ความมั่นคงไซเบอร์ Archives

6 ขั้นตอนสำคัญ ในการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์

บทความน่าสนใจBy Admin S.10 14 March 2019

ยุทธศาสตร์การจัดการความเสี่ยงของทุกองค์กรนั้นย่อมต้องมีการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ด้วย เนื่องจากถือเป็นช่องโหว่สำคัญที่เปิดช่องให้เกิดอันตรายที่สร้างความเสียหายอย่างใหญ่หลวงได้ แต่แน่นอนว่าความจำเป็นในการประเมินความเสี่ยงนั้นขึ้นอยู่กับขนาดขององค์กรด้วย อย่างบริษัทข้ามชาตินั้นย่อมมีความเสี่ยงมากกว่าบริษัทขนาดเล็กและขนาดกลางในประเทศอยู่แล้ว เป็นต้น อย่างไรก็ดี ทุกบริษัทน้อยใหญ่ต่างก็พยายามอย่างสุดความสามารถในการลดความเสี่ยงมากที่สุดเท่าที่เป็นไปได้ ซึ่งหนทางที่จะทำได้นั้นก็หนีไม่พ้นการประเมินความเสี่ยงเช่นกัน แต่การประเมินความเสี่ยงที่เหมาะสมนั้นไม่ใช่เรื่องทีจำเป็นต้องทำให้ซับซ้อน เพียงแค่แตกย่อยออกมาเป็นแต่ละหัวข้อเล็กๆ ก็ทำให้สามารถบริหารจัดการได้ง่ายขึ้นแล้ว ดังขั้นตอนต่อไปนี้ 1. จัดตั้งทีมงานจัดการความเสี่ยงโดยเฉพาะ ไม่ว่าตัวคุณเองจะมีทักษะด้านการรักษาความปลอดภัยดีแค่ไหน ก็ไม่มีทางที่จะสามารถสอดส่องดูแลได้ทุกจุดพร้อมกัน ดังนั้นจึงจำเป็นต้องมีทีมงานคอยช่วยเหลือ เป็นหูเป็นตาโดยเฉพาะจุดเสี่ยงต่างๆ ในองค์กร โดยเฉพาะในเมื่อแต่ละแผนกมีลักษณะการทำงานที่ต่างกัน ทีมงานด้านนี้จึงควรมีตัวแทนจากหลากหลายแผนกที่ช่วยได้ทั้งด้านการสื่อสารและการวิเคราะห์ภาพรวมได้ชัดเจน 2. ลิสต์รายการและจัดหมวดหมู่ทรัพย์สินในองค์กร ทีมงานที่จัดตั้งขึ้นจะเป็นหัวแรงสำคัญในการรวบรวมข้อมูลเกี่ยวกับทรัพยากรทั้งหมดภายในองค์กร โดยเฉพาะข้อมูลที่ถูกรวบรวม, จัดเก็บ, และโอนย้ายถ่ายเทไปยังตำแหน่งต่างๆ โดยเฉพาะในบริการบนคลาวด์อย่างเช่น Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS), และ Software-as-a-Service (SaaS) 3. ลงมือประเมินความเสี่ยง ข้อมูลที่ใช้งานในองค์กรต่างมีความสำคัญแตกต่างกัน และหน่วยงานที่เราเอาต์ซอร์สหรือเธิร์ดปาร์ตี้ต่างๆ ก็ไม่ได้มีมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพียงพอเท่าเทียมกันด้วย ดังนั้นเวลาที่จะระบุความสำคัญหรือระดับความเสี่ยงของทรัพยากรด้านข้อมูลในบริเวณต่างๆ ก็ไม่ควรมองข้ามความเสี่ยงที่เกิดจากบุคคลหรือองค์กรภายนอกที่ร่วมงานด้วยเช่นกันตัวอย่างเช่น การมองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่เป็นแกนหลักของบริษัท, ระบุข้อมูลที่ควรจัดการทั้งด้านการรักษาความลับ ความพร้อมในการเข้าถึง และความถูกต้อง, ระบุอุปกรณ์ที่มีความเสี่ยงมากที่สุดต่อการเกิดเหตุข้อมูลรั่วไหล, ระบุโอกาสต่างๆ ที่สร้างความเสียหายแก่ข้อมูล, มองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่มักตกเป็นเป้าของอาชญากรไซเบอร์ในการจารกรรมข้อมูล, รวมไปถึงความเสี่ยงทั้งด้านการเงินและชื่อเสียงที่เป็นไปได้ถ้าเกิดเหตุข้อมูลรั่วไหล…

รัฐสภารัสเซียผ่านกฎหมายควบคุมการวิพากษ์วิจารณ์ออนไลน์

ข่าวประจำวันBy Admin S.10 11 March 2019

FILE – Russian lawmakers are seen during a vote at the State Duma, the Lower House of the Russian Parliament, in Moscow, Russia, May 8, 2018. สมาชิกสภาผู้แทนราษฎรของรัสเซีย ผ่านร่างกฎหมายสองฉบับซึ่งควบคุมการแสดงความคิดเห็นเชิงวิพากษ์วิจารณ์รัฐบาลในโลกออนไลน์ โดยผู้ฝ่าฝืนอาจต้องโทษจำคุกหรือปรับเงินได้ ร่างกฎหมายนี้ระบุว่า ผู้ที่โพสต์ข้อมูลบิดเบือนเกี่ยวกับรัฐบาล หรือข้อมูลที่มีเนื้อหาที่ไม่เคารพต่อสังคม ประเทศ รัฐบาล หรือสัญลักษณ์ของรัฐบาลรัสเซีย จะถือว่ามีความผิด และอาจถูกลงโทษในเบื้องต้น แต่หากยังกระทำผิดซ้ำอาจถูกจำคุกไม่เกิน 15 วัน ผู้ที่ไม่เห็นด้วยกล่าวว่า กฎหมายนี้คือส่วนหนึ่งของมาตรการควบคุมกำจัดผู้ที่เห็นต่างจากรัฐบาล โดยมุ่งเป้าไปที่สื่อสังคมออนไลน์ที่ยังไม่ถูกรัฐบาลควบคุมเท่ากับสื่อกระแสหลักอื่นๆ —————————————————– ที่มา : VOA Thai / 8 มีนาคม 2562 Link : https://www.voathai.com/a/russian-duma-approves-bills-restricting-online-criticism-of-kremlin/4818045.html

รัสเซีย เตรียมทดสอบตัดการเชื่อมต่อจากอินเทอร์เน็ตโลก เพื่อป้องกันการโจมตีไซเบอร์

บทความน่าสนใจBy Admin S.10 11 March 2019

ในอีก 2-3 สัปดาห์ข้างหน้า รัฐบาลรัสเซียจะทดลอง ‘ถอดปลั๊ก’ ประเทศจากการเชื่อมต่อกับอินเทอร์เน็ตโลก วันที่จะทดสอบระบบยังไม่ได้ระบุชัดเจน แต่คาดว่าจะเกิดขึ้นก่อนวันที่ 1 เม.ย. เพราะวันนั้นเป็นวันสุดท้ายที่สมาชิกรัฐสภาจะเสนอให้เปลี่ยนแปลงกฎหมายที่เรียกว่า โครงการเศรษฐกิจดิจิทัลแห่งชาติ (Digital Economy National Program) การทดสอบดังกล่าว เป็นการเคลื่อนไหวล่าสุดของรัสเซียในการสร้าง ‘อินเทอร์เน็ตที่มีอธิปไตย’ (sovereign internet) เพื่อปกป้องตัวเองจากการโจมตีทางไซเบอร์ในช่วงวิกฤต ยกตัวอย่างเช่น ช่วงสงคราม แม้ว่า รัสเซียจะมีความกังวลอยู่ แต่การทดสอบนี้จะเป็นความก้าวหน้าอีกขั้นหนึ่ง ควบคู่ไปกับแนวทางในการสร้างอินเทอร์เน็ตที่ควบคุมได้ หรือมีความเข้มงวดมากขึ้น คล้ายกับการควบคุมเนื้อหาด้วย ‘เกรต ไฟร์วอลล์’ (Great Firewall) ของจีน ผู้เชี่ยวชาญ กล่าวว่า นี่เป็นส่วนหนึ่งของแนวโน้มในการสร้างสิ่งที่เรียกว่า ‘สปลินเทอร์เน็ต’ (splinternet) ซึ่งอินเทอร์เน็ตยังคงมีอยู่ แต่จะมีความแตกต่างกันไปในแต่ละประเทศ ขึ้นอยู่กับการควบคุมของรัฐบาล อย่างไรก็ตาม ยังคงมีหลายคำถามเกี่ยวกับแผนการตัดการเชื่อมต่อกับอินเทอร์เน็ตโลกของรัสเซีย เป็นไปได้หรือไม่ที่จะ ‘ถอดปลั๊ก’ ประเทศจากการเชื่อมต่ออินเทอร์เน็ตกับชาวโลก? ตอบสั้น ๆ ว่า เป็นไปได้ เมื่อพิจารณาลักษณะทางกายภาพของ อินเทอร์เน็ต ถ้าคุณตัดสายที่เชื่อมต่อประเทศกับเครือข่ายทั่วโลก…

พ.ร.บ ไซเบอร์: ตีความต่างมุมจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ถึง iLaw

บทความน่าสนใจBy Admin S.10 7 March 2019

ประชาไท / บทความ / โดย ภูมิ ภูมิรัตน ผมเขียนเรื่องนี้เป็นความคิดเห็นส่วนตัว ในฐานะหนึ่งในผู้ทรงคุณวุฒิกรรมการเตรียมการด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ใช่ความเห็นของกรรมการแต่อย่างใด และเขียนขึ้นไม่ใช่เพื่อเจตนาบอกว่าใครผิดถูกอะไร แต่ผมกังวลกับกระแสถกเถียงกันที่รุนแรงมาก ทำให้แบ่งฝักแบ่งฝ่ายทะเลาะกัน เลยอยากลองชี้แจงข้อมูลเท่าที่ตัวเองทราบ เพื่อหวังว่าจะใช้ตรงนี้เป็นอีกหนึ่งพื้นที่พูดคุยแลกเปลี่ยนและสนทนากันอย่างสร้างสรรค์ร่วมกัน กฎหมายนี้มีความซับซ้อน เขียนกันมานาน และมีหลายมาตราที่คาบเกี่ยวกัน จะเข้าใจกฎหมายนี้ไม่ง่าย ต้องอ่านหลายรอบ ผมแนะนำให้ทุกคนหามาอ่านเอง โดยร่างที่ผมใช้เป็นร่างอ้างอิงของบทความนี้คือร่างที่ผ่านกรรมาธิการแล้ว และเข้าไปโหวตที่ สนช. ในวาระสองและสาม เมื่อวันก่อนที่ผ่านมา โดยแบ่งประเด็นเป็น 8 ประเด็นดังภาพในบทความดังนี้ 1. นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม “เนื้อหา” บนโลกออนไลน์ 2. เจ้าหน้าที่รัฐสามารถ ขอข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทำงาน 3. กฎหมายให้อำนาจเจ้าหน้าที่ ยึด-ค้น-เจาะ-ทำสำเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์ 4. เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐ สามารถสอดส่องข้อมูลได้แบบ Real-time 5. ในกรณีจำเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อำนาจได้โดยไม่ต้องขอหมายศาล 6. การใช้อำนาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ…

ปลัดดีอีแจงกม.ไซเบอร์ ไม่ละเมิดสิทธิ

ข่าวประจำวันBy Admin S.10 5 March 2019

ปลัดดีอี เชื่อ กฎหมายไซเบอร์ช่วยสร้างความเชื่อมั่น ยันไม่ละเมิดสิทธิ เพราะเน้นป้องกันภัยคุกคามทางไซเบอร์ ทั้งระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤติ นางสาวอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ตามที่ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านความเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) กฎหมายทั้งlสองจะช่วยสร้างความพร้อมให้กับประเทศไทยในการรับมือความเสี่ยงและภัยคุกคามทางไซเบอร์ยุคใหม่ จากความก้าวหน้าของเทคโนโลยีดิจิทัล ที่อาจส่งผลกระทบสร้างความเสียหายต่อความมั่นคงประเทศและเศรษฐกิจโดยรวม ตลอดจนถึงการคุ้มครองข้อมูลประชาชนทั่วไป จะช่วยสร้างความมั่นใจในการใช้เทคโนโลยีดิทัล หนุนการขับเคลื่อนประเทศไทยเปลี่ยนผ่านสู่ยุคดิจิทัลอย่างมีเข้มแข็งและยั่งยืน หลักการสำคัญของพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เพราะปัจจุบันการให้บริการสำคัญใช้ระบบดิจิทัล ซึ่งมีความเสี่ยงจากภัยคุกคามทางไซเบอร์ เช่น ไวรัส มัลแวร์ การโจมตีระบบจากอาชญากรคอมพิวเตอร์ อาจกระทบต่อการให้บริการแก่ประชาชน หรือความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที กฎหมายนี้จึงมีการกําหนดหน่วยโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (Critical Information Infrastructure : CII ) ทั้งหน่วยงานของรัฐและหน่วยงานเอกชน ตลอดจนกําหนดให้มีมาตรฐานและ แนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้สามารถบริการได้อย่างต่อเนื่อง ผู้ร่างกฎหมายได้กำหนดว่าโครงสร้างพื้นฐานสําคัญทางสารสนเทศ 7 ด้าน ได้แก่ ด้านบริการของรัฐที่สำคัญ เช่น ระบบการเบิกจ่ายเงินของกรมบัญชีกลาง เป็นต้น ด้านการเงิน…

ยืนยัน! พ.ร.บ. ไซเบอร์ ไม่คุกคามสิทธิประชาชน ยืนยัน! พ.ร.บ. ไซเบอร์ ไม่คุกคามสิทธิประชาชน

บทความน่าสนใจBy Admin S.10 4 March 2019

ช่วงไม่กี่วันที่ผ่านมา หลายฝ่ายแสดงความกังวลเกี่ยวกับเนื้อหาสาระของ พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2561 ที่เพิ่งผ่านการพิจารณาของสภานิติบัญญัติแห่งชาติมาหมาด ๆ ความจริงกฎหมายฉบับนี้เป็นกฎหมายที่จะช่วยสร้างความมั่นคงปลอดภัยในระบบหรือข้อมูลคอมพิวเตอร์ของประเทศ โดยป้องกันไม่ให้เกิดภัยคุกคามซึ่งอาจก่อให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ และไม่เกี่ยวกับการเฝ้าดูข้อมูลของประชาชนทั่วไป นอกจากนี้ ยังมีความแตกต่างจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 ที่มีเป้าหมายเพื่อป้องกัน ควบคุม การกระทำความผิดที่เกิดขึ้นจากการใช้คอมพิวเตอร์ “ภัยคุกคามทางไซเบอร์” คืออะไร? พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือเรียกง่าย ๆ ว่า พ.ร.บ.ไซเบอร์ จะควบคุมภัยคุกคามทางไซเบอร์ ซึ่งแบ่งออกเป็น 3 ระดับ คือ ระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤติ 1) ระดับไม่ร้ายแรง คือ ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง 2) ระดับร้ายแรง คือ ภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้ 3) ระดับวิกฤติ แบ่งออกเป็น 2 ประเภท…

Tag Archives: ความมั่นคงไซเบอร์