• Home
  • Tag: #ข้อมูลส่วนบุคคล
admin April 2, 2022 0 Comments

สิ่งสำคัญที่ต้องเตรียมพร้อม ประกาศใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล วันที่ 1 มิถุนายน 2565 ในประเทศไทยกำลังมีการบังคับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยมีผลตั้งแต่วันที่ 1 มิถุนายน 2565 โดยองค์กรที่ทำงานเกี่ยวข้องกับข้อมูลส่วนบุคคล (PDPA) หรือ ผู้ที่ต้องประมวลผลข้อมูลส่วนบุคคลใด ๆ ภายในประเทศไทย จะต้องเตรียมความพร้อมทางระบบสารสนเทศเพื่อสร้างความมั่นคงปลอดภัยและการปกป้องข้อมูลให้สอดคล้องกับกฎระเบียบ และปฏิบัติตามข้อกำหนดของกฎหมายตามพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ถึงแม้องค์กรต่างๆ จะยังไม่มีการเตรียมพร้อม ก็ยังมีประสิทธิภาพในการให้การควบคุมข้อมูลส่วนบุคคล (PDPA) และได้สร้างแนวทางให้แก่หน่วยงานต่างๆ ได้ออกข้อบังคับ กฎระเบียบ ด้านความเป็นส่วนตัวของตนเอง นอกจากนี้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ยังส่งผลต่อการดำเนินธุรกิจอีกด้วย เช่น องค์กรการตลาดต้องปรับระบบการบริหารจัดการตั้งแต่การขอความยินยอม

admin March 26, 2022 0 Comments

วิธีปกป้องข้อมูลจากการหลอกลวงโดยอีเมล Phishing ของ Netflix ในยุคที่ข้อมูลส่วนบุคคลเป็นสินค้าที่มีค่า อาชญากรไซเบอร์หาเลี้ยงชีพด้วยการหลอกลวงแบบ Phishingเพื่อขโมยข้อมูลส่วนตัว ดังตัวอย่างอีเมล Fhishing จาก Netflix ซึ่งหลอกให้ผู้ใช้ Netflix อัปเดตข้อมูลการชำระเงินด้วยอีเมลยืนยันปลอม สิ่งที่เกืดขึ้นจากกลโกงอีเมล Phishing Netflix ในเดือนกรกฎาคม 2654 พบว่ามีแฮ็กเกอร์แอบอ้างเป็นสมาชิกทีมสนับสนุนของ Netflix และแจ้งผู้รับบริการทางอีเมลว่ามีข้อผิดพลาดในการยืนยันที่อยู่และรายละเอียดการชำระเงินของ Netflix โดยให้เหยื่อยกเลิกการสมัครรับข้อมูลและจะต้องอัพเดตข้อมูลภายใน 24 ชั่วโมง โดยที่ด้านล่างของอีเมล จะมีลิงก์ผู้ใช้คลิกเพื่ออัปเดตข้อมูลและนำผู้ใช้ไปที่หน้าเว็บไซต์ Phishing ที่เลียนแบบให้เสมือน เว็บ Netflix จริง จริงด้วยรูปแบบต่างๆ โดยผู้ใช้จะต้องป้อนข้อมูลรับรองการเข้าสู่ระบบ ที่อยู่สำหรับเรียกเก็บเงิน รวมถึงรายละเอียดการชำระเงิน

admin March 26, 2022 0 Comments

กลยุทธ์การเชิญชวนพนักงานและผู้บริหารเข้ามามีส่วนร่วมในการสร้างความตระหนักด้านความมั่นคงปลอดภัยทางไซเบอร์ หากต้องการให้การอบรมประสบผลสำเร็จ ควรมีส่วนร่วมของพนักงานและผู้บริหารไม่ต่ำกว่า 90% โดยวิธีการแรกจะต้องเริ่มจากการระบุกลุ่มเป้าหมาย ดังนี้ การระบุกลุ่มเป้าหมายของคุณ ผู้บริหาร  ผู้บริหารและผู้บริหารระดับสูงจำเป็นต้องตระหนักถึงความเสี่ยงด้านความปลอดภัยเพื่อให้เข้าใจถึงความสำคัญของการสนับสนุนและการให้ทุนสนับสนุนความคิดริเริ่มด้านการรักษาความปลอดภัย ผู้จัดการ ผู้จัดการจะต้องามารถรับผิดชอบในการทำหน้าที่เป็นผู้ดูแลและแบบอย่างด้านความปลอดภัย ผู้ใช้หรือพนักงาน เพราะเป็นด่านแรกในการป้องกันการโจมตีทางไซเบอร์ จึงเป็นสิ่งสำคัญที่พวกเขาต้องนำแนวปฏิบัติและสร้างพฤติกรรมที่จำเป็นในการออนไลน์อย่างปลอดภัย เจ้าหน้าที่ฝ่ายสารสนเทศ จะช่วยแนะนำแนวทางปฏิบัติในการรักษาความปลอดภัยข้อมูล และจัดการช่องโหว่ของเครือข่าย ระบบ และแอปพลิเคชันในองค์กรได้ หากว่าองค์กรของคุณมีระบบการทำงานของบุคลากรที่แตกต่างไปคุณจะต้องพิจารณาว่าแนวทางการรักษาความปลอดภัยของข้อมูลใดบ้างที่จำเป็นสำหรับการจัดการความเสี่ยงเพื่อให้แน่ใจว่าสอดคล้องกับกฎระเบียบพื้นฐาน  หัวข้อแนะนำต่อกลุ่มเป้าหมาย หัวข้อการฝึกอบรมควรขึ้นอยู่กับความเสี่ยงด้านความปลอดภัยที่เฉพาะเจาะจงกับองค์กร แต่มีบางหัวข้อที่คุณสามารถนำไปใช้ได้ในการเริ่มต้นการฝึกอบรมได้ ดังนี้ ผู้บริหาร เช่น ความเสี่ยงตามลำดับความสำคัญที่องค์กรที่ต้องเผชิญ การใช้เทคโนโลยีอย่างปลอดภัย การจัดการข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย การโจมตีทั่วไปและการหลอกลวงที่กำหนดเป้าหมายผู้บริหาร หรือภาระผูกพันในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยและการรับรู้ ผู้จัดการ เน้นในเรื่องของการบริหารทั้งหมดรวมถึงภาพรวมของการรักษาความปลอดภัยและการกำกับดูแลข้อมูล องค์กร ความปลอดภัยด้านสารสนเทศ ผู้ใช้หรือพนักงาน ควรเพิ่มความรู้เกี่ยวกับภัยคุกคามด้านความปลอดภัยในหัวข้อต่างๆ

admin March 26, 2022 0 Comments

วิธีสร้างโปรแกรมสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ที่แข็งแกร่งในปี 2022 วิธีสร้างการแคมเปญจำลอง Phishing ที่ประสบความสำเร็จ ภัยคุกคามแบบ Phising นั้นมีอยู่ทุกที่ และหากพนักงานในองค์กรของคุณไม่ทราบวิธีจัดการหรือการตรวจจับ นั่นจะเป็นสาเหตุสำคัญที่จำทำให้ข้อมูลองค์กรตกอยู่ในความเสี่ยง ซึ่งวิธีการเรียนรู้จาก Phishing นั้น จะทำให้เห็นว่าพนักงานสามารถตรวจจับภัยคุกคาม Phishing  ได้มากน้อยเพื่ยงใด โดยผลจากวิจัย พบว่าพนักงานชาวอเมริกันมากกว่า 25% ตกเป็นเหยื่อของภัยคุกคามนี้ การจำลองฟิชชิ่งคืออะไรและมีลักษณะทำงานอย่างไร? การจำลองฟิชชิ่ง เป็นการทดสอบอย่างหนึ่งที่คุณจะต้องส่งอีเมลให้แก่ผู้ใช้งานหรือพนักงานของคุณ เพื่อพยายามหลอกลวงให้ผู้งานให้คลิกลิงก์ปลอมหรือไฟล์แนบนั้น และหากพนักงานคลิกลิงก์,ไฟล์แนบ หรือกรอกรายละเอียดลงในแบบฟอร์มของเว็บปลอม พวกเขาก็จะ ติดมัลแวร์ของคุณ และเมื่อคุณเลือกใช้วิธีการจำลอง Phishing คุณควรกำหนดเป้าหมายที่ชัดเจนและแจ้งเรื่องนี้แก่พนักงานคนอื่นที่ไม่ได้เข้าร่วมการทดสอบ โดยการทดสอบครั้งแรกควรเป็นการเปรียบเทียบการรับรู้ด้านความปลอดภัยของพนักงานหรือผู้ใช้กับองค์กรอื่นๆ  วิธีสร้างแคมเปญจำลอง Phishing ที่ประสบความสำเร็จมี 2

admin March 26, 2022 0 Comments

วิธีสร้างโปรแกรมสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ที่แข็งแกร่งในปี 2022 การสนับสนุนเพื่อสร้างวัฒนธรรมองค์กร  โปรแกรมการรับรู้ความปลอดภัยที่ประสบความสำเร็จได้จะต้องมีการการสนับสนุนจากทุกแผนก ทุกฝ่ายและผู้มีอำนาจในการตัดสินใจ หรือผู้นำด้านความปลอดภัย ให้พนักงานทุกคนเกิดความตระหนักซึ่งความตระหนักนี้จะต้องเกิดขึ้นในทุกส่วนงานและทุกตำแหน่งงาน เคล็ดลับ 4 ข้อ เกี่ยวกับวิธีการรับการสนับสนุนสำหรับโปรแกรมการรับรู้ความปลอดภัย รับการสนับสนุนด้วยระบบการจัดการขององค์กรระดับสูงสุด การดำเนินการนั้นจะต้องแสดงให้ทีมผู้บริหารเห็นความสำคัญของการโจมตีทางไซเบอร์ และผลกระทบที่อาจเกิดขึ้นจากปัญหานี้ เช่น การขโมยรหัสผ่าน การเปิดเผยข้อมูล และการติดเชื้อแรนซัมแวร์  สร้างพันธมิตรขึ้นมา  มีการทำงานร่วมกับแผนกอื่น ๆ ที่สำคัญ เช่น ทรัพยากรบุคคล ไอที กฎหมาย ฯลฯ โดยอธิบายปัญหาเรื่องโจมตีทางไซเบอร์ เหตุที่จำเป็นในการสร้างวัฒนธรรมองค์กรเพื่ีอรักษาความปลอดภัยในโลกไซเบอร์ รู้จักองค์กรของคุณให้มากขึ้น มีการพูดคุยกับพนักงานในทุกแผนกและทุกตำแหน่งเพื่อให้รู้จักรูปแบบการทำงานและลักษณะงาน จากนั้นมีการจัดให้มีการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยและกลยุทธ์ของโปรแกรมที่ตอบสนองความต้องการเฉพาะของผู้คน ความสนใจ และข้อกังวลในองค์กร การสื่อสาร  โปรแกรมการรับรู้ด้านความปลอดภัยจะสำเร็จได้ต้องมีการสื่อสารกับทุกฝ่าย

admin March 26, 2022 0 Comments

สิ่งที่ Twitter Hack เปิดเผยเกี่ยวกับ Social Engineering การโจมตีของ Twitterเกิดขึ้นได้อย่างไร จากโพสต์บล็อกที่เผยแพร่โดย Twitter พบว่ามีผู้โจมตีพยายามโจมตีบัญชีผู้ใช้ Twitter ถึง 100 บัญชี โดยผู้โจมตีพยายามรีเซ็ตรหัสผ่านของเหยื่อ จากนั้นใช้รหัสผ่านใหม่เพื่อลงชื่อเข้าใช้ โดยอาชญากรไซเบอร์ประสบความสำเร็จในแฮ็กมากถึง 50 บัญชีผู้ใช้และให้ผู้ติดตามของเหยื่อส่ง bitcoin ไปให้โดยแฮ็กเกอร์ประสบความสำเร็จในการหลอกลสวงเพราะทำให้ผู้ติดตามเจ้าของบัญชีเกิดความไว้วางใจ  บทเรียนสำคัญที่ได้รับจากเรื่องนี้ ทุกคนในองค์กรสามารถตกเป็นเหยื่อวิศวกรรมสังคม (Social Engineering) ได้ อาชญากรทางโซเชียลมักทำการวิจัยเชิงลึกเกี่ยวกับเหยื่อเพื่อให้มีกลวิธีในการหลอกลวงได้อย่างง่ายดายด้วยการใช้เรื่องราวที่น่าเชื่อถือและข้อมูลประจำตัวบุคคลที่ปลอมแปลงขึ้นมา อาชญากรทางโซเชียลมักจะมุ่งเป้าไปที่ผู้ใช้งานหรือพนักงานที่มีสิทธิพิเศษ พนักงานที่สามารถเข้าถึงระบบภายในองค์กรจะเป็นเป้าหมายหลักสำหรับอาชญากรไซเบอร์ เพราะการเข้าถึงสิทธิพิเศษต่างๆภายในองค์กร ทำให้การละเมิดข้อมูลขยายวงกว้างและง่ายต่อการละเมิดมากขึ้น การรับรองความถูกต้องด้วย 2 ปัจจัยอาจไม่เพียงพอต่อการปกป้องข้อมูล หากผู้โจมตีให้ผู้ใช้หรือพนักงานให้เปิดเผยข้อมูลโดยตรง จะเป็นผลให้ข้อมูลดังกล่าวยังคงถูกละเมิด

admin March 26, 2022 0 Comments

องค์กรของคุณได้รับการปกป้องจาก Ransomeware ได้จริงหรือไม่? องค์กรของคุณได้รับการปกป้องจากแรนซัมแวร์จริงหรือไม่? การโจมตีของแรนซัมแวร์และ Business Email Compromise (BEC) ก่อให้เกิดความเสียหายมากมายต่อองค์กร โดยองค์กรพยายามที่จะจัดการกับความเสี่ยงเหล่านี้โดยการใช้เทคโนโลยีและกระบวนการรักษาความปลอดภัย แต่นั่นยังไม่เพียงพอและยังคงก่อให้เกิดความเสียหายได้อย่างมหาาศาล ตัวอย่างข่าวจากการโจมตีที่เกิดขึ้น การโจมตีของแรนซัมแวร์ทำลายเครือข่ายสำนักงานของนายอำเภอนอร์ทแคโรไลนา  เหตุการณ์แรนซัมแวร์ทำให้ชาวโจฮันเนสเบิร์กบางคนไม่มีไฟฟ้าใช้ LaPorte County, Ind. และ Lake City, Fla. จ่ายแรนซัมแวร์ประมาณ 132,000 ดอลลาร์และ 462,000 ดอลลาร์ Riviera Beach Fla. จ่ายเงิน 600,000 ดอลล่า ใน Ransomware เพื่อปลดล็อกข้อมูล The

admin March 26, 2022 0 Comments

วิธีแจ้งเตือน Phishing ในองค์กร ปัจจุบันนี้มีการส่ง Phishing Emailมากกว่า 3.4 พันล้านฉบับไปยังผู้รับโดยจำนวนตัวเลขที่สูงนี้ทำให้เราเข้าใจและเห็นความสำคัญของปัญหา Phishing Email โดยในส่วนหนึ่งของการฝึกอบรมการรับรู้เรื่อง Phishing จึงต้องมีความจำเป็นที่จะเตือนพนักงานให้รายงานทันทีเมื่อเกิดเหตุการ Fhishing วิธีรายงาน Phishing Emailรายงาน Phishing Emai lไปยังแผนกไอทีและผู้จัดการของคุณรายงาน Phishing Emailไปยังหน่วยงานกำกับดูแลทำเครื่องหมายว่าผู้ส่งนี้เป็นขยะหรือสแปมเพิ่มผู้ส่งไปยังรายการขยะหรือสแปมลบอีเมลนั้นออกPhishing คืออะไร?ฟิชชิ่งคืออาชญากรรมทางอินเทอร์เน็ตที่ใช้อีเมลหลอกลวง ผ่านเว็บไซต์ และข้อความเพื่อขโมยข้อมูลส่วนบุคคลหรือข้อมูลองค์กรที่เป็นความลับ โดดยอาชญากรไซเบอร์ใช้วิธีการเขียนอีเมลที่น่าเชื่อถือในการหลอกลวง อย่างไรก็ตามการจัดหาการฝึกอบรมและการศึกษาการรับรู้ Phishing ให้กับพนักงานนั้นเป็นสิ่งที่จะช่วยบรรเทาปัญหานี้ได้เรราจะรู้ได้อย่างไรว่าอีเมลนั้นหลอกลวง ผู้ส่งอาชญากรไซเบอร์รู้ว่าผู้ใช้งานจะเข้าถึงอีเมลโดยเฉพาะจากผู้ส่งที่มีความน่าเชื่อถือ    ดังนั้นคุณจะต้องเข้าใจว่าชื่อของผู้ส่งอีเมลและที่อยู่อีเมลนั้นง่ายต่อการปลอมแปลง โดยคุณจะต้องเตือนพนักงานให้ตรวจสอบอย่างรอบคอบทั้งการสะกดชื่อผู้ส่งและที่อยู่อีเมลและแจ้งให้พนักงานวางตัวชี้เมาส์ไว้เหนือชื่อผู้ส่งอีเมลก่อนกดเข้าไป เพื่อตรวจสอบว่าชื่อและที่อยู่อีเมลว่าถูกต้องหรือไม่ คำทักทายโดยส่วนมากนั้นอีเมลมักจะมาในรูปแบบส่วนบุคคลและไม่ใช้คำทักทายที่คลุมเครือ เช่น "เรียนลูกค้า" หรือ "เรียนผู้เกี่ยวข้อง"

admin March 26, 2022 0 Comments

รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร Business Email Compromise (BEC) เป็นการหลอกลวงทางอีเมลที่ซับซ้อนซึ่งอาชญากรไซเบอร์ใช้เพื่อหลอกให้พนักงานโอนเงินหรือให้ข้อมูลบริษัทที่เป็นความลับแก่พวกเขา โดยอาชญากรไซเบอร์จะใช้อีเมลเพื่อแอบอ้างเป็น CEO ของบริษัทหรือผู้บริหารอื่นๆ และขอให้พนักงาน ซึ่งโดยทั่วไปแล้วจะเป็นฝ่ายทรัพยากรบุคคลหรือการบัญชี ให้ช่วยเหลือโดยการโอนเงินผ่านธนาคาร อัปเดตข้อมูลบัญชี หรือให้รายละเอียดบัญชี วิธีการตั้งถามกับเพื่อป้องกัน Business Email Compromise (BEC) การฝึกอบรมความตระหนักด้านความมั่นคงปลอดภัยทางไซเบอร์จะช่วยให้พนักงานของคุณสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้นอกจากนี้ พนักงานจะต้องเรียนรู้เรื่องการตั้งคำถามกับตนเองเพื่อป้องกัน Business Email Compromise (BEC) โดยสามารถตั้งคำถามได้

admin March 19, 2022 0 Comments

วิธีปกป้องข้อมูลจาก 365 Phishing Scam สิ่งที่เกิดขึ้นจากกลโกงฟิชชิ่งของ Microsoft Office 365 อาชญากรไซเบอร์ได้ส่งอีเมลปลอมเพื่อแจ้งให้ผู้ใช้งานต่ออายุการสมัครใช้งาน Office 365 โดยมีการแจ้งเตือนจริงเสมือนจริงที่ส่งโดย Microsoft เพื่อหลอกลวงผู้ใช้งาน มีการหลอกลวง 2 รูปแบบ ดังนี้ รูปแบบแรกนั้นทำการอยู่บนโดเมนชื่อ “office365.family.com” โดยมีอีเมล Phishing ที่ขอให้ผู้รับต่ออายุการสมัครใช้งาน Office 365 ก่อนวันที่กำหนด จากนั้นจะนำเหยื่อไปยังไซต์ปลอมที่ดูเหมือนหน้า Landing Page ของ Microsoft และให้เหยื่อป้อนชื่อ ที่อยู่ และข้อมูลบัตรเครดิตในแบบฟอร์ม รูปแบบที่สอง จะเป็นการเตือนผู้รับว่าการสมัครใช้งาน Microsoft