Cybersecurity มั่นคง ปลอดภัย กับธุรกรรมภาครัฐ

1. 1
CYBERSECURITY
สุรางคณา วายุภาพ
ผู้อํานวยการสํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
ภารกิจสําคัญช่วงปลายปี 61 ต่อเนื่อง กลางปี 62 - ดูแลการจัดตั้ง 3 องค์กร
ETDA - Electronic Transaction Development Agency,
DPA- Data Protection Agency,
NCSA - National Cybersecurity Agency
ดูแล ศูนย์ประสานงาน Cybersecurity และ Data Protection Knowledge Center
มั่นคง ปลอดภัย กับธุรกรรมภาครัฐ
Promote e-Commerce
Develop Standard สําหรับธุรกรรมทางออนไลน์
Minimize Risks-Cybersecurity, ThaiCert, GMS (Government Monitoring System)

2. S E C U R I T Y
2
Strong
Government
Excellence learning
Current
Situation
Uncontrollable
Factors
Recommen
dation
Information
Security
Tips for
Social Media
Why is Security
our shared
responsiblity

3. 3
Paperless&Cashless | Digital ID | Open Data | Data Sharing | Blockchain | Artificial Intelligence (AI)
STRONG
GOVERNMENT
ต้องเตรียม IT ให้พร้อม
เพื่อยกระดับความเข้มข้น ทาง Security
SECURITY
CYBER

4. 4
EXAMPLE: LESSON LEARNED FROM OTHERS
SECURITY
CYBER
ด้านระบบ | กฎหมาย | นโยบาย | หน่วยงาน
!!! DATA BREACH
ข้อมูล SingHealth การรั่วไหลของ 1.5 ล้านคน
ITU : Global Cybersecurity Index (GCI) 2017
WHYสิงคโปร์ อันดับ 1
Security ของโลก

5. 5
ยุทธศาสตร์ | พัฒนาคน | พัฒนากฎหมาย
ประกาศ CII | Incident Handling Flow
SECURITY
CYBER
CURRENT
SITUATION
ก้าวสู่ TOP 20 ได้อย่างไร
ประเทศไทย อันดับ 22 จาก 194 ประเทศ
ITU : Global Cybersecurity Index (GCI) 2017

6. 6
UNCONTROLLABLE
FACTORS
SECURITY
CYBER
Awareness
ขาดความตระหนัก
Policy
Alignment
นโยบายที่ยังไม่สอดคล้อง
Budget
งบประมาณไม่เพียงพอ
Digital
Workforce
ขาดบุคลากร
Software
Vulnerability
ช่องโหว่ของ Software

7. 7
ที่มา: SANS
1. Inventory of Authorized and
Unauthorized Devices
2. Inventory of Authorized and
Unauthorized Software
3. Secure Configurations for Hardware
and Software
4. Continuous Vulnerability
Assessment and Remediation
5. Controlled Use of Administrative
Privileges
11. Secure Configurations for Network
Devices
12. Boundary Defense
13. Data Protection
14. Controlled Access Based on the
Need to Know
15.Wireless Access Control
หมายเหตุ:
HIPAA = Health Insurance Portability and Accountability Act
FFIEC = Federal Financial Institutions Examination Council
NERC CIP = North American Electric Reliability Corporation
Critical Infrastructure Protection
CSA = Cloud Security Alliance
6. Maintenance, Monitoring, and
Analysis of Audit Logs
7. Email and Web Browser
Protections
8. Malware Defenses
9. Limitation and Control of
Network Ports
10. Data Recovery Capability
16.Account Monitoring and Control
17.Security Skills Assessment and
Appropriate Training to Fill Gaps
18. Application Software Security
19. Incident Response and Management
20. Penetration Tests and Red Team
Exercise
20 CRITICAL SECURITY CONTROLS
RECOMMENDATION
SECURITY
CYBER
การใช้ Cybersecurity Framework (CSF)
ควบคู่กับมาตรฐานและคอนโทรลด้านความมั่นคงปลอดภัย
มาตรฐานทั่วๆ ไป
• ISO/IEC 27001 การรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
• HIPAA กฎหมายคุ้มครองข้อมูลสุขภาพ (สหรัฐอเมริกา)
• FFIEC คู่มือการตรวจไอทีของหน่วยงานกํากับดูแลกลุ่มการเงิน (สหรัฐอเมริกา)
• NERC CIP มาตรฐานความมั่นคงปลอดภัยในกลุ่มผู้ผลิตไฟฟ้า (อเมริกาเหนือ)
มาตรฐานที่ Specific เฉพาะแต่ละ Sector
• บริการ Cloud computing - CSA Star
• กลุ่มสาธารณสุข - ISO 27799
• กลุ่มบริการชําระเงิน - PCI DSS (Data Security Standard)
• กลุ่มพลังงานไฟฟ้า NERC CIP

8. 8
1. Security and Privacy by Design
2. Regular Audit
3. Asset Classification
4. Risk Management
5. Website Security Standard /
Website Application Standard
6. Government Monitoring System :
GMS by ThaiCERT
7. Best Practice
SECURITY
CYBER
INFORMATION
SECURITY

9. 9
1. Update Software
2. ไม่แชร์ Password : ตั้งให้ยาก จําให้ได้ เปลี่ยนบ่อยๆ
3. Check ก่อน Share
4. ดูแลข้อมูลส่วนบุคคล
5. ไม่หลงกล click link
TIPS FOR
SOCIAL MEDIA
SECURITY
CYBER

10. 10
SECURITY
CYBER
WHY SECURITY
IS OUR SHARED RESPONSIBILITY
SECURITY เป็นหน้าที่ของทุกคน

11. 11