Security Project 03/08/99

มาร่วมมือป้องกันข้อมูลในคอมพิวเตอร์จากวายร้ายกันดีกว่า

   ในปัจจุบันเทคโนโลยีสารสนเทศได้เข้ามามีบทบาท และ ความสำคัญในองค์กรต่างๆ มากยิ่งขึ้น ซึ่งส่วนมากแต่ละองค์กร ก็จะมีการใช้งานคอมพิวเตอร์ ในลักษณะ ของการใช้งานคอมพิวเตอร์ส่วนบุคคล เครื่องเดี่ยว (Stand alone) หรือ นำมาเชื่อมโยงกันเป็นเครือข่าย (Network) เช่น ระบบ Lan, Unix หรือ Intranet ที่สามารถให้บริการกระจายข่าวสาร กับพนักงานที่อยู่ประจำต่างจังหวัดให้รับรู้เช่นเดียวกับ พนักงานในส่วนกลาง
    เมื่อเทคโนโลยีพัฒนามากขึ้น การโจรกรรมในลักษณะการบุกรุก ผ่านเครือข่ายคอมพิวเตอร์ก็มีมากขึ้น ทั้งจากพวกลองวิชา ลองของ ลองโปรแกรม พวกนึกสนุก และพวกมิจฉาชีพ หรือคู่แข่งการค้าที่แทรกซึม เข้ามาหาผลประโยชน์ต่างๆจากข้อมูลที่ต้องการ
องค์กรที่ดำเนินการโดยใช้เครือข่ายสื่อสาร และคอมพิวเตอร์ต่างๆ จึงต้องปรับตัว และหาทางป้องกัน เรียนรู้ เตรียมหาทางป้องกัน รวมทั้ง กำหนดนโยบายหลักให้ผู้ปฏิบัติงานต่างๆ ถือปฏิบัติ รวมทั้งการวางกฎระเบียบต่างๆขององค์กร เพราะในปัจจุบันการใช้งานเทคโนโลยีคอมพิวเตอร์ ในองค์กรยังมีจุดอ่อน หรือ มีรูรั่วอยู่มาก ถ้าข้อมูลข่าวสารบางอย่างที่มีค่าขององค์กร ถูกลักลอบโจรกรรมผ่านทางเครือข่ายคอมพิวเตอร์ (อาจมาจากบุคคลภายในเอง หรือ บุคคลภายนอกก็ได้) อาจทำให้องค์กรเสียหายได้มาก เช่น ข้อมูลลูกค้า หรือข้อมูลทางการเงิน ปัญหาเรื่องความปลอดภัยของข้อมูลข่าวสาร และ ความปลอดภัยของระบบจึงเป็นเรื่องสำคัญ (ที่ควรให้ความสำคัญก่อนเกิดปัญหาขึ้น หรือ วัวหายจึงล้อมคอก) เป็นเรื่องใหญ่ในเกือบทุกองค์กร ต้องลงทุนกับวิธี และระบบป้องกันต่างๆ เป็นจำนวนมาก ทั้งในส่วนป้องกันด้านสถานที่ หรือ ส่วนของโปรแกรมรักษาความปลอดภัย ซึ่งก็อาจสร้างความไม่สะดวกกับผู้ใช้ต่างๆที่ใช้งานอยู่บ้าง

การเตรียมความพร้อมในอนาคต
    ยิ่งเวลาเดินหน้าไปเรื่อยๆ เทคโนโลยีก็แทบ จะวิ่งแซงหน้าไปอย่างรวดเร็ว แม้แต่บุคลากรทางไอทีเองก็ต้อง เรียนรู้กับเทคโนโลยีใหม่ๆ กันแทบไม่หวาดไม่ไหวเหมือนกัน ขณะเดียวกันการแข่งขันทางธุรกิจก็เข้มข้นขึ้น ท่ามกลางภาวะเศรษฐกิจถดถอย องค์กรไหนที่เตรียมพร้อมสำหรับอนาคต และตั้งตัวได้ก่อน ก็ย่อมมีความได้เปรียบ แต่วงการอาชญากรรมก็ก้าวหน้าไปมาก ยิ่งเป็นการโจรกรรมข้อมูลผ่านเครือข่ายแล้วละก็ ถ้าป้องกันได้ไม่ดีพอ หรือมีความรู้ด้านการรักษาความปลอดภัย ในระบบคอมพิวเตอร์น้อยเกินไป ก็อาจไม่รู้ตัวเลยก็ได้ว่าข้อมูลสำคัญ ขององค์กรถูกคัดลอกไปจากระบบ และ ตกอยู่ในมือคู่แข่งเรียบร้อยแล้ว ยิ่งไปกว่านั้นจากสถิติที่ผ่านๆ มา การลักลอบโจรกรรมข้อมูล ในคอมพิวเตอร์กว่า 65 % มาจากบุคคลภายในเอง เพราะสามารถเข้า - ออก ในเครือข่ายได้ง่าย เพราะมี User Name และ Password สำหรับ Login อยู่แล้ว ไม่ต้องมาเสียเวลา Hack ข้อมูล เพื่อ Login เข้าระบบเหมือนกับ Hacker ทั่วๆไป ที่ต้องการเจาะเครือข่ายจากภายนอก
   จากสิ่งที่ได้กล่าวข้างต้น ทางส่วนงาน Corp.IT ได้เห็นความสำคัญของการรักษา ความปลอดภัยระบบคอมพิวเตอร์ จึงได้จัดตั้ง Security Project ขึ้นมา โดยมีวัตถุประสงค์ เพื่อกำหนดนโยบาย และควบคุมพฤติกรรม ตลอดจนวางมาตรการในการรักษาความปลอดภัย ของระบบคอมพิวเตอร์ให้รัดกุมยิ่งขึ้น โดยการวางแผนงานนี้ จะเริ่มการดำเนินงานในส่วนที่ไอทีดูแลเองก่อน โดยมีส่วนสำคัญประกอบด้วย
    - นโยบายหลักในเรื่องการให้ความสำคัญ กับความปลอดภัยของข้อมูลข่าวสาร และเครือข่ายคอมพิวเตอร์
    - นโยบายหลักเกี่ยวกับการให้ความสำคัญในการป้องกันเหตุการณ์ เพื่อไม่ให้มีปัญหาเกิดขึ้น
    - นโยบายการรายงานปัญหา เมื่อมีผู้บุกรุก การตรวจสอบระบบ การประสานงาน การแก้ไขปัญหาต่างๆ
    - นโยบายการร่วมมือของหน่วยงานต่างๆ ภายในองค์กร เพื่อการดำเนินงานตามขั้นตอนอย่างมีประสิทธิภาพ
    ปัจจุบันในประเทศไทยเองนั้น การดำเนินงานเกี่ยวกับการป้องกันเครือข่าย ยังมีวิธีการดำเนินงานไม่ชัดเจน เพราะอางยังไม่มีประสบการณ์เกี่ยวกับการถูกโจรกรรมข้อมูลมากนัก หรืออาจะถูกโจรกรรมข้อมูลไปแล้วแต่ไม่รู้ตัว ทางทีมงาน Security Project ไม่ต้องการให้เหตุการณ์ใดๆ ต้องเกิดขึ้นกับองค์กร จึงศึกษาวิธี และ การวางแผนงานต่างๆ ในการดำเนินงาน เป็นช่วงๆ เริ่มจากส่วนงานไอที ได้ดังนี้ คือ
    - กำหนด Sensitive Information ซึ่งก็คือข้อมูลต่างๆ ที่มีความสำคัญ และไม่ต้องการเปิดเผยให้กับผู้ที่ไม่มีสิทธิ์เกี่ยวข้องรับรู้ และคัดลอกได้
    - กำหนดระดับสิทธิ์การเข้าถึงข้อมูล และการใช้งานระบบต่างๆ
    - กำหนดรอบระยะเวลาในการเปลี่ยน Password สำหรับผู้ใช้งาน Server ต่างๆที่ไอทีรับผิดชอบ
    จะเห็นได้ว่าจากแผนการดำเนินงาน จะมีส่วนกระทบกับผู้ใช้ คือการเปลี่ยน Password ใน Server ต่างๆ เช่น ระบบ Lan , Unix (191.10.93.108 ระบบ Financial), Lotus Notes, Web ,Mail จากที่เมื่อก่อนเวลา Login เข้าใช้งาน และพิมพ์ Password ก็จะสามารถเข้าใช้งานได้ตลอดเวลา ไม่ว่าจะใช้งานมาแล้วเป็นเดือนเป็นปี แต่ต่อไปนี้ จะมีการกำหนดรอบระยะเวลาในการเปลี่ยน Password เช่น อาจทุกๆ 3 เดือน ซึ่งในช่วงแรกๆ อาจสร้างความสับสนกับผู้ใช้งานบ้าง แต่เพื่อความปลอดภัยของข้อมูลก็สมควรที่จะทำ หวังว่าเพื่อนๆ ชาว TT&T คงเข้าใจดี โดยเฉพาะพนักงานส่วนสำนักงานใหญ่(กรุงเทพฯ) ที่จะได้รับผลกระทบนี้เป็นส่วนใหญ่ ส่วนการเริ่มดำเนินงานและรายละเอียดต่างๆนั้น ทางทีมงาน Security Project จะประชาสัมพันธ์กันให้ทราบก่อนล่วงหน้าแน่นอน ภายในเดือนตุลาคมนี้ หรือถ้าสนใจ และ ต้องการสอบถามข้อมูล สามารถติดต่อส่วนงานไอที ผ่าน HelpDesk ext. 3333 ได้ตลอดเวลาทำการ