CLOSE

การจัดการความปลอดภัยทางไซเบอร์

Cybersecurity Management

ซึ่งหากเกิดเหตุภัยคุกคามกับองค์กรแล้ว ผลกระทบ/ความเสียหายที่ตามมาอาจถึงขั้นทำให้ธุรกิจหยุดชะงักไม่สามารถให้บริการได้ และบางองค์กรอาจถึงขั้นเสียภาพลักษณ์ อีกทั้งประเทศไทยมีกฎหมายบังคับใช้ อาทิ กฎหมายการรักษาความมั่นคงปลอดภัยทางไซเบอร์ กฎหมายการคุ้มครองข้อมูลส่วนบุคคล ก็ล้วนแต่กำหนดให้องค์กรต้องมีการจัดการความปลอดภัยทางไซเบอร์

OVERVIEW การจัดการความปลอดภัยทางไซเบอร์ มีวัตถุประสงค์เพื่อศึกษาทำความเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นกับองค์กร ทั้งที่เกิดจากการโจมตีทางไซเบอร์จากภายนอก และช่องโหว่ภายในองค์กรเอง โดยการหมั่นตรวจสอบ และประเมินความเสี่ยงหลักด้านต่าง ๆ ซึ่งอย่างน้อยควรดำเนินการให้สอดคล้องกับมาตรฐานและกฎหมาย ในประเทศไทยประกาศใช้ ได้แก่ การป้องกันและเฝ้าระวังภัยคุกคามทางไซเบอร์ เพื่อปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตามมาตรา 56 การเฝ้าระวังภัยคุกคามทางไซเบอร์ และมาตรา 37 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกัน การสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องดำเนินการอย่างต่อเนื่อง จึงจะก่อให้เกิดประสิทธิผล และประสิทธิภาพของการจัดการความปลอดภัยทางไซเบอร์

PROBLEM STATEMENT สำหรับการจัดการความเสี่ยงด้านภัยทางไซเบอร์ องค์กรส่วนใหญ่มักจะเลือกดำเนินการเฉพาะส่วน เช่น ระบบงานที่สำคัญ หรือเลือกจำลองสถานการณ์เพื่อซ้อมใหญ่ในการเผชิญเหตุภัยคุกคามที่หากเกิดขึ้นแล้วจะส่งผลกระทบต่อการดำเนินธุรกิจหลักปีละ 1-2 ครั้ง ซึ่งในโลกของความจริง ภัยคุกคามทางไซแบอร์จากทั้งภายนอกองค์กร และช่องโหว่ภายในองค์กร เกิดขึ้นได้เกือบจะทุกวัน แต่องค์กรยังขาดการเตรียมการจัดการความปลอดภัยทางไซเบอร์ที่ควรดำเนินการในรูปแบบที่มีความต่อเนื่อง
PROPOSED SOLUTION ทริสและพันธมิตร (กลุ่มบริษัท) ขอเสนอบริการประเมินความเสี่ยงจากภายนอกองค์กรแบบอัตโนมัติอย่างต่อเนี่อง ที่มีชือว่า “Cybersecurity Rating” ซึ่งการประเมินความเสี่ยงนี้จะนำข้อมูลสาธารณะอันได้แก่ กลุ่มโดเมนสาธารณะ (Public domain) กลุ่มไอพีสาธารณะ ย่านไอพีทั้งหมดขององค์กร กลุ่มค่าอุปกรณ์ IoT และแอพพลิเคชั่นที่แสดงผลที่ปรากฏต่อสาธารณะ ค่า DNS, SSL/TLS ที่มีการเชื่อมต่อออกไปสู่ภายนอกองค์กร  เป็นต้น  โดยนำข้อมูลชุดดังกล่าวนี้มาคำนวณหาค่าความเสี่ยงและออกเป็นเกรด ระดับ A ถึง F โดยการประเมินความเสี่ยงด้วยวิธีการนี้ไม่มีผลกระทบอะไรต่อระบบ เนื่องจากเป็นข้อมูลที่แพลตฟอร์มของ SecurityScorecard เป็นผู้รวบรวมข้อมูลไว้ก่อนแล้ว

BENEFITS OF CYBERSECURITY MANAGEMENT

  • ช่วยป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ เพราะ Cybersecurity Rating ทำหน้าที่ตรวจสอบและจัดการช่องโหว่ขององค์กรจากมุมมองการโจมตีไซเบอร์จากภายนอกองค์กร (Outside-in) และติดตาม การปรับปรุงระบบอย่างต่อเนื่อง
  • เข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นจากบุคคลภายนอกใน Supply chain เนื่องจาก Cybersecurity Rating ให้ข้อมูลเชิงลึกที่องค์กรสามารถนำข้อมูลมาใช้วางแผนและจัดสรรงบประมาณการลงทุนด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม และข้อมูลอย่างรอบด้านที่ได้รับจะช่วยให้องค์กรทราบถึงมูลค่าผลกระทบทางธุรกิจ หากเกิดเหตุโจมตีทางไซเบอร์และข้อมูลสำคัญขององค์กร
  • เพิ่มภาพลักษณ์ความน่าเชื่อถือขององค์กร แสดงถึงการกำกับดูแลที่ดี เนื่องด้วยองค์กรที่มีเกรด/ระดับคะแนนความปลอดภัยทางไซเบอร์สูง สะท้อนถึงการดำเนินงานตามแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบกับ การดำเนินธุรกิจหรือกิจการ
  • เตรียมองค์กรให้มีสารสนเทศที่สำคัญและพร้อมสำหรับการประเมินระดับดัชนี ความมั่นคงปลอดภัยไซเบอร์ (Global Cybersecurity Index: GCI) ในอนาคต
  • ลดต้นทุนการจ้างพนักงานที่ทำหน้าที่เฝ้าระวังและประเมินความเสี่ยงอย่างต่อเนื่อง(24/7) ให้กับองค์กร

Cybersecurity Rating: CSR
มีขอบเขตบริการระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กร อาทิ
1. มุมมองจากภายนอกองค์กร/มุมมองผ่านสายตาของแฮ็กเกอร์ (Outside-in)

1. จัดทำรายงานระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กรภาพรวม (Cybersecurity Rating Report) รายเดือน ครอบคลุมความเสี่ยงหลัก 10 ด้าน ประกอบด้วย
1.1 Network Security การตรวจจับการตั้งค่าเครือข่ายที่ไม่ปลอดภัย
1.2 DNS Health การตรวจจับการกำหนดค่า DNS
1.3 Patching Cadence ทรัพย์สินล้าสมัยที่อาจมีช่องโหว่
1.4 Endpoint Security การวัดระดับความปลอดภัยพื้นที่ทำงานของพนักงาน
1.5 IP Reputation การตรวจจับกิจกรรมที่น่าสงสัย
1.6 Application Security การตรวจจับช่องโหว่
1.7 Cubit Score การตรวจสอบค่าความเสี่ยงจากฐานข้อมูลภัยคุกคามทางไซเบอร์
1.8 Hacker Chatter การตรวจสอบฝั่งแฮกเกอร์
1.9 Information Leak ข้อมูลความลับรั่วไหลโดยไม่ตั้งใจ
1.10 Social Engineering การวัดความตระหนักขององค์กรต่อภัยไซเบอร์

2. รายงานการแจ้งเตือนเมื่อเกิดเหตุการณ์ที่สร้างผลกระทบต่อองค์กรผ่านอีเมล และแชทไลน์กลุ่ม ประกอบด้วย
2.1 แจ้งเตือนเมื่อพบโอกาสถูก Ransomware ซอฟต์แวร์เรียกค่าไถ่
2.2 แจ้งเตือนเมื่อพบ CVE Score ระดับความเสี่ยงสูง เช่น พบ Log4j ที่อยู่ในระบบ
2.3 แจ้งเตือนเมื่อพบว่าปรับปรุงระบบแล้ว แต่ไม่ครบถ้วนตามมาตรฐานสากล เช่น ISO27001, PCI/DSS และ GDPR/PDPA

3. จัดทำรายงานสรุปแนวทางการปรับปรุงระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กร
3.1 บริการให้คำปรึกษาโดยทำการปรับปรุงระดับคะแนน/เกรดที่ได้ให้ดีขึ้น
3.2 อธิบายหลักเกณฑ์การพิจารณาระดับความซับซ้อน (ยาก-ง่าย) ของแต่ละประเด็นที่ได้จากการประเมินความเสี่ยงเพื่อเป็นแนวทางเสนอต่อองค์กรให้ดำเนินการปรับปรุง
3.3 เสนอแผนกิจกรรมที่องค์กรต้องเร่งดำเนินการ

Cybersecurity Rating

2. มุมมองจากช่องโหว่ภายในองค์กร (Inside-out)

4. บริการประเมินความเสี่ยงเพื่อหาช่องโหว่ภายในองค์กร (Vulnerability Assessment) โดยจัดทำรายงานตรวจสอบหาความผิดปกติ การใช้งานระบบสารสนเทศภายในองค์กร แบบ 1 shot โดยมีเนื้อหาหลัก ประกอบด้วย
4.1 จัดทำทรัพย์สินสารสนเทศ Inventory อุปกรณ์ Device ทั้งเครื่องคอมพิวเตอร์ เครื่องแม่ข่ายคอมพิวเตอร์ เครื่องปริ้นเอกสาร กล้องวงจรปิด อุปกรณ์ IoT ที่มีค่าไอพีแอดเดรสเป็นภายในองค์กร เพื่อตรวจสอบความผิดปกติและมีช่องโหว่ และยังไม่อัพเดทซอฟต์แวร์อันก่อให้เกิดภัยคุกคามทางไซเบอร์ได้
4.2 ประเมินความเสี่ยงเพื่อหาช่องโหว่จากเครื่องแม่ข่ายที่สำคัญในองค์กร และออกรายงานผลตาม OWASP TOP 10
4.3 ตรวจสอบการเข้าถึงระบบโดยมิชอบ Midnight login
4.4 ตรวจสอบความเสี่ยงที่พบโอกาสการแพร่กระจายไวรัส Ransomware
4.5 ตรวจสอบความเสี่ยงที่พบโอกาส Internal Hacking การโจรกรรมข้อมูลจากคนในองค์กร เช่น การเชื่อมต่อข้อมูลที่ไม่มีการเข้ารหัสไปยัง Server, ข้อมูลส่วนบุคคล PDPA และข้อมูลสำคัญมีโอกาสถูกละเมิด

Cybersecurity Rating TRISx

© 2022 TRIS Corporation Limited
cross