คลังความรู้

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากบริษัท ไอแอม คอนซัลติ้ง จำกัด ในการจัดการฝึกอบรม Security Awareness

ให้แก่ผู้บริหารและพนักงานในองค์กร ในการเสริมสร้างความรู้ ความเข้าใจและเป็นการสร้างความตระหนักในด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้สอดคล้องกับมาตรฐานและกฎระเบียบต่าง ๆเช่น เช่น PDPA, Cybersecurity ACT. เป็นต้น โดยได้จัดการฝึกอบรมไปเมื่อวันที่ 28 สิงหาคม 2562 ที่ผ่านมา

บริษัท สยามฟาร์มาซูดิคอล จำกัด ได้ให้ความไว้วางใจบริษัท พราวด์ คอนซัลติ้ง จำกัด ในการเป็นที่ปรึกษาโครงการ ISO/IEC 27001:2013

 โดยบริษัทได้รับการรับรองมาตรฐานดังกล่าวไปเมื่อเดือนพฤษภาคม 2562 ที่ผ่านมา ทางผู้บริหารบริษัท พราวด์ คอนซัลติ้ง จำกัด จึงขอเข้าพบเพื่อขอแสดงความยินดีแก่ตัวแทนผู้บริหารระดับสูงของบริษัท สยามฟาร์มาซูดิคอล จำกัด เมื่อวันที่ 22 สิงหาคม 2562

อันแสดงถึงวิสัยทัศน์ของบริษัทที่ให้ความสำคัญด้านความมั่นคงปลอดภัยสารสนเทศ และเป็นการสร้างความตระหนักด้านการทำมาตรฐานที่เป็นประโยชน์แก่องค์กรอย่างยั่งยืนต่อไป

บริษัท พราวด์ คอนซัลติ้ง จำกัด มีความยินที่ได้เข้าไปทำการ Awareness แก่ทีมผู้บริหารของบริษัท กรุงเทพ พยาธิ-แลป จำกัด

ไปเมื่อวันที่ 19 กรกฎาคม 2562 ที่ผ่านมา โดยเนื้อหาจะเป็นไปตาม พรบ. การคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีการรประกาศไปเมื่อเดือนพฤษภาคม 2562 ซึ่งเป็นจุดเริ่มที่ดีในการสร้างความรู้ ความเข้าใจ กฏระเบียบดังกล่าว ที่จะต้องนำมาปรับใช้ภายในองค์กรwได้อย่างมีประสิทธิภาพ

การตั้ง Password นั้นมีหลายรูปแบบ แต่ในความเห็นของพราวด์ เราควรตั้งตาม Concept ง่ายๆ ดังนี้

1. อย่าง่ายไป

รหัสผ่านที่ดีจำเป็นต้องมีความซับซ้อนและความยาวเพื่อให้การคาดเดาทำได้ยากและเสียเวลาเดานาน โดยปกติควรมีความยาวประมาณ 12 ตัวอักษร โดยประกอบด้วยตัวเลข ตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ และอักขระ อย่าตั้งอะไรที่ง่ายต่อการจดจำ เช่น "1234567"  "password" "qwerty"

2. อย่าใช้รหัสผ่านซ้ำ

การใช้รหัสซ้ำนั้นมีความเสี่ยงสูงมาก แนะนำให้ใช้รหัสที่แตกต่างกันในการตั้งของแต่ละระบบ On-line หรือ Social System เนื่องจากรหัสผ่านเราอาจจะหลุดไปแล้วก็ได้ตามข่าวในระบบ On-line ชื่อดังที่มีการแจ้งว่ารหัวผ่านหลักหลายพัน Account ที่มีการรั่วไหล

3. อย่าสื่อถึงตัวเรา

บางคนตั้งตามชื่อสัตว์เลี้ยง ชื่อคนรัก วันเกิดเรา บ้านเลขที่ เพราะอย่าลืมว่ายิ่งเป็นตัวตนเราเท่าไรยิ่งถูกเดาง่าย ถ้าจะตั้งก็ควรจะใช้อักขระพิเศษมาแทนตัวอักษรปกติ เช่น 0 แทน o หรือ @ แทน a เป็นต้น

นี้คือพื้นฐานการช่วยให้ตั้ง Password ได้ดียิ่งขึ้นนะครับ สำคัญที่สุดคืออย่าแชร์ Password ร่วมกับใครเด็ดขาด!!!

ธุรกิจในปัจจุบัน มีการใช้งานบนคลาวด์มากขึ้น ทั้งส่วนของ Infrastructure หรือ Applications ก็ตาม

ดังนั้น Security บนนั้นก็เป็นสิ่งที่หลายองค์กรก็ให้ความสำคัญเช่นกัน นั้นจึงเป็นที่มาที่หลายๆ Service Provider เริ่ม Implement กระบวนการมาตรฐานหลายๆ อย่างที่เกี่ยวข้อง เช่น

- ISO/IEC 27001:2013 Cloud Services

- ISO/IEC 27017:2015 Cloud Security

- CSA STAR

เป็นต้น ซึ่งยักษ์ใหญ่ในวงการที่เป็นระดับโลก ก็ได้รับการรับการรับรองไปมากแล้ว เช่น Google, Amazon AWS, Microsoft Azure 

นอกจากเรื่องนี้ แล้วสิ่งที่สำคัญที่ทุกๆ แห่งควรจะมีถ้าให้บริการ Cloud คือแผนการรับมือเหตุไม่คาดคิด (Incident Response Plan) เพราะเมื่อเกิดเหตุแล้ว ก็สามารถมีคู่มือในการดำเนินการได้ทันท่วงที ดังนั้นองค์กรที่ต้องการใช้งาน Cloud Provider ที่ไหนก็ตาม ก็ควรจะพิจารณาสิ่งเหล่านี้ นอกจากมี Security ที่ดีพอแล้วก็ตาม

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับเชิญจากสำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ปปส.) ในการจัด Risk Management Workshop ให้แก่เจ้าหน้าที่ที่เกี่ยวข้อง

ณ สำนักงานใหญ่ ในวันที่ 27 มิถุนายน 2562 ที่ผ่านมา เพื่อเตรียมความพร้อมรับมือภัยคุกคามต่างๆ ในปัจจุบัน รวมไปถึงเป็นการปรับปรุงกระบวนการภายในองค์กรที่มีการประเมินความเสี่ยงตามกรอบมาตรฐาน ISO 31000 และ ISO 27005 ซึ่งเป็นที่ยอมรับในระดับสากล

หลักคุ้มครองข้อมูลส่วนบุคคล (GDPR) ได้ถูกบังคับใช้มาสักพักแล้ว ซึ่งกรอบการบังคับใช้ก็ยังเกี่ยวข้องกับสิทธิในกระบวนการ “เก็บ ใช้ ถ่ายโอน” ซึ่งทั้งสามส่วนก็เกี่ยวเนื่องกับ ความเป็นส่วนตัว (Privacy) ดังนั้นจึงมีผลกระทบต่อหลายๆธุรกิจแน่นอน ทั้งกลุ่มธนาคาร Cloud Provider โรงพยาบาล ธุรกิจการบินหรือแม้แต่ Mobile Operator

ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ก็ตามที่สามารถระบุหรือบ่งชี้ตัวตนของเราได้ ไม่ว่าจะเป็นเลขที่บัตรประชาชน ชื่อ นามสกุล วันเดือนปีเกิด ข้อมูลการแพทย์ เลขที่ Passport หมายเลขบัตรเครดิต หรือแม้แต่ สถานะทางสังคม ศาสนาหรืออื่นๆที่บ่งบอก Life Style ซึ่งข้อมูลพวกนี้เราไม่ทราบแน่นอนว่าคนเจัดเก็บมีกระบวนการอย่างไร หรือแม้แต่ตัวเราเองก็ไม่เคยตรวจสอบด้วยซ้ำว่าเราเคยให้ใครไปบ้าง

อีกทั้งตอนนี้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุุคคลของไทย ก็เพิ่งจะประกาศ ดังนั้นก็เป็นสิ่งที่ดีที่หลายๆ องค์กรในประเทศก็ควรจะเริ่มดำเนินการทำอะไรบ้างอย่างให้ตอบโจทยืทั้งกฏระเบียบภายในและภาบนอกประเทศไปเลย

ดังนั้นองค์กรที่เข้าข่ายจึงควรจะปรึกษาผู้เชี่ยวชาญด้านความเป็นส่วนตัว (Privacy) เพื่อสร้างขอบเขตการทำ GDPR ซึ่งจริงๆ แล้วก็มีมาตรฐานหลายๆ มาตรฐานที่สามารถช่วยให้การ Implement ง่ายขึ้น ISO 27001 , ISO 29100. ISO 27017 , PCI หรือ CSA Star เป็นต้น ประกอบกับให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับการใช้ เก็บ ส่ง แชร์และป้องกันข้อมูลองค์กร เพื่อสร้างมาตรการเบื้องต้นในการที่องค์กรจะต้องปฎิบัติตามกฎระเบียบนี้ต่อไป

เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ได้มีการประกาศ พ.ร.บ. 2 ฉบับที่กำลังโด่งดัง และมีผลบังคับใช้แล้วตั้งแต่วันที่ 28 พฤษภาคม 2562 นี้

เราลองเริ่มจากพ.ร.บ.ไซเบอร์ มีเจตนาที่ต้องการให้บังคับให้หน่วยงานที่ต้องปฏิบัติตามมาตรฐาน เรียกหน่วยงานประเภทนี้ว่า Critical Information Infrastructure หรือ CII คือผู้ให้บริการคอมพิวเตอร์แก่ประชาชนเป็นส่วนใหญ่ มีอยู่ 8 หน่วยงานตามมาตรา 49 เป็นหน่วยงานตามโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้งภาครัฐและเอกชน เพื่อให้ CII ทั้ง 8 แห่งเตรียมพร้อมรับมือกับการโจมตีด้วยการพัฒนาระบบรักษาความปลอดภัยไปในทิศทางเดียวกัน

ส่วน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่คุ้มครองและรักษาสิทธิประโยชน์ข้อมูลของผู้ใช้บริการเป็นหลัก ดังนั้นหน้าที่ของ พ.ร.บ.ทั้งสอง จึงเป็นการคุ้มครองคนละส่วนกัน แต่ทั้งสอง พ.ร.บ.นั้นก็มีเพื่อปกป้องพิทักษ์สิทธิของประชาชนผู้ใช้บริการทั้งสิ้น

แม้ว่า พ.ร.บ.ไซเบอร์จะมุ่งใช้กับ CII เป็นหลัก แต่ผู้ใช้บริการเองก็ต้องตระหนักและศึกษาผลกระทบจากข้อกฎหมายในส่วนนี้ด้วย คงต้องติดตามกันต่อไปว่า หลังมีการประกาศใช้แล้ว บรรดากฎหมายลูกที่ออกมาจะมีความชัดเจนอย่างไรบ้าง

อย่างไรก็ตามก็มีเนื้อหาบางส่วนที่ดูแล้วก็เหมือนมาเสริมกัน เช่น พ.ร.บ. ข้อมูลส่วนบุคคล บอกว่าจะ ‘เก็บ’ ต้องขอความยินยอมก่อนตามมาตรา 19 ในเอกสาร แต่มีข้อยกเว้น กรณีที่กฎหมายอื่นให้กระทำได้ และกรณีการเก็บข้อมูลเป็นการปฏิบัติตามกฎหมายตามมาตรา 24 คณะกรรมการมั่นคงไซเบอร์ไม่ต้องขอความยินยอมตามกฎหมายคุ้มครองข้อมูลฯ

และถ้าเรามองโลกในแง่ดี ความสำคัญของพ.ร.บ. ทั้ง 2 ฉบับดังกล่าว อาจจะช่วยสร้างความพร้อมให้กับประเทศในการรับมือความเสี่ยงและภัยคุกคามทางไซเบอร์ยุคใหม่ จากความก้าวหน้าของเทคโนโลยีดิจิทัล ที่อาจส่งผลกระทบสร้างความเสียหายต่อความมั่นคงประเทศและเศรษฐกิจโดยรวม ตลอดจนถึงการคุ้มครองข้อมูลประชาชนทั่วไปก็เป็นได้