ไทย
ค้นหา

คลังความรู้

ข้อมูลใน Facebook หลุด!!!

มีข่าวจากเชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้พบข้อมูลโปรไฟล์ผู้ใช้งาน Facebook กว่า 267 ล้าน Records ได้ Leak ออกมา

 

โดยข้อมูลถูกขายใน Dark Web ตามที่มา https://www.bleepingcomputer.com/news/security/267-million-facebook-profiles-sold-for-600-on-the-dark-web/

ซึ่งทำให้มีผู้คาดการณ์ผู้ๆม่ประสงคืดีอาจจะใช้ข้อมูลดังกล่าวโจมตีด้านอื่นๆ อย่างต่อเนื่องต่อไป

ยังไงช่วงนี้มี Mail แปลกๆ มาก็ระวังกันหน่อยนะครับ เราอาจจะเป็นหนึ่งในข้อมูลที่ถูกซื้อขายกันอยู่

Privacy Enhanced Technology : PET

หลาย ๆ องค์กรเริ่มที่เข้าสู่กระบวนการ Implement PDPA อย่างเต็มรูปแบบ และนับถอยหลังจนถึงวันที่ 27 พฤษภาคม 2563

สิ่งที่หลีกเลี่ยงไม่ได้แน่นอน หลังจากเราเริ่มสร้างเอกสารต่าง ๆ ไม่ว่าจะเป็น Privacy Policy, Data Breach Notification Procedures หรืออื่น ๆ นั้นคือการเอาเครื่องมือด้าน Privacy ต่าง ๆ

เข้ามาช่วยในการทำงานให้มีประสิทธิภาพและอัตโนมัติมากยิ่งขึ้น เช่น

- Data Mapping and Discovery

- Consent Management

- Cookie Management

- Data Masking/Encrpytion

- Right Management System

- SecureCode Training

เป็นต้น ในตลาดมีหลายยี่ห้อมากที่เป็นที่นิยม ซึ่งส่วนใหญ่จะเป็น Tools ของต่างประเทศ อย่างไรก็ตาม การที่องค์กรจะเลือกเครื่องมือมาใช้ก็คงต้องคิดทั้งในเรื่องค่าใช้จ่าย คนที่มาดูแล รวมไปถึงความเหมาะสมสำหรับธุรกิจของตัวเองด้วย เพราะการแค่ซื้อของคงไม่ตอบโจทย์ทั้งหมดในการปกป้อง Privacy และ Security ได้ 

อย่าลืมว่าสิ่งที่เราต้องให้ความสำคัญที่สุดในเรื่องนี้คือ ทรัพยากรบุคคล ดังนั้นนอกจากการซื้อเครื่องมือแล้ว เราก็ควรสร้างจิตสำนึก ความตระหนักรู้ในด้าน Privacy and Security ใ้แก่พนักงานภายในองค์กรเราด้วย

 

IT Audit for PDPA

ในปัจจุบัน องค์กรหลาย ๆ ที่เริ่มเข้าสู่กระบวนการปฎิบัติเพื่อให้สอดคล้องกับพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หน่วยงานที่จะต้องปรับตัวเพื่อให้เป็นไปตามกระบวนการนั้นก็คือ IT Audit โดยปกติถ้าเป็นองค์กรขนาดใหญ่ ก็จะมีส่วนงานนี้เป็นข้งตนเอง แต่ยางองค์กรก็นิยมจะ Outsource ในส่วนการบริการนี้ให้กับที่ปรึกษาภายนอกทำแทน โดย IT Domain ที่จะต้องพิจารณาตอนตรวจเพื่อให้สอดคล้องกับ PDPA นั้นหลักๆ มีอยู่ 3 ส่วน

- Technical Layer

- IT Management

- IT Controls

Technical Layer ก็จะพิจารณาตั้งแต่ Infrastructure, Application Systems, Database, Operating Systems, Network ต่างๆ 

IT Management ก็จะพิจารณาหลายๆ ส่วน เช่น Evaluate, Direct and Monitor (EDM), Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Delivery, Service and Support (DSS), Monitor, Evaluate and Assess (MEA)

IT Controls ก็จะดูจาก Application Controls, General Controls ต่างๆ รวมไปถึง Change Management ด้วย

ดังนั้นหน่วยงานนี้จึงเป็นกลไกหลักที่สำคัญ ที่เป็นผู้บอกว่าที่เราทำมานั้น มีจุดไหนที่ควรปรับปรุงหรือความสอดคล้องบ้าง เพราะหลายๆ ที่ไม่ได้แค่ต้องการความสอดคล้อตาม พรบ. เท่านั้น

เขายังจะมองไปที่การได้การรับรองมาตรฐาน ISO 27701 (IMS: Privacy Information Management Systems) ด้วย ซึ่งเป็นมาตรฐานทางด้านนี้โดยตรง

Work from Home ให้ Secure

หลาย ๆ องค์กรเริ่มออกนโยบายให้พนักงานสามารถทำงานจากที่บ้านได้ในช่วงที่ COVID-19 กำลังระบาดหนัก เพื่อเป็นการควบคุม Social Distances หลีกเลี่ยงการพบปะผู้คนและตอบสนองนโยบายรัฐ

ดังนั้นการทำงานจากที่บ้านอาจจะจำเป็นที่ต้องมีการลงโปรแกรมบางอย่างในการช่วยงาน เช่น WebEx, Zoom, MicrosoftTeam เป็นต้น ดังนั้นจึงควรมีการ Updated อุปกรณ์ ระบบปฏิบัติการ และซอฟต์แวร์แอปพลิเคชันต่างๆ ให้เป็นเวอร์ชันล่าสุด รวมไปถึง Patch ด้านความมั่นคงปลอดภัย ในบางครั้งการทำงานบางระบบจำเป็นต้องใช้ Virtual Private Network (VPN) เพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่รับส่งระหว่างพนักงานที่ทำงานที่บ้านและเครือข่ายภายในออฟฟิสจะถูกเข้ารหัสและได้รับการปกป้อง 

อีกทั้งการทำงานในลักษณะนี้ การรับส่ง Email กลายเป็นช่องทางสื่อสารหลัก ดังนั้นโอกาสที่ผู้ใช้งานทั่วไปจะพบเจอ Phishing Email มากขึ้น จึงควรจะมีการทำ Security Awareness ที่มากขึ้นตามมาด้วย

การใช้งาน Cloud Storage ก็เป็นส่วนหนึ่งที่ควรจะเป็นจุดที่ควรระวังและควรมีการป้องกันอย่างดี อย่างน้อยพนักงานจำเป็นต้องพิสูจน์ตัวตนก่อนและการมีระบบ 2-Factor Authentication ก็เป็นสิ่งที่ช่วยยกระดับการรักษาความมั่นคงปลอดภัยให้สูงยิ่งขึ้น

นี้คือสิ่งงง่ายๆ ที่ช่วยให้การทำงาน WFH มีความ Sucre มากขึ้น และเจ้าของกิจการจะได้รู้สึกมั่นใจระดับหนึ่งว่าข้อมูลเราไม่รั่วไหลหรืออย่างน้อยก็เป็นการฝึก Business Continuity Plan สำหรับองค์กรไปในตัว

PDPA เราควรเริ่มได้หรือยัง???

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะเริ่มมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคล ภาครัฐหรือรัฐวิสาหกิจที่จะต้องปฏิบัติตาม (ยกเว้นองค์กรที่เข้าข่ายตามมาตรา 4)  โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ครอบคลุมไปถึงข้อมูลลูกค้า พนักงาน หรืออื่นที่เกี่ยวข้องด้วย

ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง อีกทั้งเจ้าของข้อมูลสามารถถอนความยินยอมได้ และเมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

องค์กรเหล่านั้นจึงจำเป็นต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

ดังนั้นองค์กรควรเริ่มพิจารณาตนเองว่าทำหน้าที่อะไร Data Controller, Data Proccessor มีกระบวนการจัดเก็บข้อมูลอย่างไร จัดเก็บอย่างถูกต้องและขออนุญาตหรือไม่ รวมไปถึงตรวจสอบรูปแบบการรักษาความมั่นคงปลอดภัย และระบบแจ้งเตือนเมื่อเกิดเหตุละเมิดให้เหมาะสม

เหลือเวลาอีกไม่นานแล้ว เราควรจะเริ่มได้หรือยัง? ต้องถามองค์กรท่านดู

Work From Home: COVID-19

อย่างที่ทราบกัน ตอนนี้โรคระบาด COVID-19 กำลังกระจายตัวในประเทศไทยอย่างน่าตกใจ จนในกรุงเทพฯ จะเป็นเมืองร้าง ปราศจากคนเดินทางไปไหนมาไหน

 

หลายๆที่ องค์กรเริ่มมีมาตรการค่อยๆ ออกมาเรื่อยๆ เพื่อป้องกันเหตุที่ไม่พึงประสงค์ รวมไปถึงในมุมของการ Work From Home ซึ่งเป็นจุดเริ่มที่ดีในการควบคุมโรคระบาดและตอบโจทย์ภาครัฐในแง่การการบริหารจัดการตามาตรฐานสากล สิ่งที่สำคัญที่สุดคือชีวิตประชาชนที่คงต้องปรับเปลี่ยนจากการทำงานแบบปกติเป็นการทำงานแบบ Virtual มากขึ้น เช่น

1. ทำงานที่่บ้านผ่านการประชุมทางไกล

2. คุยกับลูกค้าผ่านทางไลน์หรือ Web Chat 

3. การแชร์เอกสารผ่านทางระบบ Cloud

4. การเดินทางที่ต้องระมัดระวัง Social Distance

5. หลีกเลี่ยงพื้นที่ชุมนุมคนจำนวนมาก

เป็นต้น

สิ่งที่สำคัญที่สุด คือใช้เวลาช่วงนี้ดูแลครบครัวและตัวเองให้มีสุขภาพแข็งแรง พร้อมรับสถานการร์ทั้งที่แย่และทั้งที่ดีในอนาคต

เราจะผ่านมันไปด้วยกัน!!!!

หลอกติดตั้งมัลแวร์เว็บอัปเดตสถานการณ์ COVID-19

ช่วงนี้ทุกคนนิยมเข้า Website ที่มีการ Update ข้อมูลของผู้ติดเชื้อ Covid-19 แต่หารู้ไม่ว่ามีภัยแฝงซ่อนตัวอยู่

มีการเตือนจากผู้เชีย่วชาญจากหลายๆ Product เช่น Check Point เป็นต้น ว่ามีเว็บไซต์ปลอม ที่อัปเดตการแพร่กระจายของไวรัสโคโรน่า จำนวนผู้ติดเชื้อ สถิติการเสียชีวิต โดยพบว่าผู้ไม่ประสงค์ดีจะใช้วิธีล่อลวงให้ดาวน์โหลดแอปพลิเคชันเพื่อติดตามสถานการณ์ แต่อันที่จริงแล้วก็คือมัลแวร์ที่สามารถขโมยข้อมูลส่วนบุคคลจากทางเราได้ 

ดังนั้นการทำอะไรก็ตามในช่วงนี้จึงต้องระวังตัวเป็นพิเศษ อีกทั้งระยะนี้ก็มี FAKE NEWS ออกมาเป็นช่วงๆ จึงทำให้มีช่องทางที่สามารถถูกโจมตีทาง Cyber มากยึ่งขึ้น

FAKE NEWS!!!

ทุกวันนี้หากใครใช้งานสือสังคมออนไลน์ โพสต์สือแบบสาธารณะ  ยิ่งมีเพื่อนหรือผู้ติดตามเยอะ  การแพร่กระจายสือจะเป็นไปอย่างรวดเร็ว 

เพียงแต่โพสต์ลงบนหน้า Feed หรือเพจ ก็ถือเป็นการกระจายสือ ที่แทบไม่มีต้นทุนใดๆ ใครก็สามารถเป็นผู้ผลิตสือได้ จึงเกิดสือที่ ไม่มีคุณภาพ ข้อมูลผิด ทั้งที่เกิดจากความตั้งใจหรือไม่ตั้งใจ จึงเกิดเป็นที่มาของคำว่า "Fake News"

โดยมีหลักการการเป็นผู้รับสือ เพื่อการป้องกันและรับมือข่าวปลอม ดังต่อไปนี้

  1. รับข่าวจากสือที่น่าเชื่อถือได้ สามารถตรวจสอบได้
  2. ไม่อ่านข่าวหรือรับข่าวจากสือใดสือหนึ่งเพียงด้านเดียว ต้องเช็คหลายๆ แหล่งเพื่อความชัดเจน
  3. อย่ากดแชร์ข้อมูลที่เราไม่รู้แหล่งที่มา หรือไม่รู้ว่าข่าวดังกล่าวเป็นข่าวจริงหรือเปล่า เพราะอาจสร้างความเสียหายที่เกิดจาก Fake News ได้

 

Phishing and E-Learning Services
เนื่องด้วยปัจจุบันองค์กรและธุรกิจหลายๆ แห่งมีความเสี่ยงในการถูกโจมตีทางด้าน Cyber
 
 
  
จึงทำให้ผู้บริหารจำเป็นต้องมีการสื่อสารและทำ Security Awareness ให้แก่ผู้ใช้งานและพนักงานอย่างเป็นรูปธรรมและเป็นประจำ
บริษัท พราวด์ คอนซัลติ้ง จำกัด ซึ่งเป็นบริษัทที่ให้คำปรึกษาทางด้าน IT Standards จึงมีความประสงค์นำเสนอบริการทางด้าน
Phishing Solutions ซึ่งสามารถเชื่อมต่อกับ E-Learning Services เพื่อให้องค์กรสามารถใช้ระบบในการทำ Awareness ได้อย่างมีประสิทธิภาพและเพื่อตอบสนองกฏระเบียบหรือข้อบังคับในหลายๆ Regulators

 

อาชญากรรมไซเบอร์ (Cybercrime) ภัยใกล้ตัวเรา

ภัยคุกคามทางไซเบอร์ได้เพิ่มระดับความรุนแรง และมีความซับซ้อนในการโจมตีมากขึ้น ความเสียหายที่เกิดจากการอาชญากรรมและการโจมตีทางไซเบอร์จะมีผลต่อธุรกิจทั้งภาครัฐและเอกชนอย่างร้ายแรง

รูปแบบของอาชญกรรมไซเบอร์มีตั้งแต่เจาะเข้าไปในระบบปฏิบัติการคอมพิวเตอร์ของสถาบันการเงินแล้วโจรกรรมข้อมูลบัญชีธนาคารของลูกค้า จากนั้นก็นำไปแสวงหาประโยชน์ทางการเงินในรูปแบบต่างๆ หรือการได้มาซึ่งข้อมูลความลับทางธุรกิจ เช่น การสั่งซื้อ-ขายสินค้าระหว่างกัน รวมถึงเลขที่บัญชีธนาคารคู่ค้าของบริษัท แม้แต่การเข้าไปล้วงข้อมูลส่วนตัวของผู้ป่วย ไม่ว่าจะเป็นเลขบัตรประชาชน วันเกิด ที่อยู่ เบอร์โทรศัพท์ อีเมล์ เลขบัตรเครดิต 

เนื่องจากการปัจจุบันเทคโนโลยีใหม่ๆ เกิดขึ้นตลอดเวลา ทำให้องค์กรต้องมีการตื่นตัวและให้ความสำคัญในความมั่นคงปลอดภัยไซเบอร์เพิ่มมากขึ้น อย่างไรก็ตามการรักษาความปลอดภัยของระบบงานในองค์กรนั้น ไม่ใช่เรื่องง่าย เนื่องจากมุมมองของความเข้าใจในเรื่อง Cyber ระหว่างผู้บริหารและทีมงานด้าน IT ที่มีความแตกต่างกัน ก็เป็นอุปสรรคสำคัญในการขับเคลื่อนกระบวนการด้าน Cybersecurity และจากที่ได้กล่าวไปแล้ว ความสะดวกในการเข้าถึงระบบโดยใช้เทคโนโลยีจึงทำให้มีการเชื่อมต่อองค์กรกับโลกภายนอกอย่างหลีกเลี่ยงไม่ได้ ซึ่งจะเป็นเป้าหมายสำหรับอาชญากรทางไซเบอร์ที่สูงขึ้น 

การป้องกันจึงเป็นสิ่งจำเป็น โดยเริ่มจากการดูแลระบบรักษาความปลอดภัยของระบบคอมพิวเตอร์ให้ทันสมัยอยู่เสมอ การหมั่นตรวจสอบป้องกันช่องโหว่ที่อาจเกิดขึ้น การสำรองข้อมูลทางธุรกิจของตนเองไว้อย่างสม่ำเสมอ รวมไปถึงการให้ความรู้แก่พนักงานผู้เกี่ยวข้องให้ตระหนักถึงความปลอดภัยของระบบปฏิบัติการคอมพิวเตอร์ หากทำได้ก็จะช่วยป้องกันภัยจากอาชญากรรมไซเบอร์ได้ในระดับหนึ่ง จะเห็นว่าความเสี่ยงที่เกิดขึ้นจากอาชญากรรมไซเบอร์สามารถป้องกันได้ หากสร้างวิธีการป้องกันอย่างรัดกุม เพื่อไม่ให้ภัยคุกคามเหล่านั้นสร้างความเสียหายแก่ธุรกิจของผู้ประกอบการในยุค Digitalized Economy ได้