Work From Home ให้ปลอดภัย รอดพ้นจากภัยไซเบอร์ (ตอนที่ 2)

HIGHLIGHTS :

• 
  Work From Home ให้ปลอดภัย...รอดพ้นจากภัยไซเบอร์ ตอนที่ 2 (จบ) จะกล่าวถึงอีก 7 เรื่องที่เป็นความเสี่ยงจากการทำงานที่บ้านและแนะนำแนวทางปฏิบัติเพื่อป้องกันความเสี่ยงเหล่านั้น ที่บุคลากรควรปฏิบัติให้เป็นประจำสม่ำเสมอ เพื่อทำให้การทำงานที่บ้าน สามารถสร้างผลงานและความสำเร็จให้กับองค์กรได้ตามเป้าหมาย

เวลาในการอ่าน 5 นาที

ในบทความตอนที่แล้ว ได้กล่าวถึงการรักษาความปลอดภัยของการทำงานที่บ้าน และอุปกรณ์ที่ใช้ ไปแล้ว 5 เรื่อง ในบทความนี้จะกล่าวถึงเรื่องต่างๆ ที่ควรให้ความใส่ใจและระมัดระวังอีก 7 เรื่อง ดังนี้ (เป็นการถอดความจากการบรรยายของคุณ Rebecca Herold, CDPSE, FIP, CISSP, CIPP/US, CIPT, CIPM, CISM, CISA, FLMI, Ponemon Institute Fellow CEO The Privacy Professor®, CEO Privacy & Security Brainiacs ในหัวข้อ Security & Privacy Compliance in Work from Home Situations เมื่อวันที่ 6 สิงหาคม 2563 จัดโดย ISACA https://www.isaca.org/why-isaca/about-us  ติดตามคุณรีเบคก้าได้ที่ Twitter ID: http://twitter.com/PrivacyProf)

6. การสำรองข้อมูลและการกู้คืนจากภัยพิบัติ

แผนสำรองและกู้คืนระบบ ต้องระบุรวมถึงพนักงานที่ทำงานที่บ้านและอุปกรณ์คอมพิวเตอร์ที่ใช้นอกสำนักงาน กำหนดวิธีปฏิบัติให้พนักงานงานเข้าใจ และตระหนักถึงการปฏิบัติตามนโยบายการสำรองข้อมูลและการกู้คืน และในกรณีที่เกิดเหตุอุปกรณ์คอมพิวเตอร์ขัดข้องหรือเข้าใช้อินเตอร์เนตไม่ได้ บริษัทต้องดำเนินการแก้ไขกู้คืนให้พนักงานสามารถเข้าใช้งานได้ในเวลาที่รวดเร็ว โดยกรณีอินเตอร์เนตบ้านล่ม บริษัทควรจัดหา Internet router หรือ Online connection solution หรือ Mobile router เพื่อป้องกันการใช้ Internet wi-fi ที่ไม่ปลอดภัย ซึ่งมีให้บริการหลายเจ้า

การฝึกอบรมพนักงานให้เข้าใจแผนการสำรองข้อมูลและกู้คืนในกรณีทำงานที่บ้าน สื่อและสถานที่ในการสำรองข้อมูลต้องเป็นไปตามข้อกำหนด ไม่จัดเก็บข้อมูลองค์กรบน Cloud ส่วนตัว

การสำรองข้อมูลสำคัญในช่องทางส่วนกลางขององค์กรเพื่อให้สามารถกู้คืนได้ ห้ามเก็บข้อมูลสำคัญที่เดียวในคอมพิวเตอร์ส่วนตัว ซึ่งเสี่ยงต่อการโจมตีจากแฮ๊คเกอร์ หรือ ransomware

เคล็ดลับ!

จัดประชุมและบันทึกการประชุมออนไลน์ ให้คำแนะนำและตอบคำถามเกี่ยวกับการสำรองข้อมูลจากสถานที่นอกสำนักงาน เปิดช่องทางให้สอบถาม มีสรุปคำถามคำตอบ และคลิปสั้นๆเพื่อเตือนถึงความสำคัญของการสำรองข้อมูลให้พนักงานสามารถเข้าดูได้และปฏิบัติได้ถูกต้อง

7. ความเสี่ยงจากการประชุมออนไลน์

การประชุมออนไลน์มีความเสี่ยงต่อความปลอดภัยและความเป็นส่วนตัวของข้อมูล อาจจะทำให้เกิดความเสี่ยงในการเข้าถึงข้อมูลและไฟล์ที่เป็นความลับโดยไม่ได้รับอนุญาต การรับฟังแผนธุรกิจ ข้อมูลลูกค้าและข้อมูลที่ละเอียดอ่อนอื่น ๆ การแพร่กระจายของมัลแวร์ การประชาสัมพันธ์ที่ไม่ดีพอ อันเป็นผลมาจากการเกิดเหตุข้อผิดพลาด และการไม่ปฏิบัติตามกฎหมาย

สิ่งที่ควรระวัง

การเข้าถึงคอมพิวเตอร์ของพนักงานที่ปฏิบัติงานที่บ้าน และเคลื่อนที่ ระมัดระวังไม่แปะรหัสผ่านเข้าระบบบนตู้เย็น ผนังตู้ แล้วประชุมออนไลน์ เปิดกล้องเห็นรหัสดังกล่าว

การเข้าถึงเครือข่าย wi-fi ของพนักงานที่บ้าน และเคลื่อนที่

แชร์ไฟล์ที่เป็นอันตราย (Malicious)

การดู / เข้าถึง ข้อมูลธุรกิจที่ละเอียดอ่อน

มีผู้บุกรุกเข้ามาในการประชุม

เคล็ดลับ!

จัดทำรายการอนุมัติเครื่องมือและการตั้งค่าที่เหมาะสมที่เกี่ยวข้องกับการประชุมออนไลน์ให้กับพนักงานทุกคน

8. ความเสี่ยงออนไลน์อื่น ๆ

โซเชียลมีเดีย ให้ระมัดระวังบัญชีโซเชียลมีเดียที่ไม่ได้ใช้งาน ไม่ได้อัพเดทข้อมูลนาน ควรจัดการลบทิ้ง เพราะอาจเป็นช่องทางที่แฮ๊กเกอร์จะคอยสอดส่องหากพบบัญชีโซเชียลมีเดียที่ไม่มีการใช้งาน อาจจะพยายามทำความเสียหาย เช่น  อาจจะโพสต์ข้อมูลไม่ดี พยายามล่มเว็บไซค์ หรือ ยึดเว็บไซด์

บัญชีที่ไม่มีผู้ดูแล เปิดแล้วไม่ได้ใช้งาน อาจเป็นช่องโหว่ให้ถูกโจมตีได้                  

การใช้งานโดยไม่ได้รับอนุญาตจากคนที่เข้าพื้นที่หรืออุปกรณ์ที่ทำงานที่บ้าน

เข้าเว็บไซต์ที่เป็นอันตราย ที่อาจถูกเจาะระบบได้

แอปพลิเคชั่นที่ดาวน์โหลดมาในอุปกรณ์ส่วนตัว ที่นำมาใช้ในการทำงาน แต่ไม่เคยใช้ หรือใช้น้อยมาก ควรลบทิ้ง และหมั่นทบทวนแอปที่ใช้งานเป็นประจำสม่ำเสมอ

ควรกำหนดนโยบายความปลอดภัยการทำงานที่บ้านและวิธีปฏิบัติ ให้ครอบคลุมความเสี่ยงข้างต้น และฝึกอบรมพนักงานให้รู้เข้าใจปฏิบัติตามได้ถูกต้อง

เคล็ดลับ! ห้ามใช้รหัสผ่านธุรกิจบนเว็บไซต์โซเชียลมีเดีย หรือ บนอุปกรณ์ภายในบ้านหรือ ใช้ร่วมกับครอบครัวหรือเพื่อน

9. การแชร์ไฟล์และการส่งข้อความ

ตามปกตินโยบายการรักษาความปลอดภัยขององค์กร จะกำหนดถึงวิธีปฏิบัติในการแชร์ไฟล์และการส่งข้อความไว้แล้ว ซึ่งองค์กรควรทบทวนให้ครอบคลุมถึงการทำงานที่บ้านด้วย เช่น

Email ธุรกิจไม่ควรใช้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยเฉพาะเครื่องนั้นใช้ร่วมกันกับครอบครัวหรือคนในบ้าน และไม่ควรนำไปใช้เรื่องส่วนตัว ไม่ว่าจะเป็นออนไลน์ช้อปปิ้ง หรือ บัญชีโซเชี่ยลมีเดีย ไม่ส่งข้อมูลสำคัญเป็น Text ที่ไม่มีการเข้ารหัส ควรใช้ช่องทางที่ปลอดภัย

FTP: File Transfer Protocol ที่ปลอดภัย

การใช้บริการคลาวด์ที่ปลอดภัย แยกส่วนตัวและธุรกิจออกจากกัน ห้ามไม่ให้ใช้เครื่องของธุรกิจที่เก็บข้อมูลเข้าใช้งานคลาวด์ส่วนตัว ไม่ใช้ Automatic Authentication บนคลาวด์ ผ่าน gmail

ไม่แชร์ข้อมูลธุรกิจผ่าน text massage หรือ แชท

ฝึกอบรมพนักงานให้เข้าใจในการแชร์ข้อมูล / ไฟล์ที่เหมาะสม ปลอดภัย เพื่อป้องกันการรั่วไหลข้อมูล การใช้บริการคลาวด์ที่ไม่ปลอดภัย ความเสี่ยงในการแพร่กระจายมัลแวร์

เคล็ดลับ!

ค้นหาการแลกเปลี่ยนไฟล์ที่ไม่ปลอดภัยโดยใช้เครื่องมือเช่น DLP, IDS, IPS, Firewall สอบทาน log ปิดใช้งานการถ่ายโอนไฟล์ในแพลตฟอร์มการประชุมออนไลน์เพื่อหยุดมัลแวร์และการทำให้การประชุมขัดข้อง

10. ความปลอดภัยของสภาพแวดล้อมในพื้นที่ทำงานที่บ้าน

กำหนดนโยบายความปลอดภัยการทำงานที่บ้าน โดยคำนึงถึง

ความปลอดภัยทางกายภาพ

การสอดแนมทางดิจิทัล อาจเห็นภาพในการประชุมออนไลน์ เช่น ข้อมูลที่เขียนบนกระดาน

ความเป็นส่วนตัว อาจจะนำข้อมูลในบ้านไปใช้ทำให้เกิดความเสียหาย

Social engineering การหลอกลวงโดยใช้จิตวิทยาให้เหยื่อเปิดเผยข้อมูล

การลักลอบใช้บัญชี

ขั้นตอนการเริ่มทำงานและออกจากงานในกรณีทำงานที่บ้าน

เคล็ดลับ!

ใช้หน้าจอสีเขียวหรือหน้าจอที่ไม่แสดงสถานที่จริง เพื่อความเป็นส่วนตัวและป้องกันไม่ให้เห็นรายละเอียดห้องประชุม ไม่เห็นภาพเกี่ยวกับสถานที่อยู่ซึ่งอาจจะค้นได้จากสภาพแวดล้อมที่เห็นบนจอประชุมออนไลน์ หน้าต่าง ระเบียงบ้าน

กำหนดหรืออัปเดตนโยบายและการดำเนินการเพื่อรักษาความปลอดภัยและความเป็นส่วนตัวของ IoT ซึ่งรวมถึงการใช้งานนอกสำนักงานและอุปกรณ์ IoT ส่วนตัว

11. การลบทำลายอย่างปลอดภัย

กำหนดนโยบายการทำงานที่บ้านเกี่ยวกับการลบทำลายข้อมูลอย่างปลอดภัย ไม่ว่าจะเป็นข้อมูลในอุปกรณ์จัดเก็บข้อมูล คอมพิวเตอร์ อุปกรณ์ IoT สำเนาเอกสาร ซึ่งรวมถึงการกำกับดูแลการลบทำลาย

สื่งที่เคยพบ อาจจะมีการขายกระดาษซึ่งเป็นสำเนาเอกสารที่เป็นความลับ หรือ ข้อมูลส่วนบุคคล โดยไม่ได้ระมัดระวังไม่ได้นำเอกสารลับหรือข้อมูลอ่อนไหวไปทำลายผ่านเครื่องย่อยอกสาร ในต่างประเทศมีเคสที่ซื้อ Hard Drive จากอีเบย์ในราคาไม่กี่เหรียญ แต่พบข้อมูลสำคัญสัญญาจัดซื้อของทหาร น่าซ่า ข้อมูลบัตรเครดิต เลขประจำตัวประกันสังคม ซึ่งมีโอกาสเกิดขึ้นเพราะตอนที่จะทิ้งอุปกรณ์คอมพิวเตอร์ อุปกรณ์จัดเก็บข้อมูล กระดาษสำเนาเอกสารที่สำคัญ ไม่ได้มีการทำลายข้อมูลความลับ ซึ่งเรื่องนี้เป็นประเด็นที่มีความเสียหายกับองค์กรและผิดกฎหมายข้อมูลส่วนบุคคล มีบทลงโทษรุนแรง

เคล็ดลับ!

ฝึกอบรมพนักงานให้ตระหนักถึงความสำคัญของการลบทำลายข้อมูลอย่างปลอดภัย รับรู้เข้าใจสามารถปฏิบัติได้ถูกต้อง โดยมีหน่วยงาน IT Support ช่วยให้คำแนะนำที่ถูกต้องในการลบทำลายข้อมูลในเครื่องคอมพิวเตอร์และอุปกรณ์จัดเก็บข้อมูล องค์กรอาจพิจารณาจัดเตรียมเครื่องทำลายเอกสารให้กับพนักงานที่ทำงานที่บ้าน หรือรายชื่อเครื่องทำลายเอกสารที่ได้รับอนุมัติให้ซื้อได้

12. การบริหารความเสี่ยงการทำงานนอกสำนักงานและที่บ้าน

เทคโนโลยีมีส่วนสำคัญอย่างยิ่งที่ช่วยให้การทำงานที่บ้านได้รับความสะดวก สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ และสร้างความปลอดภัยให้กับสังคมโดยรวม แต่ในขณะเดียวกันก็จะต้องมีการดูแลอุปกรณ์ เครื่องมือสื่อสารให้มีความปลอดภัยควบคู่กันไปด้วย ซึ่งพนักงานจะต้องใส่ใจและให้ความสำคัญเป็นอย่างยิ่ง เพื่อให้การทำงานที่บ้านยังคงเป็นทางเลือกที่ดี มีความยืดหยุ่นต่อการเปลี่ยนแปลงของโลกในปัจจุบัน

ถอดความโดย : วิภา ลี้ตระกูลนำชัย CIA CISA