กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์

บทความน่าสนใจ

Loading

  ปัจจุบันโลกของเราขับเคลื่อนไปด้วยเทคโนโลยีต่าง ๆ มากมาย ที่เกิดขึ้นสำหรับช่วยพัฒนาธุรกิจให้มีความสะดวกสบายและรวดเร็วมากขึ้น หลายองค์การขาดการบริหารความมั่นคงปลอดภัยที่ดีเพียงพอ ส่งผลให้มีช่องโหว่ (Vulnerability) ที่ทำให้ภัยคุกคาม (Threat) หรือผู้ไม่ประสงค์ดี (Hacker) สามารถโจมตีเข้ามาจนส่งผลให้เกิดเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยซึ่งเรียกว่า “Security Incident” เกิดขึ้น เช่น ข้อมูลลูกค้าหลุด ระบบใช้งานไม่ได้ ข้อมูลที่ใส่เข้าไปในระบบสูญหายหรือไม่ตรงกับความเป็นจริง จนส่งผลเสียหายต่อธุรกิจทั้งทางการเงิน ชื่อเสียง ความเชื่อมั่น และอาจมีความรับผิดตามกฎหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง จนอาจทำให้ธุรกิจนั้นไม่สามารถดำเนินการต่อไปได้ เพื่อลดผลกระทบที่เกิดขึ้นนี้ องค์กรควรบริหารความมั่นคงปลอดภัยสารสนเทศโดยประยุกต์ใช้มาตรฐานสากลหรือแนวปฏิบัติที่ดี เช่น ISO/IEC27001 ที่ได้รับความนิยมอย่างมาก นอกจากนี้อาจใช้กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ใช้งานอย่างแพร่หลายมาก คือ NIST Cybersecurity Framework หรือเรียก NIST CSF Version 1.1 ซึ่งเผยแพร่โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology: NIST) ของสหรัฐอเมริกา ซึ่งประเทศไทยเองได้นำ NIST CSF มาเป็นต้นแบบส่วนหนึ่งในการจัดทำ…

ระบบคุ้มครอง ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม

บทความน่าสนใจ

Loading

  ตั้งแต่ปลายปี 2563 มีข่าวความปลอดภัยของข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูล (Data Breach) อยู่หลายกรณี ข่าวการรั่วไหลของข้อมูล (Data Breach) เช่น กรณีการถูกปิดกั้นการเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วยในโรงพยาบาลสระบุรี ซึ่งเป็นการโจมตีระบบคอมพิวเตอร์จากภายนอก และอีกกรณีหนึ่ง ระบบการทำงานของไปรษณีย์ไทยเกิดข้อผิดพลาดจากการตั้งค่าการทำงานของระบบคอมพิวเตอร์ ทำให้ข้อมูลส่วนบุคคลของพนักงานเจ้าหน้าที่ภายในองค์กรรั่วไหลออกมา เมื่อพิจารณาจากกรณีที่เกิดขึ้นเห็นได้ว่า การรั่วไหลของข้อมูลสามารถเกิดได้จากปัจจัยหลายประการ ทั้งในเชิงระบบและเชิงเทคนิค เช่น การไม่อัพเดทซอฟแวร์ที่ใช้ในการรักษาความปลอดภัย หรือความประมาทและรู้เท่าไม่ถึงการณ์ของผู้ดูแลข้อมูลส่วนบุคคล เช่น การเปิดอีเมลหรือลิงก์ที่ไม่เหมาะสม การดาวน์โหลดไฟล์ที่แฝงไปด้วยมัลแวร์ ดังนั้น แม้ว่าองค์กรหรือหน่วยงานที่มีการรักษาความปลอดภัยที่เพียงพอเหมาะสม ก็สามารถเกิดการรั่วไหลหรือถูกโจมตีระบบได้เช่นเดียวกัน   ความน่ากังวลต่อการเก็บและใช้ข้อมูลส่วนบุคคลของรัฐ จากกรณีข้างต้นการโจมตีระบบคอมพิวเตอร์ของโรงพยาบาลได้ส่งผลกระทบต่อข้อมูลสุขภาพผู้ป่วย ซึ่งถือเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ส่วนข้อมูลรั่วไหลของไปรษณีย์ไทยแม้เป็นข้อมูลของพนักงานภายในองค์กร แต่ก็ถือเป็นข้อมูลส่วนบุคคลตามกฎหมายเช่นกัน ดังนั้นจะเห็นว่าหน่วยงานภาครัฐถือเป็นผู้เก็บรวบรวมและใช้ข้อมูลที่สำคัญของประชาชนเป็นจำนวนมาก ทั้งข้อมูลสุขภาพ ข้อมูลประกันสังคม ข้อมูลการศึกษา ข้อมูลของประชาชนตั้งแต่เกิดจนถึงเสียชีวิต ความน่ากังวลที่ปรากฏอย่างชัดเจนคือ การเก็บรวบรวมและใช้ข้อมูลของประชาชน หน่วยงานรัฐมักเก็บรวบรวมข้อมูลจากประชาชนที่มากเกินความจำเป็น เพื่อใช้ในการปฏิบัติหน้าที่หรือภารกิจของหน่วยงาน รวมถึงหน่วยงานบางแห่งมีการเก็บรักษาข้อมูลส่วนบุคคลที่ไม่ได้มาตรฐานความปลอดภัย อาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (Access Control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น…

ผบ.ตร. สั่งเช็คประวัติ ตำรวจปราบยาเสพติดทั่วประเทศ เร่งสอบเส้นทางการเงิน ‘ผกก.โจ้’ กับพวก

ข่าวประจำวัน

Loading

  ผบ.ตร.สั่งโอนสำนวนคดี ‘ผกก.โจ้’ กับพวกให้กองปราบรับผิดชอบ ตรวจสอบตรวจเส้นทางเงิน-ทรัพย์สิน พร้อมตรวจประวัติตำราจทำคดียาเสพติดทั่วประเทศ 27 ส.ค.2564 พล.ต.อ.สุวัฒน์ แจ้งยอดสุข ผู้บัญชาการตำรวจแห่งชาติ เปิดเผยว่า อยู่ระหว่างขั้นตอนการทำเอกสาร เพื่อขอย้ายสำนวนคดี ‘ผู้กำกับโจ้’ พ.ต.อ. ธิติสรรค์ อุทธนผล ผู้กำกับการสถานีตำรวจภูธรเมืองนครสวรรค์ พร้อมนายตำรวจ รวม 7 นาย ใช้ถุงคลุมศีรษะผู้ต้องหาค้ายาเสพติดเรียกรับเงินจนเสียชีวิต ที่ จ.นครสวรรค์ มาให้กองบังคับการปราบปรามเป็นผู้รับผิดชอบ เนื่องจากที่ผ่านมากองปราบได้เข้าร่วมปฏิบัติการกับกองบัญชาการตำรวจภูธรภาค6 และจ.นครสวรรค์ มาโดยตลอด จึงมีความเข้าใจ และมีความคล่องตัวในการขยายผลไปถึงผู้มีส่วนเกี่ยวข้อง และยืนยันว่าหากการขยายผลพบบุคคลใดเกี่ยวข้องเพิ่มเติมจะไม่มีการละเว้น “ส่วนเรื่องคำให้การไม่ว่าผู้ต้องหาหรือผู้เกี่ยวข้องจะให้การอย่างไรถือเป็นสิทธิ แต่หากพบว่ามีส่วนเกี่ยวข้องจะดำเนินการอย่างเด็ดขาด รวมทั้งมีการประสานกับหน่วยงานที่เกี่ยวข้องตรวจสอบเส้นทางการเงิน และทรัพสินของผู้ต้องหาทั้งหมด หลังสังคมมีข้อสงสัยเกี่ยวกับการร่ำรวยผิดปกติของ ผกก.โจ้” พล.ต.อ.สุวัฒน์ ระบุ นอกจากนี้ยังสั่งการให้ พล.ต.อ.มนู เมฆหมอก รองผบ.ตร. ในฐานะกำกับดูแลงานด้านยาเสพติด ไปตรวจสอบประวัติ และพฤติกรรมในการปฏิบัติหน้าที่เกี่ยวกับยาเสพติดทั่วประเทศ โดยหากพบว่า มีบุคคลใดมีประวัติหรือพฤติกรรมไม่ดีเกี่ยวกับยาเสพติด เคยถูกร้องเรียนจะต้องมีบทลงโทษ ทั้งผู้ปฏิบัติและผู้บังคับบัญชา “ส่วนตัวไม่รู้สึกเครียดหรือโล่งใจที่สามารถจับกุมได้ เพราะเป็นหน้าที่ของตัวเองในฐานะผู้บัญชาการตำรวจแห่งชาติ ซึ่งยืนยันว่า…

ไมโครซอฟท์เตือนลูกค้าระบบคลาวด์ หลังทีมวิจัยแจ้งฐานข้อมูลเสี่ยงถูกแฮ็ก

ข่าวประจำวัน

Loading

  บริษัทไมโครซอฟท์ส่งอีเมลประกาศเตือนลูกค้าผู้ใช้งานคอมพิวเตอร์ระบบคลาวด์หลายพันราย รวมถึงบริษัทรายใหญ่ระดับโลก โดยระบุว่า ผู้ที่เจาะเข้าระบบอาจสามารถอ่าน, เปลี่ยนแปลง หรือแม้แต่ลบข้อมูลในฐานข้อมูลได้ หลังจากได้รับการยืนยันโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ จุดอ่อนที่พบนั้นอยู่ในฐานข้อมูลรุ่นหลักของ Microsoft Azure ที่ชื่อ Cosmos โดยคณะวิจัยจากบริษัท Wiz ซึ่งเป็นบริษัทด้านความปลอดภัย ค้นพบว่า สามารถเข้าถึงกุญแจที่ควบคุมฐานข้อมูลที่มีบริษัทหลายพันรายใช้บริการ โดยนายอามี ลุตต์แว็ก ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Wiz นั้น เคยรับหน้าที่ในตำแหน่งเดียวกันที่ Cloud Security Group ในเครือไมโครซอฟท์ เนื่องจากไมโครซอฟท์ไม่สามารถเปลี่ยนกุญแจเหล่านี้ได้ด้วยตนเอง บริษัทจึงได้ส่งอีเมลแจ้งลูกค้าเมื่อวานนี้ เพื่อให้ลูกค้าสร้างกุญแจใหม่ นอกจากนี้ ไมโครซอฟท์ยังได้จ่ายค่าตอบแทนให้กับ Wiz เป็นจำนวน 4 หมื่นดอลลาร์สำหรับการที่ Wiz หาจุดอ่อนพบและรายงานให้ไมโครซอฟท์ทราบ นายลุตต์แว็กเปิดเผยว่า ทีมของเขาค้นพบจุดอ่อนดังกล่าว ซึ่งมีชื่อว่า ChaosDB ตั้งแต่เมื่อวันที่ 9 ส.ค. และรายงานให้ไมโครซอฟท์ทราบในวันที่ 12 ส.ค. การเปิดเผยครั้งนี้เกิดขึ้นหลังจากไมโครซอฟท์ต้องเผชิญกับข่าวร้ายในด้านความปลอดภัยมาต่อเนื่องหลายเดือน โดยก่อนหน้านี้บริษัทถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่ต้องสงสัยว่ามีความเกี่ยวข้องกับรัฐบาลรัสเซีย ซึ่งได้ทำการเจาะระบบของบริษัท SolarWinds รวมถึงขโมยรหัสต้นทาง (Source…

ระเบิดโจมตีสนามบินกรุงคาบูล 2 ครั้งซ้อน! ตายเจ็บอื้อ หลังตต.เพิ่งเตือนภัยคุกคามจากไอเอส

ข่าวประจำวัน

Loading

ระเบิดโจมตีสนามบินกรุงคาบูล 2 ครั้งซ้อน! ตายเจ็บอื้อ หลังตต.เพิ่งเตือนภัยคุกคามจากไอเอส เมื่อวันที่ 26 สิงหาคม สำนักข่าวต่างประเทศรายงานว่า เกิดเหตุระเบิดโจมตีอย่างน้อย 2 ครั้งขึ้นบริเวณสนามบินในกรุงคาบูล ประเทศอัฟกานิสถาน ขณะที่ยังคงมีการเร่งอพยพพลเมืองต่างชาติและชาวอัฟกันครั้งใหญ่อยู่ออกจากอัฟกานิสถานของนานาชาติ เบื้องต้นมีรายงานว่าแรงระเบิดส่งผลให้มีผู้เสียชีวิตอย่างน้อย 13 ศพ และบาดเจ็บอีกจำนวนมาก จากการเปิดเผยของเพนตากอนหรือกระทรวงกลาโหมสหรัฐอเมริการะบุว่าในจำนวนผู้บาดเจ็บและเสียชีวิตนั้นมีพลเรือนและเจ้าหน้าที่สหรัฐรวมอยู่ด้วย     นายจอห์น เคอร์บี โฆษกเพนตากอนระบุว่า เหตุระเบิดโจมตีครั้งหนึ่งเกิดขึ้นใกล้กับประตูแอ๊บบีเกตของสนามบินในกรุงคาบูล ส่วนเหตุระเบิดอีกครั้งเกิดขึ้นใกล้กับโรงแรมบารอนที่ตั้งอยู่ใกล้ๆกับสนามบิน เจ้าหน้าที่สหรัฐ 2 รายระบุว่า เหตุระเบิดอย่างน้อยหนึ่งในนั้นดูเหมือนเป็นการก่อเหตุระเบิดฆ่าตัวตาย “เราสามารถยืนยันได้ว่าเหตุระเบิดที่แอ๊บบีเกตนั้นเป็นผลจากการโจมตีที่ซับซ้อนซึ่งส่งผลให้เจ้าหน้าที่สหรัฐและพลเรือนจำนวนหนึ่งเสียชีวิต” โฆษกเพนตากอนเปิดเผยถึงเหตุโจมตีที่เกิดขึ้นผ่านทางทวิตเตอร์ และว่า “เรายังสามารถยืนยันได้ว่ามีเหตุระเบิดอีกอย่างน้อยหนึ่งครั้งที่หรือใกล้กับโรงแรมบารอน ซึ่งตั้งอยู่ไม่ไกลจากแอ๊บบีเกตนัก”     ด้านซาบิฮุลเลาะห์ มูจาฮิด โฆษกกลุ่มทาลิบัน เปิดเผยกับเอเอฟพีว่า มีผู้เสียชีวิตระหว่าง 13 ถึง 20 ราย และมีผู้ได้รับบาดเจ็บ 52 รายจากเหตุระเบิดโจมตีทั้งสองครั้ง เจ้าหน้าที่ทาลิบันอีกส่วนหนึ่งระบุว่า มีผู้เสียชีวิตอย่างน้อย 13 ราย รวมถึงเด็กๆและเจ้าหน้าที่รักษาความปลอดภัยของกลุ่มทาลิบันอีกจำนวนมากที่ได้รับบาดเจ็บด้วย ขณะที่โรงพยาบาลในกรุงคาบูลรายงานว่ามีผู้เสียชีวิต…

ผู้เชี่ยวชาญกังวล บริษัทเทคโนโลยีจีนลอบเก็บข้อมูล ‘อุปกรณ์อัจฉริยะ’

ข่าวประจำวัน

Loading

  ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่า อุปกรณ์อัจฉริยะหลายอย่างที่ถูกนำมาใช้ภายในบ้าน ซึ่งผลิตโดยบริษัทเทคโนโลยี ทูยา (Tuya Inc) ในเมืองหางโจว มณฑลเจ้อเจียงของจีน อาจมีปัญหาเรื่องการลอบเก็บรวบรวมข้อมูลส่วนตัวของผู้ใช้ บริษัท Tuya ได้รับการสนับสนุนโดยบริษัทเทคโนโลยี เทนเซนต์ (Tencent) ซึ่งมีความใกล้ชิดกับรัฐบาลจีน และเพิ่งเข้าจดทะเบียนในตลาดหลักทรัพย์นิวยอร์กเมื่อเดือนมีนาคม โดยระดมทุนได้ 915 ล้านดอลลาร์ บริษัท Tuya ผลิตสินค้าเทคโนโลยีให้แบรนด์ต่าง ๆ มากกว่า 5,000 ยี่ห้อ ครอบคลุมมากกว่า 1,100 ประเภทสินค้า ตั้งแต่ด้านสุขภาพอนามัย การเกษตรและภาคบริการ สินค้าอุปกรณ์อัจฉริยะที่ผลิตโดยบริษัทนี้มีจำนวนมากกว่า 116 ล้านชิ้น วางขายในมากกว่า 220 ประเทศทั่วโลก เว็บไซต์อีคอมเมิร์ชรายใหญ่ของสหรัฐฯ รวมทั้ง แอมะซอน (Amazon) วอลมาร์ท (Walmart) และทาร์เก็ต (Target) ต่างขายสินค้าที่ใช้เทคโนโลยีของ Tuya แต่ผู้เชี่ยวชาญบางคนขอให้รัฐบาลสหรัฐฯ สั่งจำกัดหรือห้ามขายสินค้าของ Tuya ในอเมริกา และเตือนว่า Tuya ขาดฟังก์ชันในการปกป้องข้อมูลของผู้บริโภคในอุปกรณ์อัจฉริยะต่าง…