(อาจารย์) มันก็ยังสามารถเกิดขึ้นได้นะคะ อย่างเช่น การซื้อประกันภัยรถยนต์นะคะ ก็ถือว่าเป็นการลดความเสี่ยงอีกแบบหนึ่งเหมือนกันนะคะ เขาก็จะมีการคำนวณมาแล้วว่าต่อปีคุณจะต้องเสียสตางค์เท่าไรนะคะ เขาจะคำนวณมาจากจำนวนเงินที่อาจจะเกิดขึ้น ถ้าสมมติว่ารถคุณเกิดอุบัติเหตุนะคะ อาจจะเกิดอุบัติเหตุภายนอก หรือเครื่องยนต์ หรือการเฉี่ยวชนต่าง ๆ นะคะ การคำนวณเบี้ยประกันภัยจากความ เขาประกอบอะไรบ้างถึงจะเป็นการคำนวณได้นะคะ อันแรกนะคะที่เขาจะมาคำนวณก็คือ เงินที่จะใช้ในการซ่อมรถที่จะต้องจ่าย บริษัทประกันภัยก็จะถือว่าส่วนนี้เป็นช่องโหว่ ช่องโหว่ก็คือ ถ้าสมมุติว่าลูกค้าเคลมประกัน เขาซื้อประกันปีละ 10,000 บาท เคลมประกันหลักแสน อันนี้ บริษัท… นะคะ แล้วก็ข้อ 2. ความน่าจะเป็นที่จะเกิดอุบัติเหตุ ก็ถือว่าเป็นภัยคุกคาม… ความไม่ปลอดภัยหรืออุบัติเหตุที่จะเกิดขึ้น มาคำนวณว่าเขาจะทำอย่างไรให้เขารู้สึกว่า… กัน ไม่ใช่ว่าเราจะชนรถชนทุกเดือน ทุกเดือนเป็นไปไม่ได้ ไม่มีใครอยากให้ทรัพย์สินของเรามีปัญหาอยู่แล้วนะคะ พอเรารวมช่องโหว่กับภัยคุกคามเข้าด้วยกัน มันเลยกลายเป็นความเสี่ยง เพราะถ้ามันไม่มีช่องโหว่ ก็ไม่มีความเสี่ยง ถ้าไม่มีภัยคุกคามก็ไม่มีความเสี่ยง เพราะฉะนั้น ทุกอย่างรวมเข้ามาคือ มันทั้งช่องโหว่คืออะไร จุดที่เราแบบระมัดระวังดีไหมนะคะ ภัยคุกคามคืออาจจะเรา เราระวังดีแล้ว แต่มันก็ยังเสี่ยงอยู่ ก็เป็นไปได้นะคะ ช่องโหว่หรือว่าจุดอ่อนนี่ มันเลยเป็นช่องทางที่อาจจะใช้สำหรับการโจมตีทางระบบเครือข่ายหรือโจมตีข้อมูลเราได้นะคะ จุดอ่อนก็มีหลายระดับนะคะ ตั้งแต่ยากไปถึงง่าย อาจจะเกี่ยวข้องกับความชำนาญทางด้านเทคนิค ถ้าเป็นโปรแกรมเมอร์ที่มีประสบการณ์ในการเจาะระบบมาก ๆ เราคิดว่าเราป้องกันดีแล้ว เขาอาจจะพยายามหาช่องโหว่ของเราได้ จุดอ่อนของเราได้นะคะ หรือบางทีเขาอาจจะหาผลที่จะทำให้ระบบเราถูกกระทบจากที่เราเปิดช่องโหว่นั้นไว้นะคะ จุดอ่อนนี่ ไม่ได้มีแค่ในระบบคอมพิวเตอร์ หรือว่าระบบเครือข่าย หรือว่าการจัดเก็บข้อมูลเท่านั้นนะคะ อาจจะเป็นทางด้านกายภาพ เช่น การรักษาความปลอดภัยในห้องทำงาน ในห้องเก็บข้อมูลนะคะ ไม่คล้องกุญแจ ไม่ปิดประตูให้สนิทนะคะ ไม่มีการเข้ารหัส สแกนลายนิ้วมือนะคะ ใครอยากเปิดเข้ามาดูข้อมูลก็ได้ หรือตัวพนักงานเองหละหลวมนะคะ Login ข้อมูลตัวเองทิ้งไว้บนคอมพิวเตอร์สาธารณะ ใครก็สามารถเข้ามาดูข้อมูลเราได้หรือว่าข้อมูลนั้น ๆ โปรแกรมเมอร์ เปิดเผยสาธารณะทั้ง ๆ ที่มันควรจะเป็นข้อมูลลับ นะคะ สิ่งเหล่านี้อาจจะไม่ได้อยู่ในรูปแบบของระบบคอมพิวเตอร์ อาจจะอยู่ในรูปแบบของเอกสารที่เป็นกระดาษ หรือเป็นเอกสาร Hard Copy อื่น ๆ ก็ได้นะคะ เพราะฉะนั้นเหมือนข้อมูลของเรานี่ มันไม่ควรจะเปิดเผยให้คนอื่นรู้นะคะ โดยที่เราไม่ยินยอมนะคะ ปัจจัยที่ทำให้เกิดช่องโหว่ในระบบคอมพิวเตอร์นะคะ ก็คือ อันแรก Username หรือรายชื่อผู้ใช้งานไม่มีประสิทธิภาพ ไม่มีการจัด เขาเรียกอะไรล่ะ ความสำคัญของ User เช่น ถ้าอาจารย์จัดการผู้ใช้งานไม่ดี นักศึกษาแต่ละคนก็อาจจะดูเกรดเพื่อนก็ได้ ดูเกรดใครก็ได้ ดูเงินเดือนอาจารย์ก็ได้ ดูวุฒิการศึกษาอาจารย์ก็ได้ หรือดูบ้านเลขที่ บ้านที่อยู่ อาจารย์แต่ละคน หรือดูข้อมูลภูมิลำเนา เพื่อน พ่อแม่ เบอร์โทรศัพท์พ่อแม่มีอะไร แต่ถ้า มีการจัดการบัญชีรายชื่อที่ดี เช่น นักศึกษามีสิทธิ์ก็แค่ ดูเฉพาะข้อมูลของตัวเองเท่านั้นนะคะ ดูของเพื่อนไม่ได้ การกำหนดสิทธิ์ของอาจารย์ อาจารย์ก็อาจจะดูข้อมูลนักศึกษา ดูเกรดนักศึกษาได้ทุกคน แต่ก็จะดูข้อมูลเพื่อนอาจารย์คนอื่นไม่ได้นะคะ ก็ต้องมีการกำหนดสิทธิ์ที่มีประสิทธิภาพด้วย หรือการที่ซอฟต์แวร์ที่เราใช้งานอยู่ มันมีข้อผิดพลาดหรือว่า เราเรียกว่ามันมี Bug นะคะ ก็อันนี้ก็เป็นช่องโหว่อีกช่องหนึ่งที่บางทีเราคิดว่ามันทำงานได้ดีอยู่แล้ว แต่ว่าเราไม่รู้สึกตัวนะคะ แล้วก็ No Patch ตัวนี้ก็คือไม่มีการปรับปรุงโปรแกรมให้ทันสมัยนะคะ ถ้าใครเล่นเกมก็จะเข้าใจคำว่า “Patch” มันจะมีการปรับแผนที่ ปรับตัวละครใช่ไหมค่ะ ถ้าเล่นเกม แต่ถ้าเป็นส่วนของซอฟต์แวร์หรือโปรแกรมนี่ มันจะต้องมีการปรับปรุง Version  หรือปรับปรุงรุ่นของซอฟต์แวร์ให้มันทันสมัยอยู่เสมอนะคะ เพราะว่าบางทีมันอาจจะมีภัยคุกคามอื่น ๆ มานี่ เขาก็จะทำการปรับปรุงเพิ่มให้อุปกรณ์ของเรานี่รู้จักภัยคุกคามเหล่านั้นด้วย ถ้าสมมติว่าเราไม่มีการปรับปรุงเลย ภัยคุกคามใหม่ ๆ มาคอมพิวเตอร์เราอาจจะไม่รู้จักก็ได้นะคะ แล้วก็บางคนมีโปรแกรมป้องกันไวรัส แต่ไม่ได้อัปเดต ก็เป็นภัยคุกคาม ถ้าใครใช้โปรแกรมที่ผิดกฎหมาย มันก็จะอัปเดตตัวฐานข้อมูลไวรัสไม่ได้นะคะ แล้วก็การปรับแต่งค่าต่าง ๆ ของระบบมีความผิดพลาด ระบบมันผิดพลาดเอง แต่มันเป็นช่วงที่เราทำงานอยู่พอดี ก็อาจจะส่งผลให้เรามีความเสี่ยงด้วยเหมือนกัน เช่น อาจจะเป็นการที่เรากำลังยืนกดสตางค์อยู่ แล้วระบบมันล่ม ฉันกดแล้ว ยอดเงินบอกว่าเงินตัดไปแล้ว แต่เงินมันไม่ออกจากตู้น่ะ อันนี้ คือความเสี่ยงของเรานะคะ รวมถึงบุคลากรในองค์กร เขาเข้าใจบทบาท เข้าใจหน้าที่ เข้าใจสิทธิ์ในการใช้งานหรือการแก้ไขข้อมูลขนาดไหนนะคะ ภัยคุกคามที่เป็นอันตรายต่อทรัพย์สินขององค์กรมีประกอบอยู่ 3 ส่วนนะคะ ก็คือมีเป้าหมาย มีผู้โจมตี แล้วก็เป็นเหตุการณ์ เป้าหมายนะคะ ที่มีโอกาสเกิดภัยคุกคามนี่ มันก็จะมีองค์ประกอบอยู่ในด้านต่าง ๆ เช่น ด้านความลับของข้อมูลนะคะ ก็จะเป็นภัยคุกคามที่บางทีข้อมูลที่เป็นข้อมูลลับ เราอาจจะถูกนำไปเปิดเผยโดยที่ไม่ได้รับอนุญาตก็ได้ ความคงสภาพของข้อมูลอาจจะมีความพยายามที่จะเปลี่ยนแปลงข้อมูล เช่น เกรดไม่ดีเลย แต่เป็น Hacker เป็นโปรแกรมเมอร์ ที่เก่งมาก ได้เกรด เรียนไม่ดี แต่อยากได้ 4.00 ก็พยามจะเจาะระบบเข้าไปเปลี่ยนเกรดตัวเองในระบบทะเบียนก็ได้ อาจจะเกิดขึ้นได้นะคะ หรือว่าภัยคุกคามที่เข้ามาลบเลขบัตรประชาชนออกไปหมดในฐานข้อมูลเลยนะคะ อย่างนี้ก็สามารถเกิดขึ้นได้เหมือนกัน เพราะว่าบางทีโปรแกรมเมอร์บางคนนี่ เขาทำไปไม่ใช่เพราะเขาอยากขโมยข้อมูล เขาแค่อยากแสดงความสามารถให้ทุกคนยอมรับเขาก็มีนะคะ แล้วก็ความพร้อมใช้งานนี่จะเป็นเป้าหมายในการโจมตีแบบที่ปฏิเสธให้บริการ เช่น จะกดเงินธนาคารธนาคารหนึ่ง แต่ธนาคารนี้กำลังโดน Hacker โจมตีอยู่นะคะ ทำให้เจ้าของบัญชีธนาคารของธนาคารนี้ อาจจะกดเงินไม่ได้เลยสักคน ห้ามกดนะคะ หรือว่าอาจจะห้ามฝากเงิน คีย์เงินเท่าไรเงินก็ไม่เข้า ไปเข้าที่บัญชีของคนอื่นก็มีนะคะ แต่ส่วนมากมันจะเป็นการปฏิเสธการให้บริการ เช่น เราพยามจะโอนสตางค์ เราพยามจะกดเงิน มันจะไม่ให้เราทำธุรกรรมเหล่านั้นเป็นต้นนะคะ โดยผู้โจมตีนี่ก็คือคนที่กระทำการใด ๆ ที่ให้เกิดผลเสียหรือด้านลบกับองค์กรนะคะ โดยที่คนโจมตีนีเขาจะมีคุณสมบัติ หรือคุณลักษณะอยู่ 3 ข้อนะคะก็คือเขาสามารถเข้าถึงเป้าหมายที่เขาจะโจมตีได้ เช่น เขาอยากโจมตีเครื่องคอมพิวเตอร์ห้องนี้ เขาก็มั่นใจแล้วว่าเขาสามารถเข้ามาในระบบคอมพิวเตอร์ห้องนี้ได้นะคะ แล้วก็เขารู้ว่าเขาจะมาโจมตีข้อมูลอะไร เช่น ลบโปรแกรมของเครื่องคอมพิวเตอร์ทุกเครื่องในห้องนี้ออกหมดเลย ไม่ให้ใช้ แล้วผู้โจมตีนีเขาก็จะต้องมีแรงจูงใจว่าเขาทำไปทำไมนะคะ เขาจะรู้อยู่ในใจเขาอยู่แล้วแหละว่าเขาทำไปทำไม โดยข้อแรก ผู้โจมตีนี่ เขาจะเข้าถึงระบบ หรือเครือข่าย หรือสถานที่ต่าง ๆ ที่เขาต้องการ เช่น เขาอาจจะเจาะเข้าระบบมาโดย เขาอาจจะรู้ Username แล้วเขาก็สุ่ม Password หรือว่า อะไรนะ Hack เข้ามาเลยนะคะ บางทีไม่จำเป็นต้องใส่ Username Password  เขาอาจจะมีช่องโหว่ ที่เขาเคยเปิดไว้หรือว่า User เปิดไว้โดยที่ไม่ตั้งใจนะคะ เขาก็สามารถเข้าได้ โดยองค์ประกอบของการเข้าถึงเขาคือ เขารอจังหวะ เขารอโอกาสอยู่ เช่น เขารอแค่ให้เจ้าของเครื่องมาเปิดคอมพิวเตอร์แล้วเชื่อมต่ออินเทอร์เน็ตนะคะ เขาก็สามารถเข้าสู่เครื่องคอมพิวเตอร์คุณได้เลย โดยคนโจมตีนี่อาจจะเป็นนักศึกษา เป็นบุคคลในองค์กร อาจจะเป็นพนักงานปัจจุบัน พนักงานเก่าที่รู้สึกไม่พอใจการทำงานขององค์กร อาจจะเป็น Hacker หรือจะเป็นคู่แข่งทางด้านธุรกิจก็เป็นไปได้นะคะ อันนี้ก็เกิดขึ้นได้หมด ข้อต่อมา ผู้โจมตีนี่เขาก็จะมีความรู้หรือข้อมูลเกี่ยวกับเป้าหมาย เช่น รู้ Username รู้ชื่อผู้ใช้นะคะ แต่ไม่รู้รหัสผ่าน แต่บางทีเขารู้ว่าผู้ใช้งานแต่ละคนนี่เขาอาจจะมีข้อมูลว่า ทุกคนในห้องนี้เขามีข้อมูลแล้วว่า ทุกคนเกิดวันอะไร เดือนอะไร ปีอะไร รู้วันเกิดนะคะ เขาอาจจะสามารถเดารหัสจากวันเดือนปีเกิดของเราได้ หรือเขารู้อีเมล เขามีรหัส E-mail เขาสามารถแจ้งว่า ลืม Password แล้วให้มันส่ง Password ใหม่มาทาง E-mail ก็ได้ กับมันมีอีกระบบหนึ่งที่ Hacker เขาเคยใช้ คือ เป็นการ Copy IP Address ของเครื่องเครื่องหนึ่งนะคะ เขาก็สามารถเอาเลข Copy ตัวนี้ ไปทำให้เครื่องคอมพิวเตอร์ของ Hacker นี่เป็นเครื่องคอมพิวเตอร์เดียวกับเราก็ได้ เพื่อผ่านระบบรักษาความปลอดภัยเข้าไปนะคะ ยิ่งผู้โจมตีนี่เขารู้ข้อมูลของเรามากเท่าไร จุดอ่อนมันก็ยิ่งมากขึ้น เช่น รู้เลขบัตรประชาชน รู้วันเดือนปีเกิด รู้เบอร์โทรศัพท์เรา ขาดแค่ Password เขาก็สามารถพอที่จะเดาได้ห รือว่า อาจจะแจ้งระบบว่าให้กู้คืนบัญชีจากเบอร์โทรศัพท์ อะไรก็ว่าไปนะคะ แล้วเขาก็จะยิ่งมีโอกาสที่จะใช้ประโยชน์จากจุดอ่อนนั้น วันใดวันหนึ่งก็ได้นะคะ โดยส่วนมากเขาก็จะมีแรงจูงใจ บางทีเขาก็มาจากแรงจูงใจที่ความท้าทาย เขาอยากพยายามพิสูจน์ว่าเขาทำได้นะ บางคนเขาอาจจะแค่ท้า แน่จริงลองเจาะระบบคอมฯ ห้องนี้ดูสิ อะไรอย่างนี้ อาจจะโดนท้าทาย หรือความอยากได้อย่างอื่น เช่น เรียกค่าไถ่ข้อมูลนะคะ เช่น บางคนอาจจะโพสต์คลิปวีดีโออะไรไว้ในเครื่อง แล้วแฮกเกอร์มาเจอ เขาอาจจะเอาสิ่งนี้ไปเรียกรับเงินจากคุณก็ได้… รู้สึกโมโห โกรธ เขาเลยต้องการทำลาย ทำอันตรายกับระบบหรือข้อมูลก็เกิดขึ้นได้ หรืออาจจะแค่ทำอันตรายกับบุคคลใดบุคคลหนึ่งก็ได้นะคะ อันนี้ก็เป็นสิ่งที่สามารถเกิดขึ้นได้นะคะ โดยเป็นแรงจูงใจจากผู้โจมตี หรืออาจจะมีเหตุการณ์นะคะ ที่ผู้โจมตีนี่เขาเลือกวิธีการที่จะทำอันตรายกับองค์กรของเรา เช่น ใช้ Username หรือบัญชีผู้ใช้งานในทางที่ผิด หรือว่าใช้งานเกินสิทธิ์ที่ได้รับอนุญาต เข้าไปแก้ไขข้อมูลสำคัญ แล้วก็เข้าสู่ระบบโดยที่ไม่ได้รับอนุญาตด้วย อาจจะมีการทำลายระบบโดยที่ไม่ตั้งใจ ทั้งจากภายในแล้วก็ภายนอกองค์กร รบกวนการสื่อสาร บุกรุกเข้าห้องควบคุมโดยที่ไม่ได้รับอนุญาต อันนี้คือสิ่งที่สามารถเกิดขึ้นได้นะคะ แล้วเราจะทำอย่างไร เรามีเครื่องมือในการประเมินสิ่งต่าง ๆ ที่อาจารย์พูดขึ้นก่อนหน้านี้ไหมนะคะ แล้วเราสามารถประเมินอะไรได้บ้าง เราปกป้องอะไรได้บ้าง แล้วเราสามารถประเมินได้ไหมว่า อะไรหรือใครที่เป็นภัยคุกคามหรือส่วนไหนที่เป็นช่องโหว่ขององค์กรของเรา แล้วถ้าเราถูกโจมตี ความเสียหายมีมากน้อยขนาดไหน มูลค่าทรัพย์สินอะไรบ้าง ที่ต้องป้องกัน แล้วมันมีมูลค่าเท่าไรที่เราจะต้องป้องกันนะคะ แล้วเราจะป้องกันอย่างไร แล้วถ้าเรารู้แล้วว่ามันมีช่องโหว่เราจะแก้ไขอย่างไรนะคะ ผลจากการประเมินสิ่งเหล่านี้ มันคือข้อแนะนำเกี่ยวกับการป้องกันที่ดีที่สุดนะคะ ทั้งป้องกันความลับ ความคงสภาพของข้อมูลให้ถูกต้องอยู่เสมอ ข้อมูลสามารถพร้อมเรียกใช้งานได้ตลอดเวลา เราจะทำ 3 สิ่งนี้อย่างไรให้ดีที่สุดนะคะ ขั้นตอนสำคัญของการประเมินความเสี่ยง ก็คือ เราต้องกำหนดขอบเขตก่อน ว่าเราทำอะไรนะคะ หลังจากนั้นก็รวบรวมข้อมูล วิเคราะห์นโยบาย ระเบียบข้อปฏิบัติต่าง ๆ  วิเคราะห์ภัยคุกคามที่สามารถเกิดขึ้นได้ แล้วจุดอ่อนช่องโหว่มีตรงไหนบ้าง แล้วก็มาทำการประเมินความเสี่ยง กำหนดขอบเขตมีอะไร ก็จะเป็นขั้นตอนที่สำคัญที่สุดเลย นะคะว่า เราจะทำอะไรบ้าง เราจะไม่ทำอะไรบ้าง ในระหว่างการประเมินนะคะ ให้ระบุว่าเป็นอะไรที่เราจะต้องป้องกัน ความสำคัญของสิ่งที่เราจะป้องกัน สำคัญขนาดไหน สำคัญระดับว่าจะไม่มีไม่ได้เลยหรือเปล่านะคะ หลังจากนั้นค่อยมาเก็บรวบรวมข้อมูลอาจจะเป็นนโยบายนะคะ กฎหมายระเบียบปฏิบัติต่าง ๆ ที่มีในปัจจุบัน อาจจะเป็นไปสัมภาษณ์ หรือสอบถามบุคคลสำคัญ ๆ ขององค์กรนะคะ ว่าจากมุมมองของผู้บริหารหรือหัวหน้าส่วนงาน ส่วนไหนที่เขารู้สึกว่ามันเป็นจุดอ่อน ผู้บริหารนี่อาจจะช่วยให้ข้อมูลเราได้ในระดับหนึ่งนะคะ แล้วเราก็เอาข้อมูลเหล่านี้ไปรวบรวม เช่น ไปติดตั้ง Patch ในแต่ละเครื่องให้เป็นปัจจุบันเสมอ มีการให้บริการต่าง ๆ ประเภทแล้วก็ Version ของซอฟต์แวร์ในเครื่องเราต้องทันสมัย อะไรบ้างที่ต้องใช้ผ่านเครือข่าย สิทธิ์ในการเข้าออกห้องคอมพิวเตอร์ มีใครเข้าออกได้บ้างนะคะ ในการสื่อสารนี่มันจะเป็นการเชื่อมต่อแบบ Port ก็ให้ดูด้วยว่ามี Port ไหนที่เปิดให้บริการบ้าง จริง ๆ เราอาจจะใช้แค่ 3 Port แต่ทำไม Port ที่4 Port ที่ 5 มีใครเปิดไว้ เปิดไว้ทำไม อันตรายนะคะ การให้บริการเครือข่ายไร้สาย สามารถครอบคลุมทั่วถึงหรือไม่ จำเป็นจะต้อง Login ก่อนใช้งานเครือข่ายหรือไม่นะคะ การทดสอบระบบ Firewall ต่าง ๆ ต้องมีการทำอยู่เสมอนะคะ เว็บไซต์ที่ให้ข้อมูลเกี่ยวกับช่องโหว่ของภัยคุกคามต่าง ๆ ในการประเมินความเสี่ยงนะคะ ก็นักศึกษาสามารถเข้าไปดูข้อมูลเพิ่มเติมได้นะคะ เผื่อใครต้องการศึกษาเพิ่มเติมนะคะ อาจารย์ก็รวมไว้ให้ ประมาณ 4 เว็บไซต์แต่อาจจะมีเพิ่มเติมมากกว่านี้นะคะ ก็จะมีการวิเคราะห์นโยบายระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้องกับองค์กรเรา แล้วก็ดูด้วยว่าองค์กรเรานี่ มีระดับมาตรฐานอะไร มาตรฐานความปลอดภัยที่นิยมใช้ก็เป็นพวก ISO ต่าง ๆ นะคะ ISO17799 ISO15504 พวกนี้เป็นมาตรฐานความปลอดภัยที่องค์กรต่าง ๆ ควรจะต้องยึดถือปฏิบัตินะคะ แต่ถ้าส่วนใดขององค์กรที่ไม่เป็นมาตรฐาน เราก็ลองวิเคราะห์ดูก่อนว่ามันมีความจำเป็นจะต้องทำตามมาตรฐานหรือเปล่า เนื่องจากมาตรฐานด้านความปลอดภัยนี่มีหลายมาตรฐานมาก ๆ นะคะ ถามว่าจำเป็นจะต้องทำทุกข้อไหม ก็ไม่ได้ขนาดนั้น เราอาจจะดูข้อที่มันสำคัญ ๆ แล้วก็เหมาะสมกับองค์กรเราก็ได้นะคะ ต่อมาก็จะเป็นการวิเคราะห์ภัยคุกคาม ก็จะดูว่าเป้าหมายที่น่าจะเป็นภัยคุกคาม หรือส่วนที่น่าจะเป็นจุดที่ภัยคุกคามอาจจะเกิดขึ้นได้นะคะ โดยที่เราก็จะไปพิจารณาก่อนว่า ที่ที่อาจจะเกิดภัยคุกคามนี่ ส่วนมากจะแบ่งอยู่ 3 ประเภทนะคะ อันแรกก็คือ ภัยคุกคามโดยธรรมชาติ น้ำท่วม แผ่นดินไหว พายุ ฝนตกหนัก หลังคารั่วนะคะ หลังคารั่ว ฝ้าถล่ม ลงมาโดนเครื่อง Server สรุปคอมพิวเตอร์ใช้ไม่ได้ หรือภัยคุกคามโดยมนุษย์ที่อาจจะเกิดโดยตั้งใจ ไม่ได้ตั้งใจ เช่น ห้องคอมพิวเตอร์น้ำท่วมเพราะลืมปิดหน้าต่าง หรือบางคนตั้งใจที่จะเปิดไว้เพื่อให้คนปีนเข้ามา หรือตั้งใจที่จะทำลายทรัพย์สินอยู่แล้ว รู้อยู่แล้วว่าฝนจะตก เปิดหน้าต่างทิ้งไว้เลย ให้น้ำมันท่วม ให้ฝนมันสาด หรืออาจจะเป็นเกี่ยวกับสภาพแวดล้อม ไฟฟ้า เช่นตึกนี้ไฟตกบ่อย ขัดข้องบ่อย อินเทอร์เน็ตได้บ้างไม่ได้บ้าง มลภาวะต่าง ๆ อย่างเช่น เครื่องคอมพิวเตอร์ ทำไมต้องอยู่ในห้องแอร์ เพราะอุปกรณ์ที่ใช้ไฟฟ้าเยอะมันจะร้อน ถ้าร้อนอุปกรณ์บางทีได้รับความเสียหาย หรือมลภาวะต่าง ๆ เช่น ฝุ่นเยอะ ช่วงที่มี  PM2.5 เยอะ ๆ  ฝุ่นมันก็จะไปค้างอยู่ในเครื่องคอมพิวเตอร์ พอมันไปอุดเยอะมาก ๆ เข้ามันก็ไปอุดช่องระบายอากาศของเครื่องคอมพิวเตอร์ คอมพิวเตอร์ก็ร้อน ร้อนมากก็พังนะคะ หรืออาจจะเกี่ยวข้องกับสารเคมีรั่วไหล ระบบหล่อเย็นพัง ทำให้สารหล่อเย็นเปื้อนลงไปที่พื้น โดนสายไฟ ไฟช็อค ไฟไหม้อีก ก็อาจจะเกิดขึ้นได้นะคะ การวิเคราะห์จุดอ่อนหรือช่องโหว่นี่ ก็จะเป็นการลองทดสอบสถานการณ์ขององค์กรว่า มันสุ่มเสี่ยงหรือว่าล่อแหลมในการถูกโจมตีหรือไม่นะคะ หรือว่ามีโอกาสที่จะโดนทำลายมากน้อยขนาดไหน ให้ลองทดสอบเจาะระบบ จากทั้งภายในแล้วก็ภายนอกดูนะคะ มันก็จะมีเครื่องมือในการวิเคราะห์ช่องโหว่ของระบบเยอะแยะมากมายเต็มไปหมดนะคะ บางทีเราก็สามารถทดสอบด้วยตัวเองก็ได้นะคะ แต่อย่าทดลองสร้างความเสียหายให้กับคนอื่น ซึ่งระดับความรุนแรงของช่องโหว่นี่ อันแรก มันก็จะมีความเสี่ยงที่น้อย มีความเสี่ยงน้อย เกิดความเสียหายน้อยนะคะ ต่อมาก็จะอาจจะเป็นเกี่ยวกับผลกระทบระดับปานกลาง ถ้าช่องโหว่ระดับ 2 นี่ อาจจะต้องมีการใช้ทรัพยากรในการป้องกันค่อนข้างมาก เพราะว่าถ้ามันมีความเสียหายมันก็จะเกิดความเสียหายค่อนข้างสูงนะคะ เพราะว่ามันอาจจะเกิดจากช่องโหว่หนึ่งช่อง แล้วมันก็จะมีช่องอื่น ๆ ตามมา กับระดับความเสี่ยงระดับที่ 3 ก็ ช่องโหว่อาจจะไม่มีการป้องกันที่ดีมาก ใช้การป้องกันน้อยมาก ๆ แต่เวลาเกิดความเสียหายมันเกิดสูงนะคะ มันก็จะกระทบกับระบบส่วนใหญ่ เช่น ห้องทะเบียนไม่ล็อก ไม่เคยล็อกเลย พอมันหายทีหนึ่ง มันกระทบทั้งมหาวิทยาลัยอะไรอย่างนี้นะคะ หลังจากผ่านมา 5 ข้อ ข้อสุดท้ายก็จะเป็นการประเมินความเสี่ยง เมื่อเราทำตามขั้นทาง… ขั้นตอนการบริหารความเสี่ยงแล้ว มันก็สามารถระบุได้ว่า ความเสี่ยงคืออะไรบ้าง สามารถทำความเสียหายให้กับองค์กรเราอย่างไรได้บ้างนะคะ แล้วมันมีเครื่องมือที่จะป้องกันอย่างไร มีระบบที่จะป้องกันหรือไม่นะคะ เหมาะสมหรือเปล่า มีประสิทธิภาพไหมในการป้องกันภัยคุกคามเหล่านั้นนะคะ การประเมินความเสี่ยงขององค์กรก็แบ่งเป็น 5 ระดับนะคะ อันแรกจะเป็นระดับของระบบ ก็ดูว่าระบบที่เราใช้งานอยู่ มีความเสี่ยงมากน้อยเพียงใด ระบบเครือข่าย มีความเสี่ยงระดับไหน ถ้าไปถึงขั้นระดับภาพรวมขององค์กรนะคะ มีความเสี่ยงใดบ้าง มีการตรวจสอบการป้องกันขนาดไหน มีการทดสอบเจาะเข้าระบบการป้องกันระบบหรือไม่อย่างไรนะคะ ก็จะต้องมีการทำเป็นรูปแบบของรายงานความเสี่ยงออกมาในทุก ๆ ปีนะคะ ก็จะมีแทบจะมีครบทั้ง 5 ระดับนี้อยู่แล้วนะคะ ถ้าเป็นองค์กรที่มีมาตรฐานนะ นโยบายแล้วก็ระเบียบปฏิบัติที่ควรจะมี เช่น นโยบายข้อมูล ความ… รักษาความปลอดภัยของข้อมูลนะคะ นโยบายการใช้งานข้อมูล การสำรองข้อมูลนะคะ ระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการ User ต่าง ๆ ในองค์กรนะคะ การกำหนดสิทธิ์การเข้าถึงนะคะ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ไม่คาดคิด หรือเหตุการณ์ใด ๆ เกิดขึ้น เช่น ภัยธรรมชาติ ภัยคุกคามต่าง ๆ ภัยจากมนุษย์ หรือเกิดจากความไม่ตั้งใจใด ๆ จะต้อง มีขั้นตอนพื้นฐานทำอย่างไรนะคะ เหมือนเวลาเรานั่งเครื่องบินน่ะค่ะ เครื่องบินมันก็บินปกตินี่แหละ แต่เขาจะมีคู่มือความปลอดภัยว่า ถ้าเครื่องบินเป็นแบบนี้ คุณจะต้องนั่งอย่างไร ถ้าลงจอดฉุกเฉินคุณจะต้องทำตัวอย่างไร คล้าย ๆ กัน นะคะ ว่าถ้าเจอเหตุการณ์ 1 2 3 4 5 เราจะต้องแก้ปัญหาอย่างไรบ้าง หลังจากที่มันเกิดเหตุการณ์ขึ้นไปแล้ว มันมีการฟื้นฟูระบบฟื้นฟูทรัพยากรของเรา ภายหลังจากที่เกิดภัยคุกคามแล้วอย่างไรนะคะ ลำดับในการกำหนดนโยบายนี่ ถ้าองค์กรยังไม่มีการกำหนดนโยบายใด ๆ เลย เราก็ต้องเริ่มจากการกำหนดนโยบายก่อน เพราะความเสี่ยงขององค์กรมันขึ้นอยู่ตอนนี้แหละ เพราะมันไม่มีนโยบายอะไรป้องกันเลยนะคะ นโยบายแรก ๆ ที่ควรจะมีก็คือนโยบายเกี่ยวกับข้อมูลนะคะ เพราะว่าสิ่งที่กำหนดว่าข้อมูลขององค์กรมีความสำคัญหรือไม่อย่างไร ข้อมูลอะไรบ้างที่สำคัญ ตอนนี้ก็พูดได้หมดว่าสำคัญทุกอย่าง หรือบางคนก็พูดได้ว่าอุ๊ยไม่สำคัญหรอก ไม่ต้องป้องกัน อันนี้ก็อยู่ที่นโยบายนะคะ เราสามารถเขียนนโยบายหลาย ๆ นโยบายพร้อมกันก็ได้นะคะ ขึ้นอยู่กับทรัพยากรบุคคลที่เรามีในการบริหารจัดการความเสี่ยงนะคะ พอเรามีนโยบายแล้ว ไม่ใช่ว่าใช้ไป 20-30 ปีไม่เคยมีการปรับปรุงเลย ก็ไม่ได้อีก จำเป็นจะต้องปรับปรุงให้มีความทันสมัย วิเคราะห์ว่า 5 ปี 10 ปีที่ผ่านมาในการใช้นโยบายนี้ มันมีจุดด้อยหรือจุดอ่อนอะไรบ้าง เราก็ต้องมาปรับปรุง หรืออาจจะมีการเพิ่มเติมให้มันตามยุคตามสมัยมากขึ้นนะคะ ถ้าในกรณีที่นโยบายหรือการจัดทำข้อมูลนี่ บางทีคนที่คิดนโยบาย หรือเหตุการณ์บ้านเมืองหรือเหตุการณ์ของโลกมันเปลี่ยนแปลงไปมาก ๆ เราอาจจะไม่แก้ไข เราอาจจะเริ่มใหม่เขียนใหม่เลยก็ได้อาจจะง่ายกว่านะคะให้มันทันยุคทันสมัยมากขึ้นก็ได้ การออกแบบแล้วก็การติดตั้งระบบรักษาความปลอดภัยนี่มันก็จะใช้บังคับกับนโยบายรักษาความปลอดภัย อาจจะมีเกี่ยวข้องกับเครื่องมือ เทคนิคต่าง ๆ ระบบควบคุมการเข้าถึงทรัพยากรทางด้านกายภาพของเรานะคะ อาจจะมีการตั้งค่าระบบที่อาจจะไม่ได้เปลี่ยนการตั้งค่ามานานแล้วหรือว่าเพิ่งติดตั้งใหม่ ก็สามารถทำได้ แล้วก็ดูด้วยว่าการติดตั้งระบบใหม่ของเรานี่ มันมีผลกระทบต่อระบบอื่นที่ใช้งานในปัจจุบันหรือไม่ แล้วถ้ามี มันจะมีผลกระทบอย่างไรนะคะ เหมือนบางทีอาจจะบอกว่า มหาวิทยาลัยต้องเปลี่ยนระบบปฏิบัติการใหม่ทุกเครื่อง ต้องดูก่อนว่า บางเครื่องมันถ้าลงระบบปฏิบัติการใหม่ มันใช้กับฐานข้อมูลเดิมได้ไหม ใช้กับระบบเครือข่ายได้หรือเปล่า ไม่ใช่ว่าอยากทำอะไรก็ทำได้เลย ไม่ได้นะคะ พอเราติดตั้งแล้ว อันอาจจะต้องมีระบบรายงานการรักษาความปลอดภัย ก็จะเป็นการเฝ้าระวังจุดต่าง ๆ ที่เราคิดว่ามันเป็นจุดอ่อนนะคะ ที่อาจจะถูกเจาะระบบได้ง่ายหรือถูกคุกคามได้ง่าย ก็จะเป็นการเฝ้าระวังของการใช้งานระบบ มีการสแกนหาช่องโหว่ต่าง ๆ แล้วก็ทุกอย่างจะต้องปฏิบัติตามนโยบายที่วางไว้นะคะ เช่น การเฝ้าระวังทำตลอด 24 ชั่วโมงไหมนะคะ หรือจะต้องมีการเดินมาตรวจสอบทุกสัปดาห์ หรือทุกเช้า 8 โมงจะต้องเปิดประตูเข้ามาดูว่า ระบบความเย็นในห้อง เครือข่ายยังทำงานหรือไม่มีน้ำหยดหรือเปล่า ทุกเช้าหรือเปล่านะคะ ก็แล้วแต่นโยบายที่กำหนดไว้ การพิสูจน์ตัวตน เหมือนที่เราใช้อินเทอร์เน็ตในมหาวิทยาลัยน่ะค่ะ ไม่ใช่ว่าใครอยากใช้ก็ได้ จะต้องอย่างน้อยต้องเป็นคนในองค์กร เป็นอาจารย์ เป็นเจ้าหน้าที่หรือเป็นนักศึกษานะคะ ก็ถึงจะสามารถใช้ระบบเครือข่ายได้ เพราะอย่างน้อยเราจะได้รู้ว่า การเข้าถึงข้อมูลนี้ เกิดขึ้นโดยใครในเบื้องต้นนะคะ การเข้าสถานที่ต้องห้าม เช่น เราอยากเดินเข้าไปในห้อง Server ได้ทุกคนไหม ไม่ได้ จะต้องเป็นเฉพาะบุคคลที่ได้รับอนุญาตแล้วก็ผ่านการพิสูจน์ตัวตนแล้ว เช่น การสแกนบัตร การตรวจลายนิ้วมือ การสแกนหน้า สแกนม่านตา ใด ๆ ว่าไปนะคะ การพิสูจน์ตัวตนนี่ มันมีผลกับทุกระบบขององค์กรนะคะ บางครั้งถ้าไม่มีเลยตั้งแต่แรกนี่ จะต้องดูก่อนว่ามันกระทบกับการทำงานไหม ถ้าติดตั้ง สมมติว่าอยาก… เมื่อตอน… เมื่อก่อนหน้านี้ ใครอยากเล่นอินเทอร์เน็ตใช้ได้เลยทุกคนยังไม่มี Username พาสเวิร์ด ไม่ได้มีการวางแผนไว้ก่อนว่าต่อไปจะต้องมีการเข้าระบบก่อนที่จะใช้งานอินเทอร์เน็ตนะคะ อยู่มาวันหนึ่งมหาวิทยาลัยเปลี่ยนเลย จะต้อง Login ก่อนที่จะเล่นเน็ตได้ แต่ทุกคนยังไม่มี คราวนี้ภัยคุกคามเกิดขึ้นแล้ว ทุกคนก็จะใช้อินเทอร์เน็ตไม่ได้ เพราะไม่มี Password Username Password  ใช่ไหมคะ ก็จะต้องเดินทางหรือ E-mail หรือต้องร้องเรียนไปที่ศูนย์คอมพิวเตอร์ คนเข้ามาขอใช้บริการพร้อมกัน 2,000-3,000 คน ระบบล่ม เจ้าหน้าที่รับไม่ได้แน่ ๆ นะคะ จะต้องมีการวางแผนล่วงหน้าก่อน เช่น ให้ทุกคนมี Username Pasword ของตัวเองก่อนแล้วค่อยเริ่มใช้ระบบพร้อม ๆ กันก็ได้นะคะ การรักษาความปลอดภัยนะคะ เราก็จะมีทั้งตัว Firewall แล้วก็ระบบ VPN เป็นระบบเครือข่ายแบบส่วนตัว มีการเข้ารหัสข้อมูลนะคะ สิ่งที่สำคัญก็คือมันจะต้องมีการออกแบบการติดตั้งตั้งแต่โครงสร้างพื้นฐานของเครือข่ายอยู่แล้วนะคะ เพราะมันจะต้องกำหนดขนาด กำหนดประสิทธิภาพของ Firewall เพราะว่าทุกอย่างเป็นราคาหมด ไม่ใช่ว่าอยาก ตัวนี้ก็อยากได้วันนี้ซื้อเลยไม่ได้นะคะ ทุกอย่างเป็นสิ่งที่จะต้องมีทุนทรัพย์ก่อนทั้งนั้นนะคะ ไม่ใช่ว่า อุ้ย คิดได้ว่าต้องมี บางทีมันระบบเราใช้ไปแล้ว ถ้าจะเพิ่มบางอย่างเข้าไปอาจจะกระทบกับการทำงานหลัก ๆ นี้ก็ไม่ได้เหมือนกันนะคะ แล้วก็จะมีระบบตรวจจับการป้องกันการบุกรุกนะคะ อันนี้จะเป็นระบบที่เอาไว้แจ้งเตือนเครือข่ายนะคะว่า มันก็จะแจ้งเตือนผู้ดูแลระบบ ถ้ามีคนที่พยายามจะบุกรุกเข้าสถานที่ต้องห้าม หรือระบบเครือข่ายคอมพิวเตอร์ของเรานะคะ ก็จะเป็นการแจ้งเตือนซึ่ง Antivirus เป็นระบบเตือนภัยที่ใช้ทรัพยากรน้อยที่สุด ควรจะติดตั้งลงบนคอมพิวเตอร์ทุกเครื่อง แต่พอระบบบริการรุ่นใหม่ ๆ นี่ของ Windows มันก็จะมี Windows Defender ก็คือระบบ… ระบบป้องกันไวรัสของ Windows พื้นฐานมาให้อยู่แล้วบางคนก็ถือว่าพอใช้งานได้ แต่ถ้าใครต้องการความปลอดภัยมากขึ้นก็สามารถซื้อ Antivirus มาติดตั้งเพิ่มเติมก็ได้นะคะ การเข้ารหัสข้อมูลก็จะเป็นการป้องกันขั้นสูงขึ้นมานะคะ ก็จะป้องกันข้อมูลในการส่งผ่านข้อมูลผ่านเครือข่ายกับอาจจะเป็นเกี่ยวกับการส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ หรือระหว่างเครื่องคอมพิวเตอร์กับอุปกรณ์จัดเก็บข้อมูลนะคะ แต่การเข้ารหัสนี่ มันจะทำให้การเข้าถึงข้อมูล หรือการปล่อยข้อมูลออกไปนี้มันช้าลงนะคะ เพราะฉะนั้น มันก็ไม่ต้องจำว่าจะต้องเข้ารหัสทุก ๆ ข้อมูลที่มีก็ได้ อย่างคุณส่งการบ้านอาจารย์ก็ไม่ต้องเข้ารหัสก็ได้นะคะ แต่ถ้ามันเป็นข้อมูลที่สำคัญมาก ๆ แล้วแต่คนนะ อย่างเช่น เลขบัญชีธนาคารเวลาอยากส่งให้เพื่อนก็อาจจะมีการเข้ารหัส หรือ E-mail กลัวพวกมิจฉาชีพจะสุ่ม E-mail เจอก็อาจจะมีวิธีการเขียน E-mail แบบใหม่ ส่งข้อมูลไปก็ได้นะคะ การรักษาความปลอดภัยด้านกายภาพก็ เช่น ติดกล้องวงจรปิด ล็อกกุญแจ ใช้คีย์การ์ด มี รปภ. นะคะ ให้พนักงานทุกคนต้องห้อยป้ายแสดงตัวตนนะคะ แล้วก็ถ้าพื้นที่ที่จะต้องได้รับความปลอดภัยเป็นพิเศษ เช่น ศูนย์ข้อมูลต่าง ๆ ห้องทะเบียนอะไรอย่างนี้ ก็จะต้องมีระบบการป้องกันที่หนาขึ้น ระบบป้องกันไฟไหม้นะคะ ระบบควบคุมอุณหภูมิแล้วก็มีการสำรองไฟที่ดี อย่างเช่น เอ้า สำรองไฟก็ไม่ได้แพงมากนี่ แต่ถ้าสำรองไฟทั้งตึก เครื่องสำรองไฟราคาเป็นล้านนะคะ เพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์เสียหาย ก็ต้องเป็นการลงทุนที่คุ้มค่านะคะ คณะทำงานด้านความเสี่ยงแล้วก็รักษาความปลอดภัยนี่ ก็เมื่อมีการติดตั้งระบบป้องกันรวมถึงรักษาความปลอดภัยนี้ ก็จะต้องมีคนดูแล บางระบบมีคนดูแลตลอด 24 ชั่วโมง 7 วันนะคะ เหมือนเข้าเวร การรักษาความปลอดภัยนี่ก็คือหน้าที่แล้วก็ความรับผิดชอบของทุกคนในองค์กร อย่างเช่นข้อมูลในมหาวิทยาลัย ถ้านักศึกษาเห็นคนไม่น่าไว้ใจมาด้อม ๆ มอง ๆ ก็ช่วยเป็นหูเป็นตาด้วยกันนะคะ เขาทำไมไม่ใส่ชุดนักศึกษา ทำไมเขามานั่งอยู่ตรงนี้หลายวันแล้ว ทำไมเขาดูจ้อง ๆ เวลาเราไขกุญแจห้อง หรือเขาจ้องเวลาเราใส่รหัสผ่าน ก็ต้องช่วยกันเป็นหูเป็นตานะคะ การฝึกอบรมบางครั้งนี่ มันไม่ใช่ว่าทุกคนจะเรียนทางด้านคอมพิวเตอร์ หรือบางคนอาจจะเข้าใจระบบไม่ดีพอนะคะ อาจจะมีการฝึกอบรมโดยการประชุม หรือการชี้แจง หรืออาจจะเป็นสื่อตีพิมพ์ต่าง ๆ นะคะ เช่นบางทีนโยบายด้านการรักษาความปลอดภัยนี่ ควรจะเป็นส่วนหนึ่งของการปฐมนิเทศ พนักงาน สื่อปฐมนิเทศนักศึกษา ผู้ดูแลระบบก็จะต้องปรับปรุงความรู้ตัวเอง ให้ทันสมัยอยู่เสมอ อาจจะมีการไปอบรมเป็นประจำนะคะ ปรับปรุงความรู้ นักพัฒนาแอปพลิเคชันก็จะต้องเขียนแอปพลิเคชัน หรือเขียนโปรแกรมให้มีความปลอดภัยตามมาตรฐานที่เกิดขึ้นในปัจจุบัน ผู้บริหารก็จะต้องใส่ใจในรายงานต่าง ๆ สถานภาพต่าง ๆ ความก้าวหน้าของโครงการมีการติดตามผลต่าง ๆ หรือติดตามด้านการรักษาความปลอดภัยอยู่เสมอ คณะทำงานเจ้าหน้าที่รักษาความปลอดภัยต่าง ๆ ก็ต้องปรับปรุงความรู้นะคะ เท่า… ให้เท่าทันกับผู้คุกคามหรือมิจฉาชีพใด ๆ นะคะ เพื่อจะได้ปกป้องข้อมูลปกป้องระบบขององค์กรไว้ได้นะคะ ขั้นตอนสุดท้ายก็จะดูว่า มีการฝ่าฝืนนโยบายหรือระเบียบหรือเปล่านะคะ ก็การตรวจสอบก็จะมีอยู่ 3 ประเภทนะคะ ก็คือ การตรวจสอบตามนโยบายที่เราตั้งไว้ว่าเป็นไปตามที่เรากำหนดไว้ทุกข้อหรือไม่ ถ้ามีโครงการใหม่ ๆ ขึ้นมาก็จะต้องทำการประเมินใหม่ อาจจะให้ผู้ที่เชี่ยวชาญทางด้านระบบคอมพิวเตอร์ ทดลองเจาะระบบที่เรามี ถ้าเขาทำสำเร็จ ถ้าสมมุติเราจ้างนะ มันก็จะเป็นผู้เชี่ยวชาญในความชำนาญในการทำงานด้านนี้ เขาก็จะบอกว่าจุดอ่อนคืออะไร แล้วเราจะได้ไปอุดจุดอ่อนนั้น หรือไปปิดช่องนั้น แต่ถ้าผู้เชี่ยวชาญคนนั้น เขาเจาะระบบคอมพิวเตอร์เราไม่สำเร็จ ก็ไม่ได้หมายความว่ามันไม่มีจุดอ่อน เขาอาจจะยังหาไม่เจอก็ได้นะคะ ก็ต้องทำการทดสอบไปเรื่อย ๆ วันนี้เลยมีงานให้นักศึกษาทำ 4 ข้อนะคะ ทำใส่ Microsoft Word แล้วก็ส่งใน Classroom เหมือนเดิมนะคะ 4 ข้อหาข้อมูลในอินเทอร์เน็ตนี่แหละค่ะ ว่ากระบวนการรักษาความปลอดภัยข้อมูลเป็นอย่างไรบ้างนะคะ ปัจจัยที่ทำให้เกิดช่องโหว่ Patch มันคืออะไร เมื่อกี้อธิบายไปแล้ว นักเล่นเกมน่าจะรู้ดี อาจารย์พูดถึง ISO17799 กับ ISO15504 ลองหาข้อมูลในอินเทอร์เน็ตสิว่ามันมีความสำคัญอย่างไร แล้วก็ระบบ Intrusion Detection System IDS นี่ มันคืออะไร เมื่อกี้พูดไปแล้ว [สิ้นสุดการถอดความ]