การตรวจสอบเรื่องการรักษาความปลอดภัยอยู่เป็นประจำจึงเป็นสิ่งจำเป็น เพื่อการใช้งานบนโลกไซเบอร์อย่างปลอดภัยไร้กังวล ช่วยเพิ่มการปกป้องข้อมูลและเครือข่ายของคุณได้อย่างรัดกุม รวมถึงควรติดตั้งโปรแกรมป้องกันไวรัส หรืออัปเดตรหัสผ่านของคุณอยู่เสมอ
สำหรับผู้ที่ยังรู้สึกว่าเรื่องเทคโนโลยีเป็นเรื่องไกลตัว เดือนตุลาคมนี้ได้ถูกตั้งเป็นเดือนแห่งการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ นับเป็นโอกาสที่ดีในการช่วยให้คุณได้เรียนรู้เกี่ยวกับการใช้งานบนอินเทอร์เน็ตอย่างปลอดภัยได้มากยิ่งขึ้น โดยบทความนี้ OpenLandscape Cloud ได้เรียบเรียงข้อมูลเพื่อให้คุณเข้าใจเรื่อง Cyber Security หรือ ความมั่นคงปลอดภัยทางไซเบอร์ได้มากขึ้น
Cyber Security คืออะไร ?
Cyber Security หรือ ความมั่นคงปลอดภัยทางไซเบอร์ คือ การนำเครื่องมือทางด้านเทคโนโลยีมาช่วยป้องกัน และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ รวมถึงรับมือการถูกโจมตีเข้ามายังอุปกรณ์เครือข่าย, โครงสร้างพื้นฐานทางสารสนเทศ, ระบบหรือโปรแกรมต่าง ๆ จนอาจเกิดความเสียหาย จากการถูกโจมตีและเข้าถึงข้อมูลภายในระบบจากบุคคลที่สามโดยไม่ได้รับอนุญาต
ในปัจจุบันมีหน่วยงานภาครัฐและภาคเอกชน ได้เริ่มให้ความสำคัญในเรื่องของความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น เนื่องจากเป้าหมายและรูปแบบวิธีการโจมตีมีความหลากหลาย สร้างความเสียหายให้กับบุคคลและองค์กรเพิ่มมากขึ้นเรื่อย ๆ ทำให้หน่วยงานภาครัฐออกกฎหมายและมาตรฐานที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ในไทย ยกตัวอย่างเช่น
- พ.ร.บ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คือ มาตรการหรือการดําเนินการที่กําหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ ที่กระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ เพื่อให้สามารถป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที
- พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฉบับที่ 2 พ.ศ. 2560 คือ ข้อห้ามเพื่อการใช้งานออนไลน์อย่างถูกกฎหมาย มีการเพิ่มบทลงโทษทั้งปรับค่าเสียหายหรือจำคุก ความผิดในการเข้าถึงคอมพิวเตอร์ จัดเก็บหรือขโมยข้อมูลของผู้อื่น การส่งข้อมูลที่ก่อให้เกิดความเดือดร้อนรำคาญแก่ผู้รับ หรือนำข้อมูลอันเป็นเท็จเข้าสู่ระบบคอมพิวเตอร์ มีการบิดเบือนเนื้อหา มีความลามกอนาจาร มีการตัดต่อภาพของผู้อื่นให้เสียชื่อเสียง สร้างความอับอาย นำข้อมูลของผู้อื่นไปเผยแพร่โดยไม่ได้รับอนุญาต รวมถึงมาตรการบรรเทาความเสียหายที่เกิดขึ้นจากการกระทำความผิด โดยมีผลบังคับใช้เมื่อวันที่ 24 พฤษภาคม พ.ศ. 2560
- พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ การคุ้มครองและให้สิทธิที่ทุกคนควรมีต่อข้อมูลส่วนบุคคลของตนเอง รวมถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล รวบรวมข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคล ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่ต้องปฏิบัติตาม หากไม่ปฏิบัติตามจะมีบทลงโทษตามกฎหมายทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง
- มาตรฐานด้านความปลอดภัย ISO 27001 คือ ระบบบริหารจัดการความปลอดภัยของข้อมูล เป็นมาตรฐานหลักในเรื่องความปลอดภัยสารสนเทศ ซึ่งแนะแนวทางและสนับสนุนให้องค์กรได้เข้าใจในเรื่องความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมูลอย่างเป็นระบบ ช่วยเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูลและปกป้องข้อมูลจากการถูกโจรกรรมให้มีความปลอดภัยมากยิ่งขึ้น
ดังนั้นเพื่อความปลอดภัยบนโลกไซเบอร์ที่มีประสิทธิภาพ ควรให้ความสำคัญในเรื่อง Cyber Security ซึ่งประเภทของการรักษาความปลอดภัยทางไซเบอร์ที่สำคัญที่สุด และครอบคลุมความปลอดภัยได้อย่างทั่วถึง มีรายละเอียดดังนี้
- การรักษาความปลอดภัยเครือข่าย (Network Security) คือ การป้องกันการเข้าถึงโครงสร้างพื้นฐานภายในโดยไม่ได้รับอนุญาต ซึ่งจัดทำโดยผู้ดูแลระบบเครือข่ายที่ใช้นโยบายเกี่ยวกับรหัสผ่านและการเข้าสู่ระบบที่คาดเดาได้ยาก รวมถึงใช้ซอฟต์แวร์ที่มีมาตรฐานเพื่อป้องกันไวรัสหรือมัลแวร์ที่สามารถสร้างความเสียหายและเป็นอันตรายต่อข้อมูล และคัดเลือกผู้มีสิทธิ์เข้าถึงเครือข่ายในการรับส่งข้อมูลด้วย Firewall เป็นต้น
- การรักษาความปลอดภัยในแอปพลิเคชัน (Application Security) คือ การตรวจสอบเรื่องความปลอดภัยของแอปพลิเคชันที่ใช้งานอยู่ ด้วยการอัปเดตเวอร์ชันให้เป็นปัจจุบัน เพื่อเพิ่มประสิทธิภาพการใช้งานให้ทันสมัย และสำหรับนักพัฒนาสามารถทดสอบระบบความปลอดภัยเป็นประจำ ช่วยเสริมการป้องกันแอปพลิเคชันให้ปลอดภัยจากภัยคุกคามได้ดียิ่งขึ้น
- การรักษาข้อมูลและความปลอดภัยของข้อมูล (Information and Data Security) คือ การป้องกันเครือข่ายและแอปพลิเคชันจัดเก็บข้อมูลที่ต้องการความปลอดภัยในอีกขั้น ด้วยการรักษาความลับ (Confidentiality) ให้ผู้มีสิทธิสามารถเข้าถึงหรือเรียกดูข้อมูลได้เท่านั้น โดยมีการตรวจสอบการเข้าถึงข้อมูล เพื่อป้องกันการเปิดเผยข้อมูลกับผู้ที่ไม่มีสิทธิเข้าถึง และรักษาความถูกต้องของข้อมูลได้อย่างครบถ้วนสมบูรณ์ (Integrity) รวมถึงมีวิธีการประมวลผลที่สามารถควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิเข้ามาเปลี่ยนแปลงหรือแก้ไขข้อมูลได้ อีกทั้งระบบต้องมีความเสถียรพร้อมใช้งานได้เสมอ (Availability) เพื่อให้ผู้มีสิทธิสามารถเข้าถึงข้อมูลได้ทุกเมื่อตามต้องการ พร้อมป้องกันไม่ให้ระบบเกิดความล้มเหลวหรือผู้ไม่มีสิทธิเข้ามาทำให้ระบบหยุดการทำงานได้
- การป้องกันอุปกรณ์ปลายทาง (Endpoint Protection) คือ การตรวจสอบ และใช้เทคโนโลยี หรือกระบวนการที่ช่วยลดความเสี่ยงในการป้องกันภัยคุกคามที่สามารถเข้าถึงจากระยะไกล รวมถึงอุปกรณ์ที่มีความสามารถในการเชื่อมต่อกับเครือข่าย เช่น เดสก์ท็อป แล็ปท็อป สมาร์ตโฟน แท็บเล็ต เป็นต้น
- การรักษาความปลอดภัยบนคลาวด์ (Cloud Security) คือ การปกป้องข้อมูล ระบบ และแอปพลิเคชันที่ได้ทำการเก็บไว้บนคลาวด์อย่างรัดกุม ทั้งแบบสาธารณะ (Public) แบบส่วนตัว (Private) หรือแบบไฮบริด (Hybrid) ซึ่งรวมถึงการใช้เครื่องมือ (Tools) ต่าง ๆ เช่น Firewall, VPN, ตัวจัดการรหัสผ่าน และการควบคุมอื่นๆ ที่เข้าถึงข้อมูลในระบบคลาวด์ เป็นต้น
- การรักษาความปลอดภัยบนอุปกรณ์มือถือและ IoT (Mobile Security and IoT) คือ การดูแลรักษาความปลอดภัยบนสมาร์ตโฟน แท็บเล็ตและอุปกรณ์อื่น ๆ ที่สามารถเชื่อมต่อกับ Internet of Things (IoT) ที่มีความต้องการด้านความปลอดภัย ไม่ใช่เพียงแค่ตัวอุปกรณ์เท่านั้น แต่ยังรวมถึงสภาพแวดล้อม หรือ พื้นที่เสี่ยงที่มีโอกาสโดนโจมตี และการป้องกันช่องโหว่ ยับยั้งการถูกโจมตีในรูปแบบต่าง ๆ ที่ส่งผลให้เกิดความเสียหายเป็นวงกว้าง
- การวางแผนความต่อเนื่องทางธุรกิจและการกู้คืนในกรณีฉุกเฉิน (Business Continuity Planning and Emergency Recovery) คือ ในทุกธุรกิจจำเป็นต้องมีแผนการรับมือฉุกเฉิน สำหรับกรณีที่มีการโจมตีด้วยการเจาะเข้าระบบจากผู้ไม่ประสงค์ดี การได้รับผลกระทบที่เกิดจากภัยธรรมชาติ หรือเหตุการณ์อื่น ๆ ที่คุกคามความปลอดภัยทางไซเบอร์
รู้จักประวัติเดือนแห่งการตระหนักรู้เรื่อง Cyber Security
ผู้คนทั่วโลกเริ่มให้ความสนใจในเรื่องความปลอดภัยทางไซเบอร์ที่กำลังกลายเป็นปัญหาใหญ่ หากไม่มีการป้องกันอย่างถูกต้อง เพราะยิ่งมีผู้ใช้อินเทอร์เน็ตมากเท่าไหร่ ความเสี่ยงในการถูกละเมิดความปลอดภัยยิ่งมีมากขึ้นเท่านั้น โดยเฉพาะภัยคุกคามจากเหล่าแฮ็กเกอร์ที่หวังเจาะระบบเพื่อเข้าถึงข้อมูลส่วนบุคคล ขโมยข้อมูลความลับทางธุรกิจ รวมถึงข้อมูลทางการเงินของคุณ แล้วนำไปสร้างความเสียหายหรือเรื่องผิดกฎหมาย เช่น Ransomware หรือ มัลแวร์เรียกค่าไถ่ที่กำลังระบาดและสร้างความเสียหายอยู่ในขณะนี้ เป็นต้น
ซึ่งในทุกวันนี้ ยังมีหลายคนที่ไม่ทราบวิธีป้องกันจากภัยร้ายทางไซเบอร์ และพบผู้เสียหายที่สูญเสียความปลอดภัยมากขึ้นทุกวัน เนื่องจากพวกเขาไม่รู้วิธีรักษาความปลอดภัยให้กับอุปกรณ์ที่ใช้งานอย่างถูกต้อง ซึ่งรวมถึงคอมพิวเตอร์เดสก์ท็อป แล็ปท็อป แท็บเล็ต และโทรศัพท์ เป็นต้น
ทำให้เดือนแห่งการตระหนักรู้เรื่องความมั่นคงปลอดภัยทางไซเบอร์ถูกจัดตั้งขึ้น ซึ่งเริ่มขึ้นในปี ค.ศ. 2004 โดยประธานาธิบดีแห่งสหรัฐอเมริกาและรัฐสภาได้ประกาศให้เดือนตุลาคม เป็นเดือนแห่งการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ ซึ่งช่วยให้ทุกคนสามารถปกป้องตนเองบนโลกออนไลน์ได้อย่างถูกต้องและเหมาะสม
เนื่องจากภัยคุกคามต่อเทคโนโลยีและข้อมูลที่เป็นความลับกลายเป็นเรื่องธรรมดามากขึ้น สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และ National Cybersecurity Alliance (NCA) จึงเป็นผู้นำความร่วมมือระหว่างรัฐบาลและภาคอุตสาหกรรมเพื่อสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์ในระดับประเทศและระดับนานาชาติ
4 วิธีที่คุณสามารถทำได้ในเดือนแห่งการตระหนักรู้เรื่อง Cyber Security
ยังมีผู้คนจำนวนมากที่อาจจะไม่ได้ติดตามข้อมูลข่าวสารเรื่องของเทคโนโลยี ซึ่งคุณสามารถเริ่มต้นด้วยการติดตามแฮชแท็ก #CyberSecurityAwarenessMonth หรือ #NationalCyberSecurityAwarenessMonth และในเดือนแห่งการตระหนักรู้เรื่องความปลอดภัยทางไซเบอร์ ยังมีวิธีง่าย ๆ ให้คุณได้มีส่วนร่วมตลอดเดือน โดย CISA และ NCA ได้เน้นย้ำถึงขั้นตอนการดำเนินการที่สำคัญที่คุณและทุกคนควรทำตาม ดังนี้
1. ใช้โปรแกรม Antivirus !
เริ่มต้นเดือนแห่งการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยใช้โปรแกรมป้องกันไวรัส (Antivirus) เพื่อสแกนข้อมูลแบบละเอียด รวมถึงอัปเดตซอฟต์แวร์ให้เป็นรุ่นใหม่ล่าสุด !
สำหรับใครที่ยังไม่มีโปรแกรมป้องกันไวรัสหรือไม่ทราบว่าควรทำอย่างไรดี ?
คุณสามารถลองหาข้อมูลเบื้องต้นเกี่ยวกับเรื่องนี้ เพื่อค้นหาตัวเลือกที่ดีที่สุดสำหรับการป้องกันไวรัส เพราะมีโปรแกรมสแกนไวรัส Freeware มากมายที่ได้รับการยอมรับและมียอดดาวน์โหลดจากผู้ใช้งานเป็นจำนวนมาก ที่สำคัญสามารถใช้งานได้ฟรี และยังทำงานได้อย่างมีประสิทธิภาพ ควรค่าแก่การเลือกมาใช้งานเพื่อเพิ่มความปลอดภัยให้เครื่องคอมพิวเตอร์ของคุณ
นอกจากนี้ ควรอัปเดตโปรแกรม Antivirus ทุกครั้งที่โปรแกรมแจ้งเตือนการอัปเดต เพราะไวรัสจากคอมพิวเตอร์มักถูกพัฒนาให้เข้าถึงช่องโหว่ต่าง ๆ ตลอดเวลา เพื่อเพิ่มความปลอดภัย และพร้อมป้องกันกับการโจมตีจากผู้ไม่ประสงค์ดีได้อย่างทันท่วงทีเสมอ
2. เปลี่ยนรหัสผ่านให้มีความรัดกุมเพิ่มมากขึ้น !
การเปลี่ยนรหัสผ่านใหม่บ่อย ๆ บนอุปกรณ์หรือบริการต่าง ๆ ที่ใช้งานอยู่เพื่อรักษาความปลอดภัยเป็นประจำ ซึ่งในเดือนแห่งการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์นี้ เป็นโอกาสที่ดีสำหรับผู้ที่ต้องการหลีกเลี่ยงความไม่ปลอดภัยบนไซเบอร์ หรือตกเป็นเหยื่อของแฮ็กเกอร์ ด้วยการเปลี่ยนรหัสผ่านบนเครือข่ายของคุณให้มีความรัดกุมเพิ่มมากขึ้น และดำเนินการอัปเดตซอฟต์แวร์ความปลอดภัยบนอุปกรณ์เหล่านั้นทั้งหมด รวมถึงเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เป็นวิธีการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์ที่ช่วยเพิ่มการรักษาความปลอดภัยในอีกขั้นตอน โดยผู้ใช้งานจะได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอปพลิเคชันหลังจากแสดงหลักฐานการยืนยันตัวตนตั้งแต่ 2 อย่างขึ้นไปได้สำเร็จ เช่น การสแกนลายนิ้วมือหรือป้อนรหัสผ่านแบบใช้งานครั้งเดียวที่ได้รับทางโทรศัพท์ (OTP) เป็นต้น
ในทุกวันนี้อินเทอร์เน็ตกลายเป็นสถานที่อันตรายมากขึ้นสำหรับผู้ที่ไม่รักษาความปลอดภัยบนอุปกรณ์ของตนเอง เพื่อให้มั่นใจในการเข้าถึงบัญชีส่วนตัวบนโลกออนไลน์ได้อย่างปลอดภัย และห่างไกลจากการเป็นกลุ่มเสี่ยงที่ง่ายสำหรับการถูกโจมตีด้วยการเปลี่ยนรหัสผ่านให้รัดกุม !
3. เรียนรู้เกี่ยวกับ Cyber Security
Cyber Security อาจเป็นหัวข้อที่เหมือนเข้าใจยาก แต่ยิ่งเรียนรู้มากเท่าไหร่ ยิ่งมีความพร้อมมากขึ้นเท่านั้น โดยเฉพาะในเรื่องของการปกป้องตนเองจากอันตรายบนโลกออนไลน์
ในสหรัฐอเมริกามีเคล็ดลับและแหล่งข้อมูลออนไลน์ฟรีจาก CyberSecurity & Infrastructure Security Agency (CISA) เพื่อช่วยให้ทุกคนได้รู้ข้อมูลเกี่ยวกับความเสี่ยงและการป้องภัยทางไซเบอร์ สำหรับบุคคลหรือธุรกิจในหัวข้อต่าง ๆ ได้มากขึ้น เช่น การถูกโจรกรรมข้อมูลส่วนตัว, การรักษาความปลอดภัยทางไซเบอร์ในที่ทำงาน, การตรวจสอบสิทธิ์แบบหลายปัจจัย, การตั้งรหัสผ่าน, การรักษาความปลอดภัยทางไซเบอร์ขณะเดินทาง และหัวข้ออื่น ๆ ที่น่าสนใจอีกมากมาย
นอกจากนี้ การเข้าร่วมหลักสูตรฝึกอบรมการให้ความรู้ด้านไอที ในเรื่องความปลอดภัยออนไลน์ให้มากขึ้น ยิ่งเป็นประโยชน์สำหรับเจ้าของธุรกิจ และทุกคนที่ใช้เทคโนโลยี ซึ่งคุณสามารถค้นหาหลักสูตรการฝึกอบรมต่าง ๆ ได้ฟรีทางออนไลน์ จากหลักสูตรที่น่าเชื่อถือผ่านสถาบันเทคโนโลยีแมสซาชูเซตส์ หรือ MIT (Massachusetts Institute of Technology) เป็นต้น
4. รับคำปรึกษาหรือใช้บริการจากผู้เชี่ยวชาญ
การมีผู้เชี่ยวชาญเกี่ยวกับความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญ เนื่องจากการโจมตีทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง และมีความซับซ้อนมากขึ้น โดย OpenLandscape Cloud มีบริการ Cyber Security ที่ช่วยปกป้องทุกธุรกิจของคุณให้พร้อมรับมือกับการโจมตีจากผู้ไม่ประสงค์ดี ด้วยความมั่นคงและความปลอดภัยทางไซเบอร์ เช่น
- Web Application Firewall (WAF) คือ บริการเพิ่มเกราะป้องกันให้ธุรกิจของคุณเหนือชั้นกว่า Firewall ทั่วไป สามารถตรวจจับทุกกิจกรรมการใช้งานและป้องกันภัยคุกคาม โดยไม่ทำให้การใช้งานระบบช้าลง
- Log คือ บริการจัดเก็บ Log ที่รองรับการปฏิบัติตาม พ.ร.บ. ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 ช่วยให้องค์กรของคุณสามารถจัดเก็บและรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ของอุปกรณ์ต่าง ๆ ภายในระบบเครือข่าย โดยไม่ต้องลงทุนจัดซื้อระบบเพื่อจัดเก็บ Log File
- Vulnerability Assesement (VA) คือ บริการตรวจสอบและค้นหาช่องโหว่ทางด้านความปลอดภัยของระบบ เพื่อทำการแก้ไขก่อนเกิดความเสียหายร้ายแรงจากผู้ไม่ประสงค์ดี
- Security Operations Center (SOC) คือ บริการเฝ้าระวังและรักษาความปลอดภัยขององค์กร ตรวจสอบการเข้าถึงเครือข่ายและระบบสารสนเทศต่าง ๆ ได้ตลอด 24/7
- Penetration test Black-Box/Grey-Box คือ บริการทดสอบการเจาะระบบ เพื่อค้นหาจุดอ่อนและประเมินความเสี่ยงในการเข้าถึงระบบต่าง ๆ ภายในองค์กรได้อย่างตรงจุด เพิ่มประสิทธิภาพด้านความปลอดภัยให้มากขึ้นโดยผู้เชี่ยวชาญ
หากมีข้อสงสัย หรือต้องการสอบถามข้อมูลเพิ่มเติมสามารถติดต่อ OpenLandscape ผ่านทางอีเมล technical-support@ols.co.th หรือ Call Center 02-257-7189 ได้ตลอด 24 ชั่วโมง
ข้อมูลอ้างอิง
https://www.bitdefender.co.th/post/cybersecurity/
https://www.cisa.gov/cybersecurity-awareness-month
https://www.daysoftheyear.com/days/cyber-security-awareness-month/
https://ict.dmh.go.th/events/events/files/CyberSecurity-Awareness.pdf
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
http://sql.ldd.go.th/intraaccount/Information_Law/File/Law-10.pdf