รวมข้อมูลประเด็นความมั่นคงปลอดภัยและความเป็นส่วนตัวของโปรแกรม Zoom

Loading

Zoom เป็นโปรแกรมประเภท video conference ที่ได้รับความนิยมเพิ่มมากขึ้นเนื่องจากเหตุการณ์ไวรัสโคโรน่าหรือ COVID-19 แพร่ระบาด ทำให้หลายองค์กรต้องปรับรูปแบบการทำงานให้รองรับการประชุมจากนอกสถานที่ หรือสถาบันการศึกษาหลายแห่งต้องปรับรูปแบบการเรียนการสอนมาเป็นจากระยะไกลแทน อย่างไรก็ตาม หลายฝ่ายได้มีความกังวลต่อประเด็นความมั่นคงปลอดภัยและความเป็นส่วนตัวของการใช้งานโปรแกรม Zoom เนื่องจากมีการรายงานช่องโหว่และพฤติกรรมการทำงานในบางจุดที่อาจก่อให้เกิดข้อกังวลดังกล่าว ไทยเซิร์ตได้รวบรวมข้อมูลประเด็นที่เกี่ยวข้องซึ่งสามารถสรุปได้ดังนี้ ประเด็นด้านความมั่นคงปลอดภัย ตัวติดตั้งของโปรแกรม Zoom เวอร์ชัน Mac มีการเรียกใช้สคริปต์บางอย่างในสิทธิ์ระดับสูง ซึ่งอาจก่อให้เกิดอันตรายกับระบบได้ ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง) โปรแกรม Zoom เวอร์ชัน Windows มีช่องโหว่ที่อาจถูกขโมยรหัสผ่านบัญชีได้ด้วยการหลอกให้คลิกลิงก์ ส่วนเวอร์ชัน Mac มีช่องโหว่ที่อาจถูกดักฟังได้ด้วยการหลอกให้เข้าเว็บไซต์อันตราย ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง) รูปแบบการรับส่งข้อมูลภาพและเสียงในระหว่างที่มีการทำ video conference นั้นไม่ได้ใช้วิธีเข้ารหัสลับข้อมูลในรูปแบบ end-to-end (ต้นทางจนถึงปลายทาง) ซึ่งอาจถูกผู้ไม่หวังดีดักฟังการประชุมได้ ทาง Zoom ยอมรับว่ามีประเด็นนี้จริง ยังไม่มีรายละเอียดว่าจะปรับปรุงในเรื่องนี้หรือไม่ แต่ก็ได้ให้ข้อมูลเพิ่มเติมว่าข้อมูลที่รับส่งระหว่างเครื่องของผู้ใช้กับเซิร์ฟเวอร์ของ Zoom นั้นมีการเข้ารหัสลับข้อมูลแล้ว (อ้างอิง) รูปแบบของอัลกอริทึมที่ใช้เข้ารหัสลับข้อมูลนั้นมีความเสี่ยงที่อาจถูกโจมตีได้ง่าย (ECB mode)…

e-Meeting กับข้อกำหนดที่กฎหมายรองรับ เพื่อการทำงานที่ต่อเนื่อง

Loading

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หน่วยงานพัฒนา ส่งเสริม และสนับสนุนการทำธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทย ได้รวบรวมกฎหมายที่เกี่ยวข้องกับการประชุมผ่านสื่ออิเล็กทรอนิกส์ (e-Meeting)  การบังคับใช้และผลทางกฎหมาย เงื่อนไข ข้อกำหนดต่าง ๆ รวมทั้งจัดทำแบบประเมินความสอดคล้องของระบบประชุมจากผู้ให้บริการระบบ เพื่อเป็นข้อมูลประกอบการพิจารณาเลือกใช้ระบบประชุมของผู้สนใจ กฎหมายที่เกี่ยวข้องกับการประชุมผ่านสื่ออิเล็กทรอนิกส์ – ประกาศคณะรักษาความสงบแห่งชาติ ฉบับที่ 74/2557 เรื่อง การประชุมผ่านสื่ออิเล็กทรอนิกส์ – ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. ๒๕๕๗ การประชุมผ่านสื่ออิเล็กทรอนิกส์ การบังคับใช้และผลทางกฎหมาย ใช้สำหรับการประชุมที่ต้องการผลตามกฎหมาย หรือกฎหมายกำหนดให้ต้องมีการประชุม เช่น การประชุมสามัญผู้ถือหุ้น หรือการประชุมของคณะกรรมการต่างๆ ใช้ได้ทั้งการประชุมของภาครัฐ และภาคเอกชน คนที่เข้าร่วมประชุมมีเงื่อนไขอย่างไร ผู้เข้าร่วมประชุมอย่างน้อย 1 ใน 3 ขององค์ประชุมต้องอยู่ในที่ประชุมเดียวกัน ผู้ร่วมประชุมทั้งหมดต้องอยู่ในราชอาณาจักรขณะที่ประชุม ข้อกำหนดของระบบ e-Meeting สำหรับการประชุมที่จะมีผลตามกฎหมาย มีกระบวนการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และต้องสอดคล้องตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ผู้ร่วมประชุมสามารถสื่อสารกันได้ด้วยเสียงหรือทั้งเสียงและภาพ เชื่อมโยงสถานที่ประชุมตั้งแต่สองแห่งขึ้นไปเข้าด้วยกัน ทำให้ผู้ร่วมประชุมสามารถสื่อสารกันได้สองทาง มีอุปกรณ์สำหรับนำเข้าข้อมูลจากที่หนึ่งไปยังอีกที่หนึ่ง เช่น โทรศัพท์ กล้อง ไมโครโฟน มีอุปกรณ์เพื่อทำหน้าที่เชื่อมโยงหรือแปลงสัญญาณเสียงหรือทั้งเสียงและภาพที่เหมาะสม การบริหารจัดการระบบ…

จด•หมายเหตุ: การล่าแม่มดในสถานการณ์โควิด 19

Loading

บทความโดย นคร เสรีรักษ์ ผู้ก่อตั้งกลุ่ม Privacy Thailand 1. โลกวันนี้ทำให้แทบทุกแพลตฟอร์มของการดำรงชีวิตเข้ามาขยับเขยื้อนเคลื่อนไหวบนโลกออนไลน์ ด้วยความรวดเร็วของเทคโนโลยีการติดต่อสื่อสารของเครือข่ายอินเทอร์เน็ต โดยเฉพาะในสังคมการเมืองที่โซเซียลมีเดียเข้ามามีบทบาทในการมีส่วนร่วมทางการเมืองของพลเมืองอย่างกว้างขวาง 2. การปะทะกันระหว่างความคิดเห็นทางการเมืองที่แตกต่างกันก็มาปรากฏบนโลกออนไลน์หลากหลายรูปแบบ ทั้งการแลกเปลี่ยนหรือโต้แย้งกันอย่างสุภาพสันติและการโจมตีกล่าวหากันด้วยวาจาหรือถ้อยคำที่หยาบคาย การด่าทอ ดูถูกเหยียดหยาม เสียดสี นำมาซึ่งการสร้างความเกลียดชัง เยาะเย้ย ถากถาง ขณะเดียวกันกิจกรรมการล่าแม่มดก็ออกมามีบทบาทในสื่อสังคมออนไลน์ด้วยเช่นกัน 3. ในสถานการณ์โรคระบาดจากไวรัสโควิด 19 ที่กำลังเป็นวิกฤตของประเทศในปัจจุบัน ข้อมูลข่าวสารเกี่ยวกับไวรัสตัวนี้กำลังเคลื่อนไหวถ่ายทอดกันในสังคมมากมาย ทั้งข้อมูลสถิติการป่วยไข้และการรักษา คำแนะนำในการดูแลสุขภาพและการเตรียมพร้อมรับสถานการณ์ ในข้อมูลจำนวนมหาศาลมีทั้งข้อมูลจริง ข้อมูลเท็จ ข้อมูลแท้ ข้อมูลปลอม ที่น่าเป็นห่วงคือการใช้วิธีการเปิดเผยข้อมูลส่วนบุคคลเป็นเครื่องมือในการล่าแม่มด 4. จากการที่มีผู้นำข้อมูลส่วนตัวเกี่ยวกับถิ่นที่อยู่อาศัยของแรงงานนอกระบบที่เดินทางกลับจากเกาหลีมาเผยแพร่ในลักษณะชักชวนคนในชุมชนให้รังเกียจ กีดกัน และขับไล่บรรดาแรงงานจากเกาหลี มาจนถึงล่าสุดคือการเปิดเผยข้อมูลส่วนบุคคลของผู้โดยสารที่เดินทางมาจากต่างประเทศและไม่เข้าสู่กระบวนการกักตัวตามคำสั่งของเจ้าหน้าที่ที่สนามบินสุวรรณภูมิ มีการเปิดเผยชื่อ ที่อยู่ หมายเลขหนังสือเดินทาง ข้อมูลแพร่กระจายกว้างขวางอย่างน่าเป็นห่วงทั้งทางเฟสบุ๊ค ไลน์ และทวิตเตอร์ ทั้งสองเรื่องมีการประณาม ประจาน และแสดงความรู้สึกเกลียดชังในลักษณะการ “ล่าแม่มด” อย่างชัดเจน 5. มีผู้ตั้งข้อสังเกตว่าการนำข้อมูลส่วนบุคคลของแรงงานที่กลับจากเกาหลีหรือผู้โดยสารสายการบินมาเปิดเผยในการล่าแม่มดน่าจะเป็นการผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งอันที่จริงแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 เป็นกฎหมายว่าด้วยการควบคุมการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล กฎหมายนี้พูดถึงหน้าที่และกระบวนการในการเก็บรวบรวม…

สงครามข่าวสารกับโควิด 19

Loading

โดย…ภุมรัตน ทักษาดิพงศ์ นักภูมิรัฐศาสตร์ฝรั่งสมัยก่อนกล่าวว่า “ใครคุมใจกลาง (Heartland) ของแผ่นดินได้ คนนั้นครองโลก” ซึ่งเรียกกันว่า “ทฤษฎีฮาร์ตแลนด์ กับริมแลนด์” ต่อมา มีนักภูมิรัฐศาสตร์ฝรั่งเช่นกันมองกลับกันว่า “ผู้ที่คุมชายขอบแผ่นดิน (Rimland) ต่างหาก ที่จะครองโลก” นักภูมิรัฐศาสตร์ฝรั่งขณะนั้นมองแผ่นดินยุโรปก็คือโลก ใครครองแผ่นดินใหญ่ยุโรปได้ ก็เท่ากับครองโลกนั่นเอง โรมเคยเป็นศูนย์กลางโลกที่ขยายอาณาเขตยึดครองยุโรปได้ตั้งแต่เหนือจรดใต้ ตะวันออกจรดตะวันตก สมัยฮิตเลอร์ก็เคยยึดยุโรปได้เกือบทั้งหมด ส่วนนักภูมิรัฐศาสตร์ฝรั่งที่กล่าวไว้ในเวลาต่อมาว่า ใครคุมชายขอบของแผ่นดินได้ก็เท่ากับครองโลก นักคิดกลุ่มนี้ก็ไม่ผิดเหมือนกัน ซึ่งต่อมา อัลเฟรด เทเยอร์ มาฮาน ได้กล่าวไว้ว่า “ใครคุมทะเลได้ก็เท่ากับครองโลก” ประเทศที่ติดทะเลเช่น สเปน โปรตุเกส อังกฤษ ฝรั่งเศส ฮอลันดา มีกองเรือขนาดใหญ่ออกไปสำรวจดินแดนใหม่ ค้าขายต่างประเทศ และมีอาณานิคมซึ่งเป็นแหล่งวัตถุดิบสำคัญมากมาย เมื่ออเมริกาถือผงาดขึ้นในขณะที่ชาติมหาอำนาจทั้งอังกฤษ ฝรั่งเศส เยอรมนี ง่อยเปลี้ยลง คริสต์ศตวรรษที่ 20 จึงเป็นศตวรรษของอเมริกาแต่ผู้เดียว ศูนย์กลางของโลกมารวมศูนย์อยู่ที่สหรัฐที่เป็นทั้งฮาร์ตแลนด์และริมแลนด์ คุมสองฝั่งมหาสมุทรโดยเวลานี้ให้น้ำหนักมากที่ “ทรานส์แปซิฟิค” มากกว่า ทรานส์แอตแลนติค” เช่นสมัยสงครามโลกครั้งที่สอง สมัยสงครามเย็น ใครครองโลกเขาจะวัดกันด้วยพลังทางการทหาร ใครมีอาวุธนิวเคลียร์ จรวดติดหัวรบนิวเคลียร์ ใครครองอวกาศได้มากน้อยกว่ากัน หลังสงครามเย็นเข้าสู่ยุคโลกาภิวัฒน์ โลกยุคนี้วัดกันด้วยพลังทางเศรษฐกิจ จึงเกิด “สงครามเศรษฐกิจ” และ “สงครามการค้า” เป็นครั้งคราว ประเทศไหนมีพลังอำนาจมากก็เป็นผู้ “จัดระเบียบโลก” แต่บางครั้งบางคราวธรรมชาติก็มาช่วยจัดระเบียบโลกให้กับมนุษย์ด้วย เช่น ครั้งนี้เป็นต้น…

7 ข้อต้องรู้ ปลอดภัยจาก ‘อาชญากรไซเบอร์’ ช่วงวิกฤติโควิด-19

Loading

สถานการณ์ความตื่นกลัวจากการระบาดโควิด-19 ได้เพิ่มมากขึ้น ส่งผลให้แฮกเกอร์และการหลอกลวงจากผู้ไม่หวังดีในโลกออนไลน์ ฉวยโอกาสนี้สร้างความเสียหายสูงขึ้น ซึ่งจะส่งผลกระทบต่อผู้ใช้งานออนไลน์ของไทย ทั้งนี้เห็นได้จาก หลายองค์กรได้รายงานถึงภัยอินเทอร์เน็ตในขณะที่ทุกคนกำลังตื่นกลัวกับการระบาดของโรคโควิด อาทิ อาชญากรไซเบอร์แอบอ้างเป็นองค์การอนามัยโลก หรือ หน่วยงานจากภาครัฐเพื่อทำการฉ้อโกง จัดตั้งเว็บไซต์ปลอม และ ฟิชชิ่ง (Phishing) หรือเผยแพร่ข้อมูลปลอมในรูปแบบภัยอินเทอร์เน็ต (Fake news) โดยเฉพาะอย่างยิ่งช่วงนี้ระบาดหนักต้องระวังมิจฉาชีพปลอมเว็บ www.เราไม่ทิ้งกัน.com เพื่อหลอกเอาข้อมูลส่วนตัวคนลงทะเบียนรับมาตรการเยียวยา 5,000 บาท จากภาครัฐในกรณีได้รับผลกระทบโควิด-19 ไปสร้างความเสียหาย นายประเทศ ตันกุรานันท์ รองประธานเจ้าหน้าที่บริหารกลุ่มเทคโนโลยี บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือดีแทค ระบุว่า สิ่งสำคัญในการใช้งานออนไลน์ในขณะนี้ คือ ทุกฝ่ายและคนใช้งานทุกคนต้องช่วยกันระวังภัยคุกคามจากอาชญากรไซเบอร์ที่กำลังเพิ่มเป็นอย่างมาก ซึ่งทุกประเทศจำเป็นต้องร่วมมือกันในการแก้ปัญหาภัยทางอินเทอร์เน็ตทั่วโลก สำหรับในต่างประเทศ เช่น หน่วยงานเอฟบีไอ (FBI) และหน่วยงานตำรวจยุโรป (Europol) ได้ออกมาเตือนถึงภัยคุกคามของอาชญกรรมไซเบอร์ที่เพิ่มขึ้นในช่วงสถานการณ์ที่ทุกคนกำลังตี่นตระหนกกับโรคโควิด-19 สำหรับในประเทศไทยหน่วยงานภาครัฐได้ประกาศสถานการณ์ฉุกเฉินสกัดโรคโควิด-19 รวมทั้งกำหนดโทษในการเผยแพร่ข่าวปลอมผ่านทางออนไลน์ “คนที่จะป้องกันได้ดีที่สุดก็คือตัวของพวกเราเอง โดยเราจะต้องสังเกตและรู้จักรูปแบบการหลอกลวงต่างๆ ในโลกออนไลน์ สำหรับช่วงนี้ต้องระวังมิจฉาชีพปลอมเว็บไซต์โครงการเราไม่ทิ้งกันระบาดหนัก ซึ่งจะหลอกเอาข้อมูลส่วนตัว ข้อมูลบัญชีธนาคารจากคนลงทะเบียนไปฉ้อโกงได้”…

โค้งสุดท้ายก่อน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้ กับ Microsoft

Loading

By  Kornpipat นี่เป็นช่วงโค้งสุดท้ายก่อนที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) จะเริ่มมีผลบังคับใช้จริงในวันที่ 27 พฤษภาคม 63 ล่าสุด Microsoft แนะแนวทางให้องค์กรทั่วไทยเตรียมตัวให้พร้อม โดย ดร. นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ให้ข้อมูลว่าทีมงานแบไต๋ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีรากฐานมาจาก GDPR ที่เริ่มบังคับใช้ในสหภาพยุโรปไปเมื่อ 2 ปีก่อน จนถึงวันนี้มีหลายบริษัทที่โดนดำเนินคดีแล้ว ทุกองค์กรควรให้ความสำคัญเกี่ยวกับข้อมูลส่วนบุคคล และหนึ่งในปัจจัยที่สำคัญมากสำหรับองค์กรคือ ต้องรู้ว่าเก็บข้อมูลไว้ที่ไหน ใครเก็บข้อมูลไว้บ้าง ข้อมูลเหล่านั้นมีการปกป้องหรือยัง และต้องรู้ว่าใครเข้าถึงข้อมูลได้ รวมถึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลหลุดออกไป เพราะหากเกิดเหตุผิดพลาด อาจโดนฟ้องโดยเจ้าของข้อมูลส่วนบุคคลได้ นอกจากนี้แล้วยังต้องเตรียมข้อมูลไว้เผื่อว่าเจ้าของข้อมูลส่วนบุคคลขอดูหรือขอลบด้วย แนะแนวทางเตรียมรับ พ.ร.บ. ฉบับใหม่ สำหรับไมโครซอฟท์เอง พร้อมรองรับลูกค้าธุรกิจด้วยแพลตฟอร์มคลาวด์ Microsoft Azure และบริการครบครันอย่าง Microsoft 365…