มาตรการพื้นฐานสำหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ สำหรับหน่วยงานของรัฐ


มาตรการพื้นฐานสำหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ สำหรับหน่วยงานของรัฐ
1.จัดทำหรือทบทวนแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน ให้ครอบคลุมการสำรองข้อมูล การควบคุมการเข้าถึงเครือข่ายและระบบสารสนเทศ และการประเมินความเสี่ยง
2.สำรองข้อมูลที่สำคัญ
          (1) การสำรองข้อมูล ควรจัดทำอย่างน้อย 2 เวอร์ชัน ไว้ในอุปกรณ์จัดเก็บข้อมูลที่ไม่เชื่อมต่อกับเครื่องคอมพิวเตอร์ ยกเว้นเวลาสำรองข้อมูล และในการสำรองข้อมูลแต่ละเวอร์ชันให้มีการจัดเก็บลงในอุปกรณ์ที่แตกต่างกัน
          (2) ทดสอบการกู้คืนข้อมูลที่สำรองเพื่อให้แน่ใจว่าสามารถนำมาใช้งานได้เมื่อต้องการ
3.ควบคุมการเข้าถึงเครือข่าย และระบบสารสนเทศ
          (1) แยกส่วนเครือข่าย (Network segregation) ของระบบสารสนเทศตามรูปแบบการให้บริการ เพื่อลดผลกระทบจากการแพร่กระจายมัลแวร์ผ่านเครือข่าย
          (2) ทบทวนการกำหนดสิทธิการเข้าถึงเครือข่าย และระบบสารสนเทศ ตามความจำเป็นและ การแบ่งแยกหน้าที่ (need to know, least privilege, separation of duties) รวมถึงควรตั้งค่าควบคุมในลักษณะการอนุญาตให้ใช้งานตามรายการสิทธิที่กำหนดไว้เท่านั้น (whitelisting)
          (3) กำหนดให้มีการยืนยันตัวตน (authentication) ตามสิทธิในการเข้าถึงเครือข่าย และระบบสารสนเทศ โดยไม่อนุญาตให้แชร์บัญชีผู้ใช้งาน
4.ประเมินความเสี่ยงด้านระบบสารสนเทศ
          (1) จัดทำหรือทบทวนทะเบียนสินทรัพย์ (inventory of asset) รวมถึงข้อมูลที่สำคัญในการให้บริการ
          (2) จัดทำหรือทบทวนแผนผังการเชื่อมต่อเครือข่าย และระบบสารสนเทศที่ให้บริการ
          (3) จัดทำข้อมูลการติดต่อสำหรับผู้ดูแลหรือผู้ให้บริการสินทรัพย์ และเครือข่ายเพื่อเตรียมความพร้อมในกรณีที่ต้องการประสานการแก้ไขปัญหา หรือรับมือสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น
          (4) ระบุความเสี่ยงที่อาจเกิดขึ้นสำหรับการให้บริการ เพื่อพิจารณาช่องทางสำรองสำหรับให้บริการ กรณีที่ช่องทางหลักได้รับผลกระทบ
          (5) จัดเตรียมเครื่องมือ อุปกรณ์ และทรัพยากรที่จำเป็นสำหรับการให้บริการช่องทางสำรอง
5.จัดเก็บบันทึกกิจกรรม (log) ไปยังพื้นที่จัดเก็บในส่วนกลางที่มีการควบคุมการเข้าถึงอย่างรัดกุม เพื่อให้แน่ใจว่าข้อมูลดังกล่าวจะไม่ถูกทำลายหรือเปลี่ยนแปลง โดยบันทึกกิจกรรมควรครอบคลุม
          (1) ข้อมูลการใช้งานระบบสารสนเทศ เช่น application log
          (2) ข้อมูลการเชื่อมต่อทางเครือข่ายหรือระบบป้องกันการโจมตีทางเครือข่าย เช่น firewall log, intrusion prevention system (IPS) log
          (3) ข้อมูลบันทึกกิจกรรมของระบบปฏิบัติการ เช่น event log, system log, security log, audit log
          (4) การจัดเก็บข้อมูล log ควรมีระยะเวลาในการจัดเก็บที่เหมาะสมเพื่อประโยชน์ในการนำมาใช้งานภายหลัง ทั้งนี้ อาจพิจารณากำหนดระยะเวลาในการจัดเก็บตามหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการโดยอนุโลม
6.ทบทวน และยกเลิกบริการที่ไม่จำเป็นบนเครื่องให้บริการ
7.กำหนดเจ้าหน้าที่ประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับบริหารกับระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
8.ให้ความรู้กับผู้ใช้งานในหน่วยงานเกี่ยวกับการป้องกันตนเองจากการติดมัลแวร์เรียกค่าไถ่ โดยอาจใช้สื่อประชาสัมพันธ์จากเว็บไซต์ไทยเซิร์ต (https://www.thaicert.or.th)
อ่านต่อที่ https://www.etda.or.th/…/ETDA-recommendation-protection…
ดาวน์โหลดคู่มือ ” คนไทย รู้ทันภัยไซเบอร์ ” ที่ https://www.etda.or.th/…/Cybersecurity-for-All-2020.aspx
ดาวน์โหลดภาพนี้ ที่ https://www.etda.or.th/…/Ransomware_Gov_cover_web-(1…
#แรนซัมแวร์ #มัลแวร์เรียกค่าไถ่ #GoDigitalWithETDA