รายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญ ในห้วงวันที่ 1 ตุลาคม 2565 – 30 กันยายน 2566
- Details
- Category: มติ ครม.
- Published: Tuesday, 02 July 2024 23:25
- Hits: 10158
รายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญ ในห้วงวันที่ 1 ตุลาคม 2565 – 30 กันยายน 2566
สาระสำคัญ
คณะรัฐมนตรีมีมติรับทราบรายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญ ในห้วงวันที่ 1 ตุลาคม 2565 – 30 กันยายน 2566 ตามที่คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เสนอ
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) โดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ศปช.) ได้ดำเนินการติดตามวิเคราะห์ และประมวลผลข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ รวมถึงการแจ้งเตือนเกี่ยวกับภัยคุกคามทางไซเบอร์ เพื่อให้ความช่วยเหลือหน่วยงานที่เกี่ยวข้องในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และได้เสนอรายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสำคัญ ในห้วงวันที่ 1 ตุลาคม 2565 – 30 กันยายน 2566 ในการประชุม กมช. ครั้งที่ 4/2566 เมื่อวันที่ 28 พฤศจิกายน 2566 ซึ่งที่ประชุมได้มีมติเห็นชอบรายงานดังกล่าวแล้ว สรุปได้ ดังนี้
1. สถิติเหตุการณ์ภัยคุกคามทางไซเบอร์รวมทั้งสิ้น 1,808 เหตุการณ์ สามารถจำแนกประเภทได้ ดังนี้
|
ประเภทภัยคุกคามทางไซเบอร์ |
จำนวน (เหตุการณ์) |
ร้อยละ |
|
(1) การโจมตีด้วยการแฮ็กเว็บไซต์ (Hacked Website) [ภาพพนันออนไลน์ (Gambling)] การโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูลเผยแพร่หน้าเว็บไซต์ (Website Defacement) การปลอมแปลงหน้าเว็บไซต์จริงเพื่อหลอกเอาข้อมูล (Website Phishing) การฝังมัลแวร์อันตรายบนหน้าเว็บไซต์หน่วยงานที่อาจหลอกให้ผู้เข้าถึงดาวน์โหลดไปติดตั้งได้ (website Malware1) |
1,056 |
59 |
|
(2) เว็บไซต์ปลอม (Fake Website) |
310 |
17 |
|
(3) หลอกลวงการเงิน Online (Finance Scam) |
111 |
6 |
|
(4) ข้อมูลรั่วไหล (Data Lesk) |
103 |
6 |
|
(5) จุดอ่อนช่องโหว่ (Vulnerability) |
84 |
5 |
|
(6) การละเมิดข้อมูล (Data Breach) |
50 |
3 |
|
(7) การโจมตี Distributed Denial of Service (DDOS)2 |
33 |
2 |
|
(8) มัลแวร์เรียกค่าไถ่ (Ransomware)3 |
30 |
1 |
|
(9) อื่นๆ |
31 |
1 |
|
รวม |
1,808 |
100 |
2. ประเภทของหน่วยงานที่ได้รับการสนับสนุนจาก ศปช. สรุปได้ ดังนี้
|
ประเภทหน่วยงาน (แบ่งตามภารกิจหรือบริการ) |
จำนวน (เหตุการณ์) |
ร้อยละ |
|
(1) หน่วยงานของรัฐ |
1,309 |
71 |
|
(2) หน่วยงานเอกชน |
247 |
13 |
|
(3) หน่วยโครงสร้างพื้นฐานสำคัญทางสารสนเทศ |
202 |
11 |
|
(4) หน่วยงานควบคุมและกำกับดูแล |
50 |
5 |
|
รวม |
1,808 |
100 |
3. ผลการปฏิบัติงานเพื่อสนับสนุนหน่วยงานในการช่วยแก้ไขและรับมือกับภัยคุกคามทางไซเบอร์ สรุปได้ ดังนี้
|
การดำเนินการ |
จำนวน |
|
การปฏิบัติตามมาตรการเชิงรุก |
|
|
(1) การแจ้งเตือนข้อมูลข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์ |
71 รายงาน |
|
(2) การเผยแพร่ข้อมูลภัยคุกคามทางไซเบอร์และข่าวสารที่เป็นประโยชน์ต่อสาธารณะ |
447 รายงาน |
|
(3) การทดสอบความปลอดภัยของระบบเครื่องแม่ข่ายและเว็บไซต์ |
115 หน่วยงาน |
|
การปฏิบัติตามมาตรการเชิงรับ |
|
|
(1) การแจ้งเตือนเหตุการณ์และให้คำแนะนำในการแก้ไขปัญหา |
1,808 หน่วยงาน |
|
(2) การตอบสนองและรับมือภัยคุกคามทางไซเบอร์ |
45 เหตุการณ์ |
|
(3) การดำเนินการที่เกี่ยวข้องกับอาชญากรรมทางไซเบอร์ที่กระทบต่อหน่วยงานและประชาชน โดยการขอปิดกั้นการเข้าถึงหน้าเว็บไซต์ที่ปลอมแปลงเป็นหน่วยงานสำคัญ |
426 เว็บไซต์ |
|
การบริหารจัดการคุณภาพ |
|
|
(1) การสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ |
38 ครั้ง (ผู้เข้าร่วม 5,874 คน) |
|
(2) การทำบันทึกความเข้าใจว่าด้วยความร่วมมือด้านการรักษาความมั่นคงปลอดภัยทาง ไซเบอร์4 |
ร่วมกับ 5 หน่วยงาน |
4. ผลการปฏิบัติงานที่สำคัญของ ศปช. ดังนี้
|
การดำเนินการ |
รายละเอียด |
|
|
(1) เฝ้าระวังและตอบสนองภัยคุกคามทางไซเบอร์ในห้วงการจัดประชุมผู้นำเขตเศรษฐกิจเอเปค พ.ศ. 2565 |
ศปช. ได้จัดตั้งศูนย์ปฏิบัติการเฝ้าระวังและตอบสนองภัยคุกคามทาง ไซเบอร์ (ศปก.ฝตซ.) เพื่อปฏิบัติภารกิจในห้วงการประชุม ซึ่ง ศปก.ฝตซ. ได้บูรณาการในการติดตามเฝ้าระวังร่วมกับหน่วยงานอื่นๆ และได้ตรวจพบการโจมตีทางไซเบอร์ที่เกิดกับระบบงานของหน่วยงานสำคัญจำนวน 1 เหตุการณ์ และการโจมตีที่เกิดขึ้นกับเว็บไซต์ จำนวน 4 เหตุการณ์ |
|
|
(2) กรณีข้อมูลประชาชนรั่วไหล |
ศปช. ได้ตรวจพบการประกาศขายข้อมูลส่วนบุคคลของประชาชน ในประเทศไทยที่หน้าเว็บไซต์สาธารณะ ซึ่งบุคคลทั่วไปสามารถ เข้าถึงได้และอ้างว่าข้อมูลรั่วไหลมาจากหน่วยงานรัฐ ประกอบไปด้วย เลขบัตรประจำตัวประชาชน ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ จากเหตุการณ์ดังกล่าว กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช. สอท.) เป็นหน่วยงานหลักในการดำเนินการสืบสวนโดยร่วมกับ ศปช. จนกระทั่งนำไปสู่การจับกุมผู้กระทำความผิด |
|
|
(3) ศูนย์ปฏิบัติการเฝ้าระวังภัยคุกคามทางไซเบอร์สำหรับระบบเลือกตั้ง (ศซล.) |
ศซล. ได้ปฏิบัติภารกิจการเฝ้าระวังภัยคุกคามทางไซเบอร์ในห้วงของการจัดการเลือกตั้งสมาชิกสภาผู้แทนราษฎรในระหว่างวันที่ 3-15 พฤษภาคม 2566 โดยเป็นศูนย์กลางในการรับแจ้งเหตุเกี่ยวกับ ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับระบบเลือกตั้งประสานงานกับหน่วยงานที่เกี่ยวข้อง และได้ตรวจพบเหตุการณ์การโจมตีทางไซเบอร์ต่อระบบที่เกี่ยวข้องกับการเลือกตั้ง จำนวน 4 เหตุการณ์ ซึ่งเจ้าหน้าที่ ที่เกี่ยวข้องสามารถดำเนินการรับมือกับเหตุการณ์ได้อย่างทันท่วงที ทั้งนี้ หลังจากเสร็จสิ้นภารกิจหน่วยงานที่เกี่ยวข้องได้ประชุมร่วมกันเพื่อจัดทำสรุปทบทวนหลังปฏิบัติงาน (AAR) โดยมีแนวทางการปรับปรุงและข้อเสนอแนะ ดังนี้ - เจ้าของระบบ ผู้ดูแลระบบ เจ้าหน้าที่ ควรมาประจำอยู่ในสถานที่ที่ใช้เป็นศูนย์ปฏิบัติการ - ใช้ส่วนกลางในการสื่อสารกับผู้เกี่ยวข้องเพื่อชี้แจงความเข้าใจให้ตรงกัน เพิ่มความพร้อมของข้อมูลพื้นฐาน มีการมอบหมายหน้าที่และบทบาทความรับผิดชอบที่ชัดเจนมากยิ่งขึ้น |
|
|
(4) การโจมตีด้วยการตั้งสถานีปลอม (False Base Station)5 |
บช.สอท. เป็นหน่วยงานหลักในการสืบสวนร่วมกับสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม (กสทช.) ธนาคารแห่งประเทศไทย และ สกมช. เป็นต้น ร่วมปฏิบัติการจนนำไปสู่การจับกุมผู้กระทำผิด ทั้งนี้ จากการสอบสวนผู้กระทำความผิดได้ข้อเท็จจริงว่าผู้ไม่หวังดีจะใช้วิธีการนำเครื่องจำลองสถานีฐาน (False Base Station) ใส่ไว้ในรถยนต์แล้วขับออกไปตามสถานที่ต่างๆ เพื่อส่งสัญญาณไปยังโทรศัพท์มือถือที่อยู่บริเวณใกล้เคียงแล้วส่งข้อความในลักษณะลิงก์ปลอมโดยอ้างชื่อเป็นสถาบันการเงิน |
|
|
(5) มาตรการเสริมเพื่อปราบปราม กลุ่มมิจฉาชีพแอปพลิเคชันดูดเงิน |
ศปช. นำเสนอแนวทางแก้ไขปัญหาการทุจริตหลอกลวงประชาชน โดยได้หารือกับหน่วยงานที่เกี่ยวข้องเพื่อร่วมผลักดันให้จัดทำแบล็คลิสต์ (Blacklist) รายการของเซิร์ฟเวอร์ที่ควบคุมแอปพลิเคชันดูดเงินที่ตั้งอยู่ในต่างประเทศ ทั้งนี้ ศปช. อยู่ระหว่างการพัฒนาไลน์ OA [LINE Official Account (LINE OA)] เวอร์ชันที่สามารถแจ้งข้อมูลจากหน่วยงานและประชาชนที่พบโดเมนปลอม ไลน์ปลอม เบอร์โทรศัพท์ของมิจฉาชีพ ไว้เป็นศูนย์กลางของประเทศเพื่อประโยชน์ใน การตรวจสอบของประชาชนและเป็นประโยชน์ต่อการดำเนินการตามมาตรการต่างๆ ของหน่วยงานบังคับใช้กฎหมาย |
5. ข้อแนะนำการปฏิบัติเพื่อการรักษาความมั่นคงปลอดภัย โดยผู้ดูแลระบบควรดำเนินการ ดังนี้
(1) ติดตั้ง Firewall เพื่อช่วยในการตรวจสอบข้อมูลที่ผ่านเข้ามาและออกจากระบบเครือข่าย
(2) ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ เช่น McAfee Internet Security
(3) การใช้รหัสผ่านที่ปลอดภัย โดยการตั้งรหัสผ่านควรใช้ตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมผสานกัน
(4) ฝึกอบรมให้ความรู้กับผู้ดูแลระบบ เพื่อให้เข้าถึงภัยคุกคามต่างๆ ที่อาจจะเกิดขึ้น
(5) ประเมินความเสี่ยงและช่องโหว่ในระบบอย่างน้อยปีละ 1 ครั้ง เพื่อให้ทราบถึงความเสี่ยงและช่องโหว่ที่มีในระบบ
6. แนวโน้มสถานการณ์ภัยคุกคามทางไซเบอร์ในปี 2567 สรุปได้ ดังนี้
|
สถานการณ์ |
แนวโน้มสถานการณ์ |
ข้อแนะนำในการป้องกัน |
||
|
Hacked Website |
สถานการณ์ในอนาคตของ Hacked Website ยังคงเป็นภัยคุกคามทางไซเบอร์ที่มีโอกาสพบเป็นจำนวนมาก ซึ่งผู้ไม่หวังดีจะอาศัยช่องโหว่ของเว็บไซต์ทำการฝังเนื้อหาเว็บไซต์การพนันออนไลน์ เปลี่ยนแปลงหน้าเว็บไซต์ และฝังมัลแวร์ เนื่องจากมีโปรแกรมจัดการเว็บไซต์ หรือ Content Management System (CMS) รวมถึงคำสั่งและรหัสในโปรแกรมที่ใช้พัฒนาเว็บไซต์ที่ล้าสมัย และผู้ดูแลหน้าเว็บไซต์ไม่ได้พัฒนาหรืออัปเดตในส่วนของระบบรักษาความมั่นคงปลอดภัย |
- อัปเดตระบบและซอฟต์แวร์อย่างสม่ำเสมอ - ทำการสำรองข้อมูลและเก็บไว้ในที่ปลอดภัย - ใช้รหัสผ่านที่ยากต่อการคาดเดา - ตรวจสอบเว็บไซต์เป็นประจำเพื่อค้นหาช่องโหว่และสังเกตการเปลี่ยนแปลง - ติดตั้ง Firewalls เพื่อตรวจจับและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและทำลายเว็บไซต์ |
||
|
Ransomware |
การโจมตีของ Ransomware มีแนวโน้มสูงขึ้นเรื่อยๆ และ ในอนาคตจะมีการเปลี่ยนแปลงรูปแบบการโจมตีเป็นรูปแบบบริการเรียกว่า “Lock Bit 30” ซึ่งเป็น Ransomware ที่ให้บริการในลักษณะ Ransomware as a Service (RaaS) โดยนักพัฒนาจะปรับแต่ง Ransomware ตามความต้องการของผู้โจมตีที่จะนำไปใช้ เช่น การบล็อกผู้ใช้ไม่ให้เข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ |
- สำรองข้อมูลเป็นประจำ - อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ - ติดตั้งอัปเดตโปรแกรมป้องกันไวรัส - จำกัดสิทธิ์การเข้าถึงโดยให้ผู้ใช้งานสามารถเข้าถึงข้อมูลเฉพาะเท่าที่จำเป็น - ตั้งค่าระบบให้มีการแจ้งเตือนเมื่อมีกิจกรรมที่ไม่ปกติเกิดขึ้นในระบบ - ไม่เปิดไฟล์หรือคลิกลิงค์ที่มาจากแหล่งข้อมูลที่ไม่รู้จักและไม่ติดตั้งซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ |
–––––––––––––––––––––––––––––
1 มัลแวร์ (Malware) คือ ชื่อเรียกโดยรวมของเหล่าโปรแกรมคอมพิวเตอร์ทุกชนิดที่ออกแบบมาเพื่อมุ่งร้ายต่อระบบหรือเครือข่ายของคอมพิวเตอร์ เช่น ไวรัส (Virus) วอร์ม (Worm) และโทรจัน (Trojan) เป็นต้น
2 การโจมตี DDOS คือการที่แฮกเกอร์จะทำการส่ง Traffic หรือคำขอเข้าถึงข้อมูลจากอุปกรณ์จำนวนมากและหลากหลายแหล่งที่มาไปยังเว็บไซต์ที่ต้องการโจมตีพร้อมๆ กัน ทำให้เว็บไซต์นั้นมีปริมาณTraffic มากกว่าที่ Server จะสามารถรองรับได้ส่งผลให้เว็บไซต์ไม่สามารถใช้งานได้ หรือ “เว็บไซต์ล่ม”
3 Ransomware คือ มัลแวร์ที่ทำการเข้ารหัสหรือล็อกไฟล์ ซึ่งทำให้ผู้ใช้ไม่สามารถเปิดไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความหาผู้ใช้หรือองค์กร เพื่อ “เรียกค่าไถ่ (Ransom)” แลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา มักพบเจอบ่อยในระดับองค์กรหรือหน่วยงานรัฐบาล
4 บันทึกความเข้าใจว่าด้วยการร่วมมือด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์มีวัตถุประสงค์เพื่อร่วมมือในการส่งเสริมสนับสนุนภารกิจได้ความมั่นคงปลอดภัยไซเบอร์ให้มีการดำเนินการเชิงปฏิบัติการ ที่มีลักษณะบูรณาการและเป็นปัจจุบันร่วมกันสร้างนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ และมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทาง ไซเบอร์รวมทั้งดำเนินการฝึกอบรมเพื่อพัฒนาบุคลากรในการยกระดับทักษะความเชี่ยวชาญในการปฏิบัติงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ โดย ศปช. ได้ดำเนินการจัดทำบันทึกความเข้าใจฯ ร่วมกับหน่วยงานทางไซเบอร์ จำนวน 5 หน่วยงาน ได้แก่ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี สถาบันเทคโนโลยีป้องกันประเทศ บริษัท ซอสโก้ ซิสเต็มส์ (ประเทศไทย) จำกัด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานปลัดกระทรวงสาธารณสุข
5 อุปกรณ์ False Base Station หรือ FBS ซึ่งมิจฉาชีพจะนำไปวางไว้ตามแหล่งชุมชน หรือจุดให้บริการสาธารณะ เช่น ห้างสรรพสินค้า หน่วยงานราชการ ธนาคาร หรือองค์กรที่น่าเชื่อถือต่างๆ โดยจะจำลองตัวเองเป็นหนึ่งเครือข่าย หากเป้าหมายอยู่ในรัศมีของสัญญาณจากอุปกรณ์นี้ โทรศัพท์มือถือก็จะหลุดจากเครือข่ายจริงชั่วขณะแล้วไปเกาะกับสัญญาเครือข่ายปลอม จากนั้นมิจฉาชีพก็จะส่งข้อความเข้ามาที่มือถือของเป้าหมาย โดยปลอมแปลงชื่อและเบอร์โทรศัพท์เพื่อให้ข้อความถูกส่งรวมไปอยู่ในกล่องข้อความเดียวกับองค์กรที่ถูกแอบอ้าง ทำให้ผู้ที่ได้รับข้อความเข้าใจผิดคิดว่าเป็นข้อความที่เชื่อถือได้ประกอบกับขาดความระมัดระวังทำให้อาจสูญเงินในบัญชีไปโดยรู้เท่าไม่ถึงการณ์
(โปรดตรวจสอบมติคณะรัฐมนตรีที่เป็นทางการจากสำนักเลขาธิการคณะรัฐมนตรีอีกครั้ง)
ที่ประชุมคณะรัฐมนตรี นายเศรษฐา ทวีสิน (นายกรัฐมนตรี) 2 กรกฎาคม 2567
7080
