ความสำคัญในการรักษาความปลอดภัยของระบบ IT ภายในองค์กรและแนวโน้มการถูกโจมตีจากเทคโนโลยีที่ส่งผลกระทบต่อธุรกิจในปัจจุบัน บทความที่ 1

31/03/2022

Thai NS Solutions co., Ltd.

ในช่วงไม่กี่ปีที่ผ่านมานี้ การทำงานระยะไกล กลายเป็นเรื่องที่ใกล้ตัวทุกคนมากขึ้น การจัดการความปลอดภัยของข้อมูลและมาตรการรักษาความปลอดภัยของระบบ IT จึงมีความสำคัญตามไปด้วย บริษัท Thai NS Solutions ผู้ให้บริการโซลูชันไอซีทีชั้นนำ ซึ่งจากการให้บริการจัดทำระบบ IT ให้กับลูกค้าจำนวนมาก ทำให้เรารับรู้ถึงปัญหาของลูกค้าที่มีข้อจำกัดในด้าน Infrastructure หรือระบบภายใน ไม่ว่าจะเป็นปัญหาฮาร์ดแวร์เก่าหรือปัญหาการใช้งานซอฟต์แวร์มายาวนานเป็นเวลา 10-20 ปีโดยไม่ได้อัปเดตให้เป็นปัจจุบัน ซึ่งปัญหาเหล่านี้จะส่งผลต่อความปลอดภัยของระบบ IT ภายในองค์กรเป็นอย่างมาก

การรักษาความปลอดภัยของระบบ IT ภายในองค์กรคืออะไร ?

การรักษาความปลอดภัยของระบบ IT เป็นเรื่องที่ใกล้ตัวมาก เพราะเป็นระบบที่ถูกสร้างขึ้นมาเพื่อป้องกันองค์กรจากภัยอันตรายทางเทคโนโลยีต่างๆ โดยแบ่งออกเป็น 5 ด้าน ดังนี้

1. ความปลอดภัยด้านกายภาพ หมายถึง ความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงระบบในทางกายภาพ เช่น เครื่องคอมพิวเตอร์ ระบบเซิร์ฟเวอร์ กล้อง CCTV สำหรับตรวจตราเหตุการณ์ต่างๆ ภายในสถานที่นั้น
2. ความปลอดภัยด้าน Network ได้แก่ Firewall Management ที่ทำหน้าที่กั้นระหว่างระบบภายในกับระบบภายนอก เพื่อป้องกันและจัดการคนที่สามารถเข้าถึงระบบภายในได้
3. ความปลอดภัยด้าน Application ในกรณีที่มีการใช้งาน Application นั้น จะต้องมีการจัดการด้านความปลอดภัยในการเข้าถึงข้อมูลผ่าน Application
4. ความปลอดภัยด้านข้อมูล ซึ่งหมายรวมถึงข้อมูลที่เก็บอยู่ในทุกสถานที่ไม่ว่าจะเป็นในสำนักงานหรือคลาวด์ก็จะต้องมีการจัดการด้านความปลอดภัยอย่างเหมาะสม เช่น การ Backup ข้อมูล การกู้คืนข้อมูลในกรณีที่ข้อมูลสูญหาย เป็นต้น
5. ด้านนโยบายความปลอดภัยภายในองค์กร (Security Policy) ในด้านนี้ถือเป็นส่วนที่มีความสำคัญอย่างมาก เพราะหากองค์กรมีการรักษาความปลอดภัยในด้านต่างๆ ที่กล่าวมาอย่างครบถ้วนแล้ว แต่กลับไม่มีนโยบายการจัดการที่ดี ย่อมส่งผลให้ไม่สามารถจัดการกับความปลอดภัยได้อย่างมีประสิทธิภาพ

จากการใช้งานอินเตอร์เน็ตอย่างแพร่หลายในปัจจุบัน ทำให้ผู้คนสามารถใช้งานอุปกรณ์ต่างๆ เช่น สมาร์ทโฟน แท็บเล็ต รวมถึงอุปกรณ์ IoT ที่เชื่อมต่อกับเครื่องจักรต่างๆ ผ่านเซิร์ฟเวอร์หรือคลาวด์ได้อย่างสะดวกรวดเร็วมากยิ่งขึ้น โดยการจัดการเรื่องความปลอดภัยของระบบ IT นั้นจะต้องมีการเปลี่ยนแปลงตามยุคสมัยเช่นกัน ดังนั้นการชี้ให้เห็นถึงความสำคัญในความปลอดภัยของระบบ IT ถือเป็นหน้าที่ของพนักงานด้าน IT ที่ต้องชี้นำและทำให้ผู้นำในองค์กรตระหนักถึงความสำคัญเหล่านี้ ซึ่งจะช่วยป้องกันและลดความเสียหายที่เกิดขึ้นจากภัยทางเทคโนโลยีได้

หากไม่มีการรักษาความปลอดภัยของข้อมูล (CIA) จะเป็นอย่างไร ?

หลักการในการรักษาความปลอดภัยของข้อมูลมีด้วยกันทั้งหมด 3 ประการ

✓ การรักษาความลับ (Confidentiality)
หมายถึง การจำกัดเฉพาะบุคคลที่จะมีสิทธิ์เข้าถึงข้อมูลได้และไม่เปิดเผยข้อมูลกับผู้ที่ไม่มีสิทธิ์
✓ ความถูกต้องแท้จริง (Integrity）
หมายถึง การรักษาข้อมูลเหล่านั้นให้คงอยู่อย่างถูกต้อง ครบถ้วน และสมบูรณ์
✓ ความพร้อมใช้งานอยู่เสมอ (Availability)
หมายถึง การให้ผู้ที่มีสิทธิ์เข้าถึงข้อมูลได้ตลอดเวลาที่ต้องการและควบคุมให้ระบบมีสมรรถภาพที่พร้อมใช้งานอยู่เสมอ ไม่เกิดความล้มเหลว

ซึ่งหากไม่มีระบบรักษาความปลอดภัยย่อมส่งผลกระทบต่อการทำงานภายในองค์กร เช่น ผู้ใช้งานอาจจะถูกโจมตีโดยการก่อกวนจากแฮกเกอร์ ทำให้ไม่สามารถเข้าใช้งานในระบบได้ชั่วคราวหรืออาจจะถูกขโมยข้อมูลส่วนบุคคลไปจนถึงข้อมูลความลับขององค์กร ด้วยเหตุนี้การมีระบบรักษาความปลอดภัยด้าน IT ที่มีประสิทธิภาพจึงทำให้ผลกระทบที่อาจเกิดขึ้นเป็นไปได้น้อยนั่นเอง

แนวโน้มการโจมตีทางเทคโนโลยีในอดีต (เปรียบเทียบกับปัจจุบัน)

ตั้งแต่ปี 2000 การโจมตีทางไซเบอร์มีความแม่นยำและได้รับการพัฒนาขึ้นอย่างมาก ซึ่งสามารถแบ่งคร่าวๆได้ 3 ช่วง ดังต่อไปนี้

Cyber attack frequency

▲ ความถี่ในการถูกโจมตีด้วย Ransomware มีอัตราสูงขึ้นในทุกปี โดยในปี 2021 มีความถี่ในการถูกโจมตีทุกๆ 11 วินาที

ช่วงที่ 1: ในช่วงปี 2000 (พ.ศ. 2543) เป็นยุคที่อินเทอร์เน็ตยังไม่แพร่หลายเท่าไหร่นัก ช่องทางที่ไวรัสจะแพร่กระจายไปได้ถูกจำกัดอยู่แค่เฉพาะทางคอมพิวเตอร์หรือ USB เท่านั้น ซึ่งอาจจะส่งผลให้ผู้ใช้งานไม่สามารถเข้าใช้ระบบได้ชั่วคราว

ช่วงที่ 2: ในช่วงปี 2010 (พ.ศ. 2553) เป็นช่วงที่อินเทอร์เน็ตเริ่มมีความแพร่หลายและไวรัสจะมาในรูปแบบของไฟล์แนบทางอีเมล เว็บเถื่อน หรือซอฟต์แวร์ที่ผิดกฎหมาย โดยไวรัสเหล่านี้จะคอยเฝ้าจับตาคีย์บอร์ดของผู้ใช้งานเพื่อขโมยพาสเวิร์ดหรือจับภาพหน้าจอระหว่างใช้งานเพื่อหวังขโมยข้อมูลไปจนถึงแฝงตัวเข้ามาใช้งานเครื่องคอมพิวเตอร์เพื่อใช้ในการแฮกข้อมูลของคนอื่นต่อไป ซึ่งเมื่อสืบย้อนกลับไปนั้นจะพบว่าเครื่องคอมพิวเตอร์ที่โดนไวรัสมักจะเป็นผู้ก่อเหตุ

ช่วงที่ 3: ในช่วง 5 ปีหลังมานี้ การขโมยข้อมูลจะเน้นไปเพื่อหวังผลทางกำไรหรือขโมยข้อมูลเพื่อเรียกค่าไถ่ โดยจากแบบสำรวจพบว่า บุคคลหรือองค์กรที่ถูกขโมยข้อมูลและถูกเรียกค่าไถ่นั้น มีเพียง 25% ของผู้ที่จ่ายเงินไปแล้วได้ข้อมูลกลับคืนมา

การรักษาความปลอดภัยของระบบ IT เป็นสิ่งใกล้ตัวที่ไม่ควรมองข้าม

“การรักษาความปลอดภัยของระบบ IT เป็นเรื่องที่ใกล้ตัวมากครับ เปรียบเทียบง่ายๆเหมือนกับบ้านของเราที่จำเป็นต้องมีรั้ว กำแพงบ้าน ระบบสแกนนิ้วหรือสแกนหน้าสำหรับป้องกันภัยอันตรายจากภายนอก ระบบ IT ก็เช่นกัน ซึ่งจากการทำระบบด้าน IT ให้กับลูกค้าจำนวนมากทำให้เรารู้ถึงปัญหาและข้อจำกัดของลูกค้าในด้านระบบ IT ไปจนถึงระบบโครงสร้างพื้นฐานภายในองค์กร เราจึงมั่นใจว่าจะสามารถช่วยลูกค้าดูแลระบบและช่วยให้การเปลี่ยนถ่ายจากระบบเดิมไปสู่ระบบใหม่ทำได้ง่ายมากขึ้นครับ” (คุณโกสินทร์ แซ่อึ้ง / ตำแหน่ง Assistant Manager แผนก System Planning & Engineering - 1)

▶การรักษาความปลอดภัยของระบบ IT ภายในองค์กร ตอนที่ 2

คุณโกสินทร์ แซ่อึ้ง / Kosin Sae-Aung
Assistant Manager / System Planning & Engineering – 1
เข้าทำงานในบริษัท Thai NS Solution เมื่อเดือนสิงหาคม ปี 2564
มีประสบการณ์ด้าน IT มากกว่า 20 ปี โดยมีหน้าที่รับผิดชอบด้านกลยุทธ์ที่เกี่ยวข้องกับ Infrastructure

หากคุณสนใจการจัดการด้านความปลอดภัยของระบบ IT หรือต้องการสอบถามเกี่ยวกับการรักษาความปลอดภัยของระบบ IT สามารถติดต่อเราได้ผ่านแบบฟอร์มด้านล่างนี้

แบบฟอร์มสอบถามข้อมูล

โปรดติดต่อเราโดยกรอกแบบฟอร์มด้านล่าง

สามารถติดต่อได้ทางเบอร์โทรศัพท์หรืออีเมล

ชื่อ-นามสกุล จำเป็น

ชื่อสถานที่ทำงาน

หมายเลขโทรศัพท์

ที่อยู่อีเมล จำเป็น

ข้อความที่ต้องการติดต่อสอบถาม จำเป็น

KOA-SHA (THAILAND) ผู้ให้บริการเว็บไซต์ (จะเรียกต่อจากนี้ว่า "บริษัทของเรา") จะให้บริการต่างๆ (จะเรียกต่อจากนี้ว่า "บริการนี้") ตามนโยบายความเป็นส่วนตัว (จะเรียกต่อจากนี้ว่า "นโยบายนี้") ดังต่อไปนี้

คำนิยามของข้อมูลส่วนบุคคล: ในนโยบายนี้ คำว่า “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลที่เกี่ยวกับตัวบุคคลที่ยังดำรงชีวิตอยู่ ชี้ถึงการที่สามารถแยกแยะตัวบุคคลได้จากชื่อและนามสกุล, วันเดือนปีเกิด และการให้รายละเอียดอื่นๆ รวมถึงข้อมูลที่เกี่ยวข้อง (รวมถึงข้อมูลที่สามารถเทียบเคียงกับข้อมูลอื่นๆ ได้ง่าย ซึ่งจะช่วยให้สามารถระบุตัวบุคคลได้)

การรับข้อมูลส่วนบุคคล: บริษัทของเราจะรับข้อมูลส่วนบุคคลด้วยวิธีที่ถูกต้องตามกฎหมายและมีความยุติธรรม

การใช้ข้อมูลส่วนบุคคล

บริษัทของเราจะใช้ข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นสำหรับการดำเนินธุรกิจ ภายในขอบเขตวัตถุประสงค์ที่ระบุไว้ ดังต่อไปนี้

เพื่อให้ข้อมูลที่เหมาะสมที่สุดแก่ผู้ใช้แต่ละรายในบริการนี้
เพื่อเป็นประโยชน์ในการปรับปรุงคุณภาพของบริการนี้โดยการวิเคราะห์ทางสถิติ
เพื่อรองรับในการติดต่อสอบถามที่เกี่ยวข้องกับบริการนี้
เพื่อเตรียมข้อมูลจากการดาวน์โหลดแคตตาล็อกให้กับบริษัทสมาชิกแต่ละแห่ง และดำเนินการทำแบบสอบถามที่เกี่ยวข้องกับบริการนี้
เพื่อที่จะส่งคำแนะนำเกี่ยวกับผลิตภัณฑ์ใหม่ๆ และเคมเปญที่ดำเนินการโดยบริษัทของเรา
อื่นๆ วัตถุประสงค์ที่อาจเกิดขึ้นได้กับวัตถุประสงค์การใช้งานที่ระบุในข้างต้น

เกี่ยวกับ Cookie: บริษัทของเราใช้ cookie ในเว็บไซต์ของบริการนี้ อีกทั้งในระบบการโฆษณาก็มีบางส่วนที่ใช้ cookie ด้วย Cookie เป็นเทคโนโลยีที่ใช้บันทึกประวัติการใช้งานที่ส่งและรับระหว่างเบราเซอร์กับเซิร์ฟเวอร์ลงเป็นไฟล์ในคอมพิวเตอร์เทอร์มินอลของผู้ใช้ หากคุณไม่ต้องการให้บริษัทของเราใช้ cookie ก็สามารถตั้งค่าปฏิเสธการใช้ cookie ในเบราเซอร์ของคุณเองได้ อย่างไรก็ตามในกรณีที่คุณปฏิเสธ cookie อาจเกิดผลกระทบตอนที่คุณเข้าใช้บริการนี้ในเว็บไซต์

การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม

บริษัทของเราจะไม่เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่สามโดยไม่ได้รับความยินยอมจากตัวบุคคลก่อนล่วงหน้า เว้นในกรณีที่มีการบัญญัติตามกฎหมาย

อนึ่ง บริษัทของเราอาจเข้าถึงข้อมูลส่วนตัวและเปิดเผยแก่บุคคลที่สามในกรณีดังต่อไปนี้

ในกรณีที่ได้รับความยินยอมจากผู้ใช้เอง
ในกรณีที่ได้รับการเรียกร้องให้เปิดเผยข้อมูลจากคำพิพากษา, คำตัดสิน และคำสั่งตามกฎหมายของศาลและองค์กรบริหารต่างๆ เป็นต้น
ในกรณีที่จำเป็นต้องใช้มาตรการการจัดการเพื่อป้องกันการรุกรานและป้องกันสิทธิและทรัพย์สินของบริษัทของเรา
ในกรณีที่จำเป็นต้องปกป้องชีวิตร่างกายหรือทรัพย์สินของ บริษัทของเรา ลูกค้า หรือบุคคลทั่วไปอื่น ๆ และเป็นการยากที่จะได้รับความยินยอมจากผู้ใช้
ในกรณีที่จำเป็นอย่างยิ่งสำหรับการยกระดับสาธารณสุขและการส่งเสริมการพัฒนาสุขภาพของเด็กและเป็นการยากที่จะได้รับความยินยอมจากผู้ใช้
ในกรณีที่หน่วยงานระดับชาติหรือหน่วยงานของรัฐในประเทศหรือบุคคลที่ได้รับมอบหมายให้ร่วมมือในการดำเนินกิจการตามที่กฎหมายกำหนดและได้รับความยินยอมจากผู้ใช้ขัดขวางการปฏิบัติงานดังกล่าว เมื่อมีอันตรายอาจส่งผลต่อ
ในกรณีที่เปิดเผยและให้ข้อมูลในสภาพที่ไม่สามารถระบุตัวบุคคลผู้ใช้ด้วยข้อมูลทางสถิติได้

การจัดการข้อมูลส่วนบุคคล

บริษัทของเราจะเก็บรักษาความถูกต้องของข้อมูลส่วนบุคคลและจัดการข้อมูลนี้อย่างปลอดภัย
บริษัทของเราจะใช้มาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย การทำลาย การปลอมแปลง และการรั่วไหลของข้อมูลส่วนบุคคล
บริษัทของเราจะควบคุมข้อมูลส่วนบุคคลอย่างถูกต้องเหมาะสมผ่านการปรับปรุงระบบการจัดการและการฝึกอบรมของพนักงาน และใช้มาตรการป้องกันไม่ให้ข้อมูลสูญหาย ถูกทำลาย ถูกปลอมแปลง และรั่วไหล

การร้องขอให้แจ้ง, เปิดเผย, แก้ไข, ระงับใช้ และอื่นๆ โดยมีวัตถุประสงค์เพื่อใช้ข้อมูลส่วนบุคคล

ในกรณีที่บริษัทของเราได้รับคำขอเกี่ยวกับการเปิดเผย การแก้ไข การเพิ่ม การลบ การระงับหรือการยกเลิกการใช้งาน การระงับการให้ข้อมูลแก่บุคคลที่สาม และการแจ้งวัตถุประสงค์การใช้งานเกี่ยวกับข้อมูลส่วนบุคคลจากตัวลูกค้าเอง เมื่อยืนยันได้ว่าผู้ยื่นคำขอเป็นตัวจริงแล้ว บริษัทของเราจะดำเนินการด้วยความสุจริตและรวดเร็วตามบทบัญญัติแห่งพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล

อนึ่ง ในกรณีที่คำขอไม่เป็นไปตามข้อกำหนดในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือหากมีเหตุผลที่สามารถยอมรับการปฏิเสธการเปิดเผยข้อมูลอื่นๆ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายและข้อบังคับอื่นๆ บริษัทของเราก็อาจไม่สามารถปฏิบัติตามคำขอได้

นอกจากนี้ ในการร้องขอให้เปิดเผยข้อมูลและอื่นๆ ลูกค้าไม่จำเป็นต้องชำระค่าธรรมเนียมให้กับบริษัทของเรา แต่อย่างไรก็ตาม ในส่วนของค่าใช้จ่ายที่เกิดขึ้นตอนที่ลูกค้าจัดเตรียมเอกสารเพื่อยืนยันตัวตนตามข้อกำหนดข้างต้น รวมถึงค่าบริการด้านการสื่อสารและค่าขนส่งที่ลูกค้าจะส่งมาถึงบริษัทของเรา จะถือเป็นความรับผิดชอบของลูกค้าเอง

การเปลี่ยนแปลงแก้ไขนโยบายความเป็นส่วนตัว: บริษัทของเราจะทบทวนสถานะการบังคับใช้เกี่ยวกับการจัดการข้อมูลส่วนบุคคลตามที่เห็นสมควร และจะพยายามปรับปรุงอย่างต่อเนื่อง และเราอาจเปลี่ยนแปลงนโยบายนี้ตามความจำเป็น นโยบายความเป็นส่วนตัวที่มีการเปลี่ยนแปลงจะมีการประกาศเมื่อถึงคราวจำเป็นบนเว็บไซต์นี้