ปัจจุบันข้อมูลที่รับส่งกันบนระบบเครือข่ายทั้งภายใน ภายนอก หรือบนเว็บไซต์ต่างๆ ก็ล้วนแต่มีความสำคัญกับเราเกือบทั้งหมด โดยเฉพาะหากเป็นข้อมูลส่วนตัวหรืองานสำคัญที่มีผลกับหน้าที่การงานของเรา ข้อมูลเหล่านี้ก็มักเป็นเป้าหมายอันดับต้นๆ ของเหล่า Hacker ที่ต้องการได้มาครอบครอง ไม่ว่าจะด้วยวิธีการใดๆ ก็ตาม
ดังนั้นเราจึงต้องมีความระมัดระวังในการใช้งานข้อมูลเหล่านี้ โดยมีกฏเหล็กสำคัญที่ควรเผยแพร่เพื่อให้ผู้ใช้งานทั่วไปและในองค์กรต่างๆ ควรปฏิบัติดังนี้
- ควรกำหนดรหัสผ่านทั้งที่เป็นรหัสส่วนตัว หรือรหัสผ่านที่ใช้ในการเข้าระบบสำคัญ ให้มีความเข้มงวด โดยมาตรฐานไม่ควรต่ำกว่า 7 อักขระ, ต้องมีอักขระตัวเล็ก ตัวใหญ่ ตัวเลข รวมถึงสัญลักษณ์ต่างๆ ผสมอยู่ในรหัสผ่าน, ไม่ใช้รหัสผ่านเดียวกันกับทุกระบบ และควรกำหนดวันหมดอายุของรหัสผ่านเพื่อบังคับให้มีการเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ
2. การเข้าถึงระบบที่สำคัญต่างๆ ผ่าน Web Services ไม่ว่าจะเป็นเว็บไซต์ต่างๆ หรือเพื่อเข้าถึงอุปกรณ์สำคัญ เช่น Router, Switch หรือ Firewall ควรใช้งานผ่าน HTTPS เท่านั้น เพื่อลดความเสี่ยงต่อการถูกดักจับรหัสผ่านที่เข้าถึงระบบเหล่านี้ หรือข้อมูลต่างๆ ที่มีการรับส่งกัน
3. การ Log in เข้าสู่ระบบเครือข่ายภายในองค์กร ควรใช้การยืนยันตัวตนด้วยมาตรฐาน 802.1X ซึ่งจะทำงานในระดับ Layer2 เพื่อให้เครื่องคอมพิวเตอร์หรืออุปกรณ์ต่างๆ จากภายนอกก่อนเข้าสู่ระบบภายใน ต้องยืนยันตัวตนก่อนจึงจะสามารถติดต่อกันในระดับ Network ได้ (ถ้ายืนยันผ่านจึงจะได้รับ IP ไม่ใช่ได้รับ IP ก่อนแล้วค่อยยืนยัน) ทำให้การยืนยันตัวตนด้วยมาตรฐานนี้ จะมีความปลอดภัยมากกว่าแบบ Web Captive Portal ที่จะได้รับ IP ก่อนแล้วค่อยยืนยันตัวตน
4. การพิสูจน์ตัวตนผ่านระบบสำคัญ (Authentication) เช่น การ Log on เข้าสู่ระบบ Domain, การเข้าใช้งาน VPN หรือ Remote Access ต่างๆ ควรใช้การยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication)
5. ระมัดระวังการโจมตีในลักษณะของ Social Engineering เป็นการหลอกลวงของ Hacker ด้วยวิธีการต่างๆ โดยมักใช้รูปแบบของการปลอมแปลง หลอกล่อเพื่อเสนอผลประโยชน์บางอย่าง หรือทำให้ตื่นกลัวเพื่อให้เหยื่อหลงเชื่อในสิ่งที่ Hacker ต้องการ เช่น การส่งอีเมลปลอมไปแจ้งเตือนเหตุต่างๆ เพื่อให้เหยื่อตกใจแล้วส่งมอบข้อมูลสำคัญให้ หรือการส่งหน้าเว็บไซต์ปลอมเพื่อขโมยรหัสผ่านสำคัญ เป็นต้น
6. การป้องกันการถูกหลอกล่วงด้วยวิธีการ Social Engineering ที่ดีที่สุด ก็คือ การตรวจสอบข้อมูลที่ได้รับว่าน่าเชื่อถือหรือไม่ ไม่ตื่นตกใจง่าย และควรมีการยืนยันการติดต่อระหว่างบุคคลต้นทางและปลายทางทุกครั้งที่เป็นเรื่องสำคัญ เช่น การตรวจสอบอีเมลที่ได้รับก่อนเปิดอ่าน, ไม่เปิดอีเมลที่ไม่รู้จักไม่ว่าจะเสนอผลประโยชน์อะไรให้ก็ตาม, ไม่คลิกลิงก์ที่ถูกส่งมาจากบุคคลอื่นผ่านทางโปรแกรมหรืออีเมล, ไม่ควรเชื่อถือข้อมูลใดๆ ที่เปิดขึ้นมาในลักษณะของหน้า Popup และทุกครั้งก่อนกรอกชื่อผู้ใช้และรหัสผ่านสำคัญ ควรตรวจสอบเว็บไซต์หรือระบบปลายทางให้รอบคอบว่าเป็นระบบที่ถูกต้องและมีตัวตนจริงหรือไม่
7. ปิดการแชร์ข้อมูลสำคัญบนโปรแกรมต่างๆ ในบางโปรแกรมที่เราใช้งาน ไม่ว่าจะอยู่บนมือถือ โน้ตบุ๊ก หรืออุปกรณ์อื่นๆ หากไม่จำเป็นก็ควรปิดความสามารถเหล่านี้ลงไป เพื่อไม่ให้มีการแชร์ข้อมูลส่วนตัวไปยังบุคคลอื่นที่บางครั้งก็ไม่รู้ว่ามีใครสามารถสืบค้นดูข้อมูลเหล่านี้ของเราได้บ้าง เช่น การแชร์โลเคชั่นที่เคยไป, การแชร์รูปในสถานที่ส่วนตัว รวมถึงไฟล์ข้อมูลสำคัญที่หากจำเป็นต้องแชร์เพื่อใช้งานร่วมกับคนอื่น ก็ต้องมีการกำหนดสิทธิ์ในการเข้าถึงไฟล์เหล่านี้ ว่าใครมีสิทธิ์เข้าไปใช้งานได้บ้าง
8. หลีกเลี่ยงการใช้ Wi-Fi สาธารณะ หากจำเป็นต้องใช้งาน ควรเชื่อมต่ออินเทอร์เน็ตจากมือถือส่วนตัวของเรา เพราะการใช้ Wi-Fi ข้างนอก ก็เหมือนเรากำลังเชื่อมต่อเครือข่ายเดียวกันกับผู้คนจำนวนมากที่ไม่รู้จักกัน ซึ่งในนั้นอาจมี Hacker ที่ไม่หวังดีคอยดักจับข้อมูลของคนอื่นที่มาเชื่อมต่ออยู่ใน Wi-Fi วงเดียวกันก็ได้ เพราะส่วนใหญ่ Wi-Fi ที่ให้บริการสาธารณะมักละเลยเรื่องความปลอดภัยของผู้ใช้ ทำให้มีช่องโหว่ที่ Hacker สามารถเปลี่ยนแปลงข้อมูลในระดับ Layer2 (MAC Address) ทำให้เครื่องของเราเข้าใจผิดแล้วส่งข้อมูลต่างๆ ทั้งหมดไปให้ Hacker ได้
9. ตรวจสอบและติดตามการอัปเดตระบบปฏิบัติการ, ซอฟต์แวร์ หรือเฟิร์มแวร์ต่างๆ ให้เป็นเวอร์ชันใหม่สุดตลอดเวลา เพราะเหล่าผู้พัฒนาโปรแกรมหรืออุปกรณ์ต่างๆ มักจะมีการตรวจสอบช่องโหว่ที่เกิดขึ้นกับสินค้าของตัวเองแล้วทำการแก้ไข จากนั้นจึงออกเป็นแพตซ์แก้ไขให้ผู้ใช้นำไปอัปเดตเพื่อปิดช่องโหว่เหล่านั้น
10. หมั่นสำรองข้อมูลสำคัญเก็บไว้เสมอ เพราะเรื่องของความปลอดภัยไม่มีอะไรป้องกันได้ 100% หากเกิดความผิดพลาดใดๆ ขึ้นมาอย่างน้อยการสำรองข้อมูล ก็จะช่วยให้ความเสียหายต่อข้อมูลสำคัญต่างๆ ลดน้อยลง
