ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
บันได 7 ขั้น สำหรับความปลอดภัยทางไซเบอร์สำหรับธุรกิจขนาดเล็ก
แล็ปท็อป คอมพิวเตอร์ แท็บเล็ต และสมาร์ทโฟนของผู้อ่าน จะมีข้อมูลสำคัญทางธุรกิจของผู้อ่านเอง มีข้อมูลส่วนบุคคลของลูกค้า และรายละเอียดของบัญชีธนาคารออนไลน์ที่ผู้อ่านเข้าถึงเพื่อใช้ทำธุรกรรมต่าง ๆ สิ่งเหล่านี้จำเป็นอย่างยิ่งที่ข้อมูลนี้จะต้องพร้อมใช้งานสำหรับผู้อ่านเสมอ แต่จะต้องไม่ให้ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงได้โดยง่าย
รหัสผ่านเมื่อมีการนำไปใช้อย่างถูกวิธี ถือว่าเป็นวิธีที่ ฟรี ง่าย และมีประสิทธิภาพในระดับหนึ่ง สำหรับการป้องกันการเข้าถึงอุปกรณ์ของผู้อ่านโดยไม่ได้รับอนุญาต โดยในขั้นนี้ผู้เขียนจะเสนอข้อแนะนำ 5 ประการเมื่อใช้รหัสผ่านเพื่อปกป้องข้อมูลทางธุรกิจของผู้อ่าน
ผู้อ่านต้องตั้งรหัสผ่านล็อกหน้าจอ, PIN หรือ วิธีการตรวจสอบสิทธิ์อื่น ๆ เช่น ลายนิ้วมือ หรือ การปลดล็อกด้วยใบหน้า สำหรับการเข้าถึงแล็ปท็อป คอมพิวเตอร์ แท็บเล็ต และสมาร์ทโฟนของผู้อ่าน ทั้งนี้หากผู้อ่านใช้ลายนิ้วมือหรือการปลดล็อกด้วยใบหน้าเป็นส่วนใหญ่ ผู้อ่านจะมีโอกาสใช้รหัสผ่านสำหรับการเข้าถึงอุปกรณ์ต่าง ๆ น้อยลง ดังนั้นให้พิจารณาตั้งรหัสผ่านที่ยาวและคาดเดาได้ยากเสมอ
ที่กล่าวมานี้ การป้องกันด้วยรหัสผ่านไม่ได้มีไว้สำหรับสมาร์ทโฟนและแท็บเล็ตเท่านั้น ผู้อ่านต้องตรวจสอบให้แน่ใจว่าอุปกรณ์ที่ใช้ในสำนักงานของผู้อ่าน เช่น แล็ปท็อป และ คอมพิวเตอร์ มีการใช้ซอฟต์แวร์สำหรับการเข้ารหัส เช่น BitLocker สำหรับระบบปฎิบัติการ Windows โดยใช้ Trusted Platform Module (TPM) พร้อม PIN หรือใช้ FileVault สำหรับระบบปฎิบัติการ macOS เพื่อทำการเข้ารหัส Harddisk ตั้งแต่เริ่มบูตเข้าสู่ระบบปฏิบัติการ โดยอุปกรณ์ใหม่ ๆ ในปัจจุบันจะมีฟีเจอร์สำหรับการเข้ารหัสในตัว แต่อย่างไรก็ตามการเปิดใช้งานฟีเจอร์สำหรับการเข้ารหัสนั้น ผู้อ่านจะต้องเป็นผู้กำหนดค่าในการเปิดใช้งานก่อนดังนั้นผู้อ่านจะต้องตรวจสอบว่าอุปกรณ์ของผู้อ่านได้เปิดใช้งานฟีเจอร์สำหรับการเข้ารหัสเสมอ
หากบริการต่าง ๆ ที่ผู้อ่านใช้งานอยู่ เปิดโอกาสให้ผู้อ่านเปิดการใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (two-factor authentication หรือที่เรียกว่า 2FA) สำหรับบัญชีผู้ใช้งานใดๆ ของผู้อ่าน ผู้อ่านควรที่จะใช้งาน 2FA กับบัญชีนั้น ๆ เนื่องจากการเปิดใช้งาน 2FA จะช่วยเพิ่มความปลอดภัยอย่างมากสำหรับการเข้าถึงบัญชีผู้ใช้งาน โดยไม่ต้องใช้ความพยายามหรืออุปกรณืที่มีราคาแพงเพิ่มขึ้นมากนัก ทั้งนี้ การใช้งาน 2FA จะใช้วิธีการในการพิสูจน์ตัวตนของผู้อ่านจำนวน 2 วิธี ก่อนที่ผู้อ่านจะสามารถใช้บริการหรือเข้าถึงบัญชีผู้ใช้งานได้ โดยทั่วไปอาจใช้เป็นรหัสผ่านสำหรับใช้งานครั้งเดียว (One time password - OTP) ที่ส่งมาทางสมาร์ทโฟนของผู้อ่านผ่าน SMS หรือ รหัสผ่านสำหรับใช้งานครั้งเดียวที่สร้างโดยแอปพลิเคชันบนสมาร์ทโฟนของผู้อ่าน (เช่น Google Authenticator[1] หรือ Authy[2] เป็นต้น) หรือ เป็นรหัสที่สร้างจากเครื่องอ่านบัตรของธนาคาร ซึ่งผู้อ่านต้องใส่ข้อมูลเหล่านี้เพิ่มเติมจากรหัสผ่านของผู้อ่านที่เคยใช้ตามปกติ
หากผู้อ่านเป็นผู้ที่รับผิดชอบนโยบายต่าง ๆ ด้านความปลอดภัยเทคโนโลยีสารสนเทศขององค์กรของผู้อ่าน ผู้อ่านต้องตรวจสอบให้แน่ใจว่าพนักงานในองค์กรได้รับคำแนะนำต่าง ๆ เกี่ยวกับการตั้งรหัสผ่านที่เข้าใจง่ายและสามารถนำไปปฏิบัติได้ เช่น วิธีที่ดีในการสร้างรหัสผ่านที่คาดเดายากและจดจำได้ง่ายคือการใช้คำสุ่มสามคำ ตลอดจนใช้ตัวเลขและตัวอักษรพิเศษเพิ่มเติม เช่น 7BlueHouseElephant49! เป็นต้น
รหัสผ่านควรจำง่าย แต่ยากสำหรับคนอื่นที่จะเดา กฎการตั้งรหัสผ่านที่ดี คือ ต้องมั่นใจว่าคนที่รู้จักผู้อ่านดีไม่สามารถเดารหัสผ่านของผู้อ่านได้ใน 20 ครั้ง พนักงานในบริษัทของผู้อ่านควรหลีกเลี่ยงการใช้รหัสผ่านทั่วไป ซึ่งผู้ไม่หวังดีหรืออาชญากรสามารถเดาได้ง่าย เช่น 123456 qwertyuiop 1q2w3e4r เป็นต้น ผู้อ่านสามารถเข้าไปดูสถิติของรหัสผ่านทั่วไปที่คาดเดาได้ง่ายและควรหลีกเลี่ยงในการนำมาใช้งานที่ List of the most common passwords[3]
ผู้อ่านต้องระลึกเสมอว่า ระบบเทคโนโลยีสารสนเทศขององค์กรไม่ควรกำหนดให้พนักงานต้องแชร์บัญชีผู้ใช้งานหรือรหัสผ่านเพื่อให้สามารถทำงานได้สำเร็จลุล่วง องค์กรตรวจสอบให้แน่ใจว่าพนักงานทุกคนมีสิทธิ์เข้าถึงระบบตามความเหมาะสม และมีการกำหนดระดับการเข้าถึงที่กำหนดนั้นต่ำที่สุดที่จำเป็นต่อการทำงานของพวกเขา (The Principle of Least Privilege) ในขณะที่ต้องคำนึงในเรื่องการลดการเข้าถึงระบบที่ไม่จำเป็นเสมอ
หากผู้อ่านเป็นผู้ที่ต้องรับผิดชอบในเรื่องการใช้รหัสผ่านในองค์กร มีหลายสิ่งที่ผู้อ่านสามารถทำได้ซึ่งจะช่วยเพิ่มความปลอดภัยได้มากขึ้น ทั้งนี้พนักงานในองค์กรของผู้อ่านต่างก็มีรหัสผ่านที่ไม่เกี่ยวข้องกับงานหลายสิบรายการให้จดจำเช่นกัน ดังนั้นองค์กรควรบังคับใช้รหัสผ่านในการเข้าถึงบริการในกรณีที่จำเป็นจริง ๆ เท่านั้น ในกรณีที่องค์กรของผู้อ่านต้องใช้รหัสผ่านเพื่อเข้าถึงบริการต่าง ๆ องค์กรไม่ควรบังคับให้พนักงานต้องเปลี่ยนรหัสผ่านบ่อยจนเกินไป หากมีความจำเป็นองค์กรควรบังคับให้พนักงานเปลี่ยนรหัสผ่านจริง ๆ เมื่อองค์กรสงสัยว่าข้อมูลที่เกี่ยวกับการเข้าถึงของพนักงานในองค์กร เช่น รหัสผ่าน ถูกเข้าถึงโดยไม่ได้รับอนุญาต
ผู้เขียนแนะนำให้องค์กรหรือผู้อ่านนำซอฟแวร์สำหรับจัดการรหัสผ่าน (password manager) มาใช้งาน ซึ่งเป็นเครื่องมือที่สามารถสร้างรหัสผ่านที่คาดเดาได้ยากและจัดเก็บรหัสผ่านให้ผู้อ่าน ซึ่งผู้อ่านสามารถเข้าถึงรหัสผ่านทั้งหมดได้โดยใช้ “รหัสผ่านหลัก” (Main Password หรือ Master Password) และเนื่องจาก “รหัสผ่านหลัก” ต้องใช้สำหรับปกป้องรหัสผ่านอื่น ๆ ของผู้อ่านทั้งหมด ผู้อ่านต้องสอบให้แน่ใจว่า“รหัสผ่านหลัก”เป็นรหัสผ่านที่รัดกุมและยากต่อการคาดเดา
ข้อผิดพลาดที่ผู้เขียนพบบ่อยที่สุดอย่างหนึ่ง คือ การไม่เปลี่ยนรหัสผ่านเริ่มต้น (default password) ที่ตั้งค่าจากโรงงานผู้ผลิตที่ออกให้กับสมาร์ทโฟน แล็ปท็อป และอุปกรณ์สารสนเทศอื่น ๆ องค์กรควรมีมาตรการต่าง ๆ เพื่อให้มั่นใจว่ามีการเปลี่ยนรหัสผ่านเริ่มต้นทั้งหมดก่อนที่จะแจกจ่ายอุปกรณ์ให้กับพนักงาน นอกจากนี้ผู้อ่านหรือองค์กรควรตรวจสอบอุปกรณ์สารสนเทศและซอฟต์แวร์เป็นประจำ เพื่อตรวจหารหัสผ่านเริ่มต้นที่ไม่ได้ถูกเปลี่ยนค่า
สำหรับในขั้นที่ 6 ผู้เขียนขอฝากไว้เพียงเท่านี้ ใน Episode ถัดไปจะกล่าวถึงในเรื่อง “การป้องกันธุรกิจของผู้อ่านการโจมตีแบบ Phishing” ซึ่งเป็นการโจมตีที่เป็นที่นิยมของผู้ไม่หวังดีเนื่องจาก การโจมตีแบบ Phishing เป็นภัยคุกคามอันดับหนึ่งต่อองค์กรหรือบริษัท โดยเฉพาะพนักงานที่ไม่ได้รับการฝึกฝนและไม่รู้จักการโจมตีแบบ Phishing อีกทั้งผู้โจมตียังคงพัฒนาการโจมตีแบบ Phishing ซึ่งยากต่อการแยกความแตกต่างระหว่างอีเมลที่แท้จริงกับอีเมล Phishing
/
[1] "Google Authenticator - Wikipedia." https://en.wikipedia.org/wiki/Google_Authenticator. Accessed 3 Aug. 2021.
[2] "Authy | Two-factor Authentication (2FA) App & Guides." https://authy.com/. Accessed 3 Aug. 2021.
[3] "List of the most common passwords - Wikipedia." https://en.wikipedia.org/wiki/List_of_the_most_common_passwords. Accessed 3 Aug. 2021.