information security management-pongpisit-sed20160422-final
TRANSCRIPT
การจดการความปลอดภยระบบสารสนเทศการจดการความปลอดภยระบบสารสนเทศ
ผชวยศาสตราจารย ดร.พงษพสฐ วฒดษฐโชต
ช ภาควชาการสอสารขอมลและเครอขาย
คณะเทคโนโลยสารสนเทศ
โ โมหาวทยาลยเทคโนโลยพระจอมเกลาพระนครเหนอ (มจพ.)
Email: [email protected], [email protected]
Line ID: pongpisitw
22 เมษายน 2559, สานกยทธศาสตรและประเมนผล - กรงเทพมหานคร1
ประสบการการณ (บางสวน) ศ (ISACA B k k Ch t ) ป ศ 2558 กรรมการสมาคมผตรวจสอบและควบคมระบบสารสนเทศ ภาคพนกรงเทพฯ (ISACA-Bangkok Chapter) ป พ.ศ. 2558
ทปรกษาในการดาเนนการจดทาแผนแมบทเทคโนโลยสารสนเทศและการสอสาร
การรถไฟฟาขนสงมวลชนแหงประเทศไทย- การรถไฟฟาขนสงมวลชนแหงประเทศไทย
- การรถไฟแหงประเทศไทย
- การประปาสวนภมภาค การประปาสวนภมภาค
ทปรกษาจดทาแผน “เศรษฐกจดจทล (Digital Economy)” ศนยเทคโนโลยสารสนเทศและการสอสาร สานกงาน
ปลดกระทรวงคมนาคม
วทยากร ศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงคมนาคม, กระทรวงพาณชย, DSI ฯลฯ
วทยากรบรรยาย Network Security ใหกบเจาหนาทกมพชา ในโครงการของกรมความรวมมอระหวางประเทศ
ทมงานทปรกษากระทรวงพาณชย ป พ.ศ. 2557 ถงปจจบน ดแลในเรองการตรวจสอบระบบความปลอดภยระบบ
สารสนเทศ ระบบเครอขาย การวเคราะหความเสยง การทา Data Center DR-Site และการนามาตรฐานตาง ๆ มาใชงาน
คณะดาเนนการจดทาคณวฒวชาชพ สาขา Network and Security ระยะท 2
ผทรงคณวฒภายนอกศนยเทคโนโลยสารสนเทศ โรงพยาบาลรามาธบด ตงแตป 2556 ถงปจจบน
ทมงานวจยใหกบการไฟฟาฝายผลตแหงประเทศไทย (กฟผ.) เกยวกบการนาโพรโทคอล IEC61850 มาใชใน substation
ดแลและใหปรกษาการนาไปใชของระบบ e-office ใหกบกระทรวงศกษาธการ ป พ.ศ. 2553-2557
2 ทปรกษาในการจดทา ISO27001:2015, ISO22301:2012, ISO/IEC 20000-1:2011, ISO9001:2015
Certificates Certified Information Systems Auditor (CISA)
IRCA ISO 27001:2013 Lead Auditor
Cobit 5 Foundation
CEH: Certified Ethical Hacking
Mile2 C)DFE - Certified Digital Forensics Examiner
Mile2 C)PTE - Certified Penetration Testing Engineer
CCNA Routing and Switching
CCNA Security
Mile2 C)DRE - Certified Disaster Recovery Engineer
Mile2 C)IHE - Certified Incident Handler Engineer
Cisco Academy Instructor
MikroTik Academy Instructor
Mile2 C)VA - Certified Vulnerability Assessor
Cyberoam Certified Network & Security Professional
MikroTik Consultant
MikroTik Certified Network Associate (MTCNA)
(CCNSP)
CompTIA Advanced Security Practitioner (CASP)
MikroTik Certified Wireless Engineer (MTCWE)
MikroTik Certified Routing Engineer (MTCRE)
CompTIA Security+
CompTIA Project+
MikroTik Certified Inter-networking Engineer
(MTCINE)
CompTIA Storage+ Certified Wireless Network Administrator (CWNA)
Information Technology Professional Examination
(ITPE) IT P t (IP)
3
(ITPE): IT Passport (IP)
Outline ความรพนฐาน
สบภยดานความมนคงปลอดภยไซเบอรประจาป พ.ศ. 2557 ททกคนควรร :: Top Ten Cybersecurity Threats for 2014 From ACIS Research LAB; Are You Ready ?Research LAB; Are You Ready ?
A Rising Tide: New Hacks Threaten Public Technologies, Trend Mi A 18 201 Micro, Aug 18, 2015
The Global State of Information Security® Survey 2016, PricewaterhouseCoopers (PwC)
Security Awareness Training ของ The U S Department of Health Security Awareness Training ของ The U.S. Department of Health and Human Services (HHS)
4
ความรพนฐานความรพนฐาน
http://www.club27001.com/2014/01/iso27001-2013-Information-Risk-Assessment.htmlp
http://geraintw.blogspot.com/2012/09/cia-infosec.html
http://slideplayer.com/slide/4954666/
http://www.suggestkeyword.com/dnVsbmVyYWJpbGl0eSB2cyB0aHJlYXQ/
5
CIA triad vs DAD triad
ทรพยสน (Asset) ทมความมนคงปลอดภยนนตองประกอบดวยองคประกอบทงสามอยางครบถวน ไม
วาทรพยสนนนจะเปนสงทจบตองได เชน เครองคอมพวเตอร อปกรณเครอขาย หรอทรพยสนทจบตองไมได เชน ขอมล สารสนเทศ เปนตนจบตองไมได เชน ขอมล สารสนเทศ เปนตน
การปกปองขอมลสารสนเทศ (Information) มคณสมบต
http://geraintw.blogspot.com/2012/09/cia-infosec.html
3 ประการ คอ
Confidential: เขาถงไดเฉพาะผทมสทธ ถาหากขอมลรวไหลแสดงวาขาดคณสมบตในขอนขอมลรวไหลแสดงวาขาดคณสมบตในขอน
Integrity: ปกปองความถกตองสมบรณของสารสนเทศไมใหถกแกไขเปลยนแปลงผดไปจาก
ไ ความเปนจรง เชน การแฮกระบบเพอแกไขขอมล เปนตน
Availability: สรางความเชอมนวาระบบสารสนเทศAvailability: สรางความเชอมนวาระบบสารสนเทศพรอมใชงาน
6http://slideplayer.com/slide/4954666/
ความลบ (Confidentiality)( y)
การรกษาความลบใหกบขอมลเปนองคประกอบสาคญของการรกษาความมนคง
ปลอดภยของสารสนเทศ หลกการสาคญของการรกษาความลบคอ ผทมสทธหรอ
ไดรบอนญาตเทานนทสามารถเขาถงขอมลได ภาคธรกจใหความสาคญกบการญ ญ
รกษาความลบทางธรกจ ประชาชนทวไปกตองการปกปองขอมลสวนตวตามสทธ
ข นพนฐานเชนเดยวกนขนพนฐานเชนเดยวกน
ขาวการละเมดมาตรการปองกนของระบบคอมพวเตอรเขาไปเจาะระบบทงใน
ใ ไประเทศและตางประเทศ แสดงใหเหนวามาตรการทมอยยงมจดออนท ผไม
ประสงคดทมความรบกรกผานชองโหวดงกลาว แรงจงใจของการกระทาการ
ดงกลาวมหลายเหตปจจย เชน ทาเพอเงน เพอสรางชอเสยง การยอมรบในกลม
และทาไปดวยความคกคะนอง ปฏเสธไมไดวาแฮกเกอรทสามารถเจาะทะลระบบฏ
รกษาความปลอดภยของหนวยงานสาคญระดบประเทศ จะกลายเปนฮโรในสายตา
ของแฮกเกอรมอใหมทวโลกของแฮกเกอรมอใหมทวโลก7
ระบบรกษาความมนคงปลอดภยของสารสนเทศทมประสทธภาพ ตองมมาตรการ
ตรวจสอบสทธกอนเขาถง เพอยนยนใหแนใจกอนวาผทรองขอนนมสทธหรอไดรบ
อนญาตใหเขาถงสารสนเทศ หรอระบบงานนนได กลไกพนฐานทคนเคยกนเปนอนญาตใหเขาถงสารสนเทศ หรอระบบงานนนได กลไกพนฐานทคนเคยกนเปน
อยางด คอการใชรหสผาน(Password) ในการพสจนตวตนและสทธทไดรบอนญาต
นอกจากมาตรการตรวจสอบสทธแลวการกาหนดชนความลบเปนระดบตาง ๆ ตาม
ความสาคญชวยใหบรหารจดการมประสทธภาพมากขน
ในบางหนวยงานกาหนดชนความลบของสารสนเทศออกเปน 4 ระดบ ประกอบดวย
ระดบชนความลบสดยอด (Top Secret) ระดบชนความลบ (Secret) ระดบชนขอมลระดบชนความลบสดยอด (Top Secret) ระดบชนความลบ (Secret) ระดบชนขอมล
สาหรบใชภายในองคกร (Internal Use) และระดบชนสารธารณะ (Public) ชน
ช ศ ใ ใ ช ความลบนจะตองมเกณฑพจารณาทชดเจนวาสารสนเทศลกษณะใดอยในชนความลบ
ทกาหนด พรอมทงกาหนดแนวทางการ การระบชนความลบ การจดเกบ และการ
ใ ใสอสารขอมลสารสนเทศในแตละชนความลบอยางชดเจน มาตรการทางเทคนคทใช
ในการปกปองความลบ เชน การเขารหส (Encryption) อาจถกนามาใชเสรมความ
แขงแกรงใหกบมาตรการปกปองสารสนเทศทตองการมาตรการดแลอยางเขมงวด8
ความถกตองสมบรณ (Integrity)ความถกตองสมบรณ (Integrity)
การปกปองสารสนเทศใหมความถกตองสมบรณ (Integrity) เปน
สงสาคญสงผลถงความนาเชอถอของสารสนเทศนน ๆ
ไ ใ ป ทาอยางไรใหขอมลมความถกตองและนาเชอถอเปนสงทผดแล
ระบบตองหาคาตอบและดาเนนการใหเกดขน คาตอบในเชง
หลกการคอระบบตองมกลไกการตรวจสอบสทธหรอการไดรบ
อนญาตใหดาเนนการเปลยนแปลงแกไขหรอกระทาการใด ๆ ตออนญาตใหดาเนนการเปลยนแปลงแกไขหรอกระทาการใด ๆ ตอ
ขอมลนน
9
ยงเทคโนโลยสารสนเทศพฒนากาวหนาไปมากเทาไร มนษยกยงจาเปนตองพงพาเทคโนโลยมากขนตามไปดวย
บตรประชาชนอจฉรยะเปนตวอยางใกลตวเราทชใหเหนวา ประชาชนทกคนไมวาจะ ไ โ โ ส ส ศ ไ ไ ยากดมจนอยางไร กตองเกยวของกบเทคโนโลยสารสนเทศอยางเลยงไมได อยาง
นอยขอมลสวนตวของเรากถกจดเกบในฐานขอมลของรฐบาล ลองนกดวาจะเกดอะไรขนหากชอของนาย ก. ถกลบออกจากบญชทะเบยนราษฎร นนหมายถง นาย ก. ไมมตวตนและไมสามารถใชสทธของประชาชนในการรบบรการรฐได
ไ ส ป ใ ส จะเหนไดวาขอมลนมความสาคญมากเพราะเปนหลกฐานในการพสจนตวตนของเรา หากมองในแงความมนคงปลอดภยของสารสนเทศแลว ขอมลนจาเปนตองไดรบการปกปองดแลความถกตองสมบรณและความนาเชอถอ หากขอมลถกเปลยนแปลงโดยผไมประสงคดยอมสงผลเสยตอเจาของขอมลอยางหลกเลยงไมได
10
ความพรอมใชงาน (Availability)ความพรอมใชงาน (Availability)
การทาใหระบบตอบสนองความตองการของผใชงานทมสทธเขาถงการทาใหระบบตอบสนองความตองการของผใชงานทมสทธเขาถง
ระบบไดเมอตองการ อปสรรคทบ นทอนความพรอมใชงานของ
ไ ระบบคอมพวเตอรจาแนกได 2 แบบ คอ
- การทระบบคอมพวเตอรปฏเสธการใหบรการ (Denial of Service)ฏ ( )
- ระบบคอมพวเตอรทางานดอยประสทธภาพในการทางาน (Loss of data
i bilit )processing capability)
11
ระบบคอมพวเตอรปฏเสธการใหบรการ อาจเกดจากการกระทาของผใชระบบ ผบกรกทม
เจตนาราย หรอเกดจากภยธรรมชาต เชน นาทวม ไฟไหม แผนดนไหวทาใหระบบ
คอมพวเตอรเสยหายกเปนได
องคกรทตระหนกถงภยคกคามดงกลาวอาจเตรยมแผนกคนจากความเสยหาย (Disaster
Recovery Plan) ไวรองรบ Recovery Plan) ไวรองรบ
หนวยงานรฐทใหบรการสารธารณะตางใชระบบคอมพวเตอรควบคมการทางาน เชน
ไฟฟา ประปา โทรศพท เปนตน หากคอมพวเตอรทควบคมระบบเหลานเกดความไฟฟา ประปา โทรศพท เปนตน หากคอมพวเตอรทควบคมระบบเหลานเกดความ
เสยหายไมสามารถใหบรการได ทาใหบรการตาง ๆ หยดชะงกยอมสงผลเสยตอประชาชน
ใ ในวงกวาง
นอกจากนหากไฟฟาดบเปนเวลานาน ระบบตาง ๆ จะเกดความเสยหายอยางใหญหลวง
ตวอยางจรงทเคยเกดขนในตางประเทศ เมอหลายปกอนระบบคอมพวเตอรของศนย
กระจายสนคาเกดความเสยหาย ไมสามารถจายกระแสไฟฟาไปยงคอนเทนเนอรทตดตง
ระบบทาความเยนเปนเวลาหลายวน สงผลใหสนคาในตคอนเทนเนอรดงกลาวเสยหาย
ทงหมด นอกจากนยงทาใหลกคาขอยกเลกสญญาเนองจากไมไววางใจในการบรการ เกด ญญ
ความสญเสยมลคามหาศาล12
ถงตรงนหลายทานคงสงสยวาแลวจะตองปองกน Confidentiality,
Integrity เขมงวดแคไหน ขอมลกมมากมายหลายประเภท ตองปองกนIntegrity เขมงวดแคไหน ขอมลกมมากมายหลายประเภท ตองปองกน
อยางเขมขนเทากนหมดทกขอมลยงเปลา ???
การปกปองขอมล (Information) จะเขมงวดมากหรอนอย ขนอยกบ การปกปองขอมล (Information) จะเขมงวดมากหรอนอย ขนอยกบ
"ความเสยง (Risk)"
หลกการคอ ขอมลใดทเสยงสงยอมตองมมาตรการปกปองเขมงวดกวา
ขอมลทมความเสยงตา ตวอยางเชน ขอมล & d ขอมลทมความเสยงตา ตวอยางเชน ขอมล username & password
สาหรบเขาสระบบสารสนเทศขององคกร ตองมมาตรการปกปองท
เขมงวดไมนอยกวาขอมลทวไปทประกาศในเวบไซตองคกร เปนตน
13
ความสมพนธของความม นคงปลอดภยและการโจมต
Ref: http://www.infocean.com/index.php
Threat หมายถง “สงทอาจจะกอใหเกดความเสยหายตอคณสมบตองขอมลดานใดดานหนงหรอมากกวา”คณสมบตองขอมลดานใดดานหนงหรอมากกวา
Vulnerability หมายถง “สภาพหรอสภาวะทเปนขอบกพรองหรอไมสมบรณ และหากถกใชใหเปนประโยชน โดยภยคกคามกอาจทาใหทรพยสนสารสนเทศขององคกรไดรบความเสยหายได” หรอ “ชองโหวนนเอง”
โ Impact หมายถง ผลกระทบทเกดขนหลงจากการถกโจมต
Ref: http://gaelrisk.com/Gael-Risk/media/Gael-Risk-Content-Images/risk-identification-vulnerabilities.jpg
14
ผลกระทบทอาจเกดขนหลงจากการถกโจมตผลกระทบทอาจเกดขนหลงจากการถกโจมต ไวรสใชประโยชนจากการไมไดตดตงโปรแกรมปองกนไวรสและทา
ใหขอมลสาคญขององคกรเกดความเสยหาย
โ ขอมลสาคญถกขโมยซงเกดจากการขาดการรกษาความปลอดภย
ทางกายภาพและทาใหองคกรสญเสยขอไดเปรยบดานการแขงขน ทางกายภาพและทาใหองคกรสญเสยขอไดเปรยบดานการแขงขน
หนาเวบไซตถกเปลยนแปลงซงเกดจากการใชรหสผานทส น
เกนไปและทาใหองคกรเสยชอเสยง
สญเสยรายได
สญเสยชวตและทรพยสน
อน ๆ อน ๆ16
Making the internet a safer place, Published: 13/01/2014 at 01:38 PMhttp://www.bangkokpost.com/print/389343/
18
Q2 2015
https://securelist.com/analysis/quarterly-malware-reports/71610/it-threat-evolution-q2-2015/
20
p q
หนวยงานของทานมความพรอมรบมอกบ
ภยความมนคงปลอดภยในรปแบบตาง ๆ หรอยง ?ภยความมนคงปลอดภยในรปแบบตาง ๆ หรอยง ?
ถงเวลาทตองเตรยมพรอม!!!ถงเวลาทตองเตรยมพรอม!!!
21
ภยคกคามบนคอมพวเตอร (Th t )ภยคกคามบนคอมพวเตอร (Threats)
Ref: http://it.toolbox.com/blogs/data-protection/hipaa-security-risk-analysis-tips-whats-a-threat-5073522
ภยคกคามภยคกคาม
โ
รปแบบภยคกคามทางคอมพวเตอร มาโทรจน (Trojan horse)
สปายแวร (Spyware)
Phishing
Sniffing
Hacking
Flash Player Flash Player
ภยคกคามบนมอถอและแทบเลต
ป ไ แคการถายรปบน smart phone กสามารถนาภยอนตรายมาสตวเราได
ภยคกคามทมาจากการเปด Location service บนSmartphone
24
มาโทรจน (Trojan horse)
Ref: http://www.imdb.com/title/tt0332452/
Ref http://drtwanalsparksforum.org/the-trojan-horse/
Ref https://pagdavidson.wordpress.com/2015/02/04/a-brief-history-of-tax-part-3-the-trojan-horse-2/
25
มาโทรจน (Trojan horse)
คอ โปรแกรมชนดหนงทดเหมอนมประโยชน แตแททจรงคอ โปรแกรมชนดหนงทดเหมอนมประโยชน แตแททจรง
กอใหเกดความเสยหายเมอรนโปรแกรม หรอตดตงบน
คอมพวเตอร ผทไดรบไฟลโทรจนมกถกหลอกลวงใหเปด
ไฟลดงกลาว โดยหลงคดวาเปนซอฟตแวรถกกฎหมาย
Ref: https://upload.wikimedia.org/wikipedia/commons/thumb/c/c6/Botnet.svg/1280px-Botnet.svg.png26
สปายแวร (Spyware)สปายแวร (Spyware)คอ มลแวรชนดหนงทตดตงบนเครองคอมพวเตอรแลวทาใหลวงรขอมล
ของผใชงานไดโดยเจาของเครองไมรตว สามารถเฝาดการใชงานและ
รวบรวมขอมลสวนตวของผใชได เชน นสยการทองเนต และเวบไซตทเขารวบรวมขอมลสวนตวของผใชได เชน นสยการทองเนต และเวบไซตทเขา
ชม ทงยงสามารถเปลยนคาทต งไวของคอมพวเตอร สงผลใหความเรวใน
การเชอมตออนเทอรเนตชาลง เปนตน สปายแวรทมชอคนเคยกนดคอ
โปรแกรม Keyloggerโปรแกรม Keylogger
Ref : http://josnys.classy.be/spyware/spyware.gif27
Phishingป ป ใ เปนคาพองเสยงกบ “fishing” หรอการตกปลาเพอใหเหยอมาตดเบด คอ กลลวงชนด
หนงในโลกไซเบอรดวยการสงขอมลผานอเมลหรอเมสเซนเจอร หลอกใหเหยอหลงเชอ
วาเปนสถาบนการเงนหรอองคกรนาเชอถอ แลวทาลงคลอใหเหยอคลก เพอหวงจะได
ขอมลสาคญ เชน username/password, เลขทบญชธนาคาร, เลขทบตรเครดต ญ ญ
Ref : http://www.how-to-draw-funny-
cartoons.com/image-files/cartoon-fishing-
009.jpg
Ref : http://www.kasikornbank.com/TH/Phishing_Website_Report/PublishingImages/Phishing18-9-2012.jpg 28
Sniffing
เปนการดกขอมลทสงจากคอมพวเตอรเครองหนงไปยงอกเครอง
ใ โ หนงบนเครอขายในองคกร (LAN) เปนวธการหนงทนกโจมตระบบ
นยมใชดกขอมลเพอแกะรหสผานบนเครอขายไรสาย (Wireless นยมใชดกขอมลเพอแกะรหสผานบนเครอขายไรสาย (Wireless
LAN) และดกขอมล User/Password ของผอนทไมไดผานการ
เขารหส
http://www.blacksheepnetworks.com/security/info/misc/netdesign/security3.html http://www.vpngate.net/en/about_overview.aspx
29
Hackingเปนการเจาะระบบเครอขายคอมพวเตอร ไมวาจะกระทาดวยมนษย
โป ป ไ ใ โ หรอ อาศยโปรแกรมแฮกหลากรปแบบ ทหาไดงายในโลกอนเทอรเนต
แถมยงใชงานไดงาย ไมตองเปนผเชยวชาญในคอมพวเตอรกสามารถแถมยงใชงานไดงาย ไมตองเปนผเชยวชาญในคอมพวเตอรกสามารถ
เจาะระบบได
30
ใ ภยคกคามทมาจากการใช Flash Player
7 ไ ประกาศ เมอวนท 7 กรกฎาคม ไดมประกาศถงชองโหวใหมของ Flash Player โดยชองโหวนถก
พบโดย Hacking Team โดยผลกระทบของ
ชองโหวนทาใหผไมประสงคด สามารถสงงาน
Windows จากระยะไกลได โดยผเคราะหราย
แคเขาwebsite เทานนแคเขาwebsite เทานน
31
ภยคกคามบนมอถอและแทบเลตภยคกคามบนมอถอและแทบเลต Apple IOS Apple IOS
การ jailbreck เปนการเปดชอง
ใหเกดความเสยงเพมขน
Andriod
การ Root และการตดตงแอปพลเคชน
โดยไมทราบแหลงทมา
32
Apple IOS Masque Attack เปนชองโหวทชวยใหแฮคเกอรสามารถตดตง
มลแวรในรปของแอปพลเคชนปลอมไดเมอสถานการณเปนใจ
ผลกระทบผลกระทบ
มลแวรจะปลอมตวเองในรปของแอป Gmail เพอขโมยชอผใชและ
รหสผานของอเมล อเมลทงหมดจะถกอพโหลดขนเซฟเวอรของแฮคเกอร
โดยทเหยอไมรตวโดยทเหยอไมรตว
ขโมยดขอความ SMS ของเหยอ
ผลกระทบทรนแรงทสด คอ อเมลและ SMS เปนชองทางหลกทใช Reset
Password/PIN และอาจรวมไปถง Internet BankingPassword/PIN และอาจรวมไปถง Internet Banking33
AndroidAndroid Simplelocker มาในรปของแอปพลเคชนสาหรบดหนงโป เมอตดตง
ไ แอปดงกลาว มนจะทาการคนหาไฟลของเหยอบน SD Card เชน
รปภาพ, เอกสาร, วดโอ , ,
ผลกระทบ ไฟลในเครองจะโดนเขารหสขอมล แลวแสดงขอความเรยกคา
ไถบนหนาจอไถบนหนาจอ
Ref : http://cdn.slashgear.com/wp-content/uploads/2014/06/simplelocker.a-infographic-623x420.jpg35
มอถอหรอแทบเลตจะตดไวรสจากคอมพวเตอรไดหรอไม?
ไวรสในคอมพวเตอรกบมอถอหรอแทบเลตนนสรางมาดวยโครงสราง
การเขยนโปรแกรมคนละแบบกน ซงจะทางานไดเฉพาะบนระบบใด
ใ ระบบหนงเทานน แมแตบน iOS กบ Android กยงใชวธเขยน
โปรแกรมทแตกตางกนโปรแกรมทแตกตางกน
แตถงแมวาไวรสจะทางานบนระบบอนไมไดกใชวาจะตดไวรสไมได
ถาเชอมตออปกรณกบคอมพวเตอร เครองจะมองอปกรณเปนเสมอน
ฟ ไ ฝ ใ ฝ ไ ปป ไปไ ใแฟลชไดรว ถาฝายใด ฝายหนงมไวรสกอาจจะกอปปตวเองไปไวใน
เครองของอกฝายเครองของอกฝาย
36
แคการถายรปบน smart phone กสามารถนาภยอนตราย
ไ มาส ตวเราได ปจจบน โทรศพทมอถอสมารทโฟน หรอแมกระทงแทบเลต ม
ความสะดวกในการถายภาพแลวแชรบน Social Network ซง
สามารถระบตาแหนงพกดทอยของเราได อยางเวลาเราไป
เทยวในสถานทตางๆ หรอแมแตแชรภาพบน Instagram กยงม
คณสมบต Photo Map โดยเชอมโยงคณสมบตของสมารทคณสมบต Photo Map โดยเชอมโยงคณสมบตของสมารท
โฟน แทบเลต ในการระบตาแหนงพกดทเราอย ซงใชการ
GPS (Gl b l P iti iอางองละตจด ลองตจดจาก GPS (Global Positioning
System) ซงเชอมโยงกบดาวเทยมเพอระบตาแหนงพกด โดย
ใชสญญาณการรบสงขอมลจากมอถอทรองรบ GPS และ
AGPS เพอระบตาแหนงและมการฝงแทกของตาแหนงพกดลง
ไปบนภาพถาย แตรหรอไมวา เพยงแคคณถายภาพ กอาจถก
สะกดรอยตาม หรอจบผด จากภาพถาย ดวยเทคโนโลย สะกดรอยตาม หรอจบผด จากภาพถาย ดวยเทคโนโลย
Geotagging37
ภยคกคามทมาจากการเปด Location service บน Smartphone p
ทกครงทมการเปดใชงาน Location service บน
Smartphone ระบบปฏบตการตางๆไมวาจะ
เปน Android หรอ iOS(Apple) จะมการแอบเปน Android หรอ iOS(Apple) จะมการแอบ
เกบขอมลทอยของSmartphoneเปนระยะๆ ซง
ไ ไ ไ ถามผไมประสงคดไดขอมลนไป ผนนจะลวงร
ถงทอยของผใช Smartphone นนๆ ในแตละวนถงทอยของผใช Smartphone นนๆ ในแตละวน
ได
38
สบภยดานความม นคงปลอดภยไซเบอรประจาป พ.ศ . 2557 ททกคนควรร ::
Top Ten Cybersecurity Threats for 2014 From ACIS Research LAB; Are You Top Ten Cybersecurity Threats for 2014 From ACIS Research LAB; Are You
Ready ?
http://www.acisonline.net/?p=4002
39
“ The Nexus of Forces” ของ Gartner เปนกระแสทมาแรงและกาลงไดรบความสนใจจากทวโลก โดย S-M-C-I ยอมาจาก Social – Mobile – Cloud และ
Information อบตการณการมาบรรจบกน ( Convergence) ของกระแสความนยมการใชเครอขายสงคมออนไลน ( Social Media) เชน Facebook และ Twitter รวมกบการใชสมารทโฟน ตลอดจนความนยมในการดาวนโหลด “Mobile App” ในppการตดตอกนในลกษณะ Social Network เชน LINE หรอ WhatsAppตลอดจนการใชงานระบบ Cloud ในการจดเกบขอมลทงสวนตวและขอมลขององคกร
เชน การใช Free eMail : Hotmail, Gmail รวมถงการใช Cloud – based Application ยอดนยมตางๆ เชน iCloud และ Dropbox เปนตน pp ๆ p
หลายคนไมทราบวาการจดเกบขอมล (data) ในรปแบบสารสนเทศ (Information) ในลกษณะการจดเกบแบบขอมลสวนตว (Personal Data) และการจดเกบขอมลของในลกษณะการจดเกบแบบขอมลสวนตว (Personal Data) และการจดเกบขอมลขององคกร (Corporate Data) นน เราอาจถกละเมดความเปนสวนตว (Privacy) อนเกดจากชองโหวของร บบ Cl d ตลอดจนโปรแกรม iCl d A S i l เกดจากชองโหวของระบบ Cloud ตลอดจนโปรแกรม iCloud App , Social Network App และ Mobile App ตาง ๆ มชองโหวดานความมนคงปลอดภยซง
โ โ ไ ไ สามารถถกโจมตโดยผไมหวงดหรอแฮ กเกอรไดเชนกน40
1. Threats within “ Internet
of Everything” /” Security of
Everything”Ref: http://customerking.it/2015/02/26/ioe-whats-in-it-for-me-said-the-crm/
IoE กคอ ทกสงในชวตประจาวนของเราสวนใหญลวนตอเชอมกบอนเทอรเนต ไมเฉพาะ
คอมพวเตอรหรอ แทบเลต สมารทโฟน อกตอไป แตหมายถงอปกรณไฟฟารอบตว เชน คอมพวเตอรหรอ แทบเลต สมารทโฟน อกตอไป แตหมายถงอปกรณไฟฟารอบตว เชน
Smart TV, Smart Device ตางๆ ทใชเทคโนโลย RFID หรอ NFC
ปไ โ ป ใ จากงานวจยหลายสานก สรปไดวา จานวน IP devices ของโลกจะเพมขนเปนสองเทาใน
อนาคตอนใกลน ปญหาดานความม นคงปลอดภยไซเบอรจะตองตามมาอยาง
ป ใ ป ป ป ไ แนนอน เพราะ อปกรณรอบตวเราในชวตประจาวนกลายเปนอปกรณทตอเชอมออนไลน
ตลอด เวลากบอนเทอรเนต
หมายถงแฮกเกอรจากทวโลกรวมทงผผลตอปกรณ IP devices ดงกลาวสามารถเขาถง
อปกรณในบานเราไดทนท ถาเราปองกนอปกรณไมดพอ หรอ อปกรณมชองโหว กจะทาให
เกดปญหาดานความมนคงปลอดภยตามมาอยางหลกเลยงไมได41
ดงนนเราควรทาความเขาใจและปรบตวเขาสยค “Ubiquitous Computing” เปนยค
ป ใ ใ R l Ti ทอปกรณของใชรอบตวเรามการเชอมตอกบอนเทอรเนตในลกษณะ Real Time
และ Near Real Time
การปดชองโหวอปกรณตาง ๆ เปนเรองสาคญทเราจาเปนตองทา เพราะแฮกเกอร
สามารถเจาะเขาสอปกรณของเราไดตลอดเวลา แนะนาใหลองเขาเวบ
ไซด www.shodanhq.com แลว เราอาจจะพบเครองถายเอกสาร, เครองพมพ,
โทรทศน แมกระทง เครองซกผาหรอตเยน ปรากฏวาเปนอปกรณทกาลง โทรทศน แมกระทง เครองซกผาหรอตเยน ปรากฏวาเปนอปกรณทกาลง
“ONLINE” กบอนเทอรเนต ซงถาตงรหสผานไมด แฮกเกอรกสามารถเขาถง
ป ไ อปกรณไดอยางงายดาย
องคกรควรตรวจสอบความม นคงปลอดภยของระบบดวยการทา
Vulnerability Assessment และ Penetration Testing และ ISO/IEC
27001:2013 Gap Analysis เปนประจาทกป ตลอดจนควรประเมนความ00 0 3 Gap a ys s จ จ ม ม
เสยงระบบทม ความสาคญในองคกรไมใหตกเปนเปานง ในการโจมตของ
แฮกเกอรและผทไม หวงดในอนาคตแฮกเกอรและผทไมหวงดในอนาคต42
2. Threats to Cloud Computing Security
“Cloud” ทาใหเรารสกสะดวก รวดเรว และ รสกถงความมเสถยรภาพ ของระบบ เมอ
ตองการเขาถงเมอใดกสามารถใชงานได เชน Gmail , Dropbox หรอ iCloud
ปญหากคอการรกษาความมนคงปลอดภยของขอมลนน ผใหบรการ iCl d ทาไดด ปญหากคอการรกษาความมนคงปลอดภยของขอมลนน ผใหบรการ iCloud ทาไดด
เพยงพอหรอยง?
คาตอบกคอ ขอมลบน iCloud มโอกาสรวไหล (Data Leak) คอนขางสง ระบบ iCloud
มจดออนในดานการรกษาความลบของขอมล ตลอดจนอาจเกดปรากฎการณ “Cloud ฎ
Outage” ไดตลอดเวลา เนองจากอนเทอรเนตลมหรอระบบของผใหบรการ Cloud ม
ปญหา ปญหา
ดงนนกอนเกบขอมลใน Cloud ตองถามตวเองกอนสองขอ คอ 1. ถาขอมลรวไหล
ไ ไ ไ ออกไป จะเกดความเสยหายตอตวเราและองคกรอยางไร? 2. ถาเราไมสามารถเขาถง
ขอมลไดในเวลาทเราตองการใชจะทาใหเกดความเสย หายตอธรกจและการทางานของ
เราอยางไร? 43
ป Cl d S it ช โ ไป ปญหา Cloud Security มความเชอมโยงไปถงการรกษาความ
เปนสวนตวของขอมล (Data Privacy) ( y)
ซงเราควรอานเงอนไขการใชบรการ และตรวจสอบสญญาในการ
ใชบรการ Cloud Service ตาง ๆ ใหละเอยดรอบคอบกอนการใช
งา ไ คว ก อ ท ควา สาคญไว Cl d งาน และไมควรเกบขอมลทมความสาคญไวบน Cloud
เพราะขอมลดงกลาว มโอกาสรวไหลไดตลอดเวลา (Data Leak เพราะขอมลดงกลาว มโอกาสรวไหลไดตลอดเวลา (Data Leak
All The Time) เมอขอมลรวไหลไปแลว โอกาสทจะปองกนขอมล
ดงกลาวกคงหมดไป สงผลใหเกดปญหาเรองผลกระทบจากการ
เปดเผยขอมลดงกลาว ทาใหเสยภาพลกษณหรอชอเสยงในระดบเปดเผยขอมลดงกลาว ทาใหเสยภาพลกษณหรอชอเสยงในระดบ
บคคลและองคกรได44
3. Mobile Threats/Mobile MalWare
การดาวนโหลด “Mobile App” จากผานทาง App Store และ Google Play
Store นน กลายเปนเรองปกตของผใชสมารทโฟนโดยทวไป Store นน กลายเปนเรองปกตของผใชสมารทโฟนโดยทวไป
ทาใหเหลาแฮกเกอรเหนชองทางใหมในการโจมตผใชโทรศพทสมารทโฟ
นดวย “Mobile MalWare” ผานทางอนเทอรเนต มทง Mobile MalWare ทอย
ใน Store ของทงสองคาย ซงมจานวนไมมากนก เพราะทาง Apple และ ใน Store ของทงสองคาย ซงมจานวนไมมากนก เพราะทาง Apple และ
Google พยายามคดกรองไมใหมโปรแกรม MalWare มาอยใน Store ของตน
ทาใหแฮกเกอรหนไปปลอย Mobile MalWare นอก Store ทาให iOS device
ตางๆทผานการ “J ilb k” อาจถกโจมตโดย M lW ดงกลาวได สาหรบ ตางๆทผานการ “Jailbreak” อาจถกโจมตโดย MalWare ดงกลาวได สาหรบ
Android Platform นนมโอกาสถกโจมตไดงายกวา iOS Platform เนองจาก
ไมตอง Jailbreak กสามารถตดตง MalWare ได45
ดงนน Google จงไดปองกน MalWare ใหกบผใช Android Platform โดย
การตงคาโดยกาหนดมากบระบบปฏบตการ Android ไมให Download
Mobile Application จาก Unknown Sources ดงรป (ในรปมการ check Mobile Application จาก Unknown Sources ดงรป (ในรปมการ check
box หมายความวาอนญาตให Download Mobile Application จาก
ไ ไUnknown Sources ได เปนตวอยางทไม ควรทา)
46
กระแสความนยมเรอง BYOD (Bring Your Own Device) และ กระแสความนยมเรอง BYOD (Bring Your Own Device) และ
BYOC (Bring Your Own Cloud) ทาใหการแพรกระจายของ
Mobile MalWare ในองคกรมอตราการเตบโตทเพมขนเปน
ทวคณจากไลฟสไตลผใชสมารท โฟนและแทบเลตในองคกรททวคณจากไลฟสไตลผใชสมารท โฟนและแทบเลตในองคกรท
เปลยนแปลงไป
ทาใหองคกรควรมนโยบายควบคม BYOD / BYOC และควร
ประกาศใหมการบงคบใชนโยบายอยางชดเจน องคกรควรนา
เทคโนโลยทสามารถปองกนภยจากการดาวนโหลด Mobile เทคโนโลยทสามารถปองกนภยจากการดาวนโหลด Mobile
MalWare มาใชควบคกบกระบวนการดานการรกษาความมนคง
ปลอดภยทไดมาตรฐาน เชน ISO/IEC 27001:2013 เปนตน
47
4. Threats on Social Media/Social Network
ภยจากการใชงาน Social Network และ Social Media สามารถจาแนกตามลกษณะในการ
โจมตเปาหมายไดเปนสองรปแบบใหญๆ ไดแกโจมตเปาหมายไดเปนสองรปแบบใหญๆ ไดแก
4.1 การโจมตเปาหมายจากการหลอกลวงโดยใชเทคนคยอดนยม “ Social Engineering”
เปนการหลอกผใชงานโปรแกม Social Network/Social Media ยอดนยม เชน Facebook เปนการหลอกผใชงานโปรแกม Social Network/Social Media ยอดนยม เชน Facebook
Twitter LINE Instagram หรอ WhatsApp โดยการสง URL Link หลอกใหเหยอกดเขาไปด
จากนนกอาจใชเทคนค Phishing ดกชอผใชและรหสผานของเหยอ หรอ อาจหลอกคยกบเหยอจากนนกอาจใชเทคนค Phishing ดกชอผใชและรหสผานของเหยอ หรอ อาจหลอกคยกบเหยอ
ผานทางชอง Chat แลวหลอกใหเหยอโอนเงน หรอ ดาวนโหลด MalWare เปนตน
ไ ไ โ ใ ใ การแกไขสามารถปองกนไดโดยการใชสตและวจารณญาณในการอานขอมล Post และ Tweet
TL ตาง ๆ ตลอดจนระมดระวงในการรบเพอนใหม (Add New Friend) ตองสงเกตใหดวา Add
มาจากบคคลทเรารจก และ มตวตนหรอไม ปจจบนมการปลอมแปลงเปนบคคลตาง ๆ มากมาย
ใน Facebook สวนใหญจะปลอมเปนคนดง ไมสาวสวยกหนมหลอ มาชวน Chat หลอกให
Click Link ตางๆ ทสงมาผานทางชอง Chat เราควรนา Link ดงกลาวไปตรวจสอบท Web
site www.virustotal.com แลวเลอกไปท scan a URL จากนนนา URL Link ไปตรวจสอบ
Scan เสยกอนทจะ click ไปยง URL Link ดงกลาว48
ตวอยางรายการ ตสบ 23 ธนวาคม 2557
Ref: http://www.rimnam.com/%E0%B8%95%E0%B8%B5%E0%B8%AA%E0%B8%B4%E0%B8%9A/%E0%B8%95%E0%B8%B5%E0%B8%AA%E0%B8%B4%E0%B8%9A23%E0%B8%98%E0%B8%8457.html
สนทนา ร ทน มจฉาชพออนไลน หลายครงหลายคราวทเราเหนขาวคน
โดนมจฉาชพหลอกเงน เราคงเคยคดวาทาไมเขาถงเชอคนงายทาไมถงไดโดนมจฉาชพหลอกเงน เราคงเคยคดวาทาไมเขาถงเชอคนงายทาไมถงได
ซอขนาดนน แขกรบเชญในวนนกเชนกนทเคยคดแบบนน แตแลวเขากลบ
ตองสญเสยเงนมากมายถง 3 แสนกวาบาท โดยทเขาไมเคยไดพบหนาหญง
สาวคนนแมแตครงเดยว คยกนผานโซเชยลมเดยอยางเดยว โดยเธอแอบสาวคนนแมแตครงเดยว คยกนผานโซเชยลมเดยอยางเดยว โดยเธอแอบ
อางใชรปของสาวสวยคนอนมาเปนตวเอง49
ฆาใครซกคนเพยงเพราะ Facebook ? การทเฟซบคออกแบบมาใหบอกเลาความเปนตวคณ
การยดคาพดเลนๆในเฟซบคเปนเรองราวจรงจงการยดคาพดเลนๆในเฟซบคเปนเรองราวจรงจง
การสอสารทไมเขาใจกน
ใครๆ กมเฟซบคได
Ref: http://technolomo.com/2012/03/03/%E0%B8%86%E0%B9%88%E0%B8%B2%E0%B9%83%E0%B8%84%E0%B8%A3%E0%B8%8B%E0%B8%B1%E0%B8%81%E0%B8%84%E0%B8%99%E0%B9%80%E0%B8%9E%E0%B8%B5%E0%B8%A2%E0%B8%87%E0%B9%80%E0%B8%9E%E0%B8%A3%E0%B8%B2%E0%B8%B0-facebook/
52
4.2 การโจมตเปาหมายจากการหลอกลวงใหเชอหรอใหคล อยตามในเชงความคดใน ลกษณะการ
โฆษณาชวนเชอ หรอใหขาวสารทเปนเทจโดยใช Social Network/Social Media เปนเครองมอ (Social
Propaganda)
ในปจจบนมการชมนมทางการเมองเกดขนทวโลก เราคงจะปฏเสธไมไดวา Social Media /Social Network เปน
เครองมอในการเปลยนแปลงทางการเมองในหลายประเทศ เชน ปรากฏการณ Arab Spring ในตางประเทศมการ
ใชงาน Social Network / Social Media กนอยางแพรหลาย กรงเทพฯ เปนเมองหลวงทมการใชงาน Facebook
ป โ ป ไ ใ ป โ ป และ LINE เปนอนดบหนงของโลก (ประเทศไทยมผใช LINE เปนอนดบสองของโลก ประมาณ 20 ลานคน รอง
จากประเทศญป น)
ป ใ ใ ไ ดงนนการเสพขาวสารจงจาเปนตองใชสต และวจารณญาณ อยางมากในการอานและสงตอขาวสารทไดรบมาจาก
Social Network / Social Media ควรมการตรวจสอบขาวสารจากหลากหลายแหลง และไมควรสงตอขอมลขาง
สารทยงไมมการตรวจสอบทมาทไปเสยกอน เพราะอาจทาผด พรบ การกระทาเกยวกบคอมพวเตอรฯ ไดสารทยงไมมการตรวจสอบทมาทไปเสยกอน เพราะอาจทาผด พรบ.การกระทาเกยวกบคอมพวเตอรฯ ได
การตรวจสอบรปภาพท Post กนวารปภาพมทมาทไปอยางไร? ถายเมอไหร? ถายทไหน? สามารถตรวจสอบได
จากสองเวบไซด ไดแกจากสองเวบไซด ไดแก
1. www.google.com/images
2 regex info/exif cgi2. regex.info/exif.cgi
(หมายเหต : บางรปอาจตรวจสอบไมไดเพราะถกสาเนามาอกทหรออาจถกลบพกดทมาในรปแบบ EXIF ออก
จากภาพไปเรยบรอยแลว เชน ภาพท Post ลง Facebook ไดลบพกด Location ทถายภาพออกไปแลวทาใหจากภาพไปเรยบรอยแลว เชน ภาพท Post ลง Facebook ไดลบพกด Location ทถายภาพออกไปแลวทาให
ตรวจสอบพกดไมได)53
5. Reputation Risk : From Hacktivist
Threats to Insider Threats
ปจจบนและในอนาคตการโจมตเปาหมายของผไมหวงดทงจากคน
นอกทนยม เรยกวา กลม Hacktivist เชน กลม Anonymous หรอ
กลม Lulzsec และ จากคนในทเกลอเปนหนอน นยมเรยกวา Insider กลม Lulzsec และ จากคนในทเกลอเปนหนอน นยมเรยกวา Insider
Threat เชน กรณนาย Edward Snowden ทแฉการปฏบตงาน Spy
ของ NSA อนโดงดงไปทวโลก ลวนมเปาหมายในการทาลาย
“ชอเสยง” และ “ความนาเชอถอ” ขององคกร มากกวาการขโมยชอเสยง และ ความนาเชอถอ ขององคกร มากกวาการขโมย
ทรพยสนหรอกอกวนระบบ เหมอนทเคยโจมตมาในอดต เพราะความ
ไ เสยงจากการเสยชอเสยงจดไดวาเปนความเสยงทสงถงสงมาก54
สาหรบองคกร เนองจากชอเสยงและความนาเชอถอไมสามารถสรางได
ในวนเดยว หากแตตองใชระยะเวลาในการสรางชอเสยงกนอยางในวนเดยว หากแตตองใชระยะเวลาในการสรางชอเสยงกนอยาง
ยาวนาน
การโจมตชอเสยงของผบรหารระดบสงขององคกร ยอมสงผลกระทบตอ
ภาพลกษณขององคกรอยางหลกเลยงไมได ภาพลกษณขององคกรอยางหลกเลยงไมได
ดงนนองคกรควรมมาตรการในการปองกน ตลอดจนมการประเมนความ
เสยง Reputation Risk เปนระยะ ๆ เพอทจะสามารถรกษาชอเสยงและ
ภาพลกษณตอสาธารณะ ไมใหเกดเหตการณแฉแบบ NSA หรอเรองภาพลกษณตอสาธารณะ ไมใหเกดเหตการณแฉแบบ NSA หรอเรอง
ฉาวจนผบรหารตองลาออก หรอ ถกฟองรองดาเนนคด ทาใหองคกร
ใ ประสบปญหาความนาเชอถอจนสงผลกระทบตอธรกจในทสด
55
6. Lack of Cybersecurity Education ปญหาใหญดานความมนคงปลอดภยทางไซเบอรจาก
งานวจยโดยหลายสานก พบวาเปนปญหาในเรองของ งานวจยโดยหลายสานก พบวาเปนปญหาในเรองของ
“คน” (People is a weakest link)
การโจมตของเหลาอาชญากรไซเบอรลวนพงเปาไปทการโจมต “คน”
ไมใช โจมต“คอมพวเตอร” โดยโจมตไปทจดออนของคนทมตนเหตมาไมใช โจมต คอมพวเตอร โดยโจมตไปทจดออนของคนทมตนเหตมา
จาก “ความไมร” และ “ความเขาใจผด” ซงปกตมกจะโจมตโดยเทคนค
“Social Engineering” หรอ “Phishing”
ในปจจบนมการหลอกใหผใชสมารทโฟน หรอ ผใชคอมพวเตอรทวไป ในปจจบนมการหลอกใหผใชสมารทโฟน หรอ ผใชคอมพวเตอรทวไป
หลงเขาใจผดดาวนโหลดโปรแกรมไมประสงคด (MalWare) หรอ หลง
เขาไปปอนขอมลชอผใชและรหสผานใหแฮกเกอรโดยไมรตว เนองจาก
เหยอไมไดตระหนกถงภยทางไซเบอรทมการเปลยนแปลงวธการ โจมตเหยอไมไดตระหนกถงภยทางไซเบอรทมการเปลยนแปลงวธการ โจมต
ใหมๆ อยตลอดเวลา56
ดงนนการแกปญหาทตนเหตกคอ การฝกอบรมใหความรกบผใชอปกรณสมารท
โฟนและอปกรณคอมพวเตอรใน องคกร ใหเกดความตระหนกตนรถงภยใกลตวโฟนและอปกรณคอมพวเตอรใน องคกร ใหเกดความตระหนกตนรถงภยใกลตว
ดงกลาว
แตการอบรมโดยวธปกตโดยการจดอบรม Information Security Awareness
Training นนเปนสงทองคกรควรทาอยางนอยปละครงนนยงไมเพยงพอ Training นนเปนสงทองคกรควรทาอยางนอยปละครงนนยงไมเพยงพอ
จาเปนตองใชเทคนคในการอบรมแบบใหมทเรยกวา “Cyber Drill” หรอ “Cyber
Readiness Assessment” ใหผใชอปกรณสมารทโฟนและอปกรณคอมพวเตอร
ในองคกร เกดความคนเคยกบภยไซเบอรอยางสมาเสมอ
ตลอดจนการใชเทคโนโลยเกมส หรอ “Gamification” ในการฝกอบรมบคลากรท
ใ ป ใ ใ ป มหนาทในการรกษาความมนคงปลอดภยใหมทกษะใน เชงปฏบต ( Hands–on
Experience) กบการฝกทเรยกวา “Cyber Range” หรอ “Cybersecurity
Simulation” ทสามารถจาลองสถานการณจรงใหกบผเขารบการฝกฝนในสนาม
จรง ทาใหเกดการพฒนาทกษะทางเทคนคขนสงไดอยางมประสทธภาพจรง ทาใหเกดการพฒนาทกษะทางเทคนคขนสงไดอยางมประสทธภาพ57
จากปญหาวธการฝกอบรมแบบปกตททาอยในทกวนนยงไมสามารถ
ตอบสนองความ ตองการขององคกรทางเทคนคในบางเรองได และยงตอบสนองความ ตองการขององคกรทางเทคนคในบางเรองได และยง
ไมสามารถวดความสามารถทางเทคนคของบคลากรดานการรกษา
ไ ไ ความมนคง ปลอดภยไซเบอรไดดเทาทควร
องคกรจงควรวางแผนสาหรบการฝกอบรมทงแบบเดมทเปนพนฐานองคกรจงควรวางแผนสาหรบการฝกอบรมทงแบบเดมทเปนพนฐาน
และการฝกอบรม แบบใหมไวลวงหนาเพอเปนการปองกนทรพยสน
ใ โ ไ ขององคกรใหปลอดภยจากการ โจมตทางไซเบอรทนบวนจะปองกน
ไดยากขนโดยลาดบ
58
7. Big Data Analytics :
The Privacy Threats
จากกระแส S-M-C-I ของ Gartner ดงทกลาวมาแลวในชวงเรมตนของ
บทความ ทาใหขอมลสวนตวของผใชอปกรณคอมพวเตอรทวโลกถก
เกบอยในระบบ “Public Cloud” ขนาดใหญของผใหบรการเพยงไมกเกบอยในระบบ Public Cloud ขนาดใหญของผใหบรการเพยงไมก
ราย ไดแก Google Apple Microsoft และ Amazon เปนตน
ดงนนผใหบรการสามารถใชเทคโนโลย “Big Data Analytic” ในการ
วเคราะหขอมลสวนตวของเรา เพอวตถประสงคทางดานการโฆษณาวเคราะหขอมลสวนตวของเรา เพอวตถประสงคทางดานการโฆษณา
และการตลาดของผใหบรการ Public Cloud ทเปดใหบรการฟรทวโลก
59
จากการวเคราะหขอมลเชงลกดงกลาว อาจทาใหผใชบรการสญเสยความเปน
ใ ไ ใ ใ ใ ไ สวนตว ทงนบรษทผใหบรการจะมเงอนไขในการใหบรการใหเราไดอานและ
ยอม รบเงอนไขในการใหบรการกอนทเราจะสมครใชบรการ
ดงนนเราควรอานเงอนไขในการใหบรการกอนสมคร แตเรามกจะไมไดอาน
เพราะคอนขางยาวและตวอกษรเลกจนคนทวไปไมไดให ความสนใจหรอใหเพราะคอนขางยาวและตวอกษรเลกจนคนทวไปไมไดให ความสนใจหรอให
ความสาคญ ดงนนเราควรจะศกษาเงอนไขในการใชบรการฟรออนไลนตาง ๆ
ใหชดเจน กอนการใชบรการและใหทาใจในระดบหนงวาขอมลสวนตวของเรา
“อาจ” ถกนาไปวเคราะหเพอผลประโยชนทางการตลาดของผใหบรการ หรอ
อาจถกนาไป “ขาย” เพอประโยชนในการโปรโมทสนคาและบรการตาง ๆ
ไ ใ ไปใ โ ดงนน เราจงไมควรใสขอมลสวนตวลงไปในระบบ Public Cloud โดยเฉพาะ
Social Network ทงหลายใหมากจนเกนไป ทงนเราอาจสญเสยความเปน
สวนตว และเสยเวลากบการรบขอมลโฆษณาขยะตางๆ โดยทเราไมตองการ
ทจะไดรบและทาใหเสยเวลาไปโดยเปลาประโยชนทจะไดรบและทาใหเสยเวลาไปโดยเปลาประโยชน60
8. Windows XP Attacks and SME
Cybersecurity Threats
Mi ft กาลงจะประกาศไม t Wi d XP ในวนท 8 Microsoft กาลงจะประกาศไม support Windows XP ในวนท 8
เมษายน 2014 ปญหา คอ เครองคอมพวเตอรหลายลานเครองทวโลก
สวนใหญยงเปน Windows XP หากบรษท Microsoft ไมออก Patch
แกปญหาชองโหวให Windows XP และองคกรกไม Upgrade ไปเปน แกปญหาชองโหวให Windows XP และองคกรกไม Upgrade ไปเปน
Windows 8 หรอ Windows 9 ในอนาคตกจะทาให Windows XP
กลายเปนเปานงของเหลาอาชญากรคอมพวเตอรในการโจมตอยาง
งายดายงายดาย61
ใ ป ไ ดงนนองคกรควรมแผนการในการบรหารจดการปญหาเรองนไว
ตงแตเนน ๆ ๆ
โดยเฉพาะองคกรทเปน SME หรอองคกรขนาดกลางทไมใหญ
ในระดบ Enterprise จะมปญหาเรองงบประมาณทจากด
ไ ไ ไป หากไมไดยายระบบ IT ไปยง Public Cloud กตองม
งบประมาณจานวนหนงในการดแลปญหาการปดชองโหวใหกบ งบประมาณจานวนหนงในการดแลปญหาการปดชองโหวใหกบ
Windows Platform ทองคกรกยงใชงานอย ถอเปนภยระดบ
องคกรทไมสามารถทจะมองขามไดในอนาคตอนใกลน
62
9. Ransomware Threats
การพฒนาการของ Modern MalWare นนเปนการพฒนาทมความตอเนองและมแนว
Ref: http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-ransomeware
การพฒนาการของ Modern MalWare นนเปนการพฒนาทมความตอเนองและมแนว
ทางการโจมตใหมๆ ออกมาอยตลอด เวลา “การเรยกคาไถทางไซเบอร” ในลกษณะ
โ ใ “Ransomware” โดยมการนาเทคนค Cryptography มาใชควบคกบการทางานของ
MalWare มลกษณะในการโจมตเหยอคลายกบการเรยกคาไถ
กลาวคอ หากเหยอไมโอนเงนไปใหแฮกเกอร โปรแกรม Ransomware ดงกลาวกจะ
เขารหสไฟลขอมลของเหยอใหไมสามารถเปดอานขอมลหรอเอา ขอมลไปใชได ทมาเขารหสไฟลขอมลของเหยอใหไมสามารถเปดอานขอมลหรอเอา ขอมลไปใชได ทมา
ของโปรแกรมนตนตอมาจากประเทศรสเซยทมความเชยวชาญในการเขารหส ขอมล63
โปรแกรมท Ransomware โดงดงมาก ไดแก โปรแกรม “Cryptolocker” ท
ปรากฏตวในป ค.ศ.2013 ทาการเขารหสขอมลของเหยอทใช Windows
Platform ดวย Algorithm การเขารหส RSA 2048 bits เหยอตองชาระเงนPlatform ดวย Algorithm การเขารหส RSA 2048 bits เหยอตองชาระเงน
ดวย eCurrency เชน MoneyPak หรอ Bitcoin เพอทจะถอดรหสขอมลทถก
โปรแกรมเขารหสไว ถาไมโอนภายใน 3 วนกจะเปดไฟลไมไดอกเลย สราง
ความเสยหายใหกบองคกรหลายองคกรทวโลกมาแลวความเสยหายใหกบองคกรหลายองคกรทวโลกมาแลว
การพฒนาของ Ransomware คาดวาจะเขาสโทรศพทสมารทโฟนในอนาคต
อนใกล อาจทาใหเหยอใชโทรศพทไมได หรอ เขาถงขอมลในโทรศพทไมได
จนกวาจะโอนเงนในลกษณะ eMoney/ eCurrency ใหแฮกเกอรเสยกอน จงจนกวาจะโอนเงนในลกษณะ eMoney/ eCurrency ใหแฮกเกอรเสยกอน จง
จะสามารถใชงานได นบเปนภยมดทนากลวอกภยหนงทควรระมดระวง
เอาไว
64
65 http://www.ibtimes.com/hackers-ransom-attack-california-hospital-more-proof-healthcare-cybersecurity-2309720
Doctors at Hollywood Presbyterian Medical Center, in southern California, have been suffering serious computer issues for at least a week, the CEO announced Sunday. Doctors have been unable to di it ll ti t ’ di l d t ff h b digitally access patients’ medical records, staff has been communicating via fax machines and patients have reported long delays in receiving care It’s all the result of a cyberattack carried out delays in receiving care. It s all the result of a cyberattack carried out by unknown hackers who are demanding 9,000 bitcoins (roughly $3.4 million) to restore the system to normal. yhttp://www.ibtimes.com/hackers-ransom-attack-california-hospital-more-proof-healthcare-cybersecurity-2309720
Hollywood Presbyterian Medical Center showed uncommon transparency in saying Wednesday that it paid the 40 bitcoins – or b t $17 000 d d d h it f ll i ti t h t’ l about $17,000 – demanded when it fell victim to what s commonly
called “ransomware.”http://sanfrancisco cbslocal com/2016/02/18/california hospitalhttp://sanfrancisco.cbslocal.com/2016/02/18/california-hospital-ransomware-attack-hackers/
66
67 http://arstechnica.com/security/2016/03/two-more-healthcare-networks-caught-up-in-outbreak-of-hospital-ransomware/
http://www.bbc.com/news/technology-36014810
10. The Rise of National Critical Infrastructure
Attacks in the Age of Cyber Warfare
ภยไซเบอรสดทายทหลายทานอาจรสกวาเปนภยไกลตวเพราะเปนภยความมนคงภยไซเบอรสดทายทหลายทานอาจรสกวาเปนภยไกลตวเพราะเปนภยความมนคงระดบชาตทมผลกระทบตอโครงสรางพนฐานของประเทศ แตแทจรงแลวเปนภยใกลตวมาก ๆ ใกลตวมาก ๆ
ในประเทศไทยหลายทานคงไดสมผสกบประสบการณ “Internet Shutdown” หรอ “Bangkok Shutdown” กนมาบางแลว Bangkok Shutdown กนมาบางแลว
หากระบบ ไฟฟา ประปา หรอ ระบบขนสงมวลชน ถกโจมตโดยแฮกเกอรจะเกดไ ป ไ โ อะไรขนกบประเทศไทย? หรอ ระบบขอมลของรฐบาลถกโจมต เชน ระบบ
ทะเบยนราษฎร ระบบขอมลทะเบยนรถ ระบบเสยภาษผานอนเทอรเนต ระบบใ โ ทางการใหบรการทางการแพทยและสาธารณสข ระบบโทรศพทเคลอนท ระบบ
ควบคมการบน ระบบธนาคาร ระบบสอสารตางๆ ระบบเหลานมความเสยงสงจากโ ไ การโจมตทางไซเบอร เนองจากทกระบบดงกลาวลวนมการตอเชอมกบ
อนเทอรเนต 68
Ref: http://www visualnews com/tag/stuxnet/Ref: http://www.visualnews.com/tag/stuxnet/
Ref: http://www.bbc.co.uk/news/technology-12633240
Ref: http://www.extremetech.com/computing/200898-windows-pcs-vulnerable-to-stuxnet-attack-five-years-after-patches69
ดงนนผ บรหารระดบสงของประเทศและองคกร ควรใหความสาคญอยาง
โ ไ ยงยวดตอความเสยงและผลกระทบจากการโจมตทางไซเบอร ทอาจ
สงผลกระทบในวงกวางกบประชาชน สรางความเสยหายกบระบบ
เศรษฐกจของประเทศ ทงยงสงผลถงความนาเชอถอและชอเสยง
ภาพลกษณของประเทศชาต ภาพลกษณของประเทศชาต
จงควรมการประเมนความเสยงในระดบประเทศ ถงความแขงแกรงตอการถก
โจมต (Cyber Resilience) และความพรอมในการตอบสนองตอการโจมตทางไซ
เบอร (Cybersecurity Readiness and Incident Response) ( y y p )
ตลอดจนการเตรยมแผนสารองฉกเฉนตามกระบวนการ BCM (Business
ไ Continuity Management) ทไดมาตรฐานระดบสากล เชน ISO 22301 BCMS
ลวนเปนสงทผบรหารประเทศและผบรหารระดบสงขององคกร ควรมการ
เตรยมการโดยการพฒนา IT Master Plan หรอ IT Security Master Plan
กอนทความเสยหายจะเกดขนกบองคกรและประเทศชาต ดงทกลาวมาแลวกอนทความเสยหายจะเกดขนกบองคกรและประเทศชาต ดงทกลาวมาแลว70
A Rising Tide: New Hacks Threaten Public Technologies,
ไ โ ป ไ ป เทรนดไมโครเผยรายงานความมนคงปลอดภยไตรมาสท 2 ป 2558 พบภยคกคาม
ใหม ๆ โจมตหนวยงานภาครฐ ระบบสาธารณปโภค และภยคกคามแบบเจาะจง
เปาหมายอยางกวางขวาง
ไตรมาสทสองของป 2558 เตมไปดวยปญหาเรองชองโหวและการโจมตระบบทไตรมาสทสองของป 2558 เตมไปดวยปญหาเรองชองโหวและการโจมตระบบท
ซบซอน อาชญากรไซเบอรใชวธโจมตรปแบบใหมๆ เพอแทรกซมเขาสเครอขาย
และใชเทคโนโลยทมอยซงมกจะถกมองขาม พฒนาการเหลานไดรบการวเคราะหในและใชเทคโนโลยทมอยซงมกจะถกมองขาม พฒนาการเหลานไดรบการวเคราะหใน
รายงานสรปสถานการณความปลอดภยประจา ไตรมาสท 2 ของบรษท เทรนดไมโคร
T O 4704 TS 4704 ไ ใ (TYO: 4704; TSE: 4704) ทไดรบการตพมพเผยแพรภายใตหวขอ “กระแส
ขาขน: การเจาะระบบรปแบบใหมๆ คกคามเทคโนโลยภาครฐ” (“A Rising Tide: New Hacks Threaten Public Technologies”) รายงานดงกลาวระบรายละเอยดเกยวกบววฒนาการของเครองมอและวธการ ทผโจมตใชเพอให
ไดรบผลตอบแทนสงสดจากการลงทนดานอาชญากรรมไซเบอรในแตละครง72
ใประเดนสาคญทระบในรายงานA. การแฮกระบบทอาจสงผลใหระบบสาธารณปโภคหยดชะงก
B อาชญากรไซเบอรททางานคนเดยวจะประสบความสาเรจในการB. อาชญากรไซเบอรททางานคนเดยวจะประสบความสาเรจในการ
ใชมลแวรเรยกคาไถและการโจมต PoS (Point-of-Sale)
C. หนวยงานภาครฐตอสกบอาชญากรรมไซเบอร
โ ใ ปD. การโจมตหนวยงานภาครฐกอใหเกดผลกระทบตอประเทศและ
การเมอง
E. เวบไซตทใหบรการแกประชาชนและอปกรณพกพาถกคกคามใน
ป ใ รปแบบใหม ๆ
73
A.การแฮกระบบทอาจสงผลใหระบบสาธารณปโภคหยดชะงก เครอขายสถานโทรทศน เครองบน ระบบรถยนตอตโนมต และเราเตอรภายในบาน
ส เสยงตอการแพรกระจายของมลแวร รวมถงภยคกคาม และการทางานหยดชะงก
74
B.อาชญากรไซเบอรท ทางานคนเดยวจะประสบความสาเรจในการใชมลแวรS f Sเรยกคาไถและการโจมต PoS (Point-of-Sale )
Fi ht P S แล M l P S ซงถกใชงานโดยแฮกเกอรททางานFighterPoS และ MalumPoS ซงถกใชงานโดยแฮกเกอรททางาน
เพยงคนเดยว เชน “Lordfenix” (ชอของแฮกเกอร) และ “Frapstar” (ชอของแฮกเกอร) รวมถงการโจมตดวยโปรแกรมดกจบขอมลการกดคยบอรด Hawkeye keylogger ทงหมดนแสดงใหเหนขอมลการกดคยบอรด Hawkeye keylogger ทงหมดนแสดงใหเหน
วาแฮกเกอรเพยงคนเดยวกสามารถสรางความวนวายใหกบตลาดไดเปน
อยางมาก
ทาใหแฮกเกอรสามารถขโมยขอมลบตรเครดตของผใชจากระบบ PoSทาใหแฮกเกอรสามารถขโมยขอมลบตรเครดตของผใชจากระบบ PoSได
75
แฮกเกอรใชแนวทางเชงกลยทธมากขน มการปรบปรงรปแบบและเจาะ
กลมเปาหมายอยางเฉพาะเจาะจง เพอปรบปรงอตราการแพรกระจายกลมเปาหมายอยางเฉพาะเจาะจง เพอปรบปรงอตราการแพรกระจาย
ของไวรส
ทงนมการใชวธการโจมตหลายๆ วธเพมมากขน รวมถงการใชชด
เครองมอ Angler Exploit Kit (มลแวรเรยกคาไถแคมเปญใหมทเครองมอ Angler Exploit Kit (มลแวรเรยกคาไถแคมเปญใหมทเพงคนพบไดไมนานน) เพอหาชองโหวแลวแฝงมลแวรเขาไปสาหรบ
โ ใ การเจาะระบบเพมขน 50% และการเตบโต 67% ในสวนของภย
คกคามทเกยวของกบชดเครองมอการเจาะระบบโดยรวม ขณะทมลแวร
เรยกคาไถ CryptoWall ransomware มการเจาะจงเปาหมาย
โ ใ 76
มากขนโดยเกดขนในสหรฐฯ 79%
C.หนวยงานภาครฐตอสกบอาชญากรรมไซเบอร
หนวยงานตารวจสากล (Interpol), ตารวจยโรป (Europol), p ) p )กระทรวงความมนคงแหงมาตภม และหนวยงาน FBI ของสหรฐฯ
ทงหมดนมบทบาทสาคญในการปราบปราบการใชบอตเนตทมมาอยางทงหมดนมบทบาทสาคญในการปราบปราบการใชบอตเนตทมมาอยาง
ยาวนาน
นอกจากน การทรอส อลบรคท (Ross Ulbricht) ผกอตงตลาดมด
Silk R d ถกตดสนวามความผด แสดงใหเหนถงความคลมเครอแลSilk Road ถกตดสนวามความผด แสดงใหเหนถงความคลมเครอและ
อนตรายของมมมดบนอนเทอรเนต หรอ Dark Web
83
D.การโจมตหนวยงานภาครฐกอใหเกดผลกระทบตอประเทศและการเมอง โ ไ ใ ไ หนวยงานภาครฐตระหนกถงผลกระทบของการโจมตทางไซเบอรในชวงไตรมาสทสอง ทเกด
ปญหาขอมลรวไหลอยางกวางขวางบนระบบของหนวยงานสรรพากร (Internal Revenue ใ Service - IRS) ในชวงเดอนพฤษภาคม และระบบของสานกงานบรหารงานบคคล
สหรฐอเมรกา (U.S. Office of Personnel Management - OPM) เมอเดอนมถนายน
ปญหาขอมลรวไหลของ OPM สงผลใหมการเปดเผยขอมลทระบตวบคคลของประชาชนราว
21 ลานคน หนวยงานภาครฐอนๆ ไดรบผลกระทบจากการโจมตแบบเจาะจงเปาหมาย โดย
ใชมลแวรทเปนมาโคร เซรฟเวอรใหมๆ สาหรบการสงการและควบคม (Command and ๆ (
Control - C&C) และการใชงานอยางตอเนองสาหรบชองโหวและ Pawn Storm ใหมๆ
การโจมตหนวยงาน OPM นบเปนเหตการณทนาตกใจ เพราะทาใหเรารวาไมมขอมลสวนตว การโจมตหนวยงาน OPM นบเปนเหตการณทนาตกใจ เพราะทาใหเรารวาไมมขอมลสวนตว
ของใครเลยทจะปลอดภย มลแวรทใชมาโคร การโจมตทางออมผานองคกรอน (island-hopping) และเซรฟเวอร C&C เปนสวนหนงของยทธวธทใชเพอโจรกรรมขอมลจากภาครฐhopping) และเซรฟเวอร C&C เปนสวนหนงของยทธวธทใชเพอโจรกรรมขอมลจากภาครฐ
เมอตรวจสอบสถานการณภยคกคามในชวงไตรมาสท 2 สหรฐฯ มบทบาทสาคญทงในแงของ
ใ โ ไการปรบใชและการถกโจมตดวยลงคอนตราย สแปม เซรฟเวอร C&C และมลแวรเรยกคาไถ
โดยทงหมดนปรากฏใหเหนอยางกวางขวาง85
E.เวบไซตท ใหบรการแกประชาชนและอปกรณพกพาถกคกคามในรปแบบใหม ๆ ขณะทภยคกคามตอซอฟตแวรยงคงมอย ชองโหวในเวบแอพจงมอนตรายไมยงหยอน
ไปกวากน โดยผโจมตจะใชชองโหวทมอย และดงนนจงจาเปนทจะตองตรวจสอบความไปกวากน โดยผโจมตจ ใชชองโหวทมอย แล ดงนนจงจาเปนทจ ตองตรวจสอบความ
ปลอดภยของแอพพลเคชนแบบกาหนดเอง เพอใหแนใจวาชองโหวเหลานนไดถก
กาจดกาจด
88
https://www envisionecommerce com/magentohttps://www.envisionecommerce.com/magento-fix-malicious-javascript-credit-card-hack/
http://securityaffairs.co/wordpress/36252/hacking/magento-flaw-exploited-hackers.html
89https://blog.sucuri.net/2015/04/impacts-of-a-hack-on-a-magento-ecommerce-website.html
Ref: http://www.adslthailand.com/post/trend-micro-เผยไตรมาส-2-2015-พบภยคกคามใหม-ๆ-ตอภาครฐ
http://www.trendmicro.com/vinfo/us/security/research and analysis/threat reports/roundup/a rising tidech-and-analysis/threat-reports/roundup/a-rising-tide-new-hacks-threaten-public-technologies
https://www.techtalkthai.com/trend-micro-report-on-security-and-threat-trend-q2-2015-in-thailand/y q
90
The Global State of Information S it ® S 2016 Security® Survey 2016
Now in its 18th year, The Global State of Information Security® Survey y , y y
2016 – a worldwide survey by CIO, CSO and PwC – observes a
f d t l hift i th b i l d di t t d ’ fundamental shift in the way business leaders are responding to today’s
biggest security challenges.
Recognizing the rising cyber risks, a growing number of boards and
executives are taking action to improve their organization’s security executives are taking action to improve their organization s security
posture. Furthermore, emerging trends and technologies have led
businesses to embrace this risk, and connect security to their overall goals
and objectives of growth, innovation and leadership.
This year’s publication includes the responses of more than 10,000 CEOs,
CFO CIO CISO d CSO ll VP d di t f IT d 92
CFOs, CIOs, CISOs, and CSOs, as well as VPs and directors of IT and
security practices from 127 countries.
K Fi diKey FindingsRisk-Based Frameworks
C SCloud-Based Security
The Internet of Things The Internet of Things
Threat Intelligence Sharingg g
Executive Involvement
93
Risk-Based Frameworks
According to the report the most commonly adopted
“91% have adopted a risk-based cybersecurity framework” (pg. 4).
According to the report, the most commonly adopted frameworks included the National Institute of Standards and Technology (NIST) Cybersecurity Framework as well as the Technology (NIST) Cybersecurity Framework, as well as the ISO 27001 guidelines.
Among the many benefits that these frameworks offer, nearly half of respondents (49 percent) listed the ability to better half of respondents (49 percent) listed the ability to better identify and prioritize security risks, while 47 percent said they have since been better able to quickly detect and they have since been better able to quickly detect and mitigate incidents.
94
Cloud-Based SecurityCloud Based Security“69% use cloud-based cybersecurity services” (pg. 5)
Most organizations are leveraging cloud-based cybersecuritytools for a broad range of critical services, such as real-time g ,monitoring and analytics (56 percent), threat intelligence (47 percent) end-point protection (44 percent) advanced percent), end point protection (44 percent), advanced authentication (55 percent), as well as identity and access management (48 percent)management (48 percent).
Companies are making considerable investments in these cloud-managed services to develop new network infrastructure capabilities, which enabling them to further p , gprotect sensitive data, strengthen privacy and confidently safeguard consumer information
98
safeguard consumer information.
The Internet of ThingsThe Internet of Things
The proliferation of the Internet of Things (IoT) will bring The proliferation of the Internet of Things (IoT) will bring huge advantages to organizations but these interconnected d i l i kl di th tt k fdevices are also quickly expanding the attack surface.
According to the report, the number of survey respondents who reported exploits to IoT components, such as embedded devices, operational systems and consumer technologies, , p y g ,more than doubled this year – from 34 percent in 2014 to 86 percent in 2015percent in 2015.
Despite the significant spike, companies are just starting to gear up for the rapid rise of IoT, with only 36 percent of respondents stating they have a security strategy specifically
99
g y y gy yaddressing the Internet of Things.
Threat Intelligence Sharing Over the past three years, the number of organizations embracing
external collaboration has steadily increased, the report adds. This y , pyear, 65 percent of respondents said they collaborate to improve security and reduce cyber risks – up from 50 percent in 2013.y y p p .
In addition to enhancing their threat intelligence and awareness, these partnerships allow organizations to share and receive more actionable partnerships allow organizations to share and receive more actionable information from industry peers, government agencies, law
f t d I f ti Sh i d A l i C t (ISAC )enforcement and Information Sharing and Analysis Centers (ISACs).
“Some businesses believe they can learn quite a bit from others across industries,” read the report.
“For example, cybersecurity challenges often do not differ by sector p , y y g ybut rather by an entity’s size or constituency—a big bank might have much more in common with a large pharmaceutical company than it
101
g p p ydoes with a regional bank.”
103http://www.infotechlead.com/security/mcafee-threat-intelligence-exchange-solution-announced-20227
Executive InvolvementExecutive Involvement Another significant milestone is the fact that boards of g
directors are beginning to take part in most aspects of information security, with 45 percent of respondents stating y, p p gtheir boards now participate in the overall security strategy.
A lt f thi i d i l t 24 t f As a result of this increased involvement, 24 percent of respondents saw a boost in their security spending, among other benefits, such as fostering an organizational culture of security and better alignment of information security with y g yrisk management and business goals.
104
“Perhaps more than anything, however, Board participation has opened the lines of
Source: PwC, The Global State of Information Security® Survey 2016
communication between the cybersecurity function and top executives and directors,” read the report.
It’s crucial for business leaders to feel confident in their understanding of the cyber challenges unique to their industry and organization – the board’s involvement is a
i i l i h i h l f b i i l i i h i k105
critical step in changing the culture of business to proactively mitigate these risks.
Conclusion The report highlights noteworthy progress towards
organizations’ willingness to invest in security. Now g g ymore than ever, business leaders across the globe are becoming aware of how cybersecurity has strategic becoming aware of how cybersecurity has strategic, cross-functional, legal and financial implications.
“W f h k “We are seeing more of what we once saw as a risk, being turned into possible solutions,” said David Burg PwC’s Global and US Advisory Cybersecurity Leader.
106
“There is no one-size-fits-all model for effective cybersecurity It’s a journey effective cybersecurity. It s a journey toward a future state that starts with fthe right mix of technologies, processes,
and people skills. With those components in place cybersecurity potentially serve in place, cybersecurity potentially serve as an indispensable ongoing business enabler,” said Burg.
107
Ref: Takeaways From The 2016 PwC Global State of Information
Security Survey, Maritza Santillan, Oct 22, 2015, http://www.tripwire.com/state-of-security/risk-based-security-for-executives/connecting-security-to-the-y g ybusiness/takeaways-from-the-2016-pwc-global-state-of-information-security-survey/y y
Th Gl b l St t f I f ti S it ® S 2016 The Global State of Information Security® Survey 2016, http://www.pwc.com/gx/en/issues/cyber-
i /i f i i /d l d h lsecurity/information-security-survey/download.html
108
Security Awareness Training ของ The U.S. Department
of Health and Human Services (HHS)
http://www.hhs.gov/ocio/securityprivacy/awarenesstraining/awarenesstraining.html
109