การสร้างความมั่นคงปลอดภัยทางไซเบอร์ส่วนบุคคล บนระบบการเรียนรู้ด้วยตนเอง (Self-learning)

สำนักวิทยบริการและเทคโนโลยีสารสนเทศ มทร.ธัญบุรี
2566

คู่มือ : การสร้างความมั่นคงปลอดภัยทางไซเบอร์ส่วนบุคคล บนระบบการเรียนรู้ด้วยตนเอง (Self-learning)

          การจัดการองค์ความรู้ ได้รวบรวมองค์ความรู้ ความเข้าใจ ที่ได้จากกิจกรรมการแลกเปลี่ยนรู้เรียนภายในหน่วยงาน เพื่อนำองค์ความรู้ที่ได้มาพัฒนาให้เป็นระบบการเรียนรู้ด้วยตนเอง (Self-learning) เพื่อให้บุคลากรสามารถเข้าถึงองค์ความรู้และพัฒนาตนเองให้เป็นผู้รู้ได้ และเพื่อใช้เป็นแนวทางการปฏิบัติที่เหมาะสมในเรื่องของการสร้างความมั่นคงด้านความปลอดภัยของข้อมูลและการป้องกันภัยคุกคามที่อาจเกิดขึ้นในชีวิตประจำวันกับบุคลากรได้ การจัดองค์ความรู้ในครั้งนี้ที่ได้จากการรวบรวม และการถ่ายทอดองค์ความรู้ผ่านวิธีการต่าง ๆ จะช่วยพัฒนาความรู้และทักษะทางเทคโนโลยีให้กับบุคลากรสามารถนำไปใช้ให้เกิดประโยชน์ได้จริง โดยภายในเล่มมีเนื้อหา ดังนี้

การแลกเปลี่ยนเรียนรู้การสร้างความมั่นคงปลอดภัยทางไซเบอร์ส่วนบุคคล

          ปัจจุบันมีภัยคุกคามที่เข้าโจมตีทางไซเบอร์ (Cyber Attack) เป็นภัยอันตรายที่อาจเกิดขึ้นกับระบบคอมพิวเตอร์ เครือข่าย และข้อมูลทางอิเล็กทรอนิกส์ โดยสามารถก่อให้เกิดความเสียหายกับองค์กร เช่น การสูญหายของข้อมูล การเรียกค่าไถ่ การถูกขโมยข้อมูลส่วนตัว การถูกแฮ็กบัญชี การติดมัลแวร์ เป็นต้น

          การโจมตีทางไซเบอร์มีหลายรูปแบบด้วยกัน การรักษาความปลอดภัยทางไซเบอร์จึงเป็นสิ่งสำคัญอย่างยิ่ง เพราะภัยคุกคามทางไซเบอร์สามารถเกิดขึ้นได้ตลอดเวลา ดังนั้น จึงควรศึกษาและเรียนรู้วิธีการป้องกัน เพื่อปกป้องข้อมูลส่วนตัวและทรัพย์สินส่วนบุคคลและองค์กร จึงได้แบ่งหัวข้อการเรียนรู้เป็น 4 ประเด็น ดังนี้

1. ภัยคุกคามทางไซเบอร์ที่ทุกองค์กรต้องระวัง ได้แก่

ประเภทของภัยคุกคาม

          1.1 การโจมตีแบบ Ransomware เป็นปัญหาที่ยังคงรุนแรงและมีผลกระทบมากต่อองค์กรและบุคคลทั่วไปได้อย่างต่อเนื่อง โดยลักษณะของ Ransomware คือ โปรแกรมคอมพิวเตอร์ที่ทำการเข้ารหัสข้อมูลบนเครื่องคอมพิวเตอร์ของเหยื่อ แล้วขอเงินค่าไถ่ในรูปแบบของเงินที่เป็นบิทคอยน์หรือเงินสกุลที่ไม่สามารถติดตามได้ง่าย โดยที่เหยื่อจะไม่สามารถเข้าถึงข้อมูลของตัวเองได้จนกว่าจะจ่ายเงินที่ถูกขอไว้ โดยในปี 2024 ลักษณะการโจมตี Ransomware มีการพัฒนาและปรับปรุงขึ้นอย่างต่อเนื่อง

         1.2 การขโมยข้อมูลส่วนบุคคลและการรั่วไหลข้อมูล การขโมยข้อมูลส่วนบุคคลและการรั่วไหลของข้อมูลยังคงเป็นภัยคุกคามที่สำคัญต่อทั้งบุคคลและองค์กร โดยมีลักษณะและรูปแบบที่พัฒนามากขึ้น รวมถึงเทคโนโลยีใหม่ ๆ ที่เพิ่มความซับซ้อนในการโจมตีและการป้องกัน

          1.3 การโจมตีภายในองค์กร (Insider Threats) การกระทำที่เป็นอันตรายหรือเป็นการละเมิดความปลอดภัยขององค์กรที่กระทำโดยบุคคลภายในองค์กรเอง เช่น พนักงาน เจ้าหน้าที่ หรือผู้รับจ้างที่มีสิทธิ์เข้าถึงข้อมูลและระบบขององค์กร โดยมีวัตถุประสงค์ที่จะขโมย ข้อมูล ทำลายทรัพย์สิน หรือก่อให้เกิดความเสียหายต่อองค์กร

          1.4 การโจมตีเทคโนโลยีด้านความปลอดภัย (Security Technology Attack) การพยายามเจาะระบบหรือทำลายความปลอดภัยของระบบเทคโนโลยีสารสนเทศ อาจเกิดขึ้นในหลายรูปแบบ ตั้งแต่การโจมตีทางไซเบอร์ การเจาะข้อมูลส่วนตัว การกระจายไวรัส และมัลแวร์ จนถึงการโจมตีทางกายภาพ เช่น การขโมยอุปกรณ์คอมพิวเตอร์หรือข้อมูลที่เก็บอยู่ในอุปกรณ์นั้น เป็นต้น

          1.5 การแฮ็กระบบ IoT (Internet of Things) การเจาะเข้าสู่ระบบที่เชื่อมต่ออุปกรณ์ต่าง ๆ ผ่านอินเทอร์เน็ต ซึ่งอาจมีผลกระทบทั้งต่อข้อมูลส่วนบุคคลและการทำงานของอุปกรณ์เหล่านั้น การแฮ็กระบบ IoT สามารถเกิดขึ้นได้หลาย

          1.6 การละเมิดความเป็นส่วนตัวในการใช้งานข้อมูลบนโซเชียลมีเดีย เป็นปัญหาที่สำคัญและซับซ้อน โดยมีลักษณะการละเมิดที่หลากหลายและเกิดขึ้นได้ในหลายรูปแบบ

          1.7 การโจมตีในโลกเสมือน (Virtual World Attacks) เป็นการโจมตีที่เกิดขึ้นในสภาพแวดล้อมที่สร้างขึ้นโดยคอมพิวเตอร์ ซึ่งเป็นโลกเสมือนที่ผู้ใช้งานสามารถเข้าไปทำกิจกรรมต่าง ๆ ได้เช่นเดียวกับในโลกจริง โดยโลกเสมือนนี้สามารถเป็นเกมออนไลน์ โซเชียลมีเดียแบบสามมิติ หรือแพลตฟอร์มที่ใช้เทคโนโลยีเสมือนจริง (VR) และเสมือนผสาน (AR) การโจมตีในโลกเสมือนสามารถมีหลายรูปแบบ

          1.8 การใช้งานเทคโนโลยี AI หรือการใช้งานปัญญาประดิษฐ์ในการโจมตีทางไซเบอร์มีหลายรูปแบบ ซึ่งสามารถแบ่งออกเป็นประเภทต่าง ๆ ตามวิธีการและวัตถุประสงค์ของการโจมตี

2. แนวทางในการปฏิบัติ

          การป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ต้องการความรู้และการปฏิบัติตามแนวทางที่เหมาะสม ซึ่งแนวทางปฏิบัติและกรณีศึกษาที่สามารถช่วยลดความเสี่ยงในการตกเป็นเหยื่อจากภัยคุกคามทางไซเบอร์ ดังนี้

แนวทางปฏิบัติ

          2.1 ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกัน ใช้รหัสผ่านที่มีความยาวอย่างน้อย 12 ตัวอักษร ประกอบด้วยตัวอักษรใหญ่ ตัวอักษรเล็ก ตัวเลข และสัญลักษณ์

          2.2 ใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชี ใช้ตัวจัดการรหัสผ่าน (Password Manager) เพื่อจัดการและเก็บรักษารหัสผ่านอย่างปลอดภัย

          2.3 เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) เพิ่มการยืนยันตัวตนอีกขั้นตอนหนึ่ง เช่น การใช้รหัสที่ส่งไปยังโทรศัพท์มือถือหรือแอปพลิเคชันการยืนยันตัวตน

          2.4 อัพเดตซอฟต์แวร์และระบบปฏิบัติการ ติดตั้งการอัพเดตล่าสุดสำหรับระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันที่ใช้งาน เพื่อปิดช่องโหว่ที่อาจถูกโจมตีระวังการคลิกลิงก์และเปิดไฟล์แนบ ตรวจสอบความถูกต้องของลิงก์และไฟล์แนบในอีเมลก่อนคลิก หลีกเลี่ยงการคลิกลิงก์ที่มาจากแหล่งที่ไม่น่าเชื่อถือ

          2.5 ใช้โปรแกรมป้องกันไวรัสและมัลแวร์ ติดตั้งและอัพเดตโปรแกรมป้องกันไวรัสและมัลแวร์เป็นประจำ ใช้โปรแกรมสแกนมัลแวร์เพื่อตรวจสอบและลบภัยคุกคาม

          2.6 สำรองข้อมูลเป็นประจำ สำรองข้อมูลสำคัญเก็บไว้ในที่ปลอดภัย เช่น ฮาร์ดดิสก์ภายนอกหรือบริการคลาวด์ ตรวจสอบการสำรองข้อมูลให้แน่ใจว่าทำงานถูกต้อง

3. การใช้เครื่องมือในการทำงานแบบดิจิทัลให้ปลอดภัยจากภัยคุกคามทางไซเบอร์

          การทำงานในโลกดิจิทัลในปัจจุบันมีความสะดวกและมีประสิทธิภาพมากขึ้น แต่ก็มีความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นเช่นกัน การป้องกันและทำงานให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ต้องใช้เครื่องมือและวิธีการที่หลากหลาย (เอซิส โปรเฟสชั่นนัล เซ็นเตอร์, 2566ข)

          การใช้เครื่องมือและวิธีการเหล่านี้ช่วยให้ระบบดิจิทัลของคุณปลอดภัยจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ โดยรวมแล้วการรักษาความปลอดภัยทางไซเบอร์เป็นกระบวนการที่ต้องใช้ความพยายามและการดูแลอย่างสม่ำเสมอเพื่อให้มั่นใจว่าข้อมูลและระบบของคุณปลอดภัยจากการโจมตีต่าง ๆ

4. การตอบสนองต่ออุบัติการณ์ (Incident Responses)

          การตอบสนองต่ออุบัติการณ์ (Incident Response) เป็นกระบวนการที่สำคัญในการจัดการกับภัยคุกคามทางไซเบอร์ เพื่อช่วยป้องกัน ลดผลกระทบ และฟื้นฟูระบบหลังจากเหตุการณ์การละเมิดความปลอดภัยหรือการโจมตีทางไซเบอร์ กระบวนการนี้ประกอบด้วยหลายขั้นตอนหลักที่สำคัญ ได้แก่ (ไซเบอร์ อีลีท, 2566)

          การตอบสนองต่ออุบัติการณ์ที่มีประสิทธิภาพสามารถช่วยลดผลกระทบของการโจมตีทางไซเบอร์และช่วยให้องค์กรฟื้นฟูได้อย่างรวดเร็วและปลอดภัยมากขึ้น

แนวทางการปฏิบัติพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

          พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล และเพื่อสร้างความปลอดภัยให้แก่เจ้าของข้อมูล โดยผู้เป็นเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่สำคัญ คือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว สิทธิได้รับการแจ้งให้ทราบ สิทธิในการขอเข้าถึงข้อมูลส่วนตัว สิทธิเคลื่อนย้ายโอนข้อมูล สิทธิคัดค้าน สิทธิเพิกถอนการเก็บและนำข้อมูลไปใช้ สิทธิขอให้ระงับการใช้ข้อมูล สิทธิขอแก้ไขข้อมูล และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว โดยมีแนวทางปฏิบัติตามมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล ดังต่อไปนี้ (อรรถศิษฐ์ พัฒนะศิริ, 2566)

แนวทางการปฏิบัติของสถาบันการศึกษาแหล่งข้อมูล

          PDPA คือ กฎหมายที่ใช้ในการคุ้มครองข้อมูลส่วนบุคคล โดยห้ามมิให้ผู้อื่นนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ในด้านใดด้านหนึ่งโดยที่เจ้าของข้อมูลไม่ยินยอม

          ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ ถึงแก่กรรมโดยเฉพาะ

          การคุ้มครองข้อมูลส่วนบุคคล คือ 1. สร้างความเชื่อมั่น (Trust) 2. ยกระดับการธรรมาภิบาลข้อมูล (Better data governance) และ 3. ยกระดับสู่มาตรฐานสากล (Connecting with global standards)

ผู้ที่เกี่ยวข้องกับ PDPA

          เจ้าของข้อมูลส่วนบุคคล (Data Subject) ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

          ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) บุคคล หรือ นิติบุคคล ซึ่งมีอำนาจหน้าที่ ตัดสินใจ และควบคุมเกี่ยวกับวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล

          ผู้ประมวลผลข้อมูล ( Data Processor) ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล”

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( Data Protection Officer : DPO)

          การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล

          (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด

          (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

          (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

ที่มา : อุดมธิปก ไพรเกษตร, 2567

ดาวน์โหลด : คู่มือการสร้างความมั่นคงปลอดภัยทางไซเบอร์ส่วนบุคคล บนระบบการเรียนรู้ด้วยตนเอง (Self-learning)