ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

สรุปองค์ความรู้ /แนวปฏิบัติที่ดี

ประเด็น การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สำหรับผู้ดูแลระบบ
จากกิจกรรม/โครงการแลกเปลี่ยนเรียนรู้กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ประจำปี งปม. 2559

เมื่อวันที่ 12 พฤษภาคม พ.ศ.2559 ห้องประชุมชั้น 1 ศูนย์เทคโนโลยีสารสนเทศ

โดย กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ

          ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

         ทั้งนี้ปัญหาด้านความมั่นคงปลอดภัยในการใช้งานอินเทอร์เน็ต ประกอบด้วย 3 องค์ประกอบ คือ

• ด้านเทคโนโลยี ได้แก่ Lack of security features (Firewall, Antivirus), bug, hole, no patch, no standard
• ด้านกระบวนการ ได้แก่ Design for security, Trace, Audit, Sty up-to-date
• ผู้ใช้งาน  ได้แก่ Lack of knowledge, Lack of commitment, Human error

         ภัยคุกคาม 3 ลำดับแรก คือ

• การโจมตีด้วยโปรแกรมไม่พึงประสงค์ (Malicious Code)
• การหลอกลวงออนไลน์ (Fraud)
• การพยายามบุกรุกเข้าไปยังเครื่องคอมพิวเตอร์ของผู้อื่น (Intrusion)

          ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ

          การรักษาความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ  ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

          ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สินขององค์กร หรือสิ่งที่อาจจะก่อให้เกิดเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))

ประเภทของภัยคุกคาม เช่น

• ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยเจตนา
• ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยไม่เจตนา
• ภัยคุกคามที่เกิดจากภัยธรรมชาติ
• ภัยคุกคามที่เกิดจากผู้ใช้ในองค์กรเอง

          ช่องโหว่ (Vulnerabilities) หมายถึงความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศ เช่น การเข้าใช้งานระบบขาดกลไกการตรวจสอบชื่อผู้ใช้งานและรหัสผ่านที่ดี ทำให้ผู้ไม่ประสงค์ดีสามารถเดารหัสผ่านและลักลอบเข้าสู่ระบบได้โดยไม่ได้รับอนุญาต

สิ่งที่ต้องตระหนักถึงในการรักษาความมั่นคงปลอดภัยสารสนเทศ 

• Data Confidentiality   : ข้อมูลถูกเก็บเป็นความลับ  
• Data Integrity          : ข้อมูลมีความถูกต้องและน่าเชื่อถือ
• System Availability   : ระบบมีความเสถียร และทำงานไม่ผิดพลาด

ปัจจัยที่ทำให้เกิดช่องโหว่ในระบบ 

1. การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
2. Software Bugs
3. No Patch
4. ขาดการอัพเดตโปรแกรมป้องกันไวรัส (Antivirus)
5. การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
6. บุคลากรในองค์กร

เป้าหมายสำคัญของการรักษาความปลอดภัยสารสนเทศ 

• Prevention (การป้องกันข้อมูล จากการถูกทำลายหรือถูกเปลี่ยนแปลง)
• Detection   (การตรวจพบเหตุการณ์ที่เกิดขึ้นกับระบบทุกครั้ง)
• Response   (การปรับปรุงแก้ไขยุทธวิธี เพื่อรับการโจมตีต่างๆ

รูปแบบภัยคุกคามความมั่นคงปลอดภัยสารสนเทศ  

• การโจมตี (Attack) คือการกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ โดยมีจุดมุ่งหมายเพื่อเข้าควบคุมการทำงานของระบบทำให้ระบบเกิดความเสียหาย โจรกรรมสารสนเทศ เช่น Malicious Code หรือ Malmare, Virus, Worm, Trojan, Spyware, Backdoor, Rootkit, Denial-of-Service (Dos), Spam
• การดักรับข้อมูล เป็นรูปแบบการโจมตีโดยการตั้งชื่อ Wireless Network หรือที่เรียกว่า SSID ให้มีชื่อเหมือนกับ Network เดิมที่มีอยู่ เช่น ICT Free WiFi แล้วแฮกเกอร์จะสามารถเห็นข้อมูลที่รับส่งกัน 

การป้องกันภัยคุกคาม

• หลีกเลี่ยงการใช้งาน Free WiFi ในพื้นที่สาธารณะ 
• หากจำเป็นต้องใช้งาน Free WiFi ให้ใช้งานเฉพาะจำเป็น ไม่ควรเข้าถึงระบบที่มีความสำคัญ เช่น ระบบ e-Banking ระบบอีเมลล์ 
• พิจารณาการใช้งานระบบที่มีความสำคัญที่มีการเข้ารหัสลับ เช่น เว็บไซต์ที่มีการใช้งาน https 

1. การแอบเดารหัสผ่าน โดยมีหลักการดังนี้

• รหัสผ่านส่วนใหญ่ ตั้งจากข้อมูลส่วนบุคคล
• คำถามลับสำหรับ Reset Password ถูกตั้งมาจากข้อมูลส่วนบุคคล
• ข้อมูลส่วนบุคคลสามารถหาได้ง่ายจาก Social Network
• User ส่วนใหญ่มักตั้ง Password ตามคำใน Dictionary
• User ส่วนใหญ่มักตั้ง Password ด้วยตัวอักษรตัวเล็กหรือตัวเลขทั้งหมด
• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
• Password เหล่านี้มักตกเป็นเหยื่อรายแรกๆ ของผู้ไม่หวังดี

การป้องกันภัยคุกคาม

• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คำที่มีใน Dictionary
• ใช้การผสมอักขระที่ซับซ้อน
• เปลี่ยน Password อย่างสม่ำเสมอ เมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
• ตั้ง Password ซึ่งผสมอักษรภาษาอังกฤษตัวเล็ก อักษรภาษาอังกฤษตัวใหญ่ ตัวเล็ก และตัวอักขระพิเศษ

เทคนิคการตั้งรหัสผ่าน

• ใช้เนื้อเพลงโปรด หรือประโยคเด็ด
• พิมพ์ภาษาอังกฤษจากประโยคแป้นพิมพ์ไทย
• กด Shift ค้างไว้
• ใช้ตัวสัญลักษณ์แทนตัวอักษร เช่น A แทนด้วย 4 หรือ @ / E แทนด้วย 3 / I แทนด้วย 1 หรือ ! / O แทนด้วย 0 / S แทนด้วย $ / And แทนด้วย & / for แทนด้วย 4 (four) 

การนำไปใช้ประโยชน์

• เป็นความรู้พื้นฐานในการป้องกันรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับระบบสารสนเทศ และให้คำแนะนำแก่ผู้ใช้
• นำหลักการสมรรถนะในกลุ่มงานเทคโนโลยีสารสนเทศมาเป็นกรอบในการทำงานด้านเทคโนโลยีสารสนเทศ
• สามารถนำความรู้ที่ได้รับไปปรับประยุกต์ใช้ในการทำงานได้เป็นอย่างดี
• ในส่วนของการเเลกเปลี่ยนเรียนรู้เรื่องการรักษาความปลอดภัยในระบบสารสนเทศ เป็นความรู้ที่น่าสนใจ และสามารถนำไปใช้ประโยชน์ในการตรวจสอบความปลอดภัยในการใช้งานระบบสารสนเทศของตนเองและเพื่อนร่วมงานได้
• ในส่วนของเกณฑ์ประเมินสมรรถนะกลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ เป็นประโยชน์ในการวางแนวทางในการทำงานของนักวิชาการคอม 

ถอดบทเรียนโดย นางสาวณัฐกฤตา โกมลนาค

ศูนย์เทคโนโลยีสารสนเทศ