---
title: (สำรอง) วิชาการจัดการความมั่นคงและปลอดภัย (บ่าย) 211166
subtitle: 
date: วันอังคารที่ 21 พฤษจิกายน  2566  เวลา 13.00 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)
มันก็ไปได้นะคะ อย่างเช่น อย่างเช่น การซื้อประกันภัก็ถือว่าเป็นการลดความเสี่ยงอีกแบบหนึ่งเหมือนกันนะคะ เขา่ก้จะมีการคพมาแล้วว่าต่อปีคุณจะต้องเสียสตางค์เท่าไรเขาจะคำนนวณมากจากเงินที่จะเกิดขึ้น ถ้าสมมติรถคุณเกิดอุบัติเหตุนะคะ อาจจะเกิดอุบัติเหตุภายนอกเครื่องยนต์หรือการเฉี่ยวชนต่าง ๆ การคำนวณเบี้ยประกันภัย จากการเสี่ยง เขาอะไรบ้างถึงจะเป็นการคำนวณได้นะคะ อันแรกนะคะที่เขาจะมาคำนวณ ก็คือเงินที่จะใช้ในการซ่อมรถที่จะต้องจ่าย บริษัทประกันภัย ก็จะคิดว่าเป็นช่องโหว่งก็คือสมมติว่าลูกค้าเคลมประกัน เขาซื้อประกันปีละหมื่น เคลมประกันหลักแสน อันนี้บริษัทนะคะ แล้วก็ข้อ 2 ความน่าจะเป็นที่จะเกิดอุบัติเหตุ ก็ถือว่าเป็นภัยคุกคาม ความไมปลอดภัยหรืออุบัติเหตุที่จะเกิด...มาคำนวณว่าเขาจะรู้สึกอย่างไรว่า... ไม่ใช่ว่าเราจะชนรถชนทุกเดือนทุกเดือนเป็นไปไม่ได้ไม่มีใครอยากให้ทรัพย์สินของเรามีปัญหาอยู่แล้วนะคะ พอเรารวมช่องโหว่งกับภัยคุมคามเข้าด้วยกันเพราะถ้ามันไม่มีช่องโหว่ ก็ไม่มีความเสี่ยง ถ้าไม่มีภัยคุกคามก็ไม่มีความเสี่ยง ทุกอย่างรวมเข้าไหมนะคะ ภัยคุกคามอาจจะเราทำดีแล้วแต่มันก็ยังเสี่ยงอยู่ก็เป็นไปได้นะคะ ช่องโหว่ หรือว่าจุดอ่อนนี่ มันเลยเป็นช่องทางที่อาจจะใช้เป็นช่องทางระบบเครือข่ายหรือโจมตีข้อมูลเราได้นะคะ จุดอ่อนก็มีหลายระดับนะคะ ตั้งแต่ยากไปถึงง่าย อาจจะเกี่ยวข้องด้านความชำนาญทางด้านเทคนิค ถ้าเป็น Programmerมีประสบการณ์ในการเจาะระบบมาก ๆ เราคิดว่าเราป้องกันดีแล้ว เขายังหาช่องโหว่ของเราได้ จุดอ่อนของเราได้นะคะ หรือบางทีเขาอาจจะหาผลที่จะทำให้ระบบเราถูกกระทบ จากการที่เราเปิดช่องโหว่งนี้ไว้นะคะ จุดอ่อนนี่ไม่ได้มีแค่ในระบบคอมพิวเตอร์ ระบบเครือข่าย หรือจัดเก็บข้อมูลเท่านั้น อาจจะเป็นทางด้านกายภาพ เช่น การรักษาความปลอดภัยในห้องทำงาน ในห้องเก็บข้อมูลนะคะ ไม่คล้องกุญแจ ไม่ปิดประตูให้สนิทนะคะ ไม่มีการเข้ารหัส แสกนลายนิ้วมือนะคะ ใครอยากเปิดเข้ามาดูข้อมูลก็ได้ หรือตัวพนักงานเองหละหลวมนะคะ  Log in ข้อมูลตัวเองทิ้งไว้บนคอมพิวเตอร์สาธารณะ ใครก็สามารถเข้ามาดูข้อมูลเราได้ หรือว่าข้อมูลนั้น ๆ โปรแกรมเมอร์เปิดเผยสาธารณะทั้ง ๆ ที่มันควรจะเป็นข้อมูลลับนะคะ สิ่งเหล่านี้อาจจะไม่ได้อยู่ในรูปแบบระบบคอมพิวเตอร์ อาจจะอยู่ในรูปแบบเอกสาร ที่เป็นกระดาษ หรือเป็นเอกสาร Hard cHard Copy อื่น ๆ ก็ได้นะคะ ข้อมูลของเรานี่มันไม่ควรจะเปิดเผยให้คนอื่นรู้นะคะ โดยที่เราไม่ยินยอมนะคะ  ปัจจัยที่ทำให้เกิดช่องโหว่ในระบบคอมพิวเตอร์นะคะ ก็คืออันแรกUsername หรือรายชื่อผู้ใช้งานไม่มีประสิทธิภาพไม่มีการจัดเขาเรียกว่าอะไรล่ะ ความสำคัญของ User เช่น ถ้าการจัดการผู้ใช้งานไม่ดี นักศึกษาก็อาจจะดูเกรดเพื่อนก็ได้ ดูเกรดใครก็ได้ ดูเกรดอาจารย์ก็ได้ ดูวุมิการศึกษาอาจารย์ก็ได้ ที่อยู่อาจารย์แต่ละคน หรือดูข้อมูลภูมิลำเนา ชื่อพ่อแม่เพื่อน มีการจัดการบัญชีรายชื่อที่ดี เช่น นักศึกษามีสิทธิแค่ดูเฉพาะข้อมูบของตัวเองเท่านั้นนะคะ ดูของเพื่อนไม่ได้ การกำหนดสิทธิของอาจารย์ อาจารย์ก็อาจจะดูข้อมูลนักศึกษาดูเกรดนักศึกษาได้ทุกคน แต่ก็จะดูข้อมูลเพื่อนอาจารย์คนอื่นไม่ได้นะคะ ก็ต้องมีการกำหนดสิทธิ์ที่มีประสิทธิภาพด้วย หรือการที่ซอฟต์แวร์ที่เราใช้งานอยู่ หรือว่าเราเรียกว่ามันมี Bug นะคะ ก็อันนี้ก็เป็นช่วงโหว่อีกช่องหนึ่งที่เราคิดว่ามันทำงานได้ดีอยู่แล้ว แต่ว่าเราไม่รู้สึกตัว แล้วก็ No Patch อันนี้ก็คือไม่มีการปรับปรุงโปรแกรมให้ทันสมัยนะคะ ถ้าใครเล่นเกมก็จะเข้าใจคำว่า "Patch" มันจะมีการปรับแผนที่ ปรับตัวละครใช่ไหมคะ ถ้าเล่นเกม แต่ถ้าเป็นส่วนของซอฟต์แวร์หรือโปรแกรมนี่ มันจะต้องมีการปรับปรุงเวอร์ชันหรือปรับปรุงรุ่นของซอฟต์แวร์ให้ทันสมัยอยู่เสมอ เพราะบางทีอาจจะมีภัยคุกคามอื่น ๆ มานี่ เขาก็จะทำการปรับปรุง เพิ่มให้อุปกรณ์ของเรานี่รู้จักภัยคุกคามเหล่านั้นด้วย ถ้าสมมติว่าเราไม่มีการปรับปรุงอะไรใหม่ ๆ มาคอมพิวเตอร์เราอาจจะไม่รู้จักก็ได้นะคะ แล้วก็บางคนมีโปรแกรมป้องกันไวรัส แต่ไม่ได้อัปดก็เป็นภัยคุกคามถ้าใครใช้โปรแกรมที่ผิดกฎหมายมันก็จะอัปเดตตัวฐานข้อมูลไวรัสไม่ได้นะคะ แล้วก็การปรับแต่งปรับแต่ค่าต่าง ๆ ของระบบมีความผิดพลาด ระบบมันผิดพลาดเอง แต่มันเป็นช่วงที่เราทำงานอยู่พอดี ก็อาจจะส่งผลให้เรามีความเสี่ยงด้วยเหมือนกัน เช่น อาจจะเป็นการที่เรากำลังยืนกดสตางค์อยู่ แล้วระบบมันล่ม ฉันกดแล้ว ยอดเงินบอกว่าเงินตัดไปแล้วแต่เงินมันไม่ออกจากตู้น่ะ อันนี้คือความเสี่ยงของเรานะคะ รวมถึงบุคคลากรในองค์กรเขาเข้าใจบทบาท เข้าใจหน้าที่ เข้าใจสิทธใช้งานหรือการแก้ไขข้อมูลขนาดไหนนะคะ ภัยคุกคามที่เป็นอันตรายต่อองค์กรต่อทรัพย์สินมีองค์ประกอบอยู่ 3 ส่วนนะคะ ก็คือ เป้าหมาย แล้วก็เป็นเหตุการณ์ เป้าหมายนะคะ ที่มีโอการเกิดภัยคุกคามนี่ มันก็จะมีองค์ประกอบอยู่ในด้านต่าง ๆ เช่น ด้านความลับของข้อมูลนะคะ ก็จะเป็นภัยคุกคามที่บางทีข้อมูลที่เป็นข้อมูลลับ อาจจะถูกไปเปิดเผไม่ได้รับอนุญาตก็ได้ การคงสภาพของข้อมูลมีความพยายามที่จะเปลี่ยนแปลงข้อมูล เช่น เกรดไม่ดีเลย แต่เป็น Hacker เป็นโปรแกรมเมอร์ที่เก่งมาก ได้เกรด เรียนไม่ดี แต่อยากได้เกรด 4.00 ก็พยายามจะเจาะระบบเข้าไปเปลี่ยนเกรดตัวเอง ในระบบทะเบียนก็ได้อาจจะเกิดขึ้นได้นะคะ หรือว่าภัยคุกคามที่เข้ามาลบเลขบัตรประชาชนออกไปหมด ในฐานข้อมูลเลยนะคะ อย่างนี้ก็สามารถเกิดขึ้นได้เหมือนกัน เพราะว่าบางที Hacker บางคนทำไปไม่ใช่เพราะเขาอยากขโมยข้อมูล เขาแค่อยากแสดงความสามารถให้ทุกคนยอมรับเขาก็มีนะคะ แล้วก็ความพร้อมใช้งานนี่ ก็จะเป็นเป้าหมายในการโจมตีแบบที่ปฏิเสธให้บริการ เช่น จะกดเงินธนาคารธนาคารหนึ่ง แต่ธนาคารนี้ก็ลังโดน Haker โจมตีอยู่ นะคะ ทำให้เจ้าของบัญชีธนาคารของธนาคารนี้อาจจะกดเงินไม่ได้สักคน ห้ามกด นะคะ หรือว่าอาจจะห้ามฝากเงิน คีย์เงินเท่าไรเงินก็ไม่เข้า ไปเข้าบัญชีของคนอื่นก็มีนะคะ แต่ส่วนมากมันจะเป็นการปฏิเสธให้บริการ เช่น เราพยายามจะโอนสตางค์ เราจะกดเงิน มันจะไม่ให้เราทำธุรกรรมเหล่านั้นเป็นต้น นะคะ โดยผู้โจมตีนี่ ก็คือคนที่กระทำการใด ๆ ที่ให้เกิดผลเสียหรือด้านลบแก่องค์กรนะคะ โดยที่คนโจมตีนี่ เขาจะใีคุณสมบัติ คุณสมบัติ หรือคุณลักษณะอยู่ 3 ข้อ ก็คือเขาสามารถเข้าถึงเป้าหมายที่เขาจะโจมตีได้ เช่น เขาอยากโจมตีเครื่องคอมพิวเตอร์ห้องนี้ เขาก็มั่นใจแล้วว่าเขาสามารถเข้ามาในระบบคอมพิวเตอร์ห้องนี้ได้ นะคะ แล้วก็เขารู้ ว่าเขาจะมาโจมตีข้อมูลอะไร เช่น ลบโปรแกรมของเครื่องคอมพิวเตอร์ทุกเครื่องในห้องนี่ออกหมดเลย ไม่ให้ใช้แล้วผู้โจมตีเข้าก็จะมีแรงจูงใจ ว่าเขาทำไปทำไมนะคะ เขาจะรู้อยู่ในใจเขาอยู่แล้วล่ะว่าเขาทำไปทำไม โดยข้อแรก ผู้โจมตีนี่ เขาจะเข้าถึงระบบ หรือเครือข่าย หรือสถานที่ต่าง ๆ ที่เขาต้องการ เช่น เขาอาจจะเจาะเข้าระบบมาโดยเขาอาจจะรู้ Username แล้วเขาก็สุ่ม Password หรือว่าอะไรนะ Hack เข้ามาเลยนะคะ บางทีไม่จำเป็นต้องใส่ Username Password เขาอาจจะมีช่องโหว่ที่เขาเคยเปิดไว้ หรือว่าuser เปิดไว้โดยที่ไม่ตั้งใจ เขาก็สามารถเข้าได้โดยองค์ประกอบการเข้าถึงของเขาก็คือเขารอจังหวะ เขารอโอกาสอยู่ เช่น เขารอแค่ให้เจ้าของเครื่องมาเแิดคอมพิวเตอร์ แล้วเชื่อมอินเทอร์เน็ตนะคะ เขาก็สามารถเข้าสู่เครื่องคอมพิวเตอร์คุณได้เลย โดยคนโจมตีนี่อาจจะเป็นนักศึกษา เป็นบุคคลในองค์กร อาจจะเป็นพนักงงานปัจจุบัน พนักงานเก่าที่รู้สึกไม่พอใจการทำงานขององค์กร อาจจะเป็น Hacker หรือจะเป็นคู่แข่งทางด้านธุรกิจก็เป็นไปได้นะคะ อันนี้ก็เกิดขึ้นได้หมดข้อต่อมาผู้โจมตีนี่เขาก็จะมีความรู้ หรือข้อมูลเกี่ยวกับเป้าหมาย เช่น รู้ Username รู้ชื่อผู้ใช้นะคะ แต่ไม่รู้รหัสผ่าน แต่บางทีเขารู้ว่า ผู้ใช้งานแต่ละคนเขาจะมีข้อมูลว่าเขามีข้อมูลแล้วว่าทุกคนเกิดวันอะไร ปีอะไร รู้วันเกิดนะคะ เขาอาจจะสามารถเดารหัส จากวัน เดือน ปีเกิดของเราได้ หรือเขามี E-mail เขามีรหัส E-mail เขาสามารถแจ้งว่าลืม Password แล้วให้ส่ง Password ใหม่มาทางอีเมลก็ได้ กับมันมีอีกระบบหนึ่งที่ Hacker เขาเคยใช้คือ เป้นการ Copy IP Address นะคะ เขาก็สามารถเอาเลข Copy ตัวนี้ไปทำให้เครื่องคอมพิวเตอร์ของ Hacker เป็นเครื่องคอมพิวเตอร์เดียวกับเราก็ได้ เพื่อผ่านระบบรักษาความปลอดภัยเข้าไปนะคะ ยิ่งผู้โจมตีเขารู้ข้อมูลของเรามากเท่าไร จุดอ่อนมันก็ยิ่งมากขึ้น เช่น รู้เลขบัตรประชาชน วันเดือนปีเกิด รู้เบอร์โทรศัพท์เรา ขาดแค่ Password เขาก็สามารถพอที่จะเดาได้ หรือว่าอาจจะแจ้งระบบจะกู้คืนบัญชีจากอะไรก็ว่าไปนะคะ แล้วเขาก็จะยิ่งมีโอกาสที่จะใช้ประโยชน์จากจุดอ่อนนั้น วันใดวันหนึ่งก็ได้นะคะ โดยส่วนมากเขาก็จะมีแรงจูงใจบางทีเขาก็มาจากที่ความท้าทาย เขาอยากพยายามพิสูจน์ว่าเขาทำได้นะ บางคนเขาอาจจะแค่ท้า ลองเจาะระบบคอมฯ ห้องนี้ดูสิ อาจจะโดนท้าทายหรือความอยากได้อย่างอื่น เช่น เรียกค่าไถ่ข้อมูลนะคะ เช่น บางคนอาจจะโพสต์ คลิปวิดีโออะไรไว้ในเครื่อง แล้ว Hacker มาเจอ เขาอาจจะเอาสิ่งนี้ไปเรียกรับเงินจากคุณก็ได้ รู้สึกโมโห โกรธ เขาเลยต้องการทำลาย ทำอันตรายกับระบบหรือข้อมูล ก็เกิดขึ้นได้ หรืออาจจะแค่ทำอันตรายกับบุคคลใดบุคคลหนึ่งก็ได้นะคะ อันนี้ก็เป็นสิ่งที่เกิดขึ้นได้นะคะ โดยเป็นแรงจูงใจจากผู้โจมตี หรืออาจจะมีเหตุการณ์นะคะ ที่ผู้โจมตีเขาเลือกวิธีการโจมตีที่ทำอันตรายกับองค์กรของเรา เช่น ใช้ Username หรือบัญชีผู้ใช้งานในทางที่ผิด หรือว่าใช้งานเกินสิทธิ์ที่ได้รับอนุญาตเข้าไปแก้ไขข้อมูลสำคัญ แล้วก็เข้าสู่ระบบโดยที่ไม่ได้รับอนุญาตด้วย อาจจะมีการทำลายระบบโดยไม่ตั้งใจทั้งจากภายในและภายนอกองค์กร รบกวนการสื่อสาร บุกรุกเข้าห้องควบคุมโดยที่ไม่ได้รับอนุญาติ อันนี้เป็นสิ่งที่เกิดขึ้นได้นะคะ แล้วเราจะทำอย่างไร เรามีเครื่องมือในการประเมินสิ่งต่าง ๆ ที่อาจารย์พูดขึ้นก่อนหน้านี้ไหมนะคะ แล้วเราสามารถประเมินอะไรได้บ้าง เราปกป้องอะไรได้บ้าง แล้วเราสามารถประเมินได้ไหมว่าอะไรที่ใครที่เป็นภัยคุกคาม หรือส่วนไหนที่เป็นช่องโหว่ขององค์กรของเรา เราถูกโจมตีความเสียหายมีมากน้อยขนาดไหน มูลค่าทรัพย์สินอะไรบ้างที่ต้องป้องกัน แล้วมันมีมูลค่าเท่าไรที่เราต้องป้องกันนะคะ แล้วเราจะป้องกันอย่างไร แล้วถ้าเรารู้แล้วว่ามันมีช่องโหว่ เราจะแก้ไขอย่างไรนะคะ ผลจากการประเมินสิ่งเหล่านี้ มันคือข้อแนะนำเกี่ยวกับการป้องกันที่ดีที่สุดนะคะ ทั้งป้องกันความลับ ความคงสภาพของข้อมูลให้ถูกต้องอยู่เสมอ ข้อมูลพร้อมเรียกใช้งานได้ตลอดเวลา เราจะทำ 3 สิ่งนี้อย่างไรให้ดีที่สุดนะคะ ขั้นตอนสำคัญของการประเมินความเสี่ยง ก็คือเราตอ้งประเมินก่ก่อนว่าเราทำอะไรนะคะ หลังจากนั้นก็รวบรวมข้อมูล วิเคราะห์นโยบาย ระเบียบ ข้อปฏิบัติต่าง ๆ วิเคราะห์ภัยคุกคามที่สามารถเกิดขึ้นได้ และจุดอ่อนช่องโหว่มีตรงไหนบ้าง แล้วก็ทำการกำหนดขอบเขตมีอะไร ก็จะเป็นขั้นตอนที่สำคัญที่สุดเลยนะคะ ว่าเราจะทำอะไรบ้าง เราจะไม่ทำอะไรบ้างระหว่างการประเมินนะคะ ให้ระบุว่าเป็นอะไรที่เราจะต้องป้องกันความสำคัญของสิ่งที่เราจะป้องกันสำคัญขนาดไหน สำคัญระดับว่าจะไม่มีไม่ได้เลยหรือเปล่านะคะ หลังจากนั้นค่อยมาเก็บรวบรวมข้อมูลอาจจะเป็นนโยบายนะคะ กฎหมาย ระเบียบปฏิบัติต่าง ๆ ที่มีในปัจจุบัน อาจจะเป็นไปสัมภาษณ์หรือสอบถามบุคคลสำคัญ ๆ ขององค์กรนะคะ ว่าจากมุมมองของผู้บริหาร หรือหัวหน้าส่วนงาน ส่วนไหนที่เขารู้สึกว่ามันเป็นจุดอ่อน ผู้บริหารนี่ อาจจะช่วยให้ข้อมูลเราได้ในระดับหนึ่งนะคะ แล้วเราก็เอาข้อมูลเหล่านี้ไปรวบรวม เช่น ไปติดตั้ง Patch ในแต่ละเครื่องให้เป็นปัจจุบันเสมอ มีการให้บริการต่าง ๆ ประเภทแล้วก็ Version ของซอฟต์แวร์ในเครื่องเราต้องทันสมัย อะไรบ้างที่ต้องใช้ผ่านเครือข่าย สิทธิ์ในการเข้าออกห้องคอมพิวเตอร์ มีใครเข้าออกได้บ้างนะคะ สิทธิ์ในการสื่อสารนี่มันจะเป็นการเชื่อมต่อแบบ Port ก็ให้ดูได้ว่ามีพอร์ตไหนที่ให้บริการบ้างจริง ๆ เราอาจจะใช้แค่ 3 Port แต่ทำไม Port ที่ 4 Portที่ 5 มีใครเปิดไว้ เปิดไว้ทำไม อันตรายนะคะ การให้บริการเครือข่ายไร้สาย สามารถครอบคลุมทั่วถึงหรือไม่ จำเป็นจะต้อง Login ก่อนใช้งานเครือข่ายหรือไม่นะคะ การทดสอบระบบ File war ต่าง ๆ ต้องมีการทำอยู่เสมอนะคะ เว็บไซต์ที่ให้ข้อมูลเกี่ยวกับช่องโหว่ภัยคุกคามต่าง ๆ ในการประเมินความเสี่ยงนะคะ นักศึกษาสามารถเข้าไปดูข้อมูลเพิ่มเติมได้นะคะ เผื่อใครต้องการศึกษาเพิ่มเติม อาจารย์ก็รวบรวมไว้ให้ ประมาณ 4 เว็บไซต์แต่อาจจะมีเพิ่มเติมมากกว่านี้นะคะ ก็จะมีการวิเคราะห์นโยบาย ระเบียบปฏิบัติต่าง ๆ เกี่ยวกับองค์กรเรา แล้วก็ดูด้วยว่าองค์กรเรา มีระดับมาตรฐานอะไร มาตรฐานความปลอดภัยที่นิยมใช้จะเป็นพวก IOS ต่าง ๆ นะคะ ISO 17799 ISO 15504 พวกนี้ เป็นมาตรฐานความปลอดภัยที่องค์กรต่าง ๆ ควรจะต้องยึดถือปฏิบัตินะคะ แต่ถ้าส่วนใดขององค์กรที่ไม่เป็นมาตรฐาน เราก็ลองวิเคราะห์ดูก่อนว่ามันมีความจำเป็นจะต้องทำตามมาตรฐานหรือเปล่าเนื่องจากมาตรฐานด้านความปลอดภัยนี่ มีหลายมาตรฐานมาก ๆ นะคะ ถามว่าจำเป็นจะต้องทำทุกข้อไหม ก็ไม่ต้องขนาดนั้น เราอาจจะดูข้อที่สำคัญ ๆ แล้วก็เหมาะสมกับองค์กรเราก็ได้นะคะ ต่อมาก็จะเป็นการวิเคราะห์ภัยคุกคาม ก็จะดูว่าเป้าหมายที่น่าจะเป็นภัยคุกคามหรือส่วนที่น่าจะเป็นจุดที่ภัยคุคาม อาจจะเกิดขึ้นได้นะคะ โดยที่เราก็จะไปพิจารณาก่อนว่าที่ที่เกิดภัยคุกคามนี่ส่วนมากจะแบ่งเป็น 3 ประเภทนะคะ ภัยคุกคามโดยธรรมชาติ น้ำท่วม แผ่นดินไหว พายุ ฝนตกหนัก หลังคารั่วนะคะ หลังคารั่ว ฝ้าถล่ม เครื่อง Server สรุปเครื่องคอมพิวเตอร์ใช้ไม่ได้ หรือภัยคุกคามโดยมนุษย์ ตั้งใจ ไม่ได้ตั้งใจ เช่น ห้องคอมพิวเตอร์น้ำท่วมเพราะลืมปิดหน้าต่าง หรือบางคนตั้งใจที่เปิดไว้เพื่อให้คนปีนเข้ามา หรือตั้งใจจะทำลายทรัพย์สินอยู่แล้ว รู้อยู่แล้วว่าฝนจะตก เปิดทิ้งไว้เลย ให้น้ำมันท่วม ให้ฝนมันสาด หรืออาจจะเป็นเกี่ยวกับสภาพแวดล้อม ไฟฟ้า หรือไฟตกบ่อย ขัดข้องบ่อย อินเทอร์เน็ตได้บ้าง ไม่ได้บ้าง มลภาวะต่าง ๆ อย่างเช่น เครื่องคอมพิวเตอร์ทำไมต้องอยู่ในห้องแอร์เพราะอุปกรณ์ที่ใช้ไฟฟ้าเยอะมันจะร้อน ถ้าร้อนบางทีอุปกรณ์ได้รับความเสียหาย หรือมลภาวะต่าง ๆ เช่น ฝุ่นเยอะ ช่วงนี้ PM2.5 เยอะ ๆ ฝุ่นมันก็จะไปค้างอยู่ในเครื่องคอมพิวเตอร์ พอมันไปอุดเยอะมาก ๆ เข้ามันก็ไปอุดช่องระบายอากาศของคอมพิวเตอร์ คอมพิวเตอร์ก็ร้อน ร้อนมากก้พังนะคะ หรืออาจะเกี่ยวข้องกับสารเคมีรั่วไหล ระบบหล่อเย็นพัง ทำให้สารหล่อเย็นเปื้อนลงไปที่พื้น โดยสายไฟ ไฟช็อต ไฟไหม้อีกนะคะ การวิเคราะห์ จุดอ่อนหรือช่องโหว่นี้ จะเป็นการวิเสถานการณ์ขององค์กรว่ามันสุ่มเสี่ยงหรือว่าล่อแหลมในการถูกโจมตีหรือไม่นะคะ หรือว่ามีโอกาสที่จะโดนทำลายมากน้อยขนาดไหน ให้ลองทดสอบเจาะระบบจากทั้งภายในและทั้งภายนอกดูนะคะ ก็จะมีเครื่องมือในการวิเคราะห์ช่องโหว่ของระบบเยอะแยะมากมายไปหมด บางทีเราก็สามารถทดสอบด้วยตัวเองก็ได้นะคะ แต่อย่าทดลองสร้างความเสียหายให้กับคนอื่น ซึ่งระดับความรุนแรงของช่องโหว่นี่ อันแรก มันก็จะมีความเสี่ยงที่น้อย มีความเสี่ยงน้อย เกิดความเสียหายน้อยนะคะ ต่อมาก็อาจจะเป็นเกี่ยวกับ ผลกระทบระดับปานกลาง ถ้าช่องโหว่ระดับ 2 นี่ อาจจะต้องมีการใช้ทรัพยากรในป้องกันค่อนข้างมาก เพราะว่าถ้ามันมีความเสียหาย มันก็จะเกิดความเสียหายสูงนะคะ เพราะว่ามันอาจจะเกิดจากช่องโหว่ 1 ช่องแล้วมันก็จะมีช่องอื่น ๆ ตามมา กับระดับความเสี่ยงระดับที่ 3 ก็ช่องโหว่ อาจจะมีการป้องกันที่ไม่ดีมาก ใช้การป้องกันน้อยมาก ๆ แต่เวลาเกิดความเสียหายมันเกิดสูงนะคะ มันก็จะกระทบกับระบบส่วนใหญ่ เช่น ห้องทะเบียนไม่ล็อก ไม่เคยล็อกเลย พอมันหายทีหนึ่งมันกระทบทั้งมหาวิทยาอย่างนี้นะคะ หลังจากผ่านมา 5 ข้อ ข้อสุดท้ายก็จะเป็นการประเมินความเสี่ยง เมื่อเราทำตามขั้นตอนการบริหารความเสี่ยงแล้วมันก็จะสามารถระบุได้ ว่าความเสี่ยงคืออะไรบ้าง สามารถทำความเสียหายให้กับองค์กรเราอย่างไรได้บ้าง แล้วมันมีเครื่องมือที่จะป้องกันอย่างไร มีระบบที่จะป้องกันหรือไม่ เหมาะสมหรือเปล่ามีประสิทธิภาพในการป้องกันภัยคุกคามเหล่านั้นนะคะ การประเมินความเสี่ยงขององค์กรก็แบ่งเป็น 5 ระดับนะคะ อันแรกจะเป็นระดับของระบบก็ดูว่าระบบที่เราใช้งานอยู่มีความเสี่ยงมากน้อยเพียงใด ระบบเครือข่ายมีความเสี่ยงระดับไหน ถ้าไปถึงขั้นระดับภาพรวมขององค์กรนะคะ มีความเสี่ยงใดบ้าง มีการตรวจสอบการป้องกันขนาดไหน มีการทดสอบเจาะเข้าระบบ การป้องกันระบบหรือไม่อย่างไรนะคะ ก็จะต้องมีการทำเป็นรูปแบบของรายงานความเสี่ยงออกมาในทุก ๆ ปีนะคะ ก็จะมี... แทบจะมีครบทั้ง 5 ระดับนี้อยู่แล้ว ถ้าเป็นองค์กรที่มีมาตรฐานนะ นโยบายแล้วก็ระเบียบปฏิบัติที่ควรจะมี ข้อมูล ลักษณะความปลอดภัยของข้อมูลนะคะ นโยบายการใช้งานข้อมูล การสำรองข้อมูลนะคะ ระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการ Username ต่าง ๆ ในองคฺกนการกำหนดสิทธิการเข้าถึงนะคะ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ไม่คาดคิดหรือเกิดเหตุการณ์ใด ๆ เกิดขึ้น เช่น ภัยธรรมชาติ ภัยคุกคามต่าง ๆ ภัยจากมนุษย์ เกิดจากความไม่ตั้งใจใด ๆ จะต้องมีขั้นตอนพื้นฐานทำอย่างไรนะคะ เหมือนเวลาเรานั่งเครื่องบินน่ะค่ะ เครื่องบินมันก็บินปกตินี่แหละ แต่เขาจะมีคู่มือความปลอดภัยว่า ถ้าเครื่องบินเป็นแบบนี้คุณจะต้องนั่งอย่างไร ถ้าลงจอดฉุกเฉินคุณจะต้องทำตัวอย่างไร คล้าย ๆ กันนะคะ ว่าถ้าเจอเหตุการณ์ 1 2 3 4 5 เราจะต้องแก้ปัญหาอย่างไรบ้าง หลังจากที่มันเกิดเหตุการณ์ขึ้นไปแล้ว มันมีการฟื้นฟูระบบ ฟื้นฟูทรัพยากรของเราภายหลังจากเกิดภัยคุกคามแล้วอย่างไรนะคะ ลำดับในการกำหนดนโยบายนี่ ถ้าองค์กรยังไม่มีการกำหนดนโยบายใด ๆ เลย เราก็ต้องเริ่มจากการกำหนดนโยบายก่อน เพราะความเสี่ยงขององค์กรมันขึ้นอยู่ตรงนี้แหละ เพราะมันไม่มีนโยบายอะไรป้องกันเลยนะคะ นโยบายแรก ๆ ที่ควรจะมี ก็คือนโยบายเกี่ยวกับข้อมูลนะคะ เพราะว่า สิ่งที่กำหนดว่าข้อมูลขององค์กรมีความสำคัญหรือไม่อย่างไร ข้อมูลอะไรบ้างที่สำคัญ ตอนนี้ก็พูดได้หมดว่าสำคัญทุกอย่าง หรือบางคนก็พูดว่าไม่สำคัญหรอก ไม่ต้องปกป้องกันนี้ก็อยู่ที่นโยบายนะคะ เราสามารถเขียนนโยบายหลาย ๆ นโยบายพร้อม ๆ กันก็ได้ ขึ้นอยู่กับทรัพยากรบุคคลที่เรามีในการบริหารจัดการความเสี่ยงนะคะ พอเรามีนโยบายแล้ว ไม่ใช่ว่าใช้ไป 20-30 ปีไม่มีการปรับปรุงเลย ก็ไม่ได้อีก จำเป็นจะต้องปรับปรุงให้มีการทันสมัย วิเคราะห์ว่า 5 ปี 10 ปี ในการใช้นโยบายนี้ มันมีจุดดี หรือจุดอ่อนอะไรบ้างเราก็ต้องมาปรับปรุงหรืออาจจะมีการเพิ่มเติมให้มันตามยุคตามสมัยมากขึ้นนะคะ ถ้าในกรณีที่นโยบายหรือการจัดทำข้อมูลนี่บางทีคนที่คิดนโยบายหรือเหตุการณ์บ้านเมือง หรือเหตุการณ์ของโลกมันเปลี่ยนแปลงไปมาก ๆ เราอาจจะไม่แก้ไข อาจจะเริ่มใหม่ ขเียนใหม่อาจจะง่ายกว่านะคะ ให้มันทันยุคทันสมัยมากขึ้นก็ได้การออกแบบแล้วก็การติดตั้งระบบรักษาความปลอดภัยนี่มันก็จะใช้บังคับกับการรักษาความปลอดภัย อาจจะมีเกี่ยวข้องกับเครื่องมือ เทคนิคต่าง ๆ ระบบควบคุมการเข้าถึงทรัพยากรทางด้านกายภาพของเรานะคะ อาจจะมีการตั้งค่าระบบที่อาจจะไม่ได้เปลี่ยนการตั้งค่ามานานแล้ว หรือเพิ่งติดตั้งใหม่ก็สามารถทำได้ แล้วก็ดูได้ว่าการติดตั้งระบบใหม่ของเรานี่มันมีผลกระทบในปัจจุบันหรือไม่ แล้วถ้ามีมันจะมีผลกระทบอย่างไรนะคะ เหมือนบางทีอาจจะบอกว่ามหาลัยตั้งเปลี่ยนระบบปฏิบัติการใหม่ทุกเครื่อง ต้องดูก่อนว่าบางเครื่องมันถ้าลงระบบปฏิบัติการใหม่มันใช้กับฐานข้อมูลเดิมได้ไหม ใช้กับระบบฐานข้อมูลไหไม่ใช่ว่าอยากทำอะไรก็ทำได้เลย ไม่ได้นะคะ พอเราติดตั้งแล้วอาจจะต้องมีระบบรายงานการรักษาความปลอดภัย ก็จะมีการเฝ้าระวังจุดต่าง ๆ ที่เราคิดว่ามันเป็ดจุดอ่อนนะคะ ที่อาจจะถูกเจาะระบบได้ง่ายหรือคุกคามได้ง่าย ก็จะเป็นการเฝ้าระวังของการใช้งานระบบมีการแสกนหาช่องโหว่ต่าง ๆ แล้วก็ทุกอย่างจะต้องปฏิบัติตามนโยบายที่ทำไว้นะคะ เช่น การเฝ้าระวังทำตลอด 24 ชั่วโมงไหมนะคะ หรือจะต้องมีการเดินมาตรวจสอบทุกสัปดาห์ หรือทุกเช้า 8 โมงจะต้องเปิดมาดูว่าระบบความเย็นในห้องเครือข่ายยังทำงานหรือไม่ มีน้ำหยดหรือเปล่า ทุกเช้าหรือเปล่านะคะ ก็แล้วแต่นโยบายที่กำหนดไว้ การพิสูจน์ตัวตนหรือการที่เราใช้อินเทอร์เน็ตในมหาวิทยาลัยนี่ ไม่ใช่ใครอยากใช้ก็ได้ อย่างน้อยต้องเป็นคนในองค์กร เป็นอาจารย์ เป็นเจ้าหน้าที่หรือเป็นนักศึกษานะคะ ก็ถึงจะสามารถใช้ระบบเครือข่ายได้เพราะอย่างน้อยเราก็จะได้รู้ว่าข้อมูลนี้เกิดขึ้นโดยใครในเบื้องต้นนะคะ การเข้าสถานที่ต้องห้าม เช่น เราอยากเดินเข้าไปในห้อง Server ได้ทุกคนไหม ไม่ได้ จะต้องเป็นเฉพาะบุคคลที่ได้รับอนุญาตและผ่านการพิสูจน์ตัวตนแล้วเช่น การสแกนบัตร การตรวจลายนิ้วมือ สแกนหน้า สแกนม่านตา ใด ๆ ว่าไปนะคะ การพิสูจน์ตัวตนนี่มันมีผลกับทุกระบบขององค์กรนะคะ บางครั้งถ้าไม่มีเลยตั้งแต่แรกนี่ มันต้องดูว่ามันกระทบกับการทำงานไหมถ้าติดตั้งสมมติว่าอยาก... เมื่อก่อนหน้านี้ใครอยากเล่นอินเทอร์เน็ตใช้ได้เลย ทุกคนยังไม่มี Username Password ไม่ได้มีการวางแผนไว้ก่อน ว่าต้องมีการเข้าระบบก่อนมีการใช้อินเทอร์เน็ตนะคะ อยู่มาวันหนึ่งมหาวิทยาเปลี่ยนเลย จะต้อง Login ก่อนที่จะเล่นเน็ตได้ แต่ทุกคนยังไม่มี คราวนี้ภัยคุกคามเกิดขึ้นแล้วทุกคนก็จะใช้อินเทอร์เน็ตไม่ได้ เพราะไม่มี Password User Password ใช่ไหมคะ ก็จะต้องเดินทาง หรือต้องอีเมล หรือต้องร้องเรียนไปที่ศูนย์คอมพิวเตอร์ คนเข้ามาขอใช้บริการพร้อมกัน 2,000-3,000 คน ระบบล่ม เจ้าหน้าที่รับไม่ได้แน่ ๆ นะคะ จะต้องมีการวางแผนล่วงหน้าก่อน เช่น ให้ทุกคนมี Username Password ของตัวเองก่อนถึงจะเริ่มใช้ระบบพร้อม ๆ กันก็ได้นะคะ การรักษาความปลอดภัยนะคะ เราก็จะมีทั้งตัว Filewall แล้วก็ระบบ เป็นระบบเครือข่ายแบบส่วนตัว มีการเข้ารหัสข้อมูลนะคะ สิ่งที่สำคัญ ก็คือมันจะต้องมีการออกแบบ การติดตั้งตั้งแต่โครงสร้างพื้นฐาน ของเครือข่ายอยู่แล้วนะคะ เพราะมันจะต้องกำหนดขนาด กำหนดประสิทธิภาพของ Firewall ทุกอย่างเป็นราคาหมด ไม่ใช่ว่าอยากได้ตัวนี้ ก็อยากได้วันนี้ซื้อเลย ไม่ได้นะคะ ทกอย่างเป็นสิ่งที่ต้องมีทุนทรัพย์ก่อนทั้งนั้นนะคะ ไม่ใช่ว่าคิดได้ว่าต้องมี บางทีระบบเราใช้ไปแล้ว ถ้าจะเพิ่มบางอย่างเข้าไปอาจจะกระทบกับการทำงานหลัก ๆ นี่ก็ไม่ได้เหมือนกันนะคะ แล้วก็จะมีระบบตรวจจับการป้องกันบุกรุกนะคะ อันนี้เป็นระบบเอาไว้แจ้งเตือนเครือข่ายนะคะ ว่ามันก็จะแจ้งเตือนผู้ดูแลระบบว่า ถ้ามีคนที่พยายามจะบุกรุกเข้าสถานที่ต้องห้ามหรือระบบเครือข่ายคอมพิวเตอร์ของเรานะคะ ก็จะเป็นการแจ้งเตือน ซึ่ง Antivirus เป็นระบบเตือนภัยที่ใช้ทรัพยากรน้อยที่สุด ควรจะติดตั้งลงบนคอมพิวเตอร์ทุกเครื่อง พอระบบปฏิบัติการรุ่นใหม่ ๆ นี่ของ Windows มันก็จะมี Windows D ก็คือระบบป้องกันไวรัสของ Windows พื้นฐานมาให้อยู่แล้วบางคนก็ถือว่าพอใช้งานได้ แต่ถ้าใครต้องการความปลอดภัยมากขึ้น ก็สามารถซื้อ Anti Virus มาติดตั้งเพิ่มการเข้ารหัสข้อมูลก็จะเป็นการป้องกันขั้นสูงขึ้นมานะคะ ก็จะป้องกันข้อมูลการส่งผ่านข้อมูลผ่านเครือข่าย อาจจะเป็นเกี่ยวกับส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์กับอุปกรณ์จัดเก็บข้อมูลนะคะ แต่การเข้ารหัสนี่มันจะทำให้การเข้าถึงข้อมูลหรือการปล่อยข้อมูลออกไปนี่มันช้าลงนะคะ เพราะฉะนั้น มันก็ไม่ต้องจำเป็นเข้ารหัสทุก ๆ ข้อมูล อย่างส่งการบ้านอาจารย์ก็ไม่จำเป็นเข้ารหัสก็ได้นะคะ แต่ถ้ามันเป็นข้อมูลที่สำคัญมาก ๆ แล้วแต่คนนะ อย่างเช่น เลขบัญชีธนาคาร อยากส่งให้เพื่อน ก็เข้ารหัสหรือ E-mail กลัวพวกมิตรฉาชีพขโมยอีเมลเจอ ก็อาจจะมีการเขียนอีเมลแบบใหม่ก็ได้นะคะ การรักษาความปลอดภัยด้ายกายภาพก็เช่น ติดกล้องวงจรปิด ล็อกกุญแจ ใช้คีย์การ์ด มี รปภ. นะคะ ให้พนักงานทุกคนต้องห้อยป้าย แสดงตัวตนนะคะ แล้วก็ถ้าพื้นที่ที่จะต้องได้รับความปลอดภัยเป็นพิเศษ เช่น ห้องข้อมูลต่าง ๆ ห้องทะเบียนอะไรอย่างนี้ก็จะต้องมีระบบการป้องกันที่หนาแน่นขึ้น ระบบป้องกันไฟไหม้นะคะ ระบบควบคุมอุณหภูมิ แล้วก็มีการสำรองไฟที่ดี อย่างเช่น สำรองไฟก็ไม่ได้แพงมากนี่ แต่ถ้าสำรองไฟทั้งตึก เครื่องสำรองไฟราคาเป็นล้านนะคะ เพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์เสียหายนะคะ ก็ต้องเป็นการลงทุนที่คุ้มค่านะคะ การทำงานด้านความเสี่ยงและความปลอดภัยนี่ ก็เมื่อมีการติดตั้งระบบป้องกัน รวมถึงรักษาความปลนี่ก็ต้องมีคนดูแล บางระบบมีคนดูแลตลอด 24 ชั่วโมง 7 วันนะคะ เหมือนเข้าเวร การรักษความปลอดภัยนี่ก็คือหน้านี่ แล้วก็คิอความรับผิดชอบของคนในองค์อย่างเช่นข้อมูลในมหาวิทยาลัย นักศึกษาเห็นคนไม่น่าไว้ใจมาด้อม ๆ มอง ๆ ก็ช่วยเป็นหูเป็นตาด้วยกันนะคะ เขาทำไมไม่ใส่ชุดนักศึกษาทำไมมานั่งอยู่ตรงนี้หลายวันแล้ว ทำไมเขาดูจ้อง ๆ เวลาเราไขกุญแจห้อง เขาจ้องเวลาเราใส่รหัสผ่าน ก็ต้องช่วยกันเป็นหูเป็นตานะคะ การฝึกอบรมบางครั้งนี่ มันใช้ว่าทุกคนจะเรียนทางด้านคอมพิวเตอร์หรือบางคนอาจจะเข้าใจระบบไม่ดีพอนะคะ อาจจะมีการฝึกอบรมโดยการประชุม หรือการชี้แจง หรืออาจจะเป็นสื่อตีพิมพ์ต่าง ๆนะคะ เช่น บางทีนโยบายด้านการรักษาความปลอดภัยนี่ ควรจะเป็นส่วนหนึ่งของการปฐมนิเทศพนักงาน หรือปฐมนิเทศนักศึกษา ผู้ดูแลระบบก็จะต้องปรับปรุงความรู้ตัวเองให้ทันสมัยอยู่เสมออาจจะมีการไปอบรมเป็นประจำนะคะ ปรับปรุงความรู้ นักพัฒนาแอปพลิเคชันก็ต้องเขียนแอปพลิเคชัน หรือเขียนความปลอดภัย ตามมาตรฐานที่เกิดขึ้นในปัจจุบัน ผู้บริหารก็จะต้องใส่ใจในรายงานต่าง ๆ สถานภาพต่าง ๆ ความก้าวหน้าของโครงการ มีการติดตามผลต่าง ๆ หรือติดตามทางด้านรักษาความปลอดภัยอยู่เสมอ คณะทำงาน คณะเจ้าหน้าที่รักษาความปลอดภัยต่าง ๆ ก็ต้องปรับปรุงความรู้นะคะ ให้เท่าทันกับผู้คุกคาม หรือมิจฉาชีพใด ๆ นะะคะ ปกป้องข้อมูล ปกป้องระบบขององค์กรไว้ได้นะคะ ขั้นตอนสุดท้ายก็จะดูว่ามีการฝ่าฝืนนโยบาย หรือระเบียบหรือเปล่านะคะ ก็การตรวจสอบก็จะมีอยู่ 3 ประเภทนะคะ ก็คือการตรวจสอบตามนโยบายที่เราตั้งไว้ว่าเป็นไปตามที่เรากำหนดไว้ทุกข้อหรือไม่ ถ้ามีโครงการใหม่ ๆ ขึ้นมา ก็จะต้องทำการประเมินใหม่ อาจจะให้ผู้ที่เชี่ยวชาญทางด้านระบบคอมพิวเตอร์ทดลองเจาะระบบที่เรามี ถ้าเขาทำสำเร็จ ถ้าสมมติเราจ้างนะ มันก็จะเป็นผู้เชี่ยวชาญในความชำนาญในการทำงานด้านนี้ เขาก็จะบอกว่าจุดอ่อนคืออะไรและเราจะได้ไปอุดจุดอ่อนนั้นหรือไปปิดช่องนั้น แต่ถ้าผู้เชี่ยวชาญคนนั้นเขาเจาะระบบคอมพิวเตอร์เราไม่สำเร็จ ไม่ได้หมายความว่ามันไม่ได้มีจุดอ่อน เขาอาจจะหาไม่เจอก็ได้นะคะ ก็จะต้องทำการทดสอบไปเรื่อย ๆ วันนี้เลยมีงานให้นักศึกษาทำ 4 ข้อนะคะ ทำใส่ Microsoft Word แล้วก็ส่งใน Classroom เหมือนเดิมนะคะ 4 ข้อ หาข้อมูลในอินเทอร์เน็ตนี่แหละค่ะ ว่ากระบวนการรักษความปลอดภัยของข้อมูลเป็นอย่างไรบ้าเกิดช่องโหว่ Patch มันคืออะไร เมื่อกี้อธิบายไปแล้ว นักเล่นเกมน่าจะรู้ดี อาจารย์พูดถึง ISO 17799 กับ ISO 15504 ลองหาข้อมูลในอินเทอร์เน็ตสอว่า มันมีความสำคัญอย่างแล้วก็ระบบ Intrusoin Detectiนี่ มันคืออะไร เมื่อกี้พูดไปแล้ว 

[สิ้นสุดการถอดความ]