Cybersecurity

สถาบันการศึกษาขาดความสามารถในการป้องกันแฮกเกอร์

เหตุผลที่แฮกเกอร์โจมตีสถาบันการศึกษา และวิธีรับมือ

เมื่อพูดถึงเรื่องความปลอดภัย โรงเรียนเป็นสถาบันที่ๆต้องเจอกับอุปสรรคมากที่สุดที่หนึ่ง เนื่องจากโรงเรียนที่รวมหลายภาคส่วนไว้ด้วยกัน อย่างการศึกษา, สุขภาพ, การเงิน, ร้านขายปลีก และห้องวิจัย ควบคู่กับการบริหารจัดการและบัญชี

ซึ่งแนวทางการบริหารจัดการนั้นค่อนข้างยากทั้งกฎระเบียบ ข้อมูลส่วนที่เปิดเป็นสาธารณะ และงบประมาณที่ค่อนข้างจำกัด

อาชญากรไซเบอร์กำลังฉวยโอกาสนี้ และโรงเรียนก็เป็นหนึ่งในเป้าหมาย จากโพลล์ของ Educause พบว่าในปี 2015 เรื่องของความปลอดภัยของข้อมูลเป็นเรื่องสำคัญระดับท้ายๆของฝ่ายไอที แต่ในปี 2016 และ 2017 ความปลอดภัยของข้อมูลกลายเป็นเรื่องที่สำคัญที่สุดสำหรับฝ่ายไอที

ไม่ว่าจะดีร้ายอย่างไร หน่วยงานค้าปลีกและสถาบันสุขภาพเผชิญกับความสูญเสียจากเหตุการณ์ล้วงข้อมูล ทำให้พวกเขาพบข้อบกพร่องของตัวเอง และรายงานให้กับรัฐบาลอละสาธารณะได้รู้

เราจะกำหนดระดับภัยคุกคามที่เราวัดไม่ได้อย่างไร?

ก้าวแรกก็คือการปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญด้าน IT เพื่อประเมินความเสี่ยง ประเด็นหลักเพื่อให้เห็นสภาพแวดล้อมการทำงานของเรา โดยเฉพาะสำหรับโรงเรียนที่มีชื่อเสียง ซึ่งบุคคลทั่วไปมักเห็นบ่อยกว่าที่อื่น

เราต้องทำอะไรกับข้อมูลบ้าง?

เมื่อคุณทราบความเสี่ยงที่คุณเผชิญแล้วสิ่งต่อมาก็คือลดความเสี่ยง ในขณะที่ภัยคุกคามเติบโตขึ้นเรื่อยๆ ในวงกว้าง และไม่วางแผนรับมือเฉพาะภัยใดภัยหนึ่ง เพราะหลายภัยคุกคามมีวิธีการแทรกซึมที่เฉพาะตัว และมีเทคนิคการหลอกลวงผ่านอีเมล์

วิธีการพัฒนาเทคโนโลยีป้องกัน

ถ้าพูดง่ายๆ การทำงานของซอฟต์แวร์และโปรแกรมก็คือโค้ดนับล้านๆโค้ด และเมื่อมีโค้ดไหนทำงานผิดพลาด ก็อาจทำให้โปรแกรมทำงานผิดเพี้ยนไปได้

การทำงานที่ผิดพลาดของโปรแกรมอาจนำไปสู่การถูกขโมยข้อมูล หรือบรรจุโค้ดอันตรายลงไปสร้างความเสียหายให้ระบบได้

อัพเดตอย่างสม่ำเสมอ

การแก้ไขข้อผิดพลาดของโปรแกรมก็คือ การอัพเดตแพทช์ เพราะอัพเดตนอกจากเพิ่มอะไรใหม่ๆให้กับแอปพลิเคชั่นแล้วยังแก้ไขข้อผิดพลาดที่อยู่ในเวอร์ชั่นก่อนๆอีกด้วย เฟิร์มแวร์ของอุปกรณ์อย่างเร้าเตอร์ก็ต้องได้รับการอัพเดตเช่นกัน เพื่อป้องกันไม่ให้แฮกเกอร์ใช้ช่องโหว่ที่มีอยู่นั้นโจมตีเครือข่ายของเราได้

ใช้ทฤษฎี Least Privilege

ทฤษฎี Least Privilege คือการจำกัดการเข้าถึงของผู้ท่ีไม่ได้รับอนุญาตให้มากที่สุด หรือจำกัดไว้ในส่วนที่พวกเขารับผิดชอบเท่านั้น และสิทธิในการเข้าถึงถูกจัดไว้ตามตำแหน่งของแต่ละบุคคล อย่างเช่นนักเรียนมีสิทธิในการเข้าถึงข้อมูลน้อยกว่าอาจารย์ และในกรณีที่มีอุปกรณ์อื่นๆเข้าใช้เครือข่ายจะต้องใช้มาตรการเดียวกันนี้ด้วย เท่านี้โปรแกรมเรียกค่าไถ่ก็จะห่างออกไปอีกขั้นนึงแล้ว

ใช้ชุดโปรแกรมรักษาความปลอดภัยที่มีคุณภาพ

การเลือกใช้โปรแกรมรักษาความปลอดภัย กับไฟร์วอลล์ร่วมกันเป็นไอเดียที่ดีที่จะช่วยให้การตรวจจับภัยคุกคาม หรือสิ่งผิดปกติในระบบทำงานได้ดียิ่งขึ้น เพราะทุกวันนี้ผู้พัฒนามัลแวร์ก็กำลังหาวิธีหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส ดังนั้นการมีการป้องกันหลายชั้นย่อมเป็นไอเดียที่ดี ถ้าคุณเจอโปรแกรมเรียกค่าไถ่สายพันธุ์ที่ใช้เซิร์ฟเวอร์ C&C ออกคำสั่ง ไฟร์วอลล์สามารถตรวจจับ และป้องกันได้

การเข้ารหัส

ข้อมูลสำคัญขององค์กรสมควรต้องทำการเข้ารหัสหรือล็อคเอาไว้ แล้วเก็บไว้ในพื้นที่ๆไม่มีการเชื่อมต่อ และเครือข่ายอื่นๆอย่างอีเมล์ต้องทำการเข้ารหัสไว้ เพื่อไม่ให้แฮกเกอร์เข้ามาอ่านข้อมูลในระหว่างส่งได้

เตรียมความพร้อมในกรณีเกิดเหตุฉุกเฉิน

สิ่งที่ต้องทำไว้เผื่อเหตุฉุกเฉิน คือการสำรองข้อมูล มีโปรแกรมเรียกค่าไถ่หลายเจ้าที่มีความสามารถเข้ารหัสไฟล์ทั้งหมดในไดร์ฟ รวมถึงไดร์ฟที่ถอดเข้าถอดออกได้อย่าง USB หรือแม้กระทั่งเครือข่าย หรือ Cloud ที่คุณทำการเชื่อมต่อกับไดร์ฟของคุณ ดังนั้น Backup ที่คุณทำต้องไม่มีการเชื่อมต่อใดๆ กับเครือข่ายที่กำลังใช้อยู่

วิธีการพัฒนาตัวบุคคล

เทคโนโลยีสามารถช่วยลดความเสี่ยงที่จะเกิดขึ้นได้ แต่ถ้าคุณไม่สามารถอธิบายเรื่องราวเกี่ยวกับเทคโนโลยีและภัยคุกคามให้คนเข้าใจได้ งานรักษาความปลอดภัยคเป็นงานที่หินน่าดู

ระบบรักษาความปลอดภัยอาจสร้างความรำคาญได้ หากไม่มีการชี้แจงให้กับผู้ใช้ให้เข้าใจ และอาจทำให้เกิดปัญหากับเทคโนโลยีของเราได้

อบรมเป็นประจำ

งานสร้างความรู้ความเข้าเกี่ยวกับระบบรักษาความปลอดภัยก็นับว่าเป็นงานของฝ่าย IT เช่นเดียวกัน เพราะหากผู้ใช้มีความเข้าใจเกี่ยวกับกระบวนการพื้นฐานของระบบรักษาความปลอดภัย ปัญหาที่เกิดขึ้นย่อมน้อยลง แต่งานอบรมก็ไม่ใช่แค่เข้ามาเล่าให้ฟังและก็จากไป

ดังนั้นการทำการทดสอบความเข้าใจภายในองค์กรนั้นเป็นสิ่งจำเป็น อย่างเช่นการส่งจดหมายหลอกข้อมูลให้พนักงานในออฟฟิศ เพื่อที่จะได้ตรวจสอบว่าพนักงานเข้าใจสิ่งที่เรากำลังสื่อสารหรือเปล่า

สังเกตการทำงานของพนักงาน

ฝ่าย IT มีชื่อเสียงในการอธิบายสิ่งที่คนไม่เข้าใจให้เข้าใจได้ยากกว่าเดิม เพราะฉะนั้นฝ่ายไอทีจึงต้องลงมาดูว่า เวลาพนักงานจริงๆนั้นพวกเขาทำกันอย่างไร และมีกิจกรรมไหนที่จะทำให้พวกเขามีโอกาสเสี่ยง หรือตกเป็นเหยื่อของแฮกเกอร์ได้

ให้รางวัลกับคนทำดี

ผู้ใช้ที่เป็นหูเป็นตาให้ระบบ คอยบอกเล่าสิ่งที่เกิดขึ้นทั้งดีและไม่ดี เพื่อให้ผู้ที่เกี่ยวข้องสามารถแก้ไขและพัฒนาระบบต่อไปได้ คนเหล่านี้มีค่าต่อองค์กรและฝ่าย IT มาก พวกเขาสมควรได้รางวัลเพื่อเป็นตัวอย่างต่อๆไปด้วย

Author: LYSA MYERS
Source:
https://www.welivesecurity.com/2017/05/02/schools-almost-dont-let-hackers/
Translated by: Worapon H.

%d bloggers like this: