ไทย
ค้นหา

คลังความรู้

LINE เปิดตัว “ศูนย์ข้อมูลส่วนตัวไลน์”

ประเทศไทยเป็นประเทศที่ใช้งานโปรแกรม "LINE" อันดับต้น ๆ ของโลก

ที่กรุงโตเกียว ประเทศญี่ปุ่น LINE ได้มีการประกาศเปิดตัวศูนย์ข้อมูลส่วนตัวไลน์ (LINE Privacy Center) โดยให้ความสำคัญกับการปกป้องความเป็นส่วนตัวและข้อมูลส่วนตัวสำหรับผู้ใช้งานไลน์กว่า 167 ล้านคนทั่วโลก ทำให้ผู้ใช้งานรู้สึกปลอดภัยมากยิ่งขึ้น ซึ่งไม่แน่ใจว่าศูนย์ดังกล่าวจะมีผลกระทบใด ๆ กับการใช้งาน LINE ในประเทศเราบ้างหรือไม่ 

ถ้ามีข้อมูลเพิ่มเติมทาง PROUD จะมา Update ให้ทราบเป็นระยะ ๆ ครับ

Secured WFH

COVID-19 เปลี่ยนวิถีการทำงานของทุกองค์กรไปอย่างสิ้นเชิง 2 ใน 3 ขององค์กรทั่วโลกได้ย้ายพนักงานครึ่งหนึ่งให้ไปทำงานจากภายนอกสถานที่หรือ Work from Home

แน่นอนว่าเมื่อพนักงาน Work from Home มากขึ้น แฮ็กเกอร์ก็เริ่มเปลี่ยนไปเป็นการโจมตีพวกอุปกรณ์ตามบ้านอย่าง Router หรือระบบกล้องวงจรปิดแทน ที่สำคัญคือ เมื่ออยู่ภายนอกองค์กร มาตรการด้านความมั่นคงปลอดภัยต่างๆ ก็ลดน้อยลง ทำให้พนักงานตกอยู่ในความเสี่ยงที่จะถูกโจมตีมากขึ้น

PROUD จึงมีคำแนะนำ 5 ประการเพื่อให้พนักงานสามารถ Work from Home ได้อย่างมั่นคงปลอดภัย ดังนี้

1. ทำรหัสผ่านให้แข็งแกร่ง

ตั้งรหัสผ่านให้ยากต่อการคาดเดา และใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชี 

2. ใช้การพิสูจน์ตัวตนแบบ 2-Factor (2FA)

2FA เป็นการรวมกลไกพิสูจน์ตัวตน 2 แบบเข้าด้วยกัน คือ สิ่งที่คุณรู้ เช่น รหัสผ่าน และสิ่งที่คุณมี เช่น ลายนิ้วมือหรือ Security Token เพื่อเพิ่มเกราะป้องกันเมื่อต้องล็อกอินระบบขององค์กรจากที่บ้านไปอีกขั้น

3. แพตช์อุปกรณ์ที่บ้าน

อัปเดตแพตช์เวอร์ชันล่าสุดให้กับทุกอุปกรณ์ในบ้าน รวมไปถึงซอฟต์แวร์ต่างๆ ที่ใช้งานบนเครื่องของตนเองด้วย

4. เพิ่มความมั่นคงปลอดภัยให้แก่อุปกรณ์

โซลูชัน Advanced Endpoint Security แบบใหม่ หรือรู้จักกันในนาม Endpoint Detection and Response (EDR) นอกจากจะตรวจจับภัยคุกคามได้ดียิ่งขึ้น จึงควรใช้งานทั้งบนอุปกรณ์ของพนักงานและอุปกรณ์อื่นๆ ในบ้าน

5. รักษาความมั่นคงปลอดภัยให้เครือข่ายที่บ้าน

ควรเพิ่มหรืออัปเกรดแอปพลิเคชันด้านความมั่นคงปลอดภัยเพื่อป้องกันระบบเครือข่ายและอุปกรณ์ที่บ้านจากการโจมตีไซเบอร์ Router ส่วนใหญ่ในปัจจุบันมักมีฟีเจอร์ Gateway Security ดังนั้นแนะนำให้เปิดใช้งานตลอดเวลา 

SPAM COVID-19

ตั้งแต่ที่องค์การอนามัยโลก (WHO) ได้ออกมาประกาศยกระดับการแพร่ระบาดของ COVID-19 ให้เป็นภาวะการระบาดใหญ่ทั่วโลกเมื่อเดือนมีนาคม 2563

ทั้งนี้ อาชญากรไซเบอร์ได้วางแผนการโจมตีมาเป็นอย่างดีและพร้อมสับเปลี่ยนกลวิธีในการหลอกล่อเหยื่ออยู่ตลอดเวลา โดยอาศัยสถานการณ์นี้ใช้สแปมที่เกี่ยวกับ COVID-19 ในการขอเปิดโปรแกรมสินเชื่อเพื่อช่วยเหลือธุรกิจขนาดเล็กหรือขอเงินเยียวยา โดยต้องกรอกข้อมูลส่วนบุคคลเข้าไป ทำให้เกิดข้อมูลรั่วไหลได้อย่างง่ายดาย

วิธีการสังเกตและปกป้องตนเองจากสแปม

  • เลือกใช้แหล่งข้อมูลที่เชื่อถือได้ โดยเมื่อต้องการหาข้อมูล ควรเข้าไปที่เว็บไซต์ขององค์กรนั้นๆ โดยตรง แทนการคลิกที่ลิงก์ที่พาไปยังเว็บไซต์เหล่านั้น
  • อย่าเปิดเอกสารแนบที่ไม่รู้ที่มาที่ไป หรือเอกสารแนบที่ส่งมาจากแหล่งที่ไม่รู้จัก
  • ระมัดระวังสแกมที่เกี่ยวข้องกับ COVID-19 อยู่เสมอ อย่าเปิดดูอีเมลหรือข้อความที่ไม่รู้ที่มาที่ไป  ซึ่งโดยทั่วไปอีเมลเหล่านี้จะพยายามให้เราแชร์ข้อมูลส่วนบุคคล โดยใช้หน้าลงชื่อเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลประจำตัวของบัญชี หรือหลอกล่อให้เปิดเอกสารแนบที่ประสงค์ร้าย
  • ใช้การยืนยันตัวตนแบบหลายขั้นตอน (Multifactor Authentication) เช่น การตั้งค่ายืนยันตัวตนแบบหลายปัจจัยของบัญชีธนาคาร จะทำให้อาชญากรไซเบอร์ไม่สามารถเข้าสู่ระบบได้หากไม่มีการยืนยันตัวตนโดยตรงจากเจ้าของบัญชี
CSA ออก Cloud Controls Matrix v4

หลายท่านน่าจะรู้จักมาตรฐานด้านความมั่นคงปลอดภัยด้าน Cloud Computing ที่ชื่อว่า CSA STAR อยู่แล้ว

Cloud Security Alliance (CSA) ประกาศเปิดตัว Cloud Controls Matrix (CCM) เวอร์ชัน 4 โดยเพิ่มมาตรการควบคุมอีกกว่า 60 รายการ

CCM เป็น Framework ทางด้าน Cybersecurity Controls และถูกนำมาใช้เป็นมาตรฐานทั่วไปสำหรับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของการใช้ระบบ Cloud

นอกจากนี้ CCM เวอร์ชัน 4 ยังได้เพิ่มมาตรการควบคุมที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของการใช้ระบบ Cloud ใหม่ ๆ เข้ามา เพื่อให้ครอบคลุมกับเทคโนโลยี Cloud ในยุคปัจจุบัน และเพื่อให้สอดคล้องและใช้งานร่วมกับมาตรฐานอื่น เช่น ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27701:2019 เป็นต้น 

รู้เท่าทันภัย Phishing e-mail

ช่วงนี้หลาย ๆ ท่าน ทำงานแบบ WFH คงได้รับ e-mail แปลก ๆ กันบ้างใช่ไหม? ระวังอาจจะเป็น Phishing e-mail 

PROUD ได้สรุปข้อสังเกตเบื้องต้นในการตรวจสอบว่าเป็น Phishing e-mail หรือไม่ มาดังนี้

ระวังอีเมลที่ไม่รู้ว่าส่งจากใครกันแน่

ควรสังเกตอีเมลของผู้ส่งทุกครั้ง หากต้องติดต่อกับองค์กรอื่น ควรเป็นอีเมลที่ใช้ @ แล้วตามด้วยชื่อขององค์กรนั้น ๆ

หากเป็นอีเมลที่ไม่คุ้นเคย ห้ามเปิดโดยเด็ดขาด หรือถึงแม้คล้าย ๆ จะเป็นอีเมลองค์กรก็ควรเช็คให้ดีว่าสะกดชื่อองค์กรถูกหรือไม่ เพราะคุณอาจจะถูกหลอกได้

ให้กรอกข้อมูลส่วนตัว

อีเมลที่มีให้กรอกรายละเอียดส่วนตัว เช่น ชื่อ นามสกุล รหัส Username หรือ Password ต่าง ๆ อาจล่อลวงด้วยของรางวัลพิเศษ

หรือชิงโชครางวัลใหญ่ ๆ

หัวข้อหรือเนื้อหาสะกดคำผิด ๆ ถูก ๆ

แฮกเกอร์ส่วนใหญ่ไม่ได้ให้ความสำคัญกับการสะกดคำให้ถูกต้อง อาจมีการใช้รูปคำ หรือประโยคที่ผิดหลักไวยกรณ์ของเจ้าของภาษา

ลิงก์ที่แนบมาไม่ตรงกับที่อยู่จริง

สามารถตรวจสอบง่าย ๆ เพียงเอาเม้าส์ไปชี้ที่ลิงก์นั้น ซึ่งมีที่อยู่ไม่ตรงกับลิงก์ที่ส่งมา อาจเป็นลิงก์ที่หลอกลวงไปยัง URL อีกหน้าก็เป็นได้

ไฟล์แนบชื่อแปลก ๆ ต้องเอะใจไว้ก่อน

สังเกตไฟล์ที่แนบมาอาจตั้งด้วยชื่อแปลก หรือยาวเกินจริง ซึ่งไฟล์ดังกล่าวอาจแฝงมัลแวร์ และเป็นอันตรายต่อเครื่องของพิวเตอร์เมื่อคุณแค่เปิดหรือดาวน์โหลดไฟล์นั้น

ISO 27001 Celebration

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด ในเครือบริษัท ที่ไอ.แอล.เอส. จำกัด

ในการให้ปรึกษา ISO/IEC 27001:2013 จนได้การรับรองมาตรฐานสำเร็จในช่วงต้นปี 2564 ที่ผ่านมาก ซึ่งมาตรฐานดังกล่าวเป็นพื้นฐานทาง IT ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศและเป็นมาตรฐานที่สามารถต่อยอดไปสู่ IT Standards อื่น ๆ ได้อีกมากมาย เช่น ISO 27701, CSA STAR แสดงถึงวิสัยทัศน์ของผู้บริหารองค์กรที่ให้ความสำคัญทางด้าน IT ซึ่งเป็นหน่วยงานสนับสนุนกระบวนการต่าง ๆ ภายในองค์กร

 

Data Leak Prevention

การสูญหายของข้อมูล การเปลี่ยนแปลงแก้ไขอันมีผลให้ข้อมูลผิดเพี้ยนไปจากต้นฉบับ หรือ แม้แต่การละเมิด/เผยแพร่โดยไม่ได้รับอนุญาต 

 ล้วนแล้วแต่เป็นสิ่งที่ส่งผลกระทบกับธุรกิจขององค์กร รวมไปถึงชื่อเสียง และความน่าเชื่อถือ ทำให้หลายๆ องค์กร เริ่มให้ความสำคัญกับเรื่อง Data Protection มากขึ้น

การป้องกันข้อมูลนั้นนอกจากจะต้องทำการป้องกันข้อมูลต่าง ๆ ขององค์กรเองแล้ว สำหรับบางธุรกิจอาจครอบคลุมไปถึงข้อมูลของลูกค้าด้วย เช่น ข้อมูลประวัติคนไข้ที่ทางโรงพยาบาลจัดเก็บ, ประวัติการซื้อขายหลักทรัพย์, ข้อมูลประเภท Personnel Information Identification เป็นต้น

การป้องกันข้อมูลมีขอบเขตแค่ไหน

นโยบายที่ดีควรจะครอบคลุมไปถึงในส่วนของการจัดระเบียบของข้อมูล และการใช้งาน ส่วนนี้เป็นส่วนที่หลายๆ องค์กรยังไม่ได้ลงในรายละเอียดนัก แต่ควรที่จะต้องเริ่มคิดวางแผนในการจัดระเบียบตั้งแต่วันนี้ เพราะยิ่งปล่อยให้เวลาผ่านไปจะทำให้ยาก และซับซ้อนขึ้น

การป้องกัน และกำกับดูแล

การป้องกันและกำกับดูแลนั้นเริ่มจากการจัดระเบียบของข้อมูล สิ่งแรกที่จะต้องรู้ คือองค์กรจะใช้ประโยชน์อะไรจากข้อมูลแต่ละประเภทบ้าง ซึ่งจะทำให้เราสามารถทราบถึงวัตถุประสงค์ขององค์กรในการใช้ข้อมูลต่าง ๆ ทำให้ทราบความสำคัญ/Value ของข้อมูลแต่ละประเภท สิ่งที่ต้องทำประกอบกันไป คือ Data Classification หรืออย่างน้อยควรมีการคัดแยกข้อมูลออกเป็นกลุ่มเพื่อให้ทราบว่าควรจะดูแล และจัดเก็บอย่างไรให้เหมาะสม เมื่อข้อมูลถูกจำแนกออกเป็นกลุ่มที่ชัดเจนจะทำให้การกำกับดูแลทำได้ง่ายขึ้น งบประมาณก็จะถูกจัดสรรอย่างเหมาะสม

นอกจากการกำหนดนโยบายสำหรับการป้องกันการรั่วไหลข้อมูลแล้ว สิ่งที่ต้องคำนึงถึงอีกอย่างหนึ่งก็คือการรักษาความปลอดภัยของเครื่องที่ใช้ในการ Process หรือการเข้าถึงข้อมูล ในส่วนนี้เราจะต้องหลีกเลี่ยง/ป้องกัน Security Compromise ที่อาจเกิดขึ้น การทำ Patch Management, Asset Inventory, Endpoint Protection, การตรวจหาจุดอ่อนของ Server/Application (Vulnerability and Penetration Testing) สิ่งเหล่านี้จะต้องมีการทำอย่างต่อเนื่อง และอย่างสม่ำเสมอ

สุดท้ายที่จะขาดไม่ได้ คือการ Response และ Take Action ต่อเหตุการณ์ที่เกิดขึ้นให้ได้อย่างเหมาะสม และควรพึงระวังเรื่อง False Positive Incident ที่มีโอกาสที่เกิดขึ้นได้ การรวบรวมเหตุการณ์ที่เกิดขึ้นนี้ต้องอาศัย Technology- People- Process ทั้งสามอย่างจะต้องมีความสัมพันธ์กัน ขาดสิ่งใดสิ่งหนึ่งไม่ได้ ทุกอย่างจะต้องคำนึงถึง Business Objective เป็นหลัก Security Policy จะต้องมีความสมดุล ไม่เกิดความขัดแย้งในหลักการ

 

ISMS Internal Audit Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด

ดำเนินการจัดฝึกอบรม ISMS Internal Audit Training เมื่อวันที่ 2 พฤศจิกายน 2563 เพื่อเตรียมความพร้อมเข้าสู่กระบวนการตรวจรับรองมาตรฐาน ISO/IEC 27001:2013 ในอนาคตต่อไป

Maze Ransomware ภัยร้ายที่ควรระวัง

มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว

มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้ว

MICROSOFT ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk 

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware ทั้งในส่วนของเวลาที่ใช้ในปฏิบัติการ (Operation time) และหลักฐานหลังจากการโจมตี (Post-incident artifacts)

 

เรื่องน่ารู้เกี่ยวกับ Data Protection Officer

..คุ้มครองข้อมูลส่วนบุคคล พ..2562 เป็นกฎหมายที่มีคนให้ความสนใจเป็นจำนวนมาก เนื่องจากมีความเกี่ยวข้องกับทุกธุรกิจ 

ทำให้ตำแหน่งที่เรียกว่า Data Protection Officer (DPO)” กลายเป็นตำแหน่งที่เป็นที่ต้องการเป็นอย่างมาในช่วงเวลานี้ องค์กรต่างๆ จึงมีความจำเป็นที่จะต้องแต่งตั้งบุคลากรที่มีความสามารถ หรือจัดหา Outsourced DPO Service เพื่อดูแลในเรื่องนี้โดยเฉพาะ โดยหน้าที่หลัก ๆ ของตำแหน่งนี้คือ

ให้คำแนะนำ แก่บุคคลในองค์กรให้มีความรู้ ความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พ.ร.บ.

ตรวจสอบการดำเนินงาน ของผู้ที่มีการเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ประสานงาน ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และประสานงานกับบุคคลภายในองค์กร และเจ้าของข้อมูล

รักษาความลับ ของข้อมูลส่วนบุคคลที่เกี่ยวข้องจากการปฏิบัติตามหน้าที่ให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562