ក្រុមហ៊ុនភាគច្រើន បាននឹងកំពុងធ្វើការវិនិយោគទៅលើបណ្តាញ/ឧបករណ៍បណ្តាញរបស់ខ្លួន ឬអាចជាកម្មវិធីសន្តិសុខដោយបំពាក់នូវបច្ចេកវិទ្យាចុងក្រោយ ផ្នែកសន្តិសុខនិងការគ្រប់គ្រងការជួសជុលបញ្ហា (Patch) ។ ចាប់ផ្តើមចេញពីការងារទាំងនេះ ពួកគាត់បានធ្វើការព្យាយាមរួចទៅហើយដើម្បីកាត់បន្ថយនូវហានិភ័យនានាដែលអាចកើតមានឡើងចំពោះអង្គភាព។ ក៏ប៉ុន្តែ វាមិនមែនមានន័យថា ពួកគាត់មានសុវត្ថិភាពគេចផុតពីការវាយប្រហារនោះឡើយ។ ពួកគាត់គ្រាន់តែពន្យាពេលល្បែងនេះឲ្យងកាន់តែយូរប៉ុណ្ណោះ ហើយប្រហែលជាពួកគាត់នឹងនៅតែចាញ់ល្បែងនេះ។
មាននូវបច្ចេកទេសវាយប្រហារជាច្រើនទៀត ដែលភាគច្រើននៃអ្នកគ្រប់គ្រងផ្នែកសន្តិសុខព័ត៌មានមិនដែលយកចិត្តទុកដាក់សោះឡើយ។ ក្រៅពីចំនុចខ្សោយនៅក្នុងប្រព័ន្ធ, ខ្សែរសង្វាក់ដែលងាយរងគ្រោះបំផុតនោះគឺមនុស្ស ដែលវាមានការលំបាកបំផុតក្នុងការជួសជុល (patch) ឬដាក់យន្តការគ្រប់គ្រង (control)។ មនុស្សគឺមិនមែនជាម៉ាសីុនឡើយដែលធ្វើការតាមតែអ្វីដែលអ្នកកំណត់ទុកជាមុននោះទេ។ មនុស្សគឺមានខួរក្បាល និងការគិតរបស់ខ្លួន។
ឧបមាថាប្រព័ន្ធរបស់អ្នកបានបំពាក់នូវយន្តការសន្តិសុខហើយរួមទាំងបានធ្វើការជួសជុលនូវចំនុចខ្សោយដែលស្គាល់ទាំងអស់ ។ សូមគិតដល់ចំនុចមួយចំនួនដូចខាងក្រោម៖
– តើនរណាជាអភិបាលគ្រប់គ្រងប្រព័ន្ធ (System Administrator)?
– តើពួកគេធ្វើការគ្រប់គ្រង និងភ្ជាប់ចូលពីចម្ងាយទៅកាន់ប្រព័ន្ធយ៉ាងដូចម្តេច?
– តើពួកគេធ្វើការគ្រប់គ្រង និងរក្សាទុកនូវពាក្យសម្ងាត់ប្រព័ន្ធយ៉ាងដូចម្តេច?
រាល់យន្តការសន្តិសុខដែលអ្នកបានដាក់ចេញ គឺផ្តោតតែទៅលើ physical data storage តែប៉ុណ្ណោះ មិនមែន logical storage (ខួរក្បាល) នៃអភិបាលគ្រប់គ្រងប្រព័ន្ធនោះទេ។ ខាងក្រោមនេះគឺលទ្ធភាពនៃវិធីសាស្ត្រដែលអាចបំបែកនូវចំនុចខ្សោយរបស់បុគ្គលណាមួយ ហើយជ្រៀតចូលទៅគ្រប់គ្រងប្រព័ន្ធ៖
១. ការរក្សាទុកពាក្យសម្ងាត់មិនបានត្រឹមត្រូវ (មិនមានសុវត្ថិភាព)
ជាធម្មតានៅក្នុងប្រព័ន្ធមួយ វាតែងតែធ្វើកូដនីយកម្មពាក្យសម្ងាត់ (encrypted password) ហើយរក្សាវាទុកនៅក្នុងទីតាំងមានសុវត្ថិភាព។ មានបុគ្គលខ្លះ បានសរសេរពាក្យសម្ងាត់ទុកនៅលើក្រដាស ហើយបិទជាប់នៅលើតុ។ បន្ថែមជាមួយគ្នានេះផងដែរ មានអ្នកប្រើប្រាស់ខ្លះប្រើប្រាស់នូវឧបករណ៍ចល័តរបស់ខ្លួន ដើម្បីរក្សាទុកនូវព័ត៌មានសំខាន់ៗ ដោយមិនមានការធ្វើកូដនីយកម្ម ឬប្រើប្រាស់ពាក្យសម្ងាត់ការពារឡើយ។
២. ការលួចមើលពីក្រោយ
អ្នកជិតខាងអ្នក គឺអាចលួចមលើអ្នកវាយពាក្យសម្ងាត់នៅលើ keyboard នៅពេលដែលអ្នកចូលទៅក្នុងប្រព័ន្ធ ដែលពួកគេអាចឈរនៅជិតឬខាងក្រោយអ្នក។
៣. ការធ្វើវិស្វកម្មសង្គម (social engineering)
នេះគឺជាវិធីសាស្ត្រគ្រោះថ្នាក់ និងបានជោគជ័យបំផុតដើម្បីទាញយកនូវការទុកចិត្តពីបុគ្គលណាមួយ ហើយយកនូវអ្វីៗទាំងអស់ដែលត្រូវការ។ ជាដំបូងអ្នកវាយប្រហារ ធ្វើការប្រមូលព័ត៌មានដូចជា លេខទូរស័ព្ទ អីុមែ៉ល មិត្តភ័ក្ររួមការងារ ។ល។ និង ។ល។ បន្ទាប់មកទៀត អ្នកវាយប្រហារនឹងចាប់ផ្តើម៖
– Email Phishing: ដោយការប្រើប្រាស់នូវការទុកចិត្តពីជនរងគ្រោះ អ្នកវាយប្រហារអាចបោកប្រាស់ជនរងគ្រោះក្នុងការទាញយកនូវព័ត៌មានសម្ងាត់ទាក់ទង នឹងប្រព័ន្ធ ឧទាហរណ៍មានដូចជា គណនីអីុមែ៉ល របាយការណ៍ប្រាក់ខែ …ល។
– Click-Jacking: លួចយកនូវ user cookies ឬ session ដែលអាចប្រើប្រាស់ដើម្បីរំលងនូវការផ្ទៀងផ្ទាត់សិទ្ធ (authentication) ។
– Malware: អ្នកវាយប្រហារ អាចបោកជនរងគ្រោះឲ្យចូលទៅកាន់វេបសាយណាមួយ ដែលបង្កប់នូវមេរោគ ឬឯកសារមានមេរោគ ដើម្បីចំលងចូលទៅកាន់ កុំព្យូទ័រជនរងគ្រោះ។ មេរោគនោះអាចដំណើរការមុខងារជាច្រើនដូចជា ចាប់យកអក្សរដែលវាយនៅលើ Keyboard, BOTNET, RootKit, Credit Card, … ។ល។
តើចំនុចអ្វីខ្លះដែលត្រូវធ្វើដើម្បីពង្រឹងនូវចំនុចខ្សោយទាំងនេះ?
អ្នកគ្រប់គ្រងផ្នែកសន្តិសុខព័ត៌មានវិទ្យា គួរតែធ្វើការដាក់ចេញនូវយន្តការសន្តិសុខដោយការបង្កើតនូវ:
– គោលនយោបាយសន្តិសុខ និងនីតិវិធី (គោលនយោបាយអីុម៉ែល, គោលនយោបាយពាក្យសម្ងាត់, …etc)
– ធ្វើការត្រួតពិនិត្យភាពត្រឹមត្រូវរបស់បុគ្គលិក (ប្រាកដថាបុគ្គលិកបានអាន និងធ្វើតាមគោលការណ៍ណែនាំផ្នែកសន្តិសុខ)
– បង្កើតនូវកម្មវិធីបង្កើនការយល់ដឹងជាប្រចាំ (អាចប្រើប្រាស់ផ្ទាំងផ្សព្វផ្សាយការយល់ដឹង)
អត្ថបទដើមជាភាសាអង់គ្លេស:
https://www.linkedin.com/pulse/weak-chain-system-security-ly-vandy
បកប្រែក្រៅផ្លូវការដោយក្រុមការងារវេបសាយ SECUDEMY.com ។
ទស្សនៈខាងលើនេះ គឺសរសេរឡើងដោយលោក លី វណ្ឌី ដែលមានតួនាទីជា Senior Consultant (ERS) នៅក្រុមហ៊ុន Deloitte (Cambodia) ។
—————————————————-
តាមដានព័ត៌មានស្តីអំពីសន្តិសុខព័ត៌មានជាមួយយើងខ្ញុំ៖
– វេបសាយ: www.secudemy.com
– ហ្វេសប៊ុក: https://www.facebook.com/OuPhannarith/
– Twitter: https://twitter.com/phannarith
– Telegram: https://telegram.me/khisac
—————————————————-