แน่นอนว่าทุกวันนี้ Security เป็นสิ่งสำคัญมาก เพราะข้อมูลที่เรามีอยู่นั้นมีค่ามหาศาล
วันนี้เลยอยากมาลองเล่าสิ่งที่ได้เรียนรู้ในวันแรก จากคอร์ส Security ที่ทาง สำนักงานส่งเสริมเศรษฐกิจดิจิตัล (DEPA) จัดขึ้น ฟรีนะครับขอบอก ใครสนใจลองตามข่าวได้จาก reference ด้านล่างครับ
Security ที่เราใช้กันหมายความว่ายังไง?
จากที่ได้เรียนมา เราจะนิยาม Security ว่า “เป็นความปลอดภัย และมั่นคงของข้อมูล“
ขอเน้นว่า ความปลอดภัย และต้องมีความมั่นคงด้วยนะ ไม่ใช่ว่าปลอดภัย ข้อมูลสำคัญของเว็บไม่รั่วไหล
แต่พอมีคนเข้าซัก 5 คน แม่งล่ม งี้ก็คือขาดความมั่นคงนะ แล้วก็ถ้าล่มจริง เช่น ติด virus เรามี recovery plan ที่จะเอาระบบกลับมายังไง
Security Standard ที่เค้าใช้ๆกันมีไรบ้างล่ะ?
ที่เรียนมามี 2 ตัวหลักๆ ครับ
- CIA ย่อมาจาก Central Intelligence Agency
เฮ้ยไม่ใช่ละ ดูซีรีย์มากไป ที่ถูกต้องเป็น Confidentiality Integrity Availability - I, AAA ย่อมาจาก Identification, Authentication Authorization Accounting
งั้นวันนี้เรามาทำความรู้จัก CIA กัน
Confidential คือ สิทธิและการเข้าถึงข้อมูล บุคคลที่มีสิทธิเข้าถึงข้อมูลได้ ถึงจะมีสิทธิเข้าถึงข้อมูล
Integrity: ความถูกต้องของข้อมูล
ข้อมูลที่ถูกส่ง หรือจัดเก็บ ต้องไม่ถูกแก้ไขโดยผู้ที่ไม่มีสิทธิ
Availability: ความพร้อมใช้งาน
ไฟล์ หรือ ข้อมูลต้องเข้าถึงได้ตลอดเวลา จากบุคคลที่มีสิทธิ
มาดูตัวอย่าง CIA กัน
Confidentiality
นี่คือตัวอย่างการที่เราสูญเสียสิทธิและการเข้าถึงข้อมูล ไปง่ายๆเลย
Share password: 1 password ใช้ทั้งทีม หรือใครๆก็เป็น admin ถ้าเป็นแบบนี้ขอเตือนเลยว่าแยก account ซะ เราไม่มีทางรู้หรอกว่า จะมีมือดีมาลบ file หรือ ขโมย file หรือเปล่า
Post it password: เราคงมีทำกันบ้างล่ะเวลาที่อยู่ office แต่ระวังให้ดี คนใกล้ตัวอาจมาช่วยคุณพิมพ์งาน ตอบเมล หรือแม้แต่ chat facebook ก็ได้
Shoulder surfing: เราอยู่ในประเทศที่คนอยากรู้อยากเห็นเรื่องชาวบ้านมากกว่าเรื่องตัวเอง ถ้าคุณต้องใช้งานคอมพิวเตอร์ในที่สาธารณะบ่อยๆ ติด film กันมองข้าง ก็ดูคุ้มค่าที่จะลงทุนนะ
Single Printer: ทุกๆเอกสาร print ผ่าน printer ตัวเดียวกัน เช่น เอกสารพัฒนา, สรุปการประชุม, ข้อมูลโปรโมชั่น รวมไปกระทั่ง เงินเดือน!!!!!
นอกจากข้างต้นที่เป็น Physical แล้ว ฝั่ง Software ก็มีวิธีปกป้องข้อมูลของคุณเช่น
- ถ้าเป็นเว็บก็ support SSL เถอะข้อมูลจะได้ปลอดภัย
- ข้อมูลสำคัญๆ ควร encrypt ด้วยนะ
- Two factor authentication, OTP ก็ควรทำสำหรับข้อมูลที่มีความสำคัญมากๆ เช่น การเงิน authentication
Integrity
ทุกวันนี้เรายืนยันตัวตนกันยังไง?
แน่นอน เราใช้ ลายนิ้วมือ เช่นเวลาไปเปิดบัญชี เข้าโรงรับจำนำ แจ้งความ
แต่สำหรับ software หรือ file ซัก file นึง เราใช้อะไรยืนยันตัวตนความถูกต้องของ file ล่ะ
ว่าเวลาที่เราไปโหลด file มาจาก internet เราจะแน่ใจได้ไงว่า เป็น file ที่ถูกต้อง
ไม่ได้มีใครไปแก้ไขอะไรมัน คำตอบก็คือ เราสามารถดูจากค่า MD5 ได้ครับ
MD5, SHA1, SHA2 (แต่ตอนนี้แนะนำให้ใช้ SHA2) เป็น algorithm ที่ไว้ใช้คำนวนเนื้อ data ของ file ออกมาเป็นค่าค่านึง ซึงเรามักนิยม เอาไว้ตรวจสอบความถูกต้องของ file ที่เรา download โดยที่เว็บที่เราไปโหลด File มาจะมีค่า MD5, SHA1 หรือ SHA2 บอกไว้
ถ้าใครใช้ window ก็ลองลง 7-Zip แล้วคลิกขวาที่ file จะเลือก view ค่า SHA ได้ครับ
Availability
ความพร้อมใช้งาน คนที่มีสิทธิเข้าถึงไฟล์ ก็ต้องเข้าถึงไฟล์ได้ทุกเวลาที่ต้องการ ไม่ใช่ว่าวันนี้เข้า Gmail ได้ พรุ่งนี้ Gmail ล่ม เข้าได้บ้าง ไม่ได้บ้าง หรือบางเว็บที่แค่เรากด F5 บ่อยๆแม่งก็ล่มซะงั้น
แน่นอนเราไม่จำเป็นต้องมีระบบ ป้องกันในทุกๆส่วน เพราะมันจะเป็นเรื่องสิ้นเปลืองมหาศาล ดังนั้นเราจำเป็นจะต้องคุยกับทีมให้ดีว่าอะไรจำเป็น อะไรไม่จำเป็นครับ
ครั้งนี้ขอประมาณนี้ก่อนนะครับ ไว้จะทยอยอัพเดทมาเรื่อยๆ เค้าสอนยาวมาก 5 วัน ที่ลงไปนี่คือ สรุปจาก 2 ชม แรกเอง ใครสนใจลองติดตามโครงการดีๆจากทาง DEPA ดูนะครับ
วันจันทร์นี้เริ่มด้วยการ เอา Post-it ที่มี password บนโต๊ะทำงาน ออกให้หมดเลยนะ
References: