ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

គន្លឹះទាំង ៥ ក្នុងការពង្រឹងសុវត្ថិភាពព័ត៌មានវិទ្យារបស់អ្នក

វាពិតជាងាយស្រួលក្នុងការទុកព័ត៌មាននៅលើអនឡាញ – ប្រហែលជាវាស្រួលពេកហើយ។ រាប់ចាប់ពីបណ្តាញព័ត៌មានសង្គមរហូតដល់ការងារប្រចាំថ្ងៃជាច្រើន​ ហើយពេលខ្លះវាមានអារម្មណ៍ថា យើងកំពុងតែចំណាយពេលជាច្រើននៃជីវិតរបស់យើងនៅលើអនឡាញផងដែរ។ វាពិតជារឿងសំខាន់ណាស់ក្នុងការកត់សម្គាល់ថា ព័ត៌មានដែលអ្នកបានដាក់នៅលើអនឡាញសុទ្ធតែមានសុវត្ថិភាព ហើយការដាក់ព័ត៌មានទាំងនោះសុទ្ធតែជាការល្អនោះទេ។

77% នៃអាជីវកម្មជាច្រើនមិនមានផែនការឆ្លើយតបជាផ្លូវការសម្រាប់ការវាយប្រហារតាមអ៊ីនធឺណិត

យោងទៅតាមការស្រាវជ្រាវពីវិទ្យាស្ថាន Ponemon បានអោយដឹងថា វាមាន 77% នៃបុគ្គលដែលត្រូវបានសម្ភាសបង្ហាញថា ស្ថាប័នរបស់ពួកគេមិនមានផែនការឆ្លើយតបជាផ្លូវការសម្រាប់ការវាយប្រហារតាមអ៊ីនធឺណិតនោះទេ។ ជាលទ្ធផលអាជីវកម្មរបស់ពួកគេរងគ្រោះនៅពេលបញ្ហាវាយប្រហារកើតឡើង។

វាមានសារៈសំខាន់ណាស់ក្នុងការស្វែងយល់អំពីសន្តិសុខព័ត៌មាន ក៏ដូចជារបៀបដែលអ្នកអាចទប់ស្កាត់បញ្ហាជាច្រើនកុំឲ្យកើតឡើងពីដំបូង ជាពិសេសដោយសារតែក្រុមហ៊ុនជាច្រើនមិនមានគម្រោងផែនការដើម្បីជួយឆ្លើយតបទៅនឹងការវាយប្រហារនេះ។

ចំណេះដឹងគឺជាគន្លឹះក្នុងការប្រយុទ្ធប្រឆាំងនឹងការវាយប្រហារផ្នែកបច្ចេកវិទ្យាព័ត៌មាន

ការប្រុងប្រយ័ត្នគឺជាជំហានដំបូងឆ្ពោះទៅរកការពង្រឹងវិធានការសុវត្ថិភាពសម្រាប់ក្រុមហ៊ុនរបស់អ្នក។ នោះមានន័យថា ការធានាថាអ្នករាល់គ្នាដែលធ្វើការនៅទីនោះយល់ពីមូលដ្ឋានគ្រឹះនៃការអនុវត្តន៍ល្អបំផុតនៃសន្តិសុខព័ត៌មាន។ ចូរគិតថា បុគ្គលិករបស់អ្នកគឺជាអ្នកការពារសន្តិសុខ – ពួកគេមិនអាចការពារអ្នកបានទេ ប្រសិនបើពួកគេមិនមានការបណ្តុះបណ្តាលត្រឹមត្រូវនោះ តើមែនទេ? នេះជាគន្លឹះខ្លះៗដើម្បីជួយពួកគេឱ្យប្រុងប្រយ័ត្ន និងស្ថិតនៅលើផ្នែកកំពូលនៃផែនការរបស់ពួកគេ។

កុំឃើញស្អីៗចេះតែចុចបើកឱ្យសោះ

តើអ្នកបានគិតថា អ៊ីម៉ែលក្លែងបន្លំ (Phishing) និងអ៊ីម៉ែលបញ្ឆោត (Spoofing) មិនត្រូវបានចាត់ទុកជាការគំរាមកំហែងទៀតនោះទេ? វានឹងក្លាយជាការសន្មតមួយដែលអាចយល់បាន – តែជាការពិតណាស់ ទាំងនេះគឺជាបញ្ហាដែលមានតាំងពីយូរណាស់មកហើយ ហើយយើងបានរៀនអំពីវិធីដើម្បីជៀសវាងទៅលើគ្រោះថ្នាក់ទាំងនេះផងដែរ។

ជាអកុសល ការក្លែងបន្លំ និងការបោកបញ្ឆោតតាមអ៊ីម៉ែលនៅតែជាបញ្ហាធ្ងន់ធ្ងរមកទល់បច្ចុប្បន្ននេះ។ ចូរមានការយកចិត្តទុកដាក់លើអ្វីដែលអ្នកបានចុច និងបុគ្គលដែលបានផ្ញើអ៊ីម៉ែលមកអ្នក។ សូមអានត្រង់ប្រធានបទអ៊ីម៉ែល (subject line) មុនពេលចុចនៅលើវា ហើយប្រសិនបើអ៊ីម៉ែលនោះមិនសមហេតុផល ឬមិនមែនជាអ្វីមួយដែលអ្នករំពឹងទុកទេនោះ សូមលុបវាចោលភ្លាមទៅ។ មិនត្រូវចុចលើអ្វីនោះទេ ទោះបីវាជាតំណភ្ជាប់ (link) ឬឯកសារភ្ជាប់ (attachment) ប្រសិនបើអ្នកមិនប្រាកដថាតើអ្នកណាជាអ្នកផ្ញើវាមកកាន់អ្នកនោះ។

សូមចងចាំថា ក្រុមឧក្រិដ្ឋជនខ្លះអាចក្លែងបន្លំអ៊ីម៉ែលមួយបាន ដូច្នេះវាមើលទៅដូចជាវាមកពីបុគ្គលដែលអ្នកស្គាល់ ឬពីស្ថាប័នដែលអ្នកស្គាល់។ នៅក្នុងវិធីនេះ ពួកគេអាចឱ្យអ្នកចុចលើតំណភ្ជាប់ ឬការទាញយកឯកសារអ្វីមួយ។ នេះជាមូលហេតុដ៏សំខាន់ក្នុងការគិតអំពីអ្វីដែលអ្នកបានទទួលក្នុងអ៊ីម៉ែល និងហេតុអ្វីបានជាអ្នកទទួលវាមុនពេលអ្នកចុចនៅលើវានោះ។

ការរក្សាទុកទិន្នន័យថតចំលងទុក (back up) របស់អ្នក

ការថតចំលងទុកទិន្នន័យគឺជាវិធីដ៏ល្អបំផុតមួយក្នុងការរក្សាទុក និងការពារឯកសារសំខាន់ៗ និងកាត់បន្ថយគ្រោះថ្នាក់សន្តិសុខដែលបណ្តាលមកពីក្រុមឧក្រិដ្ឋជនអ៊ីនធឺណិត។ ត្រូវប្រាកដថា បុគ្គលិករបស់អ្នកធ្វើការថតចំលងទុកទិន្នន័យសំខាន់ៗរបស់ពួកគេផងដែរ។ ការរក្សាទុកនូវទិន្នន័យដែលបានថតចំលងទុកនៅក្នុង hard drive និងនៅលើសេវា​ cloud គឺជាដំណោះស្រាយដ៏ទូលំទូលាយបំផុតចំពោះការការពារការបាត់បង់ទិន្នន័យ។

ការប្រើប្រាស់ពាក្យសម្ងាត់ខ្លាំង

ការធានាសុវត្ថិភាពទៅលើ Work Stations, ប្រអប់សារ និងការ Login ចូលគណនីជាមួយនឹងការប្រើប្រាស់ពាក្យសំងាត់ដែលខ្លាំង អាចបន្ថយឱកាសនៃការជ្រៀតចូលលួចទិន្នន័យរបស់អ្នក។ វាមានរឿងខុសគ្នាមួយចំនួនដែលត្រូវចងចាំនៅពេលបង្កើតពាក្យសម្ងាត់របស់អ្នក។

ភាពស្មុគស្មាញនៃពាក្យសម្ងាត់គឺអាចជួយអ្នកបានច្រើនណាស់។ វាត្រូវគេមើលឃើញថា វាត្រូវការពេលវេលាច្រើនដើម្បីបំបែកពាក្យសម្ងាត់ទំហំ 80-bit ជាងលេខពាក្យសម្ងាត់ទំហំ 30-bit។ សូមប្រើប្រាស់ពាក្យសម្ងាត់វែង ដែលជាអក្សរ លេខ និងតួអក្សរពិសេសបញ្ចូលគ្នា។ សម្រាប់ប្រវែងពាក្យសម្ងាត់ខ្លីបំផុតគួរតែមាន 8 តួផងដែរ។

ការប្រើប្រាស់ឃ្លាសម្ងាត់វែងអាចធ្វើឱ្យគណនីរបស់អ្នកកាន់តែមានសុវត្ថិភាពខ្លាំង។ ឧទាហរណ៍ ‘WeAreaBunchOfHappyWorkers’ ពិតជាពិបាកមែនទែននៅក្នុងការលួចជាជាងការប្រើប្រាស់ពាក្យសម្ងាត់បែបធម្មតានោះ។ ការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវតាម biometrics (ដូចជាការស្កេនម្រាមដៃ) គឺជាមធ្យោបាយការពារដ៏អស្ចារ្យមួយផ្សេងទៀតប្រឆាំងនឹងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។

អ្នកគួរតែប្រើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដូចជា RoboForm, LastPass, DashLane ឬ Sticky Password ដើម្បីជួយបង្កើតពាក្យសម្ងាត់ដែលមានសុវត្ថិភាព និងចងចាំវាបាន។ សម្រាប់ការរក្សាទុកពាក្យសម្ងាត់ អ្នកអាចជ្រើសរើសយក USB Thumb Drive បាន។

ការរក្សាឧបករណ៍របស់អ្នក Updated ជានិច្ច

ការធ្វើបច្ចុប្បន្នភាពទៅលើកម្មវិធី Software គឺជាមធ្យោបាយមួយទៀតដើម្បីគេចចេញពីពួកហេគឃ័រ។  ការធ្វើបច្ចុប្បន្នភាពនេះមានគោលបំណងដើម្បីដោះស្រាយបញ្ហាសន្តិសុខដែលងាយរងគ្រោះ ដោយតំឡើងនូវកម្មវិធីជួសជុលកំហុសឆ្គង (Patches) សំខាន់ៗជាច្រើន (ការផ្លាស់ប្តូរដែលធ្វើឡើងចំពោះកម្មវិធីកុំព្យូទ័រសម្រាប់ការជួសជុលកំហុស និងបញ្ហាជាច្រើន)។

ការធ្វើបច្ចុប្បន្នភាពផ្នែករឹង (Hardware) មានសារៈសំខាន់ដូចគ្នាទៅនឹងសុវត្ថិភាពទិន្នន័យដែរ។ ប្រសិនបើផ្នែករឹងរបស់អ្នកមានភាពងាយរងគ្រោះ និងមានបញ្ហានោះ តើវាអាចបង្កើតមូលដ្ឋានសុវត្ថិភាពមួយដើម្បីដំណើរការកម្មវិធីរបស់អ្នកបានយ៉ាងដូចម្តេចទៅ?

ការរក្សាសុវត្ថិភាពឧបករណ៍ចល័តរបស់អ្នក

វិធានការផ្ទៀងផ្ទាត់​ (Authentication) មានសារៈសំខាន់ណាស់ក្នុងការការពារការបាត់បង់ព័ត៌មានរសើប ក្នុងករណីនៃការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតតាមរយៈការបាត់បង់ដោយចៃដន្យនូវឧបករណ៍ចល័ត ឬតាមរយៈសកម្មភាពចេតនារបស់ក្រុមឧក្រិដ្ឋជន។ ការអនុវត្ដល្អបំផុតរួមមាន ការការពារការចូលប្រើប្រាស់ទៅលើឧបករណ៍របស់អ្នកជាមួយពាក្យសម្ងាត់រឹងមាំ ការធ្វើកូដនីយកម្ម (encrypt) ទៅលើទិន្នន័យមូលដ្ឋាន ការថតចំលងទុកទិន្នន័យក្នុងចន្លោះពេលកំណត់ណាមួយ ការកំណត់រចនាសម្ព័ន្ធទាក់ទងនឹងសុវត្ថិភាព និងការគោរពតាមគោលនយោបាយសុវត្ថិភាពដ៏តឹងរឹង៕

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button