Clear
Lead Graphic Papers

ความเป็นมาของไทยเซิร์ต จากกระทรวงวิทย์ฯ สู่กระทรวงไอซีที

ผู้เขียน: สรณันท์ จิวะสุรัตน์ และ ชัยชนะ มิตรพันธ์
วันที่เผยแพร่: 6 ก.พ. 2555
ปรับปรุงล่าสุดวันที่: 6 ก.พ. 2555

Share on Facebook Share on Twitter Share on Google+

ในเดือนกุมภาพันธ์ที่ผ่านมา คณะรัฐมนตรีได้มีมติให้จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร และได้มีการโอนภารกิจของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย หรือ ไทยเซิร์ต จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ กระทรวงวิทยาศาสตร์และเทคโนโลยี มายัง สพธอ. เพื่อให้การดำเนินงานของ สพธอ. ด้านการสร้างความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส์มีความเข้มแข็ง

ไทยเซิร์ตได้เปิดให้บริการอย่างเต็มรูปแบบภายใต้ สพธอ. มาตั้งแต่วันที่ 1 กรกฎาคม 2554 และได้ปรับเปลี่ยนชื่อทางการของไทยเซิร์ตเป็น ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (Thailand Computer Emergency Response Team) โดยมีวิสัยทัศน์ให้สังคมออนไลน์มีความมั่นคงปลอดภัย เกิดความเชื่อมั่นกับผู้ทำธุรกรรมทางอิเล็กทรอนิกส์ พันธกิจของไทยเซิร์ต มุ่งเน้นการประสานงานกับหน่วยงานในเครือข่าย และหน่วยงานที่เกี่ยวข้องในการดำเนินการแก้ไขเหตุภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารที่ได้รับแจ้ง นอกจากนี้ไทยเซิร์ตยังมีพันธกิจเชิงรุกที่ให้ความสำคัญกับการพัฒนาทรัพยากรบุคคลเพื่อเพิ่มขีดความสามารถด้านการรักษาความมั่นคงปลอดภัย

เนื่องจากงานของไทยเซิร์ตมีลักษณะเป็นการประสานงานกับหน่วยงานต่างๆ ไทยเซิร์ตจึงมุ่งมั่นที่จะสร้างความร่วมมือกับหน่วยงานทุกประเภททั้งในและต่างประเทศในการแก้ไขเหตุภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร เช่น ผู้ให้บริการอินเทอร์เน็ต และ สำนักป้องกันและปราบปรามการกระทำความผิดทางเทคโนโลยีสารสนเทศ สำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ไทยเซิร์ตสร้างความร่วมมือระหว่างประเทศผ่านเวที FIRST (Forum of Incident Response and Security Teams) สำหรับความร่วมมือกับประเทศทั่วโลก และเวที APCERT (Asia Pacific CERT) สำหรับความร่วมมือกับประเทศในภาคพื้นเอเชียแปซิฟิก

ด้านการพัฒนาทรัพยากรบุคคล ไทยเซิร์ตให้ความสำคัญกับการเผยแพร่ความรู้และข้อมูลข่าวสารเกี่ยวกับการรักษาความมั่นคงปลอดภัยสารสนเทศ เพื่อเป็นการสร้างภูมิคุ้มกันเบื้องต้นทางด้านไอที และจัดอบรมสัมมนาให้กับผู้ทำธุรกรรมทางอิเล็กทรอนิกส์เฉพาะกลุ่มที่มีความต้องการข้อมูลข่าวสารเป็นการเฉพาะ เช่น กลุ่มธุรกิจการเงินการธนาคาร หรือกลุ่มสถาบันวิจัยและสถาบันการศึกษา นอกจากนี้เพื่อให้เกิดความเข้าใจและได้ลงมือปฏิบัติ ไทยเซิร์ตยังจัดและร่วมในกิจกรรมซักซ้อมการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารกับหน่วยงาน ทั้งในประเทศและต่างประเทศอีกด้วย

บริการของไทยเซิร์ต

ในการสนับสนุนให้สังคมออนไลน์มีความมั่นคงปลอดภัยและเกิดความเชื่อมั่นกับผู้ทำธุรกรรมทางอิเล็กทรอนิกส์ ไทยเซิร์ต ให้บริการหลัก คือ บริการประสานงานแก้ไขภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร บริการข้อมูลข่าวสารความมั่นคงปลอดภัยสารสนเทศ และบริการวิชาการเกี่ยวกับการรักษาความมั่นคงปลอดภัยสารสนเทศ

บริการประสานงานแก้ไขภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

ปัจจุบันไทยเซิร์ตให้บริการประสานงานแก้ไขเหตุภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร ทางโทรศัพท์และทางอีเมลแก่บุคคลทั่วไป สถาบันการศึกษาและสถาบันวิจัย หน่วยงานภาครัฐและเอกชนทั่วโลก เมื่อได้รับแจ้งเหตุผู้เชี่ยวชาญของไทยเซิร์ตจะตรวจสอบข้อมูลที่ได้รับแจ้งเพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับแจ้งได้เกิดขึ้นและมีอยู่จริง แล้วจึงวิเคราะห์ข้อมูลต่อเพื่อหาหน่วยงานที่เป็นต้นเหตุของปัญหา และดำเนินการประสานงานไปยังหน่วยงานดังกล่าวเพื่อให้ดำเนินการแก้ไขปัญหา ไทยเซิร์ตมีระบบการติดตามความคืบหน้าของการจัดการปัญหาภัยคุกคาม และได้กำหนดมาตรฐานการให้บริการไว้คือ ไทยเซิร์ตจะดำเนินการแจ้งหน่วยงานที่เกี่ยวข้องเพื่อแก้ปัญหาที่ได้รับแจ้งและรายงานสถานะการดำเนินงานภายใน 2 วันทำการ มีการติดตามผลการดำเนินงานทุก 3 วันทำการ

บริการข้อมูลข่าวสารความมั่นคงปลอดภัยสารสนเทศ

ไทยเซิร์ตอยู่ในเครือข่ายความร่วมมือของหน่วยงานที่มีบทบาทในการตอบสนองต่อการแจ้งเหตุภัยคุกคาม (Computer Security Incident Response Team: CSIRT หรือ Computer Emergency Response Team: CERT) ซึ่งมีภารกิจในการแจ้งเตือนภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารที่ได้รับแจ้งจากหน่วยงาน CSIRT อื่นๆในเครือข่ายหรือที่ตรวจพบกับผู้ใช้งานภายในประเทศไทยเพื่อสร้างความตระหนักและความพร้อมในการรับมือต่อภัยคุกคามที่เกิดขึ้น โดยผู้เชี่ยวชาญของไทยเซิร์ตจะวิเคราะห์ข้อมูลภัยคุกคามที่มีผลกระทบสูงกับผู้ใช้งาน พร้อมเสนอแนะข้อควรปฏิบัติในการรับมือ แก้ไขหรือป้องกันภัยคุกคามในบทความแจ้งเตือนภัยคุกคามของไทยเซิร์ต นอกจากนั้น ไทยเซิร์ตจัดทำข้อมูลเชิงสถิติของภัยคุกคามที่รายงานมาที่ไทยเซิร์ตเผยแพร่บนเว็บไซต์ไทยเซิร์ตเป็นรายเดือน เพื่อใช้วิเคราะห์แนวโน้มของภัยคุกคามที่เกิดภายในประเทศไทย

บริการวิชาการในการรักษาความมั่นคงปลอดภัยสารสนเทศ

ไทยเซิร์ตมีผู้เชี่ยวชาญที่มีศักยภาพและความรู้ที่สามารถให้บริการวิชาการในการรักษาความมั่นคงปลอดภัยสารสนเทศกับหน่วยงานทั้งภายในและต่างประเทศ ไทยเซิร์ตให้บริการกับหน่วยงานภายในประเทศในส่วนของการให้คำปรึกษาในการวิเคราะห์ข้อมูลภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร การจัดทำแผนและนโยบายทางด้านเทคโนโลยีสารสนเทศ เพื่อให้สอดคล้องกับมาตรฐานสากลทางด้านเทคโนโลยีสารสนเทศและสอดคล้องกับข้อกำหนดของกฎหมาย จัดฝึกอบรมสัมมนา เพื่อสร้างความตระหนักหรือเสริมสร้างศักยภาพของบุคลากรของหน่วยงานให้สามารถป้องกันและแก้ไขภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารจัดการซักซ้อมรับมือภัยคุกคาม เพื่อเสริมทักษะและสร้างความพร้อมในการรับมือภัยคุกคามของหน่วยงาน รวมถึงการสนับสนุนวิทยากรในการบรรยาย เพื่อสร้างความตระหนักและให้ความรู้กับหน่วยงานทั้งในและต่างประเทศ

สถิติภัยคุกคามที่รายงานมาที่ไทยเซิร์ต

ตั้งแต่วันที่ 1 กรกฎาคม ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามจากหน่วยงานทั้งในและต่างประเทศโดยเฉลี่ยมากกว่า 100 เรื่องต่อเดือน ข้อมูลเชิงสถิติเกี่ยวกับเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งสามารถจำแนกเป็น 9 ประเภทตามที่ได้กำหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซึ่งเป็นเครือข่ายความร่วมมือของหน่วยงาน CSIRT ในสหภาพยุโรป ตารางที่ 1

ตารางที่ 1 ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร โดย eCSIRT

ประเภทภัยคุกคาม คำอธิบาย
1. เนื้อหาที่เป็นภัยคุกคาม (Abusive Content) ภัยคุกคามที่เกิดจากการใช้/เผยแพร่ข้อมูลที่ไม่เป็นจริงหรือไม่เหมาะสม (Abusive Content) เพื่อทำลายความน่าเชื่อถือของบุคคลหรือสถาบัน เพื่อก่อให้เกิดความไม่สงบ หรือข้อมูลที่ไม่ถูกต้องตามกฎหมาย เช่น ลามก อนาจาร หมิ่นประมาท และรวมถึงการโฆษณาขายสินค้าต่างๆ ทางอีเมลที่ผู้รับไม่ได้มีความประสงค์จะรับข้อมูลโฆษณานั้นๆ (SPAM)
2 โปรแกรมไม่พึงประสงค์ (Malicious Code) ภัยคุกคามที่เกิดจากโปรแกรมหรือซอฟต์แวร์ที่ถูกพัฒนาขึ้นเพื่อส่งให้เกิดผลลัพธ์ที่ไม่พึงประสงค์ กับผู้ใช้งานหรือระบบ (Malicious Code) เพื่อทำให้เกิดความขัดข้องหรือเสียหายกับระบบที่โปรแกรมหรือซอฟต์แวร์ประสงค์ร้ายนี้ติดตั้งอยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ประสงค์ร้ายประเภทนี้ต้องอาศัยผู้ใช้งานเป็นผู้เปิดโปรแกรมหรือซอฟต์แวร์ก่อน จึงจะสามารถติดตั้งตัวเองหรือทำงานได้ เช่น Virus, Worm, Trojan หรือ Spyware ต่างๆ
3 ความพยายามรวบรวมข้อมูลของระบบ (Information Gathering) ภัยคุกคามที่เกิดจากความพยายามในการรวบรวมข้อมูลจุดอ่อนของระบบของผู้ไม่ประสงค์ดี (Scanning) ด้วยการเรียกใช้บริการต่างๆที่อาจจะเปิดไว้บนระบบ เช่น ข้อมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟต์แวร์ที่ติดตั้งหรือใช้งาน ข้อมูลบัญชีชื่อผู้ใช้งาน (User Account) ที่มีอยู่บนระบบเป็นต้น รวมถึงการเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครือข่าย (Sniffing) และการล่อลวงหรือใช้เล่ห์กลต่างๆ เพื่อให้ผู้ใช้งานเปิดเผยข้อมูลที่มีความสำคัญของระบบ (Social Engineering)
4 ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts) ภัยคุกคามที่เกิดจากความพยายามจะบุกรุก/เจาะเข้าระบบ (Intrusion Attempts) ทั้งที่ผ่านจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรือผ่านจุดอ่อนหรือช่องโหว่ใหม่ที่ยังไม่เคยพบมาก่อน เพื่อจะได้เข้าครอบครองหรือทำให้เกิดความขัดข้องกับบริการต่างๆของระบบ ภัยคุกคามนี้รวมถึงความพยายามจะบุกรุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชื่อผู้ใช้งานและรหัสผ่าน (Login) ด้วยวิธีการสุ่ม/เดาข้อมูล หรือวิธีการทดสอบรหัสผ่านทุกค่า (Brute Force)
5 การบุกรุกหรือเจาะระบบได้สำเร็จ (Intrusions) ภัยคุกคามที่เกิดกับระบบที่ถูกบุกรุก/เจาะเข้าระบบได้สำเร็จ (Intrusions) และระบบถูกครอบครองโดยผู้ที่ไม่ได้รับอนุญาต
6 การโจมตีสภาพความพร้อมใช้งานของระบบ (Availability) ภัยคุกคามที่เกิดจากการโจมตีสภาพความพร้อมใช้งานของระบบ เพื่อทำให้บริการต่างๆของระบบไม่สามารถให้บริการได้ตามปกติ มีผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนองของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้ ภัยคุกคามอาจจะเกิดจากการโจมตีที่บริการของระบบโดยตรง เช่น การโจมตีประเภท DOS (Denial of Service) แบบต่างๆ หรือการโจมตีโครงสร้างพื้นฐานที่สนับสนุนการให้บริการของระบบ เช่น อาคาร สถานที่ ระบบไฟฟ้า ระบบปรับอากาศ
7 การเข้าถึงหรือเปลี่ยนแปลงแก้ไขข้อมูลสำคัญโดยไม่ได้รับอนุญาต (Information Security) ภัยคุกคามที่เกิดจากการที่ผู้ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลสำคัญ (Unauthorized Access) หรือเปลี่ยนแปลงแก้ไขข้อมูล (Unauthorized modification) ได้
8 การฉ้อฉล ฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) ภัยคุกคามที่เกิดจากการฉ้อฉล ฉ้อโกงหรือการหลอกลวงเพื่อผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่น การลักลอบใช้งานระบบหรือทรัพยากรทางสารสนเทศที่ไม่ได้รับอนุญาตเพื่อแสวงหาผลประโยชน์ของตนเอง หรือการขายสินค้าหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ
9 ภัยคุกคามอื่นๆ นอกเหนือจากที่กำหนดไว้ข้างต้น (Other) ภัยคุกคามประเภทอื่นๆ นอกเหนือจากที่กำหนดไว้ข้างต้น ระบุไว้เพื่อเป็นตัวชี้วัดถึงภัยคุกคามประเภทใหม่หรือไม่สามารถจัดประเภทได้ตามที่ระบุไว้ข้างต้น โดยถ้าจำนวนภัยคุก คามอื่นๆ ในข้อนี้มีจำนวนมากขึ้น แสดงถึงความจำเป็นที่จะต้องปรับปรุงการจัดแบ่งประเภทภัยคุกคามนี้ใหม่

เหตุภัยคุกคามที่ได้รับรายงานใน 6 เดือนแรก (ในระหว่างวันที่ 1 กรกฎาคม ถึง 31 ธันวาคม 2554 ) มาที่ไทยเซิร์ตซึ่งดำเนินการภายใต้ สพธอ. มีจำนวนทั้งสิ้น 646 เรื่อง และสามารถแสดงสัดส่วนแบ่งแยกตามประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร แสดงดังรูปที่ 1 โดยสามารถจัดลำดับตามจำนวนเหตุภัยคุกคามได้รับแจ้งได้เป็นประเภทใหญ่ๆได้ 5 ด้าน ภัยคุกคามส่วนใหญ่ประมาณ 47.8% จะเป็นภัยคุกคามด้าน การฉ้อฉล ฉ้อโกงหรือหลอกลวง เพื่อผลประโยชน์ (Fraud) ซึ่งทั้งหมดในส่วนนี้เป็นกรณี Phishing ที่เกิดกับสถานบันการเงินทั้งในประเทศและต่างประเทศ ซึ่งเป็นภัยคุกคามที่ส่งผลกระทบต่อโดยตรงผู้ใช้บริการชำระเงินทางอิเล็กทรอนิกส์ ในส่วนภัยคุกคามที่รองลงมาเป็นภัยคุกคามที่เกี่ยวความพยายามที่จะโจมตีและเจาะระบบ โดยเป็นภัยคุกคามในการพยายามบุกรุกหรือเจาะระบบ (Intrusion Attempts) จำนวน 14.6% และภัยคุกคามด้านความพยายามรวบรวมข้อมูลของระบบ (Information Gathering) จำนวน 14.4% สำหรับภัยคุกคามในลำดับถัดไปเป็นภัยคุกคามทางด้านเนื้อหาที่เป็นภัยคุกคาม (Abusive Content) จำนวน 11.9% ซึ่งทั้งหมดเป็นรายงานภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร ที่ได้รับแจ้งจากหน่วยงานในต่างประเทศ และพบว่ามีลักษณะเป็นการแจ้งเตือนเหตุภัยคุกคามของเครื่องคอมพิวเตอร์ที่ใช้สำหรับส่งอีเมลสแปม (SPAM) ในลำดับสุดท้ายเป็นภัยคุกคามทางด้าน โปรแกรมไม่พึงประสงค์ (Malicious Code) จำนวน 9.8%

ThaiCERT_stats.png

รูปที่ 1 สถิติภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร ในระหว่างวันที่ 1 กรกฎาคม ถึง 31 ธันวาคม 2554 แยกตามประเภทภัยคุกคาม

ไทยเซิร์ตได้ดำเนินการแก้ไขปัญหาภัยคุกคามที่ได้รับแจ้งไปได้ประมาณ 80% ส่วนอีก 20% ที่เหลือมีการติดตามความคืบหน้าของการแก้ไขปัญหาทุก 3 วัน สำหรับข้อมูลเชิงสถิติเกี่ยวกับภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร สามารถดูได้ที่ www.thaicert.or.th/statistics.html

ช่องทางการติดต่อกับไทยเซิร์ต

ไทยเซิร์ตได้จัดเตรียมช่องทางการติดต่อเพื่อแจ้งเหตุภัยคุกคามไว้ 2 ช่องทาง ประกอบด้วย ทางโทรศัพท์หมายเลข 02-123-1212 เวลา 8.30 – 17.30 น. ทุกวันยกเว้นวันหยุดราชการ และทางอีเมลที่ reportathaicert.or.th และในกรณีที่ผู้แจ้งมีความประสงค์จะรักษาความลับของข้อมูลในอิเล็กทรอนิกส์เมลที่ส่งถึงไทยเซิร์ต ผู้ส่งสามารถดำเนินการเข้ารหัสลับข้อมูลด้วยเทคโนโลยี PGP ด้วยกุญแจสาธารณะของไทยเซิร์ตดังต่อไปนี้

  • อิเล็กทรอนิกส์เมล: reportathaicert.or.th
  • หมายเลขของกุญแจ (Key ID): 0xF2CB3EE1
  • ประเภทของกุญแจ (Key Type): RSA
  • วันหมดอายุ (Expires): 2015-06-25
  • ขนาดความยาว (Key size): 2048
  • Fingerprint: 29B3 2C79 FB4A D4D7 E71A 71ED 5FFE F781 F2CB 3EE1

Clear