หน่วยงาน CII เตรียมความพร้อมรับมือ พ.ร.บ. ไซเบอร์ด้วย Risk Assessment

พ.ร.บ.ไซเบอร์ คืออะไร?

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ กฎหมายที่ตราขึ้นเพื่อให้ประเทศไทยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ มีผลบังคับใช้ ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ.2562 สาระสำคัญคือ แนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ มีการประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ความสามารถของบุคลากร และผู้เชี่ยวชาญ รวมถึงการให้ความรู้ และความตระหนักถึงภัยไซเบอร์อีกด้วย

นอกจากนี้องค์กรอาจต้องให้ความสำคัญ เรื่องความผิดเกี่ยวกับโทษละเมิดความมั่นคง หรือ ความสงบเรียบร้อย ของประเทศ หรือต่อสาธารณชน ที่อาจทำให้องค์กรเสียชื่อเสียงได้

Critical Information Infrastructure (CII) คืออะไร?



CII หรือ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่หน่วยงานของรัฐหรือเอกชนใช้ในการดำเนินงาน เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ สาธารณะ และเศรษฐกิจของประเทศ รวมถึงโครงสร้างพื้นฐานที่เกิดประโยชน์แก่สาธารณะ หากระบบถูกรบกวนจะทำให้ไม่สามารถดำเนินงานหรือให้บริการได้ กำหนดโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES.)

เครื่องมือ อุปกรณ์ ระบบเครือข่าย ข้อมูลสารสนเทศ ฯลฯ ที่เป็นทรัพย์สินของหน่วยงาน และมีการใช้โครงสร้างพื้นฐานสำคัญทางสารสนเทศในการจัดการ จะต้องได้รับความปลอดภัยจากการถูกคุกคามทางไซเบอร์ เพื่อไม่ให้ทรัพย์สินทางสารสนเทศของหน่วยงานเสียหายหรือถูกทำลาย

ยกตัวอย่าง: โรงพยาบาล (หน่วยงานโครงสร้างพื้นฐาน) ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธีการทางคอมพิวเตอร์เพื่อทำให้การทำงานเสียหายหรือทำงานต่อไม่ได้ เช่น การแฮ็ค การส่งไวรัสหรือชุดข้อมูลไม่พึงประสงค์จำนวนมากเพื่อทำให้ระบบประมวลผลช้าลง เป็นต้น

ตัวอย่าง สถานการณ์ภัยคุกคามไซเบอร์ ที่เกิดขึ้นกับหน่วยงาน CII ในประเทศไทย

ปี 2555 เจาะระบบ THNIC: ผู้ให้บริการโดเมนเนมไทย (.th) ถูกเจาะระบบ และแก้ไขข้อมูลที่อยู่ของเว็บไซต์ขององค์กรใหญ่หลายแห่ง

ปี 2556 DDOS ตลาดหลักทรัพย์: โจมตี DDOS โดยกลุ่ม Anonymous กับเว็บไซต์ตลาดหลักทรัพย์ในอเมริกา และเอเชียตะวันออกเฉียงใต้ ทำให้บริการขัดข้องหลายชั่วโมง ส่งผลกระทบด้านเศรษฐกิจจากปัญหา Cybersecurity

ปี 2557 Sony Pictures Hack: ระบบคอมพิวเตอร์ของมหาลัยชื่อดังแห่งหนึ่งของไทย ถูกกลุ่ม GOP (Guardians of Peace) ใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures สหรัฐอเมริกา

ปี 2558 DDoS 4 Bitcoin: 5 ธนาคารพาณิชย์ได้รับอีเมลข่มขู่ เรียกเงินเป็น Bitcoins เพื่อแลกกับการไม่ถูกโจมตี DDOS จากกลุ่ม Armada Collective

ปี 2559 ATM Malware: ATM 21 ตู้ ของธนาคารแห่งหนึ่งของไทย ถูกโจมตีด้วยมัลแวร์ และลอบขโมยเงิน 12 ล้านบาท ซึ่งพบว่าเป็นมัลแวร์คล้ายกันกับที่เคยโจมตี ATM ที่ไต้หวัน

ปี 2560 Ransomware ระบาด: มัลแวร์ WannaCry และ Petya แพร่ระบาด เครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft Windows จำนวนหนึ่งในไทย ทำให้ถูกเข้ารหัสข้อมูล

จะเห็นได้ว่าการโจมตีทางไซเบอร์เกิดขึ้นอยู่ตลอดเวลา องค์กรหรือหน่วยงานจะรับมือเหตุการณ์เหล่านี้ได้อย่างไร? โดยผู้เชี่ยวชาญด้าน Cybersecurity จาก UIH แนะนำว่าท่านจำเป็นต้องตรวจสอบว่าองค์กรหรือหน่วยงานมีการป้องกันข้อมูลหรือระบบการแจ้งเตือนภัยคุกคามที่มี ใช้งานได้ดี และมีประสิทธิภาพมากพอหรือไม่ เรียกการกระทำแบบนี้ว่า การประเมินความเสี่ยง Risk Assessment



บริการประเมินความเสี่ยง (Risk Assessment) ที่ UIH แนะนำ คือ

Vulnerability Assessment หรือ VA บริการค้นหาช่องโหว่ เป็นบริการการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ที่ค้นพบได้ในระบบปฏิบัติการ (OS) ซอฟต์แวร์หรืออุปกรณ์ Network/Security ว่ามีช่องโหว่ใดบ้าง และมีระดับความรุนแรงเท่าใด เพื่อให้ผู้ดูแลระบบทราบ และทำการแก้ไขเพื่อปิดช่องโหว่นั้น

Penetration Test หรือ PenTest การประเมินความเสี่ยงด้วยการทดสอบเจาะระบบ เพื่อค้นหาจุดอ่อนในการเข้าถึงระบบต่างๆ โดยผู้เชี่ยวชาญซึ่งจะเป็นการทดสอบเจาะระบบในเชิงลึก พร้อมแจ้งผลการทดสอบ และประเมินความเสี่ยงเพื่อเตรียมการป้องกันได้ทัน ซึ่งเป็นหนึ่งในมาตรการป้องกันภัยคุกคามทางไซเบอร์ เหมาะสำหรับองค์กรที่ต้องการรักษาความปลอดภัยเป็นพิเศษ และจำเป็นต้องตรวจสอบระบบอย่างสม่ำเสมอ

ทั้งสองบริการจะเป็นกุญแจสำคัญในการทำให้องค์กรหรือหน่วยงาน สามารถรับรู้ถึงจุดอ่อนหรือช่องโหว่ภายในระบบงานของตนได้ รับทราบว่าต้องดำเนินการแก้ไขหรือปิดช่องโหว่อย่างไรจึงจะเพียงพอ และเท่าทันต่อภัยคุกคามทางไซเบอร์ ตลอดจนดำเนินงานได้สอดคล้องกับ พ.ร.บ. ไซเบอร์ตามที่กฎหมายกำหนดอย่างถึงที่สุด

ด้วยวิกฤตต่างๆ ในขณะนี้ บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH) ขอเป็นหนึ่งกำลังใจให้องค์กรของท่านสามารถจัดการ และรับมือกับทุกปัญหาได้อย่างราบรื่น หากท่านมีความสนใจในเรื่องของบริการ Risk Assessment หรือต้องการสอบถามข้อมูลบริการด้านการรักษาความปลอดภัยไซเบอร์อื่นๆ เพิ่มเติม

เรามีผู้เชี่ยวชาญที่พร้อมให้คำปรึกษา และคำแนะนำแก่ท่าน
โดยสามารถติดต่อได้ที่ uihsalessecurity@uih.co.th หรือโทร (094) 480 4838


บทความโดย: ทีม Security Business Unit, UIH
ที่มา:
https://prachatai.com/journal/2018/10/79125
https://www.packetlove.com/th/2019/09/16/what-is-critical-infrastructures-ci-and-cii/
https://www.prachachat.net/ict/news-293702
https://www.acinfotec.com/2019/07/23/thai-cyber-law-2562/