Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Health Information Privacy and Security (September 13, 2020)

114 visualizaciones

Publicado el

Presented at the Faculty of Pharmacy, Silpakorn University, Nakhon Pathom, Thailand on September 13, 2020

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Health Information Privacy and Security (September 13, 2020)

  1. 1. Health Information Privacy & Security SlideShare.net/Nawanan นพ.นวนรรน ธีระอัมพรพันธุ์ 13 กันยายน 2563
  2. 2. 2003 M.D. (First-Class Honors) (Ramathibodi) 2009 M.S. in Health Informatics (U of MN) 2011 Ph.D. in Health Informatics (U of MN) • Faculty of Medicine Ramathibodi Hospital Mahidol University o Deputy Dean for Operations o Lecturer, Department of Clinical Epidemiology & Biostatistics nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Facebook.com/NawananT Line ID: NawananT Introduction
  3. 3. Overview of IT Security & Privacy
  4. 4. Malware Threats to Information Security
  5. 5. ภัย Security กับเมืองไทย (Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/ (Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel- to-hollywood
  6. 6. ภัย Security กับเมืองไทย https://www.it24hrs.com/2016/anonymous-hack-id-cards-ministry-of-foreign-affairs-tica/
  7. 7. ภัย Security กับเมืองไทย
  8. 8. ภัย Security กับเมืองไทย
  9. 9. Privacy Threats in Thailand https://www.posttoday.com/it/548240
  10. 10. http://news.sanook.com/1262964/ Privacy Threats in Thai Health Care
  11. 11. Privacy Threats in Thai Health Care
  12. 12. Privacy Threats in Thai Health Care https://www.blognone.com/node/79473
  13. 13. Security Threats by Poor Software
  14. 14. Why Software Testing is Important
  15. 15. Recycled Papers & Privacy
  16. 16. National Healthcare’s Worst Nightmare https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth- patients-including-pm-lee-stolen-in-singapores-most
  17. 17. Ransomware Attack in Thai Hospitals https://www.facebook.com/SaraburiHospital/photos/a.255929423747 8100/4366815263392646/
  18. 18. Sources of the Threats ▪ Hackers ▪ Viruses & Malware ▪ Poorly-designed systems ▪ Insiders (Employees) ▪ People’s ignorance & lack of knowledge ▪ Disasters & other incidents affecting information systems
  19. 19. ▪ Information risks ▪ Unauthorized access & disclosure of confidential information ▪ Unauthorized addition, deletion, or modification of information ▪ Operational risks ▪ System not functional (Denial of Service - DoS) ▪ System wrongly operated ▪ Personal risks ▪ Identity thefts ▪ Financial losses ▪ Disclosure of information that may affect employment or other personal aspects (e.g. health information) ▪ Physical/psychological harms ▪ Organizational risks ▪ Financial losses ▪ Damage to reputation & trust ▪ Etc. Consequences of Security Attacks
  20. 20. ▪ Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia) ▪ Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia) ▪ Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Privacy & Security
  21. 21. Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทา ให้สูญหาย ทาให้เสียหาย หรือถูก ทาลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
  22. 22. Examples of Confidentiality Risks http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
  23. 23. Examples of Integrity Risks http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml Web Defacements
  24. 24. Examples of Availability Risks http://en.wikipedia.org/wiki/Blaster_worm Viruses/worms that led to instability & system restart (e.g. Blaster worm)
  25. 25. Examples of Availability Risks http://en.wikipedia.org/wiki/Ariane_5_Flight_501 Ariane 5 Flight 501 Rocket Launch Failure Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow
  26. 26. Interesting Resources ▪ http://en.wikipedia.org/wiki/List_of_software_bugs ▪ http://en.wikipedia.org/wiki/Notable_computer_viruses_an d_worms ▪ http://en.wikipedia.org/wiki/Hacktivism ▪ http://en.wikipedia.org/wiki/Website_defacement ▪ http://en.wikipedia.org/wiki/Hacker_(computer_security) ▪ http://en.wikipedia.org/wiki/List_of_hackers
  27. 27. Protecting Information Privacy & Security
  28. 28. http://www.aclu.org/ordering-pizza Privacy Protections: Why?
  29. 29. Security & Privacy http://en.wikipedia.org/wiki/A._S._Bradford_House
  30. 30. Privacy Case Studies http://pantip.com/topic/35330409/
  31. 31. แนวทางการคุ้มครอง Privacy • Informed consent • Privacy culture • User awareness building & education • Organizational policy & regulations ▪ Enforcement ▪ Ongoing privacy & security assessments, monitoring, and protection
  32. 32. ▪ Attack ▪ An attempt to breach system security ▪ Threat ▪ A scenario that can harm a system ▪ Vulnerability ▪ The “hole” that is used in the attack Common Security Terms
  33. 33. ▪ Identify some possible means an attacker could use to conduct a security attack Class Exercise
  34. 34. Alice Simplified Attack Scenarios Server Bob Eve/Mallory
  35. 35. Alice Simplified Attack Scenarios Server Bob - Physical access to client computer - Electronic access (password) - Tricking user into doing something (malware, phishing & social engineering) Eve/Mallory
  36. 36. Alice Simplified Attack Scenarios Server Bob - Intercepting (eavesdropping or “sniffing”) data in transit - Modifying data (“Man-in-the-middle” attacks) - “Replay” attacks Eve/Mallory
  37. 37. Alice Simplified Attack Scenarios Server Bob - Unauthorized access to servers through - Physical means - User accounts & privileges - Attacks through software vulnerabilities - Attacks using protocol weaknesses - DoS / DDoS attacks Eve/Mallory
  38. 38. Alice Simplified Attack Scenarios Server Bob Other & newer forms of attacks possible Eve/Mallory
  39. 39. Alice Safeguarding Against Attacks Server Bob Administrative Security - Security & privacy policy - Governance of security risk management & response - Uniform enforcement of policy & monitoring - Disaster recovery planning (DRP) & Business continuity planning/management (BCP/BCM) - Legal obligations, requirements & disclaimers
  40. 40. Alice Safeguarding Against Attacks Server Bob Physical Security - Protecting physical access of clients & servers - Locks & chains, locked rooms, security cameras - Mobile device security - Secure storage & secure disposition of storage devices
  41. 41. Alice Safeguarding Against Attacks Server Bob User Security - User account management - Strong p/w policy (length, complexity, expiry, no meaning) - Principle of Least Privilege - “Clear desk, clear screen policy” - Audit trails - Education, awareness building & policy enforcement - Alerts & education about phishing & social engineering
  42. 42. Alice Safeguarding Against Attacks Server Bob System Security - Antivirus, antispyware, personal firewall, intrusion detection/prevention system (IDS/IPS), log files, monitoring - Updates, patches, fixes of operating system vulnerabilities & application vulnerabilities - Redundancy (avoid “Single Point of Failure”) - Honeypots
  43. 43. Alice Safeguarding Against Attacks Server Bob Software Security - Software (clients & servers) that is secure by design - Software testing against failures, bugs, invalid inputs, performance issues & attacks - Updates to patch vulnerabilities
  44. 44. Alice Safeguarding Against Attacks Server Bob Network Security - Access control (physical & electronic) to network devices - Use of secure network protocols if possible - Data encryption during transit if possible - Bandwidth monitoring & control
  45. 45. Alice Safeguarding Against Attacks Server Bob Database Security - Access control to databases & storage devices - Encryption of data stored in databases if necessary - Secure destruction of data after use - Access control to queries/reports - Security features of database management systems (DBMS) - Data backups (online vs. offline)
  46. 46. User Security
  47. 47. ▪ Access control ▪ Selective restriction of access to the system ▪ Role-based access control ▪ Access control based on the person’s role (rather than identity) ▪ Audit trails ▪ Logs/records that provide evidence of sequence of activities User Security
  48. 48. ▪ Identification ▪ Identifying who you are ▪ Usually done by user IDs or some other unique codes ▪ Authentication ▪ Confirming that you truly are who you identify ▪ Usually done by keys, PIN, passwords or biometrics ▪ Authorization ▪ Specifying/verifying how much you have access ▪ Determined based on system owner’s policy & system configurations ▪ “Principle of Least Privilege” User Security
  49. 49. ▪ Nonrepudiation ▪ Proving integrity, origin, & performer of an activity without the person’s ability to refute his actions ▪ Most common form: signatures ▪ Electronic signatures offer varying degrees of nonrepudiation ▪ PIN/password vs. biometrics ▪ Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation User Security
  50. 50. ▪ Multiple-Factor Authentication ▪ Two-Factor Authentication ▪ Use of multiple means (“factors”) for authentication ▪ Types of Authentication Factors ▪ Something you know ▪ Password, PIN, etc. ▪ Something you have ▪ Keys, cards, tokens, devices (e.g. mobile phones) ▪ Something you are ▪ Biometrics User Security
  51. 51. Need for Strong Password Policy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
  52. 52. Unknown Internet sources, via http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737, via Facebook page “สอนแฮกเว็บแบบแมวๆ” What’s the Password?
  53. 53. Written Password
  54. 54. Recommended Password Policy ▪ Length ▪ 8 characters or more (to slow down brute-force attacks) ▪ Complexity (to slow down brute-force attacks) ▪ Consists of 3 of 4 categories of characters ▪ Uppercase letters ▪ Lowercase letters ▪ Numbers ▪ Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection) ▪ No meaning (“Dictionary Attacks”) ▪ Not simple patterns (12345678, 11111111) (to slow down brute- force attacks & prevent dictionary attacks) ▪ Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.
  55. 55. Recommended Password Policy ▪ Expiration (to make brute-force attacks not possible) ▪ 6-8 months ▪ Decreasing over time because of increasing computer’s speed ▪ But be careful! Too short duration will force users to write passwords down ▪ Secure password storage in database or system (encrypted or store only password hashes) ▪ Secure password confirmation ▪ Secure “forget password” policy ▪ Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
  56. 56. Clear Desk, Clear Screen Policy http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
  57. 57. Techniques to Remember Passwords ▪ http://www.wikihow.com/Create-a-Password-You-Can- Remember ▪ Note that some of the techniques are less secure! ▪ One easy & secure way: password mnemonic ▪ Think of a full sentence that you can remember ▪ Ideally the sentence should have 8 or more words, with numbers and symbols ▪ Use first character of each word as password ▪ Sentence: I love reading all 7 Harry Potter books! ▪ Password: Ilra7HPb! ▪ Voila! Personal opinion. No legal responsibility assumed.
  58. 58. Dictionary Attack: A story from a computer security course
  59. 59. Keylogger Attack: A story from a medical student’s life
  60. 60. Dear mail.mahidol.ac.th Email Account User, We wrote to you on 11th January 2010 advising that you change the password on your account in order to prevent any unauthorised account access following the network instruction we previously communicated. all Mailhub systems will undergo regularly scheduled maintenance. Access to your e-mail via the Webmail client will be unavailable for some time during this maintenance period. We are currently upgrading our data base and e-mail account center i.e homepage view. We shall be deleting old [https://mail.mahidol.ac.th/l accounts which are no longer active to create more space for new accountsusers. we have also investigated a system wide security audit to improve and enhance our current security. In order to continue using our services you are require to update and re-comfirmed your email account details as requested below. To complete your account re-comfirmation,you must reply to this email immediately and enter your account details as requested below. Username : Password : Date of Birth: Future Password : Social Engineering Examples Real social-engineering e-mail received by Speaker
  61. 61. Phishing Real phishing e-mail received by Speaker
  62. 62. Checking for Encryption for Website Connections Microsoft Edge
  63. 63. Google Chrome Checking for Encryption for Website Connections
  64. 64. Mozilla Firefox Google Chrome 1 Checking for Encryption for Website Connections
  65. 65. Mozilla Firefox Google Chrome 2 1 Checking for Encryption for Website Connections
  66. 66. Mozilla Firefox Google Chrome 2 1 3 Checking for Encryption for Website Connections
  67. 67. 1 Mozilla Firefox Google Chrome 2 3 4 Checking for Encryption for Website Connections
  68. 68. 1 Mozilla Firefox Google Chrome 2 3 4 Checking for Encryption for Website Connections
  69. 69. ▪ Poor grammar ▪ Lots of typos ▪ Trying very hard to convince you to open attachment, click on link, or reply without enough detail ▪ May appear to be from known person (rely on trust & innocence) Signs of a Phishing Attack
  70. 70. ▪ Don’t be too trusting of people ▪ Always be suspicious & alert ▪ An e-mail with your friend’s name & info doesn’t have to come from him/her ▪ Look for signs of phishing attacks ▪ Don’t open attachments unless you expect them ▪ Scan for viruses before opening attachments ▪ Don’t click links in e-mail. Directly type in browser using known & trusted URLs ▪ Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc. Ways to Protect against Phishing
  71. 71. Malware
  72. 72. ▪ Malicious software - Any code with intentional, undesirable side effects ▪ Virus ▪ Worm ▪ Trojan ▪ Spyware ▪ Logic Bomb/Time Bomb ▪ Backdoor/Trapdoor ▪ Rootkit ▪ Botnet Malware
  73. 73. ▪ Virus ▪ Propagating malware that requires user action to propagate ▪ Infects executable files, data files with executable contents (e.g. Macro), boot sectors ▪ Worm ▪ Self-propagating malware ▪ Trojan ▪ A legitimate program with additional, hidden functionality Malware
  74. 74. ▪ Spyware ▪ Trojan that spies for & steals personal information ▪ Logic Bomb/Time Bomb ▪ Malware that triggers under certain conditions ▪ Backdoor/Trapdoor ▪ A hole left behind by malware for future access Malware
  75. 75. ▪ Rogue Antispyware ▪ Software that tricks or forces users to pay before fixing (real or hoax) spyware detected ▪ Rootkit ▪ A stealth program designed to hide existence of certain processes or programs from detection ▪ Botnet ▪ A collection of Internet-connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks) Malware
  76. 76. ▪ Installed & updated antivirus, antispyware, & personal firewall ▪ Check for known signatures ▪ Check for improper file changes (integrity failures) ▪ Check for generic patterns of malware (for unknown malware): “Heuristics scan” ▪ Firewall: Block certain network traffic in and out ▪ Sandboxing ▪ Network monitoring & containment ▪ User education ▪ Software patches, more secure protocols Defense Against Malware
  77. 77. ▪ Social media spams/scams/clickjacking ▪ Social media privacy issues ▪ User privacy settings ▪ Location services ▪ Mobile device malware & other privacy risks ▪ Stuxnet (advanced malware targeting certain countries) ▪ Advanced persistent threats (APT) by governments & corporations against specific targets Newer Threats
  78. 78. Ransomware ระบาดใน Healthcare Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
  79. 79. Infected with WannaCry https://cdn.securelist.com/files/2017/05/wannacry_05.png
  80. 80. WannaCry Alerts
  81. 81. WannaCry Alerts
  82. 82. WannaCry Alerts
  83. 83. WannaCry: Infection Flow http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/05/WannaCry-infection-flow02.jpg
  84. 84. WannaCry Prevention for Users https://www.thaicert.or.th/downloads/files/info_WannaCry-User.png
  85. 85. WannaCry Prevention for Admins https://www.thaicert.or.th/downloads/files/info_WannaCry-Admin.png
  86. 86. WannaCry Prevention
  87. 87. WannaCry Prevention
  88. 88. WannaCry WannaCry & Medical Devices
  89. 89. Petya/Petwrap/NotPetya https://www.bleepstatic.com/images/news/ransomware/p/notpetya/mbr-ransom-note.jpg
  90. 90. Petya/Petwrap/NotPetya ThaiCERT
  91. 91. Petya/Petwrap/NotPetya ThaiCERT
  92. 92. Preventing from Ransomware https://us-cert.cisa.gov/sites/default/files/publications/Ransomware_Executive_One- Pager_and_Technical_Document-FINAL.pdf
  93. 93. ▪ Most common reason for security bugs is invalid programming assumptions that attackers will look for ▪ Weak input checking ▪ Buffer overflow ▪ Integer overflow ▪ Race condition (Time of Check / Time of Use vulnerabilities) ▪ Running programs in new environments Software Security Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  94. 94. ▪ Defense in Depth ▪ Multiple layers of security defense are placed throughout a system to provide redundancy in the event a security control fails ▪ Secure the weakest link ▪ Promote privacy ▪ Trust no one Secure Software Design Principles Saltzer & Schroeder (1975), Viega & McGraw (2000) Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
  95. 95. ▪ Modular design ▪ Check error conditions on return values ▪ Validate inputs (whitelist vs. blacklist) ▪ Avoid infinite loops, memory leaks ▪ Check for integer overflows ▪ Language/library choices ▪ Development processes Secure Software Best Practices Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
  96. 96. ▪ Consider a log-in form on a web page Example of Weak Input Checking: SQL Injection ▪ Source code would look something like this: statement = "SELECT * FROM users WHERE name = '" + userName + "';" ▪ Attacker would enter as username: ' or '1'='1 ▪ Which leads to this always-true query: ▪ statement = "SELECT * FROM users WHERE name = '" + "' or '1'='1" + "';" statement = "SELECT * FROM users WHERE name = '' or '1'='1';" http://en.wikipedia.org/wiki/SQL_injection
  97. 97. U.S. National Institute of Standards and Technology (NIST) Cybersecurity Framework
  98. 98. Technology ProcessPeople Balanced IT Security Management
  99. 99. Security in Thailand’s ICT Laws
  100. 100. • พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 3) พ.ศ. 2562 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 4) พ.ศ. 2562 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่ เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้น่าเชื่อถือ – กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่ – กาหนดกลไกการควบคุมดูแลระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  101. 101. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  102. 102. • พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ – เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555 • กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ต้นฉบับได้ – เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้ อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 • กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง – เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552 • ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  103. 103. • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  104. 104. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทาง อิเล็กทรอนิกส์ พ.ศ. 2551 • ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง สาหรับผู้ประกอบธุรกิจให้บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552 • ประกาศ ธปท. ที่เกี่ยวข้อง กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  105. 105. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 • กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  106. 106. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ 2 ฉบับ) ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ จัดทาหรือแปลงเอกสารและข้อความให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
  107. 107. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ • สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร • สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. – Electronic Transactions Development Agency (Public Organization) - ETDA หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  108. 108. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  109. 109. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชาระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  110. 110. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบด้านมูลค่าความเสียหายทางการเงิน – ต่า: ≤ 1 ล้านบาท – ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท – สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
  111. 111. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ ชีวิต ร่างกาย หรืออนามัย – ต่า: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  112. 112. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ เสียหายอื่นใด – ต่า: ≤ 10,000 คน – ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน – สูง: > 100,000 คน • ผลกระทบด้านความมั่นคงของรัฐ – ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ – สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
  113. 113. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ • พิจารณาตามระดับผลกระทบ – ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย ระดับเคร่งครัด – ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง – นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
  114. 114. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements • มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556 • ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ ดาเนินการทางกฎหมาย • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่ รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  115. 115. • แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  116. 116. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
  117. 117. พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  118. 118. • หมวด 1 คณะกรรมการ – ส่วนที่ 1 คณะกรรมการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ – ส่วนที่ 2 คณะกรรมการกากับดูแล ด้านความมั่นคงปลอดภัยไซเบอร์ • หมวด 2 สานักงานคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซ เบอร์แห่งชาติ • หมวด 3 การรักษาความมั่นคง ปลอดภัยไซเบอร์ – ส่วนที่ 1 นโยบายและแผน – ส่วนที่ 2 การบริหารจัดการ – ส่วนที่ 3 โครงสร้างพื้นฐานสาคัญทาง สารสนเทศ – ส่วนที่ 4 การรับมือกับภัยคุกคามทาง ไซเบอร์ • หมวด 4 บทกาหนดโทษ • บทเฉพาะกาล พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  119. 119. • วันใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป (มาตรา 2) • บทนิยาม (มาตรา 3) – “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดาเนินการที่กาหนด ขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอก ประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และ ความสงบเรียบร้อยภายในประเทศ – “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทาหรือการดาเนินการใด ๆ โดยมิชอบโดยใช้ คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการ ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็น ภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทางานของ คอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  120. 120. • บทนิยาม (มาตรา 3) – “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” (cyber incident) หมายความว่า เหตุการณ์ที่เกิดจากการกระทาหรือการดาเนินการใด ๆ ที่มิชอบซึ่งกระทาการผ่านทาง คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความ มั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ – “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” (cyber solution) หมายความ ว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับ คอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบ คอมพิวเตอร์ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  121. 121. • บทนิยาม (มาตรา 3) – “โครงสร้างพื้นฐานสาคัญทางสารสนเทศ” (Critical Information Infrastructure: CII) หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ – “หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือ หน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสาคัญทางสารสนเทศ – “หน่วยงานควบคุมหรือกากับดูแล” (Regulator) หมายความว่า หน่วยงานของรัฐ หน่วยงาน เอกชน หรือบุคคลซึ่งมีกฎหมายกาหนดให้มีหน้าที่และอานาจในการควบคุมหรือกากับดูแลการ ดาเนินกิจการของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  122. 122. • องค์ประกอบของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) (National Cyber Security Committee: NCSC) (มาตรา 5) – นายกรัฐมนตรี เป็นประธานกรรมการ – กรรมการโดยตาแหน่ง ได้แก่ รมว.กลาโหม รมว.ดศ. ปลัด กค. ปลัด ยธ. ผบ.ตร. และ เลขาธิการ สมช. – กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 7 คน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้าน เทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็น ประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ – เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  123. 123. • หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9) (1) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและ สนับสนุนการดาเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 42 และ 43 ต่อ คณะรัฐมนตรีเพื่อให้ความเห็นชอบ... (2) กาหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สาหรับ หน่วยงานของรัฐ และหน่วยงาน CII (3) จัดทาแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สาหรับเป็นแผนแม่บทในสถานการณ์ปกติและในสถานการณ์ที่อาจจะเกิดหรือเกิดภัยคุกคาม ทางไซเบอร์... (4) กาหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความ มั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐาน และกาหนดมาตรฐานขั้นต่าที่เกี่ยวข้อง...รวมถึง ส่งเสริมการรับรองมาตรฐานให้กับ CII และหน่วยงานอื่น พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  124. 124. • หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9) (5) กาหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงาน CII ฯลฯ (6) กาหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในและต่างประเทศ (7) แต่งตั้งและถอดถอนเลขาธิการ (8) มอบหมายการควบคุมและกากับดูแล รวมถึงการออกข้อกาหนด วัตถุประสงค์ หน้าที่และอานาจ และกรอบการดาเนินการด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานควบคุมหรือกากับดูแล หน่วยงานของรัฐ หรือหน่วยงาน CII (9) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผน แผนปฏิบัติการ ฯลฯ (10) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความ มั่นคงปลอดภัยไซเบอร์ (11) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้อง (12) จัดทารายงานสรุปผลการดาเนินงานที่มีผลกระทบอย่างมีนัยสาคัญหรือแนวทางการพัฒนามาตรฐานการรักษาความมั่นคง ปลอดภัยไซเบอร์ให้คณะรัฐมนตรีทราบ (13) ปฏิบัติการอื่นใดตามที่บัญญัติไว้ใน พ.ร.บ. นี้ หรือคณะรัฐมนตรีมอบหมาย พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  125. 125. • องค์ประกอบของคณะกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) (มาตรา 12) – รมว.ดศ. เป็นประธานกรรมการ – กรรมการโดยตาแหน่ง ได้แก่ ปลัด กต. ปลัด คค. ปลัด ดศ. ปลัด พน. ปลัด มท. ปลัด สธ. ผบ.ตร. ผบ.สส. เลขาธิการ สมช. ผอ.สานักข่าวกรองแห่งชาติ ผู้ว่าการ ธปท. เลขาธิการ สานักงาน กลต. และเลขาธิการ กสทช. – กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 4 คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความ เชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์และเป็นประโยชน์ต่อการรักษาความมั่นคง ปลอดภัยไซเบอร์ – เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  126. 126. • หน้าที่และอานาจของคณะกรรมการ กกม. (มาตรา 13) (1) ติดตามการดาเนินการตามนโยบายและแผนตามมาตรา 9 (1) และมาตรา 42 (2) ดูแลและดาเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรงตามมาตรา 61-66 (3) กากับดูแลการดาเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์ (4) กาหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็น ข้อกาหนดขั้นต่าสาหรับหน่วยงานของรัฐและหน่วยงาน CII รวมทั้งกาหนดมาตรการในการประเมินความ เสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์... (5) กาหนดหน้าที่ของหน่วยงาน CII และหน้าที่ของหน่วยงานควบคุมหรือกากับดูแล โดยอย่างน้อยต้อง กาหนดหน้าที่ให้กาหนดมาตรฐานที่เหมาะสมเพื่อรับมือกับภัยคุกคามของแต่ละหน่วยงาน CII และหน่วยงาน ของรัฐ (6) กาหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการ... (7) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการ พิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  127. 127. การระบุความเสี่ยง ที่อาจจะเกิดขึ้น มาตรการป้องกัน ความเสี่ยง มาตรการตรวจสอบ และเฝ้าระวังภัย คุกคาม มาตรการเผชิญเหตุ เมื่อตรวจพบ มาตรการรักษาและ ฟื้นฟูความเสียหาย กรอบมาตรฐานตามมาตรา 13 (4) ให้คานึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  128. 128. • การรับมือกับภัยคุกคามทางไซเบอร์ให้ได้ทันท่วงทีของ กกม. (มาตรา 14) – ในการดาเนินการตามมาตรา 13 วรรคหนึ่ง (2) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ ทันท่วงที กกม. อาจมอบอานาจให้ รมว.ดศ. ผบ.สส. และกรรมการอื่นซึ่ง กกม.กาหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกาหนดให้หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII ที่ถูกคุกคามเข้าร่วมดาเนินการ ประสานงาน และให้การสนับสนุนด้วยก็ ได้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  129. 129. • การจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา 43) – ให้คณะกรรมการจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้น ...และเมื่อได้ประกาศแล้ว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และ หน่วยงาน CII ตามที่กาหนดไว้ในแผน ดาเนินการให้เป็นไปตามนโยบายและแผนดังกล่าว... • ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII จัดทาประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละ หน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยเร็ว ซึ่งอย่างน้อยต้องประกอบด้วย (1) แผนการตรวจสอบและประเมินความเสี่ยงโดย ผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละ 1 ครั้ง (2) แผนการรับมือภัยคุกคามทางไซเบอร์ (มาตรา 44) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  130. 130. • การบริหารจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา 45) – หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และจะต้อง ดาเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานตามมาตรา 13 วรรค หนึ่ง (4) ด้วย – ในกรณีที่ไม่อาจดาเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สานักงานอาจให้ความช่วยเหลือ ด้านบุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอได้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  131. 131. • การแจ้งรายชื่อเจ้าหน้าที่ (มาตรา 46) – เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐ หน่วยงาน ควบคุมดูแลหรือกากับดูแล และหน่วยงาน CII แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและ ระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยัง สานักงาน – ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ ให้แจ้งให้สานักงานทราบโดยเร็ว พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  132. 132. • CII (มาตรา 48) – CII เป็นกิจการที่มีความสาคัญต่อความมั่นคงของรัฐ ความมั่นคงทาง ทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อย ภายในประเทศ และเป็นหน้าที่ของสานักงานในการสนับสนุนและให้ ความช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม ทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่ CII พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  133. 133. • การประกาศกาหนดลักษณะหน่วยงานที่มีภารกิจหรือให้บริการในด้านต่างๆ เป็นหน่วยงาน CII (มาตรา 49) – ด้านความมั่นคงของรัฐ – ด้านบริการภาครัฐที่สาคัญ – ด้านการเงินการธนาคาร – ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม – ด้านการขนส่งและโลจิสติกส์ – ด้านพลังงานและสาธารณูปโภค – ด้านสาธารณสุข – ด้านอื่นตามที่คณะกรรมการประกาศกาหนดเพิ่มเติม พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  134. 134. • ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ (CERT/CSIRT) (มาตรา 50) – ให้คณะกรรมการมีอานาจประกาศกาหนดลักษณะ หน้าที่และความ รับผิดชอบของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ คอมพิวเตอร์ สาหรับหน่วยงาน CII ตามมาตรา 49 เพื่อประสานงาน เฝ้าระวัง รับมือ และแก้ไขภัยคุกคามทางไซเบอร์ โดยจะกาหนดให้ หน่วยงานของรัฐที่มีความพร้อมหรือหน่วยงานควบคุมหรือกากับดูแล หน่วยงาน CII นั้น ๆ ทาหน้าที่ดังกล่าวทั้งหมดหรือบางส่วนก็ได้... พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  135. 135. • การแจ้งรายชื่อและข้อมูลการติดต่อของ CII (มาตรา 52) • การตรวจสอบมาตรฐานขั้นต่าเรื่องความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน CII โดย หน่วยงานควบคุมหรือกากับดูแล และการแจ้งให้แก้ไขให้ได้มาตรฐานโดยเร็ว หากพบว่าไม่ได้ มาตรฐาน (มาตรา 53) • การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมีผู้ตรวจ ประเมิน ของหน่วยงาน CII และการจัดให้มีการตรวจสอบทั้งโดยผู้ตรวจสอบภายใน หรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละ 1 ครั้ง และการส่งผลสรุปการ ดาเนินการต่อสานักงานภายใน 30 วัน (มาตรา 54) และการที่ กกม. สั่งให้ หน่วยงาน CII ดาเนินการประเมินความเสี่ยงใหม่เพื่อให้เป็นไปตามมาตรฐาน...ใน กรณีที่เห็นว่าไม่เป็นไปตามมาตรฐาน (มาตรา 55) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  136. 136. • หน่วยงาน CII ต้องกาหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซ เบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับ CII ตาม มาตรฐานซึ่งกาหนดโดยหน่วยงานควบคุมหรือกากับดูแล และตามประมวลแนวทาง ปฏิบัติ รวมถึงระบบ มาตรการที่ใช้แก้ปัญหาที่คณะกรรมการหรือ กกม. กาหนด และต้องเข้าร่วมการทดสอบสถานะความพร้อมในการรับมือกับภัยคุกคามทางไซ เบอร์ที่สานักงานจัดขึ้น (มาตรา 56) • เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสาคัญต่อระบบของหน่วยงาน CII ให้รายงานต่อสานักงานและหน่วยงานควบคุมหรือกากับดูแล และปฏิบัติการรับมือ กับภัยคุกคามทางไซเบอร์ตามที่กาหนด (มาตรา 57) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  137. 137. • การรับมือกับภัยคุกคามทางไซเบอร์ของหน่วยงาน CII หน่วยงานควบคุมหรือกากับ ดูแล สานักงาน และคณะกรรมการ และหน้าที่และอานาจ (มาตรา 58-69) • ภัยคุกคามทางไซเบอร์ แบ่งเป็น 3 ระดับ (มาตรา 60) – ระดับไม่ร้ายแรง: มีความเสี่ยงอย่างมีนัยสาคัญถึงระดับที่ทาให้ระบบคอมพิวเตอร์ของ หน่วยงานโครงสร้างพื้นฐานสาคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพ ลง – ระดับร้ายแรง: มีลักษณะการเพิ่มขึ้นอย่างมีนัยสาคัญของการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมายเพื่อโจมตีโครงสร้างพื้นฐานสาคัญของ ประเทศและการโจมตีดังกล่าวมีผลทาให้ระบบคอมพิวเตอร์หรือ CII ที่เกี่ยวข้องกับการ ให้บริการของโครงสร้างพื้นฐานสาคัญของประเทศ ความมั่นคงของรัฐ ความสัมพันธ์ ระหว่างประเทศ การป้องกันประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหายจนไม่สามารถทางานหรือให้บริการได้ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  138. 138. – ระดับวิกฤติ: • (ก) เกิดจากการโจมตีระบบคอมพิวเตอร์...ในระดับที่สูงขึ้นกว่าภัยคุกคามทางไซเบอร์ ในระดับร้ายแรง โดยส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานสาคัญทางสารสนเทศ ของประเทศในลักษณะที่เป็นวงกว้าง จนทาให้การทางานของหน่วยงานของรัฐหรือ การให้บริการของโครงสร้างพื้นฐานสาคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้ง ระบบ จนรัฐไม่สามารถควบคุมการทางานส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือการใช้มาตรการเยียวยาตามปกติในการแก้ไขปัญหาภัยคุกคามไม่สามารถแก้ไข ปัญหาได้และมีความเสี่ยงที่จะลุกลามไปยังโครงสร้างพื้นฐานสาคัญอื่น ๆ ของประเทศ ซึ่งอาจมีผลทาให้บุคคลจานวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จานวนมากถูกทาลายเป็นวงกว้างในระดับประเทศ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  139. 139. – ระดับวิกฤติ: • (ข) เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของ ประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทาให้ประเทศหรือส่วนใดส่วน หนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทาความผิดเกี่ยวกับการก่อการ ร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจาเป็นต้องมีมาตรการ เร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรง เป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณา เขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดารงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบ เรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจาก ภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  140. 140. Final Thoughts
  141. 141. • ภัยด้าน IT Security & Privacy เป็น Risk ที่สาคัญอันหนึ่งที่ต้อง มีการบริหารจัดการ • Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy • Policy & Regulation รวมทั้ง Legal compliance มีความสาคัญ • อย่าลืมให้ความสาคัญกับทั้ง 3 ด้านของ IT Security อย่างได้ สมดุล: People, Process, Technology IT Security
  142. 142. How to Deal with Security
  143. 143. How to Deal with Security

×