AWS ประกาศซื้อกิจการ Wickr แพลตฟอร์มติดต่อสื่อสารแบบเข้ารหัส end-to-end รองรับทั้งการส่งข้อความ สนทนาเสียง และวิดีโอคอล โดยมูลค่าของดีลไม่มีการเปิดเผย

Wickr เริ่มให้บริการตั้งแต่ปี 2012 เน้นขายกลุ่มลูกค้าองค์กร โดยมีกลุ่มลูกค้าทั้งบริษัทขนาดใหญ่ ไปจนถึงหน่วยงานของรัฐ

Stephen Schmidt รองประธานและหัวหน้าฝ่ายความปลอดภัยข้อมูลของ AWS บอกว่าความต้องการระบบการติดต่อสื่อสาร ที่เข้ารหัสความปลอดภัยมีเพิ่มมากขึ้น ส่วนหนึ่งจากการระบาดของโควิด-19 ที่ทำให้คนต้องทำงานจากที่บ้าน โซลูชันของ Wickr จึงตอบโจทย์สำหรับลูกค้าองค์กรและหน่วยงานรัฐ โดยจะนำมาเป็นส่วนหนึ่งในฟีเจอร์ของ AWS

ที่มา: Amazon

Thales บริษัทด้านอากาศยานและอาวุธจากฝรั่งเศสเข้าซื้อ Gemalto บริษัทด้านความปลอดภัยข้อมูล ที่อาจจะเกี่ยวข้องกับคนทั่วไปบ้างคือเป็นผู้ผลิตซิมการ์ดให้กับผู้ให้บริการโทรศัพท์มือถือทั่วโลก

Thales เข้าซื้อหุ้นในราคา 51 ปอนด์ต่อหุ้น รวมมูลค่า 1.77 แสนล้านบาท สูงกว่าราคาตลาด 57%

สินค้าของ Gemalto ส่วนใหญ่เกี่ยวข้องกับกระบวนการเข้ารหัส เช่น ซิมการ์ด, ฮาร์ดแวร์ยืนยันตัวตนขั้นที่สอง, พาสปอร์ต, บริการเข้ารหัสข้อมูลในคลาวด์ ขณะที่บริษัทอาวุธอย่าง Thales ก็พยายามขยายตลาดมาด้านความปลอดภัยข้อมูล โดยลงทุนไปแล้วพันล้านยูโร

ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ของ Azure ชื่อว่า confidential computing สำหรับลูกค้าที่กังวลเรื่องปัญหาข้อมูลรั่วไหล

ปกติแล้ว Azure เข้ารหัสข้อมูลในฐานข้อมูล SQL Server ตลอดเวลา ( Always Encrypted ) อยู่แล้ว แต่ตอนที่นำข้อมูลออกมาประมวลผล ย่อมต้องถอดรหัสข้อมูลออกมาก่อนเสมอ เป็นช่องโหว่ที่อาจทำให้ลูกค้ากังวล

มีประเด็นมาสักพักใหญ่ๆ ระหว่าง รัฐบาลสหรัฐกับซอฟต์แวร์ความปลอดภัย Kaspersky ล่าสุดรัฐบาลสหรัฐนำโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security - DHS) ก็ออกประกาศให้หน่วยงานของรัฐบาลกลางทั้งหมด ต้องรายงานการใช้งานซอฟต์แวร์ของ Kaspersky กลับมายัง DHS ภายใน 30 วัน

จากนั้น DHS จะวางแผนการเลิกใช้ Kaspersky ภายใน 60 วัน แล้วเริ่มดำเนินการเลิกใช้ Kaspersky ต่อไป

เหตุผลสำคัญคือรัฐบาลสหรัฐเกรงว่าจะมีข้อมูลสำคัญรั่วไหล เนื่องจาก Kaspersky ซึ่งเป็นบริษัทจากรัสเซีย มีความใกล้ชิดกับรัฐบาลและหน่วยข่าวกรองของรัสเซีย

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

Maureen Ohlhausen หนึ่งในกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ไปร่วมเวทีเสวนาของ The Heritage Foundation ถึงประเด็นความปลอดภัยของข้อมูลออนไลน์ ระบุว่าในกรณีที่ FTC เข้าไปสอบสวนคดีข้อมูลรั่วไหล จะสามารถปิดคดีได้ถึง 70% จนถึงตอนนี้สามารถตกลงการชดเชยในกรณีต่างๆ ได้ถึง 60 กรณีแล้ว

นอกจากการทำงานปิดคดีข้อมูลรั่วไหลแล้ว FTC ยังพยายามทำความเข้าใจกับกระบวนการออกใบรับรองมาตรฐานความปลอดภัย โดยเฉพาะมาตรฐาน PCI-DSS ที่ใช้ตรวจสอบหน่วยงานที่เก็บข้อมูลบัตรเครดิต

ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ ( ข่าวเก่า ) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการ ละเมิดระเบียบของรัฐบาลกลาง

แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ

มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มา ตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด

ความเปลี่ยนแปลงสำคัญ คือ การเข้าถึงสิทธิ์ผู้ดูแลระบบของตัวแอปพลิเคชั่นจากระยะไกลต้องรองรับการยืนยันตัวตนหลายขั้นตอนเช่นเดียวกับ PCI-DSS และผู้ผลิตซอฟต์แวร์จะต้องมอบขั้นตอนการอัพเดตซอฟต์แวร์ โดยระบุถึงขั้นตอนการแจ้งเตือนอัพเดตใหม่, การส่งมอบอัพเดตให้กับลูกค้าอย่างมั่นคงปลอดภัย, และการติดตั้งอัพเดตอย่างมั่นคงปลอดภัยว่าแพตช์และโค้ดที่ถูกแพตช์แล้วยังถูกต้องอยู่

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015

สำนักข่าว BBC ของอังกฤษ รายงานว่า นักวิจัยจาก Imperial College London ได้ตีพิมพ์รายงานวิจัยชิ้นหนึ่งที่พบว่าแอพของ NHS (National Health Service หรือ หน่วยงานบริการสาธารณสุขแห่งชาติของอังกฤษ) มีช่องโหว่ในกระบวนการส่งข้อมูลบางอย่างซึ่งไม่ได้เข้ารหัส และทำให้สามารถถูกขโมยข้อมูลได้

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

นักวิจัยความปลอดภัยของ FireEye ค้นพบว่าสมาร์ทโฟนของ HTC หลายรุ่น เก็บข้อมูลภาพลายนิ้วมือของผู้ใช้แบบความละเอียดสูงเอาไว้ในตัวเครื่อง โดยมีการป้องกันข้อมูลภาพนั้นน้อยมากหรือไม่มีเลย

ตัวอย่างที่นักวิจัยหยิบยกมานำเสนอในเอกสารรายงานเรื่องนี้ คือการเก็บภาพลายนิ้วมือของผู้ใช้สมาร์ทโฟน HTC รุ่น One Max ซึ่งภาพลายนิ้วมือความละเอียดสูงถูกจัดเก็บในรูปไฟล์ Bitmap

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

วารสาร Journal of the American Medical Association (JAMA) ซึ่งเป็นวารสารทางการแพทย์ของสหรัฐอเมริกา ได้เผยแพร่งานวิจัยที่ระบุเกี่ยวกับความปลอดภัยและการจัดเก็บข้อมูลเวชระเบียนของผู้ป่วย โดยระบุว่าในช่วงปี 2010 ถึง 2013 มีข้อมูลเวชระเบียนจำนวนกว่า 29 ล้านชุด ได้รับผลกระทบจากการรั่วไหลของข้อมูล โดยกว่าร้อยละ 67 เป็นเวชระเบียนที่จัดเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ และมีแนวโน้มเพิ่มขึ้นด้วย

ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป ) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว

โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่ เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้ มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง

จาก งานวิจัย เมื่อปี 2013 โดยนักวิจัยในเยอรมนีซึ่งกล่าวถึงความเสี่ยงต่อการถูกโจรกรรมข้อมูลของแอพจัดการชื่อผู้ใช้และรหัสผ่าน (password manager) ยอดนิยม 21 ตัวบนแอนดรอยด์ พบว่ารหัสผ่านสามารถถูกขโมยได้อย่างง่ายดาย ซึ่งวิธีการคือติดตั้งแอพดักจับรหัสผ่านลงในเครื่อง และเมื่อใดก็ตามที่แอพจัดการชื่อผู้ใช้และรหัสผ่านคัดลอกข้อมูลไปยังคลิปบอร์ด แอพดักจับรหัสผ่านก็จะสามารถขโมยข้อมูลจากคลิปบอร์ดได้นั่นเอง

เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ

แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

Secure Drives บริษัทสัญชาติอังกฤษเปิดตัว SSD ที่มาพร้อมความสามารถในการทำลายตัวเองเพื่อปกป้องข้อมูลสำคัญของผู้เป็นเจ้าของ

SSD ที่ว่านี้มีด้วยกัน 2 รุ่น คือ Autothysis128s และ Autothysis128t โดยทั้งคู่เป็นหน่วยความจำข้อมูลแบบโซลิดเสตทขนาด 128GB มีระบบทำลายตัวเองซึ่งจะทำงานเมื่อได้รับคำสั่งจากผู้ใช้ สำหรับการสั่งทำลายข้อมูลนั้นผู้ใช้จะต้องส่งข้อความไปยังหมายเลขโทรศัพท์ที่กำหนดไว้โดยเฉพาะ ซึ่งจะมีผลให้ตัว SSD ลบข้อมูลที่เก็บไว้พร้อมทั้งทำลายชิปภายในจนแตก

นอกเหนือจากการสั่งทำลายผ่านการส่งข้อความแล้ว ผู้ใช้สามารถตั้งค่าให้ตัว SSD รุ่นพิเศษนี้ทำลายตัวเองโดยอัตโนมัติได้ในอีกหลายสถานการณ์ (ซึ่งอาจตีความได้ว่ามีการพยายามรุกล้ำเข้าถึงข้อมูลโดยผู้ไม่หวังดี) อันได้แก่

จากการเปิดโปงเรื่องการสอดแนมข้อมูลโดย NSA ของสหรัฐอเมริกาที่ทำให้นานาประเทศตื่นตัวทั่วโลก ทำให้เยอรมนีซึ่งเป็นหนึ่งในประเทศที่มีส่วนเกี่ยวข้องในฐานะที่เป็นผู้ถูกกระทำ (มีรายงานว่า NSA ดักฟังข้อมูลจากโทรศัพท์ของ Angela Merkel ผู้นำประเทศของเยอรมนีด้วย) ก็พยายามเฟ้นหามาตรการมาป้องกันการรั่วไหลของข้อมูลสำคัญ ซึ่งหนึ่งในนั้นคือการผันกลับมาใช้ระบบเอกสารแบบแอนะล็อกด้วยการใช้เครื่องพิมพ์ดีด แทนการใช้คอมพิวเตอร์จัดการข้อมูลในรูปแบบไฟล์ดิจิทัล