Tag Archives: ความมั่นคงไซเบอร์

กฎใหม่ออสเตรเลียแรง ถ้าบริษัทโซเชียลไม่ลบคอนเทนต์อันตรายออกได้เร็วอาจเจอคุก

ภาพจาก Shutterstock โดย Shuang Li เป็นอีกครั้งที่ออสเตรเลียผ่านกฎหมายแรง ให้โซเชียลมีเดียต้องลบคอนเทนต์อันตรายออกทันที และถ้าเจออะไรที่ผิดกฎหมายในเนื้อหานั้นต้องแจ้งเจ้าหน้าที่ โดยกฎหมายกำหนดการลงโทษว่าจะปรับ 10% ของกำไรทั้งปีหรือติดคุก 3 ปี กฎหมายดังกล่าวเป็นผลจากคลิปไลฟ์เหตุร้ายที่นิวซีแลนด์ อย่างไรก็ตาม Sunita Bose กรรมการผู้จัดการของ Digital Industry Group ซึ่งเป็นตัวแทนของ Facebook, Google, Twitter, Amazon และ Verizon ในออสเตรเลียบอกว่ากฎหมายดังกล่าวอาจนำไปสู่การปิดกั้นและฎหมายดูรีบเร่งออกมาโดยไม่ผ่านการหารือจากผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ ก่อน และยังไม่ระบุชัดเจนอีกด้วยว่าระยเวาที่บอกว่าให้ลบออกทันที มันต้องเร็วขนาดไหน ก่อนหน้านี้ ออสเตรเลียก็ผ่านกำหมายลดกำแพงการเข้ารหัส ที่ถือเป็นเรื่องสะเทือนวงการเทคโนโลยี เพราะเปิดช่องให้รัฐสามารถเข้าถึงความเป็นส่วนตัวของประชาชน ——————————————————— ที่มา : VOA Thai / 5 April 2019 Link : https://www.blognone.com/node/109032

6 ขั้นตอนสำคัญ ในการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์

ยุทธศาสตร์การจัดการความเสี่ยงของทุกองค์กรนั้นย่อมต้องมีการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ด้วย เนื่องจากถือเป็นช่องโหว่สำคัญที่เปิดช่องให้เกิดอันตรายที่สร้างความเสียหายอย่างใหญ่หลวงได้ แต่แน่นอนว่าความจำเป็นในการประเมินความเสี่ยงนั้นขึ้นอยู่กับขนาดขององค์กรด้วย อย่างบริษัทข้ามชาตินั้นย่อมมีความเสี่ยงมากกว่าบริษัทขนาดเล็กและขนาดกลางในประเทศอยู่แล้ว เป็นต้น อย่างไรก็ดี ทุกบริษัทน้อยใหญ่ต่างก็พยายามอย่างสุดความสามารถในการลดความเสี่ยงมากที่สุดเท่าที่เป็นไปได้ ซึ่งหนทางที่จะทำได้นั้นก็หนีไม่พ้นการประเมินความเสี่ยงเช่นกัน แต่การประเมินความเสี่ยงที่เหมาะสมนั้นไม่ใช่เรื่องทีจำเป็นต้องทำให้ซับซ้อน เพียงแค่แตกย่อยออกมาเป็นแต่ละหัวข้อเล็กๆ ก็ทำให้สามารถบริหารจัดการได้ง่ายขึ้นแล้ว ดังขั้นตอนต่อไปนี้ 1. จัดตั้งทีมงานจัดการความเสี่ยงโดยเฉพาะ ไม่ว่าตัวคุณเองจะมีทักษะด้านการรักษาความปลอดภัยดีแค่ไหน ก็ไม่มีทางที่จะสามารถสอดส่องดูแลได้ทุกจุดพร้อมกัน ดังนั้นจึงจำเป็นต้องมีทีมงานคอยช่วยเหลือ เป็นหูเป็นตาโดยเฉพาะจุดเสี่ยงต่างๆ ในองค์กร โดยเฉพาะในเมื่อแต่ละแผนกมีลักษณะการทำงานที่ต่างกัน ทีมงานด้านนี้จึงควรมีตัวแทนจากหลากหลายแผนกที่ช่วยได้ทั้งด้านการสื่อสารและการวิเคราะห์ภาพรวมได้ชัดเจน 2. ลิสต์รายการและจัดหมวดหมู่ทรัพย์สินในองค์กร ทีมงานที่จัดตั้งขึ้นจะเป็นหัวแรงสำคัญในการรวบรวมข้อมูลเกี่ยวกับทรัพยากรทั้งหมดภายในองค์กร โดยเฉพาะข้อมูลที่ถูกรวบรวม, จัดเก็บ, และโอนย้ายถ่ายเทไปยังตำแหน่งต่างๆ โดยเฉพาะในบริการบนคลาวด์อย่างเช่น Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS), และ Software-as-a-Service (SaaS) 3. ลงมือประเมินความเสี่ยง ข้อมูลที่ใช้งานในองค์กรต่างมีความสำคัญแตกต่างกัน และหน่วยงานที่เราเอาต์ซอร์สหรือเธิร์ดปาร์ตี้ต่างๆ ก็ไม่ได้มีมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพียงพอเท่าเทียมกันด้วย ดังนั้นเวลาที่จะระบุความสำคัญหรือระดับความเสี่ยงของทรัพยากรด้านข้อมูลในบริเวณต่างๆ ก็ไม่ควรมองข้ามความเสี่ยงที่เกิดจากบุคคลหรือองค์กรภายนอกที่ร่วมงานด้วยเช่นกันตัวอย่างเช่น การมองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่เป็นแกนหลักของบริษัท, ระบุข้อมูลที่ควรจัดการทั้งด้านการรักษาความลับ ความพร้อมในการเข้าถึง และความถูกต้อง, ระบุอุปกรณ์ที่มีความเสี่ยงมากที่สุดต่อการเกิดเหตุข้อมูลรั่วไหล, ระบุโอกาสต่างๆ ที่สร้างความเสียหายแก่ข้อมูล, มองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่มักตกเป็นเป้าของอาชญากรไซเบอร์ในการจารกรรมข้อมูล, รวมไปถึงความเสี่ยงทั้งด้านการเงินและชื่อเสียงที่เป็นไปได้ถ้าเกิดเหตุข้อมูลรั่วไหล…

รัฐสภารัสเซียผ่านกฎหมายควบคุมการวิพากษ์วิจารณ์ออนไลน์

FILE – Russian lawmakers are seen during a vote at the State Duma, the Lower House of the Russian Parliament, in Moscow, Russia, May 8, 2018. สมาชิกสภาผู้แทนราษฎรของรัสเซีย ผ่านร่างกฎหมายสองฉบับซึ่งควบคุมการแสดงความคิดเห็นเชิงวิพากษ์วิจารณ์รัฐบาลในโลกออนไลน์ โดยผู้ฝ่าฝืนอาจต้องโทษจำคุกหรือปรับเงินได้ ร่างกฎหมายนี้ระบุว่า ผู้ที่โพสต์ข้อมูลบิดเบือนเกี่ยวกับรัฐบาล หรือข้อมูลที่มีเนื้อหาที่ไม่เคารพต่อสังคม ประเทศ รัฐบาล หรือสัญลักษณ์ของรัฐบาลรัสเซีย จะถือว่ามีความผิด และอาจถูกลงโทษในเบื้องต้น แต่หากยังกระทำผิดซ้ำอาจถูกจำคุกไม่เกิน 15 วัน ผู้ที่ไม่เห็นด้วยกล่าวว่า กฎหมายนี้คือส่วนหนึ่งของมาตรการควบคุมกำจัดผู้ที่เห็นต่างจากรัฐบาล โดยมุ่งเป้าไปที่สื่อสังคมออนไลน์ที่ยังไม่ถูกรัฐบาลควบคุมเท่ากับสื่อกระแสหลักอื่นๆ —————————————————– ที่มา : VOA Thai / 8 มีนาคม 2562 Link : https://www.voathai.com/a/russian-duma-approves-bills-restricting-online-criticism-of-kremlin/4818045.html

รัสเซีย เตรียมทดสอบตัดการเชื่อมต่อจากอินเทอร์เน็ตโลก เพื่อป้องกันการโจมตีไซเบอร์

ในอีก 2-3 สัปดาห์ข้างหน้า รัฐบาลรัสเซียจะทดลอง ‘ถอดปลั๊ก’ ประเทศจากการเชื่อมต่อกับอินเทอร์เน็ตโลก วันที่จะทดสอบระบบยังไม่ได้ระบุชัดเจน แต่คาดว่าจะเกิดขึ้นก่อนวันที่ 1 เม.ย. เพราะวันนั้นเป็นวันสุดท้ายที่สมาชิกรัฐสภาจะเสนอให้เปลี่ยนแปลงกฎหมายที่เรียกว่า โครงการเศรษฐกิจดิจิทัลแห่งชาติ (Digital Economy National Program) การทดสอบดังกล่าว เป็นการเคลื่อนไหวล่าสุดของรัสเซียในการสร้าง ‘อินเทอร์เน็ตที่มีอธิปไตย’ (sovereign internet) เพื่อปกป้องตัวเองจากการโจมตีทางไซเบอร์ในช่วงวิกฤต ยกตัวอย่างเช่น ช่วงสงคราม แม้ว่า รัสเซียจะมีความกังวลอยู่ แต่การทดสอบนี้จะเป็นความก้าวหน้าอีกขั้นหนึ่ง ควบคู่ไปกับแนวทางในการสร้างอินเทอร์เน็ตที่ควบคุมได้ หรือมีความเข้มงวดมากขึ้น คล้ายกับการควบคุมเนื้อหาด้วย ‘เกรต ไฟร์วอลล์’ (Great Firewall) ของจีน ผู้เชี่ยวชาญ กล่าวว่า นี่เป็นส่วนหนึ่งของแนวโน้มในการสร้างสิ่งที่เรียกว่า ‘สปลินเทอร์เน็ต’ (splinternet) ซึ่งอินเทอร์เน็ตยังคงมีอยู่ แต่จะมีความแตกต่างกันไปในแต่ละประเทศ ขึ้นอยู่กับการควบคุมของรัฐบาล อย่างไรก็ตาม ยังคงมีหลายคำถามเกี่ยวกับแผนการตัดการเชื่อมต่อกับอินเทอร์เน็ตโลกของรัสเซีย เป็นไปได้หรือไม่ที่จะ ‘ถอดปลั๊ก’ ประเทศจากการเชื่อมต่ออินเทอร์เน็ตกับชาวโลก? ตอบสั้น ๆ ว่า เป็นไปได้ เมื่อพิจารณาลักษณะทางกายภาพของ อินเทอร์เน็ต ถ้าคุณตัดสายที่เชื่อมต่อประเทศกับเครือข่ายทั่วโลก…

พ.ร.บ ไซเบอร์: ตีความต่างมุมจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ถึง iLaw

ประชาไท / บทความ / โดย ภูมิ ภูมิรัตน ผมเขียนเรื่องนี้เป็นความคิดเห็นส่วนตัว ในฐานะหนึ่งในผู้ทรงคุณวุฒิกรรมการเตรียมการด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ใช่ความเห็นของกรรมการแต่อย่างใด และเขียนขึ้นไม่ใช่เพื่อเจตนาบอกว่าใครผิดถูกอะไร แต่ผมกังวลกับกระแสถกเถียงกันที่รุนแรงมาก ทำให้แบ่งฝักแบ่งฝ่ายทะเลาะกัน เลยอยากลองชี้แจงข้อมูลเท่าที่ตัวเองทราบ เพื่อหวังว่าจะใช้ตรงนี้เป็นอีกหนึ่งพื้นที่พูดคุยแลกเปลี่ยนและสนทนากันอย่างสร้างสรรค์ร่วมกัน กฎหมายนี้มีความซับซ้อน เขียนกันมานาน และมีหลายมาตราที่คาบเกี่ยวกัน จะเข้าใจกฎหมายนี้ไม่ง่าย ต้องอ่านหลายรอบ ผมแนะนำให้ทุกคนหามาอ่านเอง โดยร่างที่ผมใช้เป็นร่างอ้างอิงของบทความนี้คือร่างที่ผ่านกรรมาธิการแล้ว และเข้าไปโหวตที่ สนช. ในวาระสองและสาม เมื่อวันก่อนที่ผ่านมา โดยแบ่งประเด็นเป็น 8 ประเด็นดังภาพในบทความดังนี้ 1. นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม “เนื้อหา” บนโลกออนไลน์ 2. เจ้าหน้าที่รัฐสามารถ ขอข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทำงาน 3. กฎหมายให้อำนาจเจ้าหน้าที่ ยึด-ค้น-เจาะ-ทำสำเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์ 4. เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐ สามารถสอดส่องข้อมูลได้แบบ Real-time 5. ในกรณีจำเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อำนาจได้โดยไม่ต้องขอหมายศาล 6. การใช้อำนาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ…

ปลัดดีอีแจงกม.ไซเบอร์ ไม่ละเมิดสิทธิ

ปลัดดีอี เชื่อ กฎหมายไซเบอร์ช่วยสร้างความเชื่อมั่น ยันไม่ละเมิดสิทธิ เพราะเน้นป้องกันภัยคุกคามทางไซเบอร์ ทั้งระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤติ นางสาวอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ตามที่ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านความเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) กฎหมายทั้งlสองจะช่วยสร้างความพร้อมให้กับประเทศไทยในการรับมือความเสี่ยงและภัยคุกคามทางไซเบอร์ยุคใหม่ จากความก้าวหน้าของเทคโนโลยีดิจิทัล ที่อาจส่งผลกระทบสร้างความเสียหายต่อความมั่นคงประเทศและเศรษฐกิจโดยรวม ตลอดจนถึงการคุ้มครองข้อมูลประชาชนทั่วไป จะช่วยสร้างความมั่นใจในการใช้เทคโนโลยีดิทัล หนุนการขับเคลื่อนประเทศไทยเปลี่ยนผ่านสู่ยุคดิจิทัลอย่างมีเข้มแข็งและยั่งยืน หลักการสำคัญของพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เพราะปัจจุบันการให้บริการสำคัญใช้ระบบดิจิทัล ซึ่งมีความเสี่ยงจากภัยคุกคามทางไซเบอร์ เช่น ไวรัส มัลแวร์ การโจมตีระบบจากอาชญากรคอมพิวเตอร์ อาจกระทบต่อการให้บริการแก่ประชาชน หรือความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน หรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที กฎหมายนี้จึงมีการกําหนดหน่วยโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (Critical Information Infrastructure : CII ) ทั้งหน่วยงานของรัฐและหน่วยงานเอกชน ตลอดจนกําหนดให้มีมาตรฐานและ แนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้สามารถบริการได้อย่างต่อเนื่อง ผู้ร่างกฎหมายได้กำหนดว่าโครงสร้างพื้นฐานสําคัญทางสารสนเทศ 7 ด้าน ได้แก่ ด้านบริการของรัฐที่สำคัญ เช่น ระบบการเบิกจ่ายเงินของกรมบัญชีกลาง เป็นต้น ด้านการเงิน…