ดูหนังออนไลน์
Digital Economy

ล้อมคอกด่วน! เอ็ตด้า ออกประกาศ หน่วยงานรัฐ รับมือมัลแวร์เรียกค่าไถ่

รับมือมัลแวร์เรียกค่าไถ่ เอ็ตด้า ออกประกาศ สำหรับหน่วยงานรัฐ วาง 2 แนวทาง มาตรการพื้นฐาน 8 เรื่องสำคัญ และวิธีรับมือหลังพบความเสียหาย

นายชัยชนะ มิตรพันธ์ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ เอ็ตด้า กล่าวว่า เพื่อ รับมือมัลแวร์เรียกค่าไถ่ เอ็ตด้า อาศัยอำนาจตามมาตรา 5 แห่งพระราชบัญญัติสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2562 ออกประกาศสำนักงานฯ เรื่อง แนวปฏิบัติในการรับมือเหตุการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับมัลแวร์เรียกค่าไถ่ (Ransomware) สำหรับหน่วยงานรัฐ

รับมือมัลแวร์เรียกค่าไถ่

ทั้งนี้ เพื่อให้หน่วยงานรัฐ ใช้เป็นแนวทางในการดำเนินการรับมือ ป้องกันภัยคุกคามทางไซเบอร์ ของมัลแวร์เรียกค่าไถ่ (Ransomware) โดยประกาศดังกล่าวจะครอบคลุมเนื้อหารายละเอียด 2 ส่วน ดังนี้

มาตรการพื้นฐาน สำหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ สำหรับหน่วยงานของรัฐ

1. จัดทำหรือทบทวนแนวนโยบาย และแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงาน ให้ครอบคลุมการสำรองข้อมูล การควบคุมการเข้าถึงเครือข่ายและระบบสารสนเทศ และการประเมินความเสี่ยง

2. สำรองข้อมูลที่สำคัญ

  • การสำรองข้อมูล ควรจัดทำอย่างน้อย 2 เวอร์ชัน ไว้ในอุปกรณ์จัดเก็บข้อมูลที่ไม่เชื่อมต่อกับเครื่องคอมพิวเตอร์ ยกเว้นเวลาสำรองข้อมูล และในการสำรองข้อมูลแต่ละเวอร์ชันให้มีการจัดเก็บลงในอุปกรณ์ที่แตกต่างกัน
  • ทดสอบการกู้คืนข้อมูลที่สำรองเพื่อให้แน่ใจว่าสามารถนำมาใช้งานได้เมื่อต้องการ

3. ควบคุมการเข้าถึงเครือข่าย และระบบสารสนเทศ

  • แยกส่วนเครือข่าย (Network segregation) ของระบบสารสนเทศตามรูปแบบการให้บริการ เพื่อลดผลกระทบจากการแพร่กระจายมัลแวร์ผ่านเครือข่าย
  • ทบทวนการกำหนดสิทธิการเข้าถึงเครือข่าย และระบบสารสนเทศ ตามความจำเป็นและ การแบ่งแยกหน้าที่ (need to know, least privilege, separation of duties) รวมถึงควรตั้งค่าควบคุมในลักษณะการอนุญาตให้ใช้งานตามรายการสิทธิที่กำหนดไว้เท่านั้น (whitelisting)
  • กำหนดให้มีการยืนยันตัวตน (authentication) ตามสิทธิในการเข้าถึงเครือข่าย และระบบสารสนเทศ โดยไม่อนุญาตให้แชร์บัญชีผู้ใช้งาน

4. ประเมินความเสี่ยงด้านระบบสารสนเทศ

  • จัดทำหรือทบทวนทะเบียนสินทรัพย์ (inventory of asset) รวมถึงข้อมูลที่สำคัญในการให้บริการ
  • จัดทำหรือทบทวนแผนผังการเชื่อมต่อเครือข่าย และระบบสารสนเทศที่ให้บริการ
  • จัดทำข้อมูลการติดต่อสำหรับผู้ดูแลหรือผู้ให้บริการสินทรัพย์ และเครือข่ายเพื่อเตรียมความพร้อมในกรณีที่ต้องการประสานการแก้ไขปัญหา หรือรับมือสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น
  • ระบุความเสี่ยงที่อาจเกิดขึ้นสำหรับการให้บริการ เพื่อพิจารณาช่องทางสำรองสำหรับให้บริการ กรณีที่ช่องทางหลักได้รับผลกระทบ
  • จัดเตรียมเครื่องมือ อุปกรณ์ และทรัพยากรที่จำเป็นสำหรับการให้บริการช่องทางสำรอง
  • จัดเก็บบันทึกกิจกรรม (log) ไปยังพื้นที่จัดเก็บในส่วนกลางที่มีการควบคุมการเข้าถึงอย่างรัดกุม เพื่อให้แน่ใจว่าข้อมูลดังกล่าวจะไม่ถูกทำลายหรือเปลี่ยนแปลง

รับมือมัลแวร์เรียกค่าไถ่

การบันทึกกิจกรรมควรครอบคลุม ข้อมูลการใช้งานระบบสารสนเทศ, ข้อมูลการเชื่อมต่อทางเครือข่ายหรือระบบป้องกันการโจมตีทางเครือข่าย, ข้อมูลบันทึกกิจกรรมของระบบปฏิบัติการ และการจัดเก็บข้อมูล log ควรมีระยะเวลาในการจัดเก็บที่เหมาะสม

6. ทบทวน และยกเลิกบริการที่ไม่จำเป็นบนเครื่องให้บริการ

7. กำหนดเจ้าหน้าที่ประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับบริหารกับระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

8. ให้ความรู้กับผู้ใช้งานในหน่วยงานเกี่ยวกับการป้องกันตนเองจากการติดมัลแวร์เรียกค่าไถ่ โดยอาจใช้สื่อประชาสัมพันธ์จากเว็บไซต์ไทยเซิร์ต (https://www.thaicert.or.th)

มาตรการเพิ่มเติม สำหรับการดูแลบริการที่สำคัญ

1. การสำรองข้อมูลในอุปกรณ์จัดเก็บข้อมูล ควรมีการเข้ารหัสลับเพื่อป้องกันความเสี่ยง จากการเข้าถึงข้อมูลในอุปกรณ์กรณีที่อุปกรณ์นั้นสูญหาย รวมถึงควรพิจารณานำอุปกรณ์จัดเก็บข้อมูลที่สำรองข้อมูลแล้วไปเก็บยังนอกพื้นที่หน่วยงาน

2. ป้องกันการติด มัลแวร์

  • ติดตั้งโปรแกรมตรวจจับมัลแวร์บนเครื่องให้บริการ และเครื่องผู้ใช้งาน
  • อัปเดตซอฟต์แวร์ที่ใช้ให้บริการเป็นเวอร์ชันล่าสุด
  • ใช้ระบบป้องกันการโจมตีทางเครือข่าย เช่น intrusion protection system (IPS)
  • ตรวจจับพฤติกรรมของ มัลแวร์ ด้วยระบบหรือกลไกที่เหมาะสม เช่น การตรวจสอบการเชื่อมต่อทางเครือข่ายของเครื่องคอมพิวเตอร์ไปยังไอพีแอดเดรสหรือโดเมนของเครื่องควบคุมมัลแวร์ (command and control server) การตรวจสอบค่าแฮชของไฟล์มัลแวร์
  • ตรวจสอบความผิดปกติของรายการบัญชีผู้ใช้งาน และข้อมูลบันทึกกิจกรรม (log)อย่างสม่ำเสมอ
  • ตรวจสอบช่องโหว่ (vulnerability assessment) ของระบบสารสนเทศ หรือซอฟต์แวร์
    ที่ให้บริการ อย่างสม่ำเสมอ และให้รีบแก้ไขช่องโหว่ทันทีหากพบว่าเป็นความเสี่ยงที่รุนแรง
  • ลงทะเบียนเพื่อขอรับการสนับสนุนเกี่ยวกับข้อมูลแจ้งเตือนภัยคุกคามทางไซเบอร์ และ
    การดำเนินการตามมาตรการป้องกันและตรวจจับภัยคุกคามดังกล่าว ทางอีเมล [email protected]

รับมือมัลแวร์เรียกค่าไถ่

แนวทางการดำเนินการรับมือสถานการณ์ กรณีหน่วยงานของรัฐพบความเสียหายที่เกิดขึ้นจาก มัลแวร์ เรียกค่าไถ่

1. ตัดการเชื่อมต่อทางเครือข่าย สำหรับ

  • เครื่องคอมพิวเตอร์ที่ติด มัลแวร์ เพื่อป้องกันการกระจายของมัลแวร์ไปยังระบบสารสนเทศอื่น
  • ระบบสำรองข้อมูล รวมถึงการเชื่อมต่ออุปกรณ์จัดเก็บข้อมูลภายนอก เพื่อป้องกันข้อมูลสำรองถูกเข้ารหัสลับ
  • ระบบสารสนเทศที่อยู่ในเครือข่ายเดียวกัน เพื่อป้องกันการกระจายของ มัลแวร์ ไประบบดังกล่าว

2. สำรองข้อมูลที่ยังใช้งานได้อยู่จากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ไปยังอุปกรณ์บันทึกข้อมูลภายนอก ซึ่งไม่ควรเป็นอุปกรณ์เดียวกับที่ใช้สำรองข้อมูลตามปกติ

นอกจากนี้หน่วยงานของรัฐควรมีการดำเนินการเพิ่มเติมดังนี้

1. แจ้งเหตุไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และไทยเซิร์ต (ทางอีเมล [email protected] )

2. เปลี่ยนรหัสผ่านที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ที่ติด มัลแวร์ รวมถึงรหัสผ่านที่ใช้งาน ผ่านระบบควบคุมบัญชีผู้ใช้งานทั้งหมด

3. ตรวจสอบสายพันธุ์ของ มัลแวร์ เรียกค่าไถ่ โดยอาศัยข้อมูลที่ปรากฏในเครื่องคอมพิวเตอร์ที่ติด มัลแวร์ เช่น นามสกุลของไฟล์ที่เปลี่ยนไป ข้อความที่ปรากฏบนหน้าจอในการเรียกค่าไถ่ เพื่อประเมินวิธีการแก้ไขปัญหา เช่น การกู้คืนข้อมูล

4. หากมีความประสงค์ในการใช้เครื่องมือถอดรหัสลับข้อมูล ควรทำในสภาพแวดล้อมที่ไม่มีการเชื่อมต่อทางเครือข่าย เพื่อลดความเสี่ยงที่อาจเกิดจากการใช้เครื่องมือดังกล่าว

อ่านข่าวเพิ่มเติม

Add Friend Follow
WANPEN PUTTANONT