วันศุกร์ที่ 23 สิงหาคม พ.ศ. 2556

ความปลอดภัยในการใช้อินเทอร์เน็ตและSocial Network


1. ภัยจากการใช้เทคโนโลยี Web 2.0 ผ่านทางเว็บ Social Network (Client-side Attack) 

การหลอกลวงผ่านทางการเข้าเว็บยอดนิยม เช่น Hi5 หรือ Face Book นั้นกำลังเป็นที่นิยมไปยังหมู่แฮกเกอร์
ด้วยเทคนิคหลากหลายรูปแบบผสมผสานกัน เช่น การใช้ Phishing ร่วมกับ Social Engineering เช่น
การหลอกให้ผู้ใช้หลงเข้าไปล็อกอินในเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ Social Network ยอดนิยม ทำให้
ผู้ใช้งานอินเทอร์เน็ตถูกขโมย Username และ Password โดยไม่รู้ตัว (Identity Theft) ยิ่งไปกว่านั้น
โปรแกรมประสงค์ร้าย เช่น โปรแกรมม้าโทรจันยังนิยมแพร่กระจายผ่านทางเว็บไซต์ Social Network
ดังกล่าวด้วย

การป้องกันไม่ให้ตกเป็นเหยื่อการล่อลวงผ่านทางเว็บ Social Network ดังที่กล่าวมาแล้ว คือ ผู้ใช้อินเทอร์เน็ต ต้องคอยสังเกตเวลา Login เข้าเว็บไซต์ว่าเป็น เว็บไซต์จริงหรือเว็บไซต์ปลอม (เพื่อเป็นการป้องกันเทคนิค
Phishing) และที่สำคัญ ผู้ใช้อินเทอร์เน็ตต้องมีสติระลึกให้รู้ก่อนการคลิกเม้าส์หรือการป้อนข้อมูลส่วนตัว เช่น
Username หรือ Password ลงในเว็บไซต์ที่เรากำลังใช้งานอยู่ นอกจากนี้ยังควรหมั่น Update ข้อมูลข่าวสาร
ให้เป็นปัจจุบัน โดยการเข้าไปอ่านข่าวเกี่ยวกับเรื่องความปลอดภัยในอินเทอร์เน็ตหรืออ่านจากแมกกาซีนต่างๆ
เพื่อให้เข้าใจถึงเทคนิคการล่อลวงใหม่ๆ ที่อาจเกิดขึ้นได้ตลอดเวลา
2. ภัยจากการทำธุรกรรมออนไลน์และการใช้ e-Commerce/e-Banking (Identity Theft, Credit Card/ATM fraud and
Financial Fraud)
ภัยในข้อสองนี้กำลังมีอัตราการเพิ่มขึ้นตามความนิยมที่ผู้ใช้อินเทอร์เน็ตชอบหันมาทำธุรกรรมออนไลน์มากขึ้น เช่น การโอนเงินไม่จำเป็น
ต้องโอนเงินที่ตู้เอทีเอ็มแต่สามารถโอนผ่านระบบ Internet Banking ได้ เนื่องจากสะดวกสบาย รวดเร็ว และประหยัดค่าใช้จ่ายในการ
เดินทาง ที่สำคัญไม่ต้องใช้บัตรเอทีเอ็มก็สามารถโอนเงินได้ หรือการซื้อของผ่านทางอินเทอร์เน็ตสามารถใช้เพียงแค่ข้อมูลในบัตรเครดิต
ก็สามารถสั่งซื้อของได้โดยง่าย ดังนั้น กลุ่มอาชญากรคอมพิวเตอร์รุ่นใหม่จึงนิยมเจาะระบบการทำธุรกรรมออนไลน์เป็นหลัก เนื่องจาก
มีผลประโยชน์เป็นตัวเงินจากการขโมยเงินในบัญชีของเหยื่อ เรียกว่า เลิก “Hack For Fun” แต่หันมา “Hack For Money” แทน อาชญากร
ไฮเทคสามารถดำรงชีวิตอยู่ได้จากการประกอบมิจฉาชีพโดยการเจาะระบบโดยบางคนทำเป็นอาชีพเลยก็มี

นอกจากการเจาะระบบแล้วยังมีวิธีการโกงในแบบต่างๆ เช่น การแอบ copy แถบแม่เหล็กเพื่อปลอมบัตรเครดิต และบัตรเอทีเอ็มอย่าง
ผิดกฎหมายอีกด้วย (Skimming) นอกจากนี้ยังมีเทคนิคอื่นเช่น เทคนิค Phishing และ Pharming ล่าสุดเหยื่อภัยอินเทอร์เน็ตถูกหลอก
ให้ติดตั้งโปรแกรมม้าโทรจันลงบนเครื่องคอมพิวเตอร์ผ่านทาง Internet Browser ยอดนิยมเช่น IE และ Firefox โดยโปรแกรมม้าโทรจัน
ดังกล่าวมักจะทำงานในลักษณะของโปรแกรมดักข้อมูลจากคีย์บอร์ด (Keylogger/Spyware) เคยมีกรณีตัวอย่างเกิดขึ้นในประเทศไทย
มาแล้ว โดยลูกค้าธนาคารแห่งหนึ่งถูกขโมยโอนเงินไปกว่า 800,000 บาท จากวิธีดังกล่าว เทคนิคการหลอกหลวงนั้นยังพัฒนาเพื่อการขโมย
Username และ Password ของเหยื่อ เช่น เทคนิค Fast Flux และ เทคนิค Typosquatting หรือ URL hijacking ตลอดจนการโทรศัพท์
หลอกลวงให้เหยื่อหลงบอกข้อมูลส่วนตัวดังที่เป็นข่าวใหญ่ในหน้าหนังสือพิมพ์หลายฉบับ ด้วยเทคนิค Vishing รวมทั้งการหลอกลวง
โดยเทคโนโลยีดั้งเดิมที่เก่าแก่ที่สุดในโลก ได้แก่ เทคนิค “Social Engineering” โดยการหลอกอำเหยื่อเพียงแค่ส่งอีเมล์มาหลอก
นิยมเรียกเทคนิคนี้ว่า “Internet SCAM” เช่น การได้รับจดหมายหลอกลวงจากประเทศไนจีเรีย (Nigerian SCAM) โดยหลอกลวงว่าเราจะ
ได้รับเงินก้อนใหญ่แค่เพียงโอนเงินค่าธรรมเนียมเล็กน้อยไปให้เขาก่อน เรียกว่า “ตกทองยุคไฮเทค“ ก็ว่าได้

ทางแก้ปัญหาทั้งหมดดังกล่าวนี้ ก็เป็นทางแก้ปัญหาในแบบเดิมๆ ด้วยการกำหนดสติเวลาที่เรากำลังทำธุรกรรมออนไลน์ โดยต้องไม่หลงเชื่อ
อีเมล์หลอกลวงที่ทำให้เราเกิดความโลภและตกเป็นเหยื่อโดยรู้เท่าไม่ถึงการณ์ ส่วนการถูกแอบปลอมบัตรเครดิตนั้น ทางแก้คือ เราควรหมั่น
ตรวจเช็ค Credit Card Statement และถ้าพบปัญหาให้แจ้งไปยังธนาคารต้นสังกัดที่เราใช้บัตรเครดิตอยู่ ก็สามารถป้องกันและแก้ไขปัญหา
ดังกล่าวได้ในระดับหนึ่ง
3. ภัยจาก “BOTNET” (Robot Network)

กล่าวถึงปัญหา BOTNET เป็นปัญหาใหญ่ของ ISP ทั่วโลกในช่วง 2-3 ปีที่ผ่านมา เพราะจะทำให้ลูกค้าของ ISP ได้แก่
ผู้ใช้งานอินเทอร์เน็ตตามบ้านถูกยึดเครื่องคอมพิวเตอร์เปลี่ยนไปเป็นเครื่องคอมพิวเตอร์ของแฮกเกอร์โดยไม่รู้ตัว เมื่อเครื่อง
คอมพิวเตอร์ที่ถูกยึดมีจำนวนมากขึ้น เป็นหลักพัน หลักหมื่น ก็จะทำให้การจราจรข้อมูลของ ISP ในภาพรวมเกิดปัญหาเรื่อง
ความล่าช้า

ISP บางรายไม่สามารถให้บริการได้ในบางช่วงเวลา ปัญหาดังกล่าวเกิดจากการที่ผู้ใช้อินเทอร์เน็ตตามบ้านยังไม่มีความเข้าใจ
และยังไม่ระมัดระวังภัยที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ต ยกตัวอย่าง เช่น ผู้ใช้อินเทอร์เน็ตได้รับข่าวสารทาง eMail ว่าจะ
มีภัยสึนามิ เกิดขึ้นในภาคใต้เป็นครั้งที่ 2 ก็รีบเปิดไฟล์ดูกันด้วยความตื่นตระหนกตกใจในข่าวดังกล่าว เป็นเหตุให้ถูกหลอก
ให้เปิดโปรแกรมไวรัส หรือ Worm ทำให้เครื่องของเหยื่อกลายเป็น “BOT” หรือ “Zombie” ไปโดยปริยาย

จากนั้นเครื่องคอมพิวเตอร์ของเหยื่อจะถูกควบคุมระยะไกล (Remote Admin) โดยผู้ไม่หวังดีที่ส่งโปรแกรมไวรัส หรือ Worm
ดังกล่าวหลอกผู้ใช้อินเทอร์เน็ตผ่านมาทาง “eMail ข่าวร้ายหลอกลวง” ที่เราได้รับจากการ SPAM eMail ของผู้ไม่หวังดี
ยกตัวอย่างการใช้วิธีการหลอกลวงแบบนี้นิยมกันมากในทวีปยุโรปที่เรียกว่า “Storm Worm” โดยใน eMail มีเนื้อความ
หลอกว่ามีคน 230 คนตายเนื่องจากพายุที่เกิดขึ้นในยุโรป เป็นต้น

4. ภัยจากพนักงานภายในบริษัทหรือลูกจ้างชั่วคราวเข้าเจาะระบบของบริษัทเอง (Insider Attack)

โดยปกติแล้วพนักงานบริษัททั่วไปจะมีคอมพิวเตอร์ใช้งานกันทุกคนและ จากผลการสำรวจ พนักงานบริษัทมักใช้อินเทอร์เน็ต 
ในเรื่องที่ไม่เกี่ยวข้องกับการทำงานของบริษัทอยู่มากพอสมควรเช่น การดาวน์โหลดหนัง โหลดเพลง การใช้ MSN และการ 
ใช้งานเว็บไซต์ Social Network นอกจากเรื่องเสียเวลาทำงานแล้ว (ซึ่งไม่ใช่ประเด็นหลัก) ปัญหาที่ควรกังวลก็คือการที่ผู้ใช้
คอมพิวเตอร์รู้เท่าไม่ถึงการณ์เผลอโหลดหรือเปิดไฟล์ไวรัสที่ถูกส่งมาผ่านทางอินเทอร์เน็ต จากการใช้งานโปรแกรมดังกล่าว
โดยไม่ระมัดระวัง ทำให้เครือข่ายภายในบริษัทหรือองค์กรเกิดปัญหาติดไวรัสเป็นจำนวนมาก 

ทางแก้ปัญหาสามารถทำได้โดยการกำหนดให้มีนโยบายหรือ Security Policy ที่เราเรียกว่า “Acceptable Use Policy” (AUP)
เพื่อให้ผู้ใช้คอมพิวเตอร์ได้ปฏิบัติตามนโยบายดังกล่าว จำเป็นต้องมีการฝึกอบรมที่เราเรียกว่า “iSAT” หรือ “Information
Security Awareness Training” เกิดขึ้นเป็นประจำอย่างน้อยปีละ 2 ครั้งจะช่วยแก้ปัญหาดังกล่าวได้มาก 

องค์กรใหญ่ๆ หลายองค์กรนิยมเชิญผู้เชี่ยวชาญภายนอกมาฝึกอบรมในหลักสูตรดังกล่าวเป็นประจำทุกปี โดยการที่จะให้ได้
ผลที่ดีนั้น จำเป็นอย่างยิ่งที่ต้องอบรมพนักงานทุกคนทั้งกลุ่ม IT และ Non-IT นอกจากนี้ ปัญหา Insider Attack ในรูปแบบ 
อื่นๆ ที่รุนแรงกว่าปัญหาความรู้เท่าไม่ถึงการณ์ของการใช้คอมพิวเตอร์ทั่วไปดังที่กล่าวมาแล้วในตอนต้น ได้แก่ ปัญหาที่เกิด 
จากการที่พนักงานบางคนมีเจตนามุ่งร้ายในการแอบขโมยข้อมูลบริษัทเพื่อผลประโยชน์ส่วนตัว หรืออาจจะเกิดจากความแค้น 
ในบางเรื่อง แล้วทำการเจาะเข้าระบบของบริษัทตัวเอง ซึ่งธรรมดาการเจาะระบบจากคนในก็จะง่ายกว่าคนนอกมาเจาะระบบ
อยู่แล้ว เนื่องจากเป็นการเจาะระบบจากภายในเอง ทำให้ข้อมูลรั่วไหลออกไปโดยง่าย ไม่ว่าจะผ่านทางการส่ง eMail หรือ
copy ลง USB Drive ก็ยากที่จะตรวจสอบ หากบริษัทหรือองค์กรไม่มีเทคโนโลยีชั้นสูงไว้ป้องกัน 

สิ่งที่น่ากลัวในอนาคตก็คือ อัตราการเพิ่มของ Insider Attack นั้นมีอัตราเพิ่มขึ้นทุกปี ทำให้การป้องกันข้อมูลรั่วไหล
ในองค์กร หรือ “Data Loss Prevention” กลายเป็นเรื่องสำคัญขึ้นมา ในองค์กรที่มีข้อมูลสำคัญอยู่เช่น ธนาคาร
บริษัทที่ปรึกษา บริษัทวิจัย บริษัทออกแบบ และบริษัทที่มีทรัพย์สินทางปัญญาที่มีความสำคัญกับการดำเนินการธุรกิจ
ทางแก้ปัญหาดังกล่าวนั้น ควรมีเทคโนโลยีขั้นสูงที่จะป้องกันไม่ให้ข้อมูลรั่วไหลจากที่กล่าวมาแล้วคือ Data Loss Prevention
(DLP) และ Digital Right Management (DRM) ปัญหาคือเทคโนโลยีดังกล่าวยังมีราคาค่อนข้างสูง อาจนำมาใช้ได้ 
ในบางระบบก่อน แล้วค่อยเพิ่มเติมในภายหลัง 

ทางแก้ปัญหาอีกทางที่ได้ผลคือ การหมั่นตรวจสอบระบบโดย Internal Audit หรือ External Audit อย่างสม่ำเสมอ 
ก็จะช่วยให้เราทราบถึงเหตุการณ์ผิดปกติต่างๆ ที่เกิดขึ้น ก่อนที่ปัญหาจะลุกลามออกไปในอนาคต เพราะความเสียหาย
ที่เกิดขึ้นจากข้อมูลรั่วไหลนั้น เป็นความเสียหายที่รุนแรง อาจทำให้บริษัทถูกฟ้องร้องซึ่งมีบริษัทที่ต้องปิดกิจการไปแล้ว 
หลายราย ดังนั้นผู้บริหารระดับสูงไม่ควรมองข้ามภัยข้อนี้อย่างเด็ดขาด5. ภัยจากความไม่เข้าใจในแนวคิด Governance, Risk Management and Compliance (GRC) ของผู้บริหาร
ระดับสูงในองค์กร


แนวคิด “GRC” ย่อมาจาก “Governance , Risk Management and Compliance” กำลังเป็นแนวคิดที่ได้รับความนิยม 
ไปทั่วโลก เห็นได้จากหน่วยงานที่มีหน้าที่ในการควบคุมกำกับดูแล เช่น ธนาคารแห่งประเทศไทย กลต. สตง. ตลอดจน
สคร. (โดยบริษัท TRIS Corporation) ได้กำหนดกฎเกณฑ์ในการประเมินและตรวจสอบ (Assess and Audit) หน่วยงาน 
ภายใต้การกำกับดูแลโดยใช้แนวความคิด GRC ด้วยกันทั้งสิ้น ดังนั้น จะเห็นได้ว่าแนวความคิด GRC นั้นมีความสำคัญอย่างยิ่ง 
ในการบริหารจัดการสมัยใหม่ที่ต้องการความโปร่งใสและมีประสิทธิภาพในการบริหารจัดการปัญหาก็คือ ผู้บริหารระดับสูงใน 
องค์กร ส่วนใหญ่ยังไม่ซึมซับในแนวคิด GRC อย่างลึกซึ้งและถ่องแท้ โดยยังไม่เข้าใจในปรัชญาและแนวการปฏิบัติตาม 
แนวคิดดังกล่าว ทำให้องค์กรไม่ผ่านการตรวจสอบหรือมีคะแนนจากการตรวจสอบในระดับต่ำ ส่งผลให้ KPI ของผู้บริหาร 
ตลอดจนองค์กรโดยรวมนั้นไม่ผ่านเกณฑ์ที่ Regulator ได้กำหนดไว้

ถามว่าเรื่อง GRC มีความเกี่ยวข้องกับภัยอินเทอร์เน็ตตรงไหน ตอบได้ว่า ปัญหาจากความไม่เข้าใจในหลักการบริหาร 
ความเสี่ยงที่ถูกต้องตามหลักวิชาการ ความไม่โปร่งใสในการบริหารจัดการ และการไม่ปฏิบัติตามกฎหมายและกฎข้อบังคับ
ต่างๆ สามารถเกิดขึ้นโดยง่ายผ่านการใช้อินเทอร์เน็ตที่ไม่ถูกต้อง หรือ อาจเกิดจากการใช้อินเทอร์เน็ตของพนักงานภายใน 
องค์กรแล้วไปละเมิดกฎหมายโดยไม่รู้ตัว เช่น พนักงานบริษัทมีการทำผิดในพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ 
โดยการ Forward ภาพลามกอนาจาร หรือ ผู้ดูแลระบบสารสนเทศไม่มีการจัดเก็บ Log File ไว้ในระบบ Centralized Log
อย่างน้อย 90 วัน เป็นต้น 



ที่มาของความหมาย:http://www.beenets.com/bee_link_top10_09.html

ที่มาของรูปภาพ:https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGbbQivd3zx0oRBzd8SLWThPzpMfZvZ9uKLrg92n6QizBxZxiFKwi1IGDne6s1YxqB9TkWiqRYOnoPgG7yJOjTAeWRQ4MmhHO2GSuCNNk4uUGIE68B9gIkrws4rK8pyKPfmsGIOrywiro/s640/Social-Networking-Overload.jpg

ไม่มีความคิดเห็น:

แสดงความคิดเห็น