การฝึกอบรมและสร้างความตระหนัก (Training and Awareness) พนักงานในองค์กรต้องมีการฝึกอบรมและได้รับการสร้างความตระหนักเกี่ยวกับภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง เพื่อให้มีความพร้อมในการระบุและจัดการกับสถานการณ์ที่อาจเป็นภัยคุกคาม
การตรวจสอบและการรายงานเหตุการณ์ (Incident Monitoring and Reporting) องค์กรต้องมีการตรวจสอบความปลอดภัยในระบบอย่างต่อเนื่องและรายงานเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นไปยังหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กำหนด โดยต้องแจ้งทั้งความรุนแรงของเหตุการณ์และแผนการรับมือ
การตอบสนองและการกู้คืนข้อมูล (Incident Response and Recovery) จัดทำแผนการตอบสนองต่อเหตุการณ์เมื่อเกิดการโจมตี และมีขั้นตอนการกู้คืนระบบและข้อมูลเพื่อให้กลับมาทำงานได้อย่างปกติ
ความท้าทายที่องค์กรไทยต้องเตรียมรับมือ แม้ว่า NIS2 จะถูกบังคับใช้ในสหภาพยุโรป แต่บริษัทหรือองค์กรในประเทศไทยที่ทำธุรกิจระหว่างประเทศโดยเฉพาะในกลุ่มประเทศ EU
NIS2 (Network and Information Security Directive 2) เป็นกฎหมายของสหภาพยุโรปที่มุ่งเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์สำหรับโครงสร้างพื้นฐานสำคัญ แม้ว่ากฎหมายนี้จะบังคับใช้เฉพาะในสหภาพยุโรป แต่ก็อาจส่งผลกระทบต่อประเทศไทยในหลายด้าน
Data pipeline เป็นเครื่องมือสำคัญสำหรับองค์กรที่ต้องการจัดการ วิเคราะห์ และนำข้อมูลไปใช้ประโยชน์ Data pipeline ช่วยให้องค์กรสามารถตัดสินใจได้อย่างมีข้อมูล พัฒนาผลิตภัณฑ์และบริการใหม่ๆ และเพิ่มประสิทธิภาพการทำงาน
ตาม NIST SP 800–207 จากหน่วยงาน National Institute of Standards and Technology (NIST) และ แนวคิดจาก DoD (Department of Defense) Zero trust reference architecture ของสหรัฐอเมริกา เป็นสถาปัตยกรรมที่ถูกสร้างมาเพื่อไม่ไว้วางใจในระดับพื้นฐาน และมีวัตถุประสงค์เพื่อให้คำแนะนำในการออกแบบและการดำเนินงานของระบบที่สอดคล้องกับหลักการ Zero Trust ซึ่งเป็นแนวทางในการรักษาความปลอดภัยของข้อมูลและระบบเครือข่ายคอมพิวเตอร์ อันประกอบด้วยดังนี้
(1) Never trust always verify ไม่ไว้วางใจใดๆ, ตรวจสอบทุกอย่าง แนวคิด Zero Trust หมายความว่าไม่มีการไว้วางใจโดยอัตโนมัติใดๆ ทั้งบุคคล, อุปกรณ์, เครือข่าย หรือบริการ ไม่ว่าจะอยู่ภายในหรือภายนอกองค์กร ทุกคำขอการเข้าถึงจะถูกปฏิบัติเหมือนกับว่ามาจากเครือข่ายที่ไม่ไว้วางใจ
(2) Continuous Verification การตรวจสอบอย่างต่อเนื่อง การทำ Zero Trust ต้องการให้ทุกความพยายามในการเข้าถึงระบบถูกตรวจสอบอย่างต่อเนื่อง ไม่เพียงแค่ที่จุดเข้าใช้งาน หมายความว่ามีการประเมินและประเมินค่าความเสี่ยงและระดับการไว้วางใจของคำขอการเข้าถึงอย่างต่อเนื่อง
การแบนคือการห้ามไม่ให้ที่อยู่ IP ที่เกี่ยวข้องเข้าถึงบริการหรือเซิร์ฟเวอร์ของคุณ. การดำเนินการนี้มักเกี่ยวข้องกับการเพิ่มกฎไฟร์วอลล์เพื่อบล็อกการเข้าถึงจาก IP นั้น:
(2) การโจมตี SolarWinds ใช้ช่องโหว่ในซอฟต์แวร์ SolarWinds ในการเข้าถึงระบบคอมพิวเตอร์ขององค์กรต่างๆ ทั่วโลก รวมถึงกระทรวงการต่างประเทศสหรัฐอเมริกาและสำนักงานความมั่นคงแห่งมาตุภูมิ (United States Department of Homeland Security)
ความหมายของ Data Sovereignty ความหมายของ Data Residency ความหมายของ Data Localization เพื่อพิจารณาในการออกแบบระบบให้มีความมั่งคงปลอดภัยของข้อมูล
Data Sovereignty เกี่ยวกับสิทธิในการครอบครองและควบคุมข้อมูลขององค์กรหรือบุคคลภายใต้กฎหมายและนโยบายที่เกี่ยวข้อง คือการสามารถระบุว่าข้อมูลนั้นเป็นของใครและใครมีสิทธิ์ในการกำหนดนโยบายการใช้ข้อมูล ส่วนใหญ่แล้ว, data sovereignty เชื่อมโยงกับสถานที่ที่ข้อมูลถูกเก็บรักษา และกฎหมายของประเทศนั้น ๆ
Data residency เน้นถึงความจำเป็นในการจัดเก็บข้อมูลในที่ที่ระบุ โดยส่วนใหญ่จะเป็นการจำเป็นทางกฎหมายหรือนโยบาย องค์กรหรือรัฐบาลอาจกำหนดข้อกำหนดที่ต้องการให้ข้อมูลของบริษัทหรือประชาชนจะต้องถูกเก็บรักษาในราชอาณาจักรหรือที่ตั้งของบริษัท Data Localization (การย้ายข้อมูลไปยังที่ตั้งที่เฉพาะเจาะจง):
Data localization คือการกำหนดให้ข้อมูลจะต้องถูกจัดเก็บและประมวลผลในสถานที่ที่เฉพาะเจาะจง โดยบ่งชี้ว่าข้อมูลจะต้องไม่ถูกย้ายไปยังที่อื่นที่ไม่ได้ระบุไว้ นี่เป็นนโยบายที่บังคับใช้ทางกฎหมายหรือนโยบายองค์กร มีวัตถุประสงค์เพื่อความปลอดภัยของข้อมูลหรือป้องกันการเข้าถึงข้อมูลจากที่อื่น
มีหลายประเทศที่ใช้กฎหมาย Data Residency และ Localizationเพื่อกำหนดข้อกำหนดในการจัดเก็บข้อมูลในราชอาณาจักรของพวกเขา เช่น
แคนาดา มีกฎหมายเกี่ยวกับความเป็นเจาะจงของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Information Protection and Electronic Documents Act – PIPEDA) ซึ่งกำหนดว่าบริษัทที่จัดเก็บข้อมูลส่วนบุคคลของแคนาดาต้องเก็บข้อมูลในราชอาณาจักรแคนาดา นอกจากนี้ ความเป็นเอกชนของข้อมูลยังได้รับการคุ้มครองด้วยกฎหมาย.
ยูโรป มีกฎหมายที่เกี่ยวข้องกับความเป็นเจาะจงของข้อมูลตามข้อกำหนดของรัฐสมาชิกในสหภาพยุโรป (European Union – EU) และกำหนดให้ข้อมูลส่วนบุคคลต้องถูกจัดเก็บและประมวลผลในรัฐสมาชิกของ EU โดยมีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU (General Data Protection Regulation – GDPR) ซึ่งมีข้อกำหนดเกี่ยวกับการส่งข้อมูลไปยังรัฐนอก EU.
สรุปหนังสือ Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency
“Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency” โดย แอนดี กรีนเบิร์ก เล่าเรื่องราวการไล่ล่าแก๊งอาชญากรรมแห่งโลกไซเบอร์ที่อาศัยเทคโนโลยีของสกุลเงินดิจิทัล เพื่อฟอกเงิน สนับสนุนกิจกรรมผิดกฎหมาย และสร้างอาณาจักรใต้ดิน บนพื้นฐานการเข้าถึงข้อมูลระดับลึกจากหน่วยงานบังคับใช้กฎหมายและภาคเอกชน
โดยสรุป หนังสือ “Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency” เป็นหนังสือที่มีประโยชน์สำหรับผู้ที่สนใจในประเด็นต่างๆ ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์