C berC ber Sec ritSec rit A arenessA arenessCyber Cyber Security Security AwarenessAwarenessการสรางความตระหนกการสรางความตระหนกเรองการรกษาความมนคงปลอดภยเรองการรกษาความมนคงปลอดภย

ดานสารสนเทศดานสารสนเทศสาหรบเจาหนาทศาลยตธรรมสาหรบเจาหนาทศาลยตธรรม

1นายนายปปยะพล สวมล นกวชาการคอมพวเตอรชานาญการพเศษยะพล สวมล นกวชาการคอมพวเตอรชานาญการพเศษ

การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ

สาหรบเจาหนาทศาลยตธรรม 2

ทาไมตองสรางความตระหนก

(Awareness)(Awareness)

ความมนคงปลอดภยสารสนเทศ?

การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ

3

สาหรบเจาหนาทศาลยตธรรม

การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ

4

สาหรบเจาหนาทศาลยตธรรม

ทกวนนหนวยงานตางๆ มการใชงานเทคโนโลยสารสนเทศ

มากขนอยางหลกเลยงไมได เนองจากกระแสของเทคโนโลยได

สรางใหเกดวฒนธรรมและการสรางนวตกรรมใหมๆในการ

ทางานทเปลยนไป เชน การใชอเมลในการรบสงเอกสาร การ

ไ ไ ใ โ โ เปดเวบไซตเพอคนหาขอมลประกอบการทางาน เปนตน จนเรยกไดวาการใชเทคโนโลยผาน

อนเตอรเนตกลายเปนสวนหนงของธรกจและชวตประจาวนไปแลวกเปนได ทงนอนเตอรเนตท

ใ โ ใ ไ ป ส ส สเราใชงานกนอยอาจมชองโหวททาใหมจฉาชพหรอผไมประสงคดกบองคกรสามารถแสวงหา

ประโยชนจากชองโหวตางๆ ทมอยได ตงแตเรองการละเมดขอมลสวนบคคล การแอบดขอมล

การขโมยขอมล การลบขอมลหรอการทาใหขอมลเสยหาย ซงผใชงานเทคโนโลยผานการขโมยขอมล การลบขอมลหรอการทาใหขอมลเสยหาย ซงผใชงานเทคโนโลยผาน

อนเตอรเนตในปจจบนทกคนสามารถตกเปนเปาหมายไดทงหมด ดงนนจงมความจาเปนตอง

สรางความตระหนก ยาเตอนและใหความรทเหมาะสม ทนสมย และเหมาะสมกบวฒนธรรมสรางความตระหนก ยาเตอนและใหความรทเหมาะสม ทนสมย และเหมาะสมกบวฒนธรรม

ของแตละองคกร

อนเทอรเนต อนเทอรเนต

(Internet)(Internet)

..มขอดกตองมขอเสย..

“ภยคกคาม”

5

การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ

6

สาหรบเจาหนาทศาลยตธรรม

โ ใ โ โ ความเสยหายโดยเฉลยตอ

เหตการณ ครงละประมาณ

160,000 บาท

ใชเวลากคนขอมลทถก

โจรกรรม/เสยหาย โดย

เฉลย 600 ชวโมง

การโจรกรรมขอมล

สวนบคคลและการรวไหล

ของขอมลมปรมาณมากขน

การโจรกรรมขอมล

สวนบคคลเกดขนได

ทกๆ 2-3 วนาท

หรอ 25 วน

Source: U.S. Department of Justice, Javelin Strategy & Research

Source: The Identity Theft Resource Center website

Source: Trans Union Website Source: https://identity.utexas.edu/id-perspectives/top-10-myths- gyyabout-identity-theft

ป ( )ความสาคญของความมนคงปลอดภยสารสนเทศ ( C I A )7

)

Confidentiality Integrityทง 3 สวนนน หากขาดคณสมบตอยางใด

อยางหนงแลว จะถอวาขอมลนนไมม

ความปลอดภย ดงนนระบบรกษาความ

Availabilityปลอดภยของขอมลจงเปนระบบทตอง

ปกปองรกษาคณสมบตทง 3 ดานของ

ขอมลเอาไวนนเอง

ป ( )ความสาคญของความมนคงปลอดภยสารสนเทศ ( C I A )8

การรกษาความลบของขอมล หมายถง การทาใหขอมลสามารถเขาถงหรอเปดเผย

ไดเฉพาะผทไดรบอนญาตเทานน หรอเปนการปกปองขอมลไมใหผทไมไดรบ

อนญาตสามารถเขาถงขอมลไดญ

ความตองการในการรกษาความลบของขอมลนนมทมาจากดานการทหารท

ตองการปกปดขอมลสาคญของกองทพไมใหฝายตรงขามทราบ เชน ท ตงตองการปกปดขอมลสาคญของกองทพไมใหฝายตรงขามทราบ เชน ทตง

แผนการรบ กาลงพล อาวธทใช ฯลฯ

หลกการนไดมการนาไปประยกตใชในทางธรกจดวยเชนกน เชน ขอมลเกยวกบ หลกการนไดมการนาไปประยกตใชในทางธรกจดวยเชนกน เชน ขอมลเกยวกบ

การออกแบบผลตภณฑ ขอมลพนกงาน หรอขอมลลกคา เปนตน โดยจะตองเปน

ผทมสทธและไดรบอนญาตเทานนทสามารถเขาถงขอมลเหลานไดนนเองผทมสทธและไดรบอนญาตเทานนทสามารถเขาถงขอมลเหลานไดนนเอง

ป ( )ความสาคญของความมนคงปลอดภยสารสนเทศ ( C I A )9

การรกษาความถกตองและความสมบรณของขอมล หมายถง การทาใหขอมลม

ความเชอถอได ประกอบดวย 2 สวนคอ ขอมลนนไมไดถกแกไขหรอ

เปลยนแปลงจากแหลงขอมลเดมทสงมา นนคอ ขอมลมความถกตอง และ

ความนาเชอถอของแหลงทมา

ขอมล/สารสนเทศจะขาดความคงสภาพหรอความสมบรณกตอเมอ ขอมลนน

ถกนาไปเปลยนแปลง ปลอมปนดวยสารสนเทศอน ถกทาใหเสยหาย ถกทาลาย

หรอถกกระทาในรปแบบอนๆ เพอขดขวางการพสจนการเปนสารสนเทศจรง ๆ

ซงภยคกคามทมตอความคงสภาพของขอมลหรอสารสนเทศนนสามารถเกดขน

ไดทงจากภายในและภายนอกขององคกร เชน จาก Virus หรอ Worm หรอไดทงจากภายในและภายนอกขององคกร เชน จาก Virus หรอ Worm หรอ

จากการสงสญญาณรบกวนในขณะมการสงขอมลตามสายสญญาณ เปนตน

ป ( )ความสาคญของความมนคงปลอดภยสารสนเทศ ( C I A )10

การรกษาไวซงความพรอมตอการใชงาน หมายถง การใหผ ทไดรบ

อนญาตสามารถเขาถงขอมลไดเมอตองการ หรอเปนการทาใหผใช

สามารถใชขอมลหรอทรพยากรไดเมอตองการ โดยหากตรวจพบเปนผใชสามารถใชขอมลหรอทรพยากรไดเมอตองการ โดยหากตรวจพบเปนผใช

ทไมไดรบอนญาตแลว การเขาถงหรอการเรยกใชงานนนจะตองถก

ขดขวางและลมเหลวในทสดขดขวางและลมเหลวในทสด

ป ( )ความสาคญของความมนคงปลอดภยสารสนเทศ ( C I A )11

ภยคกคาม ภยคกคาม (Threat) (Threat) คออะไรคออะไร

ภยคกคาม (Threat) คอ วตถ สงของ ตวบคคล หรอสงอนใดทเปน

ตวแทนของการกระทาอนตรายตอทรพยสนขององคกร หรอสงท

อาจจะกอใหเกดเสยหายตอคณสมบตของขอมลดานใดดานหนงหรอ

มากกวาหนงดาน ไดแก ความลบ (Confidentiality), ความสมบรณ

(I i ) ใ (A il bili )ของขอมล (Integrity) และ ความพรอมใช (Availability)

ประเภทของภยคกคาม เชน

- ภยคกคามทถกทาใหเกดขนโดยเจตนา

ภยคกคามทถกทาใหเกดขนโดยไมเจตนา- ภยคกคามทถกทาใหเกดขนโดยไมเจตนา

- ภยคกคามทเกดจากภยธรรมชาต

- ภยคกคามทเกดจากผใชในองคกรเอง12

ความตระหนกถงภยคกคามจากการใชงานระบบเครอขายอนเตอรเนต

13

การเปลยนแปลงรปแบบการกระทาความผดการเปลยนแปลงรปแบบการกระทาความผด

14

เทคนคการลอลวงตางๆ การลอเหยอดวยอเมลและอนๆ

15

ภยรายจากโลกอนเทอรเนตภยรายจากโลกอนเทอรเนต

ขโมยรหสผานขโมยรหสผานบญชบญชอเมลอเมลขโมยรหสผานขโมยรหสผานบญชบญชอเมลอเมล

ขโมยรหสขโมยรหสบญชธนาคารบญชธนาคารออนไลนออนไลน, , ATM ATM หรอบตรเครดตหรอบตรเครดต

ขโมยบญช ขโมยบญช Social Network Social Network หรอปลอมตวตนหรอปลอมตวตน

หลอกลวงหลอกลวงขายขายสนคาสนคาหลอกลวงหลอกลวงขายขายสนคาสนคา

หลอกวาไดของหลอกวาไดของรางวลรางวล

หลอกลอใหหลอกลอใหคลกขอความคลกขอความหรอรปหรอรป

เทคนคเทคนค PhishingPhishingเทคนค เทคนค PhishingPhishing

แฮแฮกขอกขอมลของหนวยงานหรอองคกรมลของหนวยงานหรอองคกร

HackerHacker คออะไรคออะไร

Hacker คอ ผทมความรความเขาใจในระบบคอมพวเตอรอยางสงมาก ไมวาจะ

Hacker Hacker คออะไรคออะไร

เปนเรองเครอขายคอมพวเตอร , ระบบปฏบตการและการเขยนโปรแกรม จน

สามารถเขาใจวาระบบมชองโหวตรงไหน หรอสามารถไปคนหาชองโหวไดจาก

ตรงไหนบาง เมอกอนภาพลกษณของ Hacker จะเปนพวกชวราย ชอบขโมยขอมล

หรอ ทาลายใหเสยหาย แตเดยวน คาวา Hacker หมายถง Security

Professional ทคอยใชความสามารถชวยตรวจตราระบบ และแจงเจาของระบบ

วามชองโหวตรงไหนบาง อาจพดงายๆวาเปน Hacker ทมจรยธรรมนนเอง ใน

ตางประเทศมวชาทสอนถงการเปน Ethical Hacker หรอ แฮกเกอรแบบม

จรยธรรม ซงแฮกเกอรแบบนเรยกอกอยางวา White Hat Hacker กได สวนพวก

ทนสยไมดเราจะเรยกวาพวกนวา Cracker หรอ Black Hat Hacker ซงจะม

ความสามารถเหมอน Hacker ทกประการ เพยงแตพฤตกรรมของ Cracker นนจะ

เปนการกระทาทขาดจรยธรรรม เชน ขโมยขอมลหรอเขาไปทาลายระบบ

คอมพวเตอรใหทางานไมได เปนตน 16

ประเภทของ ประเภทของ HackerHacker

17

Cyber Warfare (Cyber Warfare (สงครามไซเบอรสงครามไซเบอร))

18

การ Hack เอาขอมล การ Hack เอาขอมล

เขาทากนยงไง

มนงายขนาดไหนกนนะ?

19

ธ ร !วธการเยอะแยะ!

20

อเมลหลอกลวง

21

อเมลหลอกลวง

22

ผไมหวงดสามารถเขาถงขอมลสวนบคคลไดอยางไรผไมหวงดสามารถเขาถงขอมลสวนบคคลไดอยางไร

• ผใชงานเปดเผยขอมลเอง เชน การโพสตรปบตรประชาชน วนเดอนป เกด บนเครอขายสงคมออนไลน

• ผใชงานถกหลอกใหบอกขอมล ผไมหวงดใช เลห เหลยมในการ• ผใชงานถกหลอกใหบอกขอมล ผไมหวงดใชเลหเหลยมในการหลอกลวงใหเหยอเปดเผยขอมล

ป ใ ป • แอปพลเคชนทขอเขาถงขอมลสวนบคคล ผใชงานตดตงแอปพลเคชนทไมปลอดภยและมการเขาถงขอมลในระหวางใชงาน เชน เกมส แบบทดสอบออนไลน หรอ แอปพลเคชนอานวยความสะดวกผใช

23

แอปพลเคชนทขอเขาถงขอมลสวนบคคล

จะตระหนกไดตองมองแบบแงรายไวกอน

แอบดกขอมลวาใครโทรเขามาหรออาน OTP

แอบถายภาพหรอวดโอตอนทผใชไมรตว

แอบตามตาแหนงผใชตลอดเวลาวาอยทไหนบาง

แอบอาน แกไข หรอลบขอมลในเครอง

24

แฮกรหสผานบญชอเมลแฮกรหสผานบญชอเมล

ลกษณะการแฮกรหสผานบญชอเมลของผใชญ

• การหลอกใหใสรหสผาน เชน หลอกแชรไฟล หลอกวาบญชถกระงบ

หลอกวาคางชาระคาใชจายตางๆ หลอกวาเปนธนาคารออนไลนแจงหลอกวาคางชาระคาใชจายตางๆ หลอกวาเปนธนาคารออนไลนแจง

วามปญหาตางๆ แลวใหใสอเมลและรหสผานเพอยนยนหรอเพอ

ป ปลดลอกตางๆ

• การแฮกหรอเดาบญช อเมล เฟซบก ไลน อนสตาแกรม ทวตเตอร

อนเตอรเนตแบงกง โดย 90% เปนการเดารหสผานทงาย เชน เบอร

โทรศพท วนเดอนปเกด ชอเลน เลขประจาตวประชาชน รปแบบ

งายๆ คางายๆ และหลายคนจะใชบญชและรหสผานเดยวกนเพอ

ลอกอนเขาใชงานหลายๆ บรการลอกอนเขาใชงานหลายๆ บรการ25

หลอกใหกดปมยนยน

26

27

หลอกลวงเพอนใน Facebook ใหโอนเงน

28

ใ ไ การหลอกใหคลก Links เวบไซต29

การดกจบขอมลการ Login เขาใชบรการผานเวบไซต

30

การดกจบขอมลผานระบบเครอขายคอมพวเตอร / Free Wi-Fi

31

การปลอมแปลงเวบไซต (Phishing)

เวบไซตปลอม

32

การปลอมแปลงเวบไซต (Phishing)

เวบไซตจรง

33

“ความปลอดภยมกสวนทางกบความสะดวกสบายเสมอ”ความปลอดภยมกสวนทางกบความสะดวกสบายเสมอ

34

ส ใชส ใช !!!! ใ ป ใ ป ??รหสผานทนยมใช รหสผานทนยมใช !!!! มของทานอยมของทานอยในนกนหรอเปลา ในนกนหรอเปลา ??

35

มาเปลยน มาเปลยน password password ใหมความมนคงปลอดภยกนเถอะใหมความมนคงปลอดภยกนเถอะ

• ควรมความยาวอยางนอย 8 ตวอกษรหรอมากกวานน

คาแนะนาในการตงรหสผาน

• ประกอบดวยอกขระดงตอไปนอยางนอย 2 ใน 3

- ตวอกษร (a-z, A-Z) (0 9) - ตวเลข (0-9)

- เครองหมายหรออกขระพเศษ (!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)

• ขอมลทใชในการระบตวตนทวไป อยางเชน ชอ-นามสกล เลขบตรประจาตวตางๆ หรอวนเดอนปเกดคาแนะนาในการตงรหสผาน

• ขอมลการตดตอ อยางเชน เบอรโทรศพท• ชอบคคลรอบขางหรอสตวเลยง • ใ• คาทพบในพจนานกรม• คาทวๆไปทมการสะกดจากหลงไปหนา อยางเชน password -> drowssap, admin -> nimda,

root -> toor

36

root > toor• ใชรปแบบตวอกษรหรอตวเลขทเปนทนยม อยางเชน aaabbb, qwerty, 123456, 123321

มาเปลยน มาเปลยน password password ใหมความมนคงปลอดภยกนเถอะใหมความมนคงปลอดภยกนเถอะ

คาแนะนาในการตงรหสผาน (เพมเตม)

• ในแตละบญชควรมการตงรหสผานทแตกตางกน ไมควรใชรหสผานเดม• หากแอพพลเคชนหรอเวบไซตใดมการเปดยนยนตวตนแบบ 2 ขนตอน ควรเปดใชงานในสวนนดวย• ป 3 6 • เปลยนรหสผานทกๆ 3-6 เดอน• ตรวจสอบการเขาถงบญชเปนประจา • ออกจากระบบทกครงหลงใชงานออกจากระบบทกครงหลงใชงาน• ไมควรเลอกใชงาน "จารหสผาน" (Remember me) บนเวบไซต • ไมควรจดรหสผานลงกระดาษหรอในไฟลเอกสารทไมมการปองกนการเขาถง

• ไมเปดเผยรหสผานใหผอนรบทราบ ทงนทางสานกบรหารเทคโนโลยสารสนเทศไมมนโยบายสอบถามรหสผานจากผใชบรการทงทางโทรศพทหรออเมล

37

อปสรรคของการรกษาความมนคงปลอดภยอปสรรคของการรกษาความมนคงปลอดภย

- ผใชคอมพวเตอรขาดความระมดระวงในการใช- ผใชคอมพวเตอรขาดความระมดระวงในการใช

งาน

- ความปลอดภย คอ ความไมสะดวก

- ความซบซอนหรอความเขาใจในการใชงาน

คอมพวเตอร/มอถอ

ไ - ผไมหวงด มความเชยวชาญสง

38

ความมนคงปลอดภยคอสงทไมควรมองขามในยคดจทลความมนคงปลอดภยคอสงทไมควรมองขามในยคดจทล

“ทกวนน บคคลทเรมหดใชสมารทโฟน แทบเลต และเลนอนเทอรเนตมจานวนมากขน แต

จากความไมคนเคย ไมมนใจในการใชเทคโนโลยสมยใหม รวมไปถงการไมทราบวาจะตอง

ปรกษาใครเมอพบปญหา ทาใหผใชบางสวนตกเปนเหยอของการตมตนหลอกลวงไดงาย หรอ

ใ ใ โ โ ใ ป ป ไ แมแตผใชบางคนใชเทคโนโลยสมยใหมเปนแตประมาทและไมตระหนกตอภยคกคามกอาจตก

เปนเหยอไดเชนกน”

39

แนวทางการปองกนภยคกคาม

40

แนวทางการปองกนภยคกคาม

41

แนวทางการปองกนภยคกคาม

42

แนวทางการปองกนภยคกคาม

43

Cyber Cyber Security Security AwarenessAwarenessyy S yS yการสรางความตระหนกเรองความมนคงปลอดภยการสรางความตระหนกเรองความมนคงปลอดภย

สารสนเทศสาหรบเจาหนาทศาลยตธรรมสารสนเทศสาหรบเจาหนาทศาลยตธรรม

“ใชเทคโนโลยอยางมประโยชนและมความมนคงปลอดภยในยคดจทล”

44Thank YouThank You Cyber Security AwarenessCyber Security Awareness