Wednesday, January 27, 2016

คอมพิวเตอร์พกพา VS ความมั่นคงปลอดภัย



คอมพิวเตอร์พกพา VS ความมั่นคงปลอดภัย

คอมพิวเตอร์พกพา หรือ Notebook  คืออุปกรณ์การทำงานชิ้นสำคัญ ซึ่งเก็บบันทึกข้อมูลในรูปแบบต่างๆ อาทิ อีเมล์, เอกสาร, สเปรทชีท, พรีเซนเตชั่น, รูปภาพ, วิดิโอ, เพลง ฯลฯ อยู่อย่างมหาศาล เมื่อต้องพกพาออกไปนอกสถานที่ จึงจำเป็นต้องได้รับการปกป้องความมั่นคงปลอดภัยอยู่ตลอดเวลา ยิ่งข้อมูลมีความสำคัญมากเท่าใด ระดับความเสี่ยงก็จะยิ่งเพิ่มสูงขึ้นตามไปด้วย

องค์กรต่างๆ จึงจำเป็นต้องมีการกำหนดแนวทางในการบริหารจัดการและการใช้งานคอมพิวเตอร์พกกาอย่างเหมาะสม โดยทีมงาม DestinationOne ขอแนะนำมาตรการขั้นพื้นฐาน ซึ่งอย่างน้อยทุกองค์กรจะต้องมีการบังคับใช้ ดังต่อไปนี้..



  1. จัดซื้อคอมพิวเตอร์พกพาที่มีมาตรฐาน ต้องใช้งานเครื่องที่มีคุณภาพและน่าเชื่อถือตามหลักมาตรฐานสากล หรือได้รับการยอมรับในวงการ เช่น คุณสมบัติ, การรับประกัน เป็นต้น
  2. ตั้งค่ามาตรฐานทางด้านความมั่นคงปลอดภัย  ต้องมีการกำหนดค่า Configuration ต่างๆ ให้มีความมั่นคงปลอดภัยเสมอ เช่น รหัสผ่านต้องคาดเดาได้ยาก, การเข้าถึง BIOS ต้องได้รับการควบคุม เป็นต้น
  3. มีการควบคุมการเข้าถึงอย่างชัดเจน ต้องมีการควบคุมการเข้าถึงโดยจำกัดหนึ่งคนต่อหนึ่งบัญชีผู้ใช้ พิจารณาตามหน้าที่ความรับผิดชอบ โดยเฉพาะการเข้าถึงระบบหรือฐานข้อมูลสำคัญ เช่น การเข้าถึงเครื่องหรือระบบปฏิบัติการ, การเข้าถึงไฟล์ข้อมูล เป็นต้น
  4. หมั่นปรับปรุง OS และ Software ที่เกี่ยวข้องเสมอ ระบบปฏิบัติการและโปรแกรมต่างๆ ที่เกี่ยวข้องจะต้องได้รับการปรับปรุงให้ทันสมัยเท่าทันกับจุดอ่อนและภัยคุกคามต่างๆ ที่อาจจะเกิดขึ้นได้
  5. ติดตั้งโปรแกรมป้องกันไวรัสและเปิดใช้งานเสมอ ต้องมีการติดตั้งโปรแกรมป้องกันไวรัสและต้องมีการเปิดใช้งานตลอดเวลา รวมถึงต้องหมั่นปรับปรุงเวอร์ชั่นให้ทันสมัยเสมอ
  6. ข้อมูลสำคัญต้องเข้ารหัสตลอดเวลา ข้อมูลที่สำคัญต้องได้รับการเข้ารหัสอย่างมั่นคงปลอดภัย และต้องมีการควบคุมการเข้าถึงที่น่าเชื่อถือและหลากหลายรูปแบบหรือวิธีการ  
  7. ทำลายข้อมูลด้วยวิธีมั่นคงปลอดภัยทุกครั้งก่อนส่งซ่อมหรือจำหน่าย การลบหรือทำลายข้อมูลสำคัญจะทำแบบทั่วไปไม่ได้ แต่จะต้องหาวิธีการหรือเครื่องมือในการทำลายข้อมูลอย่างถาวรเพื่อความมั่นคงปลอดภัย
  8. พกพาติดตัวตลอดเวลา ต้องพกพาเครื่องไว้กับตัวเสมอ หากไม่สะดวกก็จะต้องจัดเก็บอย่างมั่นคงปลอดภัย ยากแก่การเข้าถึงและการมองเห็นจากผู้ประสงค์ร้ายได้
  9. เชื่อมต่อกับเครือข่ายที่น่าเชื่อถือเท่านั้น ต้องเลือกการเชื่อมต่อที่น่าเชื่อถือและมีความมั่นคงปลอดภัย และเชื่อมต่อเท่าที่จำเป็นเท่านั้น อย่าเชื่อมต่อพร่ำเพรื่อหรือต่อทิ้งไว้ตลอดเวลาโดยเด็ดขาด
  10. ก่อนใช้งานทุกครั้งต้องมองรอบ 360 องศา สังเกตรอบตัวก่อนเปิดเครื่องใช้งานทุกครั้ง เพื่อหลักเลี่ยงการถูกแอบมองหรือตกเป็นเป็นเป้าหมายของผู้ไม่หวังดี





Content Cr: DestinationOne Counselor
Photo Cr: Getty Image

Wednesday, January 20, 2016

เคล็ดลับการใช้งานแอพ Mobile Banking อย่างมั่นคงปลอดภัย



เคล็ดลับการใช้งานแอพ Mobile Banking อย่างมั่นคงปลอดภัย

รูปแบบการทำธุรกรรมทางการเงินนั้นเปลี่ยนไปอย่างมากจากอดีต นั่นก็เป็นเพราะความก้าวหน้าของเทคโนโลยี โดยเฉพาะแอพ Mobile Banking บนสมาร์ทโฟนซึ่งตอนนี้ได้รับความนิยมอย่างสูง เพราะช่วยประหยัดเวลาที่เราจะต้องเดินทางไปธนาคารหรือต่อคิวหน้าเครื่องเอทีเอ็ม

แต่ความสะดวกสบายนั้นก็มักจะมาพร้อมกับความเสี่ยงเสมอ ดูอย่างข่าวตามสื่อต่างๆ หรือที่แอดมินของเฟสบุ๊คเพจ DestinatationOne แจ้งเตือนอยู่บ่อยๆ ก็ได้ครับ น่าจะพอมองออกว่าแนวโน้มภัยคุกคามแอพพลิเคชั่นด้านธุรกรรมทางการเงินรุนแรงมากขึ้นทุกที ในบทความนี้จึงเป็นโอกาสอีกครั้งหนึ่งที่ผมจะมาแนะนำวิธีการใช้งานแอพเหล่านี้ให้มั่นคงปลอดภัย



  1. ดาวน์โหลดแอพที่เป็นของธนาคารจริงๆ ผ่านช่องทาง Play Store หรือ Apple Store เท่านั้น
  2. หมั่นอัพเดทแอพให้ทันสมัยอยู่เสมอ เพราะนอกเหนือจากฟีเจอร์การใช้งานแล้ว ทางธนาคารมักจะมีการปรับปรุงจุดอ่อนต่างๆ เพื่อให้สามารถใช้งานได้อย่างมั่นคงปลอดภัยยิ่งขึ้น
  3. อย่ารำคาญการยืนยันธุรกรรมต่างๆ ด้วยวิธีการส่งรหัส One-Time Password (OTP) ผ่าน SMS ทางโทรศัพท์มือถือ เพราะมันจะช่วยให้คุณใช้งานได้อย่างปลอดภัย และรู้ถึงการถูกคุกคามได้หากมีการแจ้ง SMS ที่ผิดปกติ
  4. Log Out ทุกครั้งเวลาที่ไม่ได้ใช้งาน เพราะมันจะช่วยปกป้องบัญชีของคุณได้แม้สมาร์ทโฟนจะสูญหายหรือถูกขโมย
  5. ติดตั้งแอพป้องกันสมาร์ทโฟนสูญหาย ซึ่งมักจะมาพร้อมฟังก์ชั่นในการติดตามตัวเครื่องที่สูญหายผ่านระบบ GPS และสามารถใช้คำสั่งลบข้อมูลในตัวเครื่องแบบรีโมทได้อีกด้วย
  6. ใช้งานแอพ Anti-Virus/Malware ประสิทธิภาพสูง ซึ่งมีให้เลือกอยู่หลากหลายใน Play Store หรือ Apple Store

อย่างไรก็ตาม สิ่งสำคัญที่สุดก็คือคุณจะต้องใช้งานแอพ Mobile Banking ด้วยความรอบคอบ หากตรวจพบความผิดปกติใดๆ ให้คุณตั้งข้อสงสัยและติดต่อไปยังธนาคารทันที




Content Cr: DestinationOne Counselor
Photo Cr: Wired.com

Wednesday, January 13, 2016

บทเรียนด้าน Cyber Security จากปี 2015



บทเรียนด้าน Cyber Security จากปี 2015

การปรับปรุงความมั่นคงปลอดภัยขององค์กรให้ดียิ่งขึ้นนั้น เป็นสิ่งที่จำเป็นต้องดำเนินการอย่างต่อเนื่อง โดยหนึ่งในวิธีการปรับปรุงที่สำคัญก็คือการเรียนรู้จากข้อผิดพลาดต่างๆ ที่เคยเกิดขึ้น

สำหรับปี 2015 ที่เพิ่งจะผ่านไปหมาดๆ นี้ ก็ได้มีการรวบรวมเอา Case Study ที่น่าสนใจเกี่ยวกับเหตุล่วงละเมิดทาง Cyber Security มาเผยแพร่ โดยเว็บไซต์ของนิตยสาร Information Security Buzz ซึ่งแต่ละกรณีก็มีบทเรียนที่องค์กรต่างๆ ควรจะศึกษาไว้ เพื่อนำข้อมูลมาใช้พิจารณาในการปรับปรุงความมั่นคงปลอดภัย โดยทีมงานของ DestinationOne ก็ได้หยิบเอามาสรุปให้กับทุกท่านได้อ่านกันในบทความนี้ครับ


บทเรียนจากธุรกิจด้านสุขภาพ

ในปี 2015 ที่ผ่านมา ดูเหมือนว่าธุรกิจในกลุ่ม Healthcare จะตกเป็นเป้าหมายหลักในการโจมตี ยกตัวอย่างเช่น Premera BlueCross BlueShield ซึ่งถูกแฮ็กเกอร์ขโมยเอาข้อมูลของสมาชิกกว่า 11.2 ล้านบัญชีไปได้ ทั้งข้อมูลสำคัญส่วนตัว หมายเลขประกันสังคม บัญชีธนาคาร ฯลฯ รวมถึงข้อมูลด้านสุขภาพ ซึ่งทำให้สมาชิกทั้งหมดต้องตกอยู่ในความเสี่ยง และต่อมาไม่นาน Anthem ก็ตกเป็นเหยื่อรายถัดมาที่ได้รับการเปิดเผยว่าฐานข้อมูลสมาชิกถูกล่วงละเมิด

ในทางตรงกันข้าม เมื่อแฮ็กเกอร์ได้ทำการเจาะเข้าระบบของ CareFirst นั้น ปรากฏว่าข้อมูลของสมาชิกส่วนใหญ่ยังคงปลอดภัย เพราะได้รับการปกป้องด้วยการเข้ารหัส Password Encryption

สิ่งที่ได้เรียนรู้ : “การเข้ารหัสข้อมูล” เป็นมาตรการพื้นฐานในการปกป้องความมั่นคงปลอดภัย แม้จะดูเหมือนเป็นวิธีการที่ไม่ซับซ้อนอะไร แต่ก็ทรงประสิทธิภาพมากทีเดียวครับ

บทเรียนจากหน่วยงานภาครัฐ

กรณีศึกษานี้เกิดขึ้นจากการที่บริษัทเอ้าท์ซอร์สแห่งหนึ่งทำการถ่ายโอนข้อมูลโดยใช้ระบบเครือข่ายที่ไม่มั่นคงปลอดภัย เป็นเหตุให้ข้อมูลของบุคลากรในสังกัดกองทัพบกสหรัฐฯ ส่วนหนึ่งรั่วไหลออกไป ถึงแม้ว่าเหตุการณ์ในครั้งนี้จะไม่ได้เกิดจากการถูกโจมตี แต่ก็มีผลทำให้ข้อมูลและระบบของหน่วยงานเกิดจุดอ่อนขึ้น

ต่อมาในเดือนมิถุนายน 2015 ได้มีรายงานว่าระบบของสำนักงานบริหารทรัพยากรบุคคลถูกโจมตีโดยแฮ็กเกอร์ โดยมีฐานข้อมูลส่วนตัวและข้อมูลลายนิ้วมือของบุคลากรภาครัฐทั้งในอดีตและปัจจุบันกว่า 5 ล้านคนถูกล่วงละเมิด ทันทีที่ทราบเรื่องทางต้นสังกัดจึงได้บังคับใช้นโยบายการพิสูจน์ตัวตนก่อนเข้าระบบแบบ Two-Factor Authentication แบบเร่งด่วน เพื่อยกระดับความมั่นคงปลอดภัย

สิ่งที่ได้เรียนรู้ : “การพิสูจน์ตัวตนแบบ Two-Factor Authentication” นั้น ถึงแม้ว่าอาจจะทำให้ผู้ใช้งานรู้สึกยุ่งยากเพิ่มขึ้นมาอีกสักนิด แต่ก็เพิ่มความอุ่นใจได้มากโขอยู่ครับ และอันที่จริงแล้วควรจะกำหนดเป็นนโยบายตั้งแต่เริ่มต้น เพราะถ้ารอวัวหายแล้วค่อยมาล้อมคอกนั้นอาจจะสายเกินไป

บทเรียนจากธุรกิจการเงิน

ในเดือนตุลาคม 2015 Scottrade ถูกเปิดโปงว่า บัญชีข้อมูลส่วนตัวของลูกค้ากว่า 4.6 ล้านราย ถูกแฮ็กเกอร์เข้าถึงและขโมยข้อมูลบางส่วนไปได้สำเร็จ ซึ่งแม้ว่าข้อมูลเหล่านั้นจะเป็นเพียงชื่อกับที่อยู่ของลูกค้าเท่านั้น แต่เรื่องราวกลับรุนแรงใหญ่โต เพราะปรากฏหลักฐานว่าการรั่วไหลของข้อมูลเกิดขึ้นมาโดยตลอดตั้งแต่ปี 2013 แต่ไม่มีผู้บริหารหรือเจ้าหน้าที่ของ Scottrade ทราบปัญหาดังกล่าวมาก่อนเลย!!

สิ่งที่ได้เรียนรู้ : “การตรวจสอบเฝ้าระวัง” เป็นเรื่องสำคัญมาก โดยควรจะมีการกำหนดกระบวนการทำงาน, การตั้งค่าระบบ หรือการใช้เครื่องมือต่างๆ เพื่อค้นหาและตรวจจับสิ่งผิดปกติ รวมถึงต้องสามารถสืบค้นย้อนหลังกลับไปได้ เพื่อป้องกันการถูกล่วงละเมิดหรือการฉ้อโกงที่อาจจะเกิดขึ้นได้ตลอดเวลา

บทเรียนต่างๆ ที่ได้กล่าวมาข้างต้น น่าจะช่วยให้ทุกท่านได้ทราบถึงมาตรการจำเป็นที่ควรจะนำมาใช้งานในองค์กรโดยไม่จำเป็นต้องรอให้เกิดเหตุเสียหายขึ้นกับตัว ซึ่งก็เพราะมีองค์กรอื่นยอมเสียสละตนเองในการพิสูจน์ไปแล้วนั่นเองครับ



Content Cr: InformationSecurityBuzz.com / DestinationOne Counselor
Photo Cr: Ebyline.com