ត្រៀមខ្លួនសម្រាប់ការវាយប្រហារៈផែនការ Contingency & Backup Plans

មេដឹកនាំអង្គភាពត្រូវបានគេរំពឹងថានឹងធ្វើការដោយប្រុងប្រយ័ត្នដើម្បីការពារធនធាន និងទ្រព្យសម្បត្តិដ៏មានតម្លៃនៅក្នុងប្រព័ន្ធព័ត៌មានរបស់ពួកគេ។ ខណៈពេលដែលមេដឹកនាំជាច្រើនយល់ច្បាស់ពីតម្រូវការ និងការទទួលខុសត្រូវរបស់ពួកគេ មានអ្នកដឹកនាំតិចតួចណាស់ដែលមានប្រវត្តិជាអ្នកជំនាញ និងបច្ចេកទេស ដើម្បីធ្វើការសំរេចចិត្តអំពីការការពារប្រព័ន្ធរបស់ពួកគេពីអ្នកវាយប្រហារ។

ជាដំបូង អ្នកដឹកនាំត្រូវយល់ថាប្រព័ន្ធបណ្តាញរបស់អង្គភាពមិនអាចត្រូវបានការពារ១០០ភាគរយ ពីអ្នកវាយប្រហារនោះឡើយ។ មិនថាអ្នកបំពាក់ប្រព័ន្ធសម្រាប់ធ្វើការតាមដានចាប់យក (detection) ប៉ុន្មានគ្រឿង ឬវិធានការសកម្មនានា (proactive measures) ត្រូវបានតំឡើងដើម្បីការពារបណ្តាញនោះទេ ក៏គ្មានការធានាប្រឆាំងទៅនឹងការវាយប្រហារផងដែរ។

មធ្យោបាយដ៏ល្អបំផុតសម្រាប់អង្គភាពមួយដើម្បីការពារខ្លួនឯង គឺត្រូវរៀបចំខ្លួនក្នុងន័យថាប្រសិនបើបណ្តាញត្រូវបានវាយប្រហារ (if the networking under attack)។ បន្ទាប់មកអង្គភាពអាចចាត់វិធានការដើម្បីកាត់បន្ថយហានិភ័យ ដោយបង្កើតផែនការគ្រោះថ្នាក់យឺតៗ និងបង្កើតវិធានការបម្រុងទុក (backup) និងសង្គ្រោះត្រលប់មកវិញដើម្បីកាត់បន្ថយការបាត់បង់ទិន្នន័យ។

បង្កើតផែនការ BCP (Business Continuity Plans)

ការធ្វើផែនការបន្តអាជីវកម្ម (Business Continuity Plans) គឺជាការអនុវត្តយុទ្ធសាស្រ្តគ្រប់ជ្រុងជ្រោយ ដើម្បីរក្សាបាននូវប្រតិបត្តិការអាជីវកម្មក្នុងអំឡុងពេលព្រឹត្តិការណ៍មហន្តរាយ ដូចជាការទិន្នន័យត្រូវបានលួច (data breach) ឬការវាយលុកដោយមេរោគចាប់ជំរិត​ (ransomware attack) ជាដើម។ តាមរយៈការបង្កើតផែនការចាំបាច់​ (contingency plans) អង្គភាពមួយអាចកាត់បន្ថយហានិភ័យ និងកាត់បន្ថយការបាត់បង់ទ្រព្យសម្បត្តិសំខាន់ៗប្រសិនបើការវាយប្រហារកើតឡើង។

យុទ្ធសាស្រ្តសម្រាប់បន្តអាជីវកម្ម ​(continuity strategy) គួរតែត្រូវបានគ្រោងទុក និងបង្កើតឡើងនៅថ្នាក់ខ្ពស់បំផុតនៃអង្គភាព និងអនុវត្តន៍ទូទាំងអង្គភាព។ ដើម្បីចាប់ផ្តើមមេដឹកនាំត្រូវតែសួរខ្លួនឯងនូវសំណួរសំខាន់ៗមួយចំនួនដូចជា:

• តើអ្វីទៅជាចំណុចភ្ជាប់ទំនាក់ទំនងដ៏សំខាន់ក្នុងចំណោមមនុស្ស (people), ដំណើរការ (processes), បច្ចេកវិទ្យា (technologies)​, អ្នកផ្គត់ផ្គង់ (suppliers) និងអតិថិជន (customers)? តើមានប្រព័ន្ធអ្វីខ្លះដែលចាំបាច់សម្រាប់ប្រតិបត្តិការអាជីវកម្ម? នេះអាចរួមបញ្ចូលប្រព័ន្ធទូរស័ព្ទ, បណ្តាញ VPN, ប្រព័ន្ធវិទ្យុឌីជីថល និងអីុម៉ែលទាំងអស់ដែលមានសារៈសំខាន់សម្រាប់ប្រតិបត្តិការ
• ធ្វើការវាយតំលៃ (assess) រាល់បច្ចេកវិទ្យាបច្ចុប្បន្នទាំងអស់ និងបង្កើតផែនការចាំបាច់ដើម្បីការពារទិន្នន័យនៅក្នុងប្រព័ន្ធទាំងនោះ រួមទាំងការបម្រុងទុក (backup), ការស្តារឡើងវិញនូវគ្រោះមហន្តរាយ (disaster recovery), snapshots និង replication
• ប្រសិនបើប្រព័ន្ធសំខាន់ទាំងនេះត្រូវគាំងមិនដំណើរការ តើអង្គភាពអាចរក្សាបានប្រតិបត្តិការដោយប្រើប្រាស់ប្រព័ន្ធជំនួសបានយ៉ាងដូចម្តេច? លក្ខណ:ល្អបំផុតនោះ​ គឺប្រព័ន្ធជំនួសទាំងនេះគួរតែស្ថិតនៅឆ្ងាយពីកន្លែងដែលមិនមានគ្រោះថ្នាក់ក្នុងអំឡុងពេលវាយប្រហារ
•  តើអ្នកណាខ្លះនឹងក្លាយជាផ្នែកមួយនៃក្រុមឆ្លើយតបឧប្បទេវហេតុ (incident response team) ? តើមនុស្សទាំងនោះនឹងទទួលផលល្អយ៉ាងដូចម្តេច? តើពួកគេនឹងជូនដំណឹងដល់អ្នកដទៃនៅក្នុងអង្គភាពអំពីការវាយប្រហារ និងការផ្លាស់ប្តូរនីតិវិធីប្រតិបត្តិការយ៉ាងដូចម្តេច?
• តើអ្វីទៅជាជាគោលបំណងនៃការស្រោចស្រង់ (recovery objective) នៅពេលមានបញ្ហា និងថាតើអ្វីទៅជាពេលវេលាដែលអង្គភាពត្រូវការដំណើរការឡើងវិញក្នុងពេលធ្វើការស្រោចស្រង់ (recovery time)?

បន្ថែមពីលើការបង្កើតផែនការវាស់វែងលម្អិតដើម្បីដោះស្រាយសំណួរទាំងនោះ វាជាការសំខាន់ណាស់ដែលអង្គភាពមួយធ្វើការពិនិត្យ និងអនុវត្តន៍ផែនការទាំងនេះជាទៀងទាត់។ អង្គភាពគួរតែ:

• ធ្វើការតាមដាននូវលំហូរទិន្នន័យនៃដំណើរការរបស់អង្គភាព
• ធ្វើការកំណត់ឡើងវិញនូវផែនការ contingency plan ដើម្បីឆ្លើយតបទៅនឹងការផ្លាស់ប្តូរបុគ្គលិក និងហេដ្ឋារចនាសម្ព័ន្ធនានា ឬ/និងការផ្លាស់ប្តូរយុទ្ធសាស្ត្ររបស់អង្គភាព
• បង្កើតនូវផែនការធ្វើតេស្តមួយដ៏មានប្រសិទ្ធិភាពមួយ ដែលកត់ត្រា និងវាស់វែងនូវលទ្ធផលនៃការទទួលបានជោគជ័យ និងបរាជ័យទាំងអស់។ ដំណើរការធ្វើតេស្តទាំងនោះ ត្រូវធ្វើឱ្យបានយ៉ាងហោចណាស់ក្នុង១ឆ្នាំម្តង ដោយប្រើប្រាស់ស្ថានភាពផ្សេងៗគ្នា
• ធ្វើការអាប់ដេតជាប្រចាំនូវផែនការ business continuity plans ដើម្បីឆ្លើយតបទៅនឹងការផ្លាស់ប្តូរនៃបច្ចេកវិទ្យា និងរាល់ការផ្លាស់ប្តូរនូវយុទ្ធសាស្ត្ររបស់អង្គភាព
• ធ្វើសារឡើងវិញនូវដំណាក់កាលទាំងអស់ឲ្យបានជាប្រចាំ

ពិចារណាក្នុងការបម្រុងឬថតចំលងទុក​ ​(backup)​

ខណៈពេលដែលផែនការ contingency កំណត់ពីរបៀបដែលអង្គភាពមួយនឹងដំណើរការកំឡុងពេលវាយប្រហារ អង្គភាពរបស់អ្នកក៏ត្រូវចាត់វិធានការដើម្បីកាត់បន្ថយការបាត់បង់ទិន្នន័យនិងព័ត៌មានផ្សេងទៀតដែលមានបន្ទាប់ពីការវាយប្រហារ។ អង្គភាពត្រូវតែមានផែនការបម្រុងទុក​ (backup) ដែលមានប្រសិទ្ធិភាពដើម្បីស្តារសេវាកម្មឡើងវិញយ៉ាងឆាប់រហ័សបន្ទាប់ពីការវាយប្រហារតាមអិុនធឺណិត។

យុទ្ធសាស្ត្របម្រុងទុករបស់អង្គការមួយនឹងពឹងផ្អែកលើអាទិភាពប្រតិបត្តិការរបស់វាក៏ដូចជាទំហំនិងបរិយាកាសប្រតិបត្តិការជាក់លាក់។ ឧទាហរណ៍អង្គភាពតូចៗដែលមិនមានបណ្តាញ​ (network) ទូលំទូលាយ​ ឬធំ អាចប្រើឧបករណ៍ឌីជីថលដូចជា thumb drives ឬឌីវីឌីដើម្បីផ្ទុកឯកសារសំខាន់ៗ ខណៈពេលដែលអង្គភាពធំៗគួរតែពិចារណា​លើធនធានដូចជា redundant arrays (RAID), automatic fail-over, server clustering ឬ mirrored systems ជាដើម។

អ្នកដឹកនាំក្រុមហ៊ុន គួរតែសាកសួរទៅកាន់ IT department អំពីផែនការយុទ្ធសាស្ត្រ ក្នុងការ backup និងសាកសួរសំណួរមួយចំនួនដូចជា៖

• តើប្រព័ន្ធរបស់យើងមាន full redundant និង load-balanced ដែរឬទេ?
• តើទិន្នន័យត្រូវបានធ្វើ mirrored ដែរឬទេ បើសិនជាមានអ្វីមួយកើតឡើង ប្រព័ន្ធអាចត្រូវបានសង្គ្រោះមកវិញ (restored)? វិធីសាស្ត្រមួយអាចពិចារណាគឺបច្ចេកទេសនៃ Stripe and Mirror Everything (SAME)
• តើឯកសារទាំងអស់ត្រូវបានរក្សាទុកនៅរាល់ទីតាំងរក្សាទុកឯកសារទាំងអស់ ហើយមិនស្ថិតនៅទីតាំងតែមួយទេឬ?
• តើអង្គភាពមាន Service Level Agreements (SLAs)​​ ជាមួយនឹងអង្គភាពផ្តល់សេវានានាដែរឬទេ?
• តើការថតចំលងឯកសារទុក (backup)​ ធ្វើឡើងនៅលើឧបករណ៍ផ្សេងៗគ្នាដែរទេ?
• តើមានការប្រើប្រាស់ automatic fail-over និង server clustering ដែរឬទេ?
• តើអង្គភាពមានត្រៀមខ្លួនក្នុងការដាច់ចរន្តអគ្គីសនីដែរឬទេ ក្នុងកំឡុងពេលនៃការវាយប្រហារ?

តើនៅពេលណាដែលត្រូវធ្វើការ​ Backups?

វាក៏សំខាន់ផងដែរក្នុងការបញ្ជាក់អំពីរបៀប និងពេលណាការថតចំលងទុកនឹងកើតឡើង។ ការថតចំលងដើម្បីបម្រុងទុកទិន្នន័យរបស់ក្រុមហ៊ុនជាប្រចាំគួរតែត្រូវបានធ្វើឡើងក្នុងមួយថ្ងៃ ឬមួយដងក្នុងមួយសប្តាហ៍ ហើយជាធម្មតាក្នុងអំឡុងពេលជាច្រើនម៉ោងនៅពេលដែលទិន្នន័យនិងបណ្តាញមិនត្រូវបានប្រើប្រាស់ដូចជានៅប្រហែលម៉ោង ១ៈ០០នាទីថ្ងៃអាទិត្យជាដើម។

ការជ្រើសរើសពេលវេលានៅពេលដែលប្រព័ន្ធមិនត្រូវបានប្រើ នឹងបន្ថយឱកាសដែលវានឹងបណ្តាលឱ្យមានការរំខានដល់ដំណើរការធុរកិច្ច។ មានវិធីសាស្រ្តសាមញ្ញបីសម្រាប់ធ្វើការបម្រុងទុក៖

1. ធ្វើ Full backup: ដែលធ្វើការរក្សាទុកឯកសារទាំងអស់នៅលើ disks ។​ ពេលវេលាដែលត្រូវការសម្រាប់ធ្វើការ full backup គឺត្រូវចំណាយពេលច្រើនជាជាង incremental ឬ differential backup
2. ធ្វើ Incremental backup: ដែលវានឹងធ្វើការរក្សាទុកឯកសារដែលបានបង្កើត ឬមានការផ្លាស់ប្តូរតែប៉ុណ្ណោះ ចាប់តាំងពីការ backup កាលពីលើកមុន ដែលទាមទារនូវពេលវេលាតិចជាងការដំណើរការ full backup
3. ធ្វើ Differential backup: ដែលវានឹងធ្វើការរក្សាទុកទិន្នន័យចាប់តាំងពីការ backupចុងក្រោយ ហើយលឿននិងចំណាយតិចជាងការ full backup។ ប្រភេទនេះត្រូវបានគេចាត់ទុកថាយឺតជាងការ incremental backup ប៉ុន្តែផ្តល់ពេលវេលាស្តារឡើងវិញលឿនជាងមុន។

ការអនុវត្តល្អៗសម្រាប់ធ្វើឲ្យប្រសើរឡើងនូវការពង្រឹងសន្តិសុខបណ្តាញ ប្រឆាំងទៅនឹងការវាយប្រហារតាមអិុនធឺណិត

អ្នកដឹកនាំស្ថាប័នក៏គួរតែបញ្ជាក់ថាផ្នែកព័ត៌មានវិទ្យារបស់ពួកគេកំពុងអនុវត្តន៍តាមការអនុវត្តល្អបំផុតនៅពេលនិយាយដល់ការពង្រឹងសន្តិសុខ (hardening) ទៅលើបណ្តាញ។ អ្នកដឹកនាំគួរតែបញ្ជាក់ពីអនុសាសន៍ខាងក្រោមដែលកំពុងត្រូវបានអនុវត្តតាម៖

1. ធ្វើការជ្រើសរើស បញ្ជាទិញ និងតំឡើងរាល់ hardware និង software license សម្រាប់ប្រព័ន្ធទាំងមូល
2. តំឡើងកម្មវិធីកំចាត់ម-ទប់ស្កាត់មេរោគនៅលើរាល់កុំព្យូទ័រទាំងអស់ និងដាក់ឲ្យមានការអាប់ដេតដោយស្វ័យប្រវត្តិ
3. ធ្វើការរៀបចំ (configuration) នៅលើរាល់កុំព្យូទ័រ ដោយប្រើប្រាស់ junk email និងតំឡើងការច្រោះ spam email នៅលើ mail server
4. ដាក់មុខងារធ្វើការអាប់ដេតដោយស្វ័យប្រវត្តិនៅលើរាល់កុំព្យូទ័រទាំងអស់
5. រៀបចំបន្ទប់ដាក់ម៉ាស៊ីនមេ (server) នៅក្នុងបន្ទប់ដែលមានចាក់សោរត្រឹមត្រូវ (control access)
6. រៀបចំនូវនីតិវិធីនៃការ backup និង restoration procedures នៅក្នុងអង្គភាព។ ដាក់នូវការ backup ជាប្រចាំថ្ងៃ ជាមួយនឹង full backup ជារៀងរាល់សប្តាហ៍។ ធ្វើការរក្សាទុកឯកសារ backup​ នៅក្នុងទីតាំងផ្សេងខាងក្រៅអង្គភាព
7. រៀបចំ (configure) នូវសេវានានានៅលើម៉ាស៊ីនមេ ដើម្បីធ្វើការកំណត់នូវការដំណើរការនៃ strong passwords ដែលយ៉ាងហោចណាស់ចំនួន ១០ខ្ទង់ ដែលមានតួអក្សរតូច ធំ​លេខ និងនិម្មិត្តសញ្ញាបញ្ចូលគ្នា
8. រៀបចំ (configure) នូវកុំព្យូទ័រនីមួយៗដើម្បីធ្វើការ log-out អ្នកប្រើប្រាស់បន្ទាប់ពីមិនមានការប្រើប្រាស់រយៈពេល ៥នាទី

ពិចារណាទៅលើកាលៈទេសៈនៃការលួចទិន្នន័យ (Data Breach Considerations)

អង្គភាពទាំងអស់គួរតែដំណើរការក្រោមការសន្មតថាការ​លួចទិន្នន័យនឹងកើតឡើង ហើយបង្កើតផែនការដើម្បីឆ្លើយតបទៅនឹងហេតុការណ៍នោះ។ នេះគឺជាសំណួរដើម្បីសួរផ្នែកព័ត៌មានវិទ្យារបស់អ្នកអំពីគោលនយោបាយឆ្លើយតបនៃការរំលោភបំពានរបស់ខ្លួន៖

1. តើអ្វីទៅជានីតិវិធីនៃការ​​គ្រប់គ្រងទៅលើការលួចទិន្នន័យរបស់យើង (breach containment procedure)? នៅពេលរកឃើញការលួច។
2. តើអ្នកនឹងធ្វើការជូនដំណឹងទៅដល់បុគ្គលដែលរងការប៉ៈពាល់យ៉ាងដូចម្តេច? ក្រុមការងារឆ្លើយតបឧប្បទេវហេតុ ​(incident response team)​​ គួរតែធ្វើការជូនដំណឹងមុន បន្ទាប់មកគឺអ្នកគ្រប់គ្រង និងបុគ្គលដែលប៉ៈពាល់ផ្ទាល់។ សកម្មភាពនេះវានឹងអាចជួយដល់ការទប់ស្កាត់នូវការរីកសាយភាយនៃមេរោគទៅកាន់បណ្តាញផ្សេងទៀត និងកាត់បន្ថយការបាត់បង់ទិន្នន័យ
3. តើអ្នកវាយតម្លៃហានិភ័យដែលបណ្តាលមកពីការលួចទិន្នន័យយ៉ាងដូចម្តេច? នៅពេលដែលអ្នករកឃើញនូវឧប្បទេវេហតុនេះ អង្គភាពត្រូវចាប់ផ្តើមបន្ទាន់ក្នុងការវាយតម្លៃទៅលើហានិភ័យនានាដែលអាចកើតមានឡើងជាមួយនឹងបញ្ហានេះ ដោយរួមមានថាតើនរណាខ្លះ​ដែលរងផលប៉ៈពាល់ និងមានគ្រោះថ្នាក់អ្វីខ្លះ?
4. តើអ្នកត្រូវធ្វើការត្រួតពិនិត្យសារឡើងវិញ (review)​ យ៉ាងដូចម្តេចនូវឧប្បទេវហេតុ ដើម្បីជួយអ្នកក្នុងការត្រៀមខ្លួនសម្រាប់ការវាយប្រហារនាពេលអនាគត? បន្ទាប់ពីឧប្បទេវហេតុត្រូវបានដោះស្រាយ វាជាការសំខាន់ណាស់សម្រាប់បុគ្គលិក IT​ មាននូវគោលនយោបាយក្នុងការរៀនសូត្រពីហេតុការណ៍។ យើងត្រូវការវាយតម្លៃអំពីវិធីសាស្ត្រ ដែលអង្គភាពបានឆ្លើយតបទៅនឹងហេតុការណ៍ និងការត្រៀមខ្លួនសម្រាប់ហេតុការណ៍នាពេលអនាគត

ការផ្តល់វគ្គបណ្តុះបណ្តាលដល់អ្នកប្រើប្រាស់ (User Education )

អង្គភាពក៏គួររៀបចំផែនការសម្រាប់ការបណ្តុះបណ្តាល ការយល់ដឹងអំពីសន្តិសុខអិុនធឺណិតដល់អ្នកពាក់ព័ន្ធទាំងអស់ផងដែរ។ សារៈសំខាន់នៃការបណ្តុះបណ្តាលមិនគួរត្រូវបានគេព្រងើយ កន្តើយទេ ព្រោះវាជាចំណេះដឹងទូទៅដែលថាកំហុសរបស់មនុស្សត្រូវបានគេចាត់ទុកថាជាការគំរាមកំហែងដ៏ធំបំផុតចំពោះប្រព័ន្ធព័ត៌មានរបស់អង្គភាព។

អ្នកប្រើប្រាស់ទាំងអស់គួរតែទទួលបានការបណ្តុះបណ្តាលនៅក្នុងផ្នែកសំខាន់ៗ រួមមានការដោះស្រាយឧប្បត្តិហេតុ (incident handling), ការស្តារគ្រោះមហន្តរាយ (disaster recovery), ការការពារទិន្នន័យ (secure data), ការឆបោក (phishing) និងសុវត្តិភាពនៃកុំព្យូទ័រនៅផ្ទះ។ ការបណ្តុះបណ្តាលនេះនឹងអប់រំអ្នកប្រើប្រាស់អំពីសារៈសំខាន់នៃសុវត្ថិភាព, ការថែរក្សាលេខកូដសំងាត់សុវត្ថិភាព, កុំព្យូទ័រយួរដៃ, ការការពារមេរោគ, ការរកមើលអិុនធឺណិតដោយសុវត្ថិភាព និងផលវិបាកសម្រាប់សកម្មភាពនានាដែលគ្មានសុវត្ថិភាព​ និងខុសច្បាប់៕

ប្រភព៖​​​ https://inpublicsafety.com