AWS ประกาศซื้อกิจการ Wickr แพลตฟอร์มติดต่อสื่อสารแบบเข้ารหัส end-to-end รองรับทั้งการส่งข้อความ สนทนาเสียง และวิดีโอคอล โดยมูลค่าของดีลไม่มีการเปิดเผย
Wickr เริ่มให้บริการตั้งแต่ปี 2012 เน้นขายกลุ่มลูกค้าองค์กร โดยมีกลุ่มลูกค้าทั้งบริษัทขนาดใหญ่ ไปจนถึงหน่วยงานของรัฐ
Stephen Schmidt รองประธานและหัวหน้าฝ่ายความปลอดภัยข้อมูลของ AWS บอกว่าความต้องการระบบการติดต่อสื่อสาร ที่เข้ารหัสความปลอดภัยมีเพิ่มมากขึ้น ส่วนหนึ่งจากการระบาดของโควิด-19 ที่ทำให้คนต้องทำงานจากที่บ้าน โซลูชันของ Wickr จึงตอบโจทย์สำหรับลูกค้าองค์กรและหน่วยงานรัฐ โดยจะนำมาเป็นส่วนหนึ่งในฟีเจอร์ของ AWS
ที่มา: Amazon
Thales บริษัทด้านอากาศยานและอาวุธจากฝรั่งเศสเข้าซื้อ Gemalto บริษัทด้านความปลอดภัยข้อมูล ที่อาจจะเกี่ยวข้องกับคนทั่วไปบ้างคือเป็นผู้ผลิตซิมการ์ดให้กับผู้ให้บริการโทรศัพท์มือถือทั่วโลก
Thales เข้าซื้อหุ้นในราคา 51 ปอนด์ต่อหุ้น รวมมูลค่า 1.77 แสนล้านบาท สูงกว่าราคาตลาด 57%
สินค้าของ Gemalto ส่วนใหญ่เกี่ยวข้องกับกระบวนการเข้ารหัส เช่น ซิมการ์ด, ฮาร์ดแวร์ยืนยันตัวตนขั้นที่สอง, พาสปอร์ต, บริการเข้ารหัสข้อมูลในคลาวด์ ขณะที่บริษัทอาวุธอย่าง Thales ก็พยายามขยายตลาดมาด้านความปลอดภัยข้อมูล โดยลงทุนไปแล้วพันล้านยูโร
ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ของ Azure ชื่อว่า confidential computing สำหรับลูกค้าที่กังวลเรื่องปัญหาข้อมูลรั่วไหล
ปกติแล้ว Azure เข้ารหัสข้อมูลในฐานข้อมูล SQL Server ตลอดเวลา (Always Encrypted) อยู่แล้ว แต่ตอนที่นำข้อมูลออกมาประมวลผล ย่อมต้องถอดรหัสข้อมูลออกมาก่อนเสมอ เป็นช่องโหว่ที่อาจทำให้ลูกค้ากังวล
มีประเด็นมาสักพักใหญ่ๆ ระหว่างรัฐบาลสหรัฐกับซอฟต์แวร์ความปลอดภัย Kaspersky ล่าสุดรัฐบาลสหรัฐนำโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security - DHS) ก็ออกประกาศให้หน่วยงานของรัฐบาลกลางทั้งหมด ต้องรายงานการใช้งานซอฟต์แวร์ของ Kaspersky กลับมายัง DHS ภายใน 30 วัน
จากนั้น DHS จะวางแผนการเลิกใช้ Kaspersky ภายใน 60 วัน แล้วเริ่มดำเนินการเลิกใช้ Kaspersky ต่อไป
เหตุผลสำคัญคือรัฐบาลสหรัฐเกรงว่าจะมีข้อมูลสำคัญรั่วไหล เนื่องจาก Kaspersky ซึ่งเป็นบริษัทจากรัสเซีย มีความใกล้ชิดกับรัฐบาลและหน่วยข่าวกรองของรัสเซีย
NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ
เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS
การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป
Maureen Ohlhausen หนึ่งในกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ไปร่วมเวทีเสวนาของ The Heritage Foundation ถึงประเด็นความปลอดภัยของข้อมูลออนไลน์ ระบุว่าในกรณีที่ FTC เข้าไปสอบสวนคดีข้อมูลรั่วไหล จะสามารถปิดคดีได้ถึง 70% จนถึงตอนนี้สามารถตกลงการชดเชยในกรณีต่างๆ ได้ถึง 60 กรณีแล้ว
นอกจากการทำงานปิดคดีข้อมูลรั่วไหลแล้ว FTC ยังพยายามทำความเข้าใจกับกระบวนการออกใบรับรองมาตรฐานความปลอดภัย โดยเฉพาะมาตรฐาน PCI-DSS ที่ใช้ตรวจสอบหน่วยงานที่เก็บข้อมูลบัตรเครดิต
ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ (ข่าวเก่า) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการละเมิดระเบียบของรัฐบาลกลาง
แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ
มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มาตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด
ความเปลี่ยนแปลงสำคัญ คือ การเข้าถึงสิทธิ์ผู้ดูแลระบบของตัวแอปพลิเคชั่นจากระยะไกลต้องรองรับการยืนยันตัวตนหลายขั้นตอนเช่นเดียวกับ PCI-DSS และผู้ผลิตซอฟต์แวร์จะต้องมอบขั้นตอนการอัพเดตซอฟต์แวร์ โดยระบุถึงขั้นตอนการแจ้งเตือนอัพเดตใหม่, การส่งมอบอัพเดตให้กับลูกค้าอย่างมั่นคงปลอดภัย, และการติดตั้งอัพเดตอย่างมั่นคงปลอดภัยว่าแพตช์และโค้ดที่ถูกแพตช์แล้วยังถูกต้องอยู่
มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน
ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน
สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด
ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง
ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป
ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015
สำนักข่าว BBC ของอังกฤษ รายงานว่า นักวิจัยจาก Imperial College London ได้ตีพิมพ์รายงานวิจัยชิ้นหนึ่งที่พบว่าแอพของ NHS (National Health Service หรือ หน่วยงานบริการสาธารณสุขแห่งชาติของอังกฤษ) มีช่องโหว่ในกระบวนการส่งข้อมูลบางอย่างซึ่งไม่ได้เข้ารหัส และทำให้สามารถถูกขโมยข้อมูลได้
องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย
คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต
คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้
นักวิจัยความปลอดภัยของ FireEye ค้นพบว่าสมาร์ทโฟนของ HTC หลายรุ่น เก็บข้อมูลภาพลายนิ้วมือของผู้ใช้แบบความละเอียดสูงเอาไว้ในตัวเครื่อง โดยมีการป้องกันข้อมูลภาพนั้นน้อยมากหรือไม่มีเลย
ตัวอย่างที่นักวิจัยหยิบยกมานำเสนอในเอกสารรายงานเรื่องนี้ คือการเก็บภาพลายนิ้วมือของผู้ใช้สมาร์ทโฟน HTC รุ่น One Max ซึ่งภาพลายนิ้วมือความละเอียดสูงถูกจัดเก็บในรูปไฟล์ Bitmap
มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016
ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน
วารสาร Journal of the American Medical Association (JAMA) ซึ่งเป็นวารสารทางการแพทย์ของสหรัฐอเมริกา ได้เผยแพร่งานวิจัยที่ระบุเกี่ยวกับความปลอดภัยและการจัดเก็บข้อมูลเวชระเบียนของผู้ป่วย โดยระบุว่าในช่วงปี 2010 ถึง 2013 มีข้อมูลเวชระเบียนจำนวนกว่า 29 ล้านชุด ได้รับผลกระทบจากการรั่วไหลของข้อมูล โดยกว่าร้อยละ 67 เป็นเวชระเบียนที่จัดเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ และมีแนวโน้มเพิ่มขึ้นด้วย
ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว
โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ
เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้
หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง
อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว
มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง
จากงานวิจัยเมื่อปี 2013 โดยนักวิจัยในเยอรมนีซึ่งกล่าวถึงความเสี่ยงต่อการถูกโจรกรรมข้อมูลของแอพจัดการชื่อผู้ใช้และรหัสผ่าน (password manager) ยอดนิยม 21 ตัวบนแอนดรอยด์ พบว่ารหัสผ่านสามารถถูกขโมยได้อย่างง่ายดาย ซึ่งวิธีการคือติดตั้งแอพดักจับรหัสผ่านลงในเครื่อง และเมื่อใดก็ตามที่แอพจัดการชื่อผู้ใช้และรหัสผ่านคัดลอกข้อมูลไปยังคลิปบอร์ด แอพดักจับรหัสผ่านก็จะสามารถขโมยข้อมูลจากคลิปบอร์ดได้นั่นเอง
เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ
แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น
ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้
Secure Drives บริษัทสัญชาติอังกฤษเปิดตัว SSD ที่มาพร้อมความสามารถในการทำลายตัวเองเพื่อปกป้องข้อมูลสำคัญของผู้เป็นเจ้าของ
SSD ที่ว่านี้มีด้วยกัน 2 รุ่น คือ Autothysis128s และ Autothysis128t โดยทั้งคู่เป็นหน่วยความจำข้อมูลแบบโซลิดเสตทขนาด 128GB มีระบบทำลายตัวเองซึ่งจะทำงานเมื่อได้รับคำสั่งจากผู้ใช้ สำหรับการสั่งทำลายข้อมูลนั้นผู้ใช้จะต้องส่งข้อความไปยังหมายเลขโทรศัพท์ที่กำหนดไว้โดยเฉพาะ ซึ่งจะมีผลให้ตัว SSD ลบข้อมูลที่เก็บไว้พร้อมทั้งทำลายชิปภายในจนแตก
นอกเหนือจากการสั่งทำลายผ่านการส่งข้อความแล้ว ผู้ใช้สามารถตั้งค่าให้ตัว SSD รุ่นพิเศษนี้ทำลายตัวเองโดยอัตโนมัติได้ในอีกหลายสถานการณ์ (ซึ่งอาจตีความได้ว่ามีการพยายามรุกล้ำเข้าถึงข้อมูลโดยผู้ไม่หวังดี) อันได้แก่
จากการเปิดโปงเรื่องการสอดแนมข้อมูลโดย NSA ของสหรัฐอเมริกาที่ทำให้นานาประเทศตื่นตัวทั่วโลก ทำให้เยอรมนีซึ่งเป็นหนึ่งในประเทศที่มีส่วนเกี่ยวข้องในฐานะที่เป็นผู้ถูกกระทำ (มีรายงานว่า NSA ดักฟังข้อมูลจากโทรศัพท์ของ Angela Merkel ผู้นำประเทศของเยอรมนีด้วย) ก็พยายามเฟ้นหามาตรการมาป้องกันการรั่วไหลของข้อมูลสำคัญ ซึ่งหนึ่งในนั้นคือการผันกลับมาใช้ระบบเอกสารแบบแอนะล็อกด้วยการใช้เครื่องพิมพ์ดีด แทนการใช้คอมพิวเตอร์จัดการข้อมูลในรูปแบบไฟล์ดิจิทัล