แนวทางการเฝ้าระวังและป้องกันความเสี่ยงในการเกิดภัยคุกคามทางไซเบอร์

ความมั่นคงปลอดภัยไซเบอร์ CYBERSECURITY คืออะไร

รูปแบบภัยคุกคามทางไซเบอร์ (Cyber Threats)

1. มัลแวร์ (Malware) คือ ซอฟต์แวร์ที่ถูกออกแบบมาเพื่อทำลายหรือทำให้เครื่องคอมพิวเตอร์หรือเครือข่ายไม่สามารถทำงานได้ปกติ รวมถึง ไวรัส, ทรอจัน, และเวิร์ม

2. แรนซัมแวร์ (Ransomware) คือ ประเภทของมัลแวร์ที่เข้ารหัสข้อมูลในเครื่องคอมพิวเตอร์และเรียกร้องเงินค่าไถ่เพื่อปลดล็อค

3. ฟิชชิ่ง (Phishing) คือ การส่งอีเมลหรือข้อความที่หลอกลวงเพื่อให้ผู้รับเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน

4. โซเชียล เอนจิเนียริง (Social Engineering) คือ การใช้การหลอกลวงหรือการจูงใจให้บุคคลทำอะไรที่อาจเปิดเผยข้อมูลหรือให้การเข้าถึงระบบ

5. การโจมตีแบบ Distributed Denial of Service (DDoS) คือ การใช้เครื่องคอมพิวเตอร์หลายเครื่องในการโจมตีเว็บไซต์หรือเซอร์วิสเพื่อทำให้ไม่สามารถให้บริการได้

6. การโจมตีทางเครือข่าย (Network Attacks) รวมถึงการโจมตีแบบ Man-in-the-Middle (MITM), SQL Injection และการโจมตีเครือข่ายอื่นๆ

7. การขโมยข้อมูล (Data Breaches) คือ การเข้าถึงและขโมยข้อมูลส่วนบุคคลหรือข้อมูลลับขององค์กรโดยไม่ได้รับอนุญาต

8. การโจมตีแบบ Zero-Day คือ การใช้ช่องโหว่ที่ยังไม่เคยถูกค้นพบหรือแก้ไขในซอฟต์แวร์หรือระบบปฏิบัติการ

แนวทางปฏิบัติและคำแนะนำในการป้องกันพื้นฐาน

1. หลีกเลี่ยงการเปิดอีเมลที่ต้องสงสัย

2. กำหนดสิทธิในการใช้งานระบบของผู้ใช้แต่ละคน เช่น จำกัดสิทธิในการติดตั้ง

3. สำรองข้อมูล

4. ลด Attack surface จากเนื้อหาที่เป็นอันตรายต่าง ๆ ในการเข้าถึงเครือข่าย Websites, applications, macro & scripts

5. ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่ดีมีประสิทธิภาพ ใช้ซอฟต์แวร์แพตช์ความปลอดภัยล่าสุด

6. จำแนกข้อมูลและแบ่งส่วนข้อมูลเหล่านั้น

คำแนะนำกรณีประสบปัญหาภัยคุกคามทางไซเบอร์

1. กรณีตรวจพบการโจมตีต่อเว็บไซต์ ด้วยการเปลี่ยนแปลงหน้าเว็บไซต์ (Website Defacement)

1.1 ให้ตรวจสอบข้อมูลตามที่ปรากฏบนหน้าเว็บข้อมูลคอมพิวเตอร์ในระบบข้อมูล log file และพฤติการณ์แวดล้อมในระบบ เพื่อประเมินว่ามีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นหรือไม่ หากพบว่ามีเหตุการณ์เกิดขึ้นให้ดำเนินการเพื่อป้องกันรับมือและลดความเสี่ยงตาม พ.ร.บ.ไซเบอร์ฯ หรือแนวทางด้าน cybersecurity เช่น NIST Cybersecurity Framework เป็นต้น

2. ดำเนินการแจ้งความกับหน่วยงานบังคับใช้กฎหมายที่รับผิดชอบในทันที เช่น บช.สอท. ตั้งอยู่ภายในเมืองทองธานี จ.นนทบุรี หรือสถานีตำรวจในพื้นที่ เพื่อจะได้เป็นการแจ้งเหตุการณ์กระทำผิดทางอาญา
ในฐานะผู้เสียหายและเริ่มกระบวนการตรวจพิสูจน์ได้อย่างถูกต้องตามกฎหมาย

3. ในการดำเนินการเรื่องรับมือและตอบสนองเหตุการณ์ดังกล่าว นอกจากการกู้คืนระบบให้สามารถทำงานได้ตามปกติโดยเร็วแล้ว ควรจะดำเนินการหาสาเหตุและแหล่งที่มาของภัยคุกคามที่แท้จริง สามารถระบุร่องรอยได้ตามพยานหลักฐานที่ปรากฎได้อย่างชัดเจน ทั้งนี้ เพื่อเป็นการตรวจหาภัยคุกคามที่ยังคงแฝงอยู่ในระบบและเป็นการป้องกันไม่ให้เกิดเหตุซ้ำจากช่องโหว่ที่มีอยู่ในระบบ 

2. กรณีมีการประกาศเผยแพร่ข้อมูลของโรงเรียน

          ให้ดำเนินการเพิ่มเติมนอกเหนือจากกรณีตรวจพบการโจมตีต่อเว็บไซต์ ด้วยการเปลี่ยนแปลงหน้าเว็บไซต์ (Website Defacement) ดังนี้

          1. ดำเนินการตรวจสอบข้อมูลต่าง ๆ เช่น ข้อมูลส่วนบุคคล ข้อมูลที่มีความละเอียดอ่อนที่ถูกทำให้เผยแพร่ไป โดยได้อ้างว่าเป็นของหน่วยงานหรือบุคคลอื่น เพื่อพิจารณาแนวทางป้องกันและรับมือกับข้อกฎหมายและ
ความเสียหายที่อาจจะเกิดขึ้น

          2. ดำเนินการตรวจสอบข้อมูลส่วนบุคคลที่โรงเรียนได้เผยแพร่บนเว็บไชต์ให้เหมาะสมและสอดคล้องตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วนที่เกี่ยวกับการเก็บรวบรวมการใช้และการเปิดเผยข้อมูลส่วนบุคคลที่กำหนด เนื่องจากการเปิดเผยข้อมูลส่วนบุคคลบางข้อมูลบนหน้าเว็บไซต์
อาจก่อให้เกิดความเสี่ยหายต่อเจ้าของข้อมูลส่วนบุคคลนั้นได้ เช่น เลขที่บัตรประจำตัวประชาชน เบอร์โทรศัพท์หรือที่อยู่ เป็นต้น หากโรงเรียนพิจารณาแล้วปรากฏว่าข้อมูลส่วนบุคคลใดไม่จำเป็นต้องเผยแพร่และเป็นข้อมูลที่หากเผยแพร่แล้วอาจก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ให้โรงเรียนดำเนินการเผยแพร่ข้อมูลเท่าที่จำเป็น ตามที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น กรณีโรงเรียนจำเป็นต้องเผยแพร่ข้อมูลส่วนบุคคลดังกล่าว
ให้โรงเรียนดำเนินการกำหนดสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลหรือดำเนินการอื่นใด เพื่อเป็นการป้องกันมิให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลได้
อีกทั้งเป็นการลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลนั้นด้วย 
           อนึ่ง หากโรงเรียนมิได้ดำเนินการให้สอดคล้องและเป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด อาจถือได้ว่าเป็นการฝ่าฝืนหรือไม่ปฏิบัติ อันอาจมีความรับผิดทางแพ่ง ทางอาญาหรือทางปกครองตามที่พระราชบัญญัติดังกล่าวกำหนดไว้

คำแนะนำในการปฏิบัติเพื่อลดความเสี่ยงที่จะถูกโจมตีเว็บไซต์โดยทั่วไป สำหรับผู้ดูแลระบบ

กรณีผู้ที่เป็นเจ้าของเว็บไซต์จะต้องดำเนินการตรวจสอบว่าเว็บไซต์ตนเองมีช่องโหว่ที่จุดใดและควรดำเนินการแก้ไขเพื่อไม่ให้ผู้ที่ไม่หวังดีใช้เป็นที่กระทำความผิดต่อไป เบื้องต้น ผู้ดูแลระบบควรเร่งดำเนินการเปลี่ยนรหัสผ่านของผู้ใช้ทั้งหมด ลบลิงก์ที่ไม่ได้ใช้งานออกจากเว็บไซต์ กำหนดสิทธิ์ในการเข้าถึงเว็บไซต์ใหม่ทั้งหมด จากนั้นจึงดำเนินการทดสอบหาช่องโหว่ของเว็บไซต์เพื่อป้องกันการโจมตีต่อไป คำแนะนำสำหรับจัดทำเว็บไซต์โดยทั่วไปนั้นมีคำแนะนำจาก OWASP TOP 10 Project ซึ่งเป็นขององค์กรที่ชื่อ OWASP เป็นองค์กรที่ไม่แสวงหาผลกำไรที่ให้ความรู้ เพื่อการปรับปรุงในการจัดทำเว็บไซต์ให้ปลอดภัย ซึ่งมีคำแนะนำหลายเรื่อง เช่น การเขียนโปรแกรม การใช้เครื่องมือในการตรวจสอบการรักษาความมั่นคงปลอดภัย เทคโนโลยีที่ใช้ในการรักษาความมั่นคงปลอดภัยของเว็บไซต์ ซึ่งสามารถศึกษาและดาวน์โหลดเอกสารได้ที่ https://owasp.org

 ข้อกฎหมายที่เกี่ยวข้อง

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 58 กรณีเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศ ในการดูแลรับผิดชอบของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานดำเนินการตรวจสอบข้อมูลที่เกี่ยวข้อง ข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์ของโรงเรียน เพื่อประเมินภัยคุกคาม ดำเนินการป้องกันรับมือและลดความเสี่ยงจากภัยคุกคามตามแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของโรงเรียนนั้น และแจ้งมายังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติและหน่วยงานควบคุมหรือกำกับดูแลของตนโดยเร็ว
          พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 (4) กรณีแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ให้แจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า ทั้งนี้ ได้มีกำหนดโทษตามพระราชบัญญัตินี้ ดังนี้

1) ความรับผิดทางแพ่ง บัญญัติไว้ในมาตรา 77 ถึงมาตรา 78

2) โทษอาญา บัญญัติไว้ในมาตรา 79 ถึงมาตรา 81

3) โทษทางปกครอง บัญญัติไว้ในมาตรา 82 ถึงมาตรา 90

อ้างอิง

1. https://www.nist.gov/cyberframework

2. https://owasp.org/www-project-top-ten/

3. https://drive.ncsa.or.th/s/XtCz2kFkcwkaz9y

4. https://ratchakitcha.soc.go.th/documents/17082307.pdf

ที่มา

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ