ไทย
ค้นหา

คลังความรู้

ภัยของ RANSOMWARE

ช่วงเวลาที่ผ่านมา มีหลายธุรกิจในไทยที่ได้รับผลกระทบจาก Ransomware โดยมี Server จำนวนมากใน Data Center ต้องหยุดชะงักการให้บริการไป

ทั้งที่ธุรกิจเหล่านั้นมีการลงทุนระบบป้องกันภัยคุกคามทางไซเบอร์ไว้อยู่แล้ว ทั้ง Firewall, Endpoint Protection, DLP หรืออื่น ๆ แต่ในความเป็นจริงนั้น ไม่มีระบบป้องกันใดสามารถการันตีได้อย่าง 100% ว่าจะไม่ถูกโจมตี ส่วนที่ยังหลุดรอดมาได้แม้เพียงเล็กน้อยก็อาจจะทำความเสียหายใหญ่หลวงให้แก่ธุรกิจได้ การมีระบบที่มารองรับเพิ่มเติมจึงเป็นเรื่องจำเป็น เพื่อนำมาช่วยบรรเทาความเสียหายจากภัยคุกคามเหล่านั้น 

อีกส่วนที่สำคัญมาก คือ องค์กรต้องมีการทำ Awareness ที่ดี อย่าหลงเชื่อ Phishing Email หรือ File ที่ถูกส่งมาด้วย Subject แปลก ๆ ถ้าในมุมของ IT Infrastructure ก็ควรจะมีระบบที่สามารถ ฺฺBackup และ Restore ได้อย่างมีประสิทธิภาพ เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากการถูกโจมตี

Privacy Enhanced Technology: PET

องค์กรหลาย ๆ แห่งเริ่มที่จะ Implement กระบวนการให้สอดคล้องกับ THAI PDPA แล้ว

จะเห็นได้ว่าองค์กรอาจจะมีความจำเป็นต้องนำ Technology หรือ Tools เข้ามาช่วยเพื่อให้กระบวนการสอดคล้องได้อย่างรวดเร็วและอัตโนมัติ โดยการนำพวกนี้เข้ามานั้นองค์กรต้องพิจารณาความคุ้มค่าในการลงทุนด้วย เพราะการนำ Technology เข้ามาช่วยนั้นถึงแม้จะดีแต่ก็มีส่วนที่ต้องพิจารณาเพิ่ม เช่น ความชำนาญของพนักงาน ค่า MA ระบบ เป็นต้น

ส่วนใหญ่ Technology ที่เข้ามาช่วยตอบโจทย์ด้านนี้ ได้แก่

1. Data Inventory/Data Mapping

2. Data Masking

3. Data Encryption

4. Consent Management

5. Cookie Management

โดยปัจจุบันมีหลายยี่ห้อที่มีความสามารถดังกล่าว เช่น IBM, ORACLE, OneTrust, SecuPI เป็นต้น 

 

Password ที่ดี

การตั้ง Password นั้นเป็นปัญหาใหญ่ของหลาย ๆ คน เพราะหากตั้งไม่ดีก็เสี่ยง ตั้งซํบซ้อนไปก็จำไม่ได้

จริง ๆ แล้ว การตั้ง Password มีเทคนิคอยู่เหมือนกัน เช่น

1. รหัส Password ที่ดีควรมีความยาวที่เหมาะสม โดยปกติไม่ควรต่ำกว่า 8 ตัวอักษร เพราะการตั้งให้ยาวมากเราก็จำไม่ได้ สั้นไปผู้ไม่ประสงค์ดีก็สามารถเดาได้โดยใช้เวลาไม่นาน

2. พยายามอย่าใช้ Password ที่เป็นเรื่องใกล้ตัวมากนัก เช่น บ้านเลขที่ วันเดือนปีเกิด หรือชื่อสัตว์เลี่ยง เป็นต้น

3. ใช้ตัวอักษรให้หลากหลาย อาจจะผสมทั้งตัวอักษรเล็ก ใหญ่ ตัวเลข อักขระพิเศษ เช่น aWsCl0UD@2020 เป็นต้น

ลองดูนะครับ เทคนิคนี้เป็นข้อมูลเบื้องต้นที่เรา ๆ ควรเริ่มนำมาใช้ในชีวิตประจำวัน และสำคัญอีกเรื่องคือระบบงานที่เราใช้อยู่ อย่าใช้ Password เดียวกันทั้งหมด เพราะพอ HACKER ได้ไป ก็สามารถเข้าถึงทุกระบบของเราได้อย่างง่ายดาย

สิ่งที่ CISO ควรจะทำในยุคนี้

ตำแหน่ง CISO (Chief Information Security Officer) ซึ่งถือว่าเป็นผู้นำในด้านความมั่นคงปลอดภัยขององค์กร โดยการที่ตำแหน่งนี้สำคัญจึงต้องมีสิ่งควรทำประกอบด้วย

 

1. นโยบายความมั่นคงปลอดภัยในองค์กร

การที่องค์กรจะถูกนำพาไปสู่ความเป็น Cyber Resilience ได้ในอนาคตนั้น อย่างแรกที่เราควรมีคือนโยบายที่ดี ซึ่งอาจจะอ้างอิงกับมาตรฐานหรือ Framework ใด ๆ ก็ตาม เช่น ISO, NIST CSF, Cyber Essential เป็นต้น และที่สำคัญที่สุดเมื่อมีนโยบายก็ต้องมีการปฎิบัติตามด้วย ทั้งในระดับปฎิบัติการและระดับผู้บริหารเพื่อปกป้องตนเองจากการตกเป็นเหยื่อของอาชญากรไซเบอร์และเป็นตัวอย่างที่ดีแก่พนักงาน 

2. การลงทุนด้านความมั่นคงปลอดภัย

การลงทุนด้านความมั่นคงปลอดภัยนั้น เราควรจะลงทุนอย่างมีวินัย มีกรอบ มีจุดมุ่งหมายที่ชัดเจน โดยเฉพาะอย่างยิ่งในช่วง COVID-19 ที่เปิดให้พนักงานสามารถ Work from Home ได้ สิ่งเหล่านี้มักมาพร้อมกับช่องโหว่ใหม่ๆ เมื่อมีช่องโหว่มากขึ้น การโจมตีก็จะเพิ่มมากขึ้น ส่งผลให้ความเสี่ยงขององค์กรเพิ่มสูงขึ้นตาม 

3. การพัฒนาบุคลากรด้านความมั่นคงปลอดภัย

เราปฏิเสธไม่ได้ว่าคนเป็น Asset สำคัญในองค์กร ดังนั้นสิ่งสำคัญฌช่นนี้จึงต้องถูกดูแลให้ดี ทั้งในด้านพัฒนาศักยภาพ ความรู้ ความชำนาญ ถ้าเรามีอุปกรณ์ดี เทคโนโลยีขั้นเทพ แต่ใช้ไม่เป็นก็เท่านั้นไม่สามารถช่วยอะไรได้ ถ้าองค์กรใดสามารถส้รางและ Maintain คนกลุ่มนี้ได้ องค์กรนั้นก็สามารถยกระดับตนเองได้มากขึ้นตาม หน้าที่นี้ CISO จึงควรจะทำในอันดับแรก ๆ

4. การรับมือสิ่งไม่คาดคิด

จาก COVID-19 ที่แพร่ระบาดในขณะนี้ที่มีการแพร่ระบาด หรือภัยพิบัติทางธรรมชาติ CISO จำเป็นต้องมีการรับมือและเอาใจใส่ เพราะนอกจากเราต้องปกป้องสุขภาพคนแล้ว ระบบงานก็ต้องสามารถทำงานได้อย่างต่อเนื่อง เพื่อตอบสนองธุรกิจที่มีความไม่แน่นอนสูง

PIMS กับ ISMS

ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) ซึ่งเป็นส่วนขยายจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) 

 

ซึ่งองค์กรสามารถเลือกการขอรับรองได้ตามบทบาทหน้าที่ ไม่ว่าจะเป็น Data Controller หรือ Data Processor เพราะส่วนของ Control จะแยกกันอย่างชัดเจน ก็คือ Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) อีกทั้งในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็นบริบทองค์กร การวิเคราะห์ปัจจัยภายในและภายนอก การประเมินความเสี่ยงก็จะมีในเรื่องของการพิจารณาความเสี่ยงที่เกี่ยวข้องกับ Privacy Risks เป็นต้น

อย่างไรก็ตามการขอการรับรองมาตรฐานนั้น องค์กรจำเป็นต้องได้รับการรับรอง ISO/IEC 27001:2013 บนขอบเขตที่ไม่น้อยกว่าการขอรับรอง ISO/IEC 27701:2019 เท่านั้น จึงเป็นที่มาว่าองค์กรจะต้องวางแผนให้ดีและสอดคล้องกับกระบวนการที่จะต้องปรับปรุงองค์กรให้เป็นไปตามข้อกำหนดใน THAI PDPA ด้วย

ISO/IEC 27001:2013 Foundation Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากทางบริษัท คิวบิกโปร จำกัด

ในการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation Training เมื่อวันที่ 5 มิถุนายน 2563 ซึ่งแสดงถึงวิสัยทัศน์ในการให้ความสำคัญด้าน Security and Compliances ของผู้บริหารองค์กร เพื่อนำไปสู่การรับรองมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลในอนาคต

DPO ทำหน้าที่อะไร?

ถึงแม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนไป ปี ในบางมาตรา แต่เรื่องความปลอดภัย (Security) ไม่ได้ถูกเลื่อนออกไป 

การเป็น DPO ที่ดีนั้นควรจะมีความรู้ทั้งด้าน IT และ Legal หน้าที่หลัก ๆ เขามีดังนี้ 

1. สร้างและพัฒนากระบวนการตามมาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC 29100:2011, ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น  

2. สร้างกระบวนการตรวจสอบ ทบทวนและปรับปรุงกระบวนการประเมินความเสี่ยง (Risk Management) ขององค์กรอย่างเป็นประจำ

3. จัดฝึกอบรมพนักงานให้มีความเข้าใจในเรื่องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 

อีกทั้งตำแหน่งนี้จะต้องสามารถประสานงานคนภายในองค์กร เจ้าของข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดี นั้นจึงทำให้ตอนนี้ตลาดแรงงานจึงมีความต้องการคนที่ความสามารถแบบนี้เป็นอย่างมาก

ISO 27701 คืออะไร???

ISO/IEC 27701:2019 มาตรฐานที่ต่อยอดมาจาก ISO/IEC 27001;2013 โดยจะให้ความสำคัญในด้าน Privacy ยิ่งขั้น

โดยมีการเพิ่มข้อกำหนดสำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งก็จะสอดคล้องกับความต้องการของกฎหมายและข้อบังคับในปัจจุบันอย่าง GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรฐานนี้ถูกออกแบบมาเพื่อเป็นกรอบการทำงานทั้งสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ซึ่งช่วยให้บริหารจัดการมาตรการควบคุมด้านความเป็นส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงอันเนื่องมาจากการละเมิดความเป็นส่วนบุคคล

อย่างไรก็ตามองค์กรที่ต้องการรับรองมาตรฐานดังกล่าว จะต้องได้การรับการรับรองมาตรฐาน ISO/IEC 27001:2013 เสียก่อนและต้องได้รับการรับรองในขอเบเขตที่เกี่ยวกับระบบที่เก็บข้อมูลส่วนบุคคลด้วย ดังนั้นมาตรฐานนี้ก็น่าจะเป็นนิยมอย่างสูงเหมือนกับ ISO ด้าน Security อื่น ๆ ในอนาคต

ฺBuild ระบบ Security Analytics รับมือภัยคุกคาม

เดี๋ยวนี้ภัยคุกคามในระบบ IT มีความหลากหลายและซับซ้อนมากยิ่งขึ้นในแต่ละวัน องค์กรหลาย ๆ แห่งจึงตัดสินใจนำเอา Solutions เข้ามาใช้ช่วยวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยและตรวจจับภัยคุกคาม

Solutions แบบหนึ่งที่องค์กรนิยมนำมาใช้ คือ ระบบ SIEM ซึ่งในตลาดนั้นมีอยู่หลายยี่ห้อมาก บางยี่ห้อก็อยู่ในการจัดอันดับของ Gartner และมีการผสมผสานระบบ Security Intelligence, รวมถึงการนำ AI และ Machine Learning มาประยุกต์ใช้งานด้านการวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยอีกด้วย

จุดเด่นหลักๆ ของ SIEM ที่เราควรนำมาพิจารณา มีดังนี้

1. ควรจะรองรับการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ 

2. มีระบบตรวจจับค้นหาภัยคุกคามได้ด้วย Built-in Analytics และสามารถเชื่อมโยงความสัมพันธ์โดยใช้ AI เพื่อช่วยลดระยะเวลาในการวิเคราะห์

3. มีการจัดการข้อมูลที่ดี และบริหารจัดการได้ง่ายสำหรับผู้ใช้งาน

อีกประเด็นที่องค์กรควรจะพิจารณาควบคู่กันไป ก็คือความชำนาญของทีมงานบริหารจัดการ เพราะยิ่งถ้าเราใช้เทคโนโลยีเข้ามาช่วยมากเท่าไร คนของเราก็ควรจะมีความสามารถที่ดูแลมันได้ดีด้วย

ดังนั้นคนกลุ่มนี้จึงควรมีประสบการณ์ด้าน Security หรือผ่านการอบรมหลักสูตรที่เกี่ยวข้อง เช่น Incident Response, Forensics, Ethical Hacking เป็นต้น

ความมั่นคงปลอดภัยสำหรับองค์กร

ช่วงนี้หลาย ๆ องค์กรทำงานอยู่ที่บ้าน (WFH) ซึ่งก็มีประเด็นด้าน Security ที่ควรจะพิจารณาในหลาย ๆ เรื่อง

PROUD มีคำแนะนำให้ธุรกิจองค์กรพิจารณาในด้าน Security โดยเฉพาะอย่างยิ่งสำหรับธุรกิจที่จะต้องเตรียมรับมือกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่กำลังจะเริ่มบังคับใช้ ดังนี้

  1. ความปลอดภัยของอุปกรณ์ การเลือกใช้งานอุปกรณ์จากผู้ผลิตที่ไว้วางใจได้ซึ่งมีกระบวนการในการรักษาความมั่นคงปลอดภัยและการตรวจสอบที่ดีนั้นก็จะช่วยลดความเสี่ยงจากการโจมตีได้ รวมไปถึงอุปกรณ์ที่มีการรับผิดชอบจากผู้ผลิตทั้งส่วน MA หรือ Patch ก็จะช่วยได้เช่นกัน ส่วนองค์กรอาจจะต้องมองถึงการทำ Hardenning Guideline ที่เหมาะสมเพิ่มเติมด้วย
  2. ความปลอดภัยส่วนบุคคล มีข้อมูลทีชี้ให้เห็นถึงการที่ข้อมูลรั่วไหลจากรหัสผ่านที่ถูกขโมยและมีเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้งานทำการกรอกข้อมูลมากขึ้นในทุก ๆ ปี ดังนั้นการใช้ระบบยืนยันตัวตนแบบ Multi-Factor Authentication หรือ Biometrics จึงเป็นทางเลือกที่ดีสำหรับองค์กรในการ Implement
  3. ความปลอดภัยของเครือข่าย ระบบเครือข่ายเองนั้นอาจตกเป็นเป้าของการโจมตีได้ ดังนั้นการเลือกวางระบบเครือข่ายด้วยอุปกรณ์และการออกแบบที่เหมาะสมนั้นก็จะสามารถช่วยในประเด็นนี้ได้ 
  4. ความปลอดภัยด้านข้อมูล การปกป้องข้อมูลไม่ให้รั่วไหลหรือเข้าถึงจากบุคคลที่ไม่เกี่ยวข้องได้นั้น จะช่วยลดความเสี่ยงและความเสียหายที่ธุรกิจจะต้องเผชิญลงได้ บางองค์กรก็จะใช้ DLP Tools หรือ Endpoint Solutions เข้ามาช่วย