ขั้นตอน 10 ประการในการวัดประสิทธิภาพการรักษาความปลอดภัยไอที (IT security audit) ในขั้นต้น
ทุกธุรกิจ และคุณ มีทรัพย์สินทางด้าน IT ที่มีค่า เช่น คอมพิวเตอร์, เครือข่าย และข้อมูล และการปกป้องทรัพย์สินที่กำหนดให้ดำเนินการกับบริษัทใหญ่และบริษัทเล็กเอง ตรวจสอบความปลอดภัยด้านไอทีของพวกเขาเพื่อให้ได้ภาพที่ชัดเจนของความเสี่ยงที่จะเผชิญความปลอดภัยและวิธีปฏิบัติที่ดีที่สุดกับภัยคุกคามเหล่านั้น
ต่อไปนี้คือ 10 ขั้นตอนในการดำเนินการรักษาความปลอดภัยขั้นพื้นฐานของการตรวจสอบไอทีของคุณ ขณะที่ขั้นตอนเหล่านี้จะไม่เป็นอย่างที่ตรวจสอบโดยที่ปรึกษามืออาชีพรุ่น DIY (Do it yourself) นี้จะช่วยให้คุณเริ่มต้นบนถนนเพื่อป้องกันบริษัทของคุณเอง
1. กำหนดขอบเขตของการตรวจสอบ: การสร้างรายการ Asset และขอบเขตการรักษาความปลอดภัย
ขั้นตอนแรกในการดำเนินการตรวจสอบคือการสร้างรายการหลักของสินทรัพย์บริษัทของคุณในการตัดสินใจในภายหลังเมื่อสิ่งที่ต้องมีการป้องกันการตรวจสอบ ขณะรายการที่ง่ายต่อการแสดงทรัพย์สินคือสิ่งที่มีรูปร่างของเช่น คอมพิวเตอร์, เซิร์ฟเวอร์และไฟล์นั้นยากต่อการแสดงรายการสินทรัพย์ไม่มีตัวตน เพื่อให้สม่ำเสมอในการตัดสินใจที่ไม่มีตัวตนสินทรัพย์รวมของบริษัทจะช่วยให้วาดขอบเขตการรักษาปลอดภัย สำหรับการตรวจสอบของคุณ
อะไรคือขอบเขตของ Security
ขอบเขตของความปลอดภัยมีทั้งขอบเขตเกี่ยวกับความคิดเห็นและกายภาพภายในที่ตรวจสอบความปลอดภัยของคุณจะเน้นและนอกที่การตรวจสอบของคุณจะไม่สนใจ ในที่สุดคุณตัดสินใจด้วยตัวคุณเองขอบเขตความปลอดภัยของคุณคืออะไรแต่กฎทั่วไป คือ ขอบเขตรักษาความปลอดภัยควรเป็นเขตที่เล็กที่สุดที่มีสินทรัพย์ที่คุณเองและต้องควบคุมเพื่อความปลอดภัยของบริษัทเอง.
สินทรัพย์เพื่อพิจารณา
เมื่อคุณได้กำหนดขอบเขตรักษาความปลอดภัยเสร็จแล้ว รายการทรัพย์สินที่เกี่ยวข้องกับการพิจารณาสินทรัพย์ทุกบริษัทมีศักยภาพและการตัดสินใจหรือไม่ก็พอดีกับในขอบเขตความปลอดภัย รายการของสินทรัพย์ที่สำคัญร่วมกันคือ
1. คอมพิวเตอร์และแล็ปท็อป
2. เราเตอร์และอุปกรณ์เครือข่าย
3. เครื่องพิมพ์
4. กล้องดิจิตอลหรืออนาล็อกกับบริษัทภาพที่สำคัญ
5. ข้อมูลการขาย, ข้อมูลลูกค้า, ข้อมูลพนักงาน
6. สมาร์ทโฟน / พีดีเอ ของบริษัท
7. โทรศัพท์ VoIP, IP PBXs (โทรศัพท์ดิจิตอล) เซิร์ฟเวอร์ที่เกี่ยวข้อง
8. VoIP หรือบันทึกการโทรปกติและบันทึกเสียง
9. Email
10. เข้าสู่ระบบของพนักงานกำหนดวันและกิจกรรม
11. หน้าเว็บโดยเฉพาะผู้ที่ขอรายละเอียดลูกค้าและผู้ที่ได้รับการสนับสนุนจากสคริปต์เว็บที่ฐานข้อมูลการสืบค้น
12. คอมพิวเตอร์เว็บเซิร์ฟเวอร์
13. กล้องรักษาความปลอดภัย
14. บัตรพนักงาน
15. Access points (เช่นสแกนเนอร์ที่เข้าห้องควบคุม)
โดยสิ่งนี้ไม่ได้หมายความว่าแสดงรายการอย่างครบถ้วนและคุณควรใช้เวลาพิจารณาทรัพย์สินที่สำคัญอื่นๆที่บริษัทของคุณมี ควรเพิ่มเติมรายละเอียดที่คุณใช้ในรายการทรัพย์สินของบริษัท (เช่น "25 แล็ปท็อป Dell รุ่น D420 รุ่น 2006" แทน "25 คอมพิวเตอร์") ดีกว่าเพราะจะช่วยให้คุณรับรู้ชัดเจนยิ่งขึ้นภัยคุกคามเฉพาะแต่ละสินทรัพย์ของบริษัท
2. สร้างรายการของภัยคุกคาม
คุณไม่สามารถป้องกันสินทรัพย์โดยการรู้สิ่งที่พวกเขาคุณต้องเข้าใจว่าแต่ละบุคคลเป็นสินทรัพย์คุกคาม ดังนั้นในขั้นตอนนี้จะรวบรวมรายชื่อโดยรวมของภัยคุกคามที่กำลังเผชิญกับทรัพย์สินของคุณ.
ภัยคุกคามประกอบด้วย?
หากรายการคุกคามของคุณกว้างเกินไปตรวจสอบความปลอดภัยของท่านจะสิ้นสุดถึงการมุ่งเน้นภัยคุกคามที่มีน้อยมากหรือระยะไกล ตัดสินใจว่าจะรวมถึงภัยคุกคามโดยเฉพาะในรายการของภัยคุกคาม ทราบว่าการทดสอบของคุณควรเป็นไปตามขนาดเลื่อนเมื่อ. ตัวอย่างเช่นหากคุณพิจารณาความเป็นไปได้ของวาตภัยอุทกภัยจากเซิร์ฟเวอร์ของคุณคุณควรพิจารณาทั้งสองวิธีห่างไกลภัยคุกคามมีแต่วิธีการทำลายล้างอันตรายจะเป็นหากเกิดขึ้น. อันตรายระยะไกลปานกลางจะยังคงรวมเหมาะสมในรายการคุกคามหากอันตรายที่อาจเกิดขึ้นก็จะทำให้มีขนาดใหญ่พอที่บริษัทของคุณ.
ภัยคุกคามธรรมดา ให้คุณเริ่มต้น?
ที่นี่มีกันค่อนข้างภัยคุกคามความปลอดภัยเพื่อช่วยให้คุณเริ่มต้นในการสร้างรายชื่อการคุกคามของบริษัทคือ
1. คอมพิวเตอร์และรหัสผ่านเครือข่าย มีบันทึกของคนทั้งหมดที่มีรหัสผ่าน (และชนิดไหน) ปลอดภัยวิธีการคือรายการ ACL (Access Control List) และวิธีกำหนดรหัสผ่าน Strong ที่จะใช้งานในปัจจุบัน?
2. สินทรัพย์ทางกายภาพ เช่น คอมพิวเตอร์หรือแล็ปท็อปที่สามารถจะหยิบออกจากสถานที่ จากผู้เข้าชมหรือพนักงาน
3. บันทึกของสินทรัพย์ทางกายภาพ พวกเขาอยู่? มีการสำรองไว้?
4. สำรองข้อมูล. สำรองข้อมูลของสินทรัพย์เสมือนอะไรอยู่ได้อย่างไรมีการสำรองที่มีการสำรองข้อมูลเก็บไว้และผู้ดำเนินการสำรองข้อมูลหรือไม่
5. เข้าสู่ระบบการเข้าถึงข้อมูล. เวลาแต่ละคนเข้าถึงข้อมูลบางส่วนคือเข้าสู่ระบบพร้อมกับผู้ที่เมื่อที่ฯลฯ?
6. เข้าถึงข้อมูลลูกค้าที่สำคัญเช่นข้อมูลบัตรเครดิต. ได้เข้าใครวิธีที่สามารถเข้าถึงได้ควบคุม? ข้อมูลนี้สามารถเข้าถึงได้จากนอกสถานที่บริษัท?
7. การเข้าถึงรายการ client. ไม่อนุญาตให้เข้าเว็บไซต์ลับๆลงในฐานข้อมูลของลูกค้าหรือไม่สามารถจะถูก Hacked?
8. ยาวระยะทางโทร. เป็นระยะทางยาวสายจำกัดหรือมันฟรีสำหรับทั้งหมด? ควรจะถูกจำกัด?
9. อีเมล. มีตัวกรองอีเมลขยะในที่? พนักงานจะต้องศึกษาเกี่ยวกับการจุด Spam ศักยภาพและอีเมลหลอกลวง? มีนโยบายบริษัทที่อีเมลขาออกให้ลูกค้าไม่ได้บางประเภทเชื่อมโยงหลายมิติในพวกเขา
3. ความพยายามในอดีตและคาดในอนาคต
ณ จุดนี้คุณต้องรวบรวมรายชื่อของภัยคุกคามในปัจจุบันแต่สิ่งที่เกี่ยวกับภัยคุกคามความปลอดภัยที่ไม่ได้มาเพื่อเรดาร์ของคุณยังไม่ได้หรือแม้กระทั่งพัฒนา? ตรวจสอบความปลอดภัยที่ดีควรบัญชีไม่เพียงแต่บรรดาภัยคุกคามความปลอดภัยที่หน้าบริษัทของคุณในวันนี้แต่ที่จะเกิดขึ้นในอนาคต
ตรวจสอบประวัติภัยคุกคามของคุณ
ขั้นตอนแรกคาดภัยคุกคามต่ออนาคตคือการตรวจสอบข้อมูลของบริษัทและพูดกับพนักงานมานานเกี่ยวกับภัยคุกคามความปลอดภัยที่ผ่านมาที่บริษัทได้ประสบ ภัยคุกคามส่วนใหญ่ซ้ำเองโดย Cataloging ประสบการณ์ที่ผ่านมาของบริษัทและรวมถึงภัยคุกคามที่เกี่ยวข้องในรายชื่อของคุณคุณจะได้รับภาพที่สมบูรณ์มากขึ้นช่องโหว่ของบริษัท
แนวโน้มการตรวจสอบความปลอดภัย
นอกจากการตรวจสอบภัยคุกคามความปลอดภัยโดยเฉพาะในอุตสาหกรรมโดยเฉพาะของคุณ IT Security.com’s กระดาษขาวล่าสุดครอบคลุมแนวโน้มสำหรับ 2,007 รวมทั้งเสนอข้อมูลประจำบล็อกที่จะให้ทันคุณทั้งหมดพัฒนาภัยคุกคามความปลอดภัยใหม่ ใช้เวลามองผ่านแหล่งข้อมูลเหล่านี้บางและพิจารณาว่าแนวโน้มเหล่านี้มีแนวโน้มที่จะส่งผลกระทบต่อธุรกิจของคุณโดยเฉพาะ ถ้าคุณพบทางตัน ปัญญาคุณอาจต้องการสอบถาม IT Security Experts โดยตรง.
ตรวจสอบกับการแข่งขัน
เมื่อถึงภัยคุกคามความปลอดภัยนอกบริษัทที่เป็นคู่แข่งปกติมักจะหันเข้าสินทรัพย์อื่นยิ่ง โดยพัฒนาความสัมพันธ์กับการแข่งขันของคุณสามารถพัฒนาภาพที่ชัดเจนของภัยคุกคามอนาคตของบริษัทของคุณ โดยการแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามความปลอดภัยกัน
4. การจัดลำดับสินทรัพย์และช่องโหว่
คุณได้พัฒนาขณะนี้รายชื่อทั้งหมดสินทรัพย์และภัยคุกคามความปลอดภัยที่บริษัทของคุณ แต่ไม่ใช่ทุกทรัพย์สินหรือ ภัยคุกคามที่มีระดับความสำคัญเดียวกัน ในขั้นตอนนี้คุณจะจัดลำดับความสำคัญสินทรัพย์และจุดอ่อนของคุณเพื่อให้ทราบว่าบริษัทของคุณมากที่สุดความเสี่ยงด้านความปลอดภัยและเพื่อให้คุณสามารถจัดสรรทรัพยากรของบริษัทตามลำดับ
การคำนวณความเสี่ยง / การคำนวณความน่าจะเป็น
ที่ใหญ่กว่าความเสี่ยงที่มีความสำคัญสูงกว่าการซื้อขายกับภัยคุกคามพื้นฐานเป็น สูตรการคำนวณความเสี่ยงคือ
ความเสี่ยง = ความน่าจะเป็น x สิ่งที่เป็นอันตราย
สูตรความเสี่ยงเพียงหมายความว่าคุณคูณโอกาสภัยคุกคามด้านความปลอดภัยนี้จะเกิดขึ้น (ความน่าจะเป็น) ครั้งความเสียหายที่จะเกิดขึ้นกับบริษัทของคุณหากคุกคามจริงไม่เกิดขึ้น (สิ่งที่เป็นอันตราย) จำนวนที่มาจากสมการที่มีความเสี่ยงที่คุกคามบริษัทของคุณ
คำนวณความน่าจะเป็น
น่าจะเป็นเพียงโอกาสที่ภัยคุกคามโดยเฉพาะนั้นจะเกิดขึ้น แต่ไม่มีหนังสือที่น่าจะเป็นรายชื่อที่เว็บไซต์ของท่านจะถูก Hacked ปีนี้คุณจึงต้องเกิดขึ้นในสถิติของตัวเอง
ขั้นตอนแรกของคุณในการคำนวณความน่าจะเป็นควรจะทำวิจัยลงในประวัติศาสตร์ของบริษัทกับการคุกคามนี้ประวัติของคู่แข่งของท่านและที่ศึกษาเกี่ยวกับการทดลองในความถี่ที่บริษัทส่วนใหญ่หน้าคุกคามนี้ ตัวเลขน่าจะเป็นใดๆที่คุณที่สุดมาด้วยคือประมาณแต่ยิ่งถูกต้องประมาณการให้ดีกว่าการคำนวณความเสี่ยงของคุณจะถูก
คำนวณสิ่งที่เป็นอันตราย
คำนวณสิ่งที่เป็นอันตรายว่าเสียหายมากจะทำให้เกิดอันตรายโดยเฉพาะหากเกิดขึ้น? คำนวณถึงอันตรายที่อาจเป็นอันตรายสามารถทำได้ในจำนวนวิธีต่างๆ คุณอาจนับถึงค่าใช้จ่ายในเหรียญที่แทนที่รายได้สูญหายหรือทรัพย์สินจะเสียค่าใช้จ่ายบริษัท หรือแทนคุณอาจคำนวณความเสียหายเป็นจำนวนชั่วโมงที่มนุษย์จะสูญหายพยายามรักษาความเสียหายเมื่อเกิด แต่คุณใช้วิธีใดเป็นสิ่งสำคัญที่คุณอยู่สม่ำเสมอตลอดตรวจสอบเพื่อให้ได้รายการสำคัญที่ถูกต้อง
การตอบสนองภัยคุกคามด้านความปลอดภัยของแผน
เมื่อทำงานรายการลำดับความสำคัญของการพัฒนาใหม่จะมีจำนวนของการตอบสนองของคุณอาจจะทำให้การคุกคามใดๆโดยเฉพาะ ที่เหลือหกจุดในบทความนี้ครอบคลุมการตอบสนองหลักของบริษัทสามารถเป็นภัยคุกคามโดยเฉพาะ ขณะนี้มีการตอบสนองความปลอดภัยโดยไม่ได้วิธีการที่เหมาะสมเฉพาะการจัดการกับภัยคุกคามด้านความปลอดภัยจะครอบคลุมส่วนใหญ่มหึมาของภัยคุกคามของบริษัทของคุณใบหน้าและผลคุณควรผ่านรายการของการตอบสนองศักยภาพนี้ก่อนพิจารณาทางเลือกอื่นใด
5. การใช้ Network Access Controls
Network Access Controls หรือ NACs ตรวจสอบความปลอดภัยของผู้ใช้พยายามเข้าถึงเครือข่ายใดๆ ตัวอย่างเช่นถ้าคุณกำลังพยายามมาด้วยโซลูชั่นสำหรับการคุกคามความปลอดภัยของการแข่งขันของบริษัทจากการขโมยข้อมูลส่วนบุคคลของเว็บไซต์ของบริษัทให้ใช้ควบคุมการเข้าถึงเครือข่ายหรือ NACs เป็นโซลูชั่นที่ยอดเยี่ยม ส่วนหนึ่งของการใช้ประสิทธิภาพ NAC คือการมี ACL (Access Control List) ซึ่งแสดงสิทธิผู้ใช้สินทรัพย์และทรัพยากรต่างๆ NAC ของคุณยังอาจรวมถึงขั้นตอนเช่น; การเข้ารหัสลายเซ็นดิจิตอล, ACLs, ยืนยันที่อยู่ชื่อผู้ใช้และตรวจสอบคุกกี้สำหรับหน้าเว็บ
6. ใช้การป้องกันการบุกรุก
ในขณะที่ Network Access Control ข้อตกลงกับภัยคุกคามของคนไม่ได้รับอนุญาตเข้าถึงเครือข่ายโดยดำเนินการเช่นรหัสผ่านการป้องกันข้อมูลที่สำคัญ, การบุกรุก Prevention System (IPS) ป้องกันการโจมตีที่เป็นอันตรายเพิ่มเติมจากแฮกเกอร์ IPS เป็นไฟร์วอลล์รุ่นที่สอง ไฟร์วอลล์ไม่เหมือนรุ่นแรกที่มีเพียงเนื้อหาตัวกรองที่ใช้ไฟร์วอลล์รุ่นที่สองเพิ่มไปกรองเนื้อหา 'Rate-กรองตาม'
• Content-based ไฟร์วอลล์จะตรวจสอบแพ็คลึกซึ่งเป็นลักษณะสมบูรณ์ในเนื้อหางานจริงเพื่อดูว่ามีความเสี่ยงใด
• Rate-based ไฟร์วอลล์รุ่นที่สองดำเนินการวิเคราะห์ขั้นสูงของเว็บหรือรูปแบบการเครือข่ายหรือการตรวจสอบเนื้อหาโปรแกรมสถานการณ์ผิดปกติทำเครื่องหมายในกรณีใด
7. การใช้ Identity & Access Management
Identity & Access Management (IAM) นั้นหมายถึงว่าการเข้าถึงผู้ใช้ ควบคุมเพื่อทรัพย์สินเฉพาะ ภายใต้ IAM ผู้ใช้งานได้ด้วยตนเองหรือโดยอัตโนมัติระบุตนเองและได้รับสิทธิ์ สิทธิ์เมื่อพวกเขาได้รับการเข้าถึงทรัพย์สินเหล่านั้นที่พวกเขามีสิทธิ์ IAM เป็นวิธีที่ดีในขณะที่พยายามให้พนักงานจากการเข้าถึงข้อมูลที่พวกเขาไม่ได้รับอนุญาตให้เข้าถึง ดังนั้นตัวอย่างเช่นถ้าภัยคุกคามคือพนักงานที่จะขโมยข้อมูลบัตรเครดิตของลูกค้าซึ่งเป็นโซลูชั่น IAM เป็นทางออกที่ดีที่สุดของคุณ
8. สร้างการสำรองข้อมูล
เมื่อเราคิด IT ภัยคุกคามความปลอดภัยสิ่งแรกที่มาคิดเป็นแฮ็ค แต่การคุกคามไกลกันมากขึ้นในบริษัทส่วนใหญ่เป็นอุบัติเหตุการสูญเสียข้อมูล แม้ว่าจะไม่เซ็กซี่, วิธีที่พบบ่อยเพื่อจัดการกับภัยคุกคามของการสูญเสียข้อมูลที่จะพัฒนาแผนสำหรับการสำรองข้อมูลประจำ เหล่านี้ไม่กี่ตัวสำรองบ่อยและคำถามที่คุณควรพิจารณาเมื่อการพัฒนาแผนสำรองของคุณ
• Onsite storage สามารถเก็บมาในหลายรูปแบบรวมถึงการถอดฮาร์ดดิสก์หรือเทปสำรองข้อมูลเก็บไว้ใน Fireproofed, ปลอดภัยห้องเข้า ข้อมูลเดียวกันสามารถจัดเก็บไว้ในฮาร์ดไดร์ฟที่มีเครือข่ายภายในแต่คั่นด้วย DMZ (demilitarized zone) จากโลกภายนอก
• Offsite storage พันธกิจข้อมูลสำคัญจะถูกเก็บไว้ offsite เป็นสำรองเพิ่มเพื่อบริการรุ่น พิจารณาสถานการณ์กรณีที่แย่ที่สุด: หากไฟขึ้นเทปจะยากของไดรฟ์หรือดิจิตอลปลอดภัย? สิ่งที่เกี่ยวกับในกรณีวาตภัยหรือแผ่นดินไหวหรือไม่ข้อมูลที่สามารถย้าย offsite เองในสื่อที่ถอดได้หรือผ่าน VPN (Virtual Private Network) ผ่านทางอินเทอร์เน็ต.
• Secured access to backups บางครั้งต้องสำรองข้อมูลเข้าจะเกิดขึ้น การเข้าถึงการสำรองข้อมูลดังกล่าวว่าจะห้อง fireproofed หรือป่าช้าหรือศูนย์ข้อมูล offsite, ทางร่างกายหรือผ่าน VPN ซึ่งจะต้องปลอดภัย. ซึ่งอาจหมายถึงการออกคีย์, RFID ใช้ "บัตรผ่านสมาร์ท" รหัสผ่าน VPN, ชุดปลอดภัยฯลฯ
• Scheduling backups ควรสำรองข้อมูลอัตโนมัติเท่าที่เป็นไปได้และกำหนดให้เกิดการทำลายต่ำสุดที่บริษัทของคุณ ตัดสินใจในความถี่ของการสำรองข้อมูลเมื่อทราบว่าถ้าสำรองข้อมูลของคุณจะไม่บ่อยพอที่จะมีความเกี่ยวข้องเรียกว่าเมื่อพวกเขาจะไม่คุ้มค่าทำเลย
9. การคุ้มครองและการกรองอีเมล
แต่ละวัน 55 ล้านข้อความสแปมจะถูกส่งทางอีเมล์ทั่วโลก จำกัดความเสี่ยงที่อีเมลที่ไม่พึงประสงค์ท่าทาง, การกรองจดหมายขยะและพนักงาน การศึกษาเป็นส่วนที่จำเป็นของบริษัททุกอย่างปลอดภัย ดังนั้นหากคุกคามที่คุณกำลังปฏิบถเป็นอีเมลสแปมชัด (และถูกต้องตอบ) คือจะใช้การรักษาความปลอดภัยอีเมลและระบบการกรองสำหรับบริษัทของคุณ
ในขณะที่ภัยคุกคามความปลอดภัยอีเมลปฏิบถเฉพาะบริษัทของคุณจะกำหนดป้องกันอีเมลที่เหมาะสมที่คุณเลือกที่นี่คุณสมบัติทั่วไปสามคือ
• เข้ารหัสอีเมล. เมื่อส่งอีเมลสำคัญกับพนักงานอื่นๆตำแหน่งอื่นๆหรือลูกค้าอีเมลควรจะเข้ารหัส ถ้าคุณมีลูกค้าต่างประเทศให้ตรวจสอบว่าคุณใช้การเข้ารหัสอนุญาตนอกประเทศสหรัฐอเมริกาและแคนาดา
• พยายาม steganography. Steganography เป็นเทคนิคในการซ่อนข้อมูลสมเหตุสมผลในเปิดเช่นในรูปแบบดิจิตอล แต่ถ้ารวมกับสิ่งที่ต้องการการเข้ารหัสจะไม่ปลอดภัยและสามารถตรวจพบ
• ห้ามเปิดเอกสารแนบที่ไม่คาดหมาย แม้ว่าคุณจะรู้ว่าผู้ส่งหากคุณไม่ได้คาดหวังว่าเอกสารแนบอีเมลที่ไม่เปิดและสอนพนักงานของท่านทำเช่นเดียวกัน
• ห้ามเปิดอีเมล์ที่ผิดปกติ ตัวกรองจดหมายขยะไม่สมบูรณ์ แต่ถ้าหากพนักงานของคุณมีการศึกษาเกี่ยวกับเทคนิคขยะทั่วไปคุณสามารถช่วยให้ทรัพย์สินของบริษัทของคุณฟรีไวรัส
10. ป้องกัน Intrusions Physical
แม้ขึ้นของภัยคุกคามรุ่นใหม่เช่นการแฮ็คและอีเมลขยะที่ยังคงคุกคามเก่าสินทรัพย์บริษัทอันตราย. หนึ่งภัยคุกคามที่พบบ่อยที่สุดคือทางกายภาพ Intrusions ตัวอย่างเช่นถ้าคุณกำลังพยายามจัดการกับภัยคุกคามของบุคคลที่ทำลายในสำนักงานและขโมยบริษัทแล็ปท็อปและพวกเขาพร้อมด้วยข้อมูลของบริษัทที่มีค่าแล้ววางแผนสำหรับการซื้อขายกับ intrusions กายเป็นสิ่งจำเป็น
ที่นี่มีภัยคุกคามทางกายภาพร่วมกันพร้อมด้วยโซลูชั่นที่เหมาะสมสำหรับการติดต่อกับพวกเขาคือ
• ประวัติการณ์ในสำนักงาน: ติดตั้งระบบการตรวจสอบ. บริษัทต้องการ ADT มีหลากหลายโซลูชั่นสำหรับตรวจสอบการบุกรุกและการป้องกันรวมถึงระบบการตรวจตราวิดีโอ
• ขโมยแล็ปท็อป: เข้ารหัสฮาร์ดดิสก์ Microsoft ยังมีเข้ารหัสระบบไฟล์หรือ EFS ซึ่งสามารถใช้เพื่อเข้ารหัสไฟล์สำคัญบน แล็ปท็อป
• ขโมยโทรศัพท์สมาร์ท บริการใหม่จากการป้องกันสมาร์ทโฟนและพีดีเอที่จะถูกขโมย การป้องกันเมื่อเป็นโทรศัพท์ที่ถูกขโมยไม่สามารถใช้โดยไม่ได้รหัสอนุมัติ หากไม่ถูกต้องให้ข้อมูลทั้งหมดเป็น wiped จากโทรศัพท์และสูงระดับเสียงกรีดร้อง "" เป็น emitted. เมื่อโทรศัพท์ของคุณจะกู้คืนข้อมูลสามารถเรียกคืนจากเซิร์ฟเวอร์ระยะไกล ขณะนี้บริการนี้จะจำกัดเฉพาะสหราชอาณาจักรแต่บริการใกล้เคียงกับที่มีทั่วโลก.
• เด็ก + สัตว์เลี้ยง = ทำลาย: ป้องกันการเข้าใช้งานไม่ได้รับอนุญาต หลายขนาดเจ้าของธุรกิจ, โอกาสในการทำงานจากที่บ้านเป็นสำคัญ แต่เด็กมีพื้นที่สำนักงานและ / หรือสัตว์เลี้ยงที่บุกรุกและทรัพย์สินมักจะเป็นความเสี่ยงมากที่ว่าถูกวางโดยแฮกเกอร์โดยการสร้างนโยบายการใช้งานที่เหมาะสมและการผสานกับเจ้าของธุรกิจขนาดเล็กอย่างรวดเร็วสามารถจัดการกับหนึ่งภัยคุกคามที่สำคัญที่สุดของพวกเขา
• ภายในคลิกโกง: ศึกษาและบล็อค เว็บหลายธุรกิจที่ใช้แสดงโฆษณาเช่น Google AdSense หรือ Chitika เพื่อเพิ่มกระแสรายได้พิเศษ แต่การคลิกที่ไม่เหมาะสมของโฆษณาโดยพนักงานหรือครอบครัวอาจทำให้บัญชีของคุณถูกระงับ พนักงานให้ทราบถึงสิ่งดังกล่าวและป้องกันไม่ให้เว็บไซต์อยู่ของบริษัทจากการแสดงภายใน
สรุป
10 ขั้นตอนในการดำเนินการรักษาความปลอดภัยขั้นพื้นฐานของการตรวจสอบไอทีของคุณ จะนำคุณตระหนักถึงภัยคุกคามความปลอดภัยของบริษัทของคุณรวมทั้งช่วยให้คุณเริ่มต้นในการพัฒนาแผนสำหรับปฏิบถภัยคุกคามเหล่านั้น แต่สำคัญจำไว้ว่าภัยคุกคามความปลอดภัยอยู่เสมอการเปลี่ยนแปลงและการรักษาความปลอดภัยของบริษัทของคุณ ดังนั้นควรประเมินภัยคุกคามใหม่อยู่เสมอและเพื่อตอบสนองด้านภัยคุกคามดังเดิม
Referent Site:
• http://www.thaicert.org/service/service1.php
• http://www.itsecurity.com/features/it-security-audit-010407/
• http://2008.ipics-school.eu/fileadmin/logo/IPICS_IT-Security_Audit_CC_v03_English_new_CI.pdf
วันอาทิตย์ที่ 18 ตุลาคม พ.ศ. 2552
Log Management เพื่อตอบสนองกับพระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์
Log Management คือ การจัดการ เก็บ และ รวบรวม Log จาก เครื่องแม่ข่ายและ อุปกรณ์เครือข่าย ต่างๆ ตลอดจน อุปกรณ์รักษาความปลอดภัย และ Log จาก Application ต่างๆ มาไว้ที่ส่วนกลาง เพื่อความสะดวกในการวิเคราะห์ Log และ เพื่อเป็นการจัดเก็บ Log ได้อย่างถูกต้องตามมาตรฐานการตรวจสอบ (IT Audit Standard) ตลอดจนเป็นไปตามที่กฏหมายกำหนดไว้เพื่อรองรับการทำ Computer Forensics ของเจ้าพนักงานในกรณีที่เกิด Security Incident ขึ้นกับระบบถูกต้องตามมาตรฐานการตรวจสอบ (IT Audit Standard) ตลอดจนเป็นไปตามที่กฏหมายกำหนดไว้เพื่อรองรับการทำ Computer Forensics ของเจ้าพนักงานในกรณีที่เกิด Security Incident ขึ้นกับระบบ
Centralized Log Management
ในปัจจุบันหลายองค์กรกำลังให้ความสนใจเรื่องของการนำ “Best Practice” มาประยุกต์ใช้เป็น “Best Fit” เพื่อให้องค์กรมีระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ที่ดีตามมาตรฐานสากล และ เป็นไปตามกฏข้อบังคับ และ ข้อกฏหมายต่าง ๆ ที่องค์กรจำเป็นต้องปฏิบัติตาม
เรื่องการบริหารจัดการรวบรวมข้อมูลปมเหตุการณ์ของระบบ หรือ “Log Data” จากเครื่องแม่ข่ายและอุปกรณ์เครือข่ายต่าง ๆ ตลอดจนข้อมูล Log จากอุปกรณ์รักษาความปลอดภัยมาไว้ที่ส่วนกลางเป็นเรื่องที่ทุกองค์กรต้องให้ความสำคัญ เพราะเป็นส่วนหนึ่งของการบริหารความเสี่ยง ( Risk Management ) เนื่องจาก “Log Data” มีข้อมูลในลักษณะ “Real time” และ “Historical” ทั้งข้อมูลปัจจุบันและข้อมูลในอดีตที่เราสามารถวิเคราะห์รายละเอียดเพื่อการสืบสวนในกรณีของการทำ “Computer Forensic” ของเจ้าพนักงานภาครัฐยกตัวอย่างเช่น พนักงานสวบสวนจาก สำนักงานตำรวจแห่งชาติ หรือ กรมสอบสวนคดีพิเศษ สามารถนำข้อมูล “Log Data” มาประกอบการพิจารณาคดีในกรณีที่เกี่ยวกับอาชญากรรมคอมพิวเตอร์ ซึ่งในบ้านเรากำลังจะมีการออกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ซึ่งในมาตรา 24 ได้เขียนไว้ว่า “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ ไม่น้อยกว่าสามสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินสามสิบวันแต่ไม่เกินเก้าสิบวันเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้” การเก็บ “Log Data” นอกจากจะเป็นไปตามข้อกำหนดทางกฏหมายแล้ว ยังมีประโยชน์ในแง่มุมของ “Proactive Security Management” หมายถึง การที่เราสามารถนำ Log มาวิเคราะห์เพื่อเตือนให้ทราบถึงเหตุการณ์ไม่ประสงค์ที่อาจเกิดขึ้นกับระบบล่วงหน้าด้วยหลักการ “Correlation Analysis” และ “Root-cause Analysis” ดังนั้น เรื่อง “Centralized Log Management” นั้น จึงมีความสำคัญทั้งเรื่องการ “Compliance” ตามมาตรฐาน กฏข้อบังคับและข้อกฏหมายต่าง ๆ และ เรื่องการลดความเสี่ยงด้านความปลอดภัยข้อมูลคอมพิวเตอร์ (Risk Reduction) ตลอดจนมีประโยชน์ในการวิเคราะห์ปัญหาความปลอดภัยของระบบ และยังใช้ในการสอบสวนในกรณีที่เกิด “Security Incident” อีกด้วย
ประเภทของ Log ที่ควรมีการเก็บมาวิเคราะห์ที่ส่วนกลางได้แก่
1. Window Platform Server Log (Host Log)
2. UNIX / LINUX Platform Server Log (Host Log)
3. Firewall และ VPN Log (Security device Log)
4. Router และ Switching Log (Network device Log)
5. Application Log เช่น Web Server Log
6. IDS/IPS Log (Security device Log)
ระบบบริหารจัดการ Log ที่ส่วนกลาง (Centralized Log Management System) ควรมีความสามารถในการรวบรวม Log ทั้ง 6 ประเภทมาวิเคราะห์รายละเอียดและทำรายงานในลักษณะ Real-time และ Daily Report เพื่อให้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถนำข้อมูลเหล่านี้มาวิเคราะห์ในเชิงลึก และแจ้งเตือนให้องค์กรได้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น
จากการวิเคราะห์ข้อมูล Log ทำให้ องค์กรสามารถลดผลกระทบจากความเสียหายที่อาจเกิดขึ้นหากไม่มีการวิเคราะห์ข้อมูล Log ดังกล่าว ตลอดจนเป็นประโยชน์ต่อผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ในการทำข้อมูลรายงานจากระบบบริหารจัดการ Log ส่วนกลาง ตามหลักการที่เป็นไปตามมาตรฐาน COSO, CobiTหรือ ISO/IEC 27001 เป็นต้น
พระราชบัญญัติคอมพิวเตอร์
พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกล้า ฯ ให้ประกาศว่า โดยที่เป็นการสมควรมีกฎหมาย ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จึงทรงพระกรุณาโปรดเกล้า ฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติดังต่อไปนี้
มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐”
มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับเมื่อพ้นกำหนดสามสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
มาตรา ๓ ในพระราชบัญญัตินี้ “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดคำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
“ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดบรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
“ผู้ให้บริการ”หมายความว่า
(๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(๒) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
“ผู้ใช้บริการ” หมายความว่าผู้ใช้บริการของผู้ให้บริการไม่ว่าต้องเสียค่าใช้บริการหรือไม่ก็ตาม
“พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้
“รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้
มาตรา ๔ ให้รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจออกกฎกระทรวง เพื่อปฏิบัติการตามพระราชบัญญัตินี้ กฎกระทรวงนั้น เมื่อได้ประกาศในราชกิจจานุเบกษาแล้วให้ใช้บังคับได้
หมวด ๑
ความผิดเกี่ยวกับคอมพิวเตอร์
มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น มิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบ ในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปีหรือปรับไม่เกินสี่หมื่นบาทหรือทั้งจำทั้งปรับ
มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคล ทั่วไปใช้ประโยชน์ได้ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับมาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา ๑๒ ถ้าการกระทำความผิดตามมาตรา ๙ หรือมาตรา ๑๐
(๑) ก่อให้เกิดความเสียหายแก่ประชาชน ไม่ว่าความเสียหายนั้นจะเกิดขึ้นในทันทีหรือในภายหลัง และไม่ว่าจะเกิดขึ้นพร้อมกันหรือไม่ ต้องระวางโทษจำคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท
(๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ต้องระวางโทษจำคุกตั้งแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหมื่นบาทถึงสามแสนบาท ถ้าการกระทำความผิดตาม (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี
มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑)(๒) (๓) หรือ (๔)
มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔
มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือ
ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ ถ้าการกระทำตามวรรคหนึ่ง เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด ความผิดตามวรรคหนึ่งเป็นความผิดอันยอมความได้ ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา คู่สมรส หรือ บุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย
มาตรา ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ
(๑) ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ
(๒) ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษจะต้องรับโทษภายในราชอาณาจักร
หมวด ๒
พนักงานเจ้าหน้าที่
มาตรา ๑๘ ภายใต้บังคับมาตรา ๑๙ เพื่อประโยชน์ในการสืบสวนและสอบสวนในกรณีที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่มีอำนาจอย่างหนึ่งอย่างใด ดังต่อไปนี้ เฉพาะที่จำเป็นเพื่อประโยชน์ในการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด
(๑) มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทำความผิดตามพระราชบัญญัตินี้มาเพื่อให้ถ้อยคำ ส่งคำชี้แจงเป็น
หนังสือ หรือส่งเอกสาร ข้อมูล หรือหลักฐานอื่นใดที่อยู่ในรูปแบบที่สามารถเข้าใจได้
(๒) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง
(๓) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่
(๔) ทำสำเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ จากระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ในกรณีที่ระบบคอมพิวเตอร์นั้นยังมิได้อยู่ในความครอบครองของพนักงานเจ้าหน้าที่
(๕) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ดังกล่าวให้แก่พนักงานเจ้าหน้าที่
(๖) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ของบุคคลใด อันเป็นหลักฐานหรืออาจใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิด หรือเพื่อสืบสวนหาตัวผู้กระทำความผิดและสั่งให้บุคคลนั้นส่งข้อมูลคอมพิวเตอร์ข้อมูลจราจรทางคอมพิวเตอร์ ที่เกี่ยวข้องเท่าที่จำเป็นให้ด้วยก็ได้
(๗) ถอดรหัสลับของข้อมูลคอมพิวเตอร์ของบุคคลใด หรือสั่งให้บุคคลที่เกี่ยวข้องกับการเข้ารหัสลับของข้อมูลคอมพิวเตอร์ ทำ
การถอดรหัสลับ หรือให้ความร่วมมือกับพนักงานเจ้าหน้าที่ในการถอดรหัสลับดังกล่าว
(๘) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จำเป็นเฉพาะเพื่อประโยชน์ในการทราบรายละเอียดแห่งความผิดและผู้กระทำความผิดตามพระราชบัญญัตินี้
มาตรา ๑๙ การใช้อำนาจของพนักงานเจ้าหน้าที่ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ
(๘) ให้พนักงานเจ้าหน้าที่ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อมีคำสั่งอนุญาตให้พนักงานเจ้าหน้าที่ดำเนินการตามคำร้อง ทั้งนี้ คำร้องต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดกระทำหรือกำลังจะกระทำการอย่างหนึ่งอย่างใดอันเป็นความผิดตามพระราชบัญญัตินี้ เหตุที่ต้องใช้อำนาจ ลักษณะของการกระทำความผิด รายละเอียดเกี่ยวกับอุปกรณ์ที่ใช้ในการกระทำความผิดและผู้กระทำความผิด เท่าที่สามารถจะระบุได้ ประกอบคำร้องด้วยในการพิจารณาคำร้องให้ศาลพิจารณาคำร้องดังกล่าวโดยเร็วเมื่อศาลมีคำสั่งอนุญาตแล้ว ก่อนดำเนินการตามคำสั่งของศาล ให้พนักงานเจ้าหน้าที่ส่งสำเนาบันทึกเหตุอันควรเชื่อที่ทำให้ต้องใช้อำนาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐาน แต่ถ้าไม่มีเจ้าของหรือผู้ครอบครองเครื่องคอมพิวเตอร์อยู่ ณ ที่นั้น ให้พนักงานเจ้าหน้าที่ส่งมอบสำเนาบันทึกนั้นให้แก่เจ้าของหรือ
ผู้ครอบครองดังกล่าวในทันทีที่กระทำได้ให้พนักงานเจ้าหน้าที่ผู้เป็นหัวหน้าในการดำเนินการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ
(๘) ส่งสำเนาบันทึกรายละเอียดการดำเนินการและเหตุผลแห่งการดำเนินการให้ศาลที่มีเขตอำนาจภายในสี่สิบแปดชั่วโมงนับแต่เวลาลงมือดำเนินการ เพื่อเป็นหลักฐานการทำสำเนาข้อมูลคอมพิวเตอร์ตามมาตรา ๑๘ (๔) ให้กระทำได้เฉพาะเมื่อมีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ และต้องไม่เป็นอุปสรรคในการดำเนินกิจการของเจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นเกินความจำเป็น การยึดหรืออายัดตามมาตรา ๑๘ (๘) นอกจากจะต้องส่งมอบสำเนาหนังสือแสดงการยึดหรืออายัดมอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐานแล้ว พนักงานเจ้าหน้าที่จะสั่งยึดหรืออายัดไว้เกินสามสิบวันมิได้ ในกรณีจำเป็นที่ต้องยึดหรืออายัดไว้นานกว่านั้น ให้ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอขยายเวลายึดหรืออายัดได้ แต่ศาลจะอนุญาตให้ขยายเวลาครั้งเดียวหรือหลายครั้งรวมกันได้อีกไม่เกินหกสิบวัน เมื่อหมดความจำเป็นที่จะยึดหรืออายัดหรือครบกำหนดเวลาดังกล่าวแล้ว พนักงานเจ้าหน้าที่ต้องส่งคืนระบบคอมพิวเตอร์ที่ยึดหรือถอนการอายัดโดยพลัน หนังสือแสดงการยึดหรืออายัดตามวรรคห้าให้เป็นไปตามที่กำหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณีที่การกระทำความผิดตามพระราชบัญญัตินี้เป็นการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ ที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักร ตามที่กำหนดไว้ในภาคสองลักษณะ ๑ หรือลักษณะ ๑/๑ แห่งประมวลกฎหมายอาญา หรือที่มีลักษณะขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน พนักงานเจ้าหน้าที่โดยได้รับความเห็นชอบจากรัฐมนตรีอาจยื่นคำร้อง พร้อมแสดงพยานหลักฐานต่อศาลที่มีเขตอำนาจขอให้มีคำสั่งระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นได้ ในกรณีที่ศาลมีคำสั่งให้ระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ตามวรรคหนึ่ง ให้พนักงานเจ้าหน้าที่ทำการระงับการทำให้แพร่หลายนั้นเอง หรือสั่งให้ผู้ให้บริการระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นก็ได้
มาตรา ๒๑ ในกรณีที่พนักงานเจ้าหน้าที่พบว่า ข้อมูลคอมพิวเตอร์ใดมีชุดคำสั่งไม่พึงประสงค์รวมอยู่ด้วย พนักงานเจ้าหน้าที่อาจยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอให้มีคำสั่งห้ามจำหน่ายหรือเผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้ ทำลายหรือแก้ไขข้อมูลคอมพิวเตอร์นั้นได้ หรือจะกำหนดเงื่อนไขในการใช้ มีไว้ในครอบครอง หรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ดังกล่าวก็ได้ชุดคำสั่งไม่พึงประสงค์ตามวรรคหนึ่งหมายถึงชุดคำสั่งที่มีผลทำให้ข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือชุดคำสั่งอื่นเกิดความเสียหาย ถูกทำลาย ถูกแก้ไขเปลี่ยนแปลงหรือเพิ่มเติมขัดข้อง หรือปฏิบัติงานไม่ตรงตามคำสั่งที่กำหนดไว้ หรือโดยประการอื่นตามที่กำหนดในกฎกระทรวงทั้งนี้ เว้นแต่เป็นชุดคำสั่งที่มุ่งหมายในการป้องกันหรือแก้ไขชุดคำสั่งดังกล่าวข้างต้น ตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
มาตรา ๒๒ ห้ามมิให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ให้แก่บุคคลใดความในวรรคหนึ่งมิให้ใช้บังคับกับการกระทำเพื่อประโยชน์ในการดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจหน้าที่
โดยมิชอบ หรือเป็นการกระทำตามคำสั่งหรือที่ได้รับอนุญาตจากศาลพนักงานเจ้าหน้าที่ผู้ใดฝ่าฝืนวรรคหนึ่งต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๓ พนักงานเจ้าหน้าที่ผู้ใดกระทำโดยประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูลคอมพิวเตอร์ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๔ ผู้ใดล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรือข้อมูลของผู้ใช้บริการ ที่พนักงานเจ้าหน้าที่ได้มาตามมาตรา ๑๘ และเปิดเผยข้อมูลนั้นต่อผู้หนึ่งผู้ใด ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๕ ข้อมูล ข้อมูลคอมพิวเตอร์ หรือข้อมูลจราจรทางคอมพิวเตอร์ที่พนักงานเจ้าหน้าที่ได้มาตามพระราชบัญญัตินี้ ให้อ้างและรับฟังเป็นพยานหลักฐานตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอื่นอันว่าด้วยการสืบพยานได้ แต่ต้องเป็นชนิดที่มิได้เกิดขึ้นจากการจูงใจมีคำมั่นสัญญา ขู่เข็ญ หลอกลวง หรือโดยมิชอบประการอื่น
มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวัน แต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษาผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
มาตรา ๒๗ ผู้ใดไม่ปฏิบัติตามคำสั่งของศาลหรือพนักงานเจ้าหน้าที่ที่สั่งตามมาตรา ๑๘ หรือมาตรา ๒๐ หรือไม่ปฏิบัติตามคำสั่งของศาลตามมาตรา ๒๑ ต้องระวางโทษปรับไม่เกินสองแสนบาทและปรับเป็นรายวันอีกไม่เกินวันละห้าพันบาทจนกว่าจะปฏิบัติให้ถูกต้อง
มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์ และมีคุณสมบัติตามที่รัฐมนตรีกำหนด
มาตรา ๒๙ ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่เป็นพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ตามประมวล กฎหมายวิธีพิจารณาความอาญามีอำนาจรับคำร้องทุกข์หรือรับคำกล่าวโทษ และมีอำนาจในการสืบสวนสอบสวนเฉพาะความผิดตามพระราชบัญญัตินี้ ในการจับ ควบคุม ค้น การทำสำนวนสอบสวนและดำเนินคดีผู้กระทำความผิดตามพระราชบัญญัตินี้ บรรดาที่เป็นอำนาจของพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ หรือพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา ให้พนักงานเจ้าหน้าที่ประสานงานกับพนักงานสอบสวนผู้รับผิดชอบเพื่อดำเนินการ ตามอำนาจหน้าที่ต่อไป ให้นายกรัฐมนตรีในฐานะผู้กำกับดูแลสำนักงานตำรวจแห่งชาติ และรัฐมนตรีมีอำนาจ ร่วมกันกำหนดระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการดำเนินการตามวรรคสอง
มาตรา ๓๐ ในการปฏิบัติหน้าที่ พนักงานเจ้าหน้าที่ต้องแสดงบัตรประจำตัวต่อบุคคลซึ่งเกี่ยวข้อง บัตรประจำตัวของพนักงานเจ้าหน้าที่ให้เป็นไปตามแบบที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
ผู้รับสนองพระบรมราชโองการ
พลเอก สุรยุทธ์ จุลานนท์
นายกรัฐมนตรี
หมายเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากในปัจจุบันระบบคอมพิวเตอร์ได้เป็นส่วนสำคัญ ของการประกอบกิจการ และการดำรงชีวิตของมนุษย์ หากมีผู้กระทำด้วยประการใด ๆ ให้ระบบคอมพิวเตอร์ไม่สามารถทำงานตามคำสั่งที่กำหนดไว้ หรือทำให้การทำงานผิดพลาดไปจากคำสั่งที่กำหนดไว้ หรือใช้วิธีการใด ๆ เข้าล่วงรู้ข้อมูล แก้ไข หรือทำลายข้อมูลของบุคคลอื่น ในระบบคอมพิวเตอร์โดยมิชอบ หรือใช้ระบบคอมพิวเตอร์ เพื่อเผยแพร่ข้อมูลคอมพิวเตอร์อันเป็นเท็จ หรือมีลักษณะอันลามกอนาจาร ย่อมก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และความมั่นคงของรัฐ รวมทั้งความสงบสุขและศีลธรรมอันดีของประชาชน สมควรกำหนดมาตรการเพื่อป้องกันและปราบปรามการกระทำดังกล่าว จึงจำเป็นต้องตราพระราชบัญญัตินี้
ประเภทของ Log management
ในประเทศไทยกำลังตื่นตัวกับเรื่องกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ใน ช่วงโค้งสุดท้าย ทุกองค์กรที่ให้บริการอินเตอร์เน็ตทั้งภาครัฐและเอกชน จะต้องมีการจัดเก็บ Log การเข้าถึงระบบอินเตอร์เน็ตไว้ไม่ต่ำกว่า 90 วันมิฉะนั้นจะมีโทษปรับไม่เกิน 500,000 บาท ปัญหาในบ้านเราก็คือหลายองค์กรยังไม่เข้าใจหลักการในการจัดเก็บ Log ให้ถูกต้องตามพรบ. เพราะเนื่องจากการจัดเก็บ Log นั้นไม่ใช่แค่เพียงซื้อผลิตภัณฑ์ที่เป็น Centralized Log Management เท่านั้นแต่หากเป็นการติดตั้งให้อุปกรณ์ต่างๆ มีการจัดส่ง Log เข้ามายังส่วนกลางอย่างเป็นระบบต่างหาก ดังนั้นจึงเน้นไปที่การติดตั้งอย่างถูกต้องมากกว่าแค่เพียงการจัดซื้อ ผลิตภัณฑ์เท่านั้น อีกปัญหาที่พบบ่อยก็คือทางองค์กรเข้าใจว่าการจัดซื้อระบบ SIM นั้นหมายถึงการจัดซื้อระบบ Log ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ SIM ไม่ได้ออกแบบมาใช้ในการจัดเก็บ Log แต่อย่างใด
ระบบ SIM ออกแบบมาเพื่อใช้ในการวิเคราะห์ซึ่งต้องการผู้เชี่ยวชาญเฉพาะทางมาจัดการ วิเคราะห์ Log ซึ่งองค์กรเองมักจะขาดผู้เชี่ยวชาญดังกล่าวทำให้การจัดซื้อ SIM ไม่ได้ประโยชน์ตามที่ตั้งใจ ดังนั้นการแก้ไขก็เลยตัวมีระบบวิเคราะห์ติดมาด้วยก็คือ SIEM คือเก็บมาแล้วก็วิเคราะห์ให้เสร็จสรรพ แถมให้บางระบบส่งปัญหาเหล่านี้เปิดเป็น Problem ticket เพื่อให้ฝ่ายสนับสนุนนำไปสู่การแก้ปัญหาได้อีกด้วย
อย่างนี้ก็อาจจะแบ่งอย่างง่ายได้ 2 ประเภทคือ
1. เทคโนโลยีในการจัดเก็บ Log -> SIM (Security Information Management)
2. เทคโนโลยีในการจัดเก็บวิเคราะห์ข้อมูลจาก Log -> SIEM (Security Information & Event Management)
เหตุผลที่ต้องมีการเก็บ log
1. ก็เพื่อความมั่นคงปลอดภัยของระบบข้อมูลข่าวสารบนเครือข่าย (Information system and network security)
2. ช่วยพวก System Administrator สามารถตรวจสอบดูแลสภาพการทํางานของเครือข่ายว่ายังอยู่ดีอยู่หรือป่าว (System health monitoring)
3. เป็น ไปตามขอบังคับและการปฏิบัติตามกฎระเบียบข้อบังคับต่าง ๆ (Legal and regulatory compliance) อย่าง พรบ.ฉบับที่เราเขียนถึงอยู่นี้ไงครับ
4. ถ้าเกิดเหตุก็จะสามารถช่วนในการสืบสวนเชิงลึกทางนิติ (Forensic investigations)
กล่าวโดยสรุป การปฏิบัติตาม พรบ. ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ นั้นถือเป็นหน้าที่ที่ทุกองค์กร ต้องปฏิบัติเพื่อแสดงความรับผิดชอบต่อสังคมโดยรวม เพราะเมื่อเกิดเหตุการณ์หรืออาชญากรรมทางคอมพิวเตอร์การสืบสวนของตํารวจและพนักงานเจ้าหน้าที่จําเป็นที่จะต้องมีหลักฐานทางคอมพิวเตอร์ หรือ Digital Evidence เพื่อใช้ประกอบการพิจารณาคดีในชั้นศาล และระบุหาต้นตอและแหล่งที่มาของผู้กระทําความผิดดังกล่าว
ดังนั้น การเก็บ Log หรือ Traffic Data อย่างน้อย 90 วัน ที่มีกําหนดขีดเส้นตายสําหรับทุกองค์กรในประเทศไทย ในวันที่ 24 สิงหาคม พ.ศ. 2551 จึงมีความสําคัญอย่างยิ่งกับสภาวะการพัฒนาสังคมด้านสารสนเทศในประเทศไทยไปอีกขั้นหนึ่งทําให้เกิดความมั่นใจในการใช้งานระบบสารสนเทศมากขึ้นในเรื่องของปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศ ส่งผลให้ภาพลักษณ์ของประเทศไทยโดยรวมดีขึ้นมีมาตรฐานมากขึ้นในสายตาประชาคมโลก
Reference Site:
• http://www.acisonline.net
• http://www.itthai.org
• http://www.servertoday.com/V2009/02/logmanagement.php
• http://www.d108.com/products/syslog/index.htm
Centralized Log Management
ในปัจจุบันหลายองค์กรกำลังให้ความสนใจเรื่องของการนำ “Best Practice” มาประยุกต์ใช้เป็น “Best Fit” เพื่อให้องค์กรมีระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ที่ดีตามมาตรฐานสากล และ เป็นไปตามกฏข้อบังคับ และ ข้อกฏหมายต่าง ๆ ที่องค์กรจำเป็นต้องปฏิบัติตาม
เรื่องการบริหารจัดการรวบรวมข้อมูลปมเหตุการณ์ของระบบ หรือ “Log Data” จากเครื่องแม่ข่ายและอุปกรณ์เครือข่ายต่าง ๆ ตลอดจนข้อมูล Log จากอุปกรณ์รักษาความปลอดภัยมาไว้ที่ส่วนกลางเป็นเรื่องที่ทุกองค์กรต้องให้ความสำคัญ เพราะเป็นส่วนหนึ่งของการบริหารความเสี่ยง ( Risk Management ) เนื่องจาก “Log Data” มีข้อมูลในลักษณะ “Real time” และ “Historical” ทั้งข้อมูลปัจจุบันและข้อมูลในอดีตที่เราสามารถวิเคราะห์รายละเอียดเพื่อการสืบสวนในกรณีของการทำ “Computer Forensic” ของเจ้าพนักงานภาครัฐยกตัวอย่างเช่น พนักงานสวบสวนจาก สำนักงานตำรวจแห่งชาติ หรือ กรมสอบสวนคดีพิเศษ สามารถนำข้อมูล “Log Data” มาประกอบการพิจารณาคดีในกรณีที่เกี่ยวกับอาชญากรรมคอมพิวเตอร์ ซึ่งในบ้านเรากำลังจะมีการออกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ซึ่งในมาตรา 24 ได้เขียนไว้ว่า “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ ไม่น้อยกว่าสามสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินสามสิบวันแต่ไม่เกินเก้าสิบวันเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้” การเก็บ “Log Data” นอกจากจะเป็นไปตามข้อกำหนดทางกฏหมายแล้ว ยังมีประโยชน์ในแง่มุมของ “Proactive Security Management” หมายถึง การที่เราสามารถนำ Log มาวิเคราะห์เพื่อเตือนให้ทราบถึงเหตุการณ์ไม่ประสงค์ที่อาจเกิดขึ้นกับระบบล่วงหน้าด้วยหลักการ “Correlation Analysis” และ “Root-cause Analysis” ดังนั้น เรื่อง “Centralized Log Management” นั้น จึงมีความสำคัญทั้งเรื่องการ “Compliance” ตามมาตรฐาน กฏข้อบังคับและข้อกฏหมายต่าง ๆ และ เรื่องการลดความเสี่ยงด้านความปลอดภัยข้อมูลคอมพิวเตอร์ (Risk Reduction) ตลอดจนมีประโยชน์ในการวิเคราะห์ปัญหาความปลอดภัยของระบบ และยังใช้ในการสอบสวนในกรณีที่เกิด “Security Incident” อีกด้วย
ประเภทของ Log ที่ควรมีการเก็บมาวิเคราะห์ที่ส่วนกลางได้แก่
1. Window Platform Server Log (Host Log)
2. UNIX / LINUX Platform Server Log (Host Log)
3. Firewall และ VPN Log (Security device Log)
4. Router และ Switching Log (Network device Log)
5. Application Log เช่น Web Server Log
6. IDS/IPS Log (Security device Log)
ระบบบริหารจัดการ Log ที่ส่วนกลาง (Centralized Log Management System) ควรมีความสามารถในการรวบรวม Log ทั้ง 6 ประเภทมาวิเคราะห์รายละเอียดและทำรายงานในลักษณะ Real-time และ Daily Report เพื่อให้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถนำข้อมูลเหล่านี้มาวิเคราะห์ในเชิงลึก และแจ้งเตือนให้องค์กรได้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น
จากการวิเคราะห์ข้อมูล Log ทำให้ องค์กรสามารถลดผลกระทบจากความเสียหายที่อาจเกิดขึ้นหากไม่มีการวิเคราะห์ข้อมูล Log ดังกล่าว ตลอดจนเป็นประโยชน์ต่อผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ในการทำข้อมูลรายงานจากระบบบริหารจัดการ Log ส่วนกลาง ตามหลักการที่เป็นไปตามมาตรฐาน COSO, CobiTหรือ ISO/IEC 27001 เป็นต้น
พระราชบัญญัติคอมพิวเตอร์
พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกล้า ฯ ให้ประกาศว่า โดยที่เป็นการสมควรมีกฎหมาย ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จึงทรงพระกรุณาโปรดเกล้า ฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติดังต่อไปนี้
มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐”
มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับเมื่อพ้นกำหนดสามสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
มาตรา ๓ ในพระราชบัญญัตินี้ “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดคำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
“ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดบรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
“ผู้ให้บริการ”หมายความว่า
(๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(๒) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
“ผู้ใช้บริการ” หมายความว่าผู้ใช้บริการของผู้ให้บริการไม่ว่าต้องเสียค่าใช้บริการหรือไม่ก็ตาม
“พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้
“รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้
มาตรา ๔ ให้รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจออกกฎกระทรวง เพื่อปฏิบัติการตามพระราชบัญญัตินี้ กฎกระทรวงนั้น เมื่อได้ประกาศในราชกิจจานุเบกษาแล้วให้ใช้บังคับได้
หมวด ๑
ความผิดเกี่ยวกับคอมพิวเตอร์
มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น มิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบ ในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปีหรือปรับไม่เกินสี่หมื่นบาทหรือทั้งจำทั้งปรับ
มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคล ทั่วไปใช้ประโยชน์ได้ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับมาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา ๑๒ ถ้าการกระทำความผิดตามมาตรา ๙ หรือมาตรา ๑๐
(๑) ก่อให้เกิดความเสียหายแก่ประชาชน ไม่ว่าความเสียหายนั้นจะเกิดขึ้นในทันทีหรือในภายหลัง และไม่ว่าจะเกิดขึ้นพร้อมกันหรือไม่ ต้องระวางโทษจำคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท
(๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ต้องระวางโทษจำคุกตั้งแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหมื่นบาทถึงสามแสนบาท ถ้าการกระทำความผิดตาม (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี
มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑)(๒) (๓) หรือ (๔)
มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔
มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือ
ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ ถ้าการกระทำตามวรรคหนึ่ง เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด ความผิดตามวรรคหนึ่งเป็นความผิดอันยอมความได้ ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา คู่สมรส หรือ บุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย
มาตรา ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ
(๑) ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ
(๒) ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษจะต้องรับโทษภายในราชอาณาจักร
หมวด ๒
พนักงานเจ้าหน้าที่
มาตรา ๑๘ ภายใต้บังคับมาตรา ๑๙ เพื่อประโยชน์ในการสืบสวนและสอบสวนในกรณีที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่มีอำนาจอย่างหนึ่งอย่างใด ดังต่อไปนี้ เฉพาะที่จำเป็นเพื่อประโยชน์ในการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด
(๑) มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทำความผิดตามพระราชบัญญัตินี้มาเพื่อให้ถ้อยคำ ส่งคำชี้แจงเป็น
หนังสือ หรือส่งเอกสาร ข้อมูล หรือหลักฐานอื่นใดที่อยู่ในรูปแบบที่สามารถเข้าใจได้
(๒) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง
(๓) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่
(๔) ทำสำเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ จากระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ในกรณีที่ระบบคอมพิวเตอร์นั้นยังมิได้อยู่ในความครอบครองของพนักงานเจ้าหน้าที่
(๕) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ดังกล่าวให้แก่พนักงานเจ้าหน้าที่
(๖) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ของบุคคลใด อันเป็นหลักฐานหรืออาจใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิด หรือเพื่อสืบสวนหาตัวผู้กระทำความผิดและสั่งให้บุคคลนั้นส่งข้อมูลคอมพิวเตอร์ข้อมูลจราจรทางคอมพิวเตอร์ ที่เกี่ยวข้องเท่าที่จำเป็นให้ด้วยก็ได้
(๗) ถอดรหัสลับของข้อมูลคอมพิวเตอร์ของบุคคลใด หรือสั่งให้บุคคลที่เกี่ยวข้องกับการเข้ารหัสลับของข้อมูลคอมพิวเตอร์ ทำ
การถอดรหัสลับ หรือให้ความร่วมมือกับพนักงานเจ้าหน้าที่ในการถอดรหัสลับดังกล่าว
(๘) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จำเป็นเฉพาะเพื่อประโยชน์ในการทราบรายละเอียดแห่งความผิดและผู้กระทำความผิดตามพระราชบัญญัตินี้
มาตรา ๑๙ การใช้อำนาจของพนักงานเจ้าหน้าที่ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ
(๘) ให้พนักงานเจ้าหน้าที่ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อมีคำสั่งอนุญาตให้พนักงานเจ้าหน้าที่ดำเนินการตามคำร้อง ทั้งนี้ คำร้องต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดกระทำหรือกำลังจะกระทำการอย่างหนึ่งอย่างใดอันเป็นความผิดตามพระราชบัญญัตินี้ เหตุที่ต้องใช้อำนาจ ลักษณะของการกระทำความผิด รายละเอียดเกี่ยวกับอุปกรณ์ที่ใช้ในการกระทำความผิดและผู้กระทำความผิด เท่าที่สามารถจะระบุได้ ประกอบคำร้องด้วยในการพิจารณาคำร้องให้ศาลพิจารณาคำร้องดังกล่าวโดยเร็วเมื่อศาลมีคำสั่งอนุญาตแล้ว ก่อนดำเนินการตามคำสั่งของศาล ให้พนักงานเจ้าหน้าที่ส่งสำเนาบันทึกเหตุอันควรเชื่อที่ทำให้ต้องใช้อำนาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐาน แต่ถ้าไม่มีเจ้าของหรือผู้ครอบครองเครื่องคอมพิวเตอร์อยู่ ณ ที่นั้น ให้พนักงานเจ้าหน้าที่ส่งมอบสำเนาบันทึกนั้นให้แก่เจ้าของหรือ
ผู้ครอบครองดังกล่าวในทันทีที่กระทำได้ให้พนักงานเจ้าหน้าที่ผู้เป็นหัวหน้าในการดำเนินการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ
(๘) ส่งสำเนาบันทึกรายละเอียดการดำเนินการและเหตุผลแห่งการดำเนินการให้ศาลที่มีเขตอำนาจภายในสี่สิบแปดชั่วโมงนับแต่เวลาลงมือดำเนินการ เพื่อเป็นหลักฐานการทำสำเนาข้อมูลคอมพิวเตอร์ตามมาตรา ๑๘ (๔) ให้กระทำได้เฉพาะเมื่อมีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ และต้องไม่เป็นอุปสรรคในการดำเนินกิจการของเจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นเกินความจำเป็น การยึดหรืออายัดตามมาตรา ๑๘ (๘) นอกจากจะต้องส่งมอบสำเนาหนังสือแสดงการยึดหรืออายัดมอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐานแล้ว พนักงานเจ้าหน้าที่จะสั่งยึดหรืออายัดไว้เกินสามสิบวันมิได้ ในกรณีจำเป็นที่ต้องยึดหรืออายัดไว้นานกว่านั้น ให้ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอขยายเวลายึดหรืออายัดได้ แต่ศาลจะอนุญาตให้ขยายเวลาครั้งเดียวหรือหลายครั้งรวมกันได้อีกไม่เกินหกสิบวัน เมื่อหมดความจำเป็นที่จะยึดหรืออายัดหรือครบกำหนดเวลาดังกล่าวแล้ว พนักงานเจ้าหน้าที่ต้องส่งคืนระบบคอมพิวเตอร์ที่ยึดหรือถอนการอายัดโดยพลัน หนังสือแสดงการยึดหรืออายัดตามวรรคห้าให้เป็นไปตามที่กำหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณีที่การกระทำความผิดตามพระราชบัญญัตินี้เป็นการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ ที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักร ตามที่กำหนดไว้ในภาคสองลักษณะ ๑ หรือลักษณะ ๑/๑ แห่งประมวลกฎหมายอาญา หรือที่มีลักษณะขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน พนักงานเจ้าหน้าที่โดยได้รับความเห็นชอบจากรัฐมนตรีอาจยื่นคำร้อง พร้อมแสดงพยานหลักฐานต่อศาลที่มีเขตอำนาจขอให้มีคำสั่งระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นได้ ในกรณีที่ศาลมีคำสั่งให้ระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ตามวรรคหนึ่ง ให้พนักงานเจ้าหน้าที่ทำการระงับการทำให้แพร่หลายนั้นเอง หรือสั่งให้ผู้ให้บริการระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นก็ได้
มาตรา ๒๑ ในกรณีที่พนักงานเจ้าหน้าที่พบว่า ข้อมูลคอมพิวเตอร์ใดมีชุดคำสั่งไม่พึงประสงค์รวมอยู่ด้วย พนักงานเจ้าหน้าที่อาจยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอให้มีคำสั่งห้ามจำหน่ายหรือเผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้ ทำลายหรือแก้ไขข้อมูลคอมพิวเตอร์นั้นได้ หรือจะกำหนดเงื่อนไขในการใช้ มีไว้ในครอบครอง หรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ดังกล่าวก็ได้ชุดคำสั่งไม่พึงประสงค์ตามวรรคหนึ่งหมายถึงชุดคำสั่งที่มีผลทำให้ข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือชุดคำสั่งอื่นเกิดความเสียหาย ถูกทำลาย ถูกแก้ไขเปลี่ยนแปลงหรือเพิ่มเติมขัดข้อง หรือปฏิบัติงานไม่ตรงตามคำสั่งที่กำหนดไว้ หรือโดยประการอื่นตามที่กำหนดในกฎกระทรวงทั้งนี้ เว้นแต่เป็นชุดคำสั่งที่มุ่งหมายในการป้องกันหรือแก้ไขชุดคำสั่งดังกล่าวข้างต้น ตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
มาตรา ๒๒ ห้ามมิให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ให้แก่บุคคลใดความในวรรคหนึ่งมิให้ใช้บังคับกับการกระทำเพื่อประโยชน์ในการดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจหน้าที่
โดยมิชอบ หรือเป็นการกระทำตามคำสั่งหรือที่ได้รับอนุญาตจากศาลพนักงานเจ้าหน้าที่ผู้ใดฝ่าฝืนวรรคหนึ่งต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๓ พนักงานเจ้าหน้าที่ผู้ใดกระทำโดยประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูลคอมพิวเตอร์ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๔ ผู้ใดล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรือข้อมูลของผู้ใช้บริการ ที่พนักงานเจ้าหน้าที่ได้มาตามมาตรา ๑๘ และเปิดเผยข้อมูลนั้นต่อผู้หนึ่งผู้ใด ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๕ ข้อมูล ข้อมูลคอมพิวเตอร์ หรือข้อมูลจราจรทางคอมพิวเตอร์ที่พนักงานเจ้าหน้าที่ได้มาตามพระราชบัญญัตินี้ ให้อ้างและรับฟังเป็นพยานหลักฐานตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอื่นอันว่าด้วยการสืบพยานได้ แต่ต้องเป็นชนิดที่มิได้เกิดขึ้นจากการจูงใจมีคำมั่นสัญญา ขู่เข็ญ หลอกลวง หรือโดยมิชอบประการอื่น
มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวัน แต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษาผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
มาตรา ๒๗ ผู้ใดไม่ปฏิบัติตามคำสั่งของศาลหรือพนักงานเจ้าหน้าที่ที่สั่งตามมาตรา ๑๘ หรือมาตรา ๒๐ หรือไม่ปฏิบัติตามคำสั่งของศาลตามมาตรา ๒๑ ต้องระวางโทษปรับไม่เกินสองแสนบาทและปรับเป็นรายวันอีกไม่เกินวันละห้าพันบาทจนกว่าจะปฏิบัติให้ถูกต้อง
มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์ และมีคุณสมบัติตามที่รัฐมนตรีกำหนด
มาตรา ๒๙ ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่เป็นพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ตามประมวล กฎหมายวิธีพิจารณาความอาญามีอำนาจรับคำร้องทุกข์หรือรับคำกล่าวโทษ และมีอำนาจในการสืบสวนสอบสวนเฉพาะความผิดตามพระราชบัญญัตินี้ ในการจับ ควบคุม ค้น การทำสำนวนสอบสวนและดำเนินคดีผู้กระทำความผิดตามพระราชบัญญัตินี้ บรรดาที่เป็นอำนาจของพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ หรือพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา ให้พนักงานเจ้าหน้าที่ประสานงานกับพนักงานสอบสวนผู้รับผิดชอบเพื่อดำเนินการ ตามอำนาจหน้าที่ต่อไป ให้นายกรัฐมนตรีในฐานะผู้กำกับดูแลสำนักงานตำรวจแห่งชาติ และรัฐมนตรีมีอำนาจ ร่วมกันกำหนดระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการดำเนินการตามวรรคสอง
มาตรา ๓๐ ในการปฏิบัติหน้าที่ พนักงานเจ้าหน้าที่ต้องแสดงบัตรประจำตัวต่อบุคคลซึ่งเกี่ยวข้อง บัตรประจำตัวของพนักงานเจ้าหน้าที่ให้เป็นไปตามแบบที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
ผู้รับสนองพระบรมราชโองการ
พลเอก สุรยุทธ์ จุลานนท์
นายกรัฐมนตรี
หมายเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากในปัจจุบันระบบคอมพิวเตอร์ได้เป็นส่วนสำคัญ ของการประกอบกิจการ และการดำรงชีวิตของมนุษย์ หากมีผู้กระทำด้วยประการใด ๆ ให้ระบบคอมพิวเตอร์ไม่สามารถทำงานตามคำสั่งที่กำหนดไว้ หรือทำให้การทำงานผิดพลาดไปจากคำสั่งที่กำหนดไว้ หรือใช้วิธีการใด ๆ เข้าล่วงรู้ข้อมูล แก้ไข หรือทำลายข้อมูลของบุคคลอื่น ในระบบคอมพิวเตอร์โดยมิชอบ หรือใช้ระบบคอมพิวเตอร์ เพื่อเผยแพร่ข้อมูลคอมพิวเตอร์อันเป็นเท็จ หรือมีลักษณะอันลามกอนาจาร ย่อมก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และความมั่นคงของรัฐ รวมทั้งความสงบสุขและศีลธรรมอันดีของประชาชน สมควรกำหนดมาตรการเพื่อป้องกันและปราบปรามการกระทำดังกล่าว จึงจำเป็นต้องตราพระราชบัญญัตินี้
ประเภทของ Log management
ในประเทศไทยกำลังตื่นตัวกับเรื่องกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ใน ช่วงโค้งสุดท้าย ทุกองค์กรที่ให้บริการอินเตอร์เน็ตทั้งภาครัฐและเอกชน จะต้องมีการจัดเก็บ Log การเข้าถึงระบบอินเตอร์เน็ตไว้ไม่ต่ำกว่า 90 วันมิฉะนั้นจะมีโทษปรับไม่เกิน 500,000 บาท ปัญหาในบ้านเราก็คือหลายองค์กรยังไม่เข้าใจหลักการในการจัดเก็บ Log ให้ถูกต้องตามพรบ. เพราะเนื่องจากการจัดเก็บ Log นั้นไม่ใช่แค่เพียงซื้อผลิตภัณฑ์ที่เป็น Centralized Log Management เท่านั้นแต่หากเป็นการติดตั้งให้อุปกรณ์ต่างๆ มีการจัดส่ง Log เข้ามายังส่วนกลางอย่างเป็นระบบต่างหาก ดังนั้นจึงเน้นไปที่การติดตั้งอย่างถูกต้องมากกว่าแค่เพียงการจัดซื้อ ผลิตภัณฑ์เท่านั้น อีกปัญหาที่พบบ่อยก็คือทางองค์กรเข้าใจว่าการจัดซื้อระบบ SIM นั้นหมายถึงการจัดซื้อระบบ Log ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ SIM ไม่ได้ออกแบบมาใช้ในการจัดเก็บ Log แต่อย่างใด
ระบบ SIM ออกแบบมาเพื่อใช้ในการวิเคราะห์ซึ่งต้องการผู้เชี่ยวชาญเฉพาะทางมาจัดการ วิเคราะห์ Log ซึ่งองค์กรเองมักจะขาดผู้เชี่ยวชาญดังกล่าวทำให้การจัดซื้อ SIM ไม่ได้ประโยชน์ตามที่ตั้งใจ ดังนั้นการแก้ไขก็เลยตัวมีระบบวิเคราะห์ติดมาด้วยก็คือ SIEM คือเก็บมาแล้วก็วิเคราะห์ให้เสร็จสรรพ แถมให้บางระบบส่งปัญหาเหล่านี้เปิดเป็น Problem ticket เพื่อให้ฝ่ายสนับสนุนนำไปสู่การแก้ปัญหาได้อีกด้วย
อย่างนี้ก็อาจจะแบ่งอย่างง่ายได้ 2 ประเภทคือ
1. เทคโนโลยีในการจัดเก็บ Log -> SIM (Security Information Management)
2. เทคโนโลยีในการจัดเก็บวิเคราะห์ข้อมูลจาก Log -> SIEM (Security Information & Event Management)
เหตุผลที่ต้องมีการเก็บ log
1. ก็เพื่อความมั่นคงปลอดภัยของระบบข้อมูลข่าวสารบนเครือข่าย (Information system and network security)
2. ช่วยพวก System Administrator สามารถตรวจสอบดูแลสภาพการทํางานของเครือข่ายว่ายังอยู่ดีอยู่หรือป่าว (System health monitoring)
3. เป็น ไปตามขอบังคับและการปฏิบัติตามกฎระเบียบข้อบังคับต่าง ๆ (Legal and regulatory compliance) อย่าง พรบ.ฉบับที่เราเขียนถึงอยู่นี้ไงครับ
4. ถ้าเกิดเหตุก็จะสามารถช่วนในการสืบสวนเชิงลึกทางนิติ (Forensic investigations)
กล่าวโดยสรุป การปฏิบัติตาม พรบ. ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ นั้นถือเป็นหน้าที่ที่ทุกองค์กร ต้องปฏิบัติเพื่อแสดงความรับผิดชอบต่อสังคมโดยรวม เพราะเมื่อเกิดเหตุการณ์หรืออาชญากรรมทางคอมพิวเตอร์การสืบสวนของตํารวจและพนักงานเจ้าหน้าที่จําเป็นที่จะต้องมีหลักฐานทางคอมพิวเตอร์ หรือ Digital Evidence เพื่อใช้ประกอบการพิจารณาคดีในชั้นศาล และระบุหาต้นตอและแหล่งที่มาของผู้กระทําความผิดดังกล่าว
ดังนั้น การเก็บ Log หรือ Traffic Data อย่างน้อย 90 วัน ที่มีกําหนดขีดเส้นตายสําหรับทุกองค์กรในประเทศไทย ในวันที่ 24 สิงหาคม พ.ศ. 2551 จึงมีความสําคัญอย่างยิ่งกับสภาวะการพัฒนาสังคมด้านสารสนเทศในประเทศไทยไปอีกขั้นหนึ่งทําให้เกิดความมั่นใจในการใช้งานระบบสารสนเทศมากขึ้นในเรื่องของปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศ ส่งผลให้ภาพลักษณ์ของประเทศไทยโดยรวมดีขึ้นมีมาตรฐานมากขึ้นในสายตาประชาคมโลก
Reference Site:
• http://www.acisonline.net
• http://www.itthai.org
• http://www.servertoday.com/V2009/02/logmanagement.php
• http://www.d108.com/products/syslog/index.htm
Data Loss Prevention (DLP)
Data Loss Prevention (DLP) คือ การป้องกันข้อมูลสูญหาย เป็น ความปลอดภัยคอมพิวเตอร์ สำหรับระบบต่างๆที่ต้องการระบุข้อมูล ตรวจสอบข้อมูลและป้องกันการใช้ข้อมูล เช่น endpoint action, ข้อมูลที่กำลังส่ง Data in Motion เช่น Network action และ ข้อมูลที่เหลือ เช่นข้อมูลการเก็บรักษา ผ่านการตรวจสอบระดับข้อความหรือเนื้อหา และมีการจัดการแบบศูนย์กลาง ระบบถูกออกแบบมาเพื่อตรวจจับและป้องกันไม่ให้ใช้โดยไม่ได้รับอนุญาต และป้องกันการส่งข้อมูลที่เป็นความลับ
นอกจากนี้ยังหมายถึงผู้ขายต่างๆโดยเป็น ข้อมูลรั่วป้องกัน (Data Leak Prevention), ข้อมูลรั่วตรวจจับและป้องกัน (Information Leak Detection and Prevention: ILDP), การป้องกันข้อมูลรั่ว (Information Leak Prevention: ILP) เนื้อหาการติดตามและการกรอง (Content Monitoring and Filtering: CMF) หรือ ระบบป้องกันการบุกรุก (Extrusion Prevention System)
ประเภทของ Data Loss Prevention (DLP)
1. Network DLP
Network DLP จะกล่าวถึงระบบ Gateway-based เหล่านี้มักจะทุ่มเท Hardware และ Software แพลตฟอร์มมักจะติดตั้งอยู่ในองค์กรของการเชื่อมต่อเครือข่ายอินเทอร์เน็ตที่วิเคราะห์เครือข่ายการเข้าชมเพื่อค้นหาการส่งข้อมูลที่ไม่ได้รับอนุญาตรวมถึง E-mail , IM, FTP , HTTP และ HTTPS (เรียกว่าข้อมูลที่กำลังเคลื่อนไหว) มีประโยชน์ที่ง่ายในการติดตั้งและให้มีอัตราค่อนข้างต่ำต้นทุนการเป็นเจ้าของ ระบบเครือข่าย DLP ยังสามารถพบข้อมูลที่เหลือ (ข้อมูลที่เก็บไว้ในองค์กร) เพื่อระบุพื้นที่ของความเสี่ยงที่เป็นความลับข้อมูลที่เก็บไว้ในที่ไม่เหมาะสม หรือสถานที่ที่ไม่ปลอดภัย
2. Host-based DLP systems
ระบบดังกล่าวทำงานสำหรับผู้ใช้ Workstations หรือ Server ในองค์กร เช่นเดียวกับระบบ Network-based , ระบบ Host-based สามารถอยู่ภายในแต่สื่อสารกับภายนอกจะนำไปใช้เพื่อควบคุมการไหลของข้อมูลระหว่างกลุ่มหรือประเภทของผู้ใช้ นอกจากนี้ยังสามารถควบคุมการติดต่อสื่อสารทง Email และ Instant Messaging ก่อนที่ผู้ใช้จะจัดเก็บหรือส่งข้อมูลขององค์กรไป ดังนั้นการบล็อคการสื่อสาร จะไม่ถูกบังคับใช้ตามกฎหมายได้ หลังการค้นพบเหตุการณ์
ระบบ Host-based มีประโยชน์ที่พวกเขาสามารถติดตามและควบคุมการเข้าถึงอุปกรณ์ทางกายภาพ (เช่นอุปกรณ์เคลื่อนที่ที่มีความสามารถในการจัดเก็บข้อมูล) และในบางกรณีสามารถเข้าถึงข้อมูลก่อนที่จะได้รับการเข้ารหัส บางระบบ Host-based ยังสามารถระบุโปรแกรมควบคุมเพื่อที่จะป้องกันการพยายามรส่งข้อมูลที่เป็นความลับและให้ข้อเสนอแนะกลับในทันทีไปที่ผู้ใช้ แต่มีข้อเสียคือ ต้องติดตั้งบนทุกเวิร์กสเตชันในเครือข่ายและไม่สามารถใช้งานได้บนอุปกรณ์เคลื่อนที่ (เช่นโทรศัพท์มือถือและ PDAs) และยังมีเวิร์กสเตชันที่ไม่สามารถติดตั้งได้
3. Data Identification
Data Loss Prevention Solution ได้รวมเทคนิคจำนวนหนึ่งสำหรับระบุความลับหรือข้อมูลที่สำคัญ บางครั้งสับสนกับการเปิดเผยหรือการแสดงตัว การระบุข้อมูลเป็นกระบวนการที่องค์กรใช้เทคโนโลยี DLP เพื่อตรวจสอบสิ่งที่ต้องการ Data Loss Prevention Solution ใช้วิธีการหลากหลายวิธี เพื่อวิเคราะห์ข้อมูล จาก Keyword, dictionaries และเครื่องหมายทั่วไปของบางส่วนเอกสารที่เหมือนหรือคล้ายกัน จุดแข็งของเครื่องมือการวิเคราะห์โดยตรงสัมพันธ์กับความถูกต้อง ความถูกต้องของ DLP identification เป็นสิ่งที่สำคัญที่จะลดหรือหลีกเลี่ยงในแง่บวกและแง่ลบ Accuracy can depend on many variables, some of which may be situational or technological. ความถูกต้องสามารถพึ่งพาหลายตัวแปรอย่างบางสถานการณ์หรือทางเทคโนโลยีTesting for accuracy is recommended to ensure a solution has virtually zero false positives/negatives. สำหรับการทดสอบความถูกต้อง แนะนำเพื่อให้แน่ใจว่ามีโซลูชันเสมือนไม่มีความผิดพลาดในแง่บวกและแง่ลบ
เทคโนโลยี Data Loss Prevention (DLP) สำคัญอย่างไร
เนื่องด้วยทุกวันนี้มีเรื่องราวเกี่ยวกับการรั่วไหลของข้อมูลในองค์กร อาจจะด้วยความบังเอิญหรือด้วยเจตนาของใครบางคน ซึ่งมันเกิดขึ้นอย่างมากมายและต่อเนื่อง ทำให้เทคโนโลยี DLP (Data Loss Prevention) กลายเป็นที่ต้องการ เพื่อใช้ในการแก้ไขปัญหานี้ แต่ด้วยความที่ข้อมูลในองค์กรใหญ่ๆ นั้นมีขอบเขต, ขนาดข้อมูลและการกระจายของข้อมูลที่ทำให้เราสามารถรู้ได้เพียงว่า
• ข้อมูลนั้นอยู่ที่ไหน
• ใครเป็นเจ้าของข้อมูลนั้น
ผลลัพธ์คือ ความก้าวหน้าของโปรเจค DLP นั้นเป็นไปอย่างล่าช้า ยิ่งไปกว่านั้น บริษัทส่วนมากขาดการควบคุมการใช้งานในระดับ Application ทำให้เกิดความไม่ชัดเจนว่าเทคโนโลยี DLP นั้นจะสามารถช่วยเหลือการรั่วไหลของข้อมูลได้จริง? โดยมีเหตุการ์ณตัวอย่างที่เคยเกิดขึ้นจริงอย่างเช่นกรณีของ US Army, Pfizer เป็นต้น
บางองค์กรนั้นใช้ความพยายามที่จะ implement ระบบ Data Loss Prevention ที่มีขนาดใหญ่ เพื่อรองรับกับโมเดลทางธุรกิจของตัวเองหรือเพื่อรองรับกับเหตุผลขององค์กรเอง แต่โดยทั่วไปในองค์กรส่วนใหญ่นั้นจะควบคุมการใช้ Application แทน ซึ่งแม้ว่าจะควบคุมสักเพียงใดก็ตาม ต่างก็เคยประสบปัญหาข้อมูลรั่วไหล ทำให้เกิดผลเป็นที่ยอมรับโดยทั่วกันว่า ควรจะหยุดส่งข้อมูลข้อมูลต่างๆ ที่ควรเป็นความลับไปภายนอกองค์กร อย่างเช่น credit card หรือ social security number ดังนั้น ความพยายามที่จะควบคุมขอบเขตของข้อมูลนั้นเป็นเรื่องที่สมควรทำอย่างยิ่ง ไม่ว่าจะเป็นการแบ่งขอบเขตข้อมูลระหว่างภายนอกและภายในองค์กร หรือ user ภายในกับ resource ภายใน data center ขององค์กร โดยตำแหน่งที่กล่าวมานี้ เป็นตำแหน่งที่เหมาะสมในการวาง firewall มากที่สุด เพราะจะสามารถเห็นทุกๆ traffic ได้
แต่เนื่องด้วยในปัจจุบัน firewall ส่วนใหญ่จะกำหนด policy ที่ขึ้นอยู่กับ port และ protocol ทำให้ไม่สามารถช่วยแก้ปัญหารั่วไหลของข้อมูลได้ เพราะว่า firewall เองไม่สามารถรู้ได้ว่าเป็น user คนใดที่กำลังใช้งาน application นั้นอยู่ และมี content เป็นอย่างไรบ้าง
การรั่วไหลของข้อมูลยังเป็นปัญหาที่แก้ไม่ตกสำหรับหลายๆองค์กร
ในแต่ละวัน มีการเปิดเผยข้อมูลส่วนตัวไปสู่สาธารณะด้วยอัตราที่สูงขึ้น อย่างเช่น ข่าวของเลขบัตรเครดิต 10 ใบใน 1000 ใบ มีการรั่วไหลไปจากผู้ขายสินค้าสู่สาธารณะในแต่ละสัปดาห์ หรือว่า social security number มีการรั่วไหลออกจากหน่วยงานของรัฐบาลอเมริกา, องค์กรด้านสุขภาพต่างๆหรือจากตัวเจ้าของบัตรเอง และก็มีตัวอย่างเกิดขึ้นไม่นานมานี้ ( เดือนธันวาคม 2008 ) ว่า เนื่องจากการตั้งค่า server เพื่อบลอคการใช้งาน p2p ผิดพลาด ทำให้ฐานข้อมูลของทหารสหรัฐจำนวน 24,000 คนถูกเปิดเผย หรือเหตุการณ์ของ Walter Reed Medical Center ที่ข้อมูลของผู้ป่วยถูกเผยแพร่ออกไป ตัวอย่างเหล่านี้แสดงให้เห็นว่าการบลอคตัว application ด้วย policy ของ firewall เพียงอย่างเดียวนั้น ไม่สามารถช่วยแก้ปัญหาการรั่วไหลของข้อมูลได้
เทคโนโลยี DLP นั้นได้เสนอความน่าสนใจให้แก่หลายๆ องค์กร IT ด้วยความเชื่อที่ว่า จะช่วยให้องค์กรนั้นสามารถปกปิดข้อมูลที่เป็นความลับต่างๆ ไม่ให้รั่วไหลได้ ซึ่งทาง provider ที่ให้บริการเทคโนโลยีด้านนี้ก็ยังติดปัญหาอยู่ เพราะคำถามที่ว่าหากเราต้องการทั้ง access control, reporting, data classification, data at-rest vs. data in-transit, data ownership, desktop agents, server agents,และ encryption นั้น มันจะทำให้โปรเจค DLP เกิดความล่าช้าในการดำเนินการให้แต่ละองค์กร
ดังนั้นผู้ลงทุนที่กล้าเสี่ยงกับเทคโนโลยี DLP ได้ใช้เงินไปกับ DLP vendor ต่างๆ มากมาย และกลับกลายมาเข้าเป็นผู้เข้ายึดบริษัทด้าน security นั้นๆเอง ซึ่งได้มีการเจริญเติบโตขึ้นเรื่อยๆ ทำให้ผู้ลงทุนเหล่านี้ได้ขยายขอบเขตฟังก์ชัน DLP อย่างไม่มีที่สิ้นสุด บาง vendor ในตลาดนั้นกลายเป็น data loss prevention แทน เพราะว่าได้รวมเอาฟังก์ชันข้อมูล security มาใส่ไว้ในอุปกรณ์ แม้กระทั่งรวมส่วนของ storage management ไว้ด้วย สิ่งเหล่านี้เป็นขอบเขตของ DLP ที่ขยับขยายขึ้น ถึงแม้จะมีประโยชน์ แต่มันก็เพิ่มความซับซ้อน, เวลาของผู้ดูแล และค่าใช้จ่ายมากขึ้น เป็นที่น่าแปลกกว่านั้นคือ การรั่วไหลของข้อมูลนั้นบางครั้งเกิดจากการไม่อนุญาตให้ใช้งาน p2p file sharing application และการตั้งค่าผิด ปัญหานี้ไม่ได้รับการแก้ไขในเทคโนโลยี DLP ที่มีจำหน่ายอยู่ในตลาดปัจจุบัน เนื่องจากไม่ได้สนใจการควบคุมการใช้งาน application นั่นเอง
ภัยจากภายในบริษัท (InsiderAttack) เนื่องจากขาด เทคโนโลยี Data Loss Prevention (DLP)
โดยปกติแล้วพนักงานบริษัททั่วไปจะมีคอมพิวเตอร์ใช้งานกันทุกคนและ จากผลการสำรวจ พนักงานบริษัทมักใช้อินเทอร์เน็ตในเรื่องที่ไม่เกี่ยวข้องกับการทำงานของบริษัทอยู่มากพอสมควรเช่น การโหลดหนัง โหลดเพลง การใช้ MSN และการใช้งานเว็บไซต์ Social Network นอกจาก เรื่องเสียเวลาทำงานแล้ว (ซึ่งไม่ใช่ประเด็นหลัก) ปัญหาที่ควรกังวลก็คือ การที่ผู้ใช้คอมพิวเตอร์รู้เท่าไม่ถึงการณ์เผลอโหลดหรือเปิดไฟล์ไวรัสที่ถูกส่งมาผ่านทางอินเทอร์เน็ต จากการใช้งานโปรแกรมดังกล่าว โดยไม่ระมัดระวัง ทำให้เครือข่ายภายในบริษัทหรือองค์กรเกิดปัญหาติดไวรัสเป็นจำนวนมาก ทางแก้ปัญหาสามารถทำได้โดยการกำหนดให้มีนโยบายหรือ Security Policy ที่เราเรียกว่า “Acceptable Use Policy” (AUP) เพื่อให้ผู้ใช้คอมพิวเตอร์ได้ปฏิบัติตามนโยบายดังกล่าว จำเป็นต้องมีการฝึกอบรมที่เราเรียกว่า “iSAT” หรือ “Information Security Awareness Training” เกิดขึ้นเป็นประจำอย่างน้อยปีละ 2 ครั้งจะช่วยแก้ปัญหาดังกล่าวได้มาก องค์กรใหญ่ๆหลายองค์กรนิยมเชิญผู้เชี่ยวชาญภายนอกมาฝึกอบรมในหลักสูตรดังกล่าวเป็นประจำทุกปี โดยการที่จะให้ได้ผลที่ดีนั้น จำเป็นอย่างยิ่งที่ต้องอบรมพนักงานทุกคนทั้งกลุ่ม IT และ Non-IT นอกจากนี้ ปัญหา Insider Attack ในรูปแบบอื่นๆที่รุนแรงกว่าปัญหาความรู้เท่าไม่ถึงการณ์ของการใช้คอมพิวเตอร์ทั่วไปดังที่กล่าวมาแล้วในตอนต้น ได้แก่ ปัญหาที่เกิดจากการที่พนักงานบางคนมีเจตนามุ่งร้ายในการแอบขโมยข้อมูลบริษัทเพื่อผลประโยชน์ส่วนตัว หรือ อาจจะเกิดจากความแค้นในบางเรื่องแล้วทำการเจาะเข้าระบบของบริษัทตัวเอง ซึ่งธรรมดาการเจาะระบบจากคนในก็จะง่ายกว่าคนนอกมาเจาะระบบอยู่แล้ว เนื่องจากเป็นการเจาะระบบจากภายในเอง ทำให้ข้อมูลรั่วไหลออกไปโดยง่าย ไม่ว่าจะผ่านทางการส่ง eMail หรือ copy ลง USB Drive ก็ยากที่จะตรวจสอบ หากบริษัทหรือองค์กรไม่มีเทคโนโลยีชั้นสูงไว้ป้องกัน สิ่งที่น่ากลัวในอนาคตก็คือ อัตราการเพิ่มของ Insider Attack นั้นมีอัตราเพิ่มขึ้นทุกปี ทำให้การป้องกันข้อมูลรั่วไหลในองค์กรหรือ “Data Loss Prevention” กลายเป็นเรื่องสำคัญขึ้นมา ในองค์กรที่มีข้อมูลสำคัญอยู่เช่น ธนาคาร บริษัทที่ปรึกษา บริษัทวิจัย บริษัทออกแบบ และบริษัทที่มีทรัพย์สินทางปัญญาที่มีความสำคัญกับการดำเนินการธุรกิจ ทางแก้ปัญหาดังกล่าวนั้น ควรมีเทคโนโลยีขั้นสูงที่จะป้องกันไม่ให้ข้อมูลรั่วไหลจากที่กล่าวมาแล้วคือ Data Loss Prevention (DLP) และ Digital Right Management (DRM) ปัญหาคือเทคโนโลยีดังกล่าวยังมีราคาค่อนข้างสูง อาจนำมาใช้ได้ในบางระบบก่อนแล้วค่อยเพิ่มเติมในภายหลัง ทางแก้ปัญหาอีกทางที่ได้ผลคือ การหมั่นตรวจสอบระบบโดย Internal Audit หรือ External Audit อย่างสม่ำเสมอ ก็จะช่วยให้เราทราบถึงเหตุการณ์ผิดปกติต่างๆ ที่เกิดขึ้น ก่อนที่ปัญหาจะลุกลามออกไปในอนาคต เพราะความเสียหายที่เกิดขึ้นจากข้อมูลรั่วไหลนั้นเป็นความเสียหายที่รุนแรง อาจทำให้บริษัทถูกฟ้องร้องซึ่งมีบริษัทที่ต้องปิดกิจการไปแล้วหลายราย ดังนั้นผู้บริหารระดับสูงไม่ควรมองข้ามภัยข้อนี้อย่างเด็ดขาด
ปัญหาการั่วไหลของข้อมูลทางไร้สายโดยไม่ได้รับอนุญาต จากองค์กร
การเข้าใช้ข้อมูลแบบไร้สายโดยไม่ได้รับอนุญาต เช่น การเข้าใช้ข้อมูลผ่านทาง Bluetooth, WiFi และ Infrared ซึ่งในปัจจุบันแฮกเกอร์สามารถใช้เสาอากาศ High-gain Antenna ที่ออกแบบมาโดยเฉพาะ แอบขโมยข้อมูลในระยะไกลกว่า 3 ไมล์ หรือ 4.83 KM. ในกรณีของ WiFi และ ระยะไกลกว่า 500 เมตรในกรณีของ Bluetooth การเจาะระบบ WiFi ดังกล่าวนิยมเรียกว่า “War Driving” ส่วนการเจาะ Bluetooth เรียกว่า “Bluedriving”
การแก้ปัญหาข้อมูลรั่วไหลกำลังกลายเป็นประเด็นสำหรับรัฐบาลในหลาย ๆ ประเทศ ที่ต้องออกกฏหมายคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Law) เพื่อบังคับใช้กับ ธนาคาร, สถาบันการเงิน, โรงพยาบาล ตลอดจนบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ให้ปฏิบัติตามกฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หน่วยงานดังกล่าวต้องมีความรับผิดชอบในการป้องกันข้อมูลลูกค้าไม่ให้รั่วไหลโดยที่ลูกค้าไม่ได้อนุญาตซึ่งจำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเช่น เทคโนโลยี Digital Right Management (DRM) หรือ เทคโนโลยี Data Loss Prevention
ทำไมต้องบริหารจัดการระบบความมั่นคงปลอดภัยข้อมูล
ระบบเศรษฐกิจของประเทศไทยและโลกมีการเปลี่ยนแปลงอย่างรวดเร็ว การติดต่อด้านธุรกิจนั้นเป็นแบบไร้พรมแดน อินเทอร์เน็ตกลายเป็นสาธารณูปโภคขั้นพื้นฐานที่จำเป็นสำหรับมนุษย์ในการติดต่อสื่อสารซึ่งกันและกัน ผู้เชี่ยวชาญและผู้ทรงคุณวุฒิของวงการความปลอดภัยข้อมูลไอที เผยถึงแนวคิดถึงเรื่อง “IT Governance” หรือ “ไอทีภิบาล” เพื่อนำไปสู่ “The Transparent Organization” หรือองค์กรที่โปร่งใสตรวจสอบได้ “Corporate Governance” การรักษาความปลอดภัยข้อมูลสารสนเทศนั้นเป็นสิ่งจำเป็นที่ต้องถูกบรรจุอยู่ในกระบวนการทำงานของบุคลากร (Built-in process) รวมถึง ฮาร์ดแวร์และซอฟท์แวร์โดยอัตโนมัติ (Security Oriented) ในแต่ละองค์กร
ปัญหา “Identity Theft” การละเมิดความเป็นส่วนตัว “Privacy” และ การขโมยความเป็นตัวตนของเรา เพื่อนำไปใช้ประโยชน์ในทางมิชอบจะเพิ่มมากขึ้นเรื่อย ๆ เช่น ปัญหา SpyWare, ปัญหา Keylogger และ ปัญหา PHISHING และ PHARMING ตลอดจน ปัญหาเรื่อง Information Leakage หรือข้อมูลความลับรั่วไหลออกจากองค์กร
ปัญหา SPAM Email, ปัญหา “VIRUS/WORM”, ปัญหาการควบคุมการใช้งาน Internet Messaging Software เช่น MSN, ปัญหาการควบคุมการเล่นอินเทอร์เน็ตของพนักงาน ตลอดจนการควบคุมดูแลการใช้งานอินเทอร์เน็ตของเด็กและวัยรุ่นที่ยังไม่ตระหนักถึงภัยที่มาจากอินเทอร์เน็ต เป็นต้น
องค์กรในเอเชียให้ความสำคัญการป้องกันข้อมูลส่วนบุคคล และการป้องกันข้อมูลมากที่สุด
หนึ่งในข้อเท็จจริงที่น่าสนใจที่สุดจากการสำรวจในครั้งนี้ พบว่าองค์กรในเอเชียไม่ได้ล้าหลังองค์กรในแถบอเมริกาอีกต่อไป โดยเฉพาะองค์กรที่มีการสร้างแนวปฏิบัติด้านความปลอดภัยข้อมูล และมีการพัฒนาระบบความปลอดภัยอย่างต่อเนื่องอย่างประเทศอินเดีย โดยในปัจจุบัน องค์กรในเอเชียมีศักยภาพในการสร้างแนวปฏิบัติด้านความปลอดภัยที่เทียบเท่าหรือเหนือกว่าองค์กรในอเมริกาเหนืออีกด้วย ซึ่งจากการศึกษาพบว่าร้อยละ 74 ของผู้ตอบแบบสำรวจ บอกว่าตนมีแผนที่จะต้องใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยของข้อมูลเพิ่มมากขึ้นหรือเท่าเดิมในช่วง 12 เดือนข้างหน้า
จากผลการสำรวจยังระบุว่าผู้ตอบแบบสำรวจในเอเชียมีแนวโน้มที่จะว่าจ้าง CISO (Chief Information Security Officer) หรือ CSO (Chief Security Officer) ซึ่งเป็นผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัยให้กับโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ ร้อยละ 63 ซึ่งมีอัตราส่วนมากกว่าผู้ตอบแบบสำรวจในภูมิภาคอื่น คือร้อยละ 52 ในอเมริกาเหนือ ร้อยละ 58 ในยุโรป และร้อยละ 56 ในอเมริกาใต้ นอกจากนั้นผู้ตอบแบบสอบถามในเอเชียยังระบุว่ามีการประเมินความเสี่ยงขององค์กรอย่างน้อยปีละครั้ง (ร้อยละ71 ในเอเชีย ร้อยละ59 ในอเมริกาเหนือร้อยละ 57 ในยุโรป และร้อยละ 64 ในอเมริกาใต้)
อย่างไรก็ตาม เมื่อพูดถึงเรื่องการป้องกันข้อมูลส่วนบุคคล ( Privacy Protection ) องค์กรในเอเชียบางส่วนยังคงตามหลังองค์กรจากภูมิภาคอื่นของโลก (ยกตัวอย่างเช่น มีเพียงร้อยละ18 ของผู้ตอบแบบสำรวจในเอเชียที่มีการว่าจ้าง Chief Privacy Officer (CPO หรือ ผู้บริหารสูงสุดฝ่ายข้อมูลส่วนบุคคล) เมื่อเทียบกับร้อยละ 24 ในยุโรป และร้อยละ 21 ในอเมริกาเหนือและอเมริกาใต้) แต่หากพูดถึงความพร้อมขององค์การและบุคคลในการปฏิบัติหน้าที่เพื่อการป้องกันข้อมูลส่วนบุคคล เอเชียนับว่าก้าวล้ำกว่าประเทศในแถบยุโรปและอเมริกาใต้เล็กน้อย แต่ยังคงตามหลังอเมริกาเหนือ เช่น ผู้ตอบแบบสอบถามในเอเชียกล่าวว่าบริษัทของพวกเขามีข้อกำหนดให้พนักงานต้องผ่านการฝึกการใช้ข้อปฏิบัติด้านความเป็นส่วนตัว (ร้อยละ41) เมื่อเทียบกับพนักงานในอเมริกาเหนือ (ร้อยละ54) อเมริกาใต้ (ร้อยละ30) และยุโรป (ร้อยละ28)
จากผลสำรวจร้อยละ 58 ของผู้ตอบแบบสำรวจในเอเชียกล่าวว่า การจัดการการรั่วไหลของข้อมูล ( Data Leakage Prevention หรือ DLP) จะถูกนำมาใช้งานในอีก 12 เดือนข้างหน้า นอกจากนี้ องค์กรในเอเชียยังเห็นว่าการจัดประเภทข้อมูล (Data classified) ตามนโยบายความปลอดภัย (security policies) เป็นสิ่งสำคัญในการดำเนินธุรกิจ (ร้อยละ32) เมื่อเทียบกับผู้ตอบแบบสอบถามจากทั่วโลก (ร้อยละ24) ซึ่งถือได้ว่าสูงกว่าทั่วโลกถึงร้อยละ 8
แม้ว่าองค์กรในเอเชียยังคงจะลงทุนอย่างหนักเกี่ยวกับเครื่องมือด้านความปลอดภัยข้อมูล เช่น ซอฟต์แวร์สำหรับการตรวจจับการบุกรุก (Intrusion detection), การเข้ารหัส (encryption) และ การบริหารจัดการ identity (identity management) นอกจากนั้น องค์กรยังคงต้องฝ่าฟันกับการรักษาความปลอดภัยข้อมูล (security) และกระบวนการป้องกันขององค์กร (Safeguard processes) และดูเหมือนว่ามุมมองของผู้บริหารต่อเรื่องความปลอดภัยข้อมูลจะไม่ถูกต้องสักเท่าไหร่นัก จึงทำให้หลายๆองค์กรไม่สามารถใช้ประโยชน์จากเครื่องมือเหล่านั้นได้อย่างเต็มประสิทธิภาพเมื่อเทียบกับเม็ดเงินที่ลงทุนไป
Content Monitoring and Filtering
ปัญหาใหม่ทางด้านความปลอดภัยขององค์กรวันนี้และอนาคต คือ ปัญหาเรื่องข้อมูลรั่วไหลออกจากองค์กรอย่างไม่ถูกต้องผ่านทางอินเทอร์เน็ต ดังนั้น องค์กรควรมีการเฝ้าระวังข้อมูลเข้า-ออก จากองค์กรว่ามีข้อมูลที่สำคัญหรือเป็นความลับรั่วไหลออกจากองค์กรหรือไม่ ในทางเทคนิค เรียกว่า “Extrusion Detection” ซึ่งแตกต่างจาก “Intrusion Detection” ที่เรารู้จักกันดีอยู่แล้ว เทคโนโลยี Content Monitoring and Filtering จะคอยเฝ้าตรวจสอบกระแสข้อมูลที่ผ่านทางระบบเครือข่ายและระบบอินเทอร์เน็ต โดยจะทำการวิเคราะห์ลักษณะของข้อมูลว่าอยู่ในข่ายข้อมูลที่ไม่อนุญาตให้รับ-ส่งตามเงื่อนไขที่กำหนดไว้ในนโยบายหรือกฎเกณฑ์ที่ทางองค์กรได้กำหนดขึ้น โดยปกติเทคโนโลยีนี้จะถูกนำไปใช้เกี่ยวกับการป้องกันทรัพย์สินทางปัญญา (Intellectual Property) แต่สามารถนำไปประยุกต์ใช้ในการตรวจสอบข้อมูลรั่วไหล เช่น สามารถตรวจสอบได้ว่ามีคนในองค์กรพยายามที่จะขโมยข้อมูลความลับทางธุรกิจขององค์กรผ่านทางอินเทอร์เน็ตหรือไม่ เป็นต้น
Reference Site:
• http://en.wikipedia.org/wiki/Data_Leakage_Protection
• http://www.bloggang.com/mainblog.php?id=issthai&month=02-05-2009&group=3&gblog=2
• http://www.mindterra.com/index.php?q=infosec-technology/firewall/paloalto/%E0%B9%80%E0%B8%97%E0%B8%84%E0%B9%82%E0%B8%99%E0%B9%82%E0%B8%A5%E0%B8%A2%E0%B8%B5-data-leak-prevention-dlp-%E0%B8%97%E0%B8%B5%E0%B9%88-firewall
• http://www.uih.co.th/mss_article/article/How_to_Protect.html
• http://www.bfiia.org/index.php?lay=show&ac=article&Id=459062&Ntype=2
• http://www.telecomjournal.net/index.php?option=com_content&task=view&id=1522&Itemid=40
• http://www.isaca-bangkok.org/article/14%20new%20IT%20security%20technology%20update.htm
สมัครสมาชิก:
บทความ (Atom)