ไทย
ค้นหา

คลังความรู้

ระวังภัย HR

คงจะไม่แปลกถ้าวันหนึ่งเราเจอโพสต์ประกาศรับสมัครงานออนไลน์ที่โฆษณาว่าเป็นงานง่าย ๆ รายได้ดี

แน่นอนว่าข้อความและรูปภาพเช่นนี้ คงจะดึงดูดความสนใจของเรา วันนี้ PROUD มีวิธีรับมือมิจฉาชีพในคราบ HR ลองดูนะครับ

1. พิจารณารายละเอียดงาน (Job Description) ให้ละเอียดและครบถ้วน 

เราควรศึกษารายละเอียดงานให้ละเอียด โดยเริ่มจากชื่อผู้โพสต์รูปภาพประกาศรับสมัครงานว่าผู้โพสต์เป็น Official Page ของบริษัทไหม มีอยู่จริงไหมและน่าเชื่อถือหรือเปล่า สิ่งที่ควรมีคือ ชื่อบริษัท สถานที่ทำงาน ตำแหน่งที่รับสมัคร เงินเดือน ลักษณะหรือรายละเอียดของงาน ช่องทางการติดต่อ เป็นต้น 

2. เสียค่าสมัครหรือค่าฝึกอบรม

โดยทั่วไปแล้วการสมัครงานจะไม่มีการเสียค่าสมัคร หรือค่าแรกเข้า หรือแม้แต่ค่าฝึกอบรม โดยมิจฉาชีพในคราบ HR ก็จะแจ้งกลับมาว่ามีค่าสมัครหรือค่าฝึกอบรม หรืออาจจะเป็นงานประเภทชวนคนไปอบรมแล้วสมัครเป็นลูกโซ่มากกว่า

เดี๋ยวนี้มีอาชีพแปลก ๆ เยอะนะครับ ต้องระวังดี ๆ ยิ่งต้องมีการให้ข้อมูลส่วนบุคคลไปด้วยก็ควรจะพิจารณาเป็นพิเศษ

มาตรฐาน TISAX

TISAX มาตรฐานการประเมินความมั่นคงปลอดภัยในการแลกเปลี่ยน และดูแลข้อมูลสำหรับอุตสาหกรรมยานยนต์

ในปัจจุบันเองก็มีมาตรฐานจากหลายสถาบันที่เป็นมาตรฐานที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ เช่น ISO/IEC 27001, NIST CSF, SOC, CSA STAR เป็นต้น ในอุตสาหกรรมยานยนต์ก็มีมาตรฐานฉบับหนึ่งที่ถูกกำหนดขึ้นมาตรฐานนั้นคือ TISAX (Trusted Information Security Assessment Exchange) เป็นมาตรฐานสำหรับการประเมินความมั่นคงปลอดภัยในการแลกเปลี่ยนและดูแลข้อมูลระหว่างบริษัทเจ้าของข้อมูล และบริษัทคู่ค้า เพื่อสร้างความเชื่อมั่นให้กับอุตสาหกรรมยานยนต์ ในการปกป้องข้อมูลสำคัญที่ใช้ทำงานร่วมกัน โดยมาตรฐานฉบับนี้ถูกพัฒนาต่อยอดมาจากมาตรฐาน ISO/IEC 27001 อย่างไรก็ตามตัว TISAX เอง ก็มีความแตกต่างจาก ISO/IEC 27001 อยู่พอสมควร เนื่องจาก TISAX ให้ความสำคัญกับหลักการ Maturity base 

ถ้าสนใจการ Implement และให้ปรึกษาด้านมาตรฐานนี้สามารถติดต่อ PROUD มาได้ตลอดเวลาครับ

ข้อมูลรั่วไหลครั้งใหญ่

ตามที่ได้ทราบข่าวข้อมูลรั่วไหลครั้งใหญ่ในประเทศไทยจากสื่อต่าง ๆ นั้น

แน่นอนว่าไม่ใช่ครั้งแรกและครั้งสุดท้าย ทำให้ประชาชนอย่างพวกเราต้องหันมาให้ความสนใจในการให้ข้อมูลส่วนบุคคลแก่องค์กรต่าง ๆ ไม่ว่าจะเป็นภาครัฐหรือเอกชน ว่าพวกเขามีการเก็บข้อมูลเราดีแค่ไหน

ในข่าวมีการพูดถึงบุคคลสาธารณะที่มีชื่อเสียงจำนวนหนึ่ง ซ฿่งได้มีการเปิดเผยข้อมูลบางส่วนออกมาว่าเป็นแค่กลุ่มหนึ่งที่มีการรั่วไหลของข้อมูล ถ้ามองในแง่ดีเราอาจจะเห็นว่า

1. ขนาดข้อมูลของคนกลุ่มนี้ ยังมีการรั่วไหล แสดงว่าการเก็บข้อมูลนั้นทุกคนมีสิทธิ์เท่ากัน ใช่ว่า VIP จะมีการจัดเก็บที่ดีกว่าประชาชนทั่วไป

2. การสร้างความตระหนักในการให้ข้อมูลและการเปิดเผยข้อมูลของเรา ว่าต้องระมัดระวัง

สุดท้ายก็ย้อนมาถึงมาตรการการรักษาความั่นคงปลอดภัยขององค์กรว่าเพียงพอหรือยัง ไม่ใช่ว่าดีหรือไม่ดี แต่เพียงพอไหม คงจะต้องเริ่มสร้างเกราะให้กับตนเอง ที่สำคัญทุกท่านคงหวังพึ่งอะไรยาก ควรจะต้องสร้าง Cyber Hygiene กันด้วยตนเองด้วย

Zero Trust

Zero Trust Architecture (ZTA) ได้เป็นหัวข้อที่ปัจจุบันคนพูดถึงกันเป็นอย่างมาก 

ดังนั้น "Zero Trust Architecture" หรือ ZTA เป็นวิธีการออกแบบโครงสร้างพื้นฐานความปลอดภัยทางไซเบอร์ของเครือข่ายขององค์กรตามรูปแบบความปลอดภัย ที่ว่าไม่มีความเชื่อถือที่มอบให้กับส่วนใดส่วนหนึ่งของเครือข่าย หากไม่มีการตรวจสอบ ไม่ว่าคำขอนั้นจะมาจากภายในหรือภายนอกก็ตาม การเปลี่ยนแปลงในกลยุทธ์การป้องกันนี้เป็นการตอบสนองต่อแนวโน้มการออกแบบเครือข่ายสมัยใหม่และข้อกำหนดด้านความปลอดภัยที่รวมถึงผู้ใช้ระยะไกล นำอุปกรณ์ของคุณเอง (BYOD) มาเอง และบริการและอุปกรณ์บนคลาวด์ เน้นย้ำถึงความจำเป็นในการประเมินความเสี่ยงของสถาปัตยกรรมความปลอดภัยขององค์กร

การปรับเปลี่ยนแนวคิดนี้ มาจากสาเหตุที่ภัยคุกคามมีเป็นจำนวนมากทั้งที่เป็นคนนอกหรือ Insider Threats ถ้าสนใจการให้คำปรึกษาสามารถติดต่อทาง PROUD เพื่อให้ข้อมูลเพิ่มเติมได้เลยนะครับ

Security Culture
การสร้าง Security Culture เป็นสิ่งสำคัญแต่ส่วนใหญ่จะถูกข้ามไป เนื่องจากองค์กรแม้จะลงทุนกับโซลูชันมากเพียงใด แต่การโจมตีทางไซเบอร์มากมายก็พิสูจน์จุดอ่อนที่สุด ก็คือ Human ware นั่นเอง 
 
 
 
ดังนั้นการให้ความรู้จึงเป็นสิ่งที่สำคัญอย่างยิ่งควบคู่กันไป โดยพยายามสร้างให้องค์กรมี Security Culture องค์กรหลาย ๆ แห่งเริ่มทำด้วยตนเอง แต่การใช้งานที่ปรึกษาจะเป็นการ Shortcut ได้ง่ายขึ้น
PROUD เป็นผู้เชี่ยวชาญการสร้าง Security Awareness ให้องค์กรต่างๆทั่วโลก จึงขออาสาที่จะแนะนำวิธีการสร้าง Security Culture เพื่อนำไปปรับใช้ให้องค์กรเพิ่มความพร้อมให้แก่พนักงาน 
สนใจบริการด้านนี้สามารถต่อต่อ PROUD
email: sales@proud-consulting.com
Mobile: 092-474-7877
ข้อมูลรั่วไหลจาก Cloud Application

การที่เรามีการนำข้อมูลขึ้น Cloud หรือใช้ Application บนนั้นอาจจะมีความเสี่ยงได้

จากที่เราทราบตอนนี้หลาย ๆ องค์กรเริ่ม Implement ระบบงานบน Cloud นั้นในรูปแบบ IaaS, SaaS หรือ PaaS ซึ่งมีการใช้งานทั้ง Private หรือ Public อย่างไรก็ตามองค์กรก็ต้องประเมินความเสี่ยงหรือมีการตรวจสอบระบบงานดังกล่าวอย่างสม่ำเสมอ

เมื่อเร็ว ๆ นี้ มีการประกาศจาก Application บน Cloud รายหนึ่งได้เปิดเผยเหตุการณ์ที่องค์กรตกเป็นเหยื่อของ Phishing จากเครื่องพนักงาน จนทำให้ Repository สามารถทำให้ผู้ประสงค์ดีเข้ามาขโมยข้อมูลได้

โดยเหตุการณ์นี้เป็นแค่ตัวอย่างที่องค์กรต้องระมัดระวังในการโดน Phishing ซึ่งก็เป็นเหตุซ้ำ ๆ ดังนั้นเราจึงควรฝึกซ้อม Cyber exercise อย่างเป็นประจำ ในรูปแบบแตกต่างกันไปตามความเสี่ยงที่เกิดขึ้นในองค์กรของท่าน เพื่อเตรียมรับมือภัยคุกคามที่มีอยู่ตลอดเวลา

มาตรการด้าน Email Security

การหลอกลวงหรือปลอมแปลงทาง Email ที่น่าเชื่อถือนั้นมีความเสียหายอย่างมากในหลาย ๆ ปีที่ผ่านมา

ซึ่งจริง ๆ แล้วเราสามารถมีทางเลือกสำหรับการป้องกันที่เรียกว่า DMARC และ BIMI

Domain-based Message Authentication, Reporting and Conformance หรือ DMARC เป็นโปรโตคอลที่เป็นเรื่องการพิสูจน์ตัวตน ซึ่งมีมานานมากแล้วตั้งแต่ปี 2015 โดยทำให้ผู้รับสามารถพิสูจน์ที่มาของ email ได้ตามข้อกำหนดของเจ้าของโดเมน 

Brand Indicators for Message Identification หรือ BIMI เป็นการยกระดับอีกขั้นจาก DMARC แต่ก่อน ด้วยการแสดงโลโก้แบรนด์ใน client email 

กระบวนการนี้ควรจะถูกใช้ในองค์กรเพื่อลดการตกเป็นเหยื่อในการโจมตี ดังนั้นองค์กรของท่านจึงควรเลือก implement ตามความเหมาะสม เพราะภัยร้ายมีอยู่ตลอดเวลารอบตัวเรา

เตรียมความพร้อมสำหรับมาตรฐาน ISO 27002 เวอร์ชันใหม่

มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในประเทศไทยอาจจะมีมากกว่า 400 องค์กร เนื่องจากหลายหน่วยงานกำกับในประเทศไทยได้นำมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศ และมีการกำหนดให้องค์กรภายใต้การกำกับดูแล

เมื่อไม่นานมานี้ ทราบมาว่ามาตรฐาน ISO/IEC 27001:2013 อยู่ในช่วงการปรับปรุงเนื้อหามาตรฐาน ซึ่งปกติแล้วมาตรฐานจะมีการปรับปรุงทุก ๆ 8 ปีขึ้นไปตามเทคโนโลยีที่เปลี่ยนแปลงไป จากการคาดการณ์ มาตรฐานฉบับนี้จะถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการภายในปี 2022 หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ถูกใช้งานคู่กับเอกสาร ISO/IEC 27001 ซึ่งเป็นเอกสาร “Requirements”  ส่วนเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls)

ในรายละเอียดของมาตรการควบคุม เวอร์ชัน 2013 มีทั้งหมด 114 มาตรการควบคุม ส่วนเวอร์ชัน 2022 มีทั้งหมด 93 มาตรการควบคุม อย่างไรก็ตาม มาตรฐานเวอร์ชันใหม่ฉบับนี้ก็มีบางส่วนที่มีความซับซ้อน อาจทำให้การเลือกใช้มาตรการควบคุมเป็นไปได้ลำบากกว่าเดิม เดี๋ยวต้องลองดูต่อไปว่าเป็นอย่างไรในอนาคต

รายงานของ "แคสเปอร์สกี้" เกี่ยวกับ RANSOMWARE

แคสเปอร์สกี้ บริษัทชั้นนำในด้านรักษาความปลอดภัยทางไซเบอร์ระดับโลก ได้มีการทำรายงานสำรวจผู้ตอบแบบสอบถามทั่วอเมริกาเหนือ อเมริกาใต้ แอฟริกา รัสเซีย ยุโรป และเอเชียแปซิฟิก

โดยเป็นผู้บริหารระดับสูงที่เป็น Non-IT เจ้าของธุรกิจและหุ้นส่วนในบริษัทที่มีพนักงานประมาณ 1,000 คน ในส่วนผู้ตอบแบบสอบถามที่ระบุว่าตกเป็นเหยื่อแรนซัมแวร์และข้อมูลถูกเข้ารหัสโดยอาชญากรไซเบอร์ ในจำนวน 34% ของผูตอบแบบสอบถามได้เจอการโจมตีด้วยแรนซัมแวร์ไม่ใช่ครั้งเดียวแต่หลายครั้ง ผู้ตอบแบบสอบถามที่เหลือ บอกว่าเคยเจอเหตุการณ์ดังกล่าวเพียงครั้งเดียว

อีกข้อมูลที่น่าสนใจ คือเหยื่อแรนซัมแวร์เกือบทั้งหมด (82.1%) เลือกจ่ายค่าไถ่อย่างเร็วที่สุด และมีผู้ตอบแบบสอบถามจำนวนเกือบหนึ่งในสี่ (23.9%) พยายามกู้คืนข้อมูลผ่านการสำรองหรือถอดรหัสแต่ล้มเหลว และจ่ายค่าไถ่ภายในสองวัน ในขณะที่ผู้ตอบแบบสอบถามที่เหลือใช้เวลาหนึ่งสัปดาห์ก่อนที่จะจ่ายเงิน

แคสเปอร์สกี้ได้ร่วมก่อตั้งโครงการระดับโลกชื่อ “No More Ransom Initiative” ซึ่งได้แบ่งปันเครื่องมือถอดรหัสโดยครอบคลุมแรนซัมแวร์มากกว่า 150 ตระกูล ซึ่งเป็นบทความที่ PROUD เคยได้ Post ไปก่อนหน้านี้

ข้อมูลรั่วไหลบริษัทยักษ์ใหญ่

มีเหตุการณ์กลุ่มแฮ็กเกอร์ชื่อว่า RansomHouse ได้ออกประกาศว่ามีข้อมูลรั่วไหลจากผู้ผลิตชิปรายใหญ่

เมื่อกลางปีที่ผ่านมากลุ่มคนร้าย RansomHouse ได้ประกาศขายข้อมูลบริษัททผ่านเทเลแกรม โดยอ้างว่ามีข้อมูลขนาด 450 GB อย่างไรก็ตาม RansomHouse ยังปฏิเสธว่าไม่ได้มีการใช้แรนซัมแวร์กับบริษัทดังกล่าวและไม่ประสงค์ที่จะติดต่อเรียกค่าไถ่แต่อย่างใด โดยคนร้ายอ้างว่าข้อมูลครอบคลุมถึงงานวิจัยและการเงิน แต่ก็ไม่ยอมแชร์หลักฐานใดๆเพิ่ม