Black Hat Asia 2023: วุฒิภาวะและความกังวลด้านความปลอดภัยทางไซเบอร์ในเอเชีย

การเติบโตด้านความปลอดภัยทางไซเบอร์นั้นเกิดขึ้นในกลุ่มองค์กรต่างๆ ในเอเชีย โดยมีโอกาสที่จะสร้างความก้าวหน้าในการแข่งขันเพื่อสร้างความสามารถในการฟื้นตัวทางดิจิทัล ในเดือนพฤษภาคม พ.ศ. 2023 Black Hat Asia ให้ข้อมูลเชิงลึกเกี่ยวกับแนวโน้มความปลอดภัยทางไซเบอร์ในภูมิภาค โดยทำให้เกิดคำถามเกี่ยวกับการเปิดเผยข้อมูล ความเป็นส่วนตัว และการลดขนาดข้อมูล

ในเอเชีย การละเมิดความปลอดภัยมากมายจนทำให้เกิดการเปิดเผยข้อมูลจำนวนมาก ทำให้ประชาชนในภูมิภาคมึนงง

พิจารณาชุดข้อมูลที่มีการอ้างว่ารั่วไหลในประเทศมาเลเซีย ในเดือนพฤษภาคม พ.ศ. 2022 มีการกล่าวหาว่าข้อมูลรั่วไหลของชาวมาเลเซียประมาณ 22.5 ล้านคนที่เกิดระหว่างปี พ.ศ. 1940 ถึง พ.ศ. 2004 ว่ากันว่าถูกขโมยไปจากกรมทะเบียนแห่งชาติ (NRD) และขายบน Dark Web ในราคา 10,000 ดอลลาร์ รายงานต่างๆ ระบุว่าข้อมูลดังกล่าวอาจถูกดูดออกจาก NRD ผ่าน API ของ MyIdentity ซึ่งเป็นแพลตฟอร์มแบ่งปันข้อมูลแบบรวมศูนย์ที่หน่วยงานภาครัฐใช้ อย่างไรก็ตาม รัฐมนตรีมหาดไทยมาเลเซียระบุว่ารายละเอียดส่วนบุคคลไม่ได้มาจาก NRD

ในเดือนธันวาคม 2022 มีข้อมูลที่ต้องสงสัยรั่วไหลมากขึ้น รวมถึงข้อมูลที่เกี่ยวข้องกับบัญชีเกือบ 13 ล้านบัญชีจาก Astro (ผู้ให้บริการโทรทัศน์ดาวเทียมและ IPTV ของประเทศ) คณะกรรมการการเลือกตั้งของมาเลเซีย และ Maybank รายงานเหล่านี้ส่งผลให้รัฐมนตรีกระทรวงคมนาคมและดิจิทัล Fahmi Fadzil เรียกร้องให้ CyberSecurity Malaysia และแผนกคุ้มครองข้อมูลส่วนบุคคลเริ่มการสอบสวนเพิ่มเติม ทั้งสามองค์กรอ้างว่าข้อกล่าวหาเรื่องข้อมูลรั่วไหลนั้นเป็นเท็จ

ในประเทศจีน กรณีที่ถูกกล่าวหาอีกคดีในเดือนกรกฎาคม พ.ศ. 2022 อ้างว่ามีการประนีประนอมฐานข้อมูลตำรวจแห่งชาติเซี่ยงไฮ้ (SHGA) ซึ่งประกอบด้วย “พลเมืองชาวจีน 1 พันล้านคน และบันทึกคดีหลายพันล้านคดี ซึ่งรวมถึง ชื่อ ที่อยู่ บ้านเกิด หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์เคลื่อนที่ รายละเอียดอาชญากรรม/คดีทั้งหมด” โดยแฮ็กเกอร์นิรนาม ChinaDan ตามที่ประกาศใน Breach Forums รอยเตอร์ไม่สามารถยืนยันความถูกต้องของโพสต์ได้แต่ที่น่าสงสัยคือค่าช็อตนั้นชัดเจน

ในอินโดนีเซีย พลเมืองจัดประเทศว่าเป็น "ประเทศโอเพ่นซอร์ส" ซึ่งหมายถึงความสม่ำเสมอที่น่าหงุดหงิดซึ่งเกิดการละเมิดข้อมูลและการเปิดเผยข้อมูล ในเดือนกันยายน 2022 ผู้โจมตีโดยใช้นามแฝง “Bjorka” แฮ็กเข้าสู่การลงทะเบียน SIM ของอินโดนีเซีย 1.3 พันล้านรายการ เปิดเผยหมายเลขโทรศัพท์มือถือ หมายเลขประจำตัวประชาชน ผู้ให้บริการโทรคมนาคม และอื่นๆ ในทวีตที่โพสต์เมื่อวันที่ 10 กันยายน Bjorka อ้างว่าได้ทำเช่นนั้นเพื่อแสดงให้เห็นว่ามันง่ายแค่ไหน “ที่จะเข้าไปในประตูต่างๆ เนื่องจากนโยบายการปกป้องข้อมูลที่แย่มาก โดยหลักๆ แล้วหากได้รับการจัดการโดยรัฐบาล” ผลกระทบที่ล้นออกมาจะทำให้ประชาชนต้องเผชิญกับการโจมตีของการโทรสแปม ฟิชชิ่งแบบหอก และวิธีการวิศวกรรมสังคมอื่น ๆ ที่ใช้ประโยชน์จากข้อมูลที่เปิดเผย

มากกว่าการแสดงข้อมูลธรรมดา

ออมเดีย ติดตามการละเมิดความปลอดภัย พบว่า 14% ของการประกาศ 4,998 รายการตั้งแต่ปี 2019 มาจากภูมิภาคเอเชียและโอเชียเนีย แต่ Omdia ยืนยันว่ามีมากกว่าที่ประกาศ การละเมิดความปลอดภัยส่วนใหญ่ในภูมิภาคมุ่งเป้าไปที่รัฐบาล บริษัทไอที การผลิต การค้าปลีก และอุตสาหกรรมบริการระดับมืออาชีพ เป้าหมายระดับประเทศอันดับต้นๆ ได้แก่ อินเดีย (20%) ออสเตรเลีย (18%) ญี่ปุ่น (12%) จีน (10%) และสิงคโปร์ (7%) และอื่นๆ อีกมากมาย

เพื่อให้สอดคล้องกับแนวโน้มทั่วโลก การเปิดเผยข้อมูลคือผลลัพธ์หลัก (68% ของเหตุการณ์ตั้งแต่ปี 2019) หลังจากการละเมิดในภูมิภาคเอเชียและโอเชียเนีย นอกเหนือจากการแฮ็กที่เป็นอันตรายแล้ว องค์กรในภูมิภาคนี้มักถูกโจมตีจากการสัมผัสโดยไม่ได้ตั้งใจ (19%), แรนซัมแวร์ (13%), การโจมตีในห่วงโซ่อุปทาน (10%) และฟิชชิ่ง (7%) ด้วยการเปิดเผยโดยไม่ได้ตั้งใจและฟิชชิ่ง การเน้นที่ปัจจัยมนุษย์ไม่สามารถมองข้ามได้ Security Breaches Tracker พบว่า 24% ของการละเมิดมาจากความสะเพร่าหรือความประมาทเลินเล่อ ในขณะที่ 5% มาจากอุบัติเหตุ ซึ่งบ่งชี้ถึงโอกาสมากมายสำหรับองค์กรต่างๆ ในการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์

การละเมิดที่เกิดซ้ำซึ่งส่งผลต่อข้อมูลส่วนบุคคล (PII) ทำให้เกิดคำถามเกี่ยวกับสิ่งที่องค์กรในภูมิภาคนี้กำลังดำเนินการเพื่อเพิ่มการป้องกันและปกป้องระบบ ในบรรดาชุดผลิตภัณฑ์ที่เพิ่มขึ้นเรื่อยๆ ที่สามารถตรวจจับภัยคุกคาม การตอบสนองต่อเหตุการณ์ และการตรวจสอบอย่างต่อเนื่องจากผู้จำหน่ายระบบรักษาความปลอดภัยชั้นนำ องค์กรต่างๆ กำลังมองหาการลงทุนในด้านใดบ้าง นอกจากนี้ ความตระหนักรู้ด้านความปลอดภัยของผู้ใช้ปลายทางได้รับการส่งเสริมและสนับสนุนในหมู่องค์กรในภูมิภาคเพื่อจัดการกับสาเหตุหลักประการหนึ่งของการละเมิดความปลอดภัยอย่างไร สิ่งเหล่านี้ยังคงเป็นโอกาสสำหรับองค์กรในภูมิภาคนี้ในการจัดลำดับความสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์เชิงรุก

คุณธรรมขั้นต่ำ

Black Hat Asia ยังยกแนวคิดเรื่องการลดขนาดข้อมูลซึ่งเป็นประเด็นสำคัญในการอภิปราย รวบรวมเฉพาะสิ่งที่คุณต้องการ เพื่อบรรลุวัตถุประสงค์เฉพาะ ภายใต้กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ในสหภาพยุโรป (EU) และสหราชอาณาจักร แนวคิดนี้รวมอยู่ในมาตรา 5 ซึ่งครอบคลุมหลักการสำคัญของการปกป้องข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคล “ไม่ยึดถืออีกต่อไป” ในกรณีการรวบรวมข้อมูลอาจพิสูจน์ได้ว่าเสริมความเข้มแข็งในการคุ้มครองข้อมูลได้

เห็นได้ชัดว่าการแจ้งเตือนรัฐบาล องค์กร และธุรกิจถึงความสำคัญของแนวทางการรักษาความมั่นคงปลอดภัยทางไซเบอร์แบบหลายชั้นจะต้องอาศัยการประนีประนอมครั้งใหญ่มากกว่าหนึ่งหรือสองครั้ง ธรรมาภิบาล กฎระเบียบ และค่าปรับร้ายแรง นอกเหนือจากการตบข้อมือ จะช่วยเสริมความรับผิดชอบในการดูแลจัดการข้อมูลให้มากขึ้น โดยได้รับการสนับสนุนจากเครื่องมือที่เพียงพอซึ่งจะช่วยเติมเต็มแนวทางเชิงรุกด้านความปลอดภัยทางไซเบอร์

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/omdia/black-hat-asia-2023-cybersecurity-maturity-concern