รับมือมัลแวร์เรียกค่าไถ่ เอ็ตด้า ออกประกาศ สำหรับหน่วยงานรัฐ วาง 2 แนวทาง มาตรการพื้นฐาน 8 เรื่องสำคัญ และวิธีรับมือหลังพบความเสียหาย
นายชัยชนะ มิตรพันธ์ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ เอ็ตด้า กล่าวว่า เพื่อ รับมือมัลแวร์เรียกค่าไถ่ เอ็ตด้า อาศัยอำนาจตามมาตรา 5 แห่งพระราชบัญญัติสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2562 ออกประกาศสำนักงานฯ เรื่อง แนวปฏิบัติในการรับมือเหตุการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับมัลแวร์เรียกค่าไถ่ (Ransomware) สำหรับหน่วยงานรัฐ
ทั้งนี้ เพื่อให้หน่วยงานรัฐ ใช้เป็นแนวทางในการดำเนินการรับมือ ป้องกันภัยคุกคามทางไซเบอร์ ของมัลแวร์เรียกค่าไถ่ (Ransomware) โดยประกาศดังกล่าวจะครอบคลุมเนื้อหารายละเอียด 2 ส่วน ดังนี้
มาตรการพื้นฐาน สำหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ สำหรับหน่วยงานของรัฐ
1. จัดทำหรือทบทวนแนวนโยบาย และแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงาน ให้ครอบคลุมการสำรองข้อมูล การควบคุมการเข้าถึงเครือข่ายและระบบสารสนเทศ และการประเมินความเสี่ยง
2. สำรองข้อมูลที่สำคัญ
- การสำรองข้อมูล ควรจัดทำอย่างน้อย 2 เวอร์ชัน ไว้ในอุปกรณ์จัดเก็บข้อมูลที่ไม่เชื่อมต่อกับเครื่องคอมพิวเตอร์ ยกเว้นเวลาสำรองข้อมูล และในการสำรองข้อมูลแต่ละเวอร์ชันให้มีการจัดเก็บลงในอุปกรณ์ที่แตกต่างกัน
- ทดสอบการกู้คืนข้อมูลที่สำรองเพื่อให้แน่ใจว่าสามารถนำมาใช้งานได้เมื่อต้องการ
3. ควบคุมการเข้าถึงเครือข่าย และระบบสารสนเทศ
- แยกส่วนเครือข่าย (Network segregation) ของระบบสารสนเทศตามรูปแบบการให้บริการ เพื่อลดผลกระทบจากการแพร่กระจายมัลแวร์ผ่านเครือข่าย
- ทบทวนการกำหนดสิทธิการเข้าถึงเครือข่าย และระบบสารสนเทศ ตามความจำเป็นและ การแบ่งแยกหน้าที่ (need to know, least privilege, separation of duties) รวมถึงควรตั้งค่าควบคุมในลักษณะการอนุญาตให้ใช้งานตามรายการสิทธิที่กำหนดไว้เท่านั้น (whitelisting)
- กำหนดให้มีการยืนยันตัวตน (authentication) ตามสิทธิในการเข้าถึงเครือข่าย และระบบสารสนเทศ โดยไม่อนุญาตให้แชร์บัญชีผู้ใช้งาน
4. ประเมินความเสี่ยงด้านระบบสารสนเทศ
- จัดทำหรือทบทวนทะเบียนสินทรัพย์ (inventory of asset) รวมถึงข้อมูลที่สำคัญในการให้บริการ
- จัดทำหรือทบทวนแผนผังการเชื่อมต่อเครือข่าย และระบบสารสนเทศที่ให้บริการ
- จัดทำข้อมูลการติดต่อสำหรับผู้ดูแลหรือผู้ให้บริการสินทรัพย์ และเครือข่ายเพื่อเตรียมความพร้อมในกรณีที่ต้องการประสานการแก้ไขปัญหา หรือรับมือสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น
- ระบุความเสี่ยงที่อาจเกิดขึ้นสำหรับการให้บริการ เพื่อพิจารณาช่องทางสำรองสำหรับให้บริการ กรณีที่ช่องทางหลักได้รับผลกระทบ
- จัดเตรียมเครื่องมือ อุปกรณ์ และทรัพยากรที่จำเป็นสำหรับการให้บริการช่องทางสำรอง
- จัดเก็บบันทึกกิจกรรม (log) ไปยังพื้นที่จัดเก็บในส่วนกลางที่มีการควบคุมการเข้าถึงอย่างรัดกุม เพื่อให้แน่ใจว่าข้อมูลดังกล่าวจะไม่ถูกทำลายหรือเปลี่ยนแปลง
การบันทึกกิจกรรมควรครอบคลุม ข้อมูลการใช้งานระบบสารสนเทศ, ข้อมูลการเชื่อมต่อทางเครือข่ายหรือระบบป้องกันการโจมตีทางเครือข่าย, ข้อมูลบันทึกกิจกรรมของระบบปฏิบัติการ และการจัดเก็บข้อมูล log ควรมีระยะเวลาในการจัดเก็บที่เหมาะสม
6. ทบทวน และยกเลิกบริการที่ไม่จำเป็นบนเครื่องให้บริการ
7. กำหนดเจ้าหน้าที่ประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในระดับบริหารกับระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
8. ให้ความรู้กับผู้ใช้งานในหน่วยงานเกี่ยวกับการป้องกันตนเองจากการติดมัลแวร์เรียกค่าไถ่ โดยอาจใช้สื่อประชาสัมพันธ์จากเว็บไซต์ไทยเซิร์ต (https://www.thaicert.or.th)
มาตรการเพิ่มเติม สำหรับการดูแลบริการที่สำคัญ
1. การสำรองข้อมูลในอุปกรณ์จัดเก็บข้อมูล ควรมีการเข้ารหัสลับเพื่อป้องกันความเสี่ยง จากการเข้าถึงข้อมูลในอุปกรณ์กรณีที่อุปกรณ์นั้นสูญหาย รวมถึงควรพิจารณานำอุปกรณ์จัดเก็บข้อมูลที่สำรองข้อมูลแล้วไปเก็บยังนอกพื้นที่หน่วยงาน
2. ป้องกันการติด มัลแวร์
- ติดตั้งโปรแกรมตรวจจับมัลแวร์บนเครื่องให้บริการ และเครื่องผู้ใช้งาน
- อัปเดตซอฟต์แวร์ที่ใช้ให้บริการเป็นเวอร์ชันล่าสุด
- ใช้ระบบป้องกันการโจมตีทางเครือข่าย เช่น intrusion protection system (IPS)
- ตรวจจับพฤติกรรมของ มัลแวร์ ด้วยระบบหรือกลไกที่เหมาะสม เช่น การตรวจสอบการเชื่อมต่อทางเครือข่ายของเครื่องคอมพิวเตอร์ไปยังไอพีแอดเดรสหรือโดเมนของเครื่องควบคุมมัลแวร์ (command and control server) การตรวจสอบค่าแฮชของไฟล์มัลแวร์
- ตรวจสอบความผิดปกติของรายการบัญชีผู้ใช้งาน และข้อมูลบันทึกกิจกรรม (log)อย่างสม่ำเสมอ
- ตรวจสอบช่องโหว่ (vulnerability assessment) ของระบบสารสนเทศ หรือซอฟต์แวร์
ที่ให้บริการ อย่างสม่ำเสมอ และให้รีบแก้ไขช่องโหว่ทันทีหากพบว่าเป็นความเสี่ยงที่รุนแรง
- ลงทะเบียนเพื่อขอรับการสนับสนุนเกี่ยวกับข้อมูลแจ้งเตือนภัยคุกคามทางไซเบอร์ และ
การดำเนินการตามมาตรการป้องกันและตรวจจับภัยคุกคามดังกล่าว ทางอีเมล [email protected]
แนวทางการดำเนินการรับมือสถานการณ์ กรณีหน่วยงานของรัฐพบความเสียหายที่เกิดขึ้นจาก มัลแวร์ เรียกค่าไถ่
1. ตัดการเชื่อมต่อทางเครือข่าย สำหรับ
- เครื่องคอมพิวเตอร์ที่ติด มัลแวร์ เพื่อป้องกันการกระจายของมัลแวร์ไปยังระบบสารสนเทศอื่น
- ระบบสำรองข้อมูล รวมถึงการเชื่อมต่ออุปกรณ์จัดเก็บข้อมูลภายนอก เพื่อป้องกันข้อมูลสำรองถูกเข้ารหัสลับ
- ระบบสารสนเทศที่อยู่ในเครือข่ายเดียวกัน เพื่อป้องกันการกระจายของ มัลแวร์ ไประบบดังกล่าว
2. สำรองข้อมูลที่ยังใช้งานได้อยู่จากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ไปยังอุปกรณ์บันทึกข้อมูลภายนอก ซึ่งไม่ควรเป็นอุปกรณ์เดียวกับที่ใช้สำรองข้อมูลตามปกติ
นอกจากนี้หน่วยงานของรัฐควรมีการดำเนินการเพิ่มเติมดังนี้
1. แจ้งเหตุไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และไทยเซิร์ต (ทางอีเมล [email protected] )
2. เปลี่ยนรหัสผ่านที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ที่ติด มัลแวร์ รวมถึงรหัสผ่านที่ใช้งาน ผ่านระบบควบคุมบัญชีผู้ใช้งานทั้งหมด
3. ตรวจสอบสายพันธุ์ของ มัลแวร์ เรียกค่าไถ่ โดยอาศัยข้อมูลที่ปรากฏในเครื่องคอมพิวเตอร์ที่ติด มัลแวร์ เช่น นามสกุลของไฟล์ที่เปลี่ยนไป ข้อความที่ปรากฏบนหน้าจอในการเรียกค่าไถ่ เพื่อประเมินวิธีการแก้ไขปัญหา เช่น การกู้คืนข้อมูล
4. หากมีความประสงค์ในการใช้เครื่องมือถอดรหัสลับข้อมูล ควรทำในสภาพแวดล้อมที่ไม่มีการเชื่อมต่อทางเครือข่าย เพื่อลดความเสี่ยงที่อาจเกิดจากการใช้เครื่องมือดังกล่าว
อ่านข่าวเพิ่มเติม
- เจอต้นทาง ‘มัลแวร์โจมตี รพ.สระบุรี’ มาจากยุโรป ‘ปอท.’ แนะวิธีป้องกัน
- ‘หมอรามา’ เตือนรพ.ไทยเจอ มัลแวร์เรียกค่าไถ่กันแล้ว แนะวิธีป้องกัน
- ‘ดีอีเอส’ ส่ง ‘ทีมเอ็ตด้า’ กู้ระบบ โรงพยาบาลสระบุรี เหยื่อ ‘ไวรัสเรียกค่าไถ่’