ไทย
ค้นหา

คลังความรู้

หลอกติดตั้งมัลแวร์เว็บอัปเดตสถานการณ์ COVID-19

ช่วงนี้ทุกคนนิยมเข้า Website ที่มีการ Update ข้อมูลของผู้ติดเชื้อ Covid-19 แต่หารู้ไม่ว่ามีภัยแฝงซ่อนตัวอยู่

มีการเตือนจากผู้เชีย่วชาญจากหลายๆ Product เช่น Check Point เป็นต้น ว่ามีเว็บไซต์ปลอม ที่อัปเดตการแพร่กระจายของไวรัสโคโรน่า จำนวนผู้ติดเชื้อ สถิติการเสียชีวิต โดยพบว่าผู้ไม่ประสงค์ดีจะใช้วิธีล่อลวงให้ดาวน์โหลดแอปพลิเคชันเพื่อติดตามสถานการณ์ แต่อันที่จริงแล้วก็คือมัลแวร์ที่สามารถขโมยข้อมูลส่วนบุคคลจากทางเราได้ 

ดังนั้นการทำอะไรก็ตามในช่วงนี้จึงต้องระวังตัวเป็นพิเศษ อีกทั้งระยะนี้ก็มี FAKE NEWS ออกมาเป็นช่วงๆ จึงทำให้มีช่องทางที่สามารถถูกโจมตีทาง Cyber มากยึ่งขึ้น

FAKE NEWS!!!

ทุกวันนี้หากใครใช้งานสือสังคมออนไลน์ โพสต์สือแบบสาธารณะ  ยิ่งมีเพื่อนหรือผู้ติดตามเยอะ  การแพร่กระจายสือจะเป็นไปอย่างรวดเร็ว 

เพียงแต่โพสต์ลงบนหน้า Feed หรือเพจ ก็ถือเป็นการกระจายสือ ที่แทบไม่มีต้นทุนใดๆ ใครก็สามารถเป็นผู้ผลิตสือได้ จึงเกิดสือที่ ไม่มีคุณภาพ ข้อมูลผิด ทั้งที่เกิดจากความตั้งใจหรือไม่ตั้งใจ จึงเกิดเป็นที่มาของคำว่า "Fake News"

โดยมีหลักการการเป็นผู้รับสือ เพื่อการป้องกันและรับมือข่าวปลอม ดังต่อไปนี้

  1. รับข่าวจากสือที่น่าเชื่อถือได้ สามารถตรวจสอบได้
  2. ไม่อ่านข่าวหรือรับข่าวจากสือใดสือหนึ่งเพียงด้านเดียว ต้องเช็คหลายๆ แหล่งเพื่อความชัดเจน
  3. อย่ากดแชร์ข้อมูลที่เราไม่รู้แหล่งที่มา หรือไม่รู้ว่าข่าวดังกล่าวเป็นข่าวจริงหรือเปล่า เพราะอาจสร้างความเสียหายที่เกิดจาก Fake News ได้

 

Phishing and E-Learning Services
เนื่องด้วยปัจจุบันองค์กรและธุรกิจหลายๆ แห่งมีความเสี่ยงในการถูกโจมตีทางด้าน Cyber
 
 
  
จึงทำให้ผู้บริหารจำเป็นต้องมีการสื่อสารและทำ Security Awareness ให้แก่ผู้ใช้งานและพนักงานอย่างเป็นรูปธรรมและเป็นประจำ
บริษัท พราวด์ คอนซัลติ้ง จำกัด ซึ่งเป็นบริษัทที่ให้คำปรึกษาทางด้าน IT Standards จึงมีความประสงค์นำเสนอบริการทางด้าน
Phishing Solutions ซึ่งสามารถเชื่อมต่อกับ E-Learning Services เพื่อให้องค์กรสามารถใช้ระบบในการทำ Awareness ได้อย่างมีประสิทธิภาพและเพื่อตอบสนองกฏระเบียบหรือข้อบังคับในหลายๆ Regulators

 

อาชญากรรมไซเบอร์ (Cybercrime) ภัยใกล้ตัวเรา

ภัยคุกคามทางไซเบอร์ได้เพิ่มระดับความรุนแรง และมีความซับซ้อนในการโจมตีมากขึ้น ความเสียหายที่เกิดจากการอาชญากรรมและการโจมตีทางไซเบอร์จะมีผลต่อธุรกิจทั้งภาครัฐและเอกชนอย่างร้ายแรง

รูปแบบของอาชญกรรมไซเบอร์มีตั้งแต่เจาะเข้าไปในระบบปฏิบัติการคอมพิวเตอร์ของสถาบันการเงินแล้วโจรกรรมข้อมูลบัญชีธนาคารของลูกค้า จากนั้นก็นำไปแสวงหาประโยชน์ทางการเงินในรูปแบบต่างๆ หรือการได้มาซึ่งข้อมูลความลับทางธุรกิจ เช่น การสั่งซื้อ-ขายสินค้าระหว่างกัน รวมถึงเลขที่บัญชีธนาคารคู่ค้าของบริษัท แม้แต่การเข้าไปล้วงข้อมูลส่วนตัวของผู้ป่วย ไม่ว่าจะเป็นเลขบัตรประชาชน วันเกิด ที่อยู่ เบอร์โทรศัพท์ อีเมล์ เลขบัตรเครดิต 

เนื่องจากการปัจจุบันเทคโนโลยีใหม่ๆ เกิดขึ้นตลอดเวลา ทำให้องค์กรต้องมีการตื่นตัวและให้ความสำคัญในความมั่นคงปลอดภัยไซเบอร์เพิ่มมากขึ้น อย่างไรก็ตามการรักษาความปลอดภัยของระบบงานในองค์กรนั้น ไม่ใช่เรื่องง่าย เนื่องจากมุมมองของความเข้าใจในเรื่อง Cyber ระหว่างผู้บริหารและทีมงานด้าน IT ที่มีความแตกต่างกัน ก็เป็นอุปสรรคสำคัญในการขับเคลื่อนกระบวนการด้าน Cybersecurity และจากที่ได้กล่าวไปแล้ว ความสะดวกในการเข้าถึงระบบโดยใช้เทคโนโลยีจึงทำให้มีการเชื่อมต่อองค์กรกับโลกภายนอกอย่างหลีกเลี่ยงไม่ได้ ซึ่งจะเป็นเป้าหมายสำหรับอาชญากรทางไซเบอร์ที่สูงขึ้น 

การป้องกันจึงเป็นสิ่งจำเป็น โดยเริ่มจากการดูแลระบบรักษาความปลอดภัยของระบบคอมพิวเตอร์ให้ทันสมัยอยู่เสมอ การหมั่นตรวจสอบป้องกันช่องโหว่ที่อาจเกิดขึ้น การสำรองข้อมูลทางธุรกิจของตนเองไว้อย่างสม่ำเสมอ รวมไปถึงการให้ความรู้แก่พนักงานผู้เกี่ยวข้องให้ตระหนักถึงความปลอดภัยของระบบปฏิบัติการคอมพิวเตอร์ หากทำได้ก็จะช่วยป้องกันภัยจากอาชญากรรมไซเบอร์ได้ในระดับหนึ่ง จะเห็นว่าความเสี่ยงที่เกิดขึ้นจากอาชญากรรมไซเบอร์สามารถป้องกันได้ หากสร้างวิธีการป้องกันอย่างรัดกุม เพื่อไม่ให้ภัยคุกคามเหล่านั้นสร้างความเสียหายแก่ธุรกิจของผู้ประกอบการในยุค Digitalized Economy ได้

Thailand| Data Privacy

การลงมติเห็นชอบร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเมื่อไม่นานมานี้ ถือเป็นอีกหนึ่งก้าวสำคัญของประเทศไทย

ด้วยการวางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดขั้นตอนที่องค์กรหรือผู้ให้บริการจะต้องกระทำในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้น จึงถือเป็นการกำหนดมาตรฐานด้านการบริหารจัดการข้อมูลประเภทนี้ในประเทศไทยให้เป็นไปตามมาตรฐานสากล

ขณะเดียวกัน อาชญากรไซเบอร์ยังคงมุ่งจู่โจมด้วยเทคนิควิธีการต่างๆ อย่างต่อเนื่อง โดยรายงาน Security Intelligence Report (SIR) ฉบับที่ 24 ของไมโครซอฟท์ สรุปว่าภัยร้าย 4 อันดับแรกสำหรับผู้ใช้อินเทอร์เน็ตในประเทศไทย ได้แก่มัลแวร์ทั่วไป สูงกว่าค่าเฉลี่ยโลก 107 เปอร์เซ็นต์  มัลแวร์ที่ขุดสกุลเงินดิจิทัล สูงกว่าค่าเฉลี่ยโลก 133% มัลแวร์เรียกค่าไถ่ สูงกว่าค่าเฉลี่ยโลก 140 เปอร์เซ็นต์ และการหลอกล่อด้วยเว็บไซต์ สูงกว่าค่าเฉลี่ยโลก 33 เปอร์เซ็นต์

ดังนั้นองค์กรควรจะเตรียมรับมือทั้งด้านกระบวนการให้เป็นไปตามมาตรฐานและกฏระเบียบบังคับ รวมไปถึงคงจะต้องพิจารณาเทคโนโลยีที่เลือกนำมาใช้เพื่อให้กระบวนการภายในมีความมั่นคปลอดภัยและมีความเป็น Privacy มากยิ่งขึ้น

ตำแหน่ง DPO สำคัญอย่างไร?

ทุกๆ ท่านคงทราบดีอยู่แล้วว่า GDPR หรือ PDPA ในประเทศไทย กล่าวว่าองค์กรต้องแต่งตั้ง DPO (Data Protection Officer)

โดยเฉพาะอย่างยิ่งควรจะมีประสบการณ์และความเชี่ยวชาญด้านกฎหมายและด้านการป้องกันข้อมูล ซึ่ง Functions หลักๆ ของ DPOั้ นั้นได้แก่

- ทำหน้าที่เป็นผู้ติดต่อแรกของเจ้าหน้าที่กำกับดูแลและ Data Processor (ผู้ประมวลผลข้อมูล)

- ให้คำแนะนำแก่พนักงานเกี่ยวกับการปฏิบัติตาม GDPR และกฎหมายคุ้มครองข้อมูลอื่น ๆ

- ตรวจสอบความสอดคล้องกับ GDPR และกฎหมายคุ้มครองข้อมูลอื่น รวมทั้งนโยบายการปกป้องข้อมูล รวมถึงกิจกรรมการคุ้มครองข้อมูลภายใน การสร้างความตระหนักเกี่ยวกับประเด็นการคุ้มครองข้อมูล การฝึกอบรมพนักงานและการดำเนินการตรวจสอบภายใน

- ให้คำแนะนำและการกำกับดูแลการประเมินผลกระทบด้านการป้องกันข้อมูล

GDPR/PDPA กล่าวว่า องค์กรสามารถมอบหมายงานนี้ให้กับองค์กรอื่น (Outsourced) ได้ ตราบเท่าที่พวกเขาไม่ได้นำไปสู่ความขัดแย้งทางผลประโยชน์ (Conflict of Interest) ดังนั้นตำแหน่งดังกล่าวจึงเป็นที่ต้ิองการและได้รับความนิยมมากๆ ในปัจจุบัน

Security Awareness Campaign

เดี๋ยวนี้ หลายๆ องค์กรเริ่มมีการทำการสื่อสารองค์กรในระดับผู้ใช้งาน IT มากขึ้น ทั้งในมุมของการทำการฝึกอบรม การทดสอบ (Drill) การทำเกมส์หรือการทำ Seminar ในองค์กร

 

ซึ่งถือเป็นจุดเริ่มที่ดี เพราะผู้ใช้งานคือช่องโหว่ที่ทำให้ Secuirty มีประเด็น คนส่วนใหญ่คิดว่าการ Implement Solutions ที่ดีหรือแพงๆ จะช่วยได้และป้องกันทุกอย่างได้ แต่อย่าลืมว่ามนุษย์นี้คือช่องโหว่ที่สำคัญที่สุด ดังนั้นเราจึงควรให้ความรู้ ความเข้าใจ ให้คนกลุ่มนี้รู้สึกว่าเรื่อง Sucurity เป็นสิ่งที่เใกล้ตัวและวัดผลได้ และทำให้องค์กรมีการปรับปรุงกระบวนการที่ดีอย่างมีประสิทธิภาพตลอดเวลา

อบรม ISO/IEC 27001:2013 Foundation

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้มีการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation

ให้กับคณะกรรมการป้องกันและปราบปรามยาเสพติด (ปปส.) เมื่อวันที่ 19 เมษายน 2562 ที่ผ่านมา

การประเมินความพร้อมการรับมือภัยคุกคามไซเบอร์

เมื่อวันที่ 15 สิงหาคม 2562 ที่ผ่านมา ทางธนาคารแห่งประเทศไทย (ธปท.) มีประกาศเรื่อง "การประเมินความพร้อมการรับมือภัยคุกคามไซเบอร์"

 

โดยธปท. ได้กำหนดกรอบการประมเิน Cyber Resillience Assessment Framework ให้สถาบันการเงินใช้สำหรับประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherent Risk Assessment) และแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ด้วยตนเอง

ซึ่งการประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherenet Risk Assessment) จะพิจารณาปัจจับความเสี่ยงพื้นฐานทาง IT 5 ด้าน

- ประเภทขอบเขตและปริมาณการใช้เทคโนโลยีสารสนเทศในรูปแบบต่างๆ

- ความหลากหลายของช่องทางการให้บริการ Electronics

- รูปแบบ ปริมาณและความซับซ้อนของ Product/Service จำนวนลูกค้าและปริมาณการใช้งาน

- ขนาดและลักษณะเฉพาะขององค์กร

- ประวัติภัยคุกคามทางไซเบอร์

เมื่อพิจารณาปัจจัยทั้ง 5 ด้านแล้ว ก็จะแบ่งเป็น 3 ระดับ ได้แก่ ต่ำ ปานกลางหรือสูง เพื่อกำหนดแนวทางการบริหารจัดการความเสี่ยงต่อไป

ส่วนแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ก็จะมีการประเมินใน 6 ด้านคือ

- กรอบการดูแล (Governance)

- การระบุความเสี่ยง (Risk Identification)

- การป้องกัน (Protection)

- การเฝ้าระวังและตรวจจับ (Detection)

- การตอบสนองต่อเหตุการณ์และการกู้คืน (Response and Recovery)

- การบริหารความเสี่ยงด้านภัยคุกคามไซเบอร์ที่เกิดจากหน่วยงานภายนอก (Third party risk management)

โดยระดับความพร้อมในการบริหารจัดการความเสี่ยงจากภัยคุกคามไซเบอร์ (Maturity) แบ่งเป็น 3 ระดับ ได้แก่ Baseline Intermediate  และ Advanced 

ซึ่งสถาบันการเงินจะต้องประเมินอย่างน้อยปีละ 1 ครั้งหรือเมื่อมีการเปลี่ยนแปลงใดๆ ที่มีนัยสำคัญต่อโครงสร้าง IT โดยต้องส่งผลการประเมินมาที่ธปท. ภายใน 30 วันนับจากวันที่ 31 ธันวาคมของปีที่ประเมินหรือเมื่อธปท. ร้องขอ

 

ISO/IEC 27701:2019 Privacy Information Management

เมื่อช่วงเดือนสองเดือนที่ผ่านมา ทาง ISO ได้ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management โดยเป็นมาตรฐานในการบริหารจัดการข้อมูลส่วนบุคคลอย่างมั่นคงปลอดภัย 

 

เนื้อหาจะเป็นการต่อยอดจาก ISO/IEC 27001 และ ISO/IEC 27002 โดยเพิ่มข้อกำหนดเกี่ยวกับการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งจะเป็นการวางกรอบการทำงานสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ดังนั้นการทำมาตรฐานนี้ก็เป็นการ Compile ในส่วนของกฎหมายและข้อบังคับในปัจจุบัน เช่น GDPR หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ด้วย