១. ព័ត៌មានទូទៅ
នៅក្នុងបរិបទដែលការគំរាមកំហែងសាយប័រ (Cyber threats) មានការកើនឡើង និងវិវត្តខ្លួនយ៉ាងឆាប់រហ័ស ការការពារប្រព័ន្ធព័ត៌មានវិទ្យា (IT) និងទិន្នន័យសំខាន់ៗរបស់ស្ថាប័ន គឺជាកិច្ចការដ៏សំខាន់បំផុតដែលមិនអាចខ្វះបាន។ ផ្អែកលើការណែនាំពីអ្នកជំនាញ និងស្តង់ដារសុវត្ថិភាពអន្តរជាតិ ស្ថាប័ននានាត្រូវការការរៀបចំខ្សែការពារឱ្យបានរឹងមាំដើម្បីទប់ទល់នឹងការវាយប្រហារ។
ខាងក្រោមនេះគឺជាជំហានជាក់ស្តែង និងសំខាន់ៗចំនួន ៦ ដែលអង្គភាពរបស់អ្នកអាចយកទៅអនុវត្តភ្លាមៗ ដើម្បីពង្រឹងកម្រិតសន្តិសុខសាយប័រ និងកាត់បន្ថយហានិភ័យផ្សេងៗ៖
២. វិធានការសន្តិសុខស្នូលទាំង ៦
១. ការការពារប្រប្រឆាំងនឹងមេរោគ (Malware Protection)
- មេរោគ (Malware) អាចជ្រៀតចូលក្នុងប្រព័ន្ធយ៉ាងងាយស្រួលតាមរយៈអ៊ីមែលបោកប្រាស់ ឬឧបករណ៍ផ្ទុកទិន្នន័យខាងក្រៅ (USB Flash drives)។
- ប្រើប្រាស់កម្មវិធីកំចាត់មេរោគ (Antivirus): ត្រូវដំឡើងកម្មវិធីកំចាត់មេរោគដែលគួរឱ្យទុកចិត្តលើគ្រប់ឧបករណ៍ទាំងអស់ (Endpoints) និងកំណត់ឱ្យវាធ្វើការស្កេន (Scan) និងធ្វើបច្ចុប្បន្នភាពជាប្រចាំ។
- ការគ្រប់គ្រងសិទ្ធិដំឡើង (Privilege Management): កម្រិតសិទ្ធិរបស់បុគ្គលិកក្នុងការដំឡើងកម្មវិធីថ្មីៗ (Restricting administrative privileges) ដើម្បីបង្ការការទាញយកកម្មវិធីដែលមានបង្កប់មេរោគដោយអចេតនា។
២. ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីឱ្យទាន់សម័យ (Keeping Software Up-to-Date)
- ចោរព័ត៌មានវិទ្យា (Hackers) តែងតែទាញយកផលប្រយោជន៍ពីចន្លោះប្រហោង (Vulnerabilities) នៃប្រព័ន្ធប្រតិបត្តិការ ឬកម្មវិធីដែលចាស់ៗ។
- ការគ្រប់គ្រង Patch (Patching): ធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ (OS) និងកម្មវិធី (Applications) ភ្លាមៗនៅពេលមានការផ្តល់ជូនកូដជួសជុលពីក្រុមហ៊ុនផលិត។
- លុបចោលកម្មវិធីដែលមិនប្រើ: កម្មវិធីដែលលែងប្រើ ឬលែងមានការគាំទ្របច្ចេកទេស (End-of-life) គួរត្រូវបានលុបចេញពីប្រព័ន្ធ ដើម្បីកាត់បន្ថយផ្ទៃវាយប្រហារ (Attack surface)។
៣. ការពង្រឹងសន្តិសុខលើការចូលប្រើប្រាស់ (Access Control & Passwords)
- ការគ្រប់គ្រងអត្តសញ្ញាណ និងការចូលប្រើប្រាស់ គឺជាខ្សែការពារទីមួយដ៏សំខាន់បំផុត។
- គោលការណ៍ពាក្យសម្ងាត់ (Password Policy): ជំរុញឱ្យប្រើប្រាស់ពាក្យសម្ងាត់ដែលស្មុគស្មាញ (រួមមាន អក្សរធំ-តូច លេខ និងនិមិត្តសញ្ញា) និងជៀសវាងការប្រើពាក្យសម្ងាត់ដដែលៗសម្រាប់គណនីផ្សេងគ្នា។
- ការផ្ទៀងផ្ទាត់ច្រើនកម្រិត (Multi-Factor Authentication – MFA): នេះគឺជាវិធីសាស្ត្រដ៏មានប្រសិទ្ធភាពបំផុត។ ទោះបីជាជនខិលខូចដឹងពាក្យសម្ងាត់ ក៏ពួកគេមិនអាចចូលប្រើប្រាស់ប្រព័ន្ធបានដែរ បើគ្មានលេខកូដបញ្ជាក់បន្ថែម (ដូចជា OTP ឬរុញសញ្ញាទៅទូរស័ព្ទដៃ)។
៤. ការចម្លងទុកទិន្នន័យ និងការត្រៀមលក្ខណៈងើបឡើងវិញ (Backups)
- ក្នុងករណីមានការវាយប្រហារដោយមេរោគជម្រិតទារប្រាក់ (Ransomware) ឬការបាត់បង់ទិន្នន័យដោយសារគ្រោះថ្នាក់ផ្សេងៗ ការមានទិន្នន័យ Backup គឺជាមធ្យោបាយសង្គ្រោះតែមួយគត់។
- Offline Backup: គួរមានការចម្លងទុកទិន្នន័យដែលរក្សាទុកដាច់ដោយឡែកពីបណ្តាញអ៊ីនធឺណិត (Isolated/Air-gapped backup) ដើម្បីការពារកុំឱ្យមេរោគឆ្លងរាលដាលចូលដល់កន្លែងទុកទិន្នន័យបម្រុងនោះ។
- ការសាកល្បង (Testing): ត្រូវឧស្សាហ៍សាកល្បងទាញយកទិន្នន័យពី Backup មកវិញ (Restoration tests) ដើម្បីធានាថាវាពិតជាអាចប្រើការបាននៅពេលមានអាសន្ន។
៥. សន្តិសុខបណ្តាញ និងឧបករណ៍ចល័ត (Network & Mobile Security)
- ការការពារចរាចរណ៍ទិន្នន័យ និងឧបករណ៍ដែលតភ្ជាប់ទៅកាន់បណ្តាញរបស់អង្គភាព។
- Firewall: ប្រើប្រាស់ ហ្វាយអឹវ៉ល (Firewall) ដើម្បីត្រួតពិនិត្យ និងចម្រោះចរាចរណ៍ទិន្នន័យដែលចេញ-ចូលក្នុងបណ្តាញរបស់អ្នក។
- Wi-Fi Security: ប្តូរពាក្យសម្ងាត់លំនាំដើមរបស់ Router និងប្រើប្រាស់វិធីសាស្ត្រកូដនីយកម្មកម្រិតខ្ពស់ (ដូចជា WPA3) សម្រាប់បណ្តាញឥតខ្សែ។
- ការប្រើប្រាស់ឧបករណ៍ផ្ទាល់ខ្លួន (BYOD): ប្រសិនបើអនុញ្ញាតឱ្យបុគ្គលិកប្រើឧបករណ៍ផ្ទាល់ខ្លួនមកធ្វើការ (Bring Your Own Device) ត្រូវមានគោលការណ៍សន្តិសុខ និងការគ្រប់គ្រងច្បាស់លាស់ (ដូចជាការប្រើប្រាស់ប្រព័ន្ធ MDM)។
៦. ការយល់ដឹងពីការវាយប្រហារតាមរយៈវិស្វកម្មសង្គម (Social Engineering)
- បច្ចេកវិទ្យាតែមួយមុខមិនគ្រប់គ្រាន់ទេ ប្រសិនបើអ្នកប្រើប្រាស់ខ្វះការប្រុងប្រយ័ត្ន និងការយល់ដឹង។
- ការអប់រំពី Phishing: បណ្តុះបណ្តាលបុគ្គលិកឱ្យស្គាល់ពីល្បិច និងទម្រង់អ៊ីមែលបោកប្រាស់ ឬតំណភ្ជាប់ (Links) ដែលមានគ្រោះថ្នាក់។
- ការពិនិត្យមើលប្រភព: ជានិច្ចកាល ត្រូវណែនាំបុគ្គលិកឱ្យផ្ទៀងផ្ទាត់ប្រភពនៃសារ ឬអ៊ីមែលដែលទាមទារឱ្យបញ្ចេញព័ត៌មានសម្ងាត់ ឬទិន្នន័យហិរញ្ញវត្ថុ។
៣. សន្និដ្ឋាន
ការរក្សាសន្តិសុខព័ត៌មានវិទ្យាមិនមែនជាការងារដែលធ្វើតែម្តងរួចរាល់នោះទេ ប៉ុន្តែវាគឺជាដំណើរការបន្តបន្ទាប់ (Continuous process) ដែលទាមទារការតាមដាន និងអភិវឌ្ឍជាប្រចាំ។ ការអនុវត្តតាមគន្លឹះ និងជំហានជាក់ស្តែងខាងលើ នឹងជួយកាត់បន្ថយលទ្ធភាពនៃការរងគ្រោះ និងពង្រឹងភាពធន់ (Cyber resilience) របស់អង្គភាពបានយ៉ាងច្រើន។
៤. ឯកសារពាក់ព័ន្ធ
- https://ico.org.uk/for-organisations/advice-for-small-organisations/information-security/data-security-advice/practical-ways-to-keep-your-it-systems-safe-and-secure/
