Security Awareness ที่ควรทำมีอะไรบ้าง

ในบทความนี้ผมจะมาแนะนำเกี่ยวกับ Security Awareness (การตระหนักถึงความปลอดภัย) โดยเฉพาะทางด้าน Cyber Security Awareness ควรนำไปปรับใช้ในหน่วยงานและส่วนตัว การให้ความรู้แก่พนักงานในหน่วยงานเกี่ยวกับความมั่นคงปลอดภัยขององค์กร พนักงานต้องทราบถึงรูปแบบของภัยคุกคามและต้องสามารถตอบสนองกับภัยคุกคามต่างๆได้ด้วย เพราะกระทบกับองค์กรหรือหน่วยงานโดยตรง การอบรมหรือให้ความรู้เกี่ยวกับ Security Awareness จึงสำคัญมากๆ ผมคัดมาให้ 7 ข้อที่ควรให้ความรู้มีดังนี้

1) Security Awareness : Passwords

ในการ Login เข้าระบบหรือ Appication ต่างๆ ควรเลือกใช้รูปแบบ Two-Factor Authentication หรือ Multi-Factor Authentication คือก่อนเข้าระบบได้ ต้องมีการตรวจสอบอย่างน้อย 2 ขั้นตอน เช่น ต้องมีการใส่ username และ password ร่วมกับ OTP(One Time Password) จากมือถือ เป็นต้น ในการตั้ง Password ควรใช้หลักการตั้ง Password ดังนี้คือ

1.1) Password ควรมีความยาวขั้นต่ำ 8 ตัวอักษรขึ้นไป

1.2) Password ไม่ควรมีส่วนประกอบของ ชื่อ , นามสกุล , วันเดือนปีเกิด , เบอร์โทรศัพท์ , เลขบัตรประชาชน ของผู้ใช้หรือคนใกล้ตัว

1.3) Password ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่ , ตัวพิมพ์เล็ก , ตัวเลข และสัญลักษณ์หรือเครื่องหมายพิเศษต่าง ๆด้วย เช่น !@#$%^&*()_+ เป็นต้น

ข้อแนะนำเพิ่มเติมคือไม่ใช้ Password เดีียวกันในการเข้าใข้งานระบบหรือ Application ต่างๆ และควรเปลี่ยนทุก 6 เดือน หรือเมื่อเกิดปัญหาขึ้น และเก็บ Password ไว้ในที่ ที่มีความปลอดภัย ห้ามจดแปะไว้ที่หน้าอุปกรณ์ เช่นหน้าจอคอมพิวเตอร์ เป็นต้น

2) Security Awareness : Data Handling

Data Handling หรือการจัดการข้อมูล ไม่ว่าจะเป็นส่วนบุคคล ของพนักงาน หรือของลูกค้า โดยเฉพาะข้อมูลส่วนบุคคลที่จะต้องดูแลเป็นพิเศษ
(Sensitive Data)จะเกี่ยวข้องกับ PDPA(Personal Data Protection Act,B.E.2562(2019)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยตรงต้องศึกษาข้อกฎหมายให้ดีนะครับ ข้อแนะนำเบื้องต้นมีดังนี้คือ

2.1) การส่งต่อหรือแชร์ข้อมูลที่สำคัญ จะต้องทำการส่งต่อเฉพาะผู้ที่จำเป็นและเกี่ยวข้องหรือได้รับอนุญาตเท่านั้น

2.2) ข้อมูลต้องมีการซ่อนหรือปิดบังไว้อย่างดี ( Encryption )ไม่สามารถเข้าถึงได้ง่าย

ข้อแนะนำเพิ่มเติมในปัจจุบันมีการส่งต่อกันง่ายมาก เช่นผ่านทาง E-Mail , Facebook , Line เป็นต้น ต้องออกกฎระเบียบให้เข้มงวด

ข้อมูลอาจจะรั่วไหล ทำให้เสียหายและผิดกฎหมายได้

3) Security Awareness : Computer Theft

Computer Theft หรือ อาชญากรรมคอมพิวเตอร์ หมายถึง การกระทำผิดทางอาญาในระบบคอมพิวเตอร์ หรือการใช้คอมพิวเตอร์เพื่อกระทำผิดทางอาญา เช่น ทำลาย เปลี่ยนแปลง หรือการขโมยข้อมูลต่าง ๆ เป็นต้น ในปัจจุบันมีอาชญากรรมคอมพิวเตอร์มีเพิ่มมากขึ้น ข้อแนะนำควรทำดังนี้

3.1) เมื่อพบว่าเกิด Computer Theft ขึ้น ให้ทำการแจ้งหรือรายงานความเสียหายแก่เจ้าหน้าที่หรือหน่วยงานที่เกี่ยวข้องทันที และบันทึกเหตุการณ์ที่เกิดขึ้นไว้ด้วย

3.2) ต้องมีการติดตั้ง security tools ไว้ในเครื่อง Computer และอุปกรณ์มือถือ เช่น โปรแกรมแอนตี้ไวรัส เป็นต้น โดยต้องห้ามปิด หรือ uninstall เด็ดขาด ต้องทำการ Scan และ Update อยู่สม่ำเสมอ

3.3) ห้ามนำ Computer ไปใช้ภายนอกหน่วยงาน

3.4) ห้ามเปิดการใช้งาน Remote Desktop หรือติดตั้งโปรแกรมที่เกี่ยวกับการ Remote Desktop เช่น Teamviewer เป็นต้น ถ้ามีความจำเป็นต้องใช้ เมื่อใช้เสร็จแล้วควรปิดหรือ uninstall ออกทันที

4) Security Awareness : Phishing และ Ransomware

Phishing และ Ransomware เป็นเรื่องที่ต้องให้ความรู้อย่างเร่งด่วน เพราะหลายองค์กรเป็นเหยี่อโดนหลอกลวงให้คลิก link ทำให้ติดไวรัสเรียกค่าไถ่ ที่เราเรียกกันว่า Ransomware โดยทำการเข้ารหัสหรือล็อกไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใด ๆ ได้เลย ต้องทำการจ่ายเงินก่อน จึงจะเปิดไฟล์ได้ ข้อแนะนำมีดังนี้ครับ

4.1) เมื่อพบ E-Mail น่าสงสัย หรือ E-Mail หลอกลวง ต้องรีบแจ้งเตือนทุกคน เพื่อป้องกันการคลิก link หรือกรอกข้อมูลลงไป

ดังตัวอย่างภาพด้านล่างให้ สังเกตุ E-Mail ของผู้ส่งนะครับ ไม่ตรงกับ Domain ของบริษัทที่ส่งมา มีทั้ง GMM และ ช่อง 7 เลยทีเดียว
ก่อนนี้จะเป็นมาจาก ธนาคารและสถาบันการเงินเยอะครับ

4.2) ต้องทำการ Backup ข้อมูลของเราอยู่สม่ำเสมอ

4.3) ต้องมีการติดตั้งโปรแกรมแอนตี้ไวรัส ทำการ Scan และ Update อยู่สม่ำเสมอ

5) Security Awareness : Removable Media

Removable Media คืออุปกรณ์ที่ถอดได้, เอาออกได้,เคลื่อนย้ายได้นั่นเอง ได้แก่ แฟลชไดรว์ (Flash Drive), ฟล็อปปี้ดิสก์ (Floppy Disk), การ์ดรีดเดอร์ (Card Reader) , ไดรฟ์ซีดี/ดีวีดี (CD/DVD Drive) เป็นต้น โดยเฉพาะตัวแฟลชไดรว์ (Flash Drive) เป็นที่นิยมมาก และเป็นความเสี่ยงในการนำไวรัสเข้ามาในองค์กรของเรา ข้อแนะนำคือ

5.1) ต้องใช้Removable Media โดยเฉพาะ แฟลชไดรว์ (Flash Drive) จากแหล่งที่น่าเชื่อถือเท่านั้น

กรณีพบแฟลชไดรว์ (Flash Drive) ตกอยู่ที่พื้น ห้ามนำมาเสียบเข้าในระบบเด็ดขาด

6) Security Awareness : Vishing

Vishing คือ การหลอกลวงด้วยเสียง โดยอาจจะผ่านทาง Internet (Voice over IP) หรือระบบโทรศัพท์พื้นฐานปกติก็ได้ เช่น หลอกลวงว่าโทรมาจากธนาคารเพื่อให้เหยื่อแจ้งข้อมูลที่ต้องการ เป็นต้น ข้อแนะนำมีดังนี้

ุ6.1) ไม่แจ้งข้อมูลส่วนบุคคล หรือข้อมูลของพนักงาน หรือของบริษัทกับบุคคลอื่นที่ไม่เกี่ยวข้อง ,บุคคลที่ไม่ใช่ครอบครัว หรือแหล่งที่ไม่น่าเชื่อถือ

6.2) ให้แจ้งหรือรายงาน เมื่อพบว่ามีเบอร์โทรศัพท์ หรือข้อความเสียงน่าสงสัยแก่เจ้าหน้าที่ที่เกี่ยวข้อง และพนักงานคนอื่นๆด้วย

7) Security Awareness : Internet Downloads

Internet Downloads คือ การ Download โปรแกรมจาก Internet มาติดตั้งเองนั้นไม่ควรทำอย่างยิ่ง เพราะอาจติดไวรัสได้ข้อแนะนำคือ

7.1) ติดตั้งโปรแกรมต่างๆจากจากแหล่งที่น่าเชื่อถือเท่านั้น

นอกจากทัั้ง 7 ข้อที่แนะนำยังมีเรื่องที่ควรรู้เกี่ยวกับ Cyber Security Awareness อีกมากครับ

หวังว่าบทความนี้คงจะก่อให้เกิดประโยชน์ไม่มากก็น้อยสำหรับผู้ที่ทำงานอยู่ในแวดวงไอทีนะครับ

ขอบคุณครับ

-------------------------------------------------------------------------------------------------------

บทความ Network

บทความ Linux

บทความ Certificate