ความปลอดภัยของระบบสารสนเทศสำหรับผู้ใช้คอมพิวเตอร์
ในหลักสูตรการเรียนรู้ด้วยตนเองผ่านสื่ออิเล็กทรอนิกส์ (HRD e-learning) ของศูนย์พัฒนาการเรียนรู้ทางไกล สถาบันพัฒนาข้าราชการพลเรือน สำนักงาน ก.พ. มีอยู่เรื่องหนึ่งที่น่าสนใจเกี่ยวกับความมั่นคงและปลอดภัยของระบบสารสนเทศสำหรับผู้ใช้คอมพิวเตอร์ (แม้ว่าหลักสูตรนี้จะผ่านมาหลายปีแล้วก็ตาม) ซึ่งเป็นเรื่องที่ทุกคนควรมีความเข้าใจเบื้องต้น เรื่องที่ว่านี้ก็คือ “ความรู้เบื้องต้นด้านความปลอดภัยสารสนเทศสำหรับผู้ใช้คอมพิวเตอร์” ที่ได้กล่าวถึงความรู้เบื้องต้นด้านความปลอดภัยของระบบสารสนเทศในประเด็นหลักๆ คือ
1) กฎหมายไทยด้านเทคโนโลยีสารสนเทศและการสื่อสาร แบ่งได้เป็น ธุรกรรมทางอิเล็กทรอนิกส์ การโอนเงินทางอิเล็กทรอนิกส์ การคุ้มครองข้อมูลส่วนบุคคล การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีการกำหนดมาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ว่าควรมีความปลอดภัยใน 3 ระดับคือ ระดับพื้นฐาน ระดับปานกลาง และระดับที่มีผลกระทบต่อคนส่วนใหญ่
มาตรการคือ มาตรการด้านการป้องกัน (Preventive) – ป้องกันก่อนเกิดเหตุ
มาตรการด้านการตรวจสอบ (Detective) – เกิดเหตุแล้ว ดู Log File
มาตรการด้านการแก้ไข (Corrective) – มีปัญหาแล้ว ทำการ Fix
มาตรการที่เกี่ยวข้องกับบุคลากร (People)
มาตรการที่เกี่ยวข้องกับกระบวนการ (Process) มีมาตรการที่ทำให้คนมีความเข้าใจ
มาตรการที่เกี่ยวข้องกับเทคโนโลยี (Technology)
ปีพ.ศ.2550 มีพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ เพื่อกำหนดให้หน่วยงานราชการปฏิบัติตาม เช่น ในมาตรา 5 ให้จัดทำแนวนโยบายการเข้าถึง จัดให้มีระบบสารสนเทศสำรอง/ฉุกเฉิน มีการ audit เพื่อประเมินความเสี่ยง โดยต้องทำอย่างสม่ำเสมอ ในมาตรา 6 ต้องกำหนดตัวบุคคล ในมาตรา 7 ต้องจัดทำประกาศเป็นลายลักษณ์อักษร และแต่งตั้งคณะกรรมการ และในมาตรา 8 จะต้องประกาศโดยผู้บริหารระดับสูงเป็นลายลักษณ์อักษร โครงสร้างด้านความปลอดภัย ควรมีแผนก security มีการบริหารดำเนินงานระบบ เช่น Firewall, VPN เป็นต้น การเข้าถึง (Access control) ต้องมี authen และมีการจัดการความเสี่ยง
2) ทิศทางของความมั่นคงและปลอดภัยของระบบสารสนเทศ
– Malware attack เป็นพวกที่มาเอาข้อมูล และทำลายข้อมูล เป็นขโมย และถล่มเครื่อง เช่น Spyware, Adware, Hijackers, Trojan Horses เป็นต้น
– Spam จะพาโปรแกรมพวก malware, adware มาที่เครื่องของเรา ซึ่งนามสกุลที่มีโอกาสจะเป็น malware เช่น .scr .pif .exe เป็นต้น
– DoS and DDoS จะทำให้ระบบล่ม
– Phishing and Pharming จะเป็นการที่แฮกเกอร์เจาะเข้าไปในระบบ DNS แล้วขโมยความเป็นตัวตนของเราไป
– Botnets แฮกเกอร์จะสามารถควบคุมเครื่องนั้นๆ เช่น ทำให้เครื่อง shutdown เป็นต้น
หลักพื้นฐานด้านความมั่นคงปลอดภัยของระบบ คือ C.I.A. —> Confidentiality (ความลับ), Integrity (ความครบถ้วน) และ Availability (พร้อมใช้งาน) โดยที่จะต้องมีการ Plan (แนะนำ / ทำ Gap / ทำ Accessment) -> Do (การพัฒนานโยบาย / แผน) -> Check (การเฝ้าระวัง) -> Improvement (ปรับปรุงให้ทันสมัย)
เรื่องที่ต้องทำก็คือ
– ประเมินความเสี่ยง
– ติดตั้ง Anti malware / SPAM ที่ Gateway ที่มีประสิทธิภาพ
– ตรวจสอบช่องโหว่อย่างสม่ำเสมอ
– ปิดช่องโหว่ที่ Network / System / Application
– พัฒนานโยบาย
– ทำ Security awareness training
—– ความมั่นคงและปลอดภัยของระบบสารสนเทศ เป็นเรื่องของทุกคน ไม่ใช่เฉพาะ IT Man —–