สร้าง Cybersecurity Awareness อย่างไรให้ผ่าน พ.ร.บ. ไซเบอร์

Cybersecurity Awareness

เนื้อหาในบทความ

ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 มีข้อกำหนดเอาว่าองค์กรจะต้องทำ Security Awareness ในองค์กร ดังที่ปรากฏในข้อที่ 7 ว่า ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

พ.ร.บ. ไซเบอร์

ถ้าว่าด้วยเรื่องการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับคนในองค์กรแล้ว ถ้าเรามาดูประกาศที่เกี่ยวเนื่องกัน สำหรับประกาศจากคณะกรรมการการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นประกาศเกี่ยวกับแนวปฏิบัติและกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยไซเบอร์นั่นเอง ซึ่งเป็นกรอบสำหรับหน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศ โดยแนวปฏิบัตินี้จะสอดคล้องกับ NIST-Cybersecurity นั่นเอง

สำหรับ NIST-Cybersecurity จะมีแนวปฏิบัติ 5 ด้าน โดย Cybersecurity Awareness จะอยู่ในด้านของการ Protect หรือป้องกัน หากเรามาดูรายละเอียดของกรอบมาตรฐานนี้ได้กำหนดไว้ทุกกลุ่มจะต้องรับรู้หน้าที่รับผิดชอบ (Roles & Responsibilities) ของตนเองว่ามีความสำคัญและมีหน้าที่รับผิดชอบอะไรบ้าง ดังนี้

1. ต้องมีแผนงานในการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร ได้แก่

  • กลุ่มพนักงานใหม่พนักงานที่ทำงานอยู่ประจำ
  • กลุ่มผู้บริหาร
  • กลุ่มเจ้าหน้าที่สนับสนุนโครงสร้างพื้นฐานสำคัญทางสาระสนเทศหรือทางกลุ่มแอดมิน
  • กลุ่มผู้รับเหมาหรือ Vendor

2. ต้องตระหนักรู้ทางด้านกฎหมายเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์

3. ต้องรู้เท่าทันภัยคุกคามไซเบอร์ที่จะมีผลกระทบต่อองค์กร

4. ต้องมีการทบทวนแผนในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ในทุก ๆ ปี

การสร้าง Cybersecurity Awareness ที่มีประสิทธิภาพในองค์กรควรมีแนวทางปฏิบัติดังนี้

  1. เราจะต้องตั้งเป้าหมายการสื่อสารก่อนว่าเราจะมีการสื่อสารให้กับคนกลุ่มไหนบ้าง ใครต้องรับรู้เรื่องอะไรบ้าง
  2. เราต้องมีการวางแผนกลยุทธ์ Content ว่ามีหัวข้ออะไรบ้างที่คนแต่ละกลุ่มจะต้องรับรู้
  3. จะต้องมีช่องทางที่มีประสิทธิภาพในการสื่อสารข้อความต่าง ๆ ไปถึงให้ตรงกลุ่มและมีประสิทธิภาพมากที่สุด
  4. จะต้องมีการวัดผลความรู้ความเข้าใจในแต่ละกลุ่ม ว่าเขาได้รับรู้ไปมากน้อยขนาดไหน
  5. นำข้อมูลจากการวัดผลมาวิเคราะห์ว่ามีช่องว่าง (Gab) ไหนที่เราจะต้องเพิ่มเติมอีกหรือเปล่า 

แนวปฏิบัติในแต่ละขั้นตอน

การตั้งเป้าหมาย

เราจะต้องมีการกำหนดวัตถุประสงค์ของหัวข้อว่าอยากจะให้ทุกคนในองค์กรรับรู้ในข้อมูลในเรื่องใดบ้าง โดยมี 3 เรื่องหลัก ๆ ดังนี้

  1. เรื่อง Cybersecurity Literacy ความสามารถในการป้องกันภัยไซเบอร์ 
  2. เรื่อง Information Security ความสามารถในการปกป้องข้อมูลขององค์กรโดยเฉพาะข้อมูลความลับไม่ให้รั่วไหล
  3. เรื่องเกี่ยวกับกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ รวมถึง Control และ Procedure ขององค์กรที่ได้กำหนดไว้

การวางแผนกลยุทธ์ Content

เมื่อได้หัวข้อหลัก ๆ แล้ว ก็จะมากำหนดหรือว่าในเนื้อหาในหัวข้อต่าง ๆ ในกลุ่มคนแต่ละกลุ่มจะต้องรับรู้เรื่องใดบ้าง 

1. กลุ่มพนักงานและพนักงานเข้าใหม่ เป็นกลุ่มคนที่ใหญ่ที่สุดที่ควรจะมีความรู้พื้นฐานอย่างน้อย 2 หัวข้อหลัก ๆ 

  • เรื่อง Cyber Threat คือเรื่องภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นเรื่อง Phishing Email, Ransomware หรือการหลอกลวงผ่านในรูปแบบ Social Engineering
  • เรื่องการใช้งานอินเทอร์เน็ตให้มีความปลอดภัย หรือ Cyber hygiene เช่นเรื่องการบริหารการจัดการรหัสผ่านให้มีความปลอดภัย, การรักษาข้อมูลความลับขององค์กร หรือ การแบ่งระดับความสำคัญของข้อมูลขององค์กร, การใช้งานอุปกรณ์พกพาให้มีความปลอดภัยรวมถึงการใช้งานโซเชียลเน็ตเวิร์กต่าง ๆ

2. กลุ่มผู้บริหาร นอกจากความรู้พื้นฐานเหมือนกับพนักงานทั่วไปที่จำเป็นที่ต้องรับรู้แล้ว สิ่งที่กลุ่มนี้จะต้องรับรู้ก็คือ Roles & Responsibility ความรับผิดชอบของกลุ่มนี้ และ Compliance ที่กลุ่มผู้บริหารจะต้องคอยผักดันให้องค์กรสามารถปฏิบัติตามข้อกำหนดต่าง ๆ ได้

3. กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบที่สามารถเข้าถึงระบบสาระสนเทศส่วนใหญ่ในองค์กรได้ สิ่งที่กลุ่มนี้จำเป็นจะต้องรับรู้ต้องมีข้อกฎหมายเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับกลุ่มผู้ดูแลระบบก็จะต้องรู้เกี่ยวกับความปลอดภัยในการทำงานในแต่ละวันหรือ Secure Day to Day Operation สำหรับกลุ่มผู้พัฒนาแอพพลิเคชั่นจะต้องรู้กับ Secure Development Life-Cycle รวมถึงจะต้องรับรู้เกี่ยวกับเรื่อง Cyber Incident Response และจะต้องมีการทำ Cyber Exercise

การกำหนดช่องทาง

การกำหนดช่องทางที่สามารถให้ความรู้คนในแต่ละกลุ่ม สามารถเข้าถึงคนในแต่ละกลุ่มให้ได้มากที่สุด

1. กิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้อง

  • กลุ่มพนักงานทั่วไป พนักงานเข้าใหม่และกลุ่มผู้บริหาร เป็นกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ ซึ่งสามารถเข้าถึงกลุ่มคนจำนวนหนึ่งอาจจะไม่สามารถเข้าถึงได้ทุกคนในองค์กรเพราะว่าอาจจะจำกัดด้วยเวลาในการทำงาน
  • กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบสามารถจัดกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ได้เช่นกัน สำหรับเนื้อหาที่สอดคล้องกับคนกลุ่มนี้ แต่อาจจะเข้าถึงได้ครบทุกคนเพราะว่าจำนวนน้อยในองค์กร และการจัดอบรมเป็นระยะเวลาสั้น ๆ ได้ 2 ถึง 3 ชั่วโมง

2. กิจกรรม E-Learning

แต่จะเห็นได้ว่ายังเหลือคนอีกกลุ่มใหญ่ที่กิจกรรมเหล่านี้ไม่สามารถเข้าถึง ด้วยเหตุผลทางด้านเวลาหรือเหตุผลอื่น ดังนั้นสิ่งที่อาจจะเข้ามาเติมเต็มได้ก็คือ E-Learning ซึ่งตัวผู้เรียนเองสามารถบริหารจัดการเวลาตัวเองได้สามารถเข้ามาเรียนรู้ช่วงเวลาไหนที่ไหนก็ได้เหมะสำหรับกลุ่มคนที่เป็นพนักงานทั่วไปที่มีจำนวนมากในองค์กร

3. กิจกรรม Cyber Exercise

ควรจะมีการทำ Phishing Simulation เพื่อจะวัดผล หาความเสี่ยงหากเกิดภัยคุกคามในรูปแบบ Phishing Email ซึ่งนอกจากจะทำให้เกิดข้อมูลรั่วไหลแล้วอาจจะทำให้เกิดพวกไวรัสต่าง ๆ มาโจมตีผ่านช่องทางอีเมลได้ ดังนั้นในการวัดผลด้วยการทดสอบนี้ เพื่อไม่ให้เกิดผลกระทบจากการโจมตีด้วย Phishing Email นั่นเอง

4. กิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน

เพื่อความสม่ำเสมอเราควรจะมีอีเมลประชาสัมพันธ์ประจำเดือนในการสื่อสารกับทุกคนในองค์กร โดยเนื้อหาที่สื่อความในแต่ละเดือนจะเป็นเรื่องเกี่ยวกับ Cybersecurity เป็นการสร้างให้คนในองค์กรมีความตระหนักรู้อย่างสม่ำเสมอนั่นเอง

การวัดผลและการวิเคราะห์

จะมีการวัดผลอยู่สามแกน 

  • Knowledge : คือความรู้ความเข้าใจสิ่งที่เราจะวัดแต่ละวัดได้จากแบบทดสอบในการอบรมต่าง ๆ หรือทำแบบสำรวจออนไลน์ (Online Assessment) ให้พนักงานในองค์กรตอบคำถามเกี่ยวกับความรู้ความเข้าใจทางด้านไซเบอร์
  • Engage : คือการเข้าร่วมกิจกรรมต่าง ๆ วัดได้จากกิจกรรมถามตอบในกิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน หรือการแสดงความคิดเห็นต่าง ๆ ว่ามีมากน้อยแค่ไหนหรือมีการทำ Survey วัดผลความพึงพอใจไม่ว่าจะเป็นการอบรมหรือการสื่อความต่าง ๆ ในแต่ละเดือน 
  • Behavior : คือวัดผลจากพฤติกรรมในการทดสอบ Phishing Simulation หรือจะดู Log File การใช้งานของพนักงานในองค์กรเช่น จำนวน Login Failed หรือการเข้าใช้เว็บไซต์ที่สุ่มเสี่ยงมีมากน้อยขนาดไหน

MEASUREMENT & ANALYSIS Cybersecurity Awareness

ซึ่งข้อมูลนี้สามารถนำมาวิเคาะห์แล้วก็สามารถจัดเนื้อหาในการสื่อสารให้กับทุกกลุ่มได้อย่างมีประสิทธิภาพ

ประโยชน์ของ Cybersecurity Awareness ที่มีต่อองค์กร

  1. ทำให้ทุกคนในองค์กรเห็นความสำคัญในเรื่องภัยคุกคามทางด้านไซเบอร์ว่ามีผลกระทบอะไรกับองค์กร
  2. สามารถต่อยอดพัฒนาให้เกิดตัว Cybersecurity Culture ในองค์กรได้ ให้ทุกคนมี Mindset เดียวกันคือ Security First
  3. ลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่าง ๆ และลดผลกระทบจากข้อมูลที่เป็นข้อมูลสำคัญที่อาจจะรั่วไหลสู่ภายนอก
  4. สามารถมั่นใจได้ว่าเราสามารถปฏิบัติตามข้อบังคับของกฎหมายได้
  5. สามารถเก็บรวบรวมข้อมูลต่าง ๆ มาประเมินความเสี่ยงจากการทำกิจกรรม Cybersecurity Awareness ในองค์กรและนี่ก็เป็นความจำเป็น แนวทางการปฏิบัติ และประโยชน์ของการทำ Cybersecurity Awareness องค์กร

บทความที่เกี่ยวข้อง

การต่อสู้กับ Ransomware

Fighting with Ransomware : ความรู้และกลยุทธ์ที่คุณต้องมี

March 15, 2024 No Comments

“จ่ายเงินมาตอนนี้ ไม่อย่างงั้นข้อมูลของคุณจะถูกเผยแพร่ลงสาธารณะ” “จ่ายเงินมา ก่อนข้อมูลของคุณจะถูกลบ” “จ่ายเงินเพื่อปลดล็อกรหัสไฟล์” หากคุณเจอคำขู่ทำนองนี้ บอกได้เลยว่าคุณกำลังถูกภัยคุกคามทางไซเบอร์ที่เรียกว่า “แรนซัมแวร์ (Ransomware)” โจมตีเข้าแล้ว แรนซัมแวร์ เป็นซอฟต์แวร์อันตรายประเภทหนึ่งที่ถูกออกแบบมา เพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์ จนกว่าทางแฮคเกอร์จะได้รับเงินค่าไถ่ ปัจจุบันแรนซัมแวร์ถือเป็นภัยคุกคามที่อันตรายระดับต้น ๆ ทางโลกไซเบอร์ที่สามารถสร้างหายนะให้กับเครือข่ายทั่วโลก ทำลายโครงสร้างพื้นฐานที่สำคัญ ทำให้เกิดการหยุดชะงักของธุรกิจ และก่อให้เกิดความวุ่นวายทางการเงินแก่องค์กรและบุคคลมาแล้วนับไม่ถ้วน การเพิ่มขึ้นของเหตุการณ์แรนซัมแวร์มีเพิ่มมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา จากข้อมูลของบริษัทรักษาความปลอดภัยทางไซเบอร์มีรายงานการถูกโจมตีโดยแรนซัมแวร์เพิ่มขึ้นอย่างมาก และพบว่ามีหลายเหตุการณ์ที่ผู้โจมตีมีความกล้าที่จะโจมตีบริษัทใหญ่ ๆ และเรียกร้องค่าไถ่เพิ่มขึ้นอย่างที่ไม่เคยเกิดขึ้นมาก่อน

อ่านต่อ »
Cybersecurity Awareness

Cybersecurity Awareness สำคัญอย่างไร? ทำไมทุกองค์กรควรต้องมีในยุคดิจิทัล

March 6, 2024 No Comments

ในปัจจุบัน การเปลี่ยนผ่านสู่ยุคดิจิทัล หรือ Digital Transformation นั้น คือสิ่งจำเป็นที่ทุกองค์กรไม่ว่าจะอยู่ในอุตสาหกรรมไหน “ต้อง” ทำ ไม่ใช่ “ควร” ทำอีกต่อไป ด้วยพฤติกรรมของคนในสังคมที่มีการพึ่งพาเทคโนโลยีอยู่เสมอจนกลายเป็นสิ่งที่ขาดไปไม่ได้ในชีวิตประจำวัน ทำให้องค์กรต่าง ๆ ต้องพัฒนาและปรับเปลี่ยนเพื่อให้เท่าทันต่อยุคดิจิทัลนี้ไปด้วย เมื่อมีการพัฒนาเทคโนโลยีดิจิทัลที่มากขึ้น แน่นอนว่ามันก็เพิ่มความเสี่ยงต่อการถูกโจมตีทางไซเบอร์โดยอาชญากรผู้ไม่หวังดีเช่นกัน แล้วเราจะทำอย่างไรเพื่อป้องกันภัยคุกคามเหล่านี้ในวันที่ทุกอย่างล้วนเข้าสู่ยุคดิจิทัลแทบทั้งหมด? พวกเรา SECAP ได้หาคำตอบของคำถามนี้ไว้ให้แล้วในบทความนี้ Attack Surface ช่องโหว่ทางไซเบอร์ที่องค์กรต้องระวัง

อ่านต่อ »
Colonial Pipeline Case study

ถอดบทเรียนจากการโจมตีทางไซเบอร์ระดับโลก: Colonial Pipeline Ransomware Attack Case Study

February 22, 2024 No Comments

โลกปัจจุบันถูกขับเคลื่อนด้วยดิจิทัลแทบทั้งหมด สังคมของเราถูกเชื่อมโยงไว้กับเทคโนโลยีอย่างที่ไม่มีใครหลีกเลี่ยงได้ สิ่งเหล่านี้ทำให้ Cybersecurity หรือ ความปลอดภัยทางไซเบอร์ถือเป็นรากฐานสำคัญของการดำเนินธุรกิจยุคสมัยใหม่ Colonial Pipeline บริษัทยักษ์ใหญ่ที่ทำธุรกิจเกี่ยวกับระบบท่อขนส่งน้ำมัน สัญชาติอเมริกัน ถูกโจมตีจากแรมซัมแวร์ (Ransomware)  จนกลายเป็นข่าวดังไปทั่วโลก การโจมตีครั้งนี้ได้ตอกย้ำถึงความเป็นจริงว่า ไม่มีหน่วยงานหรือองค์กรใด จะเล็กหรือใหญ่ อยู่ในภาคส่วนใดก็ตามที่จะรอดพ้นจากภัยคุกคามทางไซเบอร์ได้ การถูกโจมตีด้วยแรมซัมแวร์ที่ Colonial Pipeline ถือเป็นสิ่งเตือนใจให้องค์กรรู้ถึงผลลัพธ์ที่ตามมาจากช่องโหว่ทางไซเบอร์ และการโจมตีครั้งนี้ไม่เพียงแต่ทำให้การดำเนินงานของหนึ่งในผู้ให้บริการท่อขนส่งน้ำมันรายใหญ่ของสหรัฐอเมริกาหยุดชะงัก แต่ยังส่งแรงกระเพื่อมไปยังตลาดพลังงานทั่วโลก ในบทความนี้ SECAP จะพาทุกคนไปเจาะลึกถึงเบื้องหลังเหตุการณ์

อ่านต่อ »
ภัยคุกคามทางไซเบอร์

Cybersecurity Threat Trends 2024: รู้ทันภัยก่อนสาย แนวโน้มภัยคุกคามทางไซเบอร์ปี 2024

February 7, 2024 No Comments

ในปี 2023 ที่ผ่านมาเป็นปีที่โลกออนไลน์ แพลตฟอร์มดิจิทัลและเทคโนโลยีต่าง ๆ มีการพัฒนาอย่างรวดเร็ว การพัฒนาอย่างก้าวกระโดดนี้ นอกจากจะเป็นสิ่งที่ช่วยอำนวยความสะดวกให้มนุษย์แล้ว มันยังเปิดเส้นทางใหม่ให้การก่ออาชญากรรมทางไซเบอร์เป็นเรื่องที่ง่ายขึ้นเช่นกัน วันนี้พวกเรา SECAP จะมาแชร์ข้อมูลของ ภัยคุกคามทางไซเบอร์ ที่อาจเกิดขึ้นในปี 2024 เพื่อให้รู้ทันและสามารถเตรียมตัวรับมือกับเหตุการณ์จู่โจมทางไซเบอร์ที่อาจเกิดขึ้นได้ทันท่วงที การโจมตีที่ขับเคลื่อนโดย AI ในช่วงปีที่ผ่านมานับได้ว่าเป็นปีที่ Generative AI ได้รับการพัฒนาขึ้นมาเป็นอย่างมาก ซึ่งสิ่งนี้เองก็กลายมาเป็นช่องทางที่ทำให้เหล่าผู้ไม่ประสงค์ดีนำมาใช้เพื่อเป็นเครื่องมือตัวช่วยในการก่ออาชญากรรมทางไซเบอร์ Generative AI จะช่วยเพิ่มประสิทธิภาพของเครื่องมือที่ผู้โจมตีใช้

อ่านต่อ »
Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

August 17, 2023 No Comments

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

January 5, 2023 No Comments

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

Discover more from SECAP

Subscribe now to keep reading and get access to the full archive.

Continue reading