Incident Response
ขั้นตอนการรับมือเมื่อโดนแฮก: ตั้งแต่ตรวจจับ ควบคุมสถานการณ์ กู้คืน ไปจนถึงการแจ้งความ
ขั้นตอนการรับมือเมื่อโดนแฮก: ตั้งแต่ตรวจจับ ควบคุมสถานการณ์ กู้คืน ไปจนถึงการแจ้งความ
Role Play แบ่งบทบาท "ผู้เสียหาย" "ฝ่ายไอที" "ตำรวจ" จำลองสถานการณ์โดนแฮก
เป้าหมายการเรียนรู้
- รู้ขั้นตอนรับมืออย่างเป็นระบบเมื่อโดนแฮกหรือถูกโจมตีไซเบอร์
- รู้วิธีแจ้งความออนไลน์และช่องทางขอความช่วยเหลือในประเทศไทย
- ฝึก Role Play จำลองสถานการณ์รับมือเหตุการณ์ด้านความปลอดภัย
เมื่อโดนแฮกต้องทำอย่างไร?
สิ่งสำคัญที่สุดเมื่อสงสัยว่าโดนแฮกคือ อย่าตกใจ แต่ต้องรีบจัดการอย่างเป็นระบบ การตอบสนองต่อเหตุการณ์ด้านความปลอดภัย (Incident Response) มีขั้นตอนที่ชัดเจน 5 ขั้นตอน ตามมาตรฐาน NIST ซึ่งใช้ได้ทั้งในระดับองค์กรและระดับบุคคล
สร้างภาพ Flat infographic flowchart showing 5 incident response steps in a horizontal flow with arrows: Step 1 Detection (eye icon, blue), Step 2 Containment (shield icon, orange), Step 3 Eradication (trash/clean icon, red), Step 4 Recovery (refresh/restore icon, green), Step 5 Lessons Learned (lightbulb/book icon, purple). Each step has a brief label below. Clean professional educational style, numbered circles, white background (incident_response_flowchart.jpg)
Flat infographic flowchart showing 5 incident response steps in a horizontal flow with arrows: Step 1 Detection (eye icon, blue), Step 2 Containment (shield icon, orange), Step 3 Eradication (trash/clean icon, red), Step 4 Recovery (refresh/restore icon, green), Step 5 Lessons Learned (lightbulb/book icon, purple). Each step has a brief label below. Clean professional educational style, numbered circles, white background
ขั้นตอนที่ 1 — ตรวจจับ (Detection)
ขั้นตอนแรกคือการ สังเกตสัญญาณผิดปกติที่บ่งบอกว่าอาจถูกโจมตี ยิ่งตรวจพบเร็วเท่าไหร่ ความเสียหายก็ยิ่งน้อยลง สัญญาณเหล่านี้อาจเกิดขึ้นกับอุปกรณ์ บัญชีออนไลน์ หรือพฤติกรรมที่ผิดปกติต่างๆ
- มีการเข้าสู่ระบบจากอุปกรณ์หรือสถานที่ที่ไม่เคยใช้
- ได้รับแจ้งเตือนเปลี่ยนรหัสผ่านทั้งที่ไม่ได้ขอ
- เพื่อนแจ้งว่าได้รับข้อความแปลกๆ จากบัญชีของเรา
- คอมพิวเตอร์ทำงานช้าผิดปกติ มีโปรแกรมแปลกๆ ติดตั้งเอง
- ไฟล์เอกสารถูกเข้ารหัส เปิดไม่ได้ มีข้อความเรียกค่าไถ่
- มีธุรกรรมทางการเงินที่ไม่ได้ทำ
ขั้นตอนที่ 2 — ควบคุม (Containment)
เมื่อตรวจพบว่าถูกโจมตี ขั้นตอนต่อไปคือ จำกัดความเสียหายไม่ให้ลุกลาม เหมือนการดับไฟ ต้องตัดเชื้อเพลิงก่อนที่ไฟจะลามไปที่อื่น สิ่งที่ต้องทำทันทีคือตัดการเชื่อมต่ออินเทอร์เน็ตของอุปกรณ์ที่ถูกโจมตี เปลี่ยนรหัสผ่านบัญชีที่เกี่ยวข้องทันทีจากอุปกรณ์อื่นที่ปลอดภัย และเปิด MFA ถ้ายังไม่ได้เปิด
ขั้นตอนที่ 3 — กำจัด (Eradication)
หลังจากควบคุมสถานการณ์ได้แล้ว ต้อง กำจัดต้นเหตุของปัญหา เช่น สแกนและลบมัลแวร์ออกจากอุปกรณ์ด้วยโปรแกรม Antivirus ที่เชื่อถือได้ ตรวจสอบและลบแอปพลิเคชันที่น่าสงสัย ถอนสิทธิ์แอปที่ไม่รู้จักออกจากบัญชี Google, Facebook, LINE และปิดช่องโหว่ที่ทำให้ถูกโจมตี เช่น อัปเดตซอฟต์แวร์ หรือเปลี่ยนคำถามรักษาความปลอดภัย
ขั้นตอนที่ 4 — กู้คืน (Recovery)
เมื่อกำจัดภัยคุกคามแล้ว ขั้นตอนต่อไปคือ กู้คืนข้อมูลและระบบให้กลับสู่สภาพปกติ กู้ข้อมูลจาก Backup ที่เตรียมไว้ (ถ้ามี) ตรวจสอบว่าข้อมูลสำคัญครบถ้วน ตั้งรหัสผ่านใหม่ที่แข็งแรงสำหรับทุกบัญชี และเฝ้าสังเกตอย่างใกล้ชิดอีก 1-2 สัปดาห์ว่ามีเหตุผิดปกติซ้ำหรือไม่
ขั้นตอนที่ 5 — บทเรียน (Lessons Learned)
ขั้นตอนสุดท้ายที่สำคัญมากแต่คนมักข้ามคือ วิเคราะห์สาเหตุและบทเรียนเพื่อป้องกันไม่ให้เกิดซ้ำ ถามตัวเองว่าถูกโจมตีได้อย่างไร คลิกลิงก์อะไร ใช้รหัสผ่านซ้ำหรือไม่ แล้วนำบทเรียนมาปรับปรุงพฤติกรรมการใช้งานในอนาคต เช่น เปิดใช้ MFA ทุกบัญชี ไม่ใช้รหัสผ่านซ้ำ สำรองข้อมูลสม่ำเสมอ และระวัง Social Engineering มากขึ้น
การแจ้งความออนไลน์
ในกรณีที่ถูกโจมตีทางไซเบอร์อย่างร้ายแรง เช่น ถูกหลอกโอนเงิน ข้อมูลส่วนตัวถูกขโมย หรือถูก Ransomware ควรแจ้งความกับหน่วยงานที่เกี่ยวข้อง ประเทศไทยมีหน่วยงานหลายแห่งที่รับแจ้งเรื่องอาชญากรรมทางไซเบอร์
| หน่วยงาน | ช่องทาง | เรื่องที่แจ้ง |
|---|---|---|
| ตำรวจไซเบอร์ (TCSD) | เว็บไซต์ thaipoliceonline.com หรือ สน. ใกล้บ้าน | ถูกแฮกบัญชี ถูกหลอกโอนเงิน ถูก Ransomware ข้อมูลรั่ว |
| สายด่วน 1441 | โทรศัพท์ 1441 ตลอด 24 ชั่วโมง | แจ้งเหตุด่วนเรื่องอาชญากรรมออนไลน์ ถูกหลอกลวง |
| ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์) | เว็บไซต์ etda.or.th หรือ 1212 | รายงานเว็บไซต์หลอกลวง แจ้งปัญหาธุรกรรมออนไลน์ |
สร้างภาพ Flat infographic showing Thai cyber crime reporting channels: three cards arranged horizontally - Card 1: Police shield icon with 'Thai Cyber Police' and website URL, Card 2: Phone icon with '1441 Hotline' available 24/7, Card 3: ETDA building icon with '1212' number. Each card has clear Thai government style. Clean professional design, blue and white color scheme, white background (thai_cyber_reporting.jpg)
Flat infographic showing Thai cyber crime reporting channels: three cards arranged horizontally - Card 1: Police shield icon with 'Thai Cyber Police' and website URL, Card 2: Phone icon with '1441 Hotline' available 24/7, Card 3: ETDA building icon with '1212' number. Each card has clear Thai government style. Clean professional design, blue and white color scheme, white background
กิจกรรม Role Play: จำลองสถานการณ์ Incident Response
แบ่งกลุ่ม 3-4 คน สมมติบทบาทเพื่อจำลองสถานการณ์จริง โดยแต่ละกลุ่มจะได้รับสถานการณ์ที่ต่างกัน เช่น ถูก Phishing หลอกให้กรอกรหัสผ่าน, โทรศัพท์หาย, หรือคอมพิวเตอร์ติด Ransomware
- "ผู้เสียหาย" — เล่าอาการผิดปกติที่พบ และตอบคำถามเกี่ยวกับพฤติกรรมการใช้งาน
- "ฝ่ายไอที" — สอบถามรายละเอียด วิเคราะห์สาเหตุ และแนะนำขั้นตอนแก้ไข
- "ตำรวจไซเบอร์" — รับแจ้งความ สอบถามหลักฐาน และแนะนำขั้นตอนทางกฎหมาย
เมื่อสงสัยว่าบัญชี Social Media ของคุณถูกแฮก สิ่งแรกที่ควรทำคืออะไร?
ขั้นตอน Incident Response ข้อใดเรียงลำดับได้ถูกต้อง?