Business Driver and Cyber Security DT @TOT

 Security Intelligence
© All Rights ReservedACIS
ปริญญา หอมเอนก (สุทัศน์ ณ อยุธยา)
Business Driver and Cybersecurity in Digital
Transformation
IT-GRC, Privacy and Cybersecurity Management
We have been certified to standards.
ISO 22301:2012 (BCMS)
ISO/IEC 27001:2013 (ISMS)
ISO/IEC 20000-1:2011 (IT-SMS)
ACIS PROFESSIONAL CENTER
บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จากัด
ACIS/Cybertron Cybersecurity Research LAB

© All Rights ReservedACIS IT-GRC, Privacy and Cybersecurity Management
PRINYA HOM-ANEK
CISSP, CSSLP, SSCP, CASP, CFE, CBCI, CGEIT, CRISC, CISA, CISM, CSX, ITIL Expert,
COBIT 5 Foundation, COBIT 5 Implementation, ISMS Lead Auditor, ITSMS and BCMS Auditor
Eisenhower Fellowships 2013, (ISC)2 Asian Advisory Board,
ISACA Thailand Board Member, itSMF Thailand Board Member,
Thailand Information Security Association (TISA), Board Member
Cybertron Co., Ltd. - CEO
ACIS Professional Center Co., Ltd. – President and Founder
2
Business Driver and Cybersecurity
in Digital Transformation
We have been certified to standards.
ISO 22301:2012 (BCMS)
ISO/IEC 27001:2013 (ISMS)
ISO/IEC 20000-1:2011 (IT-SMS)
ACIS PROFESSIONAL CENTER
140/1 Kian Gwan Building 2, 18th Floor, Wireless Road, Lumpini,
Pathumwan, Bangkok 10330, Thailand
Tel: +66 2 253 4736, Fax: +66 2 253 4737 www.acisonline.net
ACIS Professional Center Co., Ltd.

© All Rights ReservedACIS © All Rights ReservedACIS
External compromise,
unauthorized actions
Non-compliance,
inappropriate use
Misunderstanding,
ineffective execution
Threats and Trends Categories for 2019
IT-GRC, Privacy and Cybersecurity Management 3
The Nexus of Disruptive Forces
S M
I C
Top Five Disruptive Technologies
Source: ACIS Research
Internet of Things
(IoT)
Cybersecurity, Cyber Resilience
and Data Privacy
Big Data
Analytics
Artificial Intelligence
(AI) & Machine
Learning
Blockchain
I.
II.
III.
Disruptive Technologies for Value Economy
Digital
Economy
Data
Economy
Crypto
Economy
Value
Economy
Digital
Economy
Data
Economy
Crypto
Economy
Value
Economy

© All Rights ReservedACIS © All Rights ReservedACIS
The Nexus of Disruptive Forces
S M
I C
Top Five Disruptive Technologies
Internet of Things
(IoT)
Cybersecurity, Cyber Resilience
and Data Privacy
Big Data
Analytics
Artificial Intelligence
(AI) & Machine
Learning
Blockchain

© All Rights ReservedACIS © All Rights ReservedACIS IT-GRC, Privacy and Cybersecurity Management 5
Cybersecurity, Cyber Resilience and Data Privacy
IoT (Internet
of Things)
Big Data
Analytics
AI &
Machine
Learning
Blockchain
Regulatory Compliance
Top Five Digital Disruptive Technologies

© All Rights ReservedACIS © All Rights ReservedACIS IT-GRC, Privacy and Cybersecurity Management 6
โลกของเรากาลังเข้าสู่ยุค “5G” ซึ่งเป็นการเปลี่ยนแปลงจาก “Digital Economy” สู่ “Data Economy” ขณะที่มีคนกาลังพูดถึง “Crypto Economy”
กันบ้างแล้ว เมื่อเราพิจารณาคาว่า “Data Economy” เราพบว่าไม่ใช่คาใหม่ แต่ มีการกล่าวถึงคานี้มากกว่าสิบปีที่ผ่านมา แต่เพิ่งมีการตื่นตัวเรื่องนี้กัน
ในช่วงสองสามปีที่ผ่านมานี้ จากความจริงที่ว่า องค์กรใดบริหารจัดการข้อมูลได้มีประสิทธิภาพ ผู้นั้นย่อมมี “Competitive Advantage” ในการทาธุรกิจ
มากกว่าองค์กรที่ไม่สามารถนา “Data” มาใช้ประโยชน์ได้อย่างถูกต้องและถูกวิธี
Digital
Economy
Data
Economy
Crypto
Economy
Value
Economy

Digital
Transformation
& Cybersecurity
Transformation
Cryptocurrency
& Blockchain
Regulatory
Compliance:
Cybersecurity
& Privacy
Internet /
e-Payment
Fraud
Dark side of
Artificial
Intelligence
(AI)
Cyberbullying,
Social Media
Scandals
User Data
De-anonymization
Attack
Data Privacy
Risk & Leaks
in Cloud
Internet of
Things (IoT),
OT Security
State of
Cybersecurity,
Cyber Resilience
Top Ten Cyber Threats and Trends for 2019
External compromise,
unauthorized actions
Non-compliance,
inappropriate use
Misunderstanding,
ineffective execution

I.
II.
III.
ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูลในระบบคลาวด์
ภัยการโจมตีเจาะข้อมูลส่วนบุคคลในรูปแบบ De-anonymization Attack
ภัยจากการกลั่นแกล้งหรือให้ร้ายป้ายสีทางโซเชียลมีเดีย (Cyberbullying)
ภัยจากการต่อเชื่อมอุปกรณ์กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง ทาให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์
ภัยจากการนาเทคโนโลยี Artificial Intelligence (AI) มาใช้ในด้านมืด
ภัยจากการทุจริตในการทาธุรกรรมทางอิเล็กทรอนิกส์
ภัยจากการที่องค์กรไม่สามารถปฏิบัติตามกฎหมายไซเบอร์และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ภัยจากความเข้าใจผิดในธรรมชาติของสภาวะไซเบอร์
ภัยจากความเข้าใจผิดในเรื่อง Cryptocurrency และ Blockchain
ภัยจากความไม่เข้าใจของผู้บริหารระดับสูงในเรื่อง Digital Transformation & Cybersecurity Transformation10.
9.
8.
7.
6.
5.
4.
3.
2.
1.

© All Rights ReservedACIS IT-GRC, Privacy and Cybersecurity Management 9
ภัยข้อมูลรั่วไหลจากการจัดเก็บข้อมูล
ในระบบคลาวด์
1.
“
”
การใช้บริการคลาวด์ได้รับความนิยมมากขึ้น
องค์กรมักจะนาข้อมูลสาคัญขึ้นสู่คลาวด์
จึงเกิดปัญหาที่ข้อมูลสาคัญขององค์กรรั่วไหล
ส่งผลกระทบต่อชื่อเสียงและภาพลักษณ์ของ
องค์กรอย่างหลีกเลี่ยงไม่ได้
ปัญหาเรื่อง “Security” และ “Privacy”
กาลังจะกลายเป็นปัญหาใหญ่ หากไม่มี
การวางแผนและการเตรียมการที่ดีพอ
ในการรองรับปัญหาที่จะเกิดขึ้นดังกล่าว
Data Privacy Risk & Leaks in Cloud

World’s Biggest Data Breaches and Hacks
Source: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
YEAR DATA SENSITIVITY

 การจัดเก็บข้อมูลบนระบบคลาวด์ภายนอกองค์กร เนื่องจากสามารถ
ลดต้นทุนและกระจายความเสี่ยงการโจมตีทางไซเบอร์ ให้กับบริษัท
ผู้ให้บริการคลาวด์มาร่วมรับผิดชอบในการประมวลผลข้อมูลองค์กร
 การรั่วไหลของข้อมูลองค์กรผ่านระบบคลาวด์ คาถามก็คือ
เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้
ใครจะเป็นผู้รับผิดชอบในความเสียหาย
 ผู้บริหารองค์กร
 ผู้บริหารบริษัทผู้ให้บริการคลาวด์
 บริษัทที่ให้บริการประกันภัยทางไซเบอร์ (Cyber Insurance)
Threats: ISSUES

Recommendations:
 Data Governance Policy
 Data Classification
 Data Protection Techniques
Pseudonymization, Tokenization
 Two-Factor Authentication, Two-step Verification
 Top Management Mindset:
Cybersecurity Mindset เป็น Cyber Resilience Mindset
Data Governance
Policy
Data Classification
Standard
Data Handling
Guidelines

กรอบการกากับดูแลข้อมูล
(Data Governance Framework)

กรอบการกากับดูแลข้อมูล (Data Governance Framework)

กรอบการกากับดูแลข้อมูล (Data Governance Framework)
Data Classification:
 Top Secret
 Secret
 Confidential
 Internal Use
 Public
มาตรฐานการจัดชั้นความลับข้อมูล
(Data Classification Standard)

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
Thailand Data Protection Guidelines

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
Thailand Data Protection Guidelines
ขอบเขตของการประมวลผลข้อมูลผ่าน Cloud Computing

A Guide to Data Governance for Privacy, Confidentiality, and Compliance
Source: “A Guide to Data Governance for Privacy, Confidentiality, and Compliance”, 2010, Microsoft

Data Protection Techniques:
Pseudonymization, Tokenization
Pseudonymisation
Pseudonymisation enhances privacy by replacing
most identifying fields within a data record by one
or more artificial identifiers, or pseudonyms. There
can be a single pseudonym for a collection of
replaced fields or a pseudonym per replaced field.
Pseudonymous data still allows for some form of
re-identification (even indirect and remote), while
anonymous data cannot be re-identified.
Pseudonymisation vs. Anonymisation
Pseudonymisation techniques differ from
anonymisation techniques.
With anonymisation, the data is scrubbed for any
information that may serve as an identifier of a data
subject. Pseudonymisation does not remove all
identifying information from the data but merely
reduces the linkability of a dataset with the original
identity of an individual (e.g., via an encryption
scheme).
Anonymisation techniques:
 Scrambling
 Blurring

Data Protection Techniques:
Tokenization, Pseudonymization
Tokenization
when applied to data security, is the process of
substituting a sensitive data element with a non-
sensitive equivalent, referred to as a token, that has
no extrinsic or exploitable meaning or value.
Data Masking
A masking technique allows a part of the data to
be hidden with random characters or other data.
For example: Pseudonymisation with masking of
identities or important identifiers. The advantage
of masking is the ability to identify data without
manipulating actual identities.
https://chargebacks911.com/knowledge-base/what-is-tokenization/

Top Management Mindset: ‘Cybersecurity
Mindset’ to ‘Cyber Resilience Mindset’
PREVENTIVE RESPONSIVE
IF WHEN
An important starting point is the realisation that statements about cyberattacks should begin with ‘when’ rather than ‘if’.
The very real threats cannot be ignored, nor can they be accepted, given the growing body of knowledge and planned regulation.
(Source: “European Cybersecurity Implementation:Overview”, www.ISACA.org)
PROBABILITY CERTAINTY
Enterprises should regard cyberattacks as a certainty rather than a probability.
Cybersecurity should also define and maintain appropriate interfaces with related disciplines, such as:
(Source: “European Cybersecurity Implementation:Overview”, www.ISACA.org)
ARE WE SECURE ? ARE WE READY ?

Top Management Mindset: ‘Cybersecurity
Mindset’ to ‘Cyber Resilience Mindset’
Cyber Resiliency will become a key requirement for the Enterprise, as security shifts from protection to prevention as well as from preventive
to responsive. SOC, Cyber Drills and Incident Response become major cybersecurity disciplines following the Cyber Resilience framework.
NIST
Identify Protect Detect Respond Recover
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< t = 0 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
t < 0 | t > 0
Cyber Risk
PREVENTIVE RESPONSIVE

ภัยการโจมตีเจาะข้อมูลส่วนบุคคลใน
รูปแบบ De-anonymization Attack
2.
User Data De-anonymization Attack
“
”
ผู้ใช้บริการบริการโซเชียลมีเดีย ควรระมัดระวัง
การป้อนข้อมูลเข้าไปในระบบ ไม่ว่าจะ Post
หรือ Upload ข้อมูลส่วนบุคคลเข้าไปในคลาวด์
เพราะแฮ็กเกอร์สามารถหาข้อมูลเพิ่มเติมประกอบ
ที่เชื่อมโยงกับข้อมูลหลักของเรา จนสามารถระบุ
ตัวตนของเป้าหมายได้ในที่สุด
จึงควรฝึกให้มีสติทุกครั้งในการป้อนข้อมูล โดยใช้
หลักการง่าย ๆ สองข้อ คือ “Think before you
post” (คิดก่อนโพสต์) และ “You are what you
post” (คุณเป็นคนอย่างไรคุณก็โพสต์อย่างนั้น)

 ผู้ใช้บริการบริการโซเชียลมีเดีย ป้อนข้อมูลเข้าไปในระบบ
ไม่ว่าจะเป็นการ Post หรือการ Upload ข้อมูลส่วนบุคคล
เข้าไปในคลาวด์
 แฮกเกอร์สามารถปะติดปะต่อข้อมูลการค้นหาข้อมูลใน
โซเชียลมีเดีย จากข้อมูลเพียงบางส่วนที่ไม่สมบูรณ์พอที่จะ
ระบุตัวตนของบุคคลนั้นได้ ด้วยวิธีการทางเทคนิค จน
สามารถเข้าถึง Personally Identifiable Information
(PII) หรือข้อมูลที่สามารถระบุตัวบุคคลได้ในที่สุด
Threats: ISSUES

 ระมัดระวังการป้อนข้อมูลเข้าไปในระบบบริการโซเชียล
มีเดีย ไม่ว่าจะเป็นการ Post หรือการ Upload ข้อมูล
ส่วนบุคคลเข้าไปในคลาวด์
 ฝึกให้มีสติทุกครั้งในการป้อนข้ออมูล
โดยใช้หลักการง่าย ๆ สองข้อ คือ
 “Think before you post”
(คิดก่อนโพสต์)
 “You are what you post”
(คุณเป็นคนอย่างไร คุณก็โพสต์อย่างนั้น)
Recommendations:

De-anonymization Attack
Source: “De-anonymization attack on geolocated data”, 2014
Sébastien Gambsa,∗,Marc-Olivier Killijianb, Miguel Núñez del Prado Cortezb
Overview the de-anonymization attack process
Source: “On Your Social Network De-anonymizability: Quantification and Large Scale Evaluation with Seed Knowledge”, 2015, Fengli Zhang

Open Source Intelligence (OSINT) Tools
Source: https://inteltechniques.com/menu.html
MALTEGO
Intelligence Information Gathering Technique
Maltego is developed by Paterva and is used by
security professionals and forensic investigators
for collecting and analyzing open source
intelligence. It can easily collect Information
from various sources and use various
transforms to generate graphical results.
The transforms are inbuilt and can also be
customized based on the requirement. Maltego
is written in Java and comes pre-packaged in
Kali Linux. To use Maltego, user registration is
required, the registration is free. Once
registered users can use this tool to create the
digital footprint of the target on the internet.
Source: https://www.greycampus.com/blog/information-security/top-open-source-intelligence-tools

SHODAN
Google is the search engine for all but shodan is
the search engine for hackers. Instead of
presenting the result like other search engines it
will show the result that will make more sense to
a security professional. As a certified information
security professional one of the important entity is
digital asset and network. Shodan provides you a
lot of information about the assets that have been
connected to the network. The devices can vary
from computers, laptops, webcams, traffic
signals, and various IOT devices. This can help
security analysts to identify the target and test it
for various vulnerabilities, default settings or
passwords, available ports, banners, and services
etc.

Google Dorks
Sometimes it is also referred to as Google hacking.
Google is one of the most commonly used search
engine when it comes to finding stuff on the
internet. For a single search, the results can be of
various hundred pages sorted in order of relevance.
The results vary from ads, websites, social media
posts, images etc.
Google Dorks can help a user to target the search
or index the results in a better and more efficient
way. Let us say that the user wants to search for
the word usernames but only requires the results
with PDF files and not websites. This is done as
below:

A harvester is an excellent tool for getting email and domain related information. A command line tool that is used to gather metadata of public documents
The Harvester Metagoofil

Recon-ng is a great tool for target information collection. It will search for the presence of a particular username on more than 150 websites;
so as to make the attack more targeted.
Recon-ng Check Usernames

Tineye is used to perform an image related search on the web.
TinEye Recorded Future
Recorded Future is an AI-based solution to trend prediction and big data
analysis. It uses various AI algorithms and both structured and
unstructured data to predict the future.
The users can get past trends and future trends basis OSINT data.

ภัยจากการกลั่นแกล้งหรือให้ร้ายป้ายสี
ทางโซเชียลมีเดีย (Cyberbullying)
3.
“
”
บุคคลและองค์กรจาเป็นต้องวางแผนและ
มีการเฝ้าระวังสื่อสังคมออนไลน์อย่างต่อเนื่อง
องค์กรต้องมีศักยภาพหรือขีดความสามารถ
ในการโต้ตอบ ให้ข้อมูลเชิงบวกกับสาธารณชน
ให้ทันเวลา ก่อนที่ข่าวสารเชิงลบ ซึ่งทั้งจริง
และไม่เป็นความจริงจะทาให้ชื่อเสียงของบุคคล
และองค์กรมีผลกระทบต่อความน่าเชื่อถือและ
ความเชื่อมั่นของลูกค้าและประชาชน
Cyberbullying, Social Media Scandals

 ปัญหา Cyberbullying ผ่านทางสื่อโซเชียลมีเดียเป็นปัญหาที่เกิดมากขึ้น
อย่างต่อเนื่องในช่วง 3-5 ปีที่ผ่านมา มีผลกระทบต่อภาพลักษณ์ ชื่อเสียง
(Reputational Risk) อย่างมากต่อผู้ถูกกระทา
 โดยที่ผู้ถูกกระทาไม่มีโอกาสได้ตอบโต้ผู้กระทาผิดในลักษณะ
Cyberbullying ซึ่งจริงๆแล้วมีกฎหมายหมิ่นประมาทที่สามารถนามาใช้
ในกรณี Cyberbullying ได้ หากแต่ชื่อเสียงของบุคคลนั้นก็มีผลกระทบ
ในด้านลบไปเสียก่อนแล้ว เพราะธรรมชาติของสื่อโซเชียลจะมีความเร็วสูง
มาก และสามารถแพร่กระจายข่าวสารเชิงลบได้ในระยะเวลาอันสั้น โดย
แพร่ไปสู่คนรับข่าวสารในหลักพันหลักหมื่นในเวลาไม่กี่วินาที
Threats: ISSUES
Source: https://americanspcc.org/our-voice/bullying/cyberbullying/

Source: https://www.business2community.com/social-media/37-social-analytics-tools-0951247
Recommendations:
 วางแผนและมีการเฝ้าระวังสื่อสังคมออนไลน์อย่างต่อเนื่อง
 มีศักยภาพหรือขีดความสามารถในการโต้ตอบ
 ให้ข้อมูลเชิงบวกกับสาธารณชนให้ทันเวลา
 นาเทคนิคการวิเคราะห์สื่อสังคมออนไลน์มาใช้
 Social Listening
 Social Analytic
 Social Engagement
 AI/Machine Learning Social Analytics Tools

The Cyberbullying Case
Source: https://www.iplocation.net/cyberbullying-case-study

Social Analytics Tools
 Enterprise-level social analytics tools
 IBM social media analytics
 Radian6
 SAS social media analytics
 SAP social media anlaytics, CRM software solution
 Blitzmetrics
 Oracle
 Adobe Marketing Cloud
 Webfluenz
 Free social analytics tools
 Google analytics
 Hootsuite
 Simply Measured
 Various social networks offer free
social analytics tools, including
Twitter, Pinterest, and Facebook.

 Social media listening
Some tools listed in the social analytics tools list
function mainly as listening tools — an important,
but limited area within social media analytics.
 Radian6
 Trakur
 Social Ears
Used correctly, these tools not only provide good
assessments of sentiment, but can help you identify
important conversational trends and provide tools for
customer service. Social Ears also provides some
tools to improve your content marketing efforts.
 Real-time social analytics tools
These are increasingly important not only for improving
customer service, but providing appropriate content.
 Webfluenz – real-time for web only
 UberVU – primarily designed to track
conversations about your brand and competitors
 Claritics
 Unique social analytics tools
 Curalate
 Beckon

Source: https://financesonline.com/top-20-social-media-monitoring-tools/

Social Media Listening
Source: http://www.5wpr.com/new/social-listening/
WHATIS SOCIALLISTENING?
Social listening is the process of using
digital tools to monitor what people are
saying about brands online. Marketers
who perform social listening are able to
gather key insights about their target
audiences, competitors, and any potential
issues coming their way.
 Attract more customers to your brand
 Find the right social influencers
 Manage your brand reputation online
 Provide better customer service
Source: http://blog.socialmediamanagement.net/2018/06/04/how-social-media-listening%E2%80%A8can-help-your-business/

ภัยจากการต่อเชื่อมอุปกรณ์ IoT กับ
ระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง
ทาให้เสี่ยงต่อการถูกโจมตีทางไซเบอร์
4.
“
”
อุปกรณ์ที่ต่อเชื่อมกับอินเตอร์เน็ต “IoT” หรือ
“Internet of Things” ไม่จาเป็นต้องเป็นเครื่อง
คอมพิวเตอร์หรือแค่เพียงสมาร์ทโฟนอีกต่อไป
เช่น กล้องวงจรปิด โทรทัศน์ ตู้เย็น นาฬิกาเพื่อ
สุขภาพ และอุปกรณ์ไฟฟ้าที่ใช้ในครัวเรือน ฯลฯ
ขณะที่ “OT” หรือ “Operational
Technology” หมายถึงอุปกรณ์ที่ถูกนามาใช้
ในระบบอุตสาหกรรม หรือ อุปกรณ์ควบคุมระบบ
SCADA/ICS ซึ่งล้วนถูกออกแบบมาให้ชื่อผู้ใช้
และรหัสผ่านถูกกาหนดมาจากผู้ผลิตอุปกรณ์
เป็นค่าเริ่มต้น แฮกเกอร์จึงเข้าถึงอุปกรณ์เหล่านี้ได้
โดยไม่ยากเย็นนัก
IT, IoT and OT Security

ภัยจากการต่อเชื่อมอุปกรณ์ IoT กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง
 แนวคิด “IoT” (Internet of Things) ถูกนามาใช้งานจริง
อย่างเต็มรูปแบบโดยมาพร้อม ๆ กับเทคโนโลยี 5G
 “OT” (Operational Technology) อุปกรณ์ควบคุมระบบ
SCADA/ICS ชื่อผู้ใช้และรหัสผ่านถูกกาหนดมาจากผู้ผลิต
อุปกรณ์เป็นค่าเริ่มต้น ซึ่งสามารถหาอ่านได้จากคู่มือผู้ใช้
หรือหาได้ตามอินเทอร์เน็ต ทาให้แฮกเกอร์สามารถรู้ชื่อผู้ใช้
และรหัสผ่าน และเข้าถึงอุปกรณ์ได้โดยไม่ยากเย็นนัก และ
นารายการอุปกรณ์มา Public Post ให้ชาวโลกได้เห็นกัน
โดยทั่วไป ยกตัวอย่างเช่น https://www.shodan.io หรือ
https://www.zoomeye.org
Threats: ISSUES
Source: Gartner

ภัยจากการต่อเชื่อมอุปกรณ์ IoT กับระบบอินเทอร์เน็ตอย่างไม่ระมัดระวัง
Source: https://www.arcweb.com/technologies/cyber-security
Recommendations:
 เปลี่ยนชื่อ “ผู้ใช้”และ “รหัสผ่าน” ที่ถูกตั้งขึ้นโดยกาหนด
มาจากผู้ผลิต มาเป็นค่าที่ตั้งด้วยตัวเราเอง เพื่อป้องกัน
การเข้าถึงอุปกรณ์ของเราถูกเข้าถึงโดยมิชอบดังกล่าว
 ตรวจสอบการเชื่อมต่ออุปกรณ์ IoT
 ควรหมั่นตรวจสอบข้อมูลเข้า-ออกอุปกรณ์ และ
ตรวจสอบข้อมูลที่ถูกนาไปเก็บไว้ในคลาวด์ว่ามีข้อมูล
ที่ Sensitive หรือไม่ เผื่อเวลาที่ข้อมูลรั่วไหล
จะได้สามารถลดความเสียหายลงได้ในระดับหนึ่ง

Source: NSHC
New IoT hacking technics by using backdoor

Top Strategic “IoT” Trends and Technologies
Through 2023
• Artificial Intelligence (AI)Trend No. 1:
• Social, Legal and Ethical IoTTrend No. 2:
• Infonomics and Data BrokingTrend No. 3:
• The Shift from Intelligent Edge to Intelligent MeshTrend No. 4:
• IoT GovernanceTrend No. 5:
• Sensor InnovationTrend No. 6:
• Trusted Hardware and Operating SystemTrend No. 7:
• Novel IoT User ExperiencesTrend No. 8:
• Silicon Chip InnovationTrend No. 9:
• New Wireless Networking Technologies for IoTTrend No. 10:
Source: Gartner, November 2018

Demystify Seven Cybersecurity Myths of Operational
Technology and the Industrial Internet of Things
Source: Gartner, November 2018
OT Systems Face the Same Risks as IT Systems, So OT and IIoT Can Use the IT
Methodologies to Calculate Risks and Assess Threats
Myth 1:
IT and OT Cultures Are Too Incompatible and Distinctive to Develop and Implement
a Single or Common Cybersecurity Strategy
Myth 2:
IT, OT and IIoT Cybersecurity Should Be Addressed as a System by a Single Team
Reporting to One Executive
Myth 3:
Use IT Cybersecurity Design and Management to Secure OT and IIoT Initiatives,
and OT and IIoT Security Needs Will Be Met
Myth 4:
OT and IIoT Systems Are Too Specialized and Unique to Use Off-the-Shelf
Solutions and Require Customization to Secure OT SystemsMyth 5:
The Air Gap as a Means of OT Network Segmentation for Securing Networks Is
Dead
Myth 6:
Cloud-Based Cybersecurity Solutions and Automation of Cybersecurity Responses
Are Not Realistic for OT and IIoT SystemsMyth 7:

ภัยจากการนาเทคโนโลยี Artificial
Intelligence (AI) มาใช้ในด้านมืด
5.
“
”
“ผู้ให้บริการโซเซียลมีเดีย” หรือ “Tech Giant”
มีการนาเทคโนโลยี “AI” มาใช้วิเคราะห์พฤติกรรม
ของพวกเรา โดยที่เราทราบหรือไม่ทราบ ยินยอม
หรือไม่ยินยอม นาข้อมูลในโซเซียลมีเดียของเราไป
ใช้หรือไปขายเพื่อประโยชน์ทางธุรกิจ โดยที่เรามิได้
ยินยอมหรือไม่ทราบ
EU ต้องออกกฎหมาย “GDPR” มาจัดการเรื่อง
ความเป็นส่วนตัวของผู้ใช้โดยเฉพาะ ทุกคนมีสิทธิ
ที่จะจัดการหรือลบข้อมูลความเป็นส่วนตัว
สิทธิที่จะถูกลืม “Right to be forgotten”
หรือ “Right to erasure” นับเป็นสิทธิขั้นพื้นฐาน
Dark side of Artificial Intelligence (AI)
Source: https://www.codingdojo.com/blog/dark-side-of-artificial-intelligence-ai
Should We Worry About Artificial Intelligence (AI)?

 การนาข้อมูลในโซเซียลมีเดียไปขายเพื่อประโยชน์
ทางธุรกิจโดยที่เจ้าของข้อมูลส่วนบุคคลนั้น มิได้
ยินยอมหรือไม่ทราบ
 คนโดยส่วนใหญ่ดาวน์โหลดแอปต่าง ๆ มาใช้ใน
สมาร์ทโฟน โดยไม่ได้อ่าน Privacy Notice หรือ
Privacy Policy ของเขาให้ดีเสียก่อน ทาให้ถูกนา
ข้อมูลในสมาร์ทโฟนไปใช้ไม่ว่า จะเป็น Contact
หรือ Photo ไปจนถึง Call Log และ SMS
Threats: ISSUES
 เรากาลังอยู่ในยุค Attention Economy ที่ Attention Span
หรือ สมาธิการรับรู้ของบุคคลทั่วไป ในช่วงเวลาหนึ่งนั้น ในโลก
แห่งโซเซียลมีเดียอันรวดเร็ว มนุษย์มีความสนใจจดจาประมาณ
8.25 วินาที โอกาสที่เราจะตกเป็นเหยื่อ “ข่าวลวง” หรือ Fake
News มีความเป็นไปได้สูงมากโอกาสที่เราจะแชร์ข้อมูลที่ผิด ๆ
ออกไปอย่างรวดเร็วก็เป็นไปได้สูงเช่นเดียวกัน บางทีแฮกเกอร์ที่
น่ากลัวที่สุดกลับกลายเป็น “ตัวเราเอง” เนื่องจากเราไม่สามารถ
ควบคุม “สติ” ในการใช้งานโซเซียลมีเดียได้ดีพอ ทาให้เราตก
เป็นเหยื่อได้อย่างรวดเร็วโดยไม่ทันจะรู้ตัวเลยด้วยซ้า

Source: https://www.cpagrowthtrends.com/content-currency-attention-economy-2/
Recommendations:
 อ่านทาความเข้าใจนโยบายความเป็นส่วนตัว
Privacy Notice หรือ Privacy Policy จากบริการ
ระบบต่าง ๆ ทางอินเทอร์เน็ต
 คิดก่อนโพสต์ คิดก่อนแชร์ ข้อมูลที่เข้าสู่ระบบ
อินเทอร์เน็ต จะถูกนาไปใช้ประโยชน์
 พิจารณาการรับรู้ ในยุค Attention Economy
 จัดการสิทธิข้อมูลความเป็นส่วนตัว
Currency in Attention Economy

What is “Artificial” about Intelligence?
Source: AI Demystified | Callaghan Innovation

The Dark side of Artificial Intelligence (AI)
Source: https://www.bbntimes.com/en/technology/the-dark-side-of-artificial-intelligence

Artificial Intelligence (AI) and Cybersecurity
Source: https://www.bbntimes.com/en/technology/the-dark-side-of-artificial-intelligence

ภัยจากการทุจริตในการทาธุรกรรม
ทางอิเล็กทรอนิกส์
6.
Internet / e-Payment Fraud
“
”
ปัจจุบันทั่วโลกกาลังมุ่งสู่ “สังคมไร้เงินสด”
หรือ “Cashless Society” หากแต่ “Internet
Fraud” หรือการฉ้อโกงทางอินเทอร์เน็ต ก็มีสถิติ
ที่เริ่มมากขึ้นเป็นเงาตามตัวไปกับความนิยมใน
การทาธุรกรรมออนไลน์ ประชาชนถูกโกงเงิน
หรือ เงินหายออกจากบัญชี ฯลฯ ความรับผิดชอบ
ในเรื่องนี้ควรจะอยู่ใคร
ผู้ใช้จาเป็นต้องปรับแนวคิด และพฤติกรรมเสี่ยง
ดังกล่าวด้วยตนเอง เปลี่ยนแนวคิดที่ว่า “เรื่องนี้
คงไม่เกิดกับเรา” หรือ “มีการป้องกันที่ดีที่สุด
แล้ว” มาเป็น “สักวันเรื่องนี้คงเกิดกับเราอย่าง
แน่นอน” การป้องกันได้ดีที่สุด คือ “การใช้สติ”
และ “ความไม่ประมาท” ของตัวเราเอง
Source: https://blog.ipleaders.in/cashless-economy-eliciting-cyber-crime/
Is Cashless Economy Eliciting Cyber Crimes?

 “สังคมไร้เงินสด” (Cashless Society) มีส่วนก่อให้เกิด
การฉ้อโกงทางอินเทอร์เน็ต “Internet Fraud” มากขึ้น
ในการทาธุรกรรมออนไลน์ของประชาชน
 ธนาคารทยอยปิดสาขาตามเทรนด์ “Banking 4.0”
“Banking is everywhere except Bank”
 มีข่าวคราวที่ประชาชนถูกโกงเงิน หรือ เงินหายออกจาก
บัญชีกันอย่างต่อเนื่อง ปัญหาก็คือ ใครเป็นผู้รับผิดชอบ
Threats: ISSUES
Source: http://www.smethailandclub.com/money-1692-id.html
Cashless Society เงินดิจิทัลเปลี่ยนโลก

Recommendations:
 ผู้ใช้จาเป็นต้องปรับแนวคิด และพฤติกรรมเสี่ยง
ดังกล่าวด้วยตนเอง กล่าวคือ ควรเปลี่ยนแนวคิดที่ว่า
“เรื่องนี้คงไม่เกิดกับเรา” หรือ “มีการป้องกันที่ดีที่สุด
แล้ว” มาเป็น “สักวันเรื่องนี้คงเกิดกับเราอย่าง
แน่นอน” หรือ “ไม่มีการป้องกันใดๆที่ได้ผล 100%”
 มีการ “บริหารความเสี่ยงด้วยตนเอง” เป็นการหมั่น
สังเกต การเดินบัญชี หมั่นตรวจสอบ Statement
สมัคร SMS Alert เปิดวงจรการยืนยันตัวตนแบบสอง
ขั้น ใช้บัตรเครดิตโดยการเพิ่ม Verified by VISA หรือ
Mastercard Securecode
 ดูแลการตั้งและการใช้รหัสผ่านอย่างปลอดภัย ไม่โหลด
โปรแกรมมาใช้ในสมารท์โฟนโดยไม่มีความจาเป็น
 วางแผนฝากเงินกับธนาคารมากกว่าหนึ่งแห่ง ไม่ทิ้งเงินไว้
มากเกินไปในบัญชีออมทรัพย์ หรือบัญชีเดบิต
 ควรซื้อกองทุนหรือลงทุนในสินทรัพย์อื่น ไม่ควรจะเก็บเงิน
สดไว้เพียงธนาคารเดียว ควรแยกเก็บเงินสดเพื่อลดและ
กระจายความเสี่ยง เพราะธรรมชาติของไซเบอร์ ถึงอย่างไร
เราคงหนีไม่พ้นเรื่อง Data Fraud และ Internet Fraud
ตลอดจนการโจมตีแบบ Social Engineering เช่น
Phishing Attack ผ่านมากี่ปี แฮกเกอร์ก็ยังใช้เทคนิค
พวกนี้อย่างได้ผลเสมอ จากความไม่ระมัดระวังและ
ความรู้เท่าไม่ถึงการณ์ของผู้ใช้

Source: http://commonstransition.org/the-dark-side-of-digital-finance-on-financial-machines-financial-robots-financial-ai/
Recommendations:
 ดังนั้น การป้องกันได้ดีที่สุด คือ “การใช้สติ” และ
“ความไม่ประมาท” ของตัวเราเอง
 เราจึงควรเริ่มปรับเปลี่ยนความคิดและพฤติกรรมตั้งแต่
วันนี้ เพื่อจะได้ไม่ตกเป็นเหยื่อการทาธุรกรรมทุจริตใน
อนาคตที่ยากที่จะหลีกเลี่ยง แต่สามารถลดความเสี่ยง
และผลกระทบลงได้

10 เทรนด์ผู้บริโภคปี 2562
เมื่อทุกคนคือผู้เชี่ยวชาญ เพราะ DATA อยู่ในมือ
Source: https//www.etda.or.th/content/trends-of-2019-เทคโนโลยี3-และ-อีคอมเมิช์ซ.html, www.etda.or.th
1. ทุกคนคือผู้เชี่ยวชาญ
2. ใคร ๆ ก็พึ่งพาตัวเองได้
3. ความฉับไวคือสิ่งที่ปรารถนา
4. การคืนสู่สามัญ
“ความเรียบง่าย” “การขับสารพิษ” “การลดความยุ่งเหยิง” “น้อยแต่มาก” “ศิลปะทามือ” “คืนสู่สามัญ”
5. การร่าลา “พลาสติก”
6. ยุคของผู้ตื่น
7. วิถีสโลว์ไลฟ์
8. ดิจิทัลไปด้วยกัน
9. สมัยแห่งความโดดเดี่ยว
10. อายุก็แค่ตัวเลข
เทรนด์ผู้ซื้อและผู้ขายปี 2562: ความสาคัญของเทคโนโลยี
และอีคอมเมิร์ซที่เพิ่มมากขึ้นเรื่อย ๆ

ภัยจากการที่องค์กรไม่สามารถปฏิบัติ
ตามกฎหมายไซเบอร์และกฎหมาย
คุ้มครองข้อมูลส่วนบุคคล
7.
Regulatory Compliance:
Cybersecurity & Privacy
“
”
กฎระเบียบต่าง ๆ และกฎหมายที่เกี่ยวข้องกับ
ไซเบอร์จะมีความเข้มงวดมากขึ้นทั่วโลก และ
ประเทศไทยกาลังจะมีกฎหมายใหม่ที่ถูกนามา
บังคับใช้สองฉบับ ได้แก่ พ.ร.บ. ความมั่นคง
ปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูล
ส่วนบุคคล ซึ่งจะมีผลกระทบในส่วนหน่วยงาน
โครงสร้างพื้นฐานทั้งภาครัฐและเอกชน
ตลอดจนมีผลกระทบต่อประชาชนทั่วไป ซึ่งใน
ภาพรวมประชาชนจะได้ประโยชน์มากขึ้นจาก
การบังคับใช้ พ.ร.บ.ทั้งสองฉบับนี้ แต่สาหรับ
ผู้บริหารระบบสารสนเทศ ตลอดจนผู้ตรวจสอบ
ระบบสารสนเทศกลับมีเรื่องที่ต้องทามากขึ้น

ภัยจากการที่องค์กรไม่สามารถปฏิบัติตามกฎหมายไซเบอร์
และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
 องค์กรมีความจาเป็นต้องปฏิบัติตามข้อกาหนดในตัวบท
กฎหมาย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ และ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่กาลังจะประกาศใช้
 ต้องมีการจัดเตรียมงบประมาณและมีการลงทุนด้าน
ระบบสารสนเทศเพิ่มเติม เพื่อให้สอดคล้องกับข้อกาหนด
ในกฎหมายทั้งสองฉบับ
 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีเวลาให้องค์กรได้
เตรียมการไม่น้อยกว่า 180 วัน ก่อนมีผลบังคับใช้
Threats: ISSUES
(ร่าง)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
(ร่าง)
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์

ภัยจากการที่องค์กรไม่สามารถปฏิบัติตามกฎหมายไซเบอร์
และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
 ศึกษาข้อกาหนดและผลบังคับใช้ของกฎหมาย
พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล ที่กาลังจะประกาศใช้
 สร้างความตระหนักและสื่อสารให้ผู้ใช้งาน พนักงาน
ผู้บริหาร คณะผู้บริหารและคณะกรรมการ ให้มีความ
เข้าใจทั้งในระดับนโยบาย บริหารจัดการ และปฏิบัติ
 อบรมผู้ปฏิบัติงานหลักและผู้ที่เกี่ยวข้อง
Recommendations:
 ประชาชนทั่วไปในฐานะผู้ใช้บริการคงต้องตรวจสอบ
“Privacy Notice” และ “Privacy Policy” ให้
รอบคอบก่อนการใช้งานบริการออนไลน์ และโมบาย
แอปต่างๆ โดยพิจารณาว่าเนื้อหาไม่มีการละเมิด
ข้อมูลส่วนบุคคลของเรา
 บริษัท Tech Giant ต่าง ๆ เช่น Facebook และ
Google ต้องมีการปรับตัวให้สอดคล้องกับ EU’s
GDPR

กฎหมายสาคัญด ้านเทคโนโลยีสารสนเทศ
พระราชกฤษฎีกาจัดตั้งสานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) พ.ศ. 2554
พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ ฉบับแก้ไขเพิ่มเติม (ฉบับที่ 2) พ.ศ. 2551
พระราชบัญญัติว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ฉบับที่ 2 พ.ศ. 2560
พระราชบัญญัติระบบการชาระเงิน พ.ศ. 2560
(ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
(ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
(ร่าง) แนวนโยบายการปกป้องโครงสร้างพื้นฐานสาคัญทางสารสนเทศของประเทศ
(Critical Information Infrastructure Protection)
(ร่าง) พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ....

กฎหมายสาคัญที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ
ชุดกฎหมายดิจิทัล
ร่างพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล
ร่างพระราชบัญญัติ
การรักษาความมั่นคง
ปลอดภัยไซเบอร์
ครม.
เห็นชอบหลักการ
คณะกรรมการกฤษฎีกา
พิจารณาร่าง
กระทรวงฯ
นากลับมาทบทวน/
รับฟังความเห็น
สนช. วาระ 1
รับหลักการ
กมธ. พิจารณา
รายมาตรา
เห็นชอบร่าง
ประกาศ
ราชกิจจานุเบกษา
ครม.
เห็นชอบร่าง
    
18 ธ.ค. 616 ม.ค. 58
    
18 ธ.ค. 616 ม.ค. 58

ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัย
ไซเบอร์ พ.ศ. ….
• คณะกรรมการหมวด ๑
• สานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์
แห่งชาติ
หมวด ๒
• การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติหมวด ๓
• บทกาหนดโทษหมวด ๔
• บทเฉพาะกาล-

ร่างพระราชบัญญัติว่าด ้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ….
นิยาม คาจากัดความ

ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….
• คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหมวด ๑
• การคุ้มครองข้อมูลส่วนบุคคลหมวด ๒
• สิทธิของเจ้าข้อมูลส่วนบุคคลหมวด ๓
• สานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหมวด ๔
• การร้องเรียนหมวด ๕
• ความรับผิดทางแพ่งหมวด ๖
• บทกาหนดโทษหมวด ๗
• บทเฉพาะกลาล-
• การบังคับใช้ คานิยามมาตรา ๑-๖

ร่างพระราชบัญญัติคุ้มครองข ้อมูลส่วนบุคคล พ.ศ. ….

8. Top Ten Cyber Threats and Trends for 2019
“
”
คาว่า “Cybersecurity” เป็นคายอดนิยมที่ถูก
นามาใช้อย่างแพร่หลายในแทบทุกวงการ แต่จะมี
สักกี่คนที่เข้าใจธรรมชาติของ “สภาวะไซเบอร์”
ได้อย่างถูกต้อง หากเรายังมีคาถามว่า “ระบบนั้น
ระบบนี้ ปลอดภัยไหม” (Are we secure?) ก็คง
ต้องทาความเข้าใจเสียใหม่ว่า ไม่มีคาว่า “ระบบที่
ปลอดภัย 100%” ต่อให้เราลงทุนด้านการรักษา
ความปลอดภัยไซเบอร์ไปมากเพียงใด เราก็ยังไม่
สามารถรอดพ้น 100% จากการโจมตีทางไซเบอร์
ได้ ดังนั้น เรามีความจาเป็นต้องปรับเปลี่ยน
Mindset จาก “Are we secure?” เป็น “Are
we ready?”
ภัยจากความเข้าใจผิด
ในธรรมชาติของสภาวะไซเบอร์
State of Cybersecurity, Cyber Resilience
Cybersecurity
Cyber
Resilience

 ความเข้าใจธรรมชาติของ “สภาวะไซเบอร์” ได้อย่าง
ถูกต้อง หากเรายังมีคาถามว่า “ระบบนั้น ระบบนี้
ปลอดภัยไหม” (Are we secure?) ก็คงต้องทา
ความเข้าใจเสียใหม่ว่า ไม่มีคาว่า “ระบบที่ปลอดภัย
100%” ต่อให้เราลงทุนด้านการรักษาความ
ปลอดภัยไซเบอร์ไปมากเพียงใด เราก็ยังไม่สามารถ
รอดพ้น 100% จากการโจมตีทางไซเบอร์ได้
Threats: ISSUES

Recommendations:
 ต้องปรับเปลี่ยน Mindset จาก “Are we secure?”
เป็น “Are we ready?” หมายถึง ให้มีการเตรียมพร้อม
อยู่เสมอ สาหรับเหตุการณ์ไม่คาดฝันทางไซเบอร์ที่มี
โอกาสเกิดขึ้นได้ตลอดเวลา และเมื่อภัยมาถึง เราควร
เตรียมการให้ระบบมีความสามารถในการรับมือกับการ
โจมตีของแฮกเกอร์ ซึ่งก็คือการนาแนวคิด “Cyber
Resilience” มาประยุกต์ใช้ หัวใจหลักของ “Cyber
Resilience” คือ ระบบของเราต้องเตรียมพร้อมต่อการ
ถูกโจมตีอยู่ตลอดเวลา
 “ภาวะผู้นา” หรือ Top Management Leadership
เป็นอีกเรื่องที่สาคัญในการบริหารจัดการความมั่นคง
ปลอดภัยไซเบอร์ขององค์กรให้เกิดผลสาเร็จ
 “วินัยไซเบอร์” เป็นเรื่องหนึ่งที่สาคัญ ผู้บริหารระดับสูง
ขององค์กรควรทาความเข้าใจและสั่งการควบคุมให้
เกิดขึ้นจริงในองค์กร เพราะ Cybersecurity ไม่ใช่แค่
เพียงเรื่องทางเทคนิคหรือเทคโนโลยี (Technology)
เพียงอย่างเดียว หากแต่เป็นเรื่องของการปรับปรุง
“กระบวนการ” (process) และความรู้ความเข้าใจของ
“บุคลากร”ในองค์กรทุกคน (people) จึงจะสมบูรณ์ใน
แนวคิด PPT คือ People, Process and Technology

Cybersecurity and Related Issues
Source: https://toplink.weforum.org/knowledge/insight/a1Gb00000015LbsEAE/explore/summary

Cyber Security and Cyber Resilience
Source: “Cyber Security strategies achieving cyber resilience”, Information Security Forum (ISF), www.securityforum.org

Paradigm Shift in Cybersecurity
“From preventive to responsive”

Cybersecurity Risk vs. IT Risk
Source: “Transforming Cybersecurity”, www.ISACA.org Source: “COBIT 5 Implementation” “COBIT 5 for Risk”,, www.ISACA.org
Cybersecurity Risk IT Risk
Cybersecurity
Risk
Organizational
Risk
Social
Risk
Technical
Risk
Categories
of IT Risks
IT Benefit
Realization
Risk
IT Service
Delivery
Risk
IT Solution
Delivery
Risk
IT Benefit Realization Risk
 IT programme selection
 New technologies
 Technology selection
 IT investment decision making
 Accountability over IT
 IT project termination
 IT project economics
IT Solution Delivery Risk
 Architectural agility and
flexibility
 Integration of IT within
business processes
 Software implementation
 Project delivery
 Project quality
IT Service Delivery Risk
 State of infrastructure technology
 Ageing of application software
 Regulatory compliance
 Selection/performance of third-party
suppliers
 Infrastructure theft
 Destruction of infrastructure
 IT staff
 IT expertise and skills
 Software integrity
 Infrastructure (Hardware)
 Software performance
 System capacity
 Ageing of infrastructural software
 Malware
 Logical attacks
 Information media
 Utilities performance
 Industrial action
 Data(base) integrity
 Logical trespassing
 Operational IT errors
 Contractual compliance
 Environmental
 Acts of nature

NIST Cybersecurity Framework (CSF)
Source: “framework for improving critical infrastructure cybersecurity”, www.nist.gov/
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11

NIST Cybersecurity Core Functions

9. Top Ten Cyber Threats and Trends for 2019
“
”
Blockchain เป็นหนึ่งในเทคโนโลยีเปลี่ยนโลก
ที่กาลังมีอนาคต หลายองค์กรกาลังศึกษาหาทาง
นาเทคโนโลยี Blockchain มาใช้ให้เกิดประโยชน์
สูงสุดต่อองค์กร ขณะที่อีกมุมหนึ่งมีผู้สนใจใน
Cryptocurrency ที่เกิดจากการนาเทคโนโลยี
Blockchain มาประยุกต์ใช้ สร้างเป็น “Coin”
หรือ “Token” ไปจนถึง “ICO” “STO” ฯลฯ
หลายคนมีความเชื่อว่า จาก Data Economy
เรากาลังจะไปสู่ Crypto Economy
หากแต่เทคโนโลยี Blockchain ยังสามารถนามา
ทาสิ่งอื่น ที่ไม่ใช่เฉพาะเรื่อง Cryptocurrency ได้
อีกมากมายโดยที่เรายังไม่ได้คิด ถือเป็นเรื่องใหม่ๆ
ที่อาจเกิดขึ้นในอนาคต
ภัยจากความเข้าใจผิดในเรื่อง
Cryptocurrency และ Blockchain
Cryptocurrency and Blockchain Myths
Source: https://medium.com/@blockpit/the-top-6-myths-about-blockchain-and-cryptocurrencies-3c23ca6bf9a6

 หลายองค์กรกาลังศึกษาหาทางนาเทคโนโลยี
Blockchain มาใช้ให้เกิดประโยชน์สูงสุดต่อองค์กร
ขณะที่อีกมุมหนึ่งมีผู้สนใจใน Cryptocurrency ที่เกิด
จากการนาเทคโนโลยี Blockchain มาประยุกต์ใช้
สร้างเป็น “Coin” หรือ “Token”
 รัฐบาลในบางประเทศต้องออกกฎหมายมากากับ
ควบคุม หรือ ส่งเสริมเพื่อให้สอดคล้องกับความนิยมใน
Cryptocurrency ดังกล่าว ไม่ว่าจะเป็น Bitcoin หรือ
Ethereum ไปจนถึง Cryptocurrency Wallets และ
Cryptocurrency Exchanges ต่างๆอีกมากมาย
Threats: ISSUES
 ยังมีความเข้าใจผิดเวลาพูดถึง “Bitcoin” ก็อาจเข้าใจว่า
เป็น “Blockchain” หรือพูดถึง “Blockchain” ก็เข้าใจ
ว่าเป็นเรื่องของ “Bitcoin”
 ซึ่งที่จริง Blockchain เป็นเรื่องของเทคโนโลยีที่มาเปลี่ยน
โลก ขณะที่ Bitcoin เป็นการนาเทคโนโลยี Blockchain
มาประยุกต์ใช้ให้เกิดเป็นเงินสกุลดิจิทัล “Bitcoin” ถือ
กาเนิดขึ้นมาเป็น Cryptocurrency ที่มีความอิสระไม่
ขึ้นกับธนาคารกลางใดและรัฐบาลของประเทศใดในโลกนี้

Recommendations:
 Cryptocurrency กาลังเป็นเงินสกุลดิจิทัลที่นิยมใช้
เป็นสื่อกลางในการแลกเปลี่ยนมูลค่าของสินค้าและ
บริการที่มีคุณลัษณะที่ทาได้อย่างอิสระและรวดเร็ว
หากแต่เทคโนโลยี Blockchain ยังสามารถนามาทา
สิ่งอื่น ที่ไม่ใช่เฉพาะเรื่อง Cryptocurrency ได้อีก
มากมายโดยที่เรายังไม่ได้คิด ถือเป็นเรื่องใหม่ ๆ ที่อาจ
เกิดขึ้นในอนาคต
 จับตามอง Blockchain Application ที่กาลังจะถูก
ปล่อยออกมาให้เราได้ใช้งานกันอีกมากมายในอนาคต
จนกว่าโลกจะเข้าสู่ Crypto Economy เต็มตัวอย่าง
ที่หลายคนได้ทานายไว้
 หลายคนมีความเชื่อว่า จาก Data Economy เรากาลังจะ
ไปสู่ Crypto Economy หากแต่คงยังไม่รวดเร็วขนาดที่จะ
เกิดขึ้นในสองถึงสามปีข้างหน้านี้ เนื่องจากการนา
เทคโนโลยี Blockchain มาใช้ในปัจจุบันยังไม่แพร่หลายใน
ลักษณะ Mainstream ดูจากการพัฒนาโปรแกรมประยุกต์
ต่าง ๆ ด้วยการใช้เทคโนโลยี Blockchain ขององค์กร
ตลอดจนการพัฒนาโมบายแอพฯที่คนใช้ทั่วโลกยังมีไม่มาก
นัก แต่เราจะเห็นการใช้งานในรูปแบบของ โปรแกรม
Cryptocurrency Wallet ที่นิยมกันมากทั่วโลก เช่น
โปรแกรม Coinbase เป็นโมบายแอพฯ Cryptocurrency
wallet ที่ถูกดาวน์โหลดไปใช้ทั่วโลก

How blockchain could change the world?
Blockchain Revolution

Relationship Between Bitcoin and Blockchain
BlockchainMiners or Mining pool
Confirm Transactions in Blockchain
Transactions
Reward for confirmation

The End of Middleman
Blockchain
Trust Protocol

Myth about Blockchain
Blockchain
Technology
Bitcoin, Litecoin, etc.
Cryptocurrency
Support

ภัยจากความไม่เข้าใจของผู้บริหารระดับสูง
ในเรื่อง Digital Transformation and
Cybersecurity Transformation
10.
Digital Transformation and Cybersecurity
Transformation
“
”
การปรับองค์กรตามแนวทาง “Digital
Transformation” ไม่ใช่เพียงการนาเอา
เทคโนโลยีดิจิทัลมาใช้ แต่ต้องปรับเปลี่ยนองค์กร
ตั้งแต่เรื่อง “Leadership” ไปจนถึง “Customer
Experience” ซึ่งจาเป็นต้อง Transform เรื่อง
การบริหารจัดการ Security และ Privacy ใน
องค์กรด้วย การนาหลักการ Cyber Resilience
มาประยุกต์ใช้ เป็นเรื่องที่สาคัญมากสาหรับองค์กร
ในยุคใหม่ที่สามารถเตรียมพร้อมรับกับสิ่งไม่
คาดคิดที่อาจจะเกิดขึ้น ขณะเดียวกันองค์กรยัง
สามารถรักษาระดับการให้บริการกับลูกค้าไว้ได้
โดยไม่มีผลกระทบต่อชื่อเสียงและภาพลักษณ์ของ
องค์กร
Source: “Microsoft’s 4 pillars of digital transformation”, Microsoft

ภัยจากความไม่เข้าใจของผู้บริหารระดับสูงในเรื่อง
Digital Transformation and Cybersecurity Transformation
 การนาเทคโนโลยีดิจิทัลมาใช้ ให้เกิดประโยชน์ในรูปแบบ
ที่หลายองค์กรกาลังนิยมในปัจจุบัน คือ การปรับองค์กร
ตามแนวทาง “Digital Transformation” ซึ่งไม่ใช่เพียง
การนาเอาเทคโนโลยีดิจิทัลมาใช้ แต่ต้องปรับเปลี่ยนองค์กร
ตั้งแต่เรื่อง “Leadership” ไปจนถึง “Customer
Experience” ทั้งยังต้องปรับเปลี่ยนเรื่อง Security และ
Privacy ขององค์กรอีกด้วยเนื่องจากเป็นฐานในการสร้าง
Trust หรือความเชื่อมั่น ในสินค้าและบริการขององค์กร
Threats: ISSUES
 การทา Digital Transformation โดยลืมคานึงถึง
เรื่อง Cybersecurity Transformation จะไม่
สามารถสาเร็จลุล่วงในระยะยาวได้เนื่องจากมีปัญหา
ด้านความมั่นคงปลอดภัยไซเบอร์ และปัญหาด้าน
การละเมิดข้อมูลส่วนบุคคล ยังไม่ได้รับการปรับแก้ไข
ให้ถูกต้อง

ภัยจากความไม่เข้าใจของผู้บริหารระดับสูงในเรื่อง
Digital Transformation and Cybersecurity Transformation
Recommendations:
 ดังนั้นการทา Digital Transformation ให้สาเร็จ
จาเป็นต้อง Transform เรื่องการบริหารจัดการ Security
และ Privacy ในองค์กรด้วย การนาหลักการ Cyber
Resilience มาประยุกต์ใช้ ซึ่งเป็นเรื่องที่สาคัญมาก
สาหรับองค์กรในยุคใหม่ที่สามารถเตรียมพร้อมรับกับสิ่งไม่
คาดฝันที่อาจจะเกิดขึ้น โดยที่เราไม่ได้คาดคิดมาก่อน
 ขณะเดียวกันองค์กรยังสามารถรักษาระดับการให้บริการ
กับลูกค้าไว้ได้โดยไม่มีผลกระทบต่อชื่อเสียงและภาพลักษณ์
ขององค์กร ซึ่งผู้บริหารระดับสูงจาเป็นต้องทาความเข้าใจ
ในหลักการ "Cyber Resilience" และ “Cybersecurity
Transformation” ดังกล่าว
ACIS-CYBERTRON Cybersecurity Framework

Digitization or Digitalization
Source : https://news.sap.com/

Digitization or Digitalization

What is Digital Transformation (DX)
“Digital Transformation”
is the integration of digital technology into all areas of
a business resulting in fundamental changes to how
businesses operate and how they deliver value to
customers.

THE REAL MEANING of DIGITAL TRANSFORMATION
CREDIT : ALTIMETER

DX Problems

http://www.digitaltransformationbook.com/tag/harvard-business-review/

Cybersecurity Risk
Cybersecurity
Risk
Organizational
Risk
Social Risk
Technical Risk
 Organizational Design and Structural Risk
 Organizational Governance, Compliance and Control Risk
 Cultural Risk
 People Risk
 Individual Culture Risk
 Risk Associated With Human Factors
 Emergence Risk
 Architecture-related Risk
 Application Layer Risk
 Risk Related to the Operating System Layer
 IT Infrastructure Risk
 Technical Infrastructure Risk
Source: “Transforming Cybersecurity”, www.ISACA.org

NIST Cybersecurity Framework (CSF)
Source: “Cybersecurity Nexus: Implementing the NIST Cybersecurity Framework”, www.ISACA.org

Transforming Cybersecurity
Source: “Transforming Cybersecurity”, 2013, www.ISACA.org
ISBN: 978-1-60420-360-8
Source: “Transforming Cybersecurity Using COBIT 5”, 2013, www.ISACA.org
ISBN: 978-1-60420-342-4

Guiding Principles for
Transforming Cybersecurity
Principle 1. Know the potential impact of cybercrime and cyberwarfare.
Principle 2. Understand end users, their cultural values and their behavior patterns.
Principle 3. Clearly state the business case for cybersecurity, and the risk appetite of the enterprise.
Principle 4. Establish cybersecurity governance.
Principle 5. Manage cybersecurity using principles and enablers.
Principle 6. Know the cybersecurity assurance universe and objectives.
Principle 7. Provide reasonable assurance over cybersecurity.
Principle 8. Establish and evolve systemic cybersecurity.

Email : prinya@acisonline.net
Facebook : www.facebook.com/prinyah
Facebook search : prinya hom-anek
Twitter: www.twitter.com/prinyaACIS (@prinyaacis)
www.TISA.or.th ,
Thailand Information Security Association (TISA)
www.cdicconference.com
www.acisonline.net
ACIS Professional Center Co., Ltd.
www.youtube.com/thehackertv
www.youtube.com/thecyber911

Business Driver and Cyber Security DT @TOT

Recommended

Recommended

More Related Content

Similar to Business Driver and Cyber Security DT @TOT

Similar to Business Driver and Cyber Security DT @TOT (20)

More from Tanya Sattaya-aphitan

More from Tanya Sattaya-aphitan (8)

Business Driver and Cyber Security DT @TOT