---
title: (สำรอง) วิชาการจัดการความมั่นคงและปลอดภัย (บ่าย) 211166
subtitle: 
date: วันอังคารที่ 21 พฤษจิกายน  2566  เวลา 13.00 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)
นะคะ แล้วก็ข้อ 2 ความน่าจะเป็นที่จะเกิดอุบัติเหตุ ก็ถือว่าเป็นภัยคุกคาม ความไม่ปลอดภัยหรืออุบัติเหตุที่จะเกิดขึ้น ... มาคำนวณว่า เขาจะรู้สึกอย่างไร ถ้ารู็สึกว่า... ไม่ใช่ว่าเราจะชนรถชนทุกเดือน ทุกเดือน เป็นไปไม่ได้ไม่มีใครอยากให้ทรัพย์สินของเรามีปัญหาอยู่แล้วนะคะ พอเรารวมช่องโหว่งกับภัยคุมคามเข้าด้วยกันเพราะถ้ามันไม่มีช่องโหว่ ก็ไม่มีความเสี่ยง ถ้าไม่มีภัยคุกคามก็ไม่มีความเสี่ยง เพราะทุกอย่างรวมเข้าไหมนะคะ ภัยคุกคามอาจจะเราทำดีแล้วแต่มันก็ยังเสี่ยงอยู่ ก็เป็นไปได้นะคะ ช่องโหว่ หรือว่าจุดอ่อนนี่ มันเลยเป็นช่องทางที่อาจจะใช้เป็นช่องทางระบบเครือข่ายหรือโจมตีข้อมูลเราได้นะคะ จุดอ่อนก็มีหลายระดับนะคะ ตั้งแต่ยากไปถึงง่าย อาจจะเกี่ยวข้องด้านความชำนาญทางด้านเทคนิค ถ้าเป็น Programmer มีประสบการณ์ในการเจาะระบบมาก ๆ เราคิดว่าเราป้องกันดีแล้ว เขายังหาช่องโหว่ของเราได้ จุดอ่อนของเราได้นะคะ หรือบางทีเขาอาจจะหาผล ที่จะทำให้ระบบเราถูกกระทบ จากการที่เราเปิดช่องโหว่นั้นไว้นะคะ จุดอ่อนนี่ไม่ได้มีแค่ในระบบคอมพิวเตอร์ ระบบเครือข่าย หรือจัดเก็บข้อมูลเท่านั้นนะคะ อาจจะเป็นทางด้านกายภาพ เช่น การรักษาความปลอดภัยในห้องทำงาน ในห้องเก็บข้อมูลนะคะ ไม่คล้องกุญแจ ไม่ปิดประตูให้สนิทนะคะ ไม่มีการเข้ารหัส สแกนลายนิ้วมือนะคะ ใครอยากเปิดเข้ามาดูข้อมูลก็ได้ หรือตัวพนักงานเองหละหลวมนะคะ  Log in ข้อมูลตัวเองทิ้งไว้บนคอมพิวเตอร์สาธารณะ ใครก็สามารถเข้ามาดูข้อมูลเราได้ หรือว่าข้อมูลนั้น ๆ โปรแกรมเมอร์เปิดเผยสาธารณะ ทั้ง ๆ ที่มันควรจะเป็นข้อมูลลับนะคะ สิ่งเหล่านี้อาจจะไม่ได้อยู่ในรูปแบบระบบคอมพิวเตอร์ อาจจะอยู่ในรูปแบบของเอกสาร ที่เป็นกระดาษ หรือเป็นเอกสาร Hard Copy อื่น ๆ ก็ได้นะคะ เพราะฉะนั้น ข้อมูลของเรานี่ มันไม่ควรจะเปิดเผยให้คนอื่นรู้นะคะ โดยที่เราไม่ยินยอมนะคะ ปัจจัยที่ทำให้เกิดช่องโหว่ ในระบบคอมพิวเตอร์นะคะ ก็คืออันแรก Username หรือรายชื่อผู้ใช้งานไม่มีประสิทธิภาพ ไม่มีการจัด เขาเรียกว่าอะไรล่ะ ความสำคัญของ User เช่น ถ้าการจัดการผู้ใช้งานไม่ดี นักศึกษาแต่ละคนก็อาจจะดูเกรดเพื่อนก็ได้ ดูเกรดใครก็ได้ ดูเกรดอาจารย์ก็ได้ ดูวุฒิการศึกษาอาจารย์ก็ได้ ที่อยู่อาจารย์แต่ละคน หรือดูข้อมูลภูมิลำเนา ชื่อพ่อแม่เพื่อน มีการจัดการบัญชีรายชื่อที่ดี เช่น นักศึกษามีสิทธิ์ ก็แค่ดูเฉพาะข้อมูบของตัวเองเท่านั้นนะคะ ดูของเพื่อนไม่ได้ การกำหนดสิทธิของอาจารย์ อาจารย์ก็อาจจะดูข้อมูลนักศึกษา ดูเกรดนักศึกษาได้ทุกคน แต่ก็จะดูข้อมูลเพื่อนอาจารย์คนอื่นไม่ได้นะคะ ก็ต้องมีการกำหนดสิทธิ์ที่มีประสิทธิภาพด้วย หรือการที่ซอฟต์แวร์ที่เราใช้งานอยู่ หรือว่าเราเรียกว่ามันมี Bug นะคะ ก็อันนี้ก็เป็นช่วงโหว่อีกช่องหนึ่ง ที่บางทีเราคิดว่ามันทำงานได้ดีอยู่แล้ว แต่ว่าเราไม่รู้สึกตัว แล้วก็ No Patch อันนี้ก็คือไม่มีการปรับปรุงโปรแกรมให้ทันสมัยนะคะ ถ้าใครเล่นเกม ก็จะเข้าใจคำว่า "Patch" มันจะมีการปรับแผนที่ ปรับตัวละครใช่ไหมคะ ถ้าเล่นเกม แต่ถ้าเป็นส่วนของซอฟต์แวร์หรือโปรแกรมนี่ มันก็ต้องมีการปรับปรุงเวอร์ชัน หรือปรับปรุงรุ่นของซอฟต์แวร์ให้ทันสมัยอยู่เสมอนะคะ เพราะบางทีอาจจะมีภัยคุกคามอื่น ๆ มานี่ เขาก็จะทำการปรับปรุง เพิ่มให้อุปกรณ์ของเรานี่รู้จักภัยคุกคามเหล่านั้นด้วย ถ้าสมมติว่าเราไม่มีการปรับปรุงเลย ใหม่ ๆ มา คอมพิวเตอร์เราอาจจะไม่รู้จักก็ได้นะคะ แล้วก็บางคนมีโปรแกรมป้องกันไวรัส แต่ไม่ได้อัปเดต ก็เป็นภัยคุกคาม ถ้าใครใช้โปรแกรมที่ผิดกฎหมาย มันก็จะอัปเดตตัวฐานข้อมูลไวรัสไม่ได้นะคะ แล้วก็การปรับแต่งปรับแต่ค่าต่าง ๆ ของระบบมีความผิดพลาด ระบบมันผิดพลาดเอง แต่มันเป็นช่วงที่เราทำงานอยู่พอดี ก็อาจจะส่งผลให้เรามีความเสี่ยงด้วยเหมือนกัน เช่น อาจจะเป็นการที่เรากำลังยืนกดสตางค์อยู่ แล้วระบบมันล่ม ฉันกดแล้ว ยอดเงินบอกว่าเงินตัดไปแล้วแต่เงินมันไม่ออกจากตู้น่ะ อันนี้คือความเสี่ยงของเรานะคะ รวมถึงบุคคลากรในองค์กร เขาเข้าใจบทบาท เข้าใจหน้าที่ เข้าใจสิทธิ์ในการใช้งานหรือการแก้ไขข้อมูลขนาดไหนนะคะ ภัยคุกคามที่เป็นอันตรายต่อองค์กรต่อทรัพย์สินมีองค์ประกอบอยู่ 3 ส่วนนะคะ ก็คือมีเป้าหมาย มีผู้โจมตี แล้วก็เป็นเหตุการณ์ เป้าหมายนะคะ ที่มีโอการเกิดภัยคุกคามนี่ มันก็จะมีองค์ประกอบอยู่ในด้านต่าง ๆ เช่น ด้านความลับของข้อมูลนะคะ ก็จะเป็นภัยคุกคามที่บางทีข้อมูลที่เป็นข้อมูลลับ อาจจะถูกไปเปิดเผยโดยไม่ได้รับอนุญาตก็ได้ การคงสภาพของข้อมูล มีความพยายามที่จะเปลี่ยนแปลงข้อมูล เช่น เกรดไม่ดีเลย แต่เป็น Hacker เป็นโปรแกรมเมอร์ที่เก่งมาก ได้เกรด เรียนไม่ดี แต่อยากได้เกรด 4.00 ก็พยายามจะเจาะระบบเข้าไปเปลี่ยนเกรดตัวเอง ในระบบทะเบียนก็ได้ อาจจะเกิดขึ้นได้นะคะ หรือว่าภัยคุกคามที่เข้ามาลบเลขบัตรประชาชนออกไปหมด ในฐานข้อมูลเลยนะคะ อย่างนี้ก็สามารถเกิดขึ้นได้เหมือนกัน เพราะว่าบางทีโปรแกรมเมอร์บางคนทำไปไม่ใช่เพราะเขาอยากขโมยข้อมูล เขาแค่อยากแสดงความสามารถให้ทุกคนยอมรับเขาก็มีนะคะ แล้วก็ความพร้อมใช้งานนี่ จะเป็นเป้าหมายในการโจมตีแบบที่ปฏิเสธให้บริการ เช่น จะกดเงิน ธนาคารธนาคารหนึ่ง แต่ธนาคารนี้ก็ลังโดน Hacker โจมตีอยู่นะคะ ทำให้เจ้าของบัญชีธนาคารของธนาคารนี้ อาจจะกดเงินไม่ได้สักคน ห้ามกดนะคะ หรือว่าอาจจะห้ามฝากเงิน คีย์เงินเท่าไรเงินก็ไม่เข้า ไปเข้าบัญชีของคนอื่นก็มีนะคะ แต่ส่วนมากมันจะเป็นการปฏิเสธการให้บริการ เช่น เราพยายามจะโอนสตางค์ เราพยายามจะกดเงิน มันจะไม่ให้เราทำธุรกรรมเหล่านั้น เป็นต้นนะคะ โดยผู้โจมตีนี่ ก็คือคนที่กระทำการใด ๆ ที่ให้เกิดผลเสียหรือด้านลบแก่องค์กรนะคะ โดยที่คนโจมตีนี่ เขาจะมีคุณสมบัติ หรือคุณลักษณะอยู่ 3 ข้อ ก็คือเขาสามารถเข้าถึงเป้าหมายที่เขาจะโจมตีได้ เช่น เขาอยากโจมตีเครื่องคอมพิวเตอร์ห้องนี้ เขาก็มั่นใจแล้วว่าเขาสามารถเข้ามาในระบบคอมพิวเตอร์ห้องนี้ได้นะคะ แล้วก็เขารู้ ว่าเขาจะมาโจมตีข้อมูลอะไร เช่น ลบโปรแกรมของเครื่องคอมพิวเตอร์ทุกเครื่องในห้องนี่ออกหมดเลย ไม่ให้ใช้ แล้วผู้โจมตีนี่ เขาก็จะมีแรงจูงใจ ว่าเขาทำไปทำไมนะคะ เขาจะรู้อยู่ในใจเขาอยู่แล้วล่ะ ว่าเขาทำไปทำไม โดยข้อแรก ผู้โจมตีนี่ เขาจะเข้าถึงระบบ หรือเครือข่าย หรือสถานที่ต่าง ๆ ที่เขาต้องการ เช่น เขาอาจจะเจาะเข้าระบบมา โดยเขาอาจจะรู้ Username แล้วเขาก็สุ่ม Password หรือว่าอะไรนะ Hack เข้ามาเลยนะคะ บางทีไม่จำเป็นต้องใส่ Username Password เขาอาจจะมีช่องโหว่ที่เขาเคยเปิดไว้ หรือว่า user เปิดไว้โดยที่ไม่ตั้งใจนะคะ เขาก็สามารถเข้าได้ โดยองค์ประกอบการเข้าถึงของเขา ก็คือเขารอจังหวะ เขารอโอกาสอยู่ เช่น เขารอแค่ให้เจ้าของเครื่องมาเปิดคอมพิวเตอร์ แล้วเชื่อมอินเทอร์เน็ตนะคะ เขาก็สามารถเข้าสู่เครื่องคอมพิวเตอร์คุณได้เลย โดยคนโจมตีนี่ อาจจะเป็นนักศึกษา เป็นบุคคลในองค์กร อาจจะเป็นพนักงงานปัจจุบัน พนักงานเก่าที่รู้สึกไม่พอใจการทำงานขององค์กร อาจจะเป็น Hacker หรือจะเป็นคู่แข่งทางด้านธุรกิจ ก็เป็นไปได้นะคะ อันนี้ก็เกิดขึ้นได้หมด ข้อต่อมา ผู้โจมตีนี่ เขาก็จะมีความรู้ หรือข้อมูลเกี่ยวกับเป้าหมาย เช่น รู้ Username รู้ชื่อผู้ใช้นะคะ แต่ไม่รู้รหัสผ่าน แต่บางทีเขารู้ว่าผู้ใช้งานแต่ละคนนี่เขาอาจจะมีข้อมูลว่า เขามีข้อมูลแล้วว่าทุกคนเกิดวันอะไร ปีอะไร รู้วันเกิดนะคะ เขาอาจจะสามารถเดารหัส จากวัน เดือน ปีเกิดของเราได้ หรือเขารู้ Email เขามีรหัส E-mail เขาสามารถแจ้งว่าลืม Password แล้วให้ส่ง Password ใหม่มาทางอีเมลก็ได้ กับมันมีอีกระบบหนึ่งที่ Hacker เขาเคยใช้คือ เป้นการ Copy IP Address ของเครื่องเครื่องหนึ่งนะคะ เขาก็สามารถเอาเลข Copy ตัวนี้ ไปทำให้เครื่องคอมพิวเตอร์ของ Hacker เป็นเครื่องคอมพิวเตอร์เดียวกับเราก็ได้ เพื่อผ่านระบบรักษาความปลอดภัยเข้าไปนะคะ ยิ่งผู้โจมตีนี่ เขารู้ข้อมูลของเรามากเท่าไร จุดอ่อนมันก็ยิ่งมากขึ้น เช่น รู้เลขบัตรประชาชน รู้วันเดือนปีเกิด รู้เบอร์โทรศัพท์เรา ขาดแค่ Password เขาก็สามารถพอที่จะเดาได้ หรือว่าอาจจะแจ้งระบบให้กู้คืนบัญชีจากโทรศัพท์ อะไรก็ว่าไปนะคะ แล้วเขาก็จะยิ่งมีโอกาสที่จะใช้ประโยชน์จากจุดอ่อนนั้น วันใดวันหนึ่งก็ได้นะคะ โดยส่วนมากเขาก็จะมีแรงจูงใจ บางทีเขาก็มาจากที่ความท้าทาย เขาอยากพยายามพิสูจน์ว่าเขาทำได้นะ บางคนเขาอาจจะแค่ท้า แน่จริงลองเจาะระบบคอมห้องนี้ดูสิ อาจจะโดนท้าทาย หรือความอยากได้อย่างอื่น เช่น เรียกค่าไถ่ข้อมูลนะคะ เช่น บางคนอาจจะโพสต์คลิปวิดีโออะไรไว้ในเครื่อง แล้ว Hacker มาเจอ เขาอาจจะเอาสิ่งนี้ ไปเรียกรับเงินจากคุณก็ได้ รู้สึกโมโห โกรธ เขาเลยต้องการทำลาย ทำอันตรายกับระบบหรือข้อมูล ก็เกิดขึ้นได้ หรืออาจจะแค่ทำอันตรายกับบุคคลใดบุคคลหนึ่งก็ได้นะคะ อันนี้ก็เป็นสิ่งที่เกิดขึ้นได้นะคะ โดยเป็นแรงจูงใจจากผู้โจมตี หรืออาจจะมีเหตุการณ์นะคะ ที่ผู้โจมตีนี่ เขาเลือกวิธีการโจมตีที่จะทำอันตรายกับองค์กรของเรา เช่น ใช้ Username หรือบัญชีผู้ใช้งานในทางที่ผิด หรือว่าใช้งานเกินสิทธิ์ที่ได้รับอนุญาต เข้าไปแก้ไขข้อมูลสำคัญ แล้วก็เข้าสู่ระบบโดยที่ไม่ได้รับอนุญาตด้วย อาจจะมีการทำลายระบบโดยที่ไม่ได้ตั้งใจ ทั้งจากภายในและภายนอกองค์กร รบกวนการสื่อสาร บุกรุกเข้าห้องควบคุมโดยที่ไม่ได้รับอนุญาติ อันนี้เป็นสิ่งที่เกิดขึ้นได้นะคะ แล้วเราจะทำอย่างไร เรามีเครื่องมือในการประเมินสิ่งต่าง ๆ ที่อาจารย์พูดขึ้นก่อนหน้านี้ไหมนะคะ แล้วเราสามารถประเมินอะไรได้บ้าง เราปกป้องอะไรได้บ้าง แล้วเราสามารถประเมินได้ไหม ว่าอะไรที่ใครที่เป็นภัยคุกคาม หรือส่วนไหนที่เป็นช่องโหว่ขององค์กรของเรา แล้วถ้าเราถูกโจมตี ความเสียหายมีมากน้อยขนาดไหน มูลค่า ทรัพย์สินอะไรบ้าง ที่ต้องป้องกัน แล้วมันมีมูลค่าเท่าไร ที่เราต้องป้องกันนะคะ แล้วเราจะป้องกันอย่างไร แล้วถ้าเรารู้แล้วว่ามันมีช่องโหว่ เราจะแก้ไขอย่างไรนะคะ ผลจากการประเมินสิ่งเหล่านี้ มันคือข้อแนะนำเกี่ยวกับการป้องกันที่ดีที่สุดนะคะ ทั้งป้องกันความลับ ความคงสภาพของข้อมูลให้ถูกต้องอยู่เสมอ ข้อมูลพร้อมเรียกใช้งานได้ตลอดเวลา เราจะทำ 3 สิ่งนี้ อย่างไร ให้ดีที่สุดนะคะ ขั้นตอนสำคัญของการประเมินความเสี่ยง ก็คือเรากำหนดขอบเขตก่อน ว่าเราทำอะไรนะคะ หลังจากนั้นก็รวบรวมข้อมูล วิเคราะห์นโยบาย ระเบียบ ข้อปฏิบัติต่าง ๆ วิเคราะห์ภัยคุกคามที่สามารถเกิดขึ้นได้ แล้วจุดอ่อน ช่องโหว่มีตรงไหนบ้าง แล้วก็ทำการประเมินความเสี่ยง กำหนดขอบเขต มีอะไร ก็จะเป็นขั้นตอนที่สำคัญที่สุดเลยนะคะ ว่าเราจะทำอะไรบ้าง เราจะไม่ทำอะไรบ้าง ระหว่างการประเมินนะคะ ให้ระบุว่าเป็นอะไรที่เราจะต้องป้องกันความสำคัญของสิ่งที่เราจะป้องกัน สำคัญขนาดไหน สำคัญระดับว่าจะไม่มีไม่ได้เลยหรือเปล่านะคะ หลังจากนั้นค่อยมาเก็บรวบรวมข้อมูล อาจจะเป็นนโยบายนะคะ กฎหมาย ระเบียบปฏิบัติต่าง ๆ ที่มีในปัจจุบัน อาจจะเป็นไปสัมภาษณ์ หรือสอบถามบุคคลสำคัญ ๆ ขององค์กรนะคะ ว่าจากมุมมองของผู้บริหาร หรือหัวหน้าส่วนงาน ส่วนไหนที่เขารู้สึกว่ามันเป็นจุดอ่อน ผู้บริหารนี่ อาจจะช่วยให้ข้อมูลเราได้ในระดับหนึ่งนะคะ แล้วเราก็เอาข้อมูลเหล่านี้ไปรวบรวม เช่น ไปติดตั้ง Patch ในแต่ละเครื่อง ให้เป็นปัจจุบันเสมอ มีการให้บริการต่าง ๆ ประเภท แล้วก็เวอร์ชันของซอฟต์แวร์ในเครื่องเราต้องทันสมัย อะไรบ้าง ที่ต้องใช้ผ่านเครือข่าย สิทธิ์ในการเข้า-ออกห้องคอมพิวเตอร์ มีใครเข้าออกได้บ้างนะคะ ในการสื่อสารนี่มันจะเป็นการเชื่อมต่อแบบ Port ก็ให้ดูได้ว่ามี Port ไหนที่ให้บริการบ้าง จริง ๆ เราอาจจะใช้แค่ 3 Port แต่ทำไม Port ที่ 4 นะคะ Port ที่ 5 มีใครเปิดไว้ เปิดไว้ทำไม อันตรายนะคะ การให้บริการเครือข่ายไร้สาย สามารถครอบคลุมทั่วถึงหรือไม่ จำเป็นจะต้อง Login ก่อนใช้งานเครือข่ายหรือไม่นะคะ การทดสอบระบบ Firewall  ต่าง ๆ ต้องมีการทำอยู่เสมอนะคะ เว็บไซต์ที่ให้ข้อมูลเกี่ยวกับช่องโหว่ ภัยคุกคามต่าง ๆ ในการประเมินความเสี่ยงนะคะ นักศึกษาสามารถเข้าไปดูข้อมูลเพิ่มเติมได้นะคะ เผื่อใครต้องการศึกษาเพิ่มเติม อาจารย์ก็รวบรวมไว้ให้ ประมาณ 4 เว็บไซต์ แต่อาจจะมีเพิ่มเติมมากกว่านี้นะคะ ก็จะมีการวิเคราะห์นโยบาย ระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้องกับองค์กรเรา แล้วก็ดูด้วยว่าองค์กรเรามีระดับมาตรฐานอะไร มาตรฐานความปลอดภัยที่นิยมใช้จะเป็นพวก IOS ต่าง ๆ นะคะ ISO 17799 ISO 15504 พวกนี้ เป็นมาตรฐานความปลอดภัยที่องค์กรต่าง ๆ ควรจะต้องยึดถือ ปฏิบัตินะคะ แต่ถ้าส่วนใดขององค์กรที่ไม่เป็นมาตรฐาน เราก็ลองวิเคราะห์ดูก่อนว่ามันมีความจำเป็นจะต้องทำตามมาตรฐานหรือเปล่า เนื่องจากมาตรฐานด้านความปลอดภัยนี่ มีหลายมาตรฐานมาก ๆ นะคะ ถามว่าจำเป็นจะต้องทำทุกข้อไหม ก็ไม่ต้องขนาดนั้น เราอาจจะดูข้อที่มันสำคัญ ๆ แล้วก็เหมาะสมกับองค์กรเราก็ได้นะคะ ต่อมาก็จะเป็นการวิเคราะห์ภัยคุกคาม ก็จะดูว่าเป้าหมายที่น่าจะเป็นภัยคุกคาม หรือส่วนที่น่าจะเป็นจุดที่ภัยคุคามอาจจะเกิดขึ้นได้นะคะ โดยที่เราก็จะไปพิจารณาก่อนว่า ที่ ๆ อาจจะเกิดภัยคุกคามนี่ ส่วนมากจะแบ่งเป็น 3 ประเภทนะคะ ภัยคุกคามโดยธรรมชาติ น้ำท่วม แผ่นดินไหว พายุ ฝนตกหนัก หลังคารั่วนะคะ หลังคารั่ว ฝ้าถล่มลงมาโดนเครื่อง Server สรุป เครื่องคอมพิวเตอร์ใช้ไม่ได้ หรือภัยคุกคามโดยมนุษย์ ตั้งใจ ไม่ได้ตั้งใจ เช่น ห้องคอมพิวเตอร์น้ำท่วมเพราะลืมปิดหน้าต่าง หรือบางคนตั้งใจที่เปิดไว้ เพื่อให้คนปีนเข้ามา หรือตั้งใจจะทำลายทรัพย์สินอยู่แล้ว รู้อยู่แล้วว่าฝนจะตก เปิดทิ้งไว้เลย ให้น้ำมันท่วม ให้ฝนมันสาด หรืออาจจะเป็นเกี่ยวกับสภาพแวดล้อม ไฟฟ้า เช่น ตึกนี้ไฟตกบ่อย ขัดข้องบ่อย อินเทอร์เน็ต ได้บ้าง ไม่ได้บ้าง มลภาวะต่าง ๆ อย่างเช่น เครื่องคอมพิวเตอร์ ทำไมต้องอยู่ในห้องแอร์ เพราะอุปกรณ์ที่ ใช้ไฟฟ้าเยอะมันจะร้อน ถ้าร้อน บางทีอุปกรณ์ได้รับความเสียหาย หรือมลภาวะต่าง ๆ เช่น ฝุ่นเยอะ ช่วงนี้ PM2.5 เยอะ ๆ ฝุ่นมันก็จะไปค้างอยู่ในเครื่องคอมพิวเตอร์ พอมันไปอุดเยอะมาก ๆ เข้า มันก็ไปอุดช่องระบายอากาศของเครื่องคอมพิวเตอร์ คอมพิวเตอร์ก็ร้อน ร้อนมากก็พังนะคะ หรืออาจะเกี่ยวข้องกับสารเคมีรั่วไหล ระบบหล่อเย็นพัง ทำให้สารหล่อเย็นเปื้อนลงไปที่พื้น โดยสายไฟ ไฟช็อต ไฟไหม้อีกนะคะ การวิเคราะห์ จุดอ่อนหรือช่องโหว่นี่ จะเป็นการวิเคราะห์สถานการณ์ขององค์กรว่ามันสุ่มเสี่ยงหรือว่าล่อแหลมในการถูกโจมตีหรือไม่นะคะ หรือว่ามีโอกาสที่จะโดนทำลายมาก-น้อยขนาดไหน ให้ลองทดสอบเจาะระบบจากทั้งภายในและทั้งภายนอกดูนะคะ ก็จะมีเครื่องมือในการวิเคราะห์ช่องโหว่ของระบบ เยอะแยะมากมายเต็มไปหมดนะคะ บางทีเราก็สามารถทดสอบด้วยตัวเองก็ได้นะคะ แต่อย่าทดลองสร้างความเสียหายให้กับคนอื่น ซึ่งระดับความรุนแรงของช่องโหว่นี่ อันแรก มันก็จะมีความเสี่ยงที่น้อย มีความเสี่ยงน้อย เกิดความเสียหายน้อยนะคะ ต่อมาก็อาจจะเป็นเกี่ยวกับผลกระทบระดับปานกลาง ถ้าช่องโหว่ระดับ 2 นี่ อาจจะต้องมีการใช้ทรัพยากรในการป้องกันค่อนข้างมาก เพราะว่าถ้ามันมีความเสียหาย มันก็จะเกิดความเสียหายค่อนข้างสูงนะคะ เพราะว่ามันอาจจะเกิดจากช่องโหว่ 1 ช่อง แล้วมันก็จะมีช่องอื่น ๆ ตามมา กับระดับความเสี่ยงระดับที่ 3 ก็ช่องโหว่ อาจจะไม่มีการป้องกันที่ดีมาก ใช้การป้องกันน้อยมาก ๆ แต่เวลาเกิดความเสียหายมันเกิดสูงนะคะ มันก็จะกระทบกับระบบส่วนใหญ่ เช่น ห้องทะเบียนไม่ล็อก ไม่เคยล็อกเลย พอมันหายทีหนึ่ง มันกระทบทั้งมหาวิทยาอย่างนี้นะคะ หลังจากผ่านมา 5 ข้อ ข้อสุดท้ายก็จะเป็นการประเมินความเสี่ยง เมื่อเราทำตามขั้นตอนการบริหารความเสี่ยงแล้ว มันก็จะสามารถระบุได้ ว่าความเสี่ยงคืออะไรบ้าง สามารถทำความเสียหายให้กับองค์กรเราอย่างไรได้บ้างนะคะ แล้วมันมีเครื่องมือที่จะป้องกันอย่างไร มีระบบที่จะป้องกันหรือไม่ เหมาะสมหรือเปล่า มีประสิทธิภาพในการป้องกันภัยคุกคามเหล่านั้นนะคะ การประเมินความเสี่ยงขององค์กร ก็แบ่งเป็น 5 ระดับนะคะ อันแรกจะเป็นระดับของระบบ ก็ดูว่าระบบที่เราใช้งานอยู่มีความเสี่ยงมาก-น้อยเพียงใด ระบบเครือข่ายมีความเสี่ยงระดับไหน ถ้าไปถึงขั้นระดับภาพรวมขององค์กรนะคะ มีความเสี่ยงใดบ้าง มีการตรวจสอบการป้องกันขนาดไหน มีการทดสอบเจาะเข้าระบบ การป้องกันระบบหรือไม่ อย่างไรนะคะ ก็จะต้องมีการทำเป็นรูปแบบของรายงานความเสี่ยงออกมาในทุก ๆ ปีนะคะ ก็จะมี... แทบจะมีครบทั้ง 5 ระดับนี้อยู่แล้วนะคะ ถ้าเป็นองค์กรที่มีมาตรฐานนะ นโยบายแล้วก็ระเบียบปฏิบัติที่ควรจะมี เช่น นโยบายข้อมูล ลักษณะความปลอดภัยของข้อมูลนะคะ นโยบายการใช้งานข้อมูล การสำรองข้อมูลนะคะ ระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการ Username ต่าง ๆ ในองค์กร การกำหนดสิทธิการเข้าถึงนะคะ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ไม่คาดคิดหรือเกิดเหตุการณ์ใด ๆ เกิดขึ้น เช่น ภัยธรรมชาติ ภัยคุกคามต่าง ๆ ภัยจากมนุษย์ หรือเกิดจากความไม่ตั้งใจใด ๆ จะต้องมีขั้นตอนพื้นฐานทำอย่างไรนะคะ เหมือนเวลาเรานั่งเครื่องบินน่ะค่ะ เครื่องบินมันก็บินปกตินี่แหละ แต่เขาจะมีคู่มือความปลอดภัยว่า ถ้าเครื่องบินเป็นแบบนี้ คุณจะต้องนั่งอย่างไร ถ้าลงจอดฉุกเฉินคุณจะต้องทำตัวอย่างไร คล้าย ๆ กันนะคะ ว่าถ้าเจอเหตุการณ์ 1 2 3 4 5 เราจะต้องแก้ปัญหาอย่างไรบ้าง หลังจากที่มันเกิดเหตุการณ์ขึ้นไปแล้ว มันมีการฟื้นฟูระบบ ฟื้นฟูทรัพยากรของเรา ภายหลังจากที่เกิดภัยคุกคามแล้วอย่างไรนะคะ ลำดับในการกำหนดนโยบายนี่ ถ้าองค์กรยังไม่มีการกำหนดนโยบายใด ๆ เลย เราก็จะต้องเริ่มจากการกำหนดนโยบายก่อน เพราะความเสี่ยงขององค์กรมันขึ้นอยู่ตรงนี้แหละ เพราะมันไม่มีนโยบายอะไรป้องกันเลยนะคะ นโยบายแรก ๆ ที่ควรจะมี ก็คือนโยบายเกี่ยวกับข้อมูลนะคะ เพราะว่า สิ่งที่กำหนดว่าข้อมูลขององค์กรมีความสำคัญหรือไม่ อย่างไร ข้อมูลอะไรบ้างที่สำคัญ ตอนนี้ก็พูดได้หมดว่าสำคัญทุกอย่าง หรือบางคนก็พูดได้ว่าไม่สำคัญหรอก ไม่ต้องปกป้องกันหรอก อันนี้ก็อยู่ที่นโยบายนะคะ เราสามารถเขียนนโยบายหลาย ๆ นโยบายพร้อม ๆ กันก็ได้ ขึ้นอยู่กับทรัพยากรบุคคลที่เรามี ในการบริหารจัดการความเสี่ยงนะคะ พอเรามีนโยบายแล้ว ไม่ใช่ว่าใช้ไป 20-30 ปี ไม่เคยมีการปรับปรุงเลย ก็ไม่ได้อีก จำเป็นจะต้องปรับปรุงให้มีการทันสมัย วิเคราะห์ว่า 5 ปี 10 ปี ในการใช้นโยบายนี้ มันมีจุดด้อย หรือจุดอ่อนอะไรบ้าง เราก็ต้องมาปรับปรุงหรืออาจจะมีการปรับปรุงเพิ่มเติมให้มันตามยุคตามสมัยมากขึ้นนะคะ ถ้าในกรณีที่นโยบายหรือการจัดทำข้อมูลนี่ บางทีคนที่คิดนโยบายหรือเหตุการณ์บ้านเมือง หรือเหตุการณ์ของโลกมันเปลี่ยนแปลงไปมาก ๆ เราอาจจะไม่แก้ไข เราอาจจะเริ่มใหม่ เขียนใหม่อาจจะง่ายกว่านะคะ ให้มันทันยุคทันสมัยมากขึ้นก็ได้ การออกแบบแล้วก็การติดตั้งระบบรักษาความปลอดภัยนี่ มันก็จะใช้บังคับกับการรักษาความปลอดภัย อาจจะมีเกี่ยวข้องกับเครื่องมือ เทคนิคต่าง ๆ ระบบควบคุมการเข้าถึงทรัพยากรทางด้านกายภาพของเรานะคะ อาจจะมีการตั้งค่าระบบ ที่อาจจะไม่ได้เปลี่ยนการตั้งค่ามานานแล้ว หรือว่าเพิ่งติดตั้งใหม่ ก็สามารถทำได้ แล้วก็ดูได้ว่าการติดตั้งระบบใหม่ของเรานี่ มันมีผลกระทบอื่นในปัจจุบันหรือไม่ แล้วถ้ามีมันจะมีผลกระทบอย่างไรนะคะ เหมือนบางทีอาจจะบอกว่ามหาลัยตั้งเปลี่ยนระบบปฏิบัติการใหม่ทุกเครื่อง ต้องดูก่อนว่าบางเครื่องมัน ถ้าลงระบบปฏิบัติการใหม่ มันใช้กับฐานข้อมูลเดิมได้ไหม ใช้กับระบบเเครือข่ายได้หรือเปล่า ไม่ใช่ว่าอยากทำอะไรก็ทำได้เลย ไม่ได้นะคะ พอเราติดตั้งแล้ว อาจจะต้องมีระบบรายงานการรักษาความปลอดภัย ก็จะมีการเฝ้าระวังจุดต่าง ๆ ที่เราคิดว่ามันเป็ดจุดอ่อนนะคะ ที่อาจจะถูกเจาะระบบได้ง่ายหรือถูกคุกคามได้ง่าย ก็จะเป็นการเฝ้าระวังของการใช้งานระบบ มีการสแกนหาช่องโหว่ต่าง ๆ แล้วก็ทุกอย่างจะต้องปฏิบัติตามนโยบายที่ทำไว้นะคะ เช่น การเฝ้าระวังทำตลอด 24 ชั่วโมงไหมนะคะ หรือจะต้องมีการเดินมาตรวจสอบทุกสัปดาห์ หรือทุกเช้า 8 โมง จะต้องเปิดมาดูว่าระบบความเย็นในห้องเครือข่ายยังทำงานหรือไม่ มีน้ำหยดหรือเปล่า ทุกเช้าหรือเปล่านะคะ ก็แล้วแต่นโยบายที่กำหนดไว้ การพิสูจน์ตัวตน หรือการที่เราใช้อินเทอร์เน็ตไว้ การพิสูจน์ตัวตนหรือการที่เราใช้อินเทอร์เน็ตในมหาวิทยาลัยนี่ค่ะ ไม่ใช่ใครอยากใช้ก็ได้ อย่างน้อยต้องเป็นคนในองค์กร เป็นอาจารย์ เป็นเจ้าหน้าที ่ หรือเป็นนักศึกษานะคะ ก็ถึงจะสามารถใช้ระบบเครือข่ายได้เพราะอย่างน้อยเราก็จะได้รู้ว่าข้อมูลนี้เกิดขึ้นโดยใครในเบื้องต้นนะคะ การเข้าสถานที่ต้องห้าม เช่น เราอยากเดินเข้าไปในห้อง Server ได้ทุกคนไหม ไม่ได้ จะต้องเป็นเฉพาะบุคคลที่ได้รับอนุญาต และก็ผ่านการพิสูจน์ตัวตนแล้ว เช่น การสแกนบัตร การตรวจลายนิ้วมือ การสแกนหน้า สแกนม่านตา ใด ๆ ว่าไปนะคะ การพิสูจน์ตัวตนนี่ มันมีผลกับทุกระบบขององค์กรนะคะ บางครั้ง ถ้าไม่มีเลยตั้งแต่แรกนี่ จะต้องดูว่ามันกระทบกับการทำงานไหม ถ้าติดตั้ง สมมติว่า อยาก... เมื่อก่อนหน้านี้ ใครอยากเล่นอินเทอร์เน็ตใช้ได้เลย ทุกคนยังไม่มี Username Password ไม่ได้มีการวางแผนไว้ก่อน ว่าต้องมีการเข้าระบบก่อนมีการเข้าใช้งานอินเทอร์เน็ตนะคะ อยู่มาวันหนึ่ง มหาวิทยาเปลี่ยนเลย จะต้อง Login ก่อนที่จะเล่นเน็ตได้ แต่ทุกคนยังไม่มี คราวนี้ภัยคุกคามเกิดขึ้นแล้ว ทุกคนก็จะใช้อินเทอร์เน็ตไม่ได้ เพราะไม่มี Password Username Password ใช่ไหมคะ ก็จะต้องเดินทาง หรือต้อง Email หรือต้องร้องเรียนไปที่ศูนย์คอมพิวเตอร์ คนเข้ามาขอใช้บริการพร้อมกัน 2,000-3,000 คน ระบบล่ม เจ้าหน้าที่รับไม่ได้แน่ ๆ นะคะ จะต้องมีการวางแผนล่วงหน้าก่อน เช่น ให้ทุกคนมี Username Password ของตัวเองก่อน แล้วค่อยเริ่มใช้ระบบพร้อม ๆ กันก็ได้นะคะ การรักษาความปลอดภัยนะคะ เราก็จะมีทั้งตัว Firewall แล้วก็ระบบ VPN เป็นระบบเครือข่ายแบบส่วนตัว มีการเข้ารหัสข้อมูลนะคะ สิ่งที่สำคัญ ก็คือมันจะต้องมีการออกแบบ การติดตั้งตั้งแต่โครงสร้างพื้นฐาน ของเครือข่ายอยู่แล้วนะคะ เพราะมันจะต้องกำหนดขนาด กำหนดประสิทธิภาพของ Firewall เพราะว่าทุกอย่างเป็นราคาหมด ไม่ใช่ว่าอยากได้ตัวนี้ ก็อยากได้วันนี้ซื้อเลย ไม่ได้นะคะ ทุกอย่างเป็นสิ่งที่ต้องมีทุนทรัพย์ก่อนทั้งนั้นนะคะ ไม่ใช่ว่าคิดได้ว่าต้องมี บางทีระบบเราใช้ไปแล้ว ถ้าจะเพิ่มบางอย่างเข้าไปอาจจะกระทบกับการทำงานหลัก ๆ นี่ก็ไม่ได้เหมือนกันนะคะ แล้วก็จะมีระบบตรวจจับการป้องกันบุกรุกนะคะ อันนี้เป็นระบบเอาไว้แจ้งเตือนเครือข่ายนะคะ ว่ามันก็จะแจ้งเตือนผู้ดูแลระบบว่า ถ้ามีคนที่พยายามจะบุกรุกเข้าสถานที่ต้องห้าม หรือระบบเครือข่ายคอมพิวเตอร์ของเรานะคะ ก็จะเป็นการแจ้งเตือน ซึ่ง Antivirus เป็นระบบเตือนภัยที่ใช้ทรัพยากรน้อยที่สุด ควรจะติดตั้งลงบนคอมพิวเตอร์ทุกเครื่อง แต่พอระบบปฏิบัติการรุ่นใหม่ ๆ นี่ ของ Windows มันก็จะมี Windows Defender ก็คือระบบป้องกันไวรัสของ Windows พื้นฐานมาให้อยู่แล้วบางคนก็ถือว่าพอใช้งานได้ แต่ถ้าใครต้องการความปลอดภัยมากขึ้น ก็สามารถซื้อ Anti Virus มาติดตั้งเพิ่มการเข้ารหัสข้อมูลก็จะเป็นการป้องกันขั้นสูงขึ้นมานะคะ ก็จะป้องกันข้อมูลการส่งผ่านข้อมูลผ่านเครือข่าย กับอาจจะเป็นเกี่ยวกับส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์กับอุปกรณ์จัดเก็บข้อมูลนะคะ แต่การเข้ารหัสนี่ มันจะทำให้การเข้าถึงข้อมูลหรือการปล่อยข้อมูลออกไปนี่ มันช้าลงนะคะ เพราะฉะนั้น มันก็ไม่ต้องจำเป็นเข้ารหัสทุก ๆ ข้อมูล อย่างส่งการบ้านอาจารย์ก็ไม่จำเป็นเข้ารหัสก็ได้นะคะ แต่ถ้ามันเป็นข้อมูลที่สำคัญมาก ๆ แล้วแต่คนนะ อย่างเช่น เลขบัญชีธนาคาร อยากส่งให้เพื่อน ก็จะมีการเข้ารหัสหรือ E-mail กลัวพวกมิตรฉาชีพขโมยอีเมลเจอ ก็อาจจะมีการเขียนอีเมลแบบใหม่ก็ได้นะคะ การรักษาความปลอดภัยด้ายกายภาพ ก็ เช่น ติดกล้องวงจรปิด ล็อกกุญแจ ใช้คีย์การ์ด มี รปภ. นะคะ ให้พนักงานทุกคนต้องห้อยป้าย แสดงตัวตนนะคะ แล้วก็ถ้าพื้นที่ที่จะต้องได้รับความปลอดภัยเป็นพิเศษ เช่น ห้องข้อมูลต่าง ๆ ห้องทะเบียนอะไรอย่างนี้ ก็จะต้องมีระบบการป้องกันที่หนาแน่นขึ้น ระบบป้องกันไฟไหม้นะคะ ระบบควบคุมอุณหภูมิ แล้วก็มีการสำรองไฟที่ดี อย่างเช่น เครื่องสำรองไฟก็ไม่ได้แพงมากนี่ แต่ถ้าสำรองไฟทั้งตึก เครื่องสำรองไฟราคาเป็นล้านนะคะ เพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์เสียหายนะคะ ก็ต้องเป็นการลงทุนที่คุ้มค่านะคะ การทำงานด้านความเสี่ยงและความปลอดภัยนี่ ก็เมื่อมีการติดตั้งระบบป้องกัน รวมถึงรักษาความปลอดภัยนี่ ก็ต้องมีคนดูแล บางระบบมีคนดูแลตลอด 24 ชั่วโมง 7 วันนะคะ เหมือนเข้าเวร การรักษาความปลอดภัยนี่ ก็คือหน้าที่แล้วก็ความรับผิดชอบของคนในองค์ อย่างเช่น ข้อมูลในมหาวิทยาลัย นักศึกษาเห็นคนไม่น่าไว้ใจมาด้อม ๆ มอง ๆ ก็ช่วยเป็นหูเป็นตาด้วยกันนะคะ เขาทำไมไม่ใส่ชุดนักศึกษา ทำไมมานั่งอยู่ตรงนี้หลายวันแล้ว ทำไมเขาดูจ้อง ๆ เวลาเราไขกุญแจห้อง หรือเขาจ้องเวลาเราใส่รหัสผ่าน ก็ต้องช่วยกันเป็นหูเป็นตานะคะ การฝึกอบรม บางครั้งนี่ มันใช้ว่าทุกคนจะเรียนทางด้านคอมพิวเตอร์ หรือบางคนอาจจะเข้าใจระบบไม่ดีพอนะคะ อาจจะมีการฝึกอบรมโดยการประชุม หรือการชี้แจง หรืออาจจะเป็นสื่อตีพิมพ์ต่าง ๆ นะคะ เช่น บางทีนโยบายด้านการรักษาความปลอดภัยนี่ ควรจะเป็นส่วนหนึ่งของการปฐมนิเทศพนักงาน หรือปฐมนิเทศนักศึกษา ผู้ดูแลระบบก็จะต้องปรับปรุงความรู้ตัวเอง ให้ทันสมัยอยู่เสมอ อาจจะมีการไปอบรมเป็นประจำนะคะ ปรับปรุงความรู้ นักพัฒนาแอปพลิเคชัน ก็ต้องเขียนแอปพลิเคชัน หรือเขียนโปรแกรมให้มีความปลอดภัย ตามมาตรฐานที่เกิดขึ้นในปัจจุบัน ผู้บริหารก็จะต้องใส่ใจในรายงานต่าง ๆ สถานภาพต่าง ๆ ความก้าวหน้าของโครงการ มีการติดตามผลต่าง ๆ หรือติดตามทางด้านรักษาความปลอดภัยอยู่เสมอ คณะทำงาน คณะเจ้าหน้าที่รักษาความปลอดภัยต่าง ๆ ก็ต้องปรับปรุงความรู้นะคะ ให้เท่าทันกับผู้คุกคาม หรือมิจฉาชีพใด ๆ นะคะ เพื่อปกป้องข้อมูล ปกป้องระบบขององค์กรไว้ได้นะคะ ขั้นตอนสุดท้าย ก็จะดูว่ามีการฝ่าฝืนนโยบาย หรือระเบียบหรือเปล่านะคะ ก็การตรวจสอบ ก็จะมีอยู่ 3 ประเภทนะคะ ก็คือการตรวจสอบตามนโยบายที่เราตั้งไว้ ว่าเป็นไปตามที่เรากำหนดไว้ทุกข้อหรือไม่ ถ้ามีโครงการใหม่ ๆ ขึ้นมา ก็จะต้องทำการประเมินใหม่ อาจจะให้ผู้ที่เชี่ยวชาญทางด้านระบบคอมพิวเตอร์ทดลองเจาะระบบที่เรามี ถ้าเขาทำสำเร็จ ถ้าสมมติเราจ้างนะ มันก็จะเป็นผู้เชี่ยวชาญ ในความชำนาญในการทำงานด้านนี้ เขาก็จะ บอกว่าจุดอ่อนคืออะไร และเราจะได้ไปอุดจุดอ่อนนั้นหรือไปปิดช่องนั้น แต่ถ้าผู้เชี่ยวชาญคนนั้น เขาเจาะระบบคอมพิวเตอร์เราไม่สำเร็จ ก็ไม่ได้หมายความว่ามันไม่ได้มีจุดอ่อน เขาอาจจะหาไม่เจอก็ได้นะคะ ก็จะต้องทำการทดสอบไปเรื่อย ๆ วันนี้เลยมีงานให้นักศึกษาทำ 4 ข้อ นะคะ ทำใส่ Microsoft Word แล้วก็ส่งใน Classroom เหมือนเดิมนะคะ 4 ข้อ หาข้อมูลในอินเทอร์เน็ตนี่แหละค่ะ ว่ากระบวนการรักษความปลอดภัยของข้อมูลเป็นอย่างไรบ้าง เกิดช่องโหว่ Patch มันคืออะไร เมื่อกี้อธิบายไปแล้ว นักเล่นเกมน่าจะรู้ดี อาจารย์พูดถึง ISO 17799 กับ ISO 15504 ลองหาข้อมูลในอินเทอร์เน็ตสิว่า มันมีความสำคัญอย่าง แล้วก็ระบบ Intrusoin Detection IDS นี่ มันคืออะไร เมื่อกี้พูดไปแล้ว 

[สิ้นสุดการถอดความ]