Human Error ภัยร้ายของเหตุข้อมูลรั่วไหล

Human Error ภัยร้ายของเหตุข้อมูลรั่วไหล

เวลาที่เราได้ยินข่าวใหญ่เกี่ยวกับข้อมูลรั่วไหลหรือถูกล่วงละเมิด เรามักจะนึกกันไปต่างๆ นานาว่าเหตุการณ์เหล่านั้นคงจะเป็นฝีมือของกลุ่มแฮ็กเกอร์มืออาชีพหรือองค์กรลับบางแห่ง แต่ท่านทราบหรือไม่ว่า อันที่จริงแล้วสาเหตุหลักของภัยคุกคามข้อมูลส่วนใหญ่ เกิดขึ้นจาก “ความผิดพลาดของบุคลากร” (Human Error)

ที่ผ่านมา การที่ข้อมูลลับหรือข้อมูลส่วนตัวของบริษัทและหน่วยงานจำนวนมหาศาลถูกเปิดเผยอย่างไม่เหมาะสมนั้น ได้รับการพิสูจน์แล้วว่าเป็นผลมาจากความผิดพลาดของพนักงานภายในนั่นเอง ซึ่งมีทั้งโดยตั้งใจและไม่ได้ตั้งใจ โดยล่าสุดได้มีการรวบรวมสรุปเหตุการณ์เด่นๆ ที่น่าสนใจมาให้ทุกท่านได้ทราบเป็นตัวอย่าง ดังนี้..

Facebook พลาดเปิดเผยวันเกิดของผู้ใช้งานกว่า 80 ล้านบัญชี

ย้อนกลับไปเมื่อปี 2008 Facebook ได้ทำการปรับดีไซน์ของเว็บไซต์ใหม่ แต่ด้วยความไม่รอบคอบของพนักงานจึงทำให้เกิดข้อบกพร่องบางประการจนข้อมูลวันเกิดของผู้ใช้งานกว่า 80 ล้านบัญชีสามารถถูกเข้าถึงได้แบบสาธารณะ ซึ่งข้อมูลวันเกิดนั้นจัดได้ว่ามีความสำคัญมาก เพราะสามารถนำไปใช้คาดเดารหัสผ่านหรือใช้ประกอบกับข้อมูลส่วนตัวอื่นๆ เพื่อการโจรกรรมตัวตนได้

รายชื่อคนไข้ติดเชื้อ HIV ของสถานพยาบาลแห่งหนึ่งถูกเปิดเผยโดยไม่เจตนา

เมื่อปีที่แล้ว มีรายงานการรั่วไหลของรายชื่อผู้ติดเชื้อ HIV ที่สมัครรับจดหมายข่าวของสถานพยาบาลขนาดใหญ่แห่งหนึ่งในนครลอนดอน ซึ่งโดยปกติแล้วผู้รับอีเมล์ข่าวเหล่านี้จะต้องไม่เห็นรายชื่อของคนไข้รายอื่นๆ โดยเจ้าหน้าที่ที่ส่งออกจดหมายข่าวจะต้องใส่ที่อยู่อีเมล์ของผู้รับในช่อง “BCC:” แต่ด้วยความเลินเล่อในครั้งนั้น เจ้าหน้าที่กลับก๊อปปี้รายชื่อจากฐานข้อมูลแล้ววางลงในช่อง “TO:” อันนำมาซึ่งความเสียหายเกินคณนา

 

เพนตากอนต้องเจ็บปวดกับเหตุข้อมูลรั่วไหลเพราะอีเมล์ฟิชชิ่ง

เมื่อเจ้าหน้าที่ในออฟฟิสของเพนตากอนตกเป็นเหยื่อของอีเมล์ฟิชชิ้ง จึงทำให้ระบบขององค์กรเกิดช่องโหว่และข้อมูลส่วนตัวของข้าราชการทหารกว่า 4,000 นายถูกล้วงความลับออกไป เหตุการณ์นี้สร้างความแตกตื่นครั้งยิ่งใหญ่ว่าเจ้าหน้าที่ของหน่วยงานสำคัญระดับเพนตากอนขาดความตระหนักรู้จนหลงกลอีเมล์ฟิชชิ่งได้อย่างไร

แฮ็กเกอร์ใช้อีเมล์ฟิชชิ่งเพื่อการเจาะระบบ Sony

Sony Pictures Entertainment คือองค์กรอีกแห่งหนึ่งที่ตกเป็นเหยื่อของอีเมล์ฟิชชิ่ง โดยแฮ็กเกอร์จงใจใช้เนื้อหาลวงเกี่ยวกับ “การยืนยันอีเมล์ของบัญชี Apple ID” ซึ่งเรียกร้องความสนใจและทำให้พนักงานของ Sony พลาดกดคลิกจนเกิดความเสียหายครั้งใหญ่ตามมาในที่สุด

นี่เป็นเพียงตัวอย่างส่วนหนึ่งที่แสดงให้เห็นว่า ทุกองค์กรจำเป็นต้องใส่ใจให้ความรู้และฝึกอบรมพนักงานเกี่ยวกับเรื่องความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสมเพียงพอ เพราะนี่คือเกราะป้องกันสำคัญที่จะช่วยให้องค์กรของท่านพ้นจากการถูกล่วงละเมิดข้อมูล

Content Cr: IT Governance / DestinationOne Counselor

Photo Cr: CartoonStock.com

3 กลยุทธ์เพื่อความสำเร็จในการบริหารความมั่นคงปลอดภัยสารสนเทศ

3 กลยุทธ์เพื่อความสำเร็จในการบริหารความมั่นคงปลอดภัยสารสนเทศ

การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ นับเป็นเรื่องสำคัญในลำดับต้นๆ ที่ทุกองค์กรต้องใส่ใจ โดยเฉพาะในยุคที่ทุกสิ่งมีการเปลี่ยนแปลงอย่างรวดเร็ว ภัยคุกคามเพิ่มสูงและซับซ้อนมากขึ้น การรับมือกับความเสี่ยงจึงกลายเป็นเรื่องท้าทายกว่าเดิม

เนื่องจากการบริหารความมั่นคงปลอดภัยนั้นเป็นเรื่องที่ละเอียดอ่อน จึงได้มีสถาบันเฉพาะทางหลายแห่งที่ทำการศึกษาวิจัยเพื่อปรับปรุงองค์ความรู้ให้มีประสิทธิภาพดียิ่งขึ้นอยู่เสมอ เมื่อไม่นานมานี้ EDUCAUSE ได้เปิดเผยผลการสำรวจถึง 3 กลยุทธ์สำคัญที่ทุกองค์กรต้องกำหนดอย่างเร่งด่วน หากคาดหวังความสำเร็จในการบริหารความมั่นคงปลอดภัย โดยเป็นการศึกษาความคิดเห็นของ CIO, CSO, IT Director, IT Manager และ IT Staff ซึ่งทีมงาน DestinationOne ได้นำมาสรุปและแบ่งปันให้กับทุกท่านในบทความนี้

กลยุทธ์ 1: การกำหนดนโยบาย, แผนการดำเนินงาน, แผนกลยุทธ์ ฯลฯ ที่เกี่ยวข้องกับการบริหารความมั่นคงสารสนเทศ จะต้องสอดคล้องกับวัฒนธรรมองค์กร ไม่ยึดติดกับเทคโนโลยีใดๆ และต้องมีความยืดหยุ่นเพื่อให้สามารถปรับเปลี่ยนได้อยู่เสมอ รองรับกับ Emerging Security Risk และสภาพแวดล้อมที่หมุนไปอยู่ตลอดเวลา ที่สำคัญคือผู้บริหารจะต้องแสดงออกถึงภาวะผู้นำอย่างเหมาะสม

กลยุทธ์ 2: ต้องมั่นใจว่าบุคลากรและผู้มีส่วนเกี่ยวข้องทุกคนได้รับข้อมูลข่าวสารและการฝึกอบรมเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศอย่างเพียงพอ เพราะจากผลการวิจัยพบว่าเหตุละเมิดความมั่นคงปลอดภัยส่วนใหญ่นั้น เกิดขึ้นจากความผิดพลาดโดยไม่เจตนาของพนักงาน และความพยายามล่วงละเมิดโดยบุคคลภายในองค์กรนั้นเอง

กลยุทธ์ 3: กำหนดนโยบายเพื่อบริหารความมั่นคงปลอดภัยในการใช้งาน Mobile Device, Cloud Service และ Digital Resource เพราะเทคโนโลยีเหล่านี้กำลังมาแรงอย่างหลีกเลี่ยงไม่ได้ ซึ่งนอกจากความสะดวกสบายแล้วก็ยังนำมาซึ่งภัยคุกคามและความเสี่ยงในระดับที่สูงขึ้นอีกด้วย นอกจากนี้ยังจะต้องมีการกำหนดนโยบายด้าน Incident Response อย่างเหมาะสมอีกด้วย

กลยุทธ์เหล่านี้มีความสำคัญมากสำหรับทุกองค์กรที่ต้องการบริหารความมั่นคงปลอดภัยอย่างมีประสิทธิภาพ โดยจะต้องดำเนินการบนพื้นฐานของผลการประเมินความเสี่ยงอย่างเหมาะสมด้วยครับ

Content Cr: EDUCAUSE, DestinationOne Counselor

Photo Cr: SpokeInteractive

9 เรื่องต้องใส่ใจเพื่อสร้างความมั่นคงปลอดภัยให้กับสำนักงาน

9 เรื่องต้องใส่ใจเพื่อสร้างความมั่นคงปลอดภัยให้กับสำนักงาน

เวลาส่วนใหญ่ของพวกเรานั้นมักจะถูกใช้อยู่ในสำนักงาน ข้อมูลธุรกิจและอุปกรณ์การทำงานสำคัญก็ถูกเก็บไว้ในสำนักงานด้วยเช่นกัน การรักษาความมั่นคงปลอดภัยให้กับพื้นที่สำนักงานจึงจัดเป็นเรื่องจำเป็น ในขณะที่ความเสี่ยงต่างๆ ก็ยิ่งซับซ้อนรุนแรงขึ้นทุกวัน ดังนั้น ทีมงาน DestinationOne จึงอยากจะขอแนะนำในการสร้างความมั่นคงปลอดภัยให้กับสำนักงานของคุณ

9 เรื่องต้องใส่ใจเพื่อสร้างความมั่นคงปลอดภัยให้กับสำนักงาน

1. โครงสร้างและการออกแบบ จะต้องดำเนินการโดยยึดตามมาตรฐาน คำนึงสภาพแวดล้อมและระดับความเสี่ยง เช่น ผนังกันไฟ, โครงสร้างอาคารต้านทานแรงสั่นสะเทือน เป็นต้น
2. การแบ่งแยกพื้นที่ตามความสำคัญ พื้นที่ในส่วนต่างๆ มีวัตถุประสงค์การใช้สอย ซึ่งควรจะได้รับการแบ่งแยกการบริหารจัดการตามระดับความสำคัญให้สอดคล้องกับความต้องการใช้งานและความมั่นคงปลอดภัย
3. การควบคุมการเข้าถึงทางกายภาพ อนุญาตให้เฉพาะผู้ที่เกี่ยวข้องหรือมีความจำเป็นในการเข้าถึงพื้นที่ได้เท่านั้น โดยจะต้องมีการบันทึกและตรวจสอบตัวตน รวมถึงมีการเฝ้าระวังทางกายภาพอย่างเหมาะสมอีกด้วย อาทิ การแลกบัตรก่อนเข้าพื้นที่, ระบบแตะบัตรเพื่อกดลิฟท์ เป็นต้น
4. ระบบตรวจจับผู้บุกรุก ต้องมีการติดตั้งระบบตรวจจับผู้บุกรุกอย่างทั่วถึงทุกพื้นที่ที่มีความเสี่ยง และต้องตรวจสอบความพร้อมใช้งานอยู่เสมอ
5. ระบบกล้องวงจรปิด ต้องมีการติดตั้งกล้องวงจรปิดอย่างทั่วถึงทุกพื้นที่ที่มีความเสี่ยง ภาพจะต้องคมชัดทั้งกลางวันและกลางคืน สามารถใช้เพื่อระบุตัวบุคคลได้ และมีระยะเวลาการจัดเก็บข้อมูลตามข้อกำหนดของกฎหมายและความต้องการทางธุรกิจ
6. ระบบตรวจจับความร้อน ควันไฟ และระบบดับเพลิง ต้องมีการติดตั้งระบบตรวจจับความร้อน, ควันไฟ และดับเพลิงอย่างทั่วถึงทุกพื้นที่ และมีการตรวจสอบความพร้อมใช้งานอยู่เสมอ
7. แผนอพยพฉุกเฉินหรือแผนหนีไฟ จะต้องมีการจัดทำแผนอพยพฉุกเฉินและแผนอพยพหนีไฟ มีการประกาศให้ทราบ รวมถึงต้องมีการซักซ้อมอย่างเหมาะสมอีกด้วย
8. ระบบเครือข่ายและโทรคมนาคม ระบบเหล่านี้ต้องได้รับการควบคุมให้มีความมั่นคงปลอดภัย รวมถึงจัดให้มีระบบสำรองต่างๆ อย่างสอดคล้องตามความต้องการของธุรกิจ
9. ระบบสาธารณูปโภคและระบบสนับสนุน จะต้องมีการจัดเตรียมไว้อย่างเพียงพอตามความต้องการของธุรกิจ เช่น ระบบไฟฟ้า, ระบบประปา, ระบบปรับอากาศ เป็นต้น

Content Cr: DestinationOne Counselor

Photo Cr:ฺ Blogging4Jobs.com