www.cioworldmagazine.com

 Breaking News
  • สำรวจพฤติกรรม นักช้อปออนไลน์ในประเทศไทย “CIO World&Business ได้นำรายงานของ Picodi.com ที่ได้วิเคราะห์ข้อมูลจากรายงานของปี 2018 ในหลายๆ ประเด็นเกี่ยวกับพฤติกรรมการซื้อสินค้าออนไลน์ของคนไทย ทั้งการเลือกใช้อุปกรณ์ในการเชื่อต่อการซื้อสินค้าออนไลน์ อายุเฉลี่ยของผู้ซื้อสินค้า ช่วงเวลาของการใช้บริการรวมถึงหมวดหมู่สินค้าที่ได้รับความนิยม ข้อมูลทั้งหมดจะกลายเป็นตัวแปรสำคัญให้การซื้อขายในอุตตสาหกรรมนี้ปรับตัว”...
  • ลูกค้าดีแทค จ่ายทุกบริการของแอปเปิ้ลผ่านบิลของดีแทคได้แล้ว ลูกค้าดีแทค สามารถชำระเงินสำหรับทุกบริการของ App Store, Apple Music และ iTunes ผ่านบิลของดีแทคได้แล้ว ตั้งแต่วันที่ 18 เมษายน 2562 เป็นต้นไป...
  • แพลตฟอร์ม HR ในยุค Digital Transformation องค์กรสมัยใหม่จำเป็นต้องมองหาแพลตฟอร์ม HR ที่มีประสิทธิภาพ เพื่อสร้างความแตกต่างการขับเคลื่อนงานด้านทรัพยากรบุคคลในโลกดิจิทัลอย่างมีประสิทธิภาพ 60% กำลังวางแผนลงทุนเทคโนโลยีใหม่ใน 12-24 เดือน...
  • Kaspersky Lab พัฒนาบริการรายงานภัยคุกคาม APT Kaspersky lab พัฒนาบริการรายงานภัยคุกคามขั้นสูง (APT Intelligence Reporting Service) ด้วยการเพิ่มเติมโปรไฟล์ของผู้ก่อภัยคุกคามและเฟรมเวิร์ค MITRE ATT&CK...
  • อีริคสันจับมือยูเนสโก้พัฒนาทักษะ AI ให้เยาวชน อีริคสัน และยูเนสโก้ ร่วมกันพัฒนาโปรแกรมการเรียนรู้ทักษะใหม่ทางด้านดิจิทัล เน้นพัฒนาทักษะด้านสิ่งประดิษฐ์อัจฉริยะ (AI) สำหรับคนรุ่นใหม่ เพื่อสร้างการศึกษาที่เท่าเทียม...

ICT Trend Watch (ตอนที่26):ความสำคัญและการเตรียมรับมือ เหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร

ICT Trend Watch (ตอนที่26):ความสำคัญและการเตรียมรับมือ เหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร
December 29
13:28 2015
ดร.ไพโรจน์ ธรรมศีลสุวรร
ดร.ไพโรจน์ ธรรมศีลสุวรร

NEC Corporation (Thailand) &Technology Coordinator of TTC, JAPAN ผู้เชี่ยวชาญด้านไอทีและการสื่อสาร ผ่านประสบการณ์มากกว่า 10 ปี ดำรงตำแหน่งคณะอนุกรรมการวิจัยวิจัยโทรคมนาคม TRIDI และอาจารย์มหาวิทยาลัยชั้นนำของประเทศ

“เรียนรู้เรื่องความสำคัญและการเตรียมรับมือต่อเหตุการณ์ความมั่นคงปลอดภัยทางข้อมูลในองค์กร ที่หลายองค์กรได้ตั้งทีมเฉพาะกิจขึ้น ซึ่ง ณ ปัจจุบัน เป้าหมายของมาตรการเกี่ยวกับความปลอดภัยทางข้อมูลไม่ควรจะเป็นเพียงป้องกันเหตุการณ์ไม่ให้เกิดขึ้นอย่างเดียวแต่ควรเป็นทำให้ความเสียหายเกิดขึ้นน้อยที่สุดเมื่อมีเหตุการณ์เกิดขึ้นด้วย”

Banner_CIO_big one_version2

1คงเป็นที่ชัดเจนว่า ทุกองค์กรมีโอกาสที่จะประสบภัยเกี่ยวกับความปลอดภัยทางข้อมูล (information security)ประเภทต่างๆ ไม่ว่าจะเป็นการโจมตีทางไซเบอร์หรืออื่นๆ โดยเฉพาะในยุคปัจจุบันที่ธุรกรรมขององค์กรรวมถึงข้อมูลที่เกี่ยวข้องถูกนำมาดำเนินการและเก็บรักษาอยู่บนระบบไอซีทีเป็นหลัก การมีมาตรการรับมือเกี่ยวกับความปลอดภัยทางข้อมูลก็ทวีความสำคัญขึ้น ซึ่งไม่ใช่ภาระของผู้ดูแลระบบไอซีทีเพียงฝ่ายเดียวอีกต่อไป แต่ระดับผู้บริหารขององค์กรก็ต้องรับผิดชอบแบบเต็มๆ กับความเสียหายที่เกิดขึ้น

เพื่อเป็นมาตรการสำหรับปัญหาดังกล่าวขององค์กร ปัจจุบันเริ่มมีการผลักดันให้เกิดการปฏิบัติขึ้นในองค์กรคือ การสร้างทีมขึ้นเพื่อรับมือกับปัญหาดังกล่าวที่เรียกว่า CSIRTซึ่งย่อมาจาก Computer Security Incident Response Team ภายใต้การดูแลของผู้บริหารที่เกี่ยวข้องอย่าง CIO (ในองค์กรขนาดใหญ่อาจเป็นทีมเฉพาะที่มีภารกิจดูแลทางด้านนี้อย่างเดียว แต่สำหรับองค์กรขนาดกลางหรือเล็ก อาจใช้คนในองค์กรที่ปฏิบัติภารกิจอื่นอยู่แล้วแต่เพิ่มภารกิจทางนี้เข้าไปด้วย)

ภารกิจของทีมนี้ไม่ได้จำกัดแค่วางแผนและดำเนินการเพื่อ“ป้องกันเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลไว้ล่วงหน้า”เท่านั้น เช่น การลงซอฟต์แวร์แอนตี้ไวรัสเพื่อตรวจจับไวรัส หรือการติดตั้งอุปกรณ์ไฟร์วอลล์ไว้ในระบบ เพื่อป้องกันไม่ให้เกิดการเข้าระบบอย่างไม่ถูกต้องแต่ภารกิจของ CSIRT จะรวมไปถึง“การรับมือขณะเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูล”เพื่อจำกัดขอบเขตความเสียหายขณะเกิดเหตุให้น้อยที่สุดเป็นต้นตลอดจน“การรับมือหลังเกิดเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูล”เช่น การทำให้ระบบกลับมาทำงานตามปกติ การสืบหาต้นเหตุ รวมถึงการหามาตรการเพื่อป้องกันไม่ให้เกิดซ้ำ ต่างๆ เป็นต้น

โดยทั่วไปคำว่า incident ในกรณีของความปลอดภัยทางข้อมูลจะไม่ได้มีความหมายเพียงแค่เหตุการณ์ซึ่งสร้างความเสียหายจริงโดยทำให้การทำงานหรือการใช้งานระบบไอทีตามปกติหยุดชะงักไป ไม่ว่าจะเป็นจากมัลแวร์หรือจากการโจมตีเพื่อขัดขวางการให้บริการ แต่จะรวมถึงสิ่งที่สามารถนำไปสู่เหตุการณ์ที่จะสร้างความเสียหายดังกล่าวได้เช่นการค้นหาจุดอ่อนของระบบต่างๆ (scan)

ซึ่งตัวอย่างของ incident ที่เรารู้จักกันก็เช่น การติดไวรัสคอมพิวเตอร์ DDoSการบุกรุกเข้าในระบบ การส่งอีเมล์โดยปลอมแปลงข้อมูลผู้ส่ง(forged) การส่งสแปมเมล์ หรือแม้แต่หมายถึง การโจมตีแบบ APT หรือ Advanced Persistent Threat ที่มุ่งเป้าหมายไปยังหน่วยงานหรือบุคคลใดโดยเฉพาะเจาะจงโดยมีการใช้เทคนิคขั้นสูงอย่างต่อเนื่องและสม่ำเสมอ และการโจมตีก็จะใช้วิธีหลายชนิดรวมกัน

หน่วยงาน CSIRT ในองค์กรมีหน้าที่ในการดำเนินการที่เกี่ยวข้องกับ incident อย่างครอบคลุมทั้งป้องกันไว้ล่วงหน้า รับมือขณะเกิดเหตุการณ์ตลอดจนหลังเกิดเหตุการณ์ โดยอาจจะเรียกชุดของการดำเนินการโดยรวมทั้งหมดนี้ว่า การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยทางข้อมูลหรือIncident Management ดังแสดงตัวอย่างในรูป

โดยถ้าจะดูลงไปในรายละเอียด เราอาจจะแยกแบบง่ายๆ ต่อไปอีกว่า ขั้นตอนของการการรับมือขณะเกิดเหตุการณ์ และหลังเกิดเหตุการณ์อาจจะรวมเรียกว่า incident handling ซึ่งจะแบ่งเป็นขั้นตอนย่อยๆ ลงไปอีกสามหรือสี่ขั้นตอนเริ่มตั้งแต่สามารถตรวจจับหรือได้รับแจ้งจากแหล่งต่างๆ โดยจะมีขั้นตอนหนึ่งในการที่เราจะดำเนินการจัดการกับเหตุการณ์นั้นจริงๆ ซึ่งจะเรียกว่า incident response (อย่างไรก็ดี ในการแบ่งขั้นตอนต่างๆ เหล่านี้ของแต่ละ CSIRT ก็อาจแตกต่างกันไปได้)

โดยเฉพาะอย่างยิ่งในขั้นของ “การป้องกันเหตุการณ์ที่เกี่ยวกับความปลอดภัยทางข้อมูลไว้ล่วงหน้า” ซึ่งเป็นหนึ่งในจุดสำคัญที่เราสามารถเตรียมตัวได้ตั้งแต่ยังไม่เกิดเหตุการณ์ ปกติเราก็จะนึกถึงการดำเนินการจำพวกที่ถูกเรียกกันว่า “มาตรการทางความปลอดภัย” เป็นส่วนใหญ่ เช่นการลงโปรแกรมตรวจจับไวรัส หรือไฟร์วอลล์เป็นต้น

แต่จริงๆ แล้วสิ่งสำคัญที่สุดที่ทางทีม CSIRT ขององค์กรเราต้องคำนึงถึงคือ การรวบรวมข้อมูลที่เกี่ยวกับ incident ประเภทต่างๆ จากหลากหลายแหล่งข้อมูล ไม่ใช่เฉพาะในองค์กร แต่รวมถึงหน่วยงานภายนอกที่เกี่ยวข้องอย่างเช่น หน่วยงาน CERT หรืออื่นๆ ซึ่งหมายความว่าทีมขององค์กรต้องมีการทำงานหรือสายสัมพันธ์กับองค์กรหรือหน่วยงานหลากหลายเพื่อให้เข้าถึงข้อมูลเหล่านี้ได้อย่างทันต่อสถานการณ์ปัจจุบันและอย่างต่อเนื่อง

หลังจากได้ข้อมูลที่เกี่ยวข้องจำนวนมากมาก็ทำการเลือกเอาสิ่งที่เกี่ยวข้องกับระบบขององค์กรเราเอง และทำการวิเคราะห์ความเสี่ยงในการที่ incident เหล่านั้นจะเกิดขึ้นกับระบบขององค์กรเราได้ไหม เช่นการใช้ซอฟต์แวร์เวอร์ชั่นเก่าที่ไม่ได้รับการอุดช่องโหว่ในการถูกโจมตี หรือยังมีการตั้งค่า firewall policy ที่อนุญาตให้เกิดช่องการโจมตีขึ้นเป็นต้น เมื่อทราบแล้ว ก็ออกมาตรการที่เกี่ยวข้องเพื่อป้องกันไม่ให้incident เกิดขึ้น เช่น ลง patch หรือเปลี่ยนค่าต่างๆ เป็นต้น

อย่างไรก็ตาม ควรเข้าใจความจริงที่ว่า เราไม่สามารถรับประกันที่จะป้องกันไม่ให้incident เกิดขึ้นเลย100%เต็มถึงแม้ว่าเราจะได้เตรียมมาตรการป้องกันล่วงหน้าต่างๆ ดังกล่าวแล้วก็ตาม ดังนั้นเป้าหมายของมาตรการเกี่ยวกับความปลอดภัยทางข้อมูลไม่ควรจะเป็นเพียง“ป้องกันเหตุการณ์ไม่ให้เกิดขึ้น”อย่างเดียวแต่ควรเป็น“ทำให้ความเสียหายเกิดขึ้นน้อยที่สุดเมื่อมีเหตุการณ์เกิดขึ้น” ด้วยเหตุนี้อีกสิ่งหนึ่งที่ทีม CSIRT ควรต้องดำเนินการในขั้นป้องกันก่อนเกิดเหตุการณ์ก็คือข้อมูลที่เกี่ยวข้องกับการจำกัดความเสียหายให้น้อยที่สุดดังกล่าว รวมถึงวิธีที่จะนำระบบกลับมาให้อยู่ในสภาพที่ใช้งานได้ เพื่อให้สามารถจัดการกับincidentได้อย่างราบรื่นและรวดเร็วที่สุดเท่าที่จะเป็นไปได้

เกี่ยวกับเรื่องนี้อีกสิ่งหนึ่งที่เราควรจะได้ดำเนินการคือ การเตรียมอุปกรณ์และทีมงานไว้สำหรับตรวจจับความผิดปกติเมื่อเกิด incident ขึ้น รวมถึงมีการเตรียมคู่มือในการปฏิบัติการรับมือหลังจากที่เราได้ตรวจพบ incident ขึ้น โดยถ้ามีการเรียกผู้ที่เกี่ยวข้องมาทำการซักซ้อมจริง(เหมือนซ้อมดับเพลิงตามอาคารซึ่งต้องปฏิบัติกันทุกปี)ตามคู่มือเพื่อดูว่าสิ่งที่เขียนไว้สามารถปฏิบัติได้จริงหรือมีจุดติดขัดไหนต้องแก้ไขก็จะได้ปรับปรุงคู่มือในการปฏิบัติงานรับมือต่อไป

นอกจากนี้ถ้ามีข้อมูลใดที่พนักงานในองค์กรที่ไม่ได้เป็นผู้ที่เกี่ยวข้องกับการดูแลระบบหรือรับมือกับincidentต้องทราบ ก็ควรมีการกระจายข้อมูลให้ทุกคนรับทราบไว้ด้วย ส่วนขั้นต่อไปในการรับมือตั้งแต่เมื่อเกิดเหตุการณ์ขึ้นหรือ incident handling นั้นก็มีความสำคัญอย่างยิ่งซึ่งทางผู้เขียนจะได้หาโอกาสมาเล่าสู่กันฟังต่อไปครับ

A1

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
Banner (320x250 Pixel) EDIT
CEBIT_webbanner_320x250pxl_TH

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com