จุลสารนวัตกรรม ฉบับที่ 76 – สาระน่ารู้ เรื่อง การรักษาความปลอดภัยของข้อมูล และวิธีป้องกันภัยคุกคามทางไซเบอร์บน Google

• Basic Law and Regulation of Cyber Security
        พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ.2560 เน้นคุ้มครองผู้เสียหายที่เกิดจากการกระทำความผิดไปแล้ว บังคับใช้กับประชาชนทั่วไปและองค์กรทั้งภาครัฐและเอกชน กำหนดให้องค์กรที่มีคอมพิวเตอร์และเครือข่ายต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ อย่างน้อย 90 วัน และเพิ่มระยะเวลาการเก็บสำหรับบางระบบที่ทางเจ้าหน้าที่รัฐเห็นควร (สูงสุด 2 ปี)
        พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 เป้าหมายเพื่อความมั่นคงทางไซเบอร์ ในประเทศ รวมถึงดูแลเพื่อให้การใช้งานออนไลน์ปลอดภัย สร้างความเชื่อมั่นทางเศรษฐกิจ สร้างศักยภาพในการป้องกันรับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์โดยเน้นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือ Critical Information Infrastructure: CII ทั้งรัฐและเอกชน มีหน่วยงานรับมือภัยคุกคามไซเบอร์วิเคราะห์ข้อมูล ประเมินสถานการณ์ และเตรียมพร้อมรับมือหรือแก้ไข/หยุดปัญหาให้เร็วที่สุด CII สามารถให้บริการได้อย่างต่อเนื่อง เช่น ISP โทรคมนาคม สาธารณูปโภค (ไฟฟ้า ประปา)
        พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกัน การละเมิดข้อมูลส่วนบุคคล ของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน ช่วยแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคล ที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง

• Phishing and Social Engineering
        Phishing เป็นวิธีการโจมตีที่ใช้วิธีการ หลอกลวง หลอกล่อ หรือปลอมแปลงข้อมูลเพื่อให้เหยื่อหลงกล ผ่านช่องทางต่างๆ เช่น email messages, websites และ phone calls โดยมีจุดประสงค์ในการขโมยข้อมูลทางด้านการเงิน หรือ ข้อมูลสำคัญอื่น ๆ Hackers สามารถทำเรื่องต่างๆ ได้ด้วยการติดตั้ง Malware ลงบนระบบหรือคอมพิวเตอร์ หรือแม้แต่ใช้ทริคหลอกล่อให้เราบอก เปิดเผย หรือขโมยข้อมูลที่พวกเขาต้องการ สามารถแบ่งได้ดังนี้
        1) Social Engineering เทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อ “เปิดเผยข้อมูล” ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลยก็เป็นได้ เป็นศิลปะในการหลอกลวง ล่อหลอกผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูล เพื่อให้ได้ผลประโยชน์ตามที่ Hackers ต้องการโดยอาศัยจุดอ่อน ความรู้เท่าไม่ถึงการณ์ ความไม่รู้ ความประมาท ซึ่งการโจมตีนี้จะได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์
        2) Link Manipulation เป็นวิธีการยอดนิยมของ Hackers โดยใช้วิธีการ ออกแบบ ปลอมแปลงสร้าง Link ตลอดจนหลอกลวงในนาม องค์กร บริษัท หรือแม้แต่บุคคล ซึ่ง Link พวกนี้มักจะออกแบบมาให้เข้าใจผิด โดยใช้ Domain และ Sub Domain ที่ใกล้เคียงของจริงด้วยเทคนิคของ Hackers
        3) Spear phishing คือ Phishing ที่ออกแบบมาโดยใช้ข้อมูลที่เกี่ยวข้องกับเหยื่อโดยตรง เช่น บริษัท ข้อมูลส่วนบุคคล พฤติกรรม ซึ่งอาชญากรอาจจะทำการรวบรวมข้อมูลเหล่านี้มาจากหลายๆ วิธีการเช่น Social engineering การซื้อข้อมูล การดักจับข้อมูล หรือ แม้แต่รวบรวมข้อมูลมาจาก Malware ที่อาจจะแฝงตัวอยู่แล้วในองค์กรโดยที่เหยื่อไม่รู้ตัว
        4) Clone phishing คือ phishing ในรูปแบบเทคนิคที่ทำการคัดลอก (Clone, Copy) Email เดิมที่เคยส่ง/เปิดอ่านแล้วหรือ รูปแบบ Email ที่ผู้ให้บริการต่าง ๆ นิยมส่งเพื่อให้บริการแก่ลูกค้า นำมาเปลี่ยนเป็นข้อมูลที่เป็นอันตราย เช่น เปลี่ยน Attachment Files เปลี่ยน URL Link
        5) Voice phishing หรือบางครั้งถูกเรียกว่า Vishing คือ วิธีการที่ Hackers หรืออาชญากรใช้วิธีการทำ Social Engineering ล่อลวงเหยื่อผ่าน โทรศัพท์ ผ่าน Voice Massage หรือ Call ผ่าน App สนทนาต่าง ๆ เช่น Line, FB, We Chat เพื่อที่จะเข้าถึง ข้อมูลส่วนบุคคล ข้อมูลความลับ ข้อมูลการเงิน หรือแม้แต่ข้อมูลทางธุรกิจ บางครั้ง Hackers ใช้เพื่อรวบรวมข้อมูลเพื่อดำเนินการ Spear Phishing หรือ ใช้ร่วมกับเทคนิคอื่น ๆ
        6) QR Phishing คือ วิธีการที่ Hackers หรืออาชญากรใช้วิธีการสร้าง Bar Code QR Code อันตรายและวางเหยื่อล่อให้เหยื่อหลงกล
        7) Google Search Phishing Hackers บางคนลงทุน ในการจ่าย Ads โฆษณาและโปรโมทอย่างหนักเพื่อเพื่อให้เว็บ Phishing ติด Tops Search หรือแม้แต่บาง Phishing Site ก็ติด Top Search แบบ Organic
แนวทางป้องกันเราจาก Phishing Attacks มีดังนี้
        1) มีสติทุกครั้งในการใช้งาน Email, อ่านข้อความ, ท่องเว็บไซต์ หรือแม้แต่คุยโทรศัพท์กับคนแปลกหน้า ก่อนจะคลิก Link หรือ Download อะไรให้ตรวจสอบก่อน
        2) หากเป็นเรื่องเร่งด่วน อย่าปล่อยให้อารมณ์ครอบงำการตัดสินใจ ให้ใช้เหตุผล และความรอบคอบในการตัดสิน
        3) ถ้ามีความไม่แน่ใจใดๆ เกิดขึ้นก็ตาม ให้โทรหา ตรวจสอบ และพิสูจน์ทันที ว่าคุยกับคนถูกต้องแล้วใช่หรือไม่ หรือยืนยันคำสั่งนั้นๆ ที่คุณไม่แน่ใจ
        4) ตรวจเช็คที่ Address Bar เสมอๆ ไม่ว่าจะเป็น Email Address, URL Address หมั่นสังเกตจุดที่สะกดผิดพลาด
        5) เปิดใช้งาน Multi-Factor Authentication ในทุก App ที่มีให้ใช้เท่าที่เป็นไปได้
        6) จดจำ รูปแบบ สไตล์การเขียนของคู่ค้า (บางครั้ง Email, URL ชื่อ ทุกอย่างเป็นของจริงแต่ Account ถูกยึด)
        7) ตั้งคำถามกลับไป
        8) หลายครั้งที่ Phishing สำเร็จเพราะความโลภ, ความกลัว อะไรที่มันดีเกินไป ดีเกินจริง มันเป็นไปไม่ได้

• Password & Authentication
การตั้ง Password ที่ดี ควรหลีกเลี่ยงการใช้ Common password หรือ Default password หรือ สิ่งที่สามารถคาดเดาได้ง่าย
        1) มีความยาวของ Password อย่างน้อย 8 ตัวอักษร
        2) มีความชับซ้อน เช่น ตัวอักษรเล็ก ตัวอักษรใหญ่ ตัวเลข และอักขระพิเศษ เช่น ! @ $ #
        3) ควรหลีกเลี่ยงการใช้ Common password หรือ Default password หรือ สิ่งที่สามารถคาดเดาได้ง่าย เช่น password, 123456, วันเกิด, หมายเลขโทรศัพท์
        4) มีการเปลี่ยน Password อย่างสม่ำเสมอ
        5) ใช้ Multi Factor Authentication ในกรณีที่สามารถใช้งานได้
        6) ไม่ควรใช้ Password ซ้ำกันในแต่ละระบบ
        7) ไม่ควรบอก Password แก่ผู้อื่น
        8) หลีกเลี่ยงการบันทึก password บน Browser
        9) ควรกำหนดสิทธิ์การเข้าถึงในกรณี Shared drive บน Cloud
        10) กรณีที่มี Account/Password จำนวนมาก สามารถให้ใช้โปรแกรม Password Manager ช่วยเก็บที่มีการ Encrypt เข้ารหัส หรือช่วยเปลี่ยนรหัสทุกครั้งหลังการใช้งานล่าสุด
        11) เปิดใช้งาน Multi-Factor Authentication เป็นวิธีเสริมสร้างความปลอดภัยให้ Account การใช้หลายปัจจัยร่วมกันในการยืนยันตัวตนว่าเป็นเจ้าของบัญชีจริง

• Mobile Device & IOT Security
Mobile Security
        1) Lock หน้าจอ ตั้งค่า Lock หน้าจอเครื่อง เพื่อป้องกันบุคคลอื่นแอบใช้งานโทรศัพท์มือถือ
        2) ไม่ Root/Jailbreak เครื่อง การ Root Jailbreak นอกจากทำให้เครื่องหมดประกันแล้ว โปรแกรมที่ใช้ใน การ Root Jailbreak อาจฝังคำสั่งไม่ประสงค์ดีไว้ด้วยเช่นกัน และทำให้โปรแกรมบางตัวสามารถเข้าถึงไฟล์สำคัญของเครื่องได้
        3) ไม่ลงโปรแกรมที่ไม่ได้มาจาก Google Play Store หรือ Apple AppStore ทาง Google และ Apple มีขั้นตอนในการตรวจสอบโปรแกรมก่อนอนุญาตให้เผยแพร่ใน Store จึงมั่นใจได้ในระดับหนึ่งว่า โปรแกรมเชื่อถือได้
        4) ตรวจสอบ Application ที่จะใช้งานบางครั้งอาจพบ Application ที่ไม่เหมาะสมใน Store ทางที่ดีที่สุด คือ การอ่าน Review ของผู้ใช้งานคนอื่น และดูยอดจำนวนคนติดตั้ง
        5) ปรับปรุง Software ให้ทันสมัย โทรศัพท์หลายรุ่นในปัจจุบัน ผู้ผลิตเริ่มมีการปรับปรุง Software เครื่อง นอกจากให้ทันสมัยขึ้นแล้ว ยังทำการปิดช่องโหว่ของ Software ตัวเดิม
        6) ลง Software ป้องกัน ที่ดี
        7) หมั่นสังเกต การทำงานของโทรศัพท์
        8) รู้ทันกลโกง และ Phishing ไม่คลิก Link อันตราย และรู้ทันกลโกงต่าง ๆ
        9) หมั่นติดตามข่าวสาร ความปลอดภัยทั้งของไทย และต่างประเทศ
IOT Security
        1) เปลี่ยนรหัสโรงงาน เป็นรหัสใหม่ หากอุปกรณ์ I0T สามารถเปลี่ยนรหัสผ่านได้ ต้องทำการเปลี่ยนเป็นรหัสผ่านใหม่ เพื่อป้องกัน Hacker สุ่มตรวจสอบและใช้เป็นฐานการยิง DDoS
        2) เปิด Multi Factor Authentication (ถ้ามี) การเปิดใช้งานระบบพิสูจน์ทราบตัวตนแบบหลายชั้น จะช่วยเพิ่มความปลอดภัยได้ อาจใช้ Digital Certificate และ Biometrics ร่วมด้วย
        3) ปรับปรุง Software ให้ทันสมัย IoT หลายรุ่นในปัจจุบัน ผู้ผลิตเริ่มมีการปรับปรุง Software เครื่อง นอกจากให้ทันสมัยขึ้นแล้ว ยังทำการปิดช่องโหว่ของ Software ตัวเดิม
        4) API Security ในระดับองค์กร อาจมีการนำระบบรักษาความปลอดภัยในระดับ API มาใช้งาน เพื่อรักษาความปลอดภัยอุปกรณ์ IOT (อุปกรณ์ IOT ส่วนใหญ่จะเชื่อมต่อผ่าน API)
WIFI Security
        1) เปลี่ยนรหัสโรงงาน เป็นรหัสใหม่ หลังทำการตั้งค่าเสร็จแล้วให้ทำการตั้งค่ารหัสผ่านใหม่โดยทันที
        2) ปรับปรุง Software ให้ทันสมัย Wireless WIFI หลายรุ่นในปัจจุบัน ผู้ผลิตเริ่มมีการปรับปรุง Software เครื่อง นอกจากให้ทันสมัยขึ้นแล้ว ยังทำการปิดช่องโหว่ของ Software ตัวเดิม
        3) ไม่เปิดฟังก์ชัน WPS เป็นฟังก์ชันที่ทำให้การเชื่อมต่อระหว่างอุปกรณ์อื่นๆกับ Wireless device ทำได้ง่าย แต่ WPS มีช่องโหว่ที่สามารถถูกเจาะได้ง่าย
        4) ตั้งรหัสผ่าน WIFI SSID ด้วยรหัสผ่าน WPA2 ขึ้นไป ในปัจจุบันมีเครื่องมือที่หาได้โดยง่าย สามารถทำการถอดรหัส วิธีการเข้ารหัสแบบ WEP, WPA และลอบเข้าใช้งาน Wireless ได้แล้ว
        5) SSID Name การตั้งชื่อ ควรตั้งเป็นชื่อที่ไม่ได้สื่อให้ทราบได้อย่างชัดเจนว่าเป็น Wireless ของใคร สำหรับการซ่อน SSID นั่น ปัจจุบันไม่ได้ถือว่าเป็นการควบคุมความปลอดภัย เนื่องจาก มีหลาย Tool ยังคงมองเห็น SSID ดังกล่าว