Category Archives: ข่าวประจำวัน

อิสราเอลเตรียมใช้เทคโนโลยีติดตามเพื่อป้องกันการก่อการร้ายในการสู้กับการแพร่กระจายไวรัสโคโรนา

ความพยายามของอิสราเอลในการควบคุมการแพร่กระจายของไวรัสโคโรนานั้นอาจจะกลายเป็นเรื่องที่เสี่ยงต่อความเป็นส่วนตัวถัดไป โดยนายกรัฐมนตรีคุณ Benjamin Netanyahu ได้กำหนดแผนที่จะใช้เทคโนโลยีติดตามเพื่อป้องกันการก่อการร้ายในการระบุตัวคนที่มีการปฏิสัมพันธ์กับผู้ที่มีไวรัส COVID-19 ซึ่งแม้ว่าเขาไม่ได้ระบุชัดเจนว่าจะเป็นเทคโนโลยีนี้เพียงแค่บอกว่าเป็น “วิธีทางดิจิทัล” ที่คล้ายกับไต้หวัน แต่คุณ Shin Bet หน่วยดูแลรักษาความปลอดภัยในประเทศได้ยืนยันกับ Reuters ว่ากำลังดูวิธีการดังกล่าวอยู่ การประกาศนั้นได้ทำให้เกิดความวิตกกังวลเกิดขึ้น โดยผู้เชี่ยวชาญด้านความเป็นส่วนตัวคุณ Avner Pinchuk ได้เตือนว่าสิ่งนี้อาจจะรวมถึงการติดตามผ่านทางโทรศัพท์แบบ real-time ที่สามารถไปเตือนถึงเจ้าหน้าที่กักกันได้เลย หรือว่าติดตามข้อมูล metadata เพื่อค้นหาเส้นทางการท่องเที่ยวหรือรายชื่อผู้ติดต่อกับผู้ป่วย COVID-19 ได้ ซึ่งคุณ Shin Bet ได้ตอบโต้โดยกล่าวว่าคงจะไม่ได้มีการใช้เทคโนโลยี”ในบริบทที่จะทำให้เกิดการแตกแยก” หากแต่มันอาจไม่เกิดความมั่นใจถ้าหากว่าว่าปฏิเสธที่จะให้ติดตามอย่างต่อเนื่องตั้งแต่แรก มีอีกหลายประเทศที่เริ่มมีการปิดทำการในหลายๆ ส่วนของโครงสร้างพื้นฐานต่างๆ รวมถึงอิสราเอลด้วย โดยเพิ่งได้มีคำสั่งให้ปิดทำการโรงแรม ห้างสรรพสินค้า ร้านอาหาร และโรงภาพยนตร์แล้ว ซึ่งการใช้เทคโนโลยีตรวจตรานั้นเป็นวิธีการที่ทันสมัย และสิ่งนี้อาจจะทำให้เกิดการใช้งานในที่อื่นๆ ได้เช่นกันถ้าหากว่ากฎหมายไม่ติดขัด ซึ่งถ้าเกิดขึ้นจริง เทคโนโลยีติดตามดังกล่าวอาจจะกลายเป็นเรื่องทั่วไปก็เป็นไป (อย่างน้อยก็ในช่วงที่การแพร่ระบาดยังคงเกิดขึ้นอยู่ทั่วโลก) ————————————- ที่มา : ADPT / 17 มีนาคม 2563 Link : https://www.adpt.news/2020/03/17/israel-will-use-anti-terrorist-tracking-tech-to-fight-coronavirus-outbreak/…

ข้อแนะนำด้านความมั่นคงปลอดภัยเมื่อต้องทำงานจากที่บ้าน (จากเหตุการณ์ไวรัสโคโรน่า #COVID19 และกรณีอื่นๆ)

จากเหตุการณ์ไวรัสโคโรน่าหรือ COVID-19 แพร่ระบาด หลายองค์กรได้มีมาตรการให้พนักงานปฏิบัติงานจากที่บ้าน หนึ่งในกระบวนการที่ควรพิจารณาคือการลดความเสี่ยงจากเหตุภัยคุกคามทางไซเบอร์ ทางสถาบัน SANS ได้มีข้อแนะนำ 5 ประการในการรับมือเรื่องนี้ 1. ระวังไม่ให้ตกเป็นเหยื่อการโจมตีแบบ social engineering เนื่องจากการปฏิบัติงานจากบ้านนั้นจำเป็นต้องมีการติดต่อสื่อสารหรือรับส่งไฟล์กับบุคคลอื่นมากกว่าการทำงานตามปกติ ผู้ประสงค์ร้ายอาจฉวยโอกาสนี้ในการส่งอีเมลหลอกลวง แนบไฟล์มัลแวร์ หรือแนบลิงก์ที่พาไปยังเว็บไซต์ฟิชชิ่งเพื่อหลอกขโมยรหัสผ่านได้ ทั้งนี้ควรทบทวนกระบวนการสั่งงานและการอนุมัติสั่งงาน เนื่องจากการโจมตีประเภท Business Email Compromise หรือ CEO Fraud ซึ่งเป็นการแฮกอีเมลของผู้บริหารแล้วสั่งให้ส่งข้อมูลหรือสั่งให้โอนเงินนั้นอาจก่อให้เกิดความเสียหายต่อองค์กรได้ 2. รักษาความมั่นคงปลอดภัยของรหัสผ่าน โดยควรใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกับรหัสผ่านที่เคยใช้ในบริการอื่น หากเป็นไปได้ควรเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยเพื่อลดผลกระทบหากเกิดเหตุการณ์รหัสผ่านหลุด รวมถึงพิจารณาใช้โปรแกรมช่วยบริหารจัดการรหัสผ่านร่วมด้วย ทั้งนี้รวมถึงการตั้งรหัสผ่าน Wi-Fi เพื่อป้องกันไม่ให้ผู้ไม่ได้รับอนุญาตแอบเชื่อมต่อ Wi-Fi แล้วแพร่กระจายมัลแวร์หรือดักขโมยข้อมูล 3. การทำงานจากที่บ้านอาจไม่ได้หมายความว่าต้องอยู่แค่ในบ้านเสมอไป บางกรณีอาจจำเป็นต้องออกไปประชุมหรือทำงานนอกบ้าน เช่น ตามร้านกาแฟหรือห้างสรรพสินค้า หากเป็นไปได้ควรเชื่อมต่อ Wi-Fi จากโทรศัพท์มือถือ หากจำเป็นต้องเชื่อมต่อ Wi-Fi สาธารณะควรใช้ VPN ทั้งนี้ควรอัปเดตระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และฐานข้อมูลของโปรแกรมแอนติไวรัสอย่างสม่ำเสมอ 4. ทำความเข้าใจกับเด็กหรือคนอื่นในบ้านว่าอุปกรณ์สำนักงานที่นำไปใช้ทำงานที่บ้าน…

Microsoft เผย บัญชีที่ถูกแฮก 99.9% ไม่ได้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย มีองค์กรแค่ 11% เท่านั้นที่เปิดใช้

ในงาน RSA Conference 2020 วิศวกรจาก Microsoft ได้นำเสนอสถิติการแฮกบัญชีผู้ใช้ โดยระบุว่าบัญชี 99.9% ที่ถูกแฮกนั้นไม่ได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication หรือ MFA) ซึ่งเป็นการใช้ข้อมูลอื่น (เช่น OTP หรือ PIN) มาช่วยยืนยันเพิ่มเติมในการล็อกอินนอกเหนือจากการใช้รหัสผ่านเพียงอย่างเดียว นอจากนี้ทาง Microsoft ยังพบว่ามีองค์กรแค่ 11% เท่านั้นที่เปิดใช้งานระบบนี้ การแฮกบัญชีผู้ใช้นั้นสามารถทำได้หลายวิธี โดยวิธีที่พบมากที่สุดคือการใช้เทคนิค password spraying ซึ่งเป็นการพยายามเดารหัสผ่านโดยใช้ข้อความที่เป็นคำทั่วไปหรือตั้งรหัสผ่านที่สามารถคาดเดาได้ง่าย วิธีรองลงมาคือการใช้เทคนิค password replays ซึ่งเป็นการใช้รหัสผ่านที่เคยหลุดจากบริการอื่นๆ มาทดลองล็อกอิน เทคนิคนี้ใช้ได้ผลเนื่องจากผู้ใช้ส่วนมากยังตั้งรหัสผ่านเดียวกันในหลายๆ บริการ ทำให้เมื่อรหัสผ่านของบริการใดเกิดหลุดรั่วออกไปก็สามารถนำไปใช้ล็อกอินในบริการอื่นๆ ได้ โดยทาง Microsoft พบว่าผู้ใช้ 60% ตั้งรหัสผ่านเดียวกันสำหรับบัญชีองค์กรและบัญชีส่วนตัว หนึ่งในสาเหตุสำคัญที่ทำให้บัญชีขององค์กรถูกแฮกคือองค์กรเหล่านั้นไม่ได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย นั่นทำให้หากรหัสผ่านของพนักงานในองค์กรรั่วไหล (เช่น ตั้งรหัสผ่านที่คาดเดาได้ง่าย ติดมัลแวร์ หรือตกเป็นเหยื่อฟิชชิ่ง) ก็อาจก่อให้เกิดความเสียหายกับองค์กรได้ ทั้งนี้ ผู้ใช้ทั่วไปสามารถศึกษาวิธีตั้งค่าบัญชีและเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยได้จากลิงก์เหล่านี้ Microsoft (https://support.microsoft.com/th-th/help/12408/microsoft-account-how-to-use-two-step-verification)…

ความหมายของ “ภาวะการระบาดใหญ่ทั่วโลก” กับวิกฤติโควิด-19

EDITORS NOTE: Graphic content / World Health Organization (WHO) Director-General Tedros Adhanom Ghebreyesus talks during a daily press briefing on COVID-19 virus at the WHO headquaters in Geneva on March 11, 2020. – WHO Director-General Tedros… การที่องค์การอนามัยโลกตัดสินใจประกาศให้โควิด-19 เป็น ภาวะการระบาดใหญ่ทั่วโลก ในวันพุธ เป็นสิ่งที่หลายฝ่ายคาดการณ์ไว้แล้ว แม้สถานการณ์โดยรวมจะบ่งชี้ถึงความจำเป็นที่จะต้องทำการประกาศนี้มาสักระยะ โดยเฉพาะเมื่ออัตราการระบาดในจุดต่างๆ เพิ่มสูงขึ้นอย่างต่อเนื่อง นิตยสาร Time รายงานว่า คำว่า “ภาวะการระบาดใหญ่ทั่วโลก” หรือ Pandemic ในความหมายขององค์การอนามัยโลก คือ การแพร่กระจายของโรคใหม่ไปยังพื้นที่ทั่วโลก แม้ว่าเกณฑ์ที่ชัดเจนในการตัดสินว่าสถานการณ์ใดควรได้รับคำนิยามนี้จะไม่ชัดเจนเสียทีเดียว…

โปแลนด์สั่งปรับโรงเรียนตามกฎหมาย GDPR จากการใช้ไบโอเมตริกตรวจสอบสิทธิ์ในการรับอาหารของนักเรียน

ภาพโดย MichaelGaida/Pixabay โรงเรียนในประเทศโปแลนด์ถูกทางการสั่งปรับเป็นเงิน 20,000 zloty (หน่วยเงินของโปแลนด์ คิดเป็นเงินไทยราว 166,000 บาท) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรปหรือ GDPR หลังจากทางโรงเรียนประมวลผลข้อมูลลายนิ้วมือของนักเรียนเพื่อตรวจสอบการจ่ายเงินค่าอาหารกลางวัน Jan Nowak ประธานของ UODO หน่วยงานด้านการปกป้องข้อมูลส่วนตัวในโปแลนด์ระบุว่าทางโรงเรียนได้ประมวลผลลายนิ้วมือของเด็กนับร้อยคนโดยไม่มีมาตรฐานตามกฎหมาย ซึ่งโรงเรียนมีทางเลือกมากมายในการจัดการอาหารของโรงเรียนที่ไม่จำเป็นต้องใช้ลายนิ้วมือ UODO ระบุว่า โรงเรียนแห่งนี้ใช้เครื่องอ่านไบโอเมตริกตรวจสอบนักเรียนที่ทางเข้าโรงอาหารมาตั้งแต่ปี 2015 เพื่อตรวจสอบสิทธิ์การรับอาหารของนักเรียน โดยถ้านักเรียนปฏิเสธที่จะใช้ไบโอเมตริกจะต้องไปต่อท้ายแถว และต้องรอจนกว่าเด็กที่ใช้ไบโอเมตริกจะเข้าโรงอาหารจนหมดก่อนเด็กที่ไม่ใช้จึงจะเข้าได้ ซึ่งประธาน UODO ให้ความเห็นว่ากฎเหล่านี้สร้างการปฏิบัติอย่างไม่เท่าเทียมต่อเด็กและสร้างความแตกต่างอย่างไม่มีเหตุผล แม้ว่าโครงการไบโอเมตริกของโรงเรียนแห่งนี้จะมีคำยินยอมจากผู้ปกครองก็ตาม แต่ UODO พบว่าตามวัตถุประสงค์คือการระบุสิทธิ์ในการรับอาหารกลางวันของนักเรียน ก็ไม่ได้มีความจำเป็นต้องใช้ไบโอเมตริก รวมถึง GDPR ระบุไว้ชัดเจนตาม Retical 38 ว่าข้อมูลส่วนบุคคลของเด็กต้องได้รับการปกป้องเป็นพิเศษเนื่องจากเด็กไม่สามารถตระหนักถึงความเสี่ยงและสิทธิในข้อมูลของตนเอง และไบโอเมตริกก็คือข้อมูลเฉพาะตัวตนที่เปลี่ยนแปลงไม่ได้ หากหลุดออกไปจะถือเป็นความเสี่ยงขั้นรุนแรงต่อเสรีภาพของบุคคลนั้น ๆ ————————————————— ที่มา : Blognone / 7 มีนาคม 2563 Link : https://www.blognone.com/node/115049

Cathay Pacific โดนปรับกว่า 20 ล้านบาทจากเหตุทำข้อมูลลูกค้ารั่ว

Credit: CathayPacific.com สายการบิน Cathay Pacific ถูกสั่งปรับเป็นเงิน £500,000 (ราว 20 ล้านบาท) จากเหตุความล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของลูกค้าให้มั่นคงปลอดภัยในช่วงปี 2014 – 2018 ส่งผลให้ข้อมูลเกือบ 10 ล้านรายการรั่วไหลสู่ภายนอก Information Commissioner’s Office (ICO) ระบุว่า ช่วงระหว่างเดือนตุลาคม 2014 ถึงเดือนพฤษภาคม 2018 ที่ผ่านมา ระบบคอมพิวเตอร์ของสายการบิน Cathay Pacific ขาดมาตรการควบคุมด้านความมั่นคงปลอดภัยที่เหมาะสม ส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าซึ่งประกอบด้วย ชื่อ พาสปอร์ต วันเกิด อีเมล เบอร์โทรศัพท์ ข้อมูลการเดินทาง และอื่นๆ จากลูกค้าในสหราชอาณาจักร 111,578 ราย และประเทศอื่นๆ ทั่วโลกราว 9,400,000 รายถูกเข้าถึงโดยมิชอบจากบุคคลภายนอก ICO ยังระบุอีกว่า การโจมตีเกิดขึ้นเนื่องจากข้อมููลสำรอง (Backups) ไม่มีการใส่รหัสผ่านหรือเข้ารหัสไว้ เซิร์ฟเวอร์ที่เชื่อมต่อจากอินเทอร์เน็ตก็ไม่มีการแพตช์ช่องโหว่ มีการใช้ระบบปฏิบัติการที่ไม่มีการซัพพอร์ต การใช้แอนตี้ไวรัสไม่เหมาะสม รวมไปถึงการอนุญาตให้เข้าถึงระบบจากภายนอกได้โดยไม่มีการพิสูจน์ตัวตนแบบ…