มาตรการเพื่อความมั่นคงปลอดภัยสำหรับ e-Meeting 7 กระบวนการ ภายใต้ พ.ร.ก. การประชุมผ่านสื่ออิเล็กทรอนิกส์

บทความน่าสนใจ

คธอ. เปิดข้อกำหนดใช้ e-Meeting อย่างไรให้มั่นคงปลอดภัย น่าเชื่อถือ รองรับ Work from Home ในช่วง COVID-19 ระลอกใหม่ ประธาน คธอ. เปิดมาตรการเพื่อความมั่นคงปลอดภัยสำหรับ e-Meeting 7 กระบวนการ ภายใต้ พ.ร.ก. การประชุมผ่านสื่ออิเล็กทรอนิกส์ เตือนหน่วยงานรัฐหากมีการประชุมลับต้องมี มาตรการควบคุมสิทธิการเข้าถึงข้อมูลของผู้เข้าประชุม และต้องใช้ระบบควบคุมการประชุมที่ติดตั้งและให้บริการในประเทศเท่านั้น ชวนตรวจสอบรายชื่อผู้ให้บริการที่ได้รับการรับรองทางทุกช่องทางของ ETDA     ดร.อรรชกา สีบุญเรือง ประธานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ (คธอ.) กล่าวว่า จากสถานการณ์การแพร่ระบาดของเชื้อไวรัสโควิด-19 (COVID-19) ส่งผลให้หลายหน่วยงานทั้งรัฐและเอกชน ต่างมีมาตรการให้พนักงานทำงานที่บ้าน หรือ Work from home ตามมาตรการเว้นระยะห่างทางสังคม (social distancing) พร้อมปรับเปลี่ยนรูปแบบการประชุมที่เป็นขั้นตอนทำงานสำคัญ เป็นการประชุมออนไลน์ หรือ e-Meeting ซึ่งได้รับความนิยมและมีจำนวนการใช้งานเพิ่มขึ้น ดังนั้น เพื่อดูแลให้การประชุมออนไลน์มีความมั่นคงปลอดภัยและลดความเสี่ยงของภัยคุกคามต่างๆ ที่อาจเกิดขึ้นได้ การประชุมออนไลน์จึงควรดำเนินการให้สอดคล้องตามมาตรฐานขั้นต่ำที่เกี่ยวข้อง ซึ่งปัจจุบัน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม…

NSA แนะให้องค์กรหลีกเลี่ยงการใช้ DNS Resolver จาก Third-party

ข่าวประจำวัน

NSA ได้ออกเตือนให้องค์กรเลิกใช้ DNS Resolver จาก Third-party เนื่องจากเสี่ยงต่อการถูกดักจับและเปิดเผยข้อมูลการใช้งานภายใน     NSA ได้ออกเอกสารแนะนำถึงประโยชน์ของการใช้ DNS over HTTPS (DoH) ในองค์กรไว้ที่ https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF ทั้งนี้เพื่อเข้ารหัสทราฟฟิค DNS ระหว่าง Client และ Resolver โดยไอเดียก็คือจริงๆแล้วองค์กรควรจะบังคับให้ทราฟฟิคของตนกับ Resolver ขององค์กรเท่านั้น เพื่อจะได้บังคับใช้การควบคุมด้าน Security ได้อย่างเหมาะสมหรือบริการภายนอกที่รองรับการเข้ารหัสทราฟฟิค DNS ได้เท่านั้น ในกรณีที่ DNS ขององค์กรยังไม่สามารถรองรับการเข้ารหัสทราฟฟิค DNS ได้ องค์กรควรจะบล็อกการเข้ารหัสของทราฟฟิคไปก่อน จนกว่า DNS ขององค์กรจะมีฟีเจอร์เข้ารหัส โดยสรุปแล้วความคาดหวังของ NSA คือพยายามใช้ DNS ภายในองค์กรเท่านั้นและควรรองรับการเข้ารหัสให้ได้ รวมถึงปิดกั้นไม่ให้ Client ไปใช้ DNS Resolver ที่องค์กรไม่ได้กำหนด ช้อมูลจาก : https://www.bleepingcomputer.com/news/security/nsa-advises-companies-to-avoid-third-party-dns-resolvers/  …

การครอบครองข้อมูลส่วนบุคคลของหน่วยงานรัฐ กับ ระเบียบและกฎหมายข้อมูลข่าวสารกับสิ่งที่เป็นความลับของราชการ

บทความผู้ทรงคุณวุฒิ

               จากหลายกรณีการเผยแพร่สำเนาเอกสารราชการที่กำหนดชั้นความลับ โดยเฉพาะที่เกี่ยวข้องกับข้อมูลข่าวสารหรือพฤติการณ์ส่วนบุคคล เช่น กรณีนายเนติวิทย์ ภัทร์ไพศาลดำรง เปิดเผยผ่านสื่อออนไลน์ เมื่อ 21 มิถุนายน 2561 เกี่ยวกับสำเนาหนังสือตอบจากกองบัญชาการตำรวจสันติบาล สำนักงานตำรวจแห่งชาติถึงอธิบดีกรมการปกครอง กระทรวงมหาดไทยเกี่ยวกับประวัติของนายเนติวิทย์ฯ ซึ่งจัดทำขึ้นเพื่อสนับสนุนการพิจารณาของกรมการปกครองในฐานะนายทะเบียนมูลนิธิ สมาคม ตามสั่งการของที่ประชุมคณะกรรมการติดตามการดำเนินกิจกรรมขององค์กรพัฒนาเอกชนและเครือข่ายภาคประชาสังคม ครั้งที่ 2/2561 ที่ให้กองบัญชาการตำรวจสันติบาลร่วมกับประชาคมข่าวกรอง รวบรวมพฤติกรรม ความเคลื่อนไหวของนายเนติวิทย์ฯ ซึ่งได้รับการเสนอชื่อจากสมาคมแอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย ให้ดำรงตำแหน่งกรรมการสมาคม ประเภทเยาวชน สาระสำคัญของสำเนาหนังสือนั้นเป็นรายงานตามสั่งการของที่ประชุมข้างต้น พร้อมกับแจ้งการตรวจสอบว่า พฤติการณ์ของนายเนติวิทย์ฯ ไม่เหมาะสมหรือขัดต่อคุณสมบัติที่ดีที่จะเป็นกรรมการสมาคมฯ ข้อมูลของนายเนติวิทย์ฯ ดังกล่าวจัดประเภทเป็นข้อมูลส่วนบุคคลในครอบครองของหน่วยงานรัฐ ที่ทำเพื่อการใช้งานราชการ ฉะนั้น วิธีดำเนินการต่อข้อมูลเหล่านี้จึงเกี่ยวข้องกับระเบียบราชการว่าด้วยสิ่งที่เป็นความลับของราชการ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 รวมถึงพระราชบัญญัติคุ้มครองข้อมูลข่าวสารส่วนบุคคล พ.ศ.2562 เมื่อมีผลบังคับใช้อย่างสมบูรณ์ เป็นต้น ด้วยเหตุที่เคยเกิดขึ้นจึงสมควรนำมาพิจารณาเกี่ยวกับการรองรับหรือสอดคล้องต่อกันระหว่างกฏหมาย ระเบียบกับวิธีปฏิบัติของหน่วยงานรัฐ          …

Zoom งานงอก! นักแฮกเร่ขายล็อกอิน 5 แสนชื่อ ตกชื่อละไม่ถึง 25 สตางค์

ข่าวประจำวัน

5 แสนชื่อก็เทียบเท่ากับครึ่งล้านรายทีเดียว สำหรับซูม (Zoom) เครื่องมือสำคัญที่ชาวโลกบางส่วนเลือกใช้ประชุมงานออนไลน์ขณะต้องทำงานอยู่บ้านในช่วงสกัดกั้นโควิด-19 ล่าสุดแอปพลิเคชันประชุมผ่านวิดีโอตกอยู่ในที่นั่งลำบากอีกครั้ง เพราะมีการพบว่านักแฮกสามารถรวบรวมข้อมูลล็อกอินสำหรับการเข้าใช้งานระบบ ออกมาจำหน่ายบนเว็บไซต์ใต้ดินได้มากกว่า 5 แสนบัญชี โดยตั้งราคาไว้ต่ำมากจนเฉลี่ยแล้วตกชื่อละ 1 เพนนี คิดเป็นมูลค่าไม่ถึง 25 สตางค์ต่อล็อกอิน ที่ผ่านมา Zoom ซึ่งกลายเป็นหนึ่งในเครื่องมือสำคัญของโลกยุคโควิด-19 นั้นถูกถกเถียงกันมากเรื่องความเป็นส่วนตัวและการรักษาความปลอดภัยที่มีช่องโหว่ แน่นอนว่า Zoom พยายามดำเนินการแก้ไขอย่างรวดเร็วเพื่อจัดการกับคำวิจารณ์มากมาย แต่ขณะนี้มีข่าวว่าในตลาดมือเริ่มมีการซื้อขายข้อมูลผู้ใช้ Zoom บนราคาต่ำมากจนมีโอกาสที่จะถูกนำไปใช้กว้างขวางตามอำเภอใจ ผู้ค้นพบการขายข้อมูลล็อกอิน Zoom คือบริษัทไซเบอร์ซีเคียวริตี้ชื่อไซเบิล (Cyble) พบว่าบนเว็บไซต์สังคมนักแฮกมีการประกาศขายข้อมูลล็อกอินเข้าสู่ระบบบัญชี Zoom มากกว่า 500,000 รายการ สนนราคาต่อล็อกอินเพียง 0.002 เหรียญ ซึ่งในบางกรณี ข้อมูลล็อกอินเข้าสู่ระบบเหล่านี้อาจเปิดแจกฟรีก็ได้ ข้อมูลล็อกอินเพื่อเข้าสู่ระบบแต่ละบัญชีประกอบด้วยอีเมลแอดเดรส รหัสผ่าน URL การประชุมส่วนบุคคล และรหัสโฮสต์หรือ host key ทั้งหมดเป็นสิ่งที่นักแฮกต้องการสำหรับภารกิจขโมยข้อมูลสำคัญในการประชุมออนไลน์ของบางบุคคลหรือบางบริษัท Cyble ยืนยันว่าข้อมูลล็อกอินที่ถูกวางจำหน่ายไม่ได้แปลว่าระบบของ Zoom ถูกแฮก แต่นักแฮกตัวร้ายรวบรวมข้อมูลการเข้าสู่ระบบ Zoom โดยใช้การโจมตี…

แก้ไขปัญหา “ข่าวปลอม” ต้องทำให้ถูกวิธี

ข่าวประจำวัน

Written by Kim บริษัทผู้ประกอบธุรกิจสื่อสังคม (social media) ของสหรัฐฯถูกกดดันอย่างหนักให้ดำเนินการบางอย่างเกี่ยวกับการเผยแพร่ข้อมูลที่ผิด (misinformation)[1] บนแพลตฟอร์มของพวกเขา ตั้งแต่การเลือกตั้งประธานาธิบดีในปี 2016  บริษัท Facebook และ YouTube ตอบสนองด้วยการใช้กลยุทธ์ “ต่อต้านข่าวปลอม” ซึ่งดูเหมือนจะมีประสิทธิภาพพร้อมกับการเคลื่อนไหวประชาสัมพันธ์อย่างชาญฉลาด: ทั้งสองบริษัทแสดงให้เห็นว่าพวกเขาเต็มใจที่จะดำเนินการและนโยบายดังกล่าวมีความสมเหตุสมผลต่อสาธารณะ[2]           กลยุทธ์ที่ฟังดูสมเหตุสมผลมิได้หมายความว่าจะใช้การได้ แม้แพลตฟอร์มต่าง ๆ กำลังมีความก้าวหน้าในการต่อสู้กับข้อมูลที่ผิด แต่การวิจัยเมื่อไม่นานมานี้โดยผู้เขียนทั้งสองและนักวิชาการคนอื่น ๆ แสดงให้เห็นว่า กลยุทธ์หลายอย่างของพวกเขาอาจไม่มีประสิทธิภาพ – และทำให้เรื่องราวเลวร้ายลง นำไปสู่ความสับสน ไม่ชัดเจนเกี่ยวกับความจริง (truth) บริษัทสื่อสังคมจำเป็นต้องตรวจสอบให้เป็นที่ประจักษ์ชัดเจนว่า ข้อกังวลที่เกิดขึ้นในการทดลองเหล่านี้ตรงประเด็นกับวิธีการที่ผู้ใช้ประมวลข่าวสารบนแพลตฟอร์มของพวกเขาหรือไม่           แพลตฟอร์มต่าง ๆ ใช้กลยุทธ์ให้ข้อมูลข่าวสาร (information) เพิ่มเติมเกี่ยวกับแหล่งที่มาของข่าว (news’s source) โดย YouTube มีกล่องข้อความ (information panel) ปรากฎขึ้นเพื่อแจ้งผู้ใช้เมื่อมีการสืบค้นเนื้อหาที่ผลิตโดยองค์กรที่ได้รับทุนจากรัฐบาลหรือหัวข้อซึ่งก่อให้เกิดการโต้แย้ง ส่วน Facebook มีตัวเลือกบริบท (context) ที่ให้ข้อมูลภูมิหลังเกี่ยวกับแหล่งที่มาของบทความในแหล่งป้อนข่าว (news feed)[3] กลยุทธ์หรือชั้นเชิงประเภทนี้เข้าใจได้ง่ายเพราะเป็นแหล่งข่าวจากสำนักพิมพ์กระแสหลัก ซึ่งได้รับการยอมรับเป็นอย่างดี แม้ยังไม่สมบูรณ์มากนัก แต่ก็มีมาตรฐานการบรรณาธิการ (แก้ไข) และการรายงานที่ดีกว่าเว็บไซต์ที่คลุมเครือ ซึ่งถักทอ (ผลิต) เนื้อหาโดยไม่เปิดเผยคุณลัษณะของผู้เขียน           การวิจัยล่าสุดของผู้เขียนทั้งสองทำให้เกิดคำถามเกี่ยวกับประสิทธิผลของวิธีการประเภทนี้ ผู้เขียนทั้งสองได้ทำการทดลองกับชาวอเมริกันเกือบ 7,000…

พบช่องโหว่ในแอปพลิเคชัน SuperVPN บน Android อาจถูกดักฟังข้อมูลได้ ทาง Google ถอดออกจาก Play Store แล้ว ผู้ใช้ควรตรวจสอบ

ข่าวประจำวัน

SuperVPN เป็นโปรแกรมประเภท VPN Client ที่เปิดให้สามารถดาวน์โหลดไปใช้งานได้ฟรี โดยตัวแอปพลิเคชันเวอร์ชัน Android มียอดดาวน์โหลดรวมแล้วกว่า 100 ล้านครั้ง เมื่อเดือนกุมภาพันธ์ 2563 ทีมนักวิจัยจากบริษัท VPNPro ได้ตรวจวิเคราะห์ความมั่นคงปลอดภัยของแอปพลิเคชันประเภท VPN ที่มีให้ดาวน์โหลดใน Google Play Store โดยพบแอปพลิเคชัน VPN ฟรีจำนวน 10 รายการ (รวม SuperVPN ด้วย) ในกลุ่มแอปพลิเคชัน VPN ที่ได้รับความนิยมและมียอดดาวน์โหลดสูงสุด มีช่องโหว่ด้านความมั่นคงปลอดภัยในลักษณะ Man-in-the-Middle ที่อาจทำให้ผู้ใช้ถูกดักฟังข้อมูลที่รับส่งหรือถูกเปลี่ยนเส้นทางการเชื่อมต่อเพื่อพาไปยังเว็บไซต์อันตรายได้ ตัวอย่างปัญหาที่พบ เช่น พบการฝังกุญแจสำหรับเข้าและถอดรหัสลับข้อมูลไว้ในโค้ดของตัวโปรแกรมโดยตรง ซึ่งหลังจากที่มีการเผยแพร่รายงานดังกล่าว ทาง Google ก็ได้ถอดแอปพลิเคชัน VPN หลายรายการออกจาก Play Store เพื่อให้ผู้พัฒนาได้ปรับปรุงแก้ไข แต่แอปพลิเคชัน SuperVPN นั้นยังคงอยู่ เมื่อวันที่ 7 เมษายน 2563 ทาง VPNPro…