
Bangkok Governor Election
Incognito Lab
วันนี้เป็นวันเลือกตั้งผู้ว่า กทม. 2013
สิ่งที่อยากจะแชร์ในวันนี้คือ Security ในเขตเลือกตั้งครับ ผมล่ะแปลกใจว่าหน่วยงานรัฐที่เกี่ยวข้องละเลยเรื่องพวกนี้ได้อย่างไร หรือคิดว่าเป็นเรื่องปกติ ทำกันมานานไม่เห็นมีปัญหาหรืออย่างไร
- บอร์ดเลือกตั้ง มีข้อมูล Privacy ที่สำคัญของประชาชนในเขต โดยข้อมูลที่ถูกเปิดเผยบนบอร์ดนั้นได้แก่ เลขที่บ้าน ชื่อ-นามสกุล ลำดับที่ เลขที่บัตรประชาชน วันเกิด โดยปกติก่อนการเลือกตั้งจะมีจดหมายมาแจ้งที่บ้านว่าบุคคลในบ้านผู้ใดมีสิทธิ์ไปเลือกตั้งบ้าง และแต่ละคนอยู่ลำดับที่เท่าไร เพื่อไปแจ้งที่ศูนย์เลือกตั้งเพื่อใช้สิทธิ์

Privacy Data
ผมเห็นว่าบอร์ดที่ติดอยู่นั้นหากจะมี ก็มีได้ แต่เรื่องข้อมูลต่าง ๆ ควรจะต้องมีการ Filter ออกบ้าง เพราะคงจะไม่มีคนไปนั่งไล่วันเกิด หรือ เลขบัตรประชาชน เพื่อหาลำดับที่ในการใช้สิทธิ์หรอกครับ
ข้อมูลเหล่านี้หากแยกกันอยู่โดด ๆ คงไม่สำคัญอะไร แต่พอนำมารวมกันเราก็ควรจะให้ความสำคัญเพิ่มขึ้นครับ หากมีคนสามารถนำข้อมูลเหล่านี้ออกไปได้ หรือ หากมีการควบคุมหรือทำลายข้อมูลไม่ถูกต้อง ก็น่ากลัวนะครับ ข้อมูลเหล่านี้อาจจะถูกนำไปใช้ในทางที่ไม่ดี เช่น Identity Theft ก็ได้ครับ หรือหากโจรร้ายดูข้อมูลเหล่านี้ก็จะทราบว่าบ้านแต่ละหลังมีคนอยู่จำนวนเท่าไร
- ผู้ที่ไปต่อแถวใช้สิทธิ์ โดยส่วนใหญ่มักจะถือบัตรประชาชนไว้ในมือ บางทีก็เอามือไพล่หลัง ซึ่งอาจจะถูกผู้ที่อยู่ด้านหลังนำข้อมูลไปใช้ได้นะครับ
สิ่งที่ควรจะทำเป็นอย่างน้อย
- Data Filtering – การตัดข้อมูลบางอย่างออก เพื่อปกป้องไม่ให้ข้อมูลสำคัญรั่วไหล เช่น บอร์ดแจ้งรายละเอียดผู้มีสิทธิ์ควรจะต้องมีการพิจารณาให้เห็นเฉพาะข้อมูลที่จำเป็นจริง ๆ เท่านั้น
- Data Classification & Data Handling – ตาม Standard ISO27001 เรื่องการจัดชั้นความลับถือเป็นเรื่องสำคัญมาก ๆ โดยเอกสารหรือข้อมูลต่าง ๆ ควรจะมีการจัดชั้นความลับให้เหมาะสมกับความสำคัญของเอกสาร โดยแต่ละชั้นความลับก็ควรจะมีวิธีการเข้าถึง, ควบคุม และทำลาย อย่างเหมาะสม หากไม่มีการจัดการที่ดี วันนึงข้างหน้าเราอาจจะเห็นกระดาษที่มีข้อมูลสำคัญเหล่านี้ ถูกนำไปถูกพับถุงขายก็ได้ครับ
Up Next

ARTICLES
Feb
25
2021
Incognito Mode EP1
สำหรับใน EP 1 นี้ได้คุณพรสุข มาบรรยายในหัวข้อ Thailand's Cyber
READ MORE

ARTICLES
Jan
27
2021
Difference between Single-stage Ransomware and Multi-stage Ransomware
องค์กรที่มีแผนรับมือ(Incident Response) กรณีการโจมตีของ Ransomware Attack ต้องเริ่มมาทบทวนแผนกันใหม่นะครับเนื่องจากรูปแบบการโจมตีของ attackers มีชั้นเชิงที่จะบีบบริษัทหรือองค์กรที่ตกเป็นเหยื่อมากยิ่งขึ้น
READ MORE

ARTICLES
Jan
27
2021
VA/Pentest Service FAQs
บทความนี้อยากทำให้ผู้อ่านได้เข้าใจถึง VA/Pentest Service ซึ่งเป็น Service หลักของ Incognito Lab
READ MORE