หลายปีที่ผ่านมา ทุกท่านน่าจะคุ้นเคยกับ RANSOMWARE เป็นอย่างดี
บางองค์กรอาจจะเคยเจอปัญหานี้ หรือบางท่านอาจจะพบเจอเองส่วนตัว ซึ่งส่วนใหญ่การแก้ปัญหาคือจ่ายค่าไถ่ แต่ก็ไม่ได้การันตีว่าจะได้ไฟล์คืน ดังนั้นจึงเป็นที่มาของ No More Ransom เป็นโครงการริเริ่มการต่อต้านแรนซัมแวร์ ของหน่วยงานบังคับใช้กฏหมายของสหภาพยุโรป เปิดตัวครั้งแรกในปี 2016 โดย Europol สำนักงานตำรวจแห่งชาติดัตช์ และบริษัทรักษาความปลอดภัยทางไซเบอร์ รวมไปถึงบริษัทไอทีจำนวนหนึ่งที่มีเครื่องมือถอดรหัสที่พร้อมใช้งาน
IBM มีการทำรายงานเหตุการณ์ Data Breach ในปัจจุบัน ซึ่งมีจำนวนมากกว่าเมื่อก่อนมาก
IBM Security ออกรายงาน 2022 Cost of a Data Breach Report โดยเป็นการเก็บรวบรวมข้อมูลในด้านการรั่วไหลของข้อมูลหรือ Data Breach จากองค์กรทั่วโลก พบว่าค่าใช้จ่ายที่เกิดจากความเสียหายนั้นสูงแตะระดับที่ไม่เคยมีมาก่อน โดยมีค่าเสียหายเฉลี่ยอยู่ที่ 4.35 ล้านเหรียญสหรัฐ หรือกว่า 159 ล้านบาท
การขโมย Credential ยังคงเป็นสาเหตุสูงสุดที่ทำให้เกิด Data Breach ซึ่งมีสัดส่วนอยู่ที่ 19% ถัดมาจะเป็น Phishing มีสัดส่วน 16% ซึ่งมีค่าความเสียหายเฉลี่ย 4.91 ล้านเหรียญ นอกจากนี้ยังพบว่าธุรกิจ Healthcare มีรายงานค่าความเสียหายเกิน 10 ล้านเหรียญอีกด้วย
ที่มา: https://siliconangle.com/2022/07/27/ibm-security-report-finds-data-breaches-costlier-ever/
ช่วงนี้ข่าวการโจมตี Supply Chain มีอยู่เรื่อย ๆ และทวีความรุนแรงมากยิ่งขึ้น
เนื่องด้วยการโจมตีตรง ๆ หาองค์กรใหญ่ ๆ นั้นเริ่มทำได้ยากขึ้นและใช้เวลานาน รวมไปถึงเมื่อโจมตีได้แล้วบางทีข้อมูลที่ได้มาอาจจะไม่คุ้มกับระยะเวลาที่เสียไป การโจมตีในลักษณะนี้จึงมีมากขึ้นเรื่อย ๆ
จึงเป็นที่มาทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น โดยสรุปมีดังนี้
1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF)
2.) ผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย
3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจากหน่วยงานอื่น ๆ
4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า
สามารถอ่านเพิ่มเติมได้ที่ https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft