เปิด 10 ข้อ ไซเบอร์ซิเคียวริตี้ 2023 เตรียมองค์กรพร้อมรับความเสี่ยง

บทความน่าสนใจ

Loading

  “ปริญญา หอมเอนก” ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ทำนายแนวโน้มดังกล่าวทุกปีเช่นกัน สำหรับ Top Ten Cybersecurity & Privacy Threats and Trends 2023   ปีนี้มาพร้อมกับคำแนะนำ 10 ข้อ ไซเบอร์ซิเคียวริตี้ 2023 ดังนี้   1.จัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือ Cyber Drill การสร้างความตระหนักรู้ความปลอดภัยไม่เพียงพออีกต่อไปแล้ว ดังนั้นองค์กรจำเป็นจะต้องจัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือที่เรียกว่า Cyber Drill เพื่อซักซ้อมแนวทางปฏิบัติที่จะรับมือกับการเผชิญเหตุอย่างน้อยปีละ 1-2 ครั้ง เป็นการสร้างภูมิคุ้มกันให้แก่บุคลากรและองค์กรไปพร้อมๆ กัน   ปริญญา อธิบายว่า “Cyber Drill” (Cyber Attack Simulation) เป็นการจำลองเหตุการณ์โจมตี ทั้งการโจมตีระบบ และการโจมตีที่จิตใจคน เพราะปัจจุบันภัยไซเบอร์ ไม่ได้มาในรูปแบบการโจมตี เพื่อบุกรุกเข้าสู่ระบบสารสนเทศขององค์กรเพียงอย่างเดียว แต่จะมุ่งเป้าโจมตีไปที่จิตใจคนเพื่อให้เกิดความโลภหรือเกิดความกลัวจนรีบทำในสิ่งที่แฮกเกอร์หลอกลวงโดยไม่รู้เท่าทัน   การจำลองเหตุการณ์ Cyber Attack จะทำให้เกิดความคุ้นชินกับการโจมตีที่มุ่งเป้าไปที่ตัวบุคคล เพราะเมื่อเราได้เห็นหรือมีประสบการณ์แล้วก็จะรู้ว่า…

“สกมช.”ห่วงหน่วยงานรัฐขาดผู้บริหารด้านไอที

บทความน่าสนใจ

Loading

  เผย หน่วยงานโครงสร้างพื้นฐานของภาครัฐ ยังขาดผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ตามที่กฎหมายกกำหนดให้ต้องมี เพื่อป้องกันและบริหารความเสี่ยงด้านภัยไซเบอร์ เร่งจัดอบรมและประสานหน่วยงานต่าง ๆ ให้ปฏิบัติตามเกณฑ์มาตรฐานขั้นต่ำที่กำหนด   พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) เปิดเผยว่า กฎหมายลูกของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ได้บังคับให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (ซีไอไอ) ของประเทศ เช่น ด้านการเงิน โทรคมนาคม  สาธารณูปโภค สาธารณสุข การศึกษา ฯลฯ  ต้องมีตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ หรือซิโซ่ (CISO) เพื่อทำหน้าที่บริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ให้กับหน่วยงาน ให้ได้ตามมาตรฐานที่กฎหมายกำหนดและป้องกันความเสี่ยง และผลกระทบต่อที่อาจเกิดขึ้น กรณีถูกโจมตีจนเกิดความเสียหายต่อระบบ ทำให้บริการหรือธุรกิจหยุดชะงัก จนส่งผลต่อประชาชนในวงกว้าง   อย่างไรก็ตาม ในปัจจุบันบางหน่วยงานของรัฐ รวมถึงรัฐวิสาหกิจ ที่เกี่ยวข้องกับงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ยังไม่มีการตั้งบุคคลมาดำรงตำแหน่งนี้ เนื่องจากขาดแคลนบุคลากรที่เชี่ยวชาญ ที่จะขึ้นมาในระดับผู้บริหาร ขณะที่หน่วยงานที่เกี่ยวข้อง ที่เป็นภาคเอกชน เช่น สถาบันการเงิน ฯลฯ ไม่น่าเป็นห่วง เนื่องจากมีบุคลากรที่พร้อมกว่า รวมถึงมีงบประมาณในการจ้างผู้เชี่ยวชาญในส่วนนี้ ให้มาทำงานได้ ซึ่งที่ผ่านมาทาง สกมช. ก็ได้เร่งแก้ปัญหาในกับหน่วยงานรัฐ ด้วยการเปิดหลักสูตรด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ระดับผู้บริหาร (เอ็กซ์คูลซีฟ ซิโซ่) ในรุ่นที่ 1 ซึ่งมีผู้บริหารหน่วยงานรัฐ สำเร็จจบหลักสูตรแล้ว 69 คน   พล.อ.ต.อมร กล่าวต่อว่า ทาง สกมช. ได้พยายามประสานและแจ้งหน่วยงานเหล่านี้แล้ว…

มือถือหรือคอมพิวเตอร์ถูกแฮ็กได้อย่างไร

บทความน่าสนใจ

Loading

  ช่วงนี้เราคงเคยได้ยินข่าวเกี่ยวกับมือถือ คอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ทำงานคล้ายคอมพิวเตอร์ (ในที่นี้แทนทั้งหมดด้วย “คอมพิวเตอร์”) ถูกแฮ็ก ทำให้สูญเงินในบัญชีกันบ่อยขึ้น แทบจะเกิดขึ้นรายวัน   เพราะเราสามารถทำเกือบทุกอย่างได้ผ่านคอมพิวเตอร์ ดังนั้น คอมพิวเตอร์เหล่านี้จึงตกเป็นเป้าโจมตีมากยิ่งขึ้น   ปัจจัยและสาเหตุของการถูกแฮกและขโมยข้อมูล – มีหลายปัจจัยที่ส่งผลกระทบและสร้างเสียหายความรุนแรงต่อคอมพิวเตอร์และผู้ใช้งาน   เช่น การดูแลรักษาคอมพิวเตอร์มีการอัปเดตระบบปฏิบัติการหรือซอฟต์แวร์เป็นรุ่นล่าสุดหรือไม่ ประเภทภัยคุกคามที่มาโจมตี จำนวนเงินที่มีอยู่ในบัญชีหรือบัตรเครดิต ความสำคัญของข้อมูลในระบบ เป็นต้น   สาเหตุที่คอมพิวเตอร์ถูกแฮกเกิดจาก 5 พฤติกรรม ดังนี้   1.การขาดความตระหนักรู้และขาดการไตร่ตรอง – เป็นสิ่งที่สุ่มเสี่ยงและมีผลกระทบมากที่สุด เพราะเป็นจุดเริ่มต้นที่ทำให้เกิดความเสี่ยงต่าง ๆ เช่น ในระหว่างทำธุรกรรมก็อาจเข้าใช้งานเว็บไซต์หรือดาวน์โหลดข้อมูลโดยไม่ได้ตรวจสอบเว็บไซต์   โปรแกรมที่ดาวน์โหลดมาหรือสังเกตอีเมลลิงก์ต่าง ๆ รวมถึงคลิกลิงก์ที่แนบมาโดยไม่ได้ระวัง ทำให้ตกเป็นเหยื่อของผู้ไม่ประสงค์ดีที่อาจส่งอีเมลหลอกลวงเพื่อขโมยข้อมูลหรือติดตั้งมัลแวร์ (โปรแกรมอันตราย) ได้   หรือเห็นได้จากหลาย ๆ ข่าวที่มิจฉาชีพปลอมตัวเป็นเจ้าหน้าที่รัฐ เช่น สรรพากร ตำรวจ เป็นต้น ทำการหลอกล่อเหยื่อโดยการส่งลิงก์มาให้โหลด และเหยื่อก็ติดตั้งซอฟต์แวร์จากลิงก์นั้น ทำให้สูญเงินไปหลายล้านบาท…

ชี้หน่วยงานรัฐเสี่ยงโดนโจมตีไซเบอร์เพิ่มขึ้นหลังก.ม.บังคับให้บริการปชช.ผ่านออนไลน์

บทความน่าสนใจ

Loading

  สกมช. เผยแนวโน้มภัยคุกคามทางไซเบอร์ในประเทศไทย มีแนวโน้มที่เพิ่มสูงขึ้นอย่างต่อเนื่อง หลังไทยจะบังคับใช้ปฏิบัติราชการทางอิเล็กทรอนิกส์ ในเดือน ม.ค. 66   พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (สกมช.) เปิดเผยว่า แนวโน้มภัยคุกคามทางไซเบอร์ทั้งในระดับโลก ระดับภูมิภาค และในประเทศไทย มีแนวโน้มที่เพิ่มสูงขึ้นอย่างต่อเนื่อง ประกอบกับการที่ประเทศไทยมีการนำเทคโนโลยีสารสนเทศมาใช้ในการทำงานเพิ่มสูงขึ้น ทั้งในหน่วยงานของรัฐ หน่วยงานเอกชน และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ   ล่าสุดได้มีกฎหมายสำคัญ คือ พระราชบัญญัติการปฏิบัติราชการทางอิเล็กทรอนิกส์ พ.ศ. 2565  ที่จะบังคับใช้ในเดือน ม.ค. 66 ซึ่งมุ่งผลักดันให้หน่วยงานของรัฐจะต้องให้บริการประชาชนด้วยวิธีการทางอิเล็กทรอนิกส์ที่เพิ่มสูงขึ้น ส่งผลให้เกิดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เพิ่มสูงขึ้น จนอาจส่งผลกระทบต่อการให้บริการต่อประชาชนอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะหลายหน่วยงานรัฐยังขาดแคลนบุคลากรที่ทำงานดูแลด้านไอทีจำนวนมาก   พลอากาศตรี อมร กล่าวต่อว่า สกมช. มุ่งมั่นที่จะลดความเสี่ยงดังกล่าว เพื่อยกระดับประเทศเพื่อให้มีความมั่นคงปลอดภัยไซเบอร์ โดยได้มีการประกาศนโยบายและแผนปฏิบัติการว่าด้วยความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565-2570 ซึ่งจะเป็นกรอบแนวทางการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ที่มุ่งเน้นทั้งการเสริมสร้างศักยภาพ การป้องกัน การรับมือ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และการตอบสนองต่อเหตุภัยคุกคาม พร้อมฟื้นฟูระบบให้กลับคืนสู่สภาวะปกติอย่างทันท่วงที โดยเฉพาะหน่วยงานที่เกี่ยวกับโครงสร้างพื้นฐาน เพื่อเพิ่มประสิทธิภาพในการรับมือภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ทำให้หน่วยงานต่าง ๆ เกิดความตระหนักรู้เกี่ยวกับสถานการณ์ความเสี่ยงด้านไซเบอร์ของประเทศ และเกิดความปลอดภัยต่อประชาชนมากยิ่งขึ้น.     ——————————————————————————————————————————————————————————- ที่มา :                                เดลินิวส์ออนไลน์         …

สัมภาษณ์พิเศษ : ‘พล.อ.ต.อมร ชมเชย’โชว์แผน ยกระดับสู้ภัยไซเบอร์

บทความน่าสนใจ

Loading

  ‘พล.อ.ต.อมร ชมเชย’โชว์แผนยกระดับสู้ภัยไซเบอร์   หมายเหตุ – บทสัมภาษณ์ พล.อ.ต.อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในโอกาสที่ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 และกฎหมายลูกที่เกี่ยวข้อง มีผลบังคับใช้อย่างเต็มรูปแบบ   ขณะนี้อยู่ระหว่างการเฝ้าติดตามความสามารถในการส่งเสริม หรือสนับสนุนให้แต่ละหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือซีไอไอ ประกอบด้วย 1.หน่วยงานด้านความมั่นคงของรัฐ 2.หน่วยงานด้านบริการภาครัฐที่สำคัญ 3.หน่วยงานด้านการเงินการธนาคาร 4.หน่วยงานด้านเทคโนโลยีสารสนเทศและโทรคมนาคม 5.หน่วยงานด้านการขนส่งและโลจิสติกส์ 6.หน่วยงานด้านพลังงานและสาธารณูปโภค และ 7.หน่วยงานด้านสาธารณสุข รวมถึงหน่วยงานด้านอื่น ตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม   ประเด็นสำคัญของกฎหมายลูก กำหนดให้หน่วยงานซีไอไอต้องปฏิบัติตามมาตรฐานที่กำหนด จึงถือเป็นความท้าทายของ สกมช. เพราะแต่ละหน่วยงานแตกต่างกันด้วยอัตลักษณ์ อาทิ ธนาคาร หรือสถาบันการเงิน ที่มีความพร้อมด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างมาก เนื่องจากกระบวนการกำกับดูแลที่เข้มแข็ง และมีขั้นตอนครบถ้วนตามข้อกำหนด ขณะที่บางหน่วยงานไม่ถนัดด้านไซเบอร์ แม้มีหน่วยงานกำกับดูแล แต่การรักษาความมั่นคงปลอดภัยไม่เข้มแข็งนัก เนื่องจากขาดแคลนบุคลากร เช่น สายการบิน ที่กำกับดูแลโดย บริษัท ท่าอากาศยานไทย จำกัด (มหาชน) เป็นต้น…

ก.ล.ต. เตรียมปรับปรุงเกณฑ์ IT ของผู้ประกอบธุรกิจในตลาดทุนให้มีความปลอดภัย

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) เปิดรับฟังความคิดเห็นการปรับปรุงร่างประกาศหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (เกณฑ์ IT) เพื่อยกระดับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจในตลาดทุนให้มีความปลอดภัย และสร้างความเชื่อมั่นให้กับผู้ลงทุน   ก.ล.ต. มีแนวคิดปรับปรุงร่างประกาศหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับการใช้เทคโนโลยีสารสนเทศในการประกอบธุรกิจที่มีการเปลี่ยนแปลงไป และภัยคุกคามทางไซเบอร์ โดยได้ดำเนินการเปิดรับฟังความคิดเห็นจากผู้ที่เกี่ยวข้องเมื่อเดือนธันวาคม 2564 และนำข้อเสนอแนะมาปรับปรุงหลักเกณฑ์ให้มีความเหมาะสมยิ่งขึ้น ซึ่งหลักการสำคัญของการปรับปรุงประกาศในครั้งนี้ประกอบด้วย   (1) กำหนดเกณฑ์การจัดระดับความเสี่ยงที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ และกำหนดมาตรฐานการควบคุมและการกำกับดูแลด้านเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจให้สอดคล้องกับระดับความเสี่ยง และลักษณะการประกอบธุรกิจที่มีความหลากหลาย เช่น โครงสร้าง ขนาด และความซับซ้อนของเทคโนโลยีที่ใช้งาน   (2) มุ่งเน้นบทบาทหน้าที่และการมีส่วนร่วมของคณะกรรมการของผู้ประกอบธุรกิจ และโครงสร้างการกำกับดูแลการใช้เทคโนโลยีในการประกอบธุรกิจให้มีความปลอดภัย และมีการตรวจสอบด้านความมั่นคงปลอดภัย โดยผู้ตรวจสอบที่มีความเป็นอิสระและมีคุณสมบัติที่เหมาะสม   (3) ปรับปรุงเนื้อหาของหลักเกณฑ์และแนวปฏิบัติให้สอดคล้องกับมาตรฐานสากล และหลักเกณฑ์การกำกับดูแลของหน่วยงานกำกับดูแลในภาคอุตสาหกรรมการเงิน   (4) จัดให้มีข้อกำหนดเพิ่มเติมด้านการบริหารคุณภาพและบริการของระบบเทคโนโลยีสารสนเทศ เช่น การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ และการบริหารจัดการด้านทรัพยากรระบบงาน (Capacity Management)   (5) ยกระดับมาตรการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้มีความเข้มแข็ง เพื่อป้องกันเหตุการณ์ภัยคุกคามทางไซเบอร์ และเพื่อให้สอดคล้องกับแนวทางกฎหมายไซเบอร์ เช่น การประเมินช่องโหว่ทางเทคนิค (Vulnerability Assessment) และการทดสอบการเจาะระบบ (Penetration Test)…