ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง หลักเกณฑ์และวิธีการรายงานภัยคุกคามทางไซเบอร์ พ.ศ. 2566
ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง หลักเกณฑ์และวิธีการรายงานภัยคุกคามทางไซเบอร์ พ.ศ. 2566
ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง หลักเกณฑ์และวิธีการรายงานภัยคุกคามทางไซเบอร์ พ.ศ. 2566 โดยที่พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กำหนดให้ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กำหนดหลักเกณฑ์และวิธีการรายงาน เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสาคัญต่อระบบของหน่วยงานของรัฐและหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ อาศัยอานาจตามความในมาตรา 13 (5) และมาตรา 5 7 แห่งพระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 คณะกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ 1 ประกาศนี้เรียกว่า “ ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง หลักเกณฑ์และวิธีการรำยงานภัยคุกคามทางไซเบอร์ พ.ศ. 2566 ” ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป ข้อ 3 ในประกาศนี้ “ เหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสาคัญ ” หมายความว่า เหตุภัยคุกคามทางไซเบอร์ ที่ปรากฏต่อระบบสารสนเทศ และเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามมาตรา 49 ซึ่งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้กาหนดลักษณะของภัยคุกคาม ทางไซเบอร์ไว้ตามมาตรา 60 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ข้อ 4 กรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศของหน่วยงาน ของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศใด ให้หน่วยงานนั้นดาเนินการตรวจสอบ ข้อมูลที่เกี่ยวข้องของข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ รวมถึงพฤติการณ์แวดล้อม เพื่อประเมิน ว่ามีภัยคุกคามทางไซเบอร์เกิดขึ้นหรือไม่ และเป็นภัยคุกคามระดับใด หากตรวจพบต้องดาเนินการ ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติและ กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของตน พร้อมทั้งแจ้งข้อมูลดังกล่าว ไปยังสา นักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติโดยเร็ว หลังจากการตรวจพบ หรือเกิดภัยคุกคามทางไซเบอร์ดังกล่าว และในส่วนของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้แจ้งภัยคุกคามนั้นไปยังหน่วยงานควบคุมหรือกากับดูแลของตนภายในเวลาที่หน่วยงานควบคุ มหรือ กำกับดูแลกำหนดไว้ด้วย ทั้งนี้ ให้แจ้งข้อมูลตามที่กำหนดในเอกสาร ก 1 ข้อมูลที่ต้องแจ้ง ท้ายประกาศนี้ ทั้งนี้ การแจ้งข้อมูลตามวรรคหนึ่งให้เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ มีหน้าที่และอำนาจในการกาหนดแนวทาง วิธีปฏิบัติแล ะอื่น ๆ เพื่อประโยชน์ ในการปฏิบัติตามประกาศนี้ ้ หนา 39 ่ เลม 140 ตอนพิเศษ 107 ง ราชกิจจานุเบกษา 9 พฤษภาคม 2566
ข้อ 5 กรณีที่มีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสาคัญต่อระบบของหน่วยงาน โครงสร้างพื้นฐานสาคัญทางสารสนเทศ ให้หน่วยงานดังกล่าวจัดทาและส่งรายงานเหตุภัยคุกคาม ทางไซเบอร์นั้น ตามแบบที่กาหนดในเอกสาร ก 2 แบบรายงานภัยคุกคามทางไซเบอร์ ท้ายประกาศนี้ ไปยังสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติภายในระยะเวลา 24 ชั่วโมง หลังจากการตรวจพบหรือเกิดภัยคุกคามทางไซเบอร์ดังกล่าวแล้ว พร้อมทั้งให้จัดส่งรายงานดังกล่าว ไปยังหน่วยงานควบคุมหรือกำกับ ดูแลของตนภายในเวลาที่หน่วยงานควบคุมหรือกำกับดูแลกำหนดด้วย ให้หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ พิจารณาส่งข้อมูลสาคัญที่จาเป็นต่อ การรักษาความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับนโยบายการรักษาความลับของหน่วยงานด้วยและ ต้องปรับปรุงข้อมูลในรายงานเหตุภัยคุ กคามทางไซเบอร์และสถานะการตอบสนองภัยคุกคามทางไซเบอร์ ให้สอดคล้องกับข้อมูลอันเป็นปัจจุบันที่หน่วยงานได้สืบทราบเพิ่มมากขึ้นในระหว่างการดาเนินการรับมือ เหตุภัยคุกคาม รวมทั้งจัดส่งรายงานปิดเหตุการณ์ภัยคุกคามดังกล่าวด้วย ให้นาความในวรรคหนึ่งและวรรคสอง มาใช้บังคั บแก่หน่วยงานของรัฐ กรณีมีเหตุภัยคุกคาม ทางไซเบอร์เกิดขึ้นอย่างมีนัยสำคัญต่อระบบสารสนเทศของหน่วยงานของรัฐ โดยอนุโลม ข้อ 6 ให้หน่วยงานของรัฐหรือหน่วยงานควบคุมหรือกากับดูแล จัดทาและส่งรายงาน สรุปจานวนเหตุภัยคุกคามทางไซเบอร์ทั้งหมดที่ได้เกิดขึ้นกับข้อมูลหรื อระบบสารสนเทศของหน่วยงาน ของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ ภายใต้การควบคุมหรือกากับดูแลของตน ในแต่ละปี ภายในวันที่ 31 มกราคม ของปีถัดไป ให้แก่สำนักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ โดยให้แยกสถิติหมวดหมู่ตามแบบที่กาหนดในเอกสาร ก 3 แบบรายงาน สรุปภัยคุกคามทางไซเบอร์ในหนึ่งรอบปี ท้ายประกาศนี้ ข้อ 7 การแจ้ง การรายงาน และการรายงานสรุปตามประกาศนี้ จะทำเป็นหนังสือ หรือโดยวิธีการทางอิเล็กทรอนิกส์ก็ได้ ข้อ 8 ให้ประธานกรรมการกากับดูแลด้า นความมั่นคงปลอดภัยไซเบอร์ เป็นผู้รักษาการ ตามประกาศนี้ ในกรณีที่มีปัญหาเกี่ยวกับการปฏิบัติตามประกาศนี้ หรือประกาศนี้ไม่ได้กาหนดเรื่องใดไว้ ให้ประธานกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์เป็นผู้มีอำนาจตีความและวินิจฉัยชี้ขาด และคำวินิจฉัยของประธานกร รมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ให้ถือเป็นที่สุด ประกาศ ณ วันที่ 20 มีนาคม พ.ศ. 256 6 ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ประธานกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ ้ หนา 40 ่ เลม 140 ตอนพิเศษ 107 ง ราชกิจจานุเบกษา 9 พฤษภาคม 2566
1 การรายงานภัยคุกคามทางไซเบอร์ที่เกิดขึ้นอย่างมีนัยสําคัญต้องรายงานภายในระยะเวลาที่หน่วยงานควบคุมหรือกํากับดูแลกําหนด ( โดยหน่วยงานควบคุมหรือกํากับดูแลอาจกําหนดให้นําข้อปฏิบัติตามแผนการกู้คืนของหน่วยงานมาประกอบการพิจารณาด้วยก็ได้ ) หรืออาจ เทียบเคียงจากตัวอย่างตามที่ระบุในข้อ 3 ของภาคผนวกแนบท้ายประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปรามและระงับภัยคุกคามทางไซเบอร์แต่ละระดับ พ . ศ . 2564 2 มาตรา 73 กําหนดให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศที่ไม่รายงานเหตุภัยคุกคามทางไซเบอร์ โดยไม่มีเหตุอันสมควร ต้องระวาง โทษปรับไม่เกิน 200 , 000 บาท เอกสารแนบท้ายประกาศคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง หลักเกณฑ์และวิธีการรายงานภัยคุกคามทางไซเบอร์ พ . ศ . 2566 ว่าด้วยข้อมูลที่ต้องแจ้งและแบบการรายงานภัยคุกคามทางไซเบอร์ ------------------------------------------ บทนํา ตามที่พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ . ศ . 2562 ได้กําหนดลักษณะ ของภัยคุกคามทางไซเบอร์ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรง ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง และภัยคุกคามทางไซเบอร์ในระดับวิกฤติ และให้หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศแจ้งในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ ต่อระบบสารสนเทศซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ และให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศจัดทํารายงานเมื่อมีเหตุภัยคุกคาม ทางไซเบอร์เกิดขึ้นอย่างมีนัยสําคัญต่อระบบของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ นั้น เพื่อให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ มีแนวทางปฏิบัติที่ชัดเจนในการรายงาน การดําเนินมาตรการตามที่กําหนดในประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ว่าด้วยลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทาง ไซเบอร์แต่ละระดับ จึงกําหนดให้หน่วยงานดังกล่าวจัดทํารายงานเหตุภัยคุกคามทางไซเบอร์ที่เกิดขึ้น อย่างมีนัยสําคัญต่อระบบของหน่วยงานตามรายการที่กําหนดไว้ในแนบท้ายนี้ ผ่านการส่งทางอีเมล โทรสาร หรือด้วยวิธีการทางอิเล็กทรอนิกส์อื่นใดที่มีความปลอดภัย เช่น การส่งรายงานที่เข้ารหัสด้วย PGP มาทางอีเมล ( เป็นอย่างน้อย ) เนื่องด้วยการส่งรายงานของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศให้ทันการณ์ เป็นเรื่องที่สําคัญ 1 , 2 ในกรณีหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศยังไม่สามารถแจ้งข้อมูลตามแบบ รายงานได้อย่างครบถ้วนภายในระยะเวลา 24 ชั่วโมง ให้หน่วยงานดังกล่าวจัดส่งรายงานด้วยข้อมูลเท่าที่มี และเมื่อมีความคืบหน้าหรือมีข้อมูลเพิ่มเติมในการดําเนินการรับมือ ให้แจ้งต่อสํานักงานคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเป็นระยะ และรีบจัดทําและส่งรายงานที่สมบูรณ์ให้แก่สํานักงาน โดยเร็ว ทั้งนี้ ให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศพิจารณาส่งข้อมูลสําคัญที่จําเป็นต่อการรักษา ความมั่นคงปลอดภัยไซเบอร์ และสอดคล้องกับนโยบายการรักษาความลับของหน่วยงาน ในกรณีที่หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศไม่สามารถดําเนินการจัดเตรียมข้อมูล ในรายงานได้ด้วยเหตุผลบางประการ ให้หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศแจ้งหน่วยงานควบคุม หรือกํากับดูแลของตนและสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติให้ทราบ โดยเร็ว ทั้งนี้ เพื่อให้หน่วยงานของรัฐ มีแนวทางปฏิบัติที่ชัดเจนในการรายงานเหตุภัยคุกคามทางไซเบอร์ กรณีมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสําคัญต่อระบบสารสนเทศของหน่วยงานของรัฐ จึงให้นําหลักเกณฑ์และวิธีการรายงานภัยคุกคามทางไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศดังกล่าวข้างต้น มาบังคับใช้แก่หน่วยงานของรัฐโดยอนุโลม
เอกสาร ก1 ข้อมูลที่ต้องแจ้ง ข้อมูลการประสานงานและผลการตรวจสอบภัยคุกคามเบื้องต้น 1 . ข้อมูลการประสานงาน ชื่อหน่วยงานที่รับผิดชอบติดตามเหตุภัยคุกคาม วันที่และเวลาที่แจ้ง 2 . ด้านภารกิจหรือบริการของหน่วยงาน และ ชื่อหน่วยงานที่เกิดเหตุภัยคุกคาม ชื่อหน่วยงานที่เกิดเหตุภัยคุกคาม ที่อยู่ของหน่วยงานหรือหน่วยงานย่อยที่เกิดเหตุภัยคุกคาม 3 . ข้อมูลการติดต่อสําหรับการประสานงานเหตุภัยคุกคาม ชื่อ - นามสกุล ตําแหน่งงาน ชื่อหน่วยงาน อีเมล โทรศัพท์ ( ที่ทํางาน / มือถือ ) 4 . ความต่อเนื่องของเหตุภัยคุกคาม ☐ เหตุภัยคุกคามใหม่ ☐ การรายงานข้อมูลต่อเนื่องจากเหตุภัยคุกคามเดิม 5 . ลักษณะภัยคุกคามทางไซเบอร์ ระบบที่ได้รับผลกระทบมีความสําคัญต่อพันธกิจหลักของหน่วยงานหรือไม่ เหตุการณ์ที่เกิดขึ้นเกิดจากภัยคุกคามทางไซเบอร์ 3 ในระดับใด ( มาตรา 60 ) ☐ ไม่ร้ายแรง ☐ ร้ายแรง ☐ วิกฤต ( ก ) ☐ วิกฤต ( ข ) ☐ ยังไม่สามารถระบุได้ 6 . หมวดหมู่ของภัยคุกคาม ( แจ้งได้มากกว่า 1 รายการ ) หมวดหมู่ * คําอธิบาย หมวดหมู่ที่ 2 การพยายามบุกรุกเพื่อสํารวจข้อมูลองค์กรเพื่อโจมตี (Reconnaissance) หมวดหมู่ที่ 3 การดําเนินการที่ไม่เป็นไปตามมาตรฐานความปลอดภัยของหน่วยงาน (Non-Compliance Activity) หมวดหมู่ที่ 4 การบุกรุกโดยการใช้มัลแวร์ (Malicious Logic) หมวดหมู่ที่ 5 การบุกรุกในระดับผู้ใช้งาน (User Level Intrusion) หมวดหมู่ที่ 6 การบุกรุกในระดับผู้ควบคุมระบบ (Root Level Intrusion) หมวดหมู่ที่ 7 การบุกรุกที่ทําให้ไม่สามารถเข้าไปใช้บริการได้ (Denial of Service) หมวดหมู่ที่ 8 เหตุการณ์ที่อยู่ระหว่างการวิเคราะห์สอบสวน (Investigating) * อ้างอิงหมวดหมู่ตามภาคผนวกท้ายประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคาม ทางไซเบอร์แต่ละระดับ พ . ศ . 2564 ( ทั้งนี้ ภัยคุกคามทางไซเบอร์หมวดหมู่ที่ 0 หมวดหมู่ที่ 1 และหมวดหมู่ที่ 9 ไม่เข้าข่ายเป็นภัยคุกคามทางไซเบอร์ที่ต้องรายงาน ) 3 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ . ศ . 2562 กําหนดความหมายของ “ ภัยคุกคามทางไซเบอร์ ” ดังนี้ การกระทําหรือ การดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบ ต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
เอกสาร ก2 แบบรายงานภัยคุกคามทางไซเบอร์ ส่วนที่ 1 หมวด ก . ข้อมูลการประสานงานและผลการตรวจสอบภัยคุกคามเบื้องต้น หมายเลขอ้างอิง ( สําหรับเจ้าหน้าที่ สกมช .): โปรดระบุ หน่วยงานที่รับผิดชอบติดตามเหตุภัยคุกคาม ( ถ้ามี ): โปรดระบุ วันที่ : เลือกวันที่ เวลา : โปรดระบุ ก 1. ด้านภารกิจหรือบริการของหน่วยงาน และ ชื่อหน่วยงานที่เกิดเหตุภัยคุกคาม ชื่อหน่วยงานที่เกิดเหตุภัยคุกคาม : โปรดระบุ ที่อยู่ของหน่วยงานหรือหน่วยงานย่อยที่เกิดเหตุภัยคุกคาม : โปรดระบุ ก 2. ข้อมูลการติดต่อสําหรับการประสานงานเหตุภัยคุกคาม ชื่อ - นามสกุล : โปรดระบุ ตําแหน่งงาน : โปรดระบุ ชื่อหน่วยงาน : โปรดระบุ อีเมล : โปรดระบุ โทรศัพท์ ( ที่ทํางาน / มือถือ ): โปรดระบุ ก 3. ความต่อเนื่องของเหตุภัยคุกคาม ☐ เหตุภัยคุกคามใหม่ ☐ การรายงานข้อมูลต่อเนื่องจากเหตุภัยคุกคามเดิม ก 4. ลักษณะภัยคุกคามทางไซเบอร์ ระบบที่ได้รับผลกระทบมีความสําคัญต่อพันธกิจหลักของหน่วยงาน ☐ ใช่ ☐ ไม่ใช่ เหตุการณ์ที่เกิดขึ้นเกิดจากภัยคุกคามทางไซเบอร์ 4 ในระดับใด ( มาตรา 60 ) ☐ ไม่ร้ายแรง ☐ ร้ายแรง ☐ วิกฤต ( ก ) ☐ วิกฤต ( ข ) ☐ ยังไม่สามารถระบุได้ 4 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ . ศ . 2562 กําหนดความหมายของ “ ภัยคุกคามทางไซเบอร์ ” ดังนี้ การกระทํา หรือการดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิด การประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหาย หรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
-
2 - หมวด ข . ข้อมูลการตรวจพบภัยคุกคามไซเบอร์ ข 1. วัน เวลา ที่เกิดเหตุภัยคุกคาม วันที่ : เลือกวันที่ เวลา : โปรดระบุ วัน เวลา ที่หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศทราบเหตุภัยคุกคาม วันที่ : เลือกวันที่ เวลา : โปรดระบุ ข 2. วัน เวลา ที่แจ้งเหตุภัยคุกคามให้หน่วยงานควบคุมหรือกํากับดูแลทราบ ☐ ยังไม่ได้แจ้ง ☐ แจ้งแล้ว ____________ ข 3. หมวดหมู่ของภัยคุกคาม ( เลือกได้มากกว่า 1 รายการ ) หมวดหมู่ * คําอธิบาย ☐ หมวดหมู่ที่ 2 การพยายามบุกรุกเพื่อสํารวจข้อมูลองค์กรเพื่อโจมตี (Reconnaissance) ☐ หมวดหมู่ที่ 3 การดําเนินการที่ไม่เป็นไปตามมาตรฐานความปลอดภัยของหน่วยงาน (Non-Compliance Activity) ☐ หมวดหมู่ที่ 4 การบุกรุกโดยการใช้มัลแวร์ (Malicious Logic) ☐ หมวดหมู่ที่ 5 การบุกรุกในระดับผู้ใช้งาน (User Level Intrusion) ☐ หมวดหมู่ที่ 6 การบุกรุกในระดับผู้ควบคุมระบบ (Root Level Intrusion) ☐ หมวดหมู่ที่ 7 การบุกรุกที่ทําให้ไม่สามารถเข้าไปใช้บริการได้ (Denial of Service) ☐ หมวดหมู่ที่ 8 เหตุการณ์ที่อยู่ระหว่างการวิเคราะห์สอบสวน (Investigating) ☐ อื่น ๆ โปรดระบุ * อ้างอิงหมวดหมู่ตามภาคผนวกท้ายประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทาง ไซเบอร์แต่ละระดับ พ . ศ . 2564 ( ทั้งนี้ภัยคุกคามหมวดหมู่ที่ 0 1 และ 9 ไ ม่เข้าข่ายเป็นภัยคุกคามที่ต้องรายงาน ) ข 4. ข้อมูลเบื้องต้นเกี่ยวกับระบบคอมพิวเตอร์ คอมพิวเตอร์ บริการ หรือข้อมูลที่ได้รับผลกระทบ : สถานที่ตั้งของเครื่อง ข้อมูล หรือสินทรัพย์ที่ได้รับผลกระทบ ( เช่น จังหวัด ตําบล ตึก ห้อง ): โปรดระบุ ชื่อผู้ให้บริการเครือข่ายที่ให้บริการแก่ระบบ บริการ หรือข้อมูลที่ได้รับผลกระทบ : โปรดระบุ บริการของระบบ ข้อมูล หรือสินทรัพย์ที่ได้รับผลกระทบ ( เช่น บริการการโอนเงิน ): โปรดระบุ ฮาร์ดแวร์ ซอฟต์แวร์ที่ได้รับผลกระทบ ( โปรดระบุรายละเอียด เช่น ผู้ผลิตหรือยี่ห้อ รุ่นของเครื่อง คอมพิวเตอร์ ): โปรดระบุรายละเอียด มีผลกระทบต่อการสื่อสาร ( ทางโทรศัพท์ หรือ การใช้งานเครือข่าย ): โปรดระบุ รายละเอียดอื่น ๆ : โปรดระบุ
-
3 - หมวด ค : ข้อมูลการรับมือภัยคุกคาม ค 1. สถานการณ์หรือการแก้ไขเหตุภัยคุกคาม ( เลือกได้มากกว่า 1 รายการ ) ☐ เพิ่งพบเหตุการณ์ ☐ อยู่ในขั้นตอนการขอความช่วยเหลือ ☐ อยู่ในขั้นตอนการสอบสวน ☐ กําลังลุกลาม ☐ อยู่ในขั้นตอนการระงับภัย ☐ สามารถระงับภัยได้แล้ว ☐ รายงานปิดเหตุการณ์ภัยคุกคามแล้ว ☐ อื่น ๆ : โปรดระบุ ค 2. สิ่งที่ได้ดําเนินการหรือได้แก้ไขไปแล้ว ☐ ยังไม่ได้ดําเนินการแก้ไขใด ๆ ☐ ยกเลิกการเชื่อมต่อระบบออกจากเครือข่ายแล้ว ☐ ตรวจสอบข้อมูลจราจร (Log) แล้ว ☐ ตรวจสอบโปรแกรม ( แฟ้ม binaries/.exe) แล้ว ☐ กู้คืนกลับมาด้วยระบบหรือข้อมูลสํารองที่ตรวจสอบความถูกต้องแล้ว ☐ รายละเอียดการแก้ไขภัยคุกคามที่เกิดขึ้นเพิ่มเติม : โปรดระบุ ค3 . รายละเอียดการรับมือภัยคุกคามอื่น ๆ ( ถ้ามี ) โปรดระบุ
-
4 - ส่วนที่ 2 หมวด ง : รายละเอียดภัยคุกคาม ง1 . ข้อมูลการตรวจจับและการวิเคราะห์ ง1 .1 วัน เวลา ที่ผู้โจมตีได้เริ่มต้นเข้าถึงระบบ (System Access) วันที่ : เลือกวันที่ เวลา : โปรดระบุ ไม่ทราบ : ☐ ง1 .2 ข้อมูลการพบเห็นเหตุภัยคุกคามทางไซเบอร์ รายละเอียดแหล่งที่มา หรือต้นเหตุของเหตุภัยคุกคาม ( เท่าที่ทราบ เช่น คน , ความผิดพลาดของ ระบบ , ภัยธรรมชาติ , การจู่โจม , ความผิดพลาดจากคนนอกองค์กร ): โปรดระบุ บุคคล วิธี หรือเครื่องมือที่ตรวจพบภัยคุกคาม ( เช่น ผู้ใช้ , ผู้ดูแลระบบ , โปรแกรม Anti-virus, IDS, การวิเคราะห์ข้อมูลจราจรทางคอมพิวเตอร์ , ไม่ทราบ ): โปรดระบุ รายละเอียดของปัญหาลักษณะคล้ายกันที่หน่วยงานเคยพบมาก่อน ( ถ้ามี โปรดระบุรายละเอียด ): โปรดระบุ ง1 .3 รายละเอียดผลกระทบจากเหตุภัยคุกคาม ( ระบุผลกระทบที่มีเกิดขึ้นต่อ ระบบ คน หรือข้อมูล ) จํานวนระบบ บริการ หรือสินทรัพย์ที่เป็นโครงสร้างพื้นฐานสําคัญทางสารสนเทศที่ได้รับผลกระทบ ( โดยประมาณ ): โปรดระบุ ทรัพย์สินที่สําคัญอื่น ๆ ที่อาจได้รับผลกระทบ : โปรดระบุ จํานวนผู้ได้รับผลกระทบ ( โดยประมาณ ): โปรดระบุ มูลค่าความเสียหาย ( โดยประมาณ ): โปรดระบุ ในกรณีที่ข้อมูลที่ระบุตัวบุคคลได้รั่วไหล ( หรือถูกขโมย ): จํานวนบุคคลที่เป็นเจ้าของข้อมูล : โปรดระบุ ชนิดของข้อมูล ( เลือกทุกข้อที่ใช่ ): ☐ ข้อมูลไบโอเมตริกซ์ ☐ ข้อมูลการติดต่อ ☐ ข้อมูลการเงิน ☐ ข้อมูลบุคลากรของรัฐ ☐ หมายเลขบัตรประชาชน ☐ ข้อมูลการติดต่อกับหน่วยงานต่าง ๆ ☐ ข้อมูลทางการแพทย์ ☐ อื่น ๆ : โปรดระบุ จํานวนข้อมูล (Record) ที่ได้รับผลกระทบ : โปรดระบุ ผลกระทบอื่น ๆ ที่เกิดขึ้น : โปรดระบุ
-
5 - ง1 .4 รายละเอียดของระบบ หรือข้อมูลที่ได้รับผลกระทบ (Information of Affected System) หมายเลข CVE: โปรดระบุ ช่องโหว่ที่ถูกใช้จู่โจม : โปรดระบุ การใช้ระบบหรือเครื่องที่ได้รับผลกระทบเป็นฐานเพื่อจู่โจมขยายผลไปยังระบบหรือเครื่องอื่น : โปรดระบุ อาการหรือสิ่งผิดปกติ ( เลือกได้มากกว่า 1 รายการ ) ☐ ระบบล่ม ☐ รายการข้อมูลจราจรทางคอมพิวเตอร์ที่ผิดปกติ ☐ บัญชีผู้ใช้ถูกสร้างขึ้นมาใหม่โดยไม่ทราบสาเหตุ หรือ บัญชีผู้ใช้มีความผิดปกติ ☐ การจู่โจมด้วยวิศวกรรมสังคม (Social Engineering) ทั้งที่สําเร็จและไม่สําเร็จ ☐ ประสิทธิภาพของระบบด้อยลง ( ทั้งที่รู้ว่าเป็นเพราะเหตุภัยคุกคามและที่ไม่รู้สาเหตุ ) ☐ การเปลี่ยนแปลงใน DNS หรือ กฎของ Router หรือกฎไฟร์วอลล์ โดยไม่ทราบสาเหตุ ☐ การยกระดับสิทธิ์การเข้าถึงระบบโดยไม่ทราบสาเหตุ ☐ การตรวจพบการทํางานของโปรแกรมหรืออุปกรณ์ Sniffer เพื่อจับการรับส่งข้อมูลภายในเครือข่าย ☐ การเข้าใช้งานครั้งสุดท้ายของผู้ใช้ที่ไม่สอดคล้องกับการใช้งานครั้งสุดท้ายที่เกิดขึ้นจริง ☐ การแจ้งเตือนจากเครื่องมือตรวจจับการบุกรุก ☐ การเข้ามาลาดตระเวน (Probing) หรือการเรียกดู (Browsing) ที่น่าสงสัย ☐ รูปแบบการใช้งานที่ผิดปกติ ☐ การเปลี่ยนแปลงขนาดไฟล์ไปจากเดิมแบบผิดปกติ ☐ ความพยายามที่จะเขียนไฟล์ของระบบ ☐ การเปลี่ยนแปลงวันที่ของไฟล์ไปจากเดิมแบบผิดปกติ ☐ การแก้ไขหรือลบข้อมูลที่ผิดปกติ ☐ การจู่โจมให้เกิดการปฏิเสธการให้บริการ (DOS, DDOS) ☐ ไฟล์ใหม่ถูกสร้างขึ้นโดยไม่ทราบสาเหตุ ☐ การใช้งานหรือมีกิจกรรมที่เกิดในเวลาที่ผิดปกติ ☐ การแก้ไขหน้าเว็บ ☐ การสร้างแฟ้มข้อมูล setuid หรือ setgid ใหม่ที่ผิดปกติเกิดขึ้น ☐ การเปลี่ยนแปลงในไดเรกทอรีและแฟ้มข้อมูลของระบบปฏิบัติการที่ผิดปกติ ☐ การตรวจพบโปรแกรมเจาะระบบ (Crack utility) ☐ สิ่งที่ผิดปกติไปจากเดิมอื่น ๆ : โ ปรดระบุ ง1 . 5 รายละเอียดของเหตุภัยคุกคามตามลําดับเวลา ตั้งแต่การจู่โจมครั้งแรก จนถึงปัจจุบัน ( เช่น ลําดับของการจู่โจม , Attack vector, เทคนิคหรือเครื่องมือที่ผู้จู่โจมใช้ ฯลฯ ) โปรดระบุ ง1 . 6 รายละเอียดอื่น ๆ ที่พบเกี่ยวข้องกับเหตุภัยคุกคาม : โ ปรดระบุ ง2 . ข้อมูลการระงับ ปราบปราม และฟื้นฟู ง2 . 1 รายละเอียดการดําเนินการเพื่อแก้ไขเหตุภัยคุกคาม : โ ปรดระบุ ง2 . 2 การคาดการณ์ความสามารถฟื้นฟู โปรดระบุรายละเอียดการฟื้นฟู ทรัพยากรที่ต้องใช้และที่ต้องการเพิ่ม และประมาณระยะเวลาการฟื้นฟู ง3 . ข้อมูลกิจกรรมภายหลังการแก้ปัญหา ( ถ้ามี ) ง3 .1 วัน เวลา ที่เหตุภัยคุกคามสิ้นสุด วันที่ : เลือกวันที่ เวลา : โปรดระบุ ง3 . 2 การดําเนินการเพื่อป้องกันเหตุภัยคุกคามที่คล้ายคลึงกัน : โปรดระบุ ง3 . 3 บทเรียนที่ได้จากเหตุภัยคุกคาม : โปรดระบุ
เอกสาร ก3 แบบรายงานสรุปภัยคุกคามทางไซเบอร์ในหนึ่งรอบปี ข้อ 1 สถิติรายปีจําแนกตามหมวดหมู่ของภัยคุกคามทางไซเบอร์ 5 หมวดหมู่ คําอธิบาย จํานวน 0 เหตุการณ์จําลองและการฝึกจู่โจมของหน่วยงาน (Training and Exercises) 1 การพยายามเข้าถึงระบบที่ไม่สําเร็จ (Unsuccessful Activity Attempt) 2 การพยายามบุกรุกเพื่อสํารวจข้อมูลองค์กรเพื่อโจมตี (Reconnaissance) 3 การดําเนินการที่ไม่เป็นไปตามมาตรฐานความปลอดภัยที่หน่วยงานกําหนด (Non-Compliance Activity) 4 การบุกรุกโดยการใช้มัลแวร์ (Malicious Logic) 5 การบุกรุกในระดับผู้ใช้งาน (User Level Intrusion) 6 การบุกรุกในระดับผู้ควบคุมระบบ (Root Level Intrusion) 7 การบุกรุกที่ทําให้ไม่สามารถเข้าไปใช้บริการได้ (Denial of Service) 8 เหตุการณ์ที่อยู่ระหว่างการวิเคราะห์สอบสวน (Investigating) 9 เหตุการณ์ผิดปกติที่ได้รับการวิเคราะห์แล้วว่าไม่ใช่เหตุการณ์ที่เป็นภัยคุกคาม (Explained Anomaly) ข้อ 2 สถิติรายปีจําแนกตามทรัพย์สินที่ได้รับผลกระทบ ทรัพย์สินที่ได้รับผลกระทบ จํานวน เครื่องแม่ข่าย / แอคทีฟ ไดเรกทอรี (Active Directory) เครื่องเวิร์กสเตชัน (Workstation) สวิตซ์ (Switch) / เราเตอร์ (Router) เว็บไซต์ (Website) อื่น ๆ ข้อ 3 สถิติรายปีจําแนกตามระดับภัยคุกคามทางไซเบอร์ 6 ระดับภัยคุกคาม จํานวน ไม่ร้ายแรง ร้ายแรง วิกฤต ( ก ) วิกฤต ( ข ) 5 หมวดหมู่ตามข้อ 1 ของภาคผนวกท้ายประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคาม ทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ แต่ละระดับ พ . ศ . 2564 6 ระดับภัยคุกคามทางไซเบอร์ตามมาตรา 60 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ . ศ . 2562 - 4 -