มาตรฐาน กฎระเบียบ และกรอบการทำงานด้านความปลอดภัยไซเบอร์

ความปลอดภัยไซเบอร์เป็นเรื่องที่จริงจังมาก เพราะผลกระทบจากการถูกเจาะระบบอาจร้ายแรง โดยเฉพาะหากข้อมูลที่ถูกเจาะเป็นข้อมูลอ่อนไหว เพื่อรับมือกับปัญหานี้ กฎระเบียบและกรอบการทำงานจึงถูกพัฒนาขึ้น เพื่อให้มั่นใจว่าองค์กรที่จัดการกับข้อมูลของเรามีความรับผิดชอบที่จะทำอย่างปลอดภัยและมีจริยธรรม รวมถึงมีกฎเกณฑ์แนะนำในการดำเนินงาน

• มาตรฐาน (Standards): กฎหรือแนวปฏิบัติที่ยอมรับร่วมกันในการรักษาความปลอดภัย โดยมากใช้ภายในองค์กร มาตรฐานอาจเป็นข้อแนะนำเดี่ยว ๆ หรือรวมอยู่ในกรอบการทำงาน
• กฎระเบียบ (Regulations): ชุดมาตรฐานที่องค์กร จำเป็นต้องทำตามตามกฎหมาย และกำหนดความรับผิดชอบขององค์กร
• กรอบการทำงาน (Frameworks): ชุดของมาตรฐานและแนวปฏิบัติที่องค์กร เลือกใช้ เพื่อเสริมความปลอดภัยโดยรวม แม้จะไม่บังคับแต่ถือเป็นแนวทางที่ดี

อาชญากรรมไซเบอร์ (Cybercrime)

อาชญากรรมไซเบอร์คืออะไร?

คืออาชญากรรมที่ใช้คอมพิวเตอร์เป็นเครื่องมือ หรือเป็นเป้าหมาย อันนี้เป็นคำจำกัดความกว้าง ๆ เพราะคอมพิวเตอร์สามารถใช้ได้ทั้งในทางที่ดีและไม่ดี หากไม่กำหนดให้กว้าง จะทำให้ยากต่อการดำเนินคดีกับอาชญากรรมรูปแบบใหม่ ๆ

เมื่อเรานึกถึงอาชญากรรมไซเบอร์ หลายคนอาจคิดถึงไวรัสหรือแฮกเกอร์ที่เจาะข้อมูลบริษัท แต่จริง ๆ แล้วมีหลายรูปแบบ เช่น:

• การกรรโชก (Extortion): มักมาในรูปแบบแรนซัมแวร์ (ransomware) ที่ผู้โจมตียึดระบบไว้แล้วเรียกค่าไถ่
• การฉ้อโกง (Fraud): เช่น การขโมยตัวตน (identity theft), ฟิชชิ่ง, การหลอกลวงออนไลน์
• การขโมย (Theft): ขโมยข้อมูลระหว่างการเจาะระบบ หรือขโมยทรัพยากร เช่น ใช้คอมพิวเตอร์ของผู้อื่นไปขุดคริปโต

อาชญากรรมไซเบอร์มักผสมผสานหลายรูปแบบ เช่น ฟิชชิ่งเพื่อขโมยบัญชี → เอาข้อมูลส่วนตัวไปขู่เรียกเงิน เป็นต้น

นิติวิทยาศาสตร์ดิจิทัล (Digital Forensics)

คือกระบวนการเก็บหลักฐานจากอาชญากรรมไซเบอร์ให้สามารถใช้ในศาลได้ มีหลายแขนง เช่น:

• Disk Forensics: ตรวจสอบอุปกรณ์จัดเก็บข้อมูล (HDD/SSD)
• Memory Forensics: ตรวจสอบข้อมูลในหน่วยความจำ (RAM)
• Network Forensics: ตรวจสอบการสื่อสารเครือข่าย
• Mobile Forensics: ตรวจสอบอุปกรณ์พกพา
• Cloud Forensics: ตรวจสอบสภาพแวดล้อมบนคลาวด์

สิ่งสำคัญที่สุดคือการรักษา Chain of Custody หรือ “สายการส่งมอบหลักฐาน” เพื่อยืนยันว่าหลักฐานไม่ถูกแก้ไข

กฎระเบียบ (Regulations)

Computer Fraud and Abuse Act (CFAA)

กฎหมายสหรัฐฯ ที่ใช้ดำเนินคดีอาชญากรรมไซเบอร์ โดยห้ามการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต หรือเกินกว่าที่ได้รับอนุญาต ใช้กับหลายกรณี เช่น:

• การบุกรุกระบบ
• การแพร่มัลแวร์
• การขโมยข้อมูลและความลับทางการค้า
• การโจมตีแบบ DoS

กฎระเบียบสำหรับองค์กร

องค์กรอย่างบริษัทหรือหน่วยงานภาครัฐต้องมีหน้าที่ทางกฎหมายเพิ่มเติมครับ กฎระเบียบเหล่านี้ทำให้มั่นใจว่าองค์กรจะดำเนินการด้านความปลอดภัยเพื่อทำให้แพลตฟอร์มของพวกเขาปลอดภัยที่สุด พวกเราหลายคนใช้ประโยชน์จากกฎระเบียบเหล่านี้โดยไม่รู้ตัวเลยครับ ถ้าคุณเคยไปหาหมอในสหรัฐฯ ข้อมูลของคุณเกือบทั้งหมดจะได้รับการคุ้มครองโดย HIPAA

ในส่วนนี้ เราจะดูข้อกำหนด 3 อย่าง สองอย่างเป็นกฎหมายของรัฐบาลกลางสหรัฐฯ และอีกอย่างเป็นข้อตกลงที่มาจากอุตสาหกรรมบัตรเครดิต

HIPAA

The Health Insurance Portability and Accountability Act (HIPAA) เป็นกฎหมายของรัฐบาลกลางสหรัฐฯ ที่ออกแบบมาเพื่อปรับปรุงแง่มุมต่างๆ ของการดูแลสุขภาพและประกันสุขภาพ ที่สำคัญสำหรับความปลอดภัยทางไซเบอร์คือมันได้กำหนดกฎระเบียบและมาตรฐานที่บังคับให้หน่วยงานที่ดูแล ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ต้องมั่นใจในความปลอดภัยและความเป็นส่วนตัวของข้อมูลนั้น

หน่วยงานด้านสุขภาพและประกันภัยมีหน้าที่รับผิดชอบดังนี้:

• ทำให้มั่นใจว่าข้อมูล e-PHI (อิเล็กทรอนิกส์) ปลอดภัย
• ป้องกันภัยคุกคามที่อาจมุ่งเป้าไปที่ e-PHI
• ป้องกันการนำ e-PHI ไปใช้ในทางที่ผิด
• แจ้งให้ทุกคนที่ทำงานในองค์กรทราบถึงความรับผิดชอบเหล่านี้

GLBA

The Gramm-Leach-Bliley Act (GLBA) เป็นกฎหมายของรัฐบาลกลางสหรัฐฯ ที่ควบคุมสถาบันการเงิน โดยบังคับให้สถาบันเหล่านี้ต้องปกป้องข้อมูลลูกค้าที่สำคัญ และเปิดเผยว่าพวกเขาแบ่งปันข้อมูลนั้นอย่างไร

ส่วนของความปลอดภัยทางไซเบอร์ได้กำหนดขั้นตอนที่สถาบันการเงินต้องทำเพื่อปกป้องข้อมูลลูกค้า พวกเขามีหน้าที่รับผิดชอบดังนี้:

• ทำให้ข้อมูลลูกค้าปลอดภัย
• ป้องกันภัยคุกคามที่คาดว่าจะเกิดขึ้นกับข้อมูลลูกค้า
• ป้องกันการนำข้อมูลลูกค้าไปใช้ในทางที่ผิดที่คาดว่าจะเกิดขึ้น

PCI DSS

The Payment Card Industry Data Security Standard (PCI DSS) เป็นกฎระเบียบที่บริษัทบัตรเครดิตพัฒนาขึ้นเพื่อควบคุมร้านค้าที่จัดการข้อมูลบัตรเครดิต

ตั้งแต่ปี 2021 PCI DSS ได้กำหนดความรับผิดชอบสำหรับร้านค้าไว้ดังนี้:

• สร้างและดูแลเครือข่ายให้ปลอดภัย
• ปกป้องข้อมูลผู้ถือบัตร
• มีโปรแกรมจัดการช่องโหว่
• ใช้มาตรการควบคุมการเข้าถึงที่แข็งแกร่ง
• ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ
• รักษานโยบายความปลอดภัยของข้อมูล

กรอบการทำงาน NIST (NIST Cybersecurity Framework)

พัฒนาโดย NIST เพื่อช่วยปกป้องโครงสร้างพื้นฐานสำคัญจากภัยไซเบอร์ (เป็น ตัวเลือก ไม่ได้บังคับใช้ตามกฎหมาย)

มี 5 องค์ประกอบหลักคือ:

1. Identify – ระบุและเข้าใจภัยคุกคามและความเสี่ยง
2. Protect – ป้องกันสินทรัพย์จากภัยคุกคาม
3. Detect – ตรวจจับเหตุการณ์หรือการโจมตี
4. Respond – ตอบสนองและหยุดการโจมตี
5. Recover – ฟื้นฟูและเรียนรู้เพื่อป้องกันการเกิดซ้ำ

กรอบนี้ไม่ใช่วิธีแก้ปัญหาสำเร็จรูป แต่เป็นแนวทางที่องค์กรปรับใช้ให้เหมาะกับตนเอง

---

Reference : https://www.codecademy.com/courses/introduction-to-cybersecurity/articles/security-standards-regulations-frameworks