ไทย
ค้นหา

คลังความรู้

SPAM COVID-19

ตั้งแต่ที่องค์การอนามัยโลก (WHO) ได้ออกมาประกาศยกระดับการแพร่ระบาดของ COVID-19 ให้เป็นภาวะการระบาดใหญ่ทั่วโลกเมื่อเดือนมีนาคม 2563

ทั้งนี้ อาชญากรไซเบอร์ได้วางแผนการโจมตีมาเป็นอย่างดีและพร้อมสับเปลี่ยนกลวิธีในการหลอกล่อเหยื่ออยู่ตลอดเวลา โดยอาศัยสถานการณ์นี้ใช้สแปมที่เกี่ยวกับ COVID-19 ในการขอเปิดโปรแกรมสินเชื่อเพื่อช่วยเหลือธุรกิจขนาดเล็กหรือขอเงินเยียวยา โดยต้องกรอกข้อมูลส่วนบุคคลเข้าไป ทำให้เกิดข้อมูลรั่วไหลได้อย่างง่ายดาย

วิธีการสังเกตและปกป้องตนเองจากสแปม

  • เลือกใช้แหล่งข้อมูลที่เชื่อถือได้ โดยเมื่อต้องการหาข้อมูล ควรเข้าไปที่เว็บไซต์ขององค์กรนั้นๆ โดยตรง แทนการคลิกที่ลิงก์ที่พาไปยังเว็บไซต์เหล่านั้น
  • อย่าเปิดเอกสารแนบที่ไม่รู้ที่มาที่ไป หรือเอกสารแนบที่ส่งมาจากแหล่งที่ไม่รู้จัก
  • ระมัดระวังสแกมที่เกี่ยวข้องกับ COVID-19 อยู่เสมอ อย่าเปิดดูอีเมลหรือข้อความที่ไม่รู้ที่มาที่ไป  ซึ่งโดยทั่วไปอีเมลเหล่านี้จะพยายามให้เราแชร์ข้อมูลส่วนบุคคล โดยใช้หน้าลงชื่อเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลประจำตัวของบัญชี หรือหลอกล่อให้เปิดเอกสารแนบที่ประสงค์ร้าย
  • ใช้การยืนยันตัวตนแบบหลายขั้นตอน (Multifactor Authentication) เช่น การตั้งค่ายืนยันตัวตนแบบหลายปัจจัยของบัญชีธนาคาร จะทำให้อาชญากรไซเบอร์ไม่สามารถเข้าสู่ระบบได้หากไม่มีการยืนยันตัวตนโดยตรงจากเจ้าของบัญชี
CSA ออก Cloud Controls Matrix v4

หลายท่านน่าจะรู้จักมาตรฐานด้านความมั่นคงปลอดภัยด้าน Cloud Computing ที่ชื่อว่า CSA STAR อยู่แล้ว

Cloud Security Alliance (CSA) ประกาศเปิดตัว Cloud Controls Matrix (CCM) เวอร์ชัน 4 โดยเพิ่มมาตรการควบคุมอีกกว่า 60 รายการ

CCM เป็น Framework ทางด้าน Cybersecurity Controls และถูกนำมาใช้เป็นมาตรฐานทั่วไปสำหรับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของการใช้ระบบ Cloud

นอกจากนี้ CCM เวอร์ชัน 4 ยังได้เพิ่มมาตรการควบคุมที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของการใช้ระบบ Cloud ใหม่ ๆ เข้ามา เพื่อให้ครอบคลุมกับเทคโนโลยี Cloud ในยุคปัจจุบัน และเพื่อให้สอดคล้องและใช้งานร่วมกับมาตรฐานอื่น เช่น ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27701:2019 เป็นต้น 

รู้เท่าทันภัย Phishing e-mail

ช่วงนี้หลาย ๆ ท่าน ทำงานแบบ WFH คงได้รับ e-mail แปลก ๆ กันบ้างใช่ไหม? ระวังอาจจะเป็น Phishing e-mail 

PROUD ได้สรุปข้อสังเกตเบื้องต้นในการตรวจสอบว่าเป็น Phishing e-mail หรือไม่ มาดังนี้

ระวังอีเมลที่ไม่รู้ว่าส่งจากใครกันแน่

ควรสังเกตอีเมลของผู้ส่งทุกครั้ง หากต้องติดต่อกับองค์กรอื่น ควรเป็นอีเมลที่ใช้ @ แล้วตามด้วยชื่อขององค์กรนั้น ๆ

หากเป็นอีเมลที่ไม่คุ้นเคย ห้ามเปิดโดยเด็ดขาด หรือถึงแม้คล้าย ๆ จะเป็นอีเมลองค์กรก็ควรเช็คให้ดีว่าสะกดชื่อองค์กรถูกหรือไม่ เพราะคุณอาจจะถูกหลอกได้

ให้กรอกข้อมูลส่วนตัว

อีเมลที่มีให้กรอกรายละเอียดส่วนตัว เช่น ชื่อ นามสกุล รหัส Username หรือ Password ต่าง ๆ อาจล่อลวงด้วยของรางวัลพิเศษ

หรือชิงโชครางวัลใหญ่ ๆ

หัวข้อหรือเนื้อหาสะกดคำผิด ๆ ถูก ๆ

แฮกเกอร์ส่วนใหญ่ไม่ได้ให้ความสำคัญกับการสะกดคำให้ถูกต้อง อาจมีการใช้รูปคำ หรือประโยคที่ผิดหลักไวยกรณ์ของเจ้าของภาษา

ลิงก์ที่แนบมาไม่ตรงกับที่อยู่จริง

สามารถตรวจสอบง่าย ๆ เพียงเอาเม้าส์ไปชี้ที่ลิงก์นั้น ซึ่งมีที่อยู่ไม่ตรงกับลิงก์ที่ส่งมา อาจเป็นลิงก์ที่หลอกลวงไปยัง URL อีกหน้าก็เป็นได้

ไฟล์แนบชื่อแปลก ๆ ต้องเอะใจไว้ก่อน

สังเกตไฟล์ที่แนบมาอาจตั้งด้วยชื่อแปลก หรือยาวเกินจริง ซึ่งไฟล์ดังกล่าวอาจแฝงมัลแวร์ และเป็นอันตรายต่อเครื่องของพิวเตอร์เมื่อคุณแค่เปิดหรือดาวน์โหลดไฟล์นั้น

ISO 27001 Celebration

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด ในเครือบริษัท ที่ไอ.แอล.เอส. จำกัด

ในการให้ปรึกษา ISO/IEC 27001:2013 จนได้การรับรองมาตรฐานสำเร็จในช่วงต้นปี 2564 ที่ผ่านมาก ซึ่งมาตรฐานดังกล่าวเป็นพื้นฐานทาง IT ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศและเป็นมาตรฐานที่สามารถต่อยอดไปสู่ IT Standards อื่น ๆ ได้อีกมากมาย เช่น ISO 27701, CSA STAR แสดงถึงวิสัยทัศน์ของผู้บริหารองค์กรที่ให้ความสำคัญทางด้าน IT ซึ่งเป็นหน่วยงานสนับสนุนกระบวนการต่าง ๆ ภายในองค์กร

 

Data Leak Prevention

การสูญหายของข้อมูล การเปลี่ยนแปลงแก้ไขอันมีผลให้ข้อมูลผิดเพี้ยนไปจากต้นฉบับ หรือ แม้แต่การละเมิด/เผยแพร่โดยไม่ได้รับอนุญาต 

 ล้วนแล้วแต่เป็นสิ่งที่ส่งผลกระทบกับธุรกิจขององค์กร รวมไปถึงชื่อเสียง และความน่าเชื่อถือ ทำให้หลายๆ องค์กร เริ่มให้ความสำคัญกับเรื่อง Data Protection มากขึ้น

การป้องกันข้อมูลนั้นนอกจากจะต้องทำการป้องกันข้อมูลต่าง ๆ ขององค์กรเองแล้ว สำหรับบางธุรกิจอาจครอบคลุมไปถึงข้อมูลของลูกค้าด้วย เช่น ข้อมูลประวัติคนไข้ที่ทางโรงพยาบาลจัดเก็บ, ประวัติการซื้อขายหลักทรัพย์, ข้อมูลประเภท Personnel Information Identification เป็นต้น

การป้องกันข้อมูลมีขอบเขตแค่ไหน

นโยบายที่ดีควรจะครอบคลุมไปถึงในส่วนของการจัดระเบียบของข้อมูล และการใช้งาน ส่วนนี้เป็นส่วนที่หลายๆ องค์กรยังไม่ได้ลงในรายละเอียดนัก แต่ควรที่จะต้องเริ่มคิดวางแผนในการจัดระเบียบตั้งแต่วันนี้ เพราะยิ่งปล่อยให้เวลาผ่านไปจะทำให้ยาก และซับซ้อนขึ้น

การป้องกัน และกำกับดูแล

การป้องกันและกำกับดูแลนั้นเริ่มจากการจัดระเบียบของข้อมูล สิ่งแรกที่จะต้องรู้ คือองค์กรจะใช้ประโยชน์อะไรจากข้อมูลแต่ละประเภทบ้าง ซึ่งจะทำให้เราสามารถทราบถึงวัตถุประสงค์ขององค์กรในการใช้ข้อมูลต่าง ๆ ทำให้ทราบความสำคัญ/Value ของข้อมูลแต่ละประเภท สิ่งที่ต้องทำประกอบกันไป คือ Data Classification หรืออย่างน้อยควรมีการคัดแยกข้อมูลออกเป็นกลุ่มเพื่อให้ทราบว่าควรจะดูแล และจัดเก็บอย่างไรให้เหมาะสม เมื่อข้อมูลถูกจำแนกออกเป็นกลุ่มที่ชัดเจนจะทำให้การกำกับดูแลทำได้ง่ายขึ้น งบประมาณก็จะถูกจัดสรรอย่างเหมาะสม

นอกจากการกำหนดนโยบายสำหรับการป้องกันการรั่วไหลข้อมูลแล้ว สิ่งที่ต้องคำนึงถึงอีกอย่างหนึ่งก็คือการรักษาความปลอดภัยของเครื่องที่ใช้ในการ Process หรือการเข้าถึงข้อมูล ในส่วนนี้เราจะต้องหลีกเลี่ยง/ป้องกัน Security Compromise ที่อาจเกิดขึ้น การทำ Patch Management, Asset Inventory, Endpoint Protection, การตรวจหาจุดอ่อนของ Server/Application (Vulnerability and Penetration Testing) สิ่งเหล่านี้จะต้องมีการทำอย่างต่อเนื่อง และอย่างสม่ำเสมอ

สุดท้ายที่จะขาดไม่ได้ คือการ Response และ Take Action ต่อเหตุการณ์ที่เกิดขึ้นให้ได้อย่างเหมาะสม และควรพึงระวังเรื่อง False Positive Incident ที่มีโอกาสที่เกิดขึ้นได้ การรวบรวมเหตุการณ์ที่เกิดขึ้นนี้ต้องอาศัย Technology- People- Process ทั้งสามอย่างจะต้องมีความสัมพันธ์กัน ขาดสิ่งใดสิ่งหนึ่งไม่ได้ ทุกอย่างจะต้องคำนึงถึง Business Objective เป็นหลัก Security Policy จะต้องมีความสมดุล ไม่เกิดความขัดแย้งในหลักการ

 

ISMS Internal Audit Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด

ดำเนินการจัดฝึกอบรม ISMS Internal Audit Training เมื่อวันที่ 2 พฤศจิกายน 2563 เพื่อเตรียมความพร้อมเข้าสู่กระบวนการตรวจรับรองมาตรฐาน ISO/IEC 27001:2013 ในอนาคตต่อไป

Maze Ransomware ภัยร้ายที่ควรระวัง

มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว

มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้ว

MICROSOFT ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk 

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware ทั้งในส่วนของเวลาที่ใช้ในปฏิบัติการ (Operation time) และหลักฐานหลังจากการโจมตี (Post-incident artifacts)

 

เรื่องน่ารู้เกี่ยวกับ Data Protection Officer

..คุ้มครองข้อมูลส่วนบุคคล พ..2562 เป็นกฎหมายที่มีคนให้ความสนใจเป็นจำนวนมาก เนื่องจากมีความเกี่ยวข้องกับทุกธุรกิจ 

ทำให้ตำแหน่งที่เรียกว่า Data Protection Officer (DPO)” กลายเป็นตำแหน่งที่เป็นที่ต้องการเป็นอย่างมาในช่วงเวลานี้ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องแต่งตั้งบุคลากรที่มีความสามารถ หรือจัดหา Outsourced DPO Service เพื่อดูแลในเรื่องนี้โดยเฉพาะ โดยหน้าที่หลัก ๆ ของตำแหน่งนี้คือ

ให้คำแนะนำ แก่บุคคลในองค์กรให้มีความรู้ ความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พ.ร.บ.

ตรวจสอบการดำเนินงาน ของผู้ที่มีการเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ประสานงาน ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และประสานงานกับบุคคลภายในองค์กร และเจ้าของข้อมูล

รักษาความลับ ของข้อมูลส่วนบุคคลที่เกี่ยวข้องจากการปฏิบัติตามหน้าที่ให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

CANON โดน RANSOMWARE โจมตี

เมื่อประมาณสัปดาห์ที่ผ่านมา มีข่าวออกมาว่า CANON ได้ถูก RANSOMWARE โจมตี

ข่าวนี้ยังไม่ได้รับการประกาศทางการจาก Canon แต่มีข้อมูลจากแหล่งข่าวว่า บริการ image.canon หรือ Cloud Storage เพื่อเก็บข้อมูลรูปภาพและวีดีโอ ล่มไปประมาณปลายเดือนกรกฎาคม Website ที่มี Canon เป็น Domain ไม่สามารถใช้งานได้สมบูรณ์ ซึ่งถ้าเป็นไปตามนี้จริง คงจะมีประเด็นสำหรับองค์กรระดับโลกแห่งนี้อย่างแน่นอน คงต้องติดตามข่าวกันต่อว่าจะมีการเรียกค่าไถ่จำนวนเท่าไร และทาง Canon จะยินยอมจ่ายหรือไม่ต่อไป 

Garmin ระบบล่ม

เมื่อ 1-2 สัปดาห์ที่ผ่านมาเกิดเหตุการณ์ที่บริการของ Garmin หลายส่วนต้องหยุดให้บริการชั่วคราว ทั้งนี้ยังไม่ทราบแน่ชัดถึงสาเหตุที่แท้จริง

Credit: Zdnet

โดยคาดว่าอาจต้องใช้เวลาการแก้ไขปัญหาไปอีกหลายวัน ทั้งนี้ปัจจุบันผลกระทบที่รับรู้ได้จากฝั่งผู้ใช้งานคือ ส่วนของหน้า Website บริษัท บริการ Garmin Connect (บริการซิงค์โครไนซ์ข้อมูลผู้ใช้) บริการ Aviation Database รวมไปถึง Call Center ต้องหยุดชะงัก ประเด็นคือจะมีข้อมูลผู้ใช้งานรั่วไหลหรือไม่ และเกิดจากสาเหตุใด อีกทั้งยังไม่ทราบถึงขอบเขตความเสียหายด้วย