต้องหยุดชะงักการให้บริการไป

ทั้งที่ธุรกิจเหล่านั้นมีการลงทุนระบบป้องกันภัยคุกคามทางไซเบอร์ไว้อยู่แล้ว ทั้ง Firewall, Endpoint Protection, DLP หรืออื่น ๆ แต่ในความเป็นจริงนั้น ไม่มีระบบป้องกันใดสามารถการันตีได้อย่าง 100% ว่าจะไม่ถูกโจมตี ส่วนที่ยังหลุดรอดมาได้แม้เพียงเล็กน้อยก็อาจจะทำความเสียหายใหญ่หลวงให้แก่ธุรกิจได้ การมีระบบที่มารองรับเพิ่มเติมจึงเป็นเรื่องจำเป็น เพื่อนำมาช่วยบรรเทาความเสียหายจากภัยคุกคามเหล่านั้น 

อีกส่วนที่สำคัญมาก คือ องค์กรต้องมีการทำ Awareness ที่ดี อย่าหลงเชื่อ Phishing Email หรือ File ที่ถูกส่งมาด้วย Subject แปลก ๆ ถ้าในมุมของ IT Infrastructure ก็ควรจะมีระบบที่สามารถ ฺฺBackup และ Restore ได้อย่างมีประสิทธิภาพ เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากการถูกโจมตี

Privacy Enhanced Technology: PET

องค์กรหลาย ๆ แห่งเริ่มที่จะ Implement กระบวนการให้สอดคล้องกับ THAI PDPA แล้ว

จะเห็นได้ว่าองค์กรอาจจะมีความจำเป็นต้องนำ Technology หรือ Tools เข้ามาช่วยเพื่อให้กระบวนการสอดคล้องได้อย่างรวดเร็วและอัตโนมัติ โดยการนำพวกนี้เข้ามานั้นองค์กรต้องพิจารณาความคุ้มค่าในการลงทุนด้วย เพราะการนำ Technology เข้ามาช่วยนั้นถึงแม้จะดีแต่ก็มีส่วนที่ต้องพิจารณาเพิ่ม เช่น ความชำนาญของพนักงาน ค่า MA ระบบ เป็นต้น

ส่วนใหญ่ Technology ที่เข้ามาช่วยตอบโจทย์ด้านนี้ ได้แก่

1. Data Inventory/Data Mapping

2. Data Masking

3. Data Encryption

4. Consent Management

5. Cookie Management

โดยปัจจุบันมีหลายยี่ห้อที่มีความสามารถดังกล่าว เช่น IBM, ORACLE, OneTrust, SecuPI เป็นต้น 

 

Password ที่ดี

การตั้ง Password นั้นเป็นปัญหาใหญ่ของหลาย ๆ คน เพราะหากตั้งไม่ดีก็เสี่ยง ตั้งซํบซ้อนไปก็จำไม่ได้

จริง ๆ แล้ว การตั้ง Password มีเทคนิคอยู่เหมือนกัน เช่น

1. รหัส Password ที่ดีควรมีความยาวที่เหมาะสม โดยปกติไม่ควรต่ำกว่า 8 ตัวอักษร เพราะการตั้งให้ยาวมากเราก็จำไม่ได้ สั้นไปผู้ไม่ประสงค์ดีก็สามารถเดาได้โดยใช้เวลาไม่นาน

2. พยายามอย่าใช้ Password ที่เป็นเรื่องใกล้ตัวมากนัก เช่น บ้านเลขที่ วันเดือนปีเกิด หรือชื่อสัตว์เลี่ยง เป็นต้น

3. ใช้ตัวอักษรให้หลากหลาย อาจจะผสมทั้งตัวอักษรเล็ก ใหญ่ ตัวเลข อักขระพิเศษ เช่น aWsCl0UD@2020 เป็นต้น

ลองดูนะครับ เทคนิคนี้เป็นข้อมูลเบื้องต้นที่เรา ๆ ควรเริ่มนำมาใช้ในชีวิตประจำวัน และสำคัญอีกเรื่องคือระบบงานที่เราใช้อยู่ อย่าใช้ Password เดียวกันทั้งหมด เพราะพอ HACKER ได้ไป ก็สามารถเข้าถึงทุกระบบของเราได้อย่างง่ายดาย

สิ่งที่ CISO ควรจะทำในยุคนี้

ตำแหน่ง CISO (Chief Information Security Officer) ซึ่งถือว่าเป็นผู้นำในด้านความมั่นคงปลอดภัยขององค์กร โดยการที่ตำแหน่งนี้สำคัญจึงต้องมีสิ่งควรทำประกอบด้วย

 

1. นโยบายความมั่นคงปลอดภัยในองค์กร

การที่องค์กรจะถูกนำพาไปสู่ความเป็น Cyber Resilience ได้ในอนาคตนั้น อย่างแรกที่เราควรมีคือนโยบายที่ดี ซึ่งอาจจะอ้างอิงกับมาตรฐานหรือ Framework ใด ๆ ก็ตาม เช่น ISO, NIST CSF, Cyber Essential เป็นต้น และที่สำคัญที่สุดเมื่อมีนโยบายก็ต้องมีการปฎิบัติตามด้วย ทั้งในระดับปฎิบัติการและระดับผู้บริหารเพื่อปกป้องตนเองจากการตกเป็นเหยื่อของอาชญากรไซเบอร์และเป็นตัวอย่างที่ดีแก่พนักงาน 

2. การลงทุนด้านความมั่นคงปลอดภัย

การลงทุนด้านความมั่นคงปลอดภัยนั้น เราควรจะลงทุนอย่างมีวินัย มีกรอบ มีจุดมุ่งหมายที่ชัดเจน โดยเฉพาะอย่างยิ่งในช่วง COVID-19 ที่เปิดให้พนักงานสามารถ Work from Home ได้ สิ่งเหล่านี้มักมาพร้อมกับช่องโหว่ใหม่ๆ เมื่อมีช่องโหว่มากขึ้น การโจมตีก็จะเพิ่มมากขึ้น ส่งผลให้ความเสี่ยงขององค์กรเพิ่มสูงขึ้นตาม 

3. การพัฒนาบุคลากรด้านความมั่นคงปลอดภัย

เราปฏิเสธไม่ได้ว่าคนเป็น Asset สำคัญในองค์กร ดังนั้นสิ่งสำคัญฌช่นนี้จึงต้องถูกดูแลให้ดี ทั้งในด้านพัฒนาศักยภาพ ความรู้ ความชำนาญ ถ้าเรามีอุปกรณ์ดี เทคโนโลยีขั้นเทพ แต่ใช้ไม่เป็นก็เท่านั้นไม่สามารถช่วยอะไรได้ ถ้าองค์กรใดสามารถส้รางและ Maintain คนกลุ่มนี้ได้ องค์กรนั้นก็สามารถยกระดับตนเองได้มากขึ้นตาม หน้าที่นี้ CISO จึงควรจะทำในอันดับแรก ๆ

4. การรับมือสิ่งไม่คาดคิด

จาก COVID-19 ที่แพร่ระบาดในขณะนี้ที่มีการแพร่ระบาด หรือภัยพิบัติทางธรรมชาติ CISO จำเป็นต้องมีการรับมือและเอาใจใส่ เพราะนอกจากเราต้องปกป้องสุขภาพคนแล้ว ระบบงานก็ต้องสามารถทำงานได้อย่างต่อเนื่อง เพื่อตอบสนองธุรกิจที่มีความไม่แน่นอนสูง

PIMS กับ ISMS

ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) ซึ่งเป็นส่วนขยายจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) 

 

ซึ่งองค์กรสามารถเลือกการขอรับรองได้ตามบทบาทหน้าที่ ไม่ว่าจะเป็น Data Controller หรือ Data Processor เพราะส่วนของ Control จะแยกกันอย่างชัดเจน ก็คือ Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) อีกทั้งในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็นบริบทองค์กร การวิเคราะห์ปัจจัยภายในและภายนอก การประเมินความเสี่ยงก็จะมีในเรื่องของการพิจารณาความเสี่ยงที่เกี่ยวข้องกับ Privacy Risks เป็นต้น

อย่างไรก็ตามการขอการรับรองมาตรฐานนั้น องค์กรจำเป็นต้องได้รับการรับรอง ISO/IEC 27001:2013 บนขอบเขตที่ไม่น้อยกว่าการขอรับรอง ISO/IEC 27701:2019 เท่านั้น จึงเป็นที่มาว่าองค์กรจะต้องวางแผนให้ดีและสอดคล้องกับกระบวนการที่จะต้องปรับปรุงองค์กรให้เป็นไปตามข้อกำหนดใน THAI PDPA ด้วย

ISO/IEC 27001:2013 Foundation Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากทางบริษัท คิวบิกโปร จำกัด

ในการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation Training เมื่อวันที่ 5 มิถุนายน 2563 ซึ่งแสดงถึงวิสัยทัศน์ในการให้ความสำคัญด้าน Security and Compliances ของผู้บริหารองค์กร เพื่อนำไปสู่การรับรองมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลในอนาคต