สวัสดีครับ วันนี้เราจะพูดถึงประเด็นหลายคนคงได้เห็นตามสื่อต่าง ๆ ว่าข้อมูลส่วนบุคคลของคนไทยเรารั่วไหล จากการที่ผู้ไม่หวังดีได้มีการขโมยข้อมูลส่วนบุคคลไป ซึ่งอาจจะแฝงนัยยะทั้งทางการเมืองหรือเพื่อสร้างความตระหนักให้กับมาตรการควบคุมด้านความมั่นปลอดภัยสารสนเทศขององค์กรหรือภาครัฐอื่น ๆ
อย่างไรก็ดี เราก็ทราบกันดีอยู่แล้วว่าข้อมูลส่วนบุคคล เป็นสิ่งที่เราไม่อยากให้บุคคลอื่นล่วงรู้ ซึ่งถ้าหากข้อมูลเช่น ชื่อ นามสกุล เลขบัตรประชาชน หรือแม้กระทั่ง E-mail ถูกผู้ไม่หวังดีนำไปใช้เพื่อวัตถุประสงค์อื่น เช่น สมัครเว็บพนันออนไลน์ ทำธุรกรรมที่ผิดกฎหมาย ซึ่งอาจจะนำมาซึ่งความเดือดร้อนต่อตัวเจ้าของข้อมูลได้ หรือในบางทีถ้าเป็นระบบองค์กร อาจจะนำมาซึ่งความเสื่อมเสีย ชื่อเสียงและความไว้วางไว้จากลูกค้าไม่มากก็น้อย
ภาพรวมในปี 2022 จนถึงปี 2023 จาก IBM Security : Cost of Data breach report 2022 ซึ่งเป็นการรวบรวมสถิติของการเกิดเหตุข้อมูลรั่วไหล จากอุตสาหกรรมต่าง ๆ ได้สรุปภาพรวมของมูลค่าของข้อมูลที่มีมูลค่าสูงขึ้น จากภาพ
จะเห็นได้ว่า 5 กลุ่ม อุตสาหกรรมที่มีความเสี่ยงในการถูกโจมตี หรือเมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล แล้วมีมูลค่ามากที่สุด คือ
- Healthcare
- Financial
- Pharmaceuticals
- Technology
- Energy
ซึ่งในกลุ่ม Healthcare มีอัตราการเพิ่มขึ้นเมื่อเกิดเหตุการณ์ข้อมูลรั่วไหลสูงที่สุด โดยจากปี 2021 อยู่ที่ 9.23 ล้านเหรียญ โดยเพิ่มขึ้นในปี 2022 เป็น 10.10 ล้านเหรียญ ดังนั้น นี่จึงเป็นที่มาหรือเป้าหมายของกลุ่มผู้ไม่หวังดีที่จะพยายามขโมย หลอกลวง หรืออยากได้มาซึ่งข้อมูลส่วนบุคคล ข้อมูลทางธุรกิจขององค์กร เพื่อนำไปขายต่อให้ตลาดมืดหรือใช้แบล็คเมล เพื่อให้เกิดความเสียหายแก่เจ้าของข้อมูล
เพราะฉะนั้นวันนี้ Datafarm เรามีแนวทางง่าย ๆ เพื่อเป็นการป้องกันเบื้องต้นไม่ให้ผู้ไม่หวังดีที่เข้ามาหลอกลวง หรือขโมยข้อมูลที่สำคัญของเราได้ง่าย โดยขอยกหลักการด้านการรักษาความมั่นคงปลอดภัยเบื้องต้น (Cyber hygiene) สำหรับบุคคลทั่วไป และในระดับองค์กร ดังนี้
- จำไว้เสมอว่า ผู้ให้บริการ หรือธนาคาร จะไม่ติดต่อหาลูกค้า ทั้งทาง SMS, Email หรือช่องทางใด ๆ ที่ไม่มีรายการในการร้องขอให้ดำเนินการ
- ตรวจสอบรายการธุรกรรม หรือตั้งค่าให้มีการแจ้งเตือน เมื่อมีการดำเนินการทำธุรกรรมบน แอปพลิเคชันที่ใช้งาน
- เมื่อได้รับข้อความหน้าสงสัย เช่น แจ้งว่าเราเป็นหนี้ แจ้งให้เปลี่ยนรหัสผ่าน หรือรับรางวัล ให้ตระหนักไว้เสมอว่าเป็นข้อความที่ไม่ปลอดภัย และห้ามกดลิงก์ที่แนบมาเด็ดขาด
- เมื่อได้รับข้อความที่น่าสงสัย ควรติดต่อผู้ให้บริการให้ยกเลิก หรือกดปิดกั้น ข้อความนั้นไม่ให้สามารถส่งมาได้อีก
- ควรมีการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้งาน เช่น Gmail, Facebook, Instagram
- ไม่ใช้รหัสผ่านที่คาดเดาได้ง่าย เช่น 123456, password
- พิจารณาเปิดการใช้งานยืนยันตัวตนแบบ 2 ขั้นตอน (2 factor authentication)
- ไม่ควรติดตั้งโปรแกรมที่ไม่ปลอดภัย เช่น โปรแกรมที่แนบมาจากระบบข้อความ, หรือมีผู้ติดต่อมาให้ติดตั้งถึงจะดำเนินการทำรายการใด ๆ
- การใช้งานแอปพลิเคชันบน Social media ควรตั้งค่าความเป็นส่วนตัว และไม่เปิดเผยข้อมูลส่วนบุคคลโดยไม่จำเป็น
- คิดก่อนที่จะคลิกลิงก์ที่เราไม่คุ้นเคยบน Social media หรือ E-mail
ในระดับองค์กร ไม่ว่าจะในภาครัฐหรือเอกชน ซึ่งปัจจุบันมาตรฐานที่เป็นที่นิยมมากที่สุด อาจจะมีการประเมินมาตรการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Security Assessment) เช่น การยกเอามาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 หรือแม้แต่กรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ (NIST CSF) มาเป็นตัวชี้วัด หรือปรับปรุงและพัฒนาองค์กรของตนเอง ทั้งนี้จะขอพูดถึงขั้นตอนการเตรียมการและการรับมือเบื้องต้น สำหรับกระบวนการที่พึงปฏิบัติสำหรับองค์กรควรมีการดำเนินการดังนี้
- มีการจัดทำชุดคำถามเพื่อประเมินความรู้ ความเข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร
- มีกรอบและแนวทางในการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
- มีการระบุทรัพย์สินสารสนเทศที่สำคัญ ครอบคลุมทั้งฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล ระบบงาน
- มีการระบุที่มาของความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กร (Risk Identify)
- มีการประเมินความเสี่ยงด้านสารสนเทศและไซเบอร์ (Information Security risk and Cyber Risk assessment) และดำเนินการพิจารณาหาแนวทางในการลดทอนความเสี่ยง
- กำหนดโครงสร้าง และหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ โดยกำหนดให้มีการรายงานผลการปฏิบัติการด้านความมั่นคงปลอดภัยสารสนเทศไปยังผู้บริหารระดับสูงขององค์กร เช่น CIO CTO CISO หรือคณะกรรมการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร รวมถึงหน่วยงานที่เกี่ยวข้อง
- มีการกำหนดขอบเขต อำนาจ ในการตัดสินใจในแง่ของทรัพยากร บุคลากร งบประมาน และการเข้าถึงข้อมูล
- กำหนดมาตรการควบคุมความเสี่ยงด้านความมั่นคงปลอดภัยปลอดภัยสารสนเทศ ที่เหมาะสม เช่น การควบคุมการเข้าถึงระบบสารสนเทศ การสำรองข้อมูล การส่งต่อข้อมูลผ่านระบบเครือข่าย การเข้ารหัสข้อมูล
- มีการกำหนดแผนในการสื่อสารด้านความมั่นคงปลอดภัยสารสนเทศ (Security communication) ให้กับพนักงาน ผู้บริหาร และหน่วยงานที่เกี่ยวข้อง
- มีการจัดทำแผนในการรับมือด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Incident response) และสื่อสารไปยังผู้ที่เกี่ยวข้องเพื่อสร้างความเข้าใจถึงแผนในการรับมือด้านความมั่นคงปลอดภัยไซเบอร์
- จัดให้มีการทดสอบ หรือการจำลองเหตุการณ์ในการโจมตีทางไซเบอร์ เพื่อวัดประสิทธิภาพของแผนในการรับมือด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber drill) เช่น Ransomware simulation test
- จัดให้มีการสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cyber Security Awareness)
- จัดให้มีการทดสอบการเจาะระบบ (Penetration testing) หรือประเมินด้านการป้องกัน (Cyber defense) จากผู้เชี่ยวชาญภายนอก
- มีการติดตาม และแลกเปลี่ยนความรู้ ด้านเหตุการณ์ภัยคุกคามทางไซเบอร์กับหน่วยงานอื่น ๆ หรือในกลุ่มธุรกิจประเภทเดียวกัน
ทั้งนี้จากสิ่งที่เป็นแนวทางพื้นฐานในการป้องกันข้อมูลรั่วไหล รวมถึงเหตุการณ์ทางไซเบอร์ที่อาจจะเกิดขึ้นทั้งหมดนั้น ไม่ว่าจะมีเทคโนโลยีราคาแพง หรือมีอุปกรณ์ครบถ้วนมากน้อยเพียงใด สิ่งที่เป็นช่องทางในการโจมตีของผู้ไม่หวังดีได้ง่ายที่สุดก็คือ ตัวเรานั่นเอง เพราะว่าถ้าเราไม่มีความตระหนักรู้ถึงเหตุการณ์ภัยคุกคาม มีความประมาท ต่อให้มีเทคโนโลยีที่ดียังไงก็ไม่สามารถที่จะป้องกันเหตุการณ์ต่าง ๆ ได้
จากบทความนี้ผู้เขียน ก็หวังว่าจะเป็นส่วนช่วยในการป้องกันข้อมูลรั่วไหล และเหตุการณ์การโจมตีทางไซเบอร์ได้ไม่มากก็น้อย ขอบคุณครับ
