รายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญในห้วงตุลาคม 2564-มีนาคม 2565
- Details
- Category: มติ ครม.
- Published: Tuesday, 16 August 2022 22:34
- Hits: 2760
รายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญในห้วงตุลาคม 2564-มีนาคม 2565
คณะรัฐมนตรีรับทราบตามที่คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) รายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญในห้วงเดือนตุลาคม 2564-มีนาคม 2565 [เป็นการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 9 (12) ที่บัญญัติให้ กมช. จัดทำรายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญหรือแนวทางการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้คณะรัฐมนตรีรับทราบ] ซึ่งในการประชุม กมช. ครั้งที่ 1/2565 เมื่อวันที่ 7 เมษายน 2565 ที่ประชุมมีมติเห็นชอบให้รายงานเรื่องดังกล่าวต่อคณะรัฐมนตรีเพื่อทราบ สาระสำคัญสรุปได้ ดังนี้
1. สถิติเหตุการณ์ภัยคุกคามทางไซเบอร์ สามารถจำแนกประเภทภัยคุกคามทางไซเบอร์ที่ศูนย์ประสานรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ศปช.) ได้ดำเนินการสนับสนุนการปฏิบัติในการแก้ไขปัญหาภัยคุกคามทางไซเบอร์และตรวจพบมากที่สุด ดังนี้
|
ประเภทภัยคุกคามทางไซเบอร์ |
จำนวน (เหตุการณ์) |
|
(1) Hacked Website [การพนันออนไลน์ การปลอมแปลงหน้าเว็บไซต์จริงเพื่อหลอกเอาข้อมูล (Website Phishing) การโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูลเผยแพร่หน้าเว็บไซต์ (Website Defacement)] |
52 |
|
(2) ข้อมูลรั่วไหล |
26 |
|
(3) จุดอ่อนช่องโหว่ |
23 |
|
(4) Ransomware1 |
11 |
|
(5) อื่นๆ |
32 |
|
รวม |
144 |
2. สถิติการปฏิบัติในการรับมือกับภัยคุกคามทางไซเบอร์ ดังนี้
|
การดำเนินการ |
จำนวน |
|
(1) แจ้งเตือนเหตุการณ์ ให้คำปรึกษา และแนะนำในการแก้ไขปัญหา |
124 เหตุการณ์ |
|
(2) การแจ้งเตือนข้อมูลสำคัญเกี่ยวกับภัยคุกคามทางไซเบอร์ |
11 รายงาน |
|
(3) การประเมินความเสี่ยงและทดสอบการเจาะระบบ |
2 หน่วยงาน |
|
(4) การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ |
7 เหตุการณ์ |
|
(5) การเผยแพร่ข้อมูลภัยคุกคามและข่าวสารที่เป็นประโยชน์ต่อสาธารณะ |
158 รายงาน |
|
(6) การจัดอบรมเพื่อสร้างความตระหนักรู้ |
71 หน่วยงาน |
|
รวม |
373 |
3. ประเภทของหน่วยงานที่ถูกโจมตีด้วยภัยคุกคามทางไซเบอร์มากที่สุด 5 อันดับแรก ดังนี้
|
ประเภทหน่วยงาน (แบ่งตามภารกิจหรือบริการ) |
จำนวน (เหตุการณ์) |
|
(1) หน่วยงานด้านการศึกษา |
36 |
|
(2) หน่วยงานด้านสาธารณสุข |
29 |
|
(3) หน่วยงานของรัฐที่ไม่ใช่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ |
24 |
|
(4) หน่วยงานด้านพลังงานและสาธารณูปโภค |
8 |
|
(5) ผู้ประกอบกิจการให้เช่าพื้นที่เว็บไซต์หรือที่เป็นดาต้าเซ็นเตอร์ |
7 |
|
รวม |
104 |
4. เหตุการณ์สำคัญในห้วงเดือนตุลาคม 2564-มีนาคม 2565 ดังนี้
4.1 ข้อมูลของสำนักงานสาธารณสุขจังหวัดศรีสะเกษรั่วไหล โดยเป็นข้อมูลส่วนบุคคล เช่น รหัสสถานพยาบาล ชื่อ นามสกุล วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน 108,000 ข้อมูล ถูกเผยแพร่ลงบนเว็บไซต์ RaidForums จากเหตุการณ์ดังกล่าว ศปช. ได้ส่งหนังสือแจ้งเตือนเร่งด่วนไปยังสำนักงานปลัดกระทรวงสาธารณสุขและสำนักงานสาธารณสุขจังหวัดศรีสะเกษให้รับทราบถึงสถานการณ์ เพื่อแนะนำการแก้ไขและป้องกันเพื่อลดความเสี่ยงไม่ให้ถูกโจมตีซ้ำ
4.2 เปลี่ยนแปลงหน้าเว็บไซต์สำนักงานศาลรัฐธรรมนูญ (สนง. ศร.) โดยผู้โจมตีเว็บไซต์ได้ทำการเปลี่ยนแปลงหน้าเว็บไซต์เป็นวิดีโอจากผู้ใช้ YouTube ที่ชื่อว่า “Death Grips” ชื่อเพลง Guillotine (It goes Yah) เข้าแทนที่ โดย สนง. ศร. ได้ดำเนินการตรวจสอบและได้สร้างหน้าเว็บไซต์แบบคงที่ (Website Static) เพื่อใช้งานแทนตามคำแนะนำของ ศปช.
4.3 แฝงเว็บไซต์พนันออนไลน์บนเว็บไซต์สำนักงานผู้ตรวจการแผ่นดิน (สผผ.) โดยเป็นการโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูลเผยแพร่หน้าเว็บไซต์ (Website Defacement) ทำให้หน้าเว็บไซต์กลายเป็นการโฆษณาเว็บไซต์การพนัน จากเหตุการณ์ดังกล่าว ศปช. ได้ส่งหนังสือแจ้งเตือนเร่งด่วนไปยัง สผผ. ให้รับทราบสถานการณ์ เพื่อดำเนินการตรวจสอบแก้ไขหน้าเว็บไซต์และระบบที่เกี่ยวข้องให้เป็นไปตามมาตรฐานและมีความมั่นคงปลอดภัย
4.4 เฝ้าระวังสถานการณ์ภัยคุกคามทางไซเบอร์ จากกรณีความขัดแย้งระหว่างประเทศ จากเหตุการณ์ความขัดแย้งระหว่างสหพันธรัฐรัสเซียกับประเทศยูเครน ทำให้เกิดปฏิบัติการที่เรียกว่า “สงครามไฮบริด” ซึ่งมีการปฏิบัติการโจมตีทางทหารและการโจมตีทางไซเบอร์ระหว่างประเทศคู่ขัดแย้งกันเองและประเทศที่เป็นพันธมิตร จากกรณีความขัดแย้งดังกล่าวสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้จัดประชุมเตรียมการป้องกันรับมือด้านความปลอดภัยทางไซเบอร์ร่วมกับหน่วยงานควบคุมหรือกำกับดูแลและ ศปช. เพื่อประมวลสถานการณ์และแนวทางป้องกันรับมือการโจมตีทางไซเบอร์ โดยมีหน่วยงานควบคุมหรือกำกับดูแลเข้าร่วม 19 หน่วยงาน และ ศปช. เข้าร่วม 5 ศูนย์
4.5 การโจมตีทางไซเบอร์ต่อระบบ MOPH Immunization Center (หมอพร้อม) พบหมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address) ที่น่าสงสัย 2 หมายเลขที่มีการโจมตีระบบหมอพร้อมเป็นจำนวนมากจนผิดปกติ ศปช. จึงประสานไปยังผู้ให้บริการอินเทอร์เน็ตเพื่อให้ระงับการโจมตีจากแหล่งที่มาของหมายเลขดังกล่าว ทั้งนี้ ไม่พบว่ามีข้อมูลรั่วไหล
5. แนวโน้มเหตุการณ์ภัยคุกคามทางไซเบอร์ในอนาคต คาดการณ์ว่าการโจมตีด้วยการปลอมแปลงหน้าเว็บไซต์จริงเพื่อหลอกเอาข้อมูล (Website Phishing) จะมีโอกาสพบบ่อยครั้งและอาจมีรูปแบบที่แตกต่างไปขึ้นอยู่กับสถานการณ์ และช่องทางการโจมตี (เช่น ช่องทางไปรษณีย์อิเล็กทรอนิกส์) หรือการโจมตีบนคลาวด์ก็อาจเกิดขึ้นได้ เพราะเป็นการโจมตีที่ทำได้ง่ายและมีโอกาสประสบความสำเร็จสูง ซึ่งวิธีการมักอิงกับสถานการณ์ปัจจุบันหรือข่าวสารในช่วงเวลานั้นๆ เช่น การแพร่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 โดยผู้ไม่หวังดีจะใช้วิธีการแอบอ้างการติดตามยอดผู้เสียชีวิตหรือยอดผู้ติดเชื้อเพื่อหลอกล่อให้เหยื่อหลงกล สำหรับกรณีข้อมูลรั่วไหลในอนาคตมีแนวโน้มเพิ่มมากขึ้นและจะก่อให้เกิดมูลค่าความเสียหายแก่องค์กรเป็นจำนวนมาก
6. แนวทางการจัดการภัยคุกคามทางไซเบอร์ ศปช. ได้มีการแนะนำแก่หน่วยงานต่างๆ เพื่อใช้เป็นแนวทางในการป้องกัน โดยสอดคล้องกับมาตรฐานหรือแนวทางปฏิบัติสากลที่เกี่ยวข้อง ได้แก่ (1) การเตรียมการและป้องกันการเกิดภัยคุกคามทางไซเบอร์ เช่น การจัดเตรียมข้อมูลให้พร้อม การจัดตั้งและฝึกอบรมบุคลากรและทีมงานและการจัดหาเครื่องมือและทรัพยากรต่างๆ ที่จำเป็น (2) การตรวจจับและวิเคราะห์ภัยคุกคามทางไซเบอร์ เช่น การจัดให้มีกลไกที่สามารถตรวจจับสิ่งบ่งชี้หรือลักษณะเบื้องต้นของการเกิดภัยคุกคามทางไซเบอร์ได้ในเวลาอันเหมาะสม และการวิเคราะห์ข้อมูลและประวัติการใช้งานเครือข่ายและระบบงาน (3) การระงับภัยคุกคามไซเบอร์ การปราบปรามภัยคุกคามทางไซเบอร์และการฟื้นฟูระบบงานที่ได้รับผลกระทบ เช่น การลบมัลแวร์ และการปิดการใช้งานบัญชีของผู้ใช้งานที่ถูกละเมิด และ (4) การดำเนินการกิจกรรมภายหลังการระงับภัยคุกคามทางไซเบอร์ เช่น การกำหนดขั้นตอน วิธีปฏิบัติ หรือกำหนดนโยบายภายในที่เกี่ยวข้องเพื่อให้มีแนวทางที่ชัดเจนและการเก็บรักษาข้อมูลและพยานหลักฐานที่จำเป็นเพื่อใช้ในกระบวนการทางนิติวิทยาศาสตร์หรือใช้ในกรณีที่ต้องการร้องทุกข์หรือดำเนินคดี
_____________________
1 คือ มัลแวร์เรียกค่าไถ่ (โปรแกรมประสงค์ร้ายที่ถูกเขียนขึ้นมาเพื่อทำอันตรายกับข้อมูลในระบบคอมพิวเตอร์ โดยสามารถเข้ารหัสลับข้อมูลในเครื่องคอมพิวเตอร์ของเหยื่อได้)
(โปรดตรวจสอบมติคณะรัฐมนตรีที่เป็นทางการจากสำนักเลขาธิการคณะรัฐมนตรีอีกครั้ง)
ที่ประชุมคณะรัฐมนตรี พลเอก ประยุทธ์ จันทร์โอชา (นายกรัฐมนตรี) 16 สิงหาคม 2565
สำนักโฆษก สำนักเลขาธิการนายกรัฐมนตรี โทร. 0 2288-4396
A8628
