top of page

IT Security Policy

"ขอสงวนสิทธิ์  : ภาพและรายละเอียดเป็นส่วนหนึ่งของการพัฒนาโครงการ MIT และ โมเดล BH  ที่อาจมีการเปลี่ยนแปลงตามความเหมาะสมของหน้างาน และขอสงวนสิทธิ์ในการบอกการเปลี่ยนแปลงล่วงหน้า

"Disclaimer"  : Images and details are part of the project MIT and Model BH development process and may be subject to change as needed depending on site conditions. We reserve the right to notify you of any changes in advance.

เป็นข้อกำหนด ด้านความปลอดภัย (IT Security Policy ) ทางสื่อดิจิตอล ทาง IT และ การป้องกันการโจมตีทางไซเบอร์จาก Hacker และ AI ที่มีพฤติกรรมแอบแฝง หรือ ประสงค์ร้าย เพื่องานของ แผนก IT พนักงาน ผู้บริหารทุกระดับ CEO ผู้ลงทุนใหญ่ และ ผู้ลงทุนพิเศษ ในหรือนอกโครงการ MIT

1.) AI สวมรอยกลางห้องประชุม ภัยร้ายดูดเงินเก้าร้อยล้าน  #Deepfake

6.jpg

1.1 ) ร่าง นโยบายไอทีของบริษัท (IT Policy) อย่างเป็นทางการ เพื่อใช้ประกาศบังคับใช้แนวทางปฏิบัติในการป้องกันภัยจาก AI Deepfake สำหรับพนักงานทุกคน โดยเฉพาะฝ่ายการเงินและบัญชีครับ คุณสามารถนำไปปรับแก้ชื่อบริษัทและรายละเอียดเพิ่มเติมได้ทันทีครับ

 

 

นโยบายความปลอดภัยเทคโนโลยีสารสนเทศ (IT Security Policy)

 

เรื่อง: มาตรการป้องกันและแนวทางปฏิบัติเพื่อรับมือภัยคุกคามจาก AI Deepfake และการสวมรอยระบบสื่อสาร

1. วัตถุประสงค์
เนื่องด้วยในปัจจุบันมีภัยคุกคามทางไซเบอร์รูปแบบใหม่ โดยกลุ่มมิจฉาชีพได้นำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้ปลอมแปลงภาพ ใบหน้า และเสียงของตกแต่งผู้บริหารระดับสูง (Deepfake) ผ่านการประชุมออนไลน์และระบบวิดีโอคอล เพื่อสวมรอยสั่งการให้โอนเงินหรือเปิดเผยข้อมูลลับขององค์กร บริษัทจึงได้กำหนดนโยบายฉบับนี้ขึ้นเพื่อป้องกันความเสียหายต่อทรัพย์สิน และยกระดับมาตรการความปลอดภัยขั้นสูงสุด

2. ขอบเขตการบังคับใช้
นโยบายฉบับนี้มีผลบังคับใช้กับพนักงานทุกคน ทุกตำแหน่ง โดยเฉพาะผู้ดูแลระบบ, ฝ่ายจัดซื้อ, ฝ่ายการเงิน และฝ่ายบัญชี ที่มีอำนาจหน้าที่ในการทำธุรกรรมทางการเงินหรือเข้าถึงข้อมูลลับของบริษัท

3. แนวทางปฏิบัติขั้นบังคับก่อนการอนุมัติโอนเงิน (ธุรกรรมเกิน [ระบุจำนวนเงิน] บาท)
ห้ามมิให้พนักงานดำเนินการโอนเงิน หรืออนุมัติการจ่ายเงินใด ๆ เพียงเพราะได้รับคำสั่งผ่านทางช่องทางออนไลน์ (เช่น LINE, Zoom, Microsoft Teams) โดยเด็ดขาด พนักงานต้องปฏิบัติตาม มาตรการ 4 ด่านสกัด AI (Checklist) ดังต่อไปนี้อย่างเคร่งครัด:

  • ด่านที่ 1: สังเกต "โป๊ะ" (Visual & Audio Verification)

    • ต้องสังเกตความผิดปกติของคู่สนทนาในจอ เช่น ใบหน้ากระตุก ขอบหน้าหรือขาแว่นเบลอตอนหันหัว ปากขยับไม่ตรงเสียง หรือน้ำเสียงแข็งทื่อคล้ายหุ่นยนต์

  • ด่านที่ 2: โต้ "คำถาม" (Behavioral Challenge)

    • ให้ผู้รับคำสั่งทดลองชวนคุยถามคำถามนอกเหนือจากเรื่องงาน หรือขอให้คู่สนทนาทำพฤติกรรมทางกายภาพทันที เช่น ขอให้โบกมือตัดผ่านใบหน้า หรือหันหน้าไปด้านข้าง 90 องศา เพื่อทดสอบการประมวลผลของ AI

  • ด่านที่ 3: ถามรหัส "ลับ" (Passphrase Authentication)

    • ผู้ปฏิบัติงานต้องทวงถาม รหัสลับเฉพาะ (Passphrase) หรือประโยคเงื่อนไขที่ตกลงกันไว้ภายในทีมก่อนทุกครั้ง หากคู่สนทนาไม่สามารถให้รหัสที่ถูกต้องได้ ให้สันนิษฐานว่าเป็นตัวปลอมและปฏิเสธคำสั่งทันที

  • ด่านที่ 4: เช็กสาย "นอก" (Out-of-Band Verification)

    • ให้ทำการตัดสายหรือออกจากห้องประชุมออนไลน์ทันที จากนั้นให้ใช้ช่องทางสื่อสารอื่นที่ไม่ใช่ลิงก์เดิม เช่น การโทรศัพท์ตรงเข้าเบอร์มือถือส่วนตัวของผู้บริหาร หรือเดินไปยืนยันคำสั่งด้วยวาจาต่อหน้า (Physical) เพื่อตรวจสอบความถูกต้องอีกครั้งก่อนกดโอนเงิน

4. การจัดการรหัสลับคู่ขนาน (Passphrase Management)

  • แต่ละแผนก (โดยเฉพาะฝ่ายการเงิน) ต้องจัดตั้งรหัสลับเฉพาะกิจด้วยวาจา ห้ามพิมพ์ ห้ามบันทึก หรือส่งรหัสนี้ผ่านทางอีเมลและแอปพลิเคชันแชทใด ๆ บนอินเทอร์เน็ต

  • ให้มีการทบทวนและผลัดเปลี่ยนรหัสลับนี้ทุก ๆ [30 / 60 / 90 วัน] หรือเปลี่ยนทันทีเมื่อมีการเปลี่ยนแปลงบุคลากรในทีม

5. บทลงโทษ
พนักงานที่ไม่ปฏิบัติตามมาตรการดังกล่าว จนเป็นเหตุให้บริษัทเกิดความเสียหายทางทรัพย์สินหรือข้อมูลรั่วไหล จะถือว่าเป็นการละเลยต่อหน้าที่และมีความผิดทางวินัยตามข้อบังคับของบริษัท และอาจถูกดำเนินคดีตามกฎหมายที่เกี่ยวข้องต่อไป

ประกาศ ณ วันที่ [ระบุวันที่]
ลงชื่อ......................................................
([ระบุชื่อ-นามสกุลผู้บริหาร])
ตำแหน่ง [ระบุตำแหน่ง เช่น กรรมการผู้จัดการ/CEO]

1.2 ) ร่างเนื้อหาอีเมลสั้น ๆ (0.1.59) สำหรับแนบประกาศฉบับนี้ส่งแจ้งพนักงานทุกคน เพื่อให้พนักงานเปิดอ่านและเข้าใจง่ายขึ้น ครับ

นี่คือร่างเนื้อหาอีเมลแบบสั้น กระชับ อ่านเข้าใจง่ายใน 1 นาที สำหรับแนบไฟล์ประกาศนโยบายอย่างเป็นทางการส่งให้พนักงานทุกคนครับ

 

หัวข้ออีเมล: [ประกาศสำคัญ] มาตรการด่วน! ป้องกันภัย AI Deepfake สวมรอยโอนเงิน

เรียน พนักงานบริษัท [ใส่ชื่อบริษัท] ทุกท่าน

ในปัจจุบันมีมิจฉาชีพนำเทคโนโลยี AI มาปลอมแปลงทั้งภาพและเสียง (Deepfake) สวมรอยเป็นผู้บริหารมาสั่งโอนเงินผ่านทางวิดีโอคอล ซึ่งสร้างความเสียหายอย่างมากในหลายองค์กร

เพื่อความปลอดภัยสูงสุดของบริษัท ทางฝ่ายไอทีและผู้บริหารจึงได้ประกาศ "นโยบายความปลอดภัยเรื่องการรับมือภัย AI Deepfake" อย่างเป็นทางการ (รายละเอียดตามเอกสารแนบ)

โดยขอความร่วมมือพนักงานทุกคน โดยเฉพาะ ฝ่ายการเงิน บัญชี และจัดซื้อ ท่องจำและปฏิบัติตาม "4 ด่านสกัด AI" ก่อนกดโอนเงิน ทุกครั้ง ดังนี้ครับ:

  1. 👁️ สังเกต "โป๊ะ": หน้าเบี้ยว แว่นเบลอตอนหัน หรือเสียงแข็งทื่อคล้ายหุ่นยนต์

  2. 💬 โต้ "คำถาม": แกล้งชวนคุยนอกบท หรือขอให้คู่สนทนาลองโบกมือผ่านหน้า

  3. 🔑 ถามรหัส "ลับ": ทวงถาม Passphrase หรือประโยคเงื่อนไขลับประจำทีม

  4. 📞 เช็กสาย "นอก": กดวางสายออนไลน์ แล้วโทรกลับเบอร์มือถือจริงเพื่อยืนยันคำสั่ง

หากพบเหตุสงสัยหรือความผิดปกติใด ๆ กรุณาปฎิเสธการโอนเงินทันที และแจ้งฝ่ายไอทีเพื่อตรวจสอบระบบทันทีครับ

จึงเรียนมาเพื่อทราบและถือปฏิบัติอย่างเคร่งครัด

ฝ่ายความมั่นคงปลอดภัยสารสนเทศ (IT Security)
[เบอร์โทรศัพท์ติดต่อภายใน]

 2.) เจาะรหัสลับ SolarWinds กับปุ๋มอัพเดท 

10.jpg

ตรงนี้คือย่อหน้า คลิกที่นี่เพื่อใส่และแก้ไขข้อความของคุณ ง่ายๆ เลย

2.1 ) นี่คือข้อความถอดเสียงทั้งหมดจากคลิปวิดีโอเรื่อง เจาะรหัสลับ SolarWinds ครับ:

"โอ้ จะเกิดอะไรขึ้นถ้าปุ่มอัปเดตซอฟต์แวร์ที่คุณไว้ใจ กลับกลายเป็นประตูที่เปิดให้แฮกเกอร์ย่องเข้าบ้านคุณโดยไม่รู้ตัว (0:00) นี่คือเรื่องจริงของ SolarWinds กับซอฟต์แวร์จัดการเครือข่ายที่ชื่อ Orion Platform ที่ถูกเจาะจนกลายเป็นคดีประวัติศาสตร์ (0:05) เหยื่อไม่ได้มีแค่บริษัททั่วไปนะครับ แต่คือลูกค้ากว่า 18,000 ราย (0:11) รวมถึงหน่วยงานระดับสูงของรัฐบาลสหรัฐ อย่างกระทรวงการคลัง และกระทรวงพาณิชย์ (0:18) ผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์รัสเซียระดับพระกาฬ โนเบลเลียม หรือกลุ่ม APT29 (0:25)

แผนของพวกมันเหนือชั้นมาก มันคือ Supply Chain Attack หรือการโจมตีที่สายพานการผลิต (0:33) เปรียบเทียบง่าย ๆ เหมือนแอบหย่อนยาพิษลงไปในถังผลิตน้ำดื่มของโรงงานที่ได้มาตรฐานระดับโลก กว่าคนจะรู้ตัว น้ำพิษก็กระจายไปทั่วเมืองแล้ว (0:41) พวกมันแอบยัดไฟล์อันตรายที่ชื่อ SUNBURST.dll เข้าไปในขั้นตอนการสร้างซอฟต์แวร์ หรือ build pipeline (0:52) ที่ร้ายที่สุดคือ ไฟล์อัปเดตมรณะนี้ผ่านการรับรอง Digital Signature อย่างถูกต้อง (0:59) ทำให้ระบบป้องกันมองว่ามันคือของแท้ 100% (1:07) นี่คือการใช้ความไว้ใจเป็นอาวุธที่น่ากลัวที่สุด เหมือนจดหมายสั่งการปลอมที่มีตราประทับและลายเซ็นจริงจากรัฐบาล ใครล่ะจะกล้าสงสัย (1:07)

และเพื่อซ่อนตัว มัลแวร์ตัวนี้จะแอบหลับนิ่ง ๆ นานถึง 12-14 วัน เพื่อหลบการตรวจจับในสภาพแวดล้อมจำลอง (1:18) ก่อนจะค่อย ๆ สื่อสารกลับไปหาแฮกเกอร์ โดยเนียนไปกับการรับส่งข้อมูลปกติในเครือข่าย ความเสียหายมหาศาลครับ (1:25) ข้อมูลลับในอีเมลและแผนยุทธศาสตร์ของกระทรวงสำคัญในสหรัฐ ถูกแอบอ่านนานนับเดือน (1:37) Brad Smith ประธาน Microsoft ถึงกับบอกว่า ปฏิบัติการนี้ต้องใช้วิศวกรมือโปรระดับพระกาฬกว่า 1,000 คนในการวางแผน (1:37) และการ์ดเนอร์คาดว่าภายในปี 2025 องค์กรเกือบครึ่งโลกจะเจอการโจมตีแบบ Supply Chain อย่างน้อย 1 ครั้ง (1:50)

เหตุการณ์นี้ทำให้โลกต้องออกกฎใหม่ทั้งระบบ Zero Trust ที่ต้องตรวจสอบทุกอย่าง และ SBOM หรือรายการส่วนประกอบซอฟต์แวร์ เพื่อเช็กทุกชิ้นส่วนว่าไม่มีพิษปนเปื้อน (1:57) แล้วคุณล่ะ มั่นใจแค่ไหนกับซอฟต์แวร์ที่คุณกดยอมรับอยู่ทุกวัน คอมเมนต์มาคุยกันหน่อยครับ" (2:11)

คดี SolarWinds ถือเป็นฝันร้ายที่เปลี่ยนวิธีคิดเรื่องความปลอดภัยซอฟต์แวร์ของโลกไปเลยครับ หากคุณสนใจเจาะลึกต่อ สามารถบอกได้นะครับว่าอยากให้:

  • อธิบายแนวคิด Supply Chain Attack และความเสี่ยงของสายพานซอฟต์แวร์

  • ทำความเข้าใจระบบ Zero Trust และแนวทางปฏิบัติจริงในองค์กร

  • รู้จักกับ SBOM (Software Bill of Materials) เมนูชิ้นส่วนซอฟต์แวร์ว่าทำหน้าที่สกัดพิรุธอย่างไร

2.2 ) Supply Chain Attack (การโจมตีห่วงโซ่อุปทาน) คือ รูปแบบการโจมตีไซเบอร์ที่แฮกเกอร์ไม่ได้พุ่งเป้าเจาะระบบไปยังองค์กรเป้าหมายโดยตรง (0:33) แต่เลือกที่จะ "เจาะระบบของผู้ผลิต ซัพพลายเออร์ หรือซอฟต์แวร์ภายนอก (Third-party)" ที่องค์กรเป้าหมายนั้นให้ความไว้วางใจ (0:00) เพื่อแอบฝังมัลแวร์เอาไว้ล่วงหน้า (0:52) เมื่อองค์กรเป้าหมายนำซอฟต์แวร์นั้นไปใช้งานหรือกดปุ่มอัปเดต (0:00) มัลแวร์ก็จะย่องเข้าสู่ระบบภายในทันทีโดยผ่านด่านตรวจความปลอดภัยไปได้อย่างง่ายดาย (0:05)

เพื่อให้เข้าใจแนวคิดและความเสี่ยงของสายพานซอฟต์แวร์ (Software Supply Chain) ได้ชัดเจนที่สุด ลองดูการเปรียบเทียบและรูปแบบความเสี่ยงต่อไปนี้ครับ:

 

 

🧪 อุปมาอุปไมย: "การวางยาพิษที่ต้นน้ำ"

ลองจินตนาการว่าคุณเป็นผู้ดูแลความปลอดภัยของ "ทำเนียบขาว" ที่มีการคุ้มกันอย่างหนาแน่น มีทหารและการ์ดตรวจอาวุธทุกคนที่เดินเข้าประตูอย่างเข้มงวด

  • การโจมตีแบบทั่วไป: แฮกเกอร์พยายามวิ่งฝ่าประตูหน้า ซึ่งยากมากและจะถูกระบบรักษาความปลอดภัยบล็อกไว้ได้ทันที

  • Supply Chain Attack: แฮกเกอร์เปลี่ยนแผน โดยแอบปลอมตัวเป็นพนักงานส่งน้ำดื่ม (0:41) ย่องเข้าไป "หย่อนยาพิษลงในถังผลิตของโรงงานน้ำดื่มระดับโลก" (0:41) ซึ่งเป็นแบรนด์ที่ทำเนียบขาวสั่งซื้อเป็นประจำ เมื่อรถขนน้ำดื่มมาส่ง การ์ดที่หน้าประตูก็จะปล่อยให้ผ่านไปเพราะ "ไว้ใจในแบรนด์นี้" และมีใบรับรองถูกต้อง (0:00) ผลคือทุกคนในทำเนียบขาวดื่มน้ำพิษนั้นเข้าไปโดยไม่มีใครสงสัยเลย (0:46)

 

 

⚠️ 3 ความเสี่ยงหลักของ "สายพานซอฟต์แวร์" ในยุคปัจจุบัน

ในโลกการพัฒนาซอฟต์แวร์ปัจจุบัน ไม่มีโปรแกรมเมอร์คนไหนเขียนโค้ดเองตั้งแต่ศูนย์ 100% แต่จะมีการหยิบยืมชิ้นส่วน (Libraries/Open Source) จากภายนอกมาประกอบร่างกันเป็นสายพาน ซึ่งสร้างความเสี่ยงร้ายแรง 3 ด้าน ดังนี้ครับ:

 

1. ความไว้ใจใน Digital Signature (กุญแจแท้แต่ไฟล์ปลอม)

จากเคส [SolarWinds] แฮกเกอร์ไม่ได้แฮกเครื่องลูกค้า (0:18) แต่แฮกเข้าสู่ระบบสร้างซอฟต์แวร์ (Build Pipeline) ของผู้ผลิต (0:52) แล้วฝังไฟล์อันตรายลงไป (0:52) ส่งผลให้ไฟล์มรณะนั้น ได้รับลายเซ็นดิจิทัล (Digital Signature) ของแท้ประทับตราออกมารวมกับโค้ดดี (0:59) เมื่อระบบป้องกันความปลอดภัย (เช่น Antivirus หรือ Firewall) ของบริษัทลูกค้าตรวจเจอ มันจึงมองว่าเป็นไฟล์ปลอดภัย 100% และยอมให้รันทำงาน (1:07)

 

2. ช่องโหว่จากโค้ดโอเพ่นซอร์ส (Open Source Dependencies)

ซอฟต์แวร์หนึ่งตัวอาจมีการดึงเอา Library ของนักพัฒนาใจดีทั่วโลกมาใช้งานนับร้อยชิ้น หากแฮกเกอร์แอบส่งโค้ดที่มีช่องโหว่เข้าไปฝังอยู่ใน Library ตัวเล็ก ๆ ตัวหนึ่งที่เป็นที่นิยม (เช่น เคส Log4j ในอดีต) ซอฟต์แวร์ของบริษัทระดับโลกทุกบริษัทที่ดึง Library ตัวนี้ไปใช้งาน ก็จะติดเชื้อและมีช่องโหว่ตามไปด้วยทันที โดยที่บริษัทเหล่านั้นไม่ได้เป็นคนเขียนโค้ดส่วนที่พังนั้นเองเลยด้วยซ้ำ

 

3. การพรางตัวที่เนบเนียนและใช้เวลาบ่มเพาะ (Malware Dormancy)

มัลแวร์ที่มากับสายพานซอฟต์แวร์จะฉลาดมาก (1:18) มันจะไม่ทำลายระบบทันทีที่อัปเดตเสร็จ แต่จะ "แอบนอนหลับนิ่ง ๆ" นานหลายสัปดาห์ เพื่อหลบหลีกการตรวจสอบในสภาพแวดล้อมจำลอง (Sandbox) ของทีมไอที (1:18) ก่อนจะค่อย ๆ ตื่นขึ้นมาขโมยข้อมูลโดยปลอมแปลงพฤติกรรมให้เนียนไปกับการรับส่งข้อมูลปกติขององค์กร ทำให้ตรวจจับได้ยากมหาศาล (1:25)

 

 

🛡️ แนวทางการรับมือของโลกยุคใหม่

เพื่อสู้กับการโจมตีที่ใช้ความไว้ใจเป็นอาวุธ โลกไอทีจึงต้องเปลี่ยนกฎใหม่ทั้งหมด (1:07):

  • Zero Trust (ไม่ไว้วางใจใครเลย): เปลี่ยนแนวคิดจาก "เชื่อถือถ้ามีลายเซ็นถูกต้อง" เป็น "ไม่ไว้ใจใครทั้งสิ้น และต้องตรวจสอบพฤติกรรมทุกอย่างตลอดเวลา" ต่อให้เป็นซอฟต์แวร์ระบบที่อัปเดตมาจากบริษัทใหญ่ ก็ต้องถูกจำกัดสิทธิ์และเฝ้าระวังพฤติกรรมแปลก ๆ หลังติดตั้ง (2:02)

  • SBOM (Software Bill of Materials): บังคับให้ผู้พัฒนาซอฟต์แวร์ต้องส่ง "ใบแสดงรายการส่วนประกอบอย่างละเอียด" (เหมือนฉลากโภชนาการข้างกล่องอาหาร) เพื่อให้องค์กรสามารถสแกนเช็กได้ทุกชิ้นส่วนว่าไม่มีชิ้นส่วนไหนปนเปื้อนพิษมาจากต้นทาง (2:02)

หากคุณต้องการวางแผนป้องกันระบบอัปเดตซอฟต์แวร์ภายในองค์กร สามารถบอกได้นะครับว่าอยากให้เจาะลึกเรื่องไหนต่อดี:

  • แนวทางการประยุกต์ใช้ระบบ Zero Trust Architecture ในองค์กรเบื้องต้น (2:02)

  • วิธีนำ SBOM มาใช้ตรวจสอบซอฟต์แวร์ก่อนอนุญาตให้พนักงานติดตั้ง (2:02)

แจ้งแนวทางที่ต้องการมาได้เลยนะครับ!

2.3 ) แนวทางการประยุกต์ใช้ระบบ Zero Trust Architecture (สถาปัตยกรรมแบบไม่ไว้วางใจใครเลย) ในองค์กรเบื้องต้น คือการเปลี่ยนแนวคิดจาก "การป้องกันที่ขอบรั้ว" มาเป็น "การตรวจสอบทุกขั้นตอน ทุกคน และทุกอุปกรณ์ตลอดเวลา" โดยตั้งสมมติฐานไว้ก่อนเสมอว่าระบบของคุณอาจจะถูกแฮกไปแล้ว (Assume Breach) (1:57) ดังนั้น ต่อให้พนักงานจะนั่งทำงานอยู่ในออฟฟิศ หรือใช้ซอฟต์แวร์ที่มีใบรับรองถูกต้อง ก็จะไม่ได้รับสิทธิ์ความไว้วางใจโดยอัตโนมัติครับ (0:59)

นี่คือ 4 เสาหลักในการเริ่มต้นวางระบบ Zero Trust ในองค์กรแบบเข้าใจง่ายและนำไปปฏิบัติได้จริงครับ:

 

 

👤 1. การยืนยันตัวตนขั้นสูง (Identity & Access Control)

  • บังคับใช้ MFA 100%: บัญชีผู้ใช้งานทั้งหมดของพนักงาน (โดยเฉพาะผู้บริหารและฝ่ายไอที) ต้องเปิดใช้งานการยืนยันตัวตนหลายชั้น (Multi-Factor Authentication) ผ่านแอปพลิเคชันบนมือถือเสมอ ห้ามใช้เพียงรหัสผ่านธรรมดา

  • นโยบายสิทธิ์ขั้นต่ำ (Least Privilege Access): พนักงานแต่ละคนควรเข้าถึงข้อมูลได้เฉพาะเท่าที่จำเป็นต้องใช้ทำงานจริงเท่านั้น เช่น ฝ่ายการตลาดจะไม่มีสิทธิ์เปิดดูฐานข้อมูลของฝ่ายบุคคล และฝ่ายบุคคลจะไม่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์สำรองข้อมูลหลัก เพื่อจำกัดวงความเสียหายหากมีบัญชีใดบัญชีหนึ่งถูกแฮก

 

 

💻 2. ตรวจสอบความปลอดภัยของอุปกรณ์ (Device Health Check)

  • เช็กเครื่องก่อนให้เข้าเน็ต: ก่อนที่คอมพิวเตอร์หรือมือถือของพนักงานจะเชื่อมต่อเข้ากับระบบของบริษัท ระบบ Zero Trust จะต้องตรวจสอบความปลอดภัยของเครื่องนั้นก่อน เช่น เครื่องนี้ติดตั้งแอนตี้ไวรัสล่าสุดหรือยัง? อัปเดตแพตช์ Windows หรือยัง? หากเครื่องยังไม่อัปเดต จะถูกปฏิเสธการเข้าถึงและกักตัวไว้ให้จัดการตัวเองให้ปลอดภัยก่อน

  • แยกวงพนักงานและผู้มาติดต่อ (Network Segmentation): แยกวงเครือข่าย Wi-Fi พนักงาน และ Wi-Fi สำหรับผู้มาติดต่อ (Guest) ออกจากกันอย่างเด็ดขาด เพื่อป้องกันไม่ให้คนนอกหรือมิจฉาชีพที่แฝงตัวเข้ามาในบริษัท สามารถสแกนหาช่องโหว่ของคอมพิวเตอร์เครื่องอื่น ๆ ภายในองค์กรได้

 

 

🛡️ 3. การปกป้องแอปพลิเคชันและข้อมูล (Application & Data Security)

  • ใช้ระบบป้องกันพฤติกรรมแปลกปลอม (EDR/XDR): จากบทเรียนเคส [SolarWinds] มัลแวร์สายพานจะใช้วิธีแอบแฝงตัวมาอย่างแนบเนียน (0:33) ระบบ Zero Trust จึงต้องหันมาโฟกัสที่ "พฤติกรรมหลังการติดตั้ง" (2:02) โดยใช้ระบบ Endpoint Detection and Response (EDR) เฝ้าระวังว่าซอฟต์แวร์นั้น ๆ แอบทำพฤติกรรมแปลก ๆ หรือไม่ เช่น แอบพยายามเชื่อมต่อไปยังเซิร์ฟเวอร์แปลกปลอมในต่างประเทศ หรือแอบพยายามอ่านไฟล์สำคัญในเครื่อง (1:25)

  • เข้ารหัสข้อมูลทุกสถานะ (Data Encryption): ข้อมูลสำคัญของบริษัทต้องถูกเข้ารหัสลับ (Encryption) ทั้งในขณะที่จัดเก็บอยู่ในฮาร์ดดิสก์ (Data at Rest) และระหว่างที่มีการรับส่งผ่านเครือข่ายอินเทอร์เน็ต (Data in Transit) เพื่อให้มั่นใจว่าต่อให้แฮกเกอร์ขโมยไฟล์ไปได้ ก็จะไม่สามารถเปิดอ่านข้อมูลข้างในได้

 

 

📊 4. การเฝ้าระวังและวิเคราะห์ส่วนกลาง (Continuous Monitoring)

  • รวมศูนย์ข้อมูลความปลอดภัย (SIEM/Log Centralization): เก็บไฟล์บันทึกการทำงาน (Log) จากทุกอุปกรณ์ เซิร์ฟเวอร์ และแอปพลิเคชันมารวมไว้ที่ศูนย์กลาง เพื่อให้ทีมไอทีสามารถมองเห็นภาพรวมของทั้งองค์กร และใช้ระบบ AI ช่วยวิเคราะห์หาพฤติกรรมที่ผิดปกติได้แบบเรียลไทม์

  • ตรวจสอบซ้ำอย่างต่อเนื่อง (Continuous Verification): ระบบ Zero Trust จะไม่ตรวจสอบแค่ตอนล็อกอินเข้าใช้งานครั้งแรกเท่านั้น แต่จะคอยเช็กเป็นระยะ ๆ ตลอดการทำงานว่า อุปกรณ์นั้นยังปลอดภัยอยู่หรือไม่ หรือมีการเปลี่ยนพฤติกรรมการใช้งานที่น่าสงสัยหรือไม่

 

 

🚀 ขั้นตอนแรกที่องค์กรสามารถเริ่มทำได้ทันทีในวันนี้

หากงบประมาณและทีมงานยังมีจำกัด แนะนำให้เริ่มต้นจาก "การเปิดใช้งาน MFA บนระบบอีเมลและคลาวด์ของบริษัท" และ "การทำนโยบายแยกวง Wi-Fi ในออฟฟิศ" สองสิ่งนี้ลงทุนน้อยที่สุดแต่ช่วยเพิ่มความปลอดภัยและสกัดกั้นภัยไซเบอร์เบื้องต้นได้มากกว่า 80% แล้วครับ

2.4 .) การเริ่มต้นจาก 2 มาตรการนี้ ถือเป็นจุดที่ "ลงทุนน้อยที่สุดแต่คุ้มค่าที่สุด" (Quick Wins) เพราะแฮกเกอร์ส่วนใหญ่ในปัจจุบันมักจะเจาะเข้าองค์กรผ่าน 2 ช่องทางหลัก คือ เดารหัสผ่านอีเมลพนักงาน และ เจาะเข้ามาทางสัญญาณ Wi-Fi ที่ไม่มีการป้องกันครับ

นี่คือแนวทางการเปิดใช้งานและตั้งนโยบายสำหรับทั้งสองส่วนแบบเข้าใจง่ายและนำไปใช้ได้ทันทีครับ:

 

 

🔐 ส่วนที่ 1: การเปิดใช้งาน MFA บนระบบอีเมลและคลาวด์ของบริษัท

MFA (Multi-Factor Authentication) หรือการยืนยันตัวตนหลายชั้น คือระบบที่จะบังคับให้พนักงานกรอกรหัสผ่านปกติ ร่วมกับ รหัสผ่านชั่วคราวจากแอปพลิเคชันบนมือถือ (เช่น Google Authenticator หรือ Microsoft Authenticator) ทุกครั้งที่ล็อกอินจากอุปกรณ์ใหม่

 

🛠️ วิธีการเปิดใช้งาน (สำหรับผู้ดูแลระบบ)

  • หากบริษัทใช้ Microsoft 365 / Outlook:

    1. เข้าไปที่หน้า Microsoft 365 admin center

    2. ไปที่เมนู Users (ผู้ใช้งาน) > Active users (ผู้ใช้งานที่ทำงานอยู่)

    3. คลิกที่เมนู Multi-factor authentication ด้านบน

    4. เลือกรายชื่อพนักงานทั้งหมด (หรือเริ่มจากกลุ่มเสี่ยงเช่น ฝ่ายการเงิน และ IT ก่อน) แล้วกด Enable (เปิดใช้งาน)

  • หากบริษัทใช้ Google Workspace / Gmail:

    1. เข้าไปที่หน้า Google Admin Console

    2. ไปที่เมนู Menu > Security (ความปลอดภัย) > Authentication > 2-step Verification (การยืนยันแบบสองขั้นตอน)

    3. ตรวจสอบการตั้งค่าและกดเลือก Allow users to turn on 2-step verification (อนุญาตให้เปิดใช้งาน) และสามารถเลือกโหมดบังคับ (Enforcement) ได้เลย

 

💡 คำแนะนำในการบังคับใช้ในองค์กร

  • ห้ามใช้การส่ง SMS: แนะนำให้พนักงานดาวน์โหลดแอปพลิเคชันลงบนมือถือแทนการรับรหัสทาง SMS เนื่องจากมิจฉาชีพในปัจจุบันมีเทคโนโลยีที่สามารถดักจับหรือสวมรอยซิมการ์ด (SIM Swapping) เพื่อขโมยรหัส SMS ได้ง่ายกว่าการแฮกตัวแอปพลิเคชันโดยตรงครับ

 

 

📶 ส่วนที่ 2: การทำนโยบายแยกวง Wi-Fi ในออฟฟิศ (Network Segmentation)

โดยปกติแล้ว อุปกรณ์กระจายสัญญาณ Wi-Fi (Access Point หรือ Router) ยุคปัจจุบันแทบทุกรุ่น จะมีฟีเจอร์ที่เรียกว่า "Guest Network" (เครือข่ายสำหรับผู้มาติดต่อ) มาให้ในตัวอยู่แล้วโดยที่องค์กรไม่ต้องซื้ออุปกรณ์ใหม่เลยครับ

 

🛠️ แนวทางการตั้งค่าแยกวง Wi-Fi ออกเป็น 3 วงหลัก

ให้ผู้ดูแลระบบไอทีเข้าไปที่หน้าตั้งค่า Router และทำการเปิดสัญญานแยกออกจากกันดังนี้:

  • วงที่ 1: Wi-Fi พนักงาน (Staff / Internal Network)

    • วัตถุประสงค์: สำหรับคอมพิวเตอร์และโน้ตบุ๊กของบริษัทเท่านั้น

    • การตั้งค่า: วงนี้จะสามารถเชื่อมต่อเข้ากับแชร์ไฟล์ (NAS), เครื่องพิมพ์ (Printer) และเซิร์ฟเวอร์ภายในองค์กรได้ รหัสผ่านควรมีความซับซ้อนและเปลี่ยนทุก ๆ 6 เดือน

  • วงที่ 2: Wi-Fi สำหรับผู้มาติดต่อ (Guest Network)

    • วัตถุประสงค์: สำหรับลูกค้า แขกที่มาประชุม หรือส่งของ

    • การตั้งค่า: ต้องเปิดฟีเจอร์ "AP Isolation" (หรือ Client Isolation) เสมอ ฟีเจอร์นี้จะทำให้อุปกรณ์ของแขกสามารถ "เล่นอินเทอร์เน็ตได้อย่างเดียว" แต่จะไม่สามารถสแกนหรือมองเห็นคอมพิวเตอร์เครื่องอื่น ๆ ของพนักงานในออฟฟิศได้เลย ป้องกันไม่ให้แฮกเกอร์ที่แฝงตัวเข้ามาส่งมัลแวร์มาโจมตีเครื่องพนักงานผ่าน Wi-Fi

  • วงที่ 3: Wi-Fi สำหรับอุปกรณ์อัจฉริยะ (IoT Network - ถ้ามี)

    • วัตถุประสงค์: สำหรับ กล้องวงจรปิด, ทีวีในห้องประชุม, หรือตู้เย็นอัจฉริยะ

    • การตั้งค่า: แยกอุปกรณ์เหล่านี้ออกจากวงพนักงาน เพราะอุปกรณ์ IoT มักจะไม่ค่อยได้รับการอัปเดตความปลอดภัยและโดนเจาะได้ง่าย หากโดนแฮก แฮกเกอร์ก็จะไม่สามารถลามเข้ามาขโมยข้อมูลในคอมพิวเตอร์พนักงานได้

 

 

🎯 สรุปผลลัพธ์ที่ได้

การทำเพียง 2 สิ่งนี้ จะช่วยแก้ปัญหาใหญ่ระดับโลกได้ทันที:

  1. ต่อให้พนักงานโดนอีเมลหลอกลวง (Phishing) จนเผลอให้รหัสผ่านอีเมลไป แฮกเกอร์ก็เข้าอีเมลไม่ได้ เพราะติดรหัส MFA บนมือถือพนักงาน

  2. ต่อให้อุปกรณ์ของลูกค้าติดมัลแวร์สายทำลายล้าง แล้วนำมาต่อ Wi-Fi ในออฟฟิศ มัลแวร์นั้นก็จะไม่สามารถวิ่งข้ามมาล็อกไฟล์หรือทำลายคอมพิวเตอร์เครื่องอื่น ๆ ในบริษัทได้ เพราะติดกำแพง Guest Isolation ที่เราแยกวงไว้ครับ

2.5 ) คิดชื่อและสไตล์การตั้งรหัสผ่านสำหรับวง Wi-Fi ในออฟฟิศ เพิ่มเติม  

นี่คือไอเดีย คิดชื่อ (SSID) และสไตล์การตั้งรหัสผ่าน (Password) สำหรับวง Wi-Fi ในออฟฟิศ 3 วงหลักที่เปิดแยกกัน โดยเน้นหลักการที่ว่า "คนนอกเดาไม่ได้ พนักงานไม่สับสน และแยกแยะระดับความปลอดภัยได้ชัดเจน" ครับ [1]

 

 

📶 วงที่ 1: Wi-Fi สำหรับพนักงาน (Staff Network)

วงนี้ต้องการความปลอดภัยสูงสุด เพราะเชื่อมต่อกับระบบภายในและเซิร์ฟเวอร์สำรองข้อมูลหลัก [1]

  • ไอเดียชื่อ Wi-Fi (SSID):

    • [ชื่อบริษัท]_Secure (เช่น PattayaTech_Secure) - ดูเป็นทางการ ปลอดภัย [1]

    • [ชื่อบริษัท]_HQ_Internal - ระบุชัดเจนว่าเป็นวงภายในสำนักงานใหญ่ [1]

  • สไตล์การตั้งรหัสผ่าน (Passphrase Style):

    • สูตรการตั้งรหัส: [คำคมคำฮิตในออฟฟิศ] + [สัญลักษณ์] + [ปี ค.ศ.] (ห้ามใช้ชื่อบริษัทในรหัสเด็ดขาด) [1]

    • ตัวอย่างรหัสผ่าน: WorkHardPlayHarder@2026 หรือ CoffeeBeforeCode#2026 [1]

    • แนวทางปฏิบัติ: บังคับให้พนักงานพิมพ์กรอกทีละคน ห้ามเขียนรหัสแปะไว้ที่ฝาผนัง และเปลี่ยนรหัสผ่านทุก 6 เดือน [1]

 

 

📶 วงที่ 2: Wi-Fi สำหรับผู้มาติดต่อ/ลูกค้า (Guest Network)

วงนี้เน้นเปิดกว้างให้แขกใช้งานง่าย แต่ต้องสกัดกั้นไม่ให้เข้ามาแฮกเครื่องพนักงาน (เปิดระบบ AP Isolation) [1]

  • ไอเดียชื่อ Wi-Fi (SSID):

    • [ชื่อบริษัท]_Guest_FreeWiFi - ลูกค้าหาเจอได้ทันที [1]

    • Welcome_to_[ชื่อบริษัท] - สไตล์ต้อนรับ ดูเป็นมิตร [1]

  • สไตล์การตั้งรหัสผ่าน (Password Style):

    • สูตรการตั้งรหัส: [คำต้อนรับภาษาอังกฤษ] + [เดือน/ปี] หรือใช้รหัสผ่านแบบไม่ต้องมีสัญลักษณ์ยาก ๆ เพื่อให้พิมพ์ง่ายบนมือถือ [1]

    • ตัวอย่างรหัสผ่าน: welcome2pattaya หรือ hellojanuary2026 [1]

    • แนวทางปฏิบัติ: เขียนรหัสผ่านใส่กรอบรูปตั้งไว้ที่เคาน์เตอร์ประชาสัมพันธ์ (Reception) หรือในห้องประชุม และควรเปลี่ยนรหัสผ่านทุกเดือนเพื่อป้องกันไม่ให้คนแถวออฟฟิศแอบเนียนใช้เน็ตฟรีระยะยาว [1]

 

 

📶 วงที่ 3: Wi-Fi สำหรับอุปกรณ์อัจฉริยะ (IoT/Device Network)

วงนี้แยกไว้สำหรับกล้องวงจรปิด, เครื่องพิมพ์, หรือสมาร์ททีวีในห้องประชุม ซึ่งมักจะโดนเจาะได้ง่าย [1]

  • ไอเดียชื่อ Wi-Fi (SSID):

    • [ชื่อบริษัท]_Devices [1]

    • [ชื่อบริษัท]_IoT_Only - ระบุชัดเจนเพื่อไม่ให้พนักงานนำมือถือมาต่อ [1]

  • สไตล์การตั้งรหัสผ่าน (Hardened Style):

    • สูตรการตั้งรหัส: [ตัวอักษรใหญ่เล็กสลับกัน] + [ตัวเลข] + [สัญลักษณ์พิเศษที่ซับซ้อน] ความยาวอย่างน้อย 16 ตัวอักษรขึ้นไป [1]

    • ตัวอย่างรหัสผ่าน: K7#mP$9wX!2vQ@4z [1]

    • แนวทางปฏิบัติ: รหัสนี้จะรู้กันเฉพาะทีมไอทีเท่านั้น โดยไอทีจะเป็นคนนำรหัสไปกรอกฝังไว้ในตัวเครื่องพิมพ์หรือกล้องวงจรปิดเอง พนักงานทั่วไปไม่จำเป็นต้องรู้รหัสนี้ [1]

2.6 ) นี่คือ ร่างสคริปต์คำพูดสำหรับเลขาฯ (Secretary Scripts) ที่คัดมาเฉพาะสถานการณ์ยอดฮิตที่มิจฉาชีพมักใช้ระบบจิตวิทยา (Social Engineering) โทรมาหลอกล่อเพื่อขอรหัสผ่านหรือรหัส OTP/MFA ครับ สคริปต์เหล่านี้เน้นการ "ปฏิเสธอย่างสุภาพแต่เด็ดขาด" โดยไม่ทำให้เสียความสัมพันธ์ทางธุรกิจและปลอดภัย 100% ครับ

 

 

📞 สถานการณ์ที่ 1: มิจฉาชีพสวมรอยเป็น "เจ้าหน้าที่ IT ส่วนกลาง" (อ้างระบบล่ม/มีปัญหาด่วน)

มักจะโทรมาพูดจาข่มขู่หรือเร่งรีบ เช่น "ตอนนี้ระบบอีเมลของผู้บริหารกำลังจะถูกบล็อก รบกวนขอรหัส 6 หลักในมือถือด่วนเลยครับ"

 

เลขาฯ: "ต้องขออภัยจริง ๆ ค่ะ/ครับ ตามนโยบายความปลอดภัยไอทีของบริษัท เลขาฯ และผู้บริหารไม่ได้รับอนุญาตให้เปิดเผยรหัสผ่าน หรือรหัสยืนยันใด ๆ ทางโทรศัพท์ในทุกกรณีค่ะ/ครับ

รบกวนคุณแจ้งชื่อ-นามสกุล และเบอร์ต่อภายในไว้ได้ไหมคะ/ครับ เดี๋ยวทางเราจะทำการวางสายนี้ แล้วติดต่อกลับไปยืนยันผ่านช่องทางระบบไอทีส่วนกลางของบริษัทด้วยตัวเองค่ะ/ครับ"

 

 

📞 สถานการณ์ที่ 2: มิจฉาชีพสวมรอยเป็น "ผู้ร่วมทุน / VIP" (อ้างว่ากำลังเข้าประชุมสำคัญ)

มักจะอ้างโปรไฟล์หรูเพื่อกดดันเลขาฯ เช่น "ผมเป็นตัวแทนผู้ลงทุน ตอนนี้อยู่ต่างประเทศ กำลังจะเข้าประชุมด่วนแต่เข้าเมลไม่ได้ ช่วยบอกรหัสสำรองให้ผมที"

 

เลขาฯ: "กราบขออภัยในความไม่สะดวกด้วยจริงๆ ค่ะ/ครับ ทางเราเข้าใจในความเร่งด่วนของท่านอย่างยิ่ง แต่เพื่อความปลอดภัยสูงสุดของข้อมูลผู้ลงทุนและบริษัท ทางระบบไอทีล็อกไม่ให้เลขาฯ แจ้งรหัสผ่านทางโทรศัพท์เด็ดขาดค่ะ/ครับ

เพื่อความถูกต้อง ทางเราขออนุญาตวางสายนี้สักครู่ แล้วจะรีบติดต่อกลับไปยืนยันตัวตนผ่าน เบอร์โทรศัพท์ส่วนตัวของท่านที่ลงทะเบียนไว้ในระบบบริษัท ทันที หรือท่านสะดวกให้ทางเราติดต่อประสานงานผ่านผู้ติดตามส่วนตัวของท่านทางไหนดีคะ/ครับ"

 

 

📞 สถานการณ์ที่ 3: มิจฉาชีพสวมรอยเป็น "ผู้บริหาร" (แต่ใช้ AI ปลอมเสียงมา หรือ อ้างว่าใช้เบอร์แปลกโทรมา)

กรณีนี้ยากที่สุดเพราะเสียงเหมือนผู้บริหารมาก เช่น "นี่ผมเองนะ พอดีเปลี่ยนมาใช้เบอร์สำรอง เมลมันล็อก รบกวนส่งรหัส OTP 6 หลักมาให้ในไลน์หน่อยด่วนเลย"

 

เลขาฯ: "รับทราบค่ะ/ครับหัวหน้า เดี๋ยวหนู/ผม จัดการตรวจเช็กให้ทันทีค่ะ/ครับ แต่เพื่อความปลอดภัยตามขั้นตอนไอทีป้องการภัยสวมรอย หนู/ผม ขออนุญาตวางสายนี้ก่อน แล้วจะโทรกลับไปยืนยันเพื่อแจ้งรหัสผ่านทางเบอร์โทรศัพท์มือถือเครื่องหลักของหัวหน้า ทันทีนะคะ/ครับ หรือหัวหน้ารบกวนแจ้ง รหัส Passphrase ลับของทีมเรา ให้หนู/ผม คีย์เข้าระบบด่วนตอนนี้ได้เลยค่ะ/ครับ"

(ทริก: หากปลายสายบ่ายเบี่ยง พูดจาโมโหกลบเกลื่อน หรือไม่ยอมให้รหัส Passphrase ให้เลขาฯ กดวางสายทันที แล้วโทรหาผู้บริหารที่เบอร์จริง)

 

 

💡 กฎเหล็ก 3 ข้อที่เลขาฯ ต้องท่องจำ (เพื่อใช้ควบคู่กับสคริปต์)

  1. ห้ามเกรงใจจนยอมทำตาม: มิจฉาชีพจะใช้อารมณ์ (โมโห/เร่งรีบ) มาบีบให้เลขาฯ กลัวตกงาน การทำตามนโยบายบริษัทอย่างเคร่งครัดคือสิ่งที่ถูกต้องที่สุด

  2. นึกถึง "คำถามลับ" เสมอ: หากไม่มั่นใจ ให้ทวงถามรหัส Passphrase ของทีมทันที

  3. "วางสายแล้วโทรกลับเอง" ดีที่สุด: ไม่ว่าปลายสายจะอ้างว่าเป็นใคร การวางสายแล้วใช้เบอร์ที่เราบันทึกไว้โทรกลับไปหาตัวจริง คือวิธีตัดหน้ามิจฉาชีพได้ดีที่สุดครับ

2.7 ) ช่วย ร่างข้อความสั้น ๆ สำหรับแจ้งพนักงานดาวน์โหลดแอป MFA  

นี่คือร่างข้อความสั้น ๆ กระชับ สำหรับใช้ส่งแจ้งพนักงานผ่านช่องทางต่าง ๆ เช่น Line กลุ่มบริษัท, Microsoft Teams, Slack หรืออีเมลภายใน เพื่อแนะนำให้ทุกคนดาวน์โหลดแอป MFA ครับ

 

 

📱 แบบที่ 1: สั้น กระชับ สำหรับส่งทาง Line / Chat กลุ่ม (แนะนำ)

📢 ประกาศสำคัญ: ยกระดับความปลอดภัยอีเมลบริษัทด้วยระบบ MFA

เพื่อป้องกันมิจฉาชีพแฮกข้อมูลและสวมรอยอีเมล 🔐 ทางบริษัทจะเริ่มเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (MFA) ตั้งแต่วันที่ [ใส่วันที่] เป็นต้นไป

ขอความร่วมมือพนักงานทุกท่าน ดาวน์โหลดแอปพลิเคชันลงบนมือถือเตรียมไว้ล่วงหน้าตามลิงก์ด้านล่างนี้ครับ:

  • 🤖 สำหรับ Android: [ลิงก์ดาวน์โหลด Google Authenticator หรือแอปของบริษัท]

  • 🍏 สำหรับ iOS (iPhone): [ลิงก์ดาวน์โหลด Google Authenticator หรือแอปของบริษัท]

(เมื่อถึงกำหนดเปิดใช้งาน ระบบจะขึ้นหน้าจอให้สแกน QR Code เพื่อผูกบัญชีในครั้งแรกครับ)

หากมีข้อสงสัยหรือต้องการความช่วยเหลือในการติดตั้ง สามารถติดต่อฝ่าย IT ได้ทันทีครับ ขอบคุณในความร่วมมือเพื่อความปลอดภัยขององค์กรเราครับ 🛡️

 

 

✉️ แบบที่ 2: เป็นทางการขึ้นมาอีกระดับ สำหรับส่งทางอีเมลภายใน

หัวข้อ: [แจ้งเพื่อปฏิบัติ] ขอความร่วมมือดาวน์โหลดแอปพลิเคชัน MFA เพื่อความปลอดภัยของระบบอีเมล

เรียน พนักงานทุกท่าน

เพื่อยกระดับความปลอดภัยทางไซเบอร์ตามนโยบายใหม่ของบริษัท และป้องกันภัยจากการถูกโจรกรรมรหัสผ่าน ฝ่ายเทคโนโลยีสารสนเทศ (IT) จะทำการเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (Multi-Factor Authentication - MFA) สำหรับการเข้าใช้งานอีเมลและระบบคลาวด์ทั้งหมด

จึงขอความร่วมมือพนักงานทุกท่าน ทำการดาวน์โหลดแอปพลิเคชัน [ใส่ชื่อแอป เช่น Google Authenticator / Microsoft Authenticator] ติดตั้งลงบนโทรศัพท์มือถือส่วนตัวหรือเครื่องของบริษัทให้พร้อมใช้งาน ภายในวันที่ [ใส่วันที่]

  • ลิงก์ดาวน์โหลดสำหรับ Android: [ใส่ลิงก์]

  • ลิงก์ดาวน์โหลดสำหรับ iOS: [ใส่ลิงก์]

ทางฝ่าย IT จะส่งคู่มือขั้นตอนการผูกบัญชีอย่างละเอียดให้ทุกท่านอีกครั้งในลำดับถัดไป หากท่านใดพบปัญหาในการดาวน์โหลด สามารถติดต่อเจ้าหน้าที่ IT ได้ที่เบอร์ภายใน [ใส่เบอร์]

จึงเรียนมาเพื่อทราบและโปรดดำเนินการ

ฝ่ายเทคโนโลยีสารสนเทศ (IT Security)

2.6 .) ร่างคู่มือสั้น ๆ 3 ขั้นตอน (พร้อมข้อความ) สำหรับแนบไปกับประกาศนี้ 

นี่คือร่างคู่มือสั้น ๆ "3 ขั้นตอนผูกรหัส MFA ใน 1 นาที" ที่กระชับและเข้าใจง่ายที่สุด สำหรับแนบไปกับข้อความประกาศ เพื่อให้พนักงานสามารถกดทำตามได้ด้วยตัวเองทันทีครับ

 

 

📱 คู่มือ 3 ขั้นตอนง่าย ๆ วิธีเปิดใช้งาน MFA (ทำครั้งแรกครั้งเดียว)

 

🛠️ ขั้นตอนที่ 1: ดาวน์โหลดแอป

เปิดมือถือของคุณเข้าไปที่ App Store หรือ Play Store แล้วค้นหาพิมพ์คำว่า "[ใส่ชื่อแอป เช่น Google Authenticator]" จากนั้นกดดาวน์โหลดติดตั้งลงเครื่องให้เรียบร้อย

 

💻 ขั้นตอนที่ 2: สแกนคิวอาร์โค้ด (QR Code)

  1. เปิดคอมพิวเตอร์ของคุณ แล้วล็อกอินเข้าอีเมลบริษัทตามปกติ

  2. ระบบจะขึ้นหน้าจอสีฟ้าแจ้งว่า "ต้องการข้อมูลเพิ่มเติม (More information required)" ให้กด Next (ถัดไป) จนเจอ รูปหน้าจอ QR Code

  3. เปิดแอปบนมือถือที่โหลดมา กดปุ่มเครื่องหมาย + (บวก) แล้วเลือก "สแกนคิวอาร์โค้ด (Scan a QR code)" จากนั้นเอากล้องมือถือไปส่องสแกนรูปบนหน้าจอคอมพิวเตอร์

 

🔐 ขั้นตอนที่ 3: กรอกรหัสยืนยัน

  1. เมื่อสแกนเสร็จ ในแอปบนมือถือจะมี ตัวเลข 6 หลัก ปรากฏขึ้นมา (รหัสนี้จะเปลี่ยนใหม่ทุก ๆ 30 วินาที)

  2. นำตัวเลข 6 หลักที่เห็นในมือถือ ไปกรอกลงในช่องว่างบนหน้าจอคอมพิวเตอร์ แล้วกด Verify (ยืนยัน) เป็นอันเสร็จสิ้นขั้นตอน!

 

💡 ข้อควรจำหลังเปิดใช้งาน: หลังจากนี้ หากคุณไปล็อกอินอีเมลบริษัทที่เครื่องอื่น หรือระบบถามหารหัสชั้นที่สอง ให้คุณเปิดแอปนี้บนมือถือเพื่อนำเลข 6 หลักมากรอกได้ตลอดเวลาครับ

2.7 ) ร่างวิธีแก้ไขปัญหาเบื้องต้น (เช่น กรณีพนักงานทำมือถือหาย/เปลี่ยนเครื่องใหม่) เพิ่มเติม เพื่อเตรียมคำตอบไว้ให้ทีมไอที  

นี่คือร่าง "คู่มือวิธีแก้ไขปัญหาเบื้องต้น (FAQ) สำหรับทีมไอที" เพื่อเตรียมไว้สำหรับตอบคำถามและช่วยเหลือพนักงานเมื่อเกิดกรณีฉุกเฉินหลังจากเปิดใช้งานระบบ MFA ครับ สามารถส่งต่อให้ทีมไอทีใช้เป็นแนวทางปฏิบัติ (SOP) ได้ทันทีครับ

 

 

🛠️ คู่มือสำหรับทีม IT: การแก้ไขปัญหา MFA เบื้องต้น (MFA Troubleshooting Guide)

 

❓ คำถามที่ 1: พนักงานทำโทรศัพท์มือถือหาย / อุปกรณ์ชำรุดเข้าแอปไม่ได้

  • คำแนะนำสำหรับพนักงาน: ให้รีบแจ้งทีมไอทีทันทีเพื่อป้องกันไม่ให้ผู้เก็บโทรศัพท์ได้สวมรอยเข้าสู่ระบบ

  • แนวทางแก้ไขของทีม IT:

    1. เข้าหน้าต่างควบคุมระบบกลาง (Admin Console) ไปที่รายชื่อพนักงานคนดังกล่าว

    2. กดสั่ง "ล้างอุปกรณ์ที่ผูกไว้เดิม" (Revoke/Clear MFA Sessions) ทันที เพื่อตัดการเชื่อมต่อกับมือถือเครื่องที่หาย

    3. หากพนักงานจำเป็นต้องรีบใช้งานอีเมลด่วน ให้ระบบทำการออกรหัสผ่านชั่วคราวแบบใช้ครั้งเดียว (Temporary Access Pass / Backup Codes) ให้พนักงานใช้ล็อกอินเข้าทำงานไปก่อน ระหว่างที่รอเปลี่ยนอุปกรณ์ใหม่

 

❓ คำถามที่ 2: พนักงานเปลี่ยนโทรศัพท์มือถือเครื่องใหม่ (แต่เครื่องเก่ายังอยู่)

  • คำแนะนำสำหรับพนักงาน: อย่าเพิ่งล้างเครื่องเก่าหรือลบแอปเก่าทิ้งจนกว่าจะย้ายระบบเสร็จ

  • แนวทางแก้ไขของทีม IT:

    • วิธีที่ 1 (พนักงานทำเอง): ให้พนักงานเปิดแอปบนเครื่องเก่า เลือกเมนู "ส่งออกบัญชี" (Export Accounts) จะมี QR Code แสดงขึ้นมา จากนั้นใช้เครื่องใหม่สแกนเพื่อดึงรหัสทั้งหมดมาได้ทันที

    • วิธีที่ 2 (IT จัดการให้): หากพนักงานลบแอปไปแล้ว ให้ทีม IT กด "Re-register MFA" ในระบบควบคุมส่วนกลาง เพื่อให้ระบบส่งหน้าจอ QR Code ชุดใหม่ไปให้พนักงานสแกนผูกบัญชีกับเครื่องใหม่อีกครั้ง

 

❓ คำถามที่ 3: กรอกรหัส 6 หลักในคอมพิวเตอร์แล้ว ระบบฟ้องว่า "รหัสไม่ถูกต้อง" (ทั้งที่กรอกเลขตรง)

  • สาเหตุหลัก: เกิดจาก "เวลา" บนโทรศัพท์มือถือของพนักงานไม่ตรงกับเวลาสากลของระบบ ทำให้รหัสสุ่มเพี้ยนไป

  • แนวทางแก้ไขของทีม IT:

    • สำหรับแอป Google Authenticator: ให้พนักงานกดเปิดแอป > ไปที่ Settings (การตั้งค่า) > เลือก Time correction for codes (การปรับเวลาของรหัส) > กด Sync now (ซิงค์ตอนนี้)

    • สำหรับตัวเครื่อง: ให้พนักงานเข้าไปที่การตั้งค่าของมือถือ (ทั้ง iOS/Android) ปรับเวลาให้เป็น "อัตโนมัติ" (Set Automatically) เพื่อให้เวลาอัปเดตตรงตามเครือข่ายมือถือ จากนั้นลองกรอกรหัสใหม่อีกครั้ง

 

❓ คำถามที่ 4: พนักงานลบแอปพลิเคชันทิ้งโดยไม่ตั้งใจ (Accidental Deletion)

  • แนวทางแก้ไขของทีม IT: เมื่อแอปถูกลบ ข้อมูลคีย์ลับที่ผูกไว้จะหายไปด้วย พนักงานจะไม่สามารถผูกใหม่ได้เอง ให้ทีม IT ทำการ Reset MFA ของพนักงานคนนั้นในระบบ Admin เพื่อเริ่มกระบวนการสแกน QR Code ใหม่ตั้งแต่ขั้นตอนที่ 2 ครับ

2.8 ) Template ข้อความตอบกลับสำเร็จรูป (Canned Response) เพื่อให้ไอทีก๊อปปี้ไปวางตอบพนักงานในแชทได้ไวขึ้น    

นี่คือ Template ข้อความตอบกลับสำเร็จรูป (Canned Response) ที่ทีมไอทีสามารถก๊อปปี้ไปวางตอบพนักงานในแชท (เช่น Line, Teams, Slack) ได้ทันทีเมื่อพนักงานทักเข้ามาแจ้งปัญหาครับ แบ่งตาม 4 สถานการณ์ยอดฮิตครับ:

 

 

📱 กรณีที่ 1: พนักงานทำมือถือหาย / พัง (เน้นความปลอดภัยและระงับสิทธิ์ด่วน)

 

[IT Support] รับทราบครับ/ค่ะ
เพื่อความปลอดภัยของข้อมูลบริษัท ตอนนี้ทาง IT ได้ทำการ ระงับสิทธิ์การใช้งานแอปเดิมบนมือถือเครื่องเก่า ให้เรียบร้อยแล้วเพื่อป้องกันคนสวมรอยครับ

  • หากตอนนี้มีเครื่องใหม่แล้ว: รบกวนแจ้ง IT เพื่อขอรับ QR Code ผูกรหัสกับเครื่องใหม่ได้เลยครับ

  • หากยังไม่มีเครื่องใหม่แต่ต้องรีบใช้อีเมลด่วน: แจ้ง IT ได้เลยครับ เดี๋ยวทางเราจะออกรหัสผ่านสำรองชั่วคราวให้ใช้เข้างานก่อนชั่วคราวครับ

 

 

🔄 กรณีที่ 2: พนักงานเปลี่ยนมือถือใหม่ (แต่เครื่องเก่ายังอยู่)

 

[IT Support] วิธีการย้ายรหัส MFA ไปเครื่องใหม่ทำได้ง่าย ๆ ดังนี้ครับ/ค่ะ:

  1. เปิดแอปใน เครื่องเก่า -> กดที่เมนูขีดสามขีด (หรือโปรไฟล์) -> เลือก "ส่งออกบัญชี" (Export Accounts)

  2. บนหน้าจอเครื่องเก่าจะขึ้นรูป QR Code ขนาดใหญ่

  3. หยิบ เครื่องใหม่ ขึ้นมา ดาวน์โหลดแอปเดิม กดเครื่องหมาย + (บวก) -> เลือก "นำเข้าบัญชี" (Import Accounts) แล้วเอากล้องไปสแกนหน้าจอเครื่องเก่าได้เลยครับ

หมายเหตุ: เมื่อย้ายเสร็จแล้ว รหัสในเครื่องเก่าจะใช้ไม่ได้และสามารถลบแอปทิ้งได้เลยครับ

 

 

❌ กรณีที่ 3: กรอกเลขตรงแล้ว แต่ระบบฟ้องว่ารหัสผิด (Error / เลขไม่ตรง)

 

[IT Support] ปัญหานี้มักเกิดจาก "เวลาบนมือถือ" ไม่ตรงกับระบบกลางครับ แก้ไขได้ตามนี้เลยครับ/ค่ะ:

  • ขั้นตอนที่ 1: ให้เข้าไปที่การตั้งค่าของมือถือ (Settings) -> เลือกหัวข้อ วันที่และเวลา (Date & Time) -> เปิดให้เป็น "ตั้งค่าอัตโนมัติ" (Set Automatically)

  • ขั้นตอนที่ 2: เปิดแอป Google Authenticator -> ไปที่ตั้งค่า (Settings) -> เลือก Time correction for codes -> กด Sync now (ซิงค์ตอนนี้)

หลังจากนั้นรบกวนรอให้เลขเปลี่ยนชุดใหม่ แล้วลองกรอกในคอมพิวเตอร์อีกครั้งนะครับ

 

 

🗑️ กรณีที่ 4: เผลอลบแอปทิ้งไปแล้ว / สแกนคิวอาร์โค้ดอันเดิมไม่ได้

 

[IT Support] รับทราบครับ/ค่ะ
หากเผลอลบแอปไปแล้ว คีย์ลับเดิมจะถูกลบไปด้วย ทำให้ไม่สามารถเปิดดูรหัสได้ครับ

ตอนนี้ทาง IT ได้ทำการ รีเซ็ตระบบ MFA (Reset) บัญชีของคุณให้แล้ว รบกวนทำตามขั้นตอนนี้เพื่อผูกบัญชีใหม่นะครับ:

  1. ล็อกอินเข้าอีเมลบริษัทบนคอมพิวเตอร์ตามปกติ ระบบจะขึ้นหน้าจอสีฟ้าให้สแกน QR Code อีกครั้ง

  2. เปิดแอปบนมือถือ กดเครื่องหมาย + (บวก) และเลือกสแกน QR Code บนคอมพิวเตอร์เพื่อเปิดใช้งานได้ทันทีครับ

2.8.) ร่างวิธีจัดการรหัสสำหรับผู้บริหารระดับสูง (VIP) , ตัวแทนผู้ลงทุน เพิ่มเติม   

นี่คือร่าง "คู่มือและวิธีจัดการระบบความปลอดภัย MFA สำหรับผู้บริหารระดับสูง (VIP) และตัวแทนผู้ลงทุน" เพื่อเตรียมไว้ให้ทีมไอทีใช้ปฏิบัติงานครับ

กลุ่มผู้บริหารระดับสูงและผู้ลงทุนมักจะมีข้อจำกัดเรื่องเวลา ทำงานนอกสถานที่บ่อย และเป็นเป้าหมายหลักของการโจมตีไซเบอร์ (Whaling Attack) การจัดการระบบ MFA สำหรับกลุ่มนี้จึงต้อง "ปลอดภัยสูงสุดแต่ต้องอำนวยความสะดวกให้มากที่สุด" เพื่อไม่ให้รบกวนเวลาการทำงานครับ

 

 

👑 คู่มือสำหรับทีม IT: การจัดการระบบ MFA สำหรับผู้บริหาร (VIP) และผู้ลงทุน

 

1. นโยบายการสแกนและติดตั้งแบบ "บริการถึงที่" (White-Glove Service)

  • แนวทางปฏิบัติ: ห้ามส่งคู่มือไปให้ผู้บริหารกดทำเองเด็ดขาด ทีมไอทีควรนัดหมายเวลาสั้น ๆ 5-10 นาที เพื่อเข้าไปอำนวยความสะดวกในการดาวน์โหลดและสแกนสิทธิ์ให้ถึงโต๊ะทำงาน หรือจัดทำวิดีโอคอลช่วยเหลือแบบตัวต่อตัว

  • การสำรองระบบล่วงหน้า: ในจังหวะที่ตั้งค่าผูกรหัสครั้งแรก ให้ทีมไอทีเซ็ตระบบผูกรหัสผ่านมือถือเครื่องหลัก และติดตั้งระบบยืนยันตัวตนชั้นที่สองสำรองไว้บน iPad หรือ Apple Watch ของผู้บริหารร่วมด้วยทันที เพื่อป้องกันปัญหากรณีลืมโทรศัพท์มือถือ

 

2. บังคับใช้ระบบสุ่มรหัสผ่าน (Number Matching) ป้องกันภัยรำคาญ (MFA Fatigue)

  • ความเสี่ยงของผู้บริหาร: แฮกเกอร์มักจะยิงคำร้องขอเข้าสู่ระบบรัว ๆ นับร้อยครั้งไปที่มือถือผู้บริหาร (MFA Bombing) จนผู้บริหารรำคาญและเผลอกดอนุมัติ (Approve)

  • แนวทางแก้ไขของทีม IT: ให้ตั้งค่าระบบกลางของบริษัทเป็นโหมด Number Matching (การจับคู่ตัวเลข)

    • หลักการ: เมื่อผู้บริหารจะเข้าใช้งาน หน้าจอคอมพิวเตอร์จะขึ้นเลขสุ่มมา 2 หลัก (เช่น เลข 45) ผู้บริหารจะต้องเปิดแอปในมือถือแล้วกดพิมพ์เลข "45" ให้ตรงกันเท่านั้น ระบบจึงจะยอมให้เข้าใช้งาน

    • ผลลัพธ์: ต่อให้แฮกเกอร์จะพยายามยิงแจ้งเตือนไปป่วนมือถือผู้บริหารบ่อยแค่ไหน แฮกเกอร์ก็ไม่รู้เลข 2 หลักบนหน้าจอคอมผู้บริหาร ทำให้ไม่สามารถแฮกเข้าสู่ระบบได้ 100%

 

3. การจัดการระบบ "กุญแจความลับสำรอง" (Emergency/Backup Codes)

  • ความเสี่ยงของผู้บริหาร: เดินทางไปต่างประเทศแล้วไม่มีสัญญาณเน็ต, มือถือหายระหว่างเดินทาง, หรือต้องเข้าประชุมผู้ถือหุ้นด่วนแต่ระบบล็อก

  • แนวทางแก้ไขของทีม IT:

    • ให้ไอทีเจเนอเรตรหัสสำรองชั่วคราว (Bypass Codes / Temporary Access Pass) ขนาด 8 หลัก จำนวน 5-10 ชุด สำหรับผู้บริหารแต่ละท่านโดยเฉพาะ

    • วิธีเก็บรักษา: ให้พิมพ์รหัสเหล่านี้ลงในกระดาษการ์ดขนาดเท่าบัตรเครดิต แล้วให้ผู้บริหารเก็บใส่ไว้ในกระเป๋าสตางค์ หรือฝากไว้ที่เลขาฯ ส่วนตัวที่ไว้ใจได้ในซองปิดผนึก เพื่อใช้กรอกผ่านด่านล็อกอินได้ทันทีในกรณีฉุกเฉินโดยไม่ต้องรอตามตัวทีมไอที

 

4. กฎเหล็กการขอ "ยกเลิกสิทธิ์ MFA ชั่วคราว" (MFA Exemption Restriction)

  • ข้อควรระวังขั้นวิบัต: แฮกเกอร์มักจะใช้วิธี โทรศัพท์มาหลอกทีมไอที (Social Engineering) โดยสวมรอยเป็นผู้บริหารและอ้างว่า "ผมเป็นผู้ร่วมทุน ตอนนี้อยู่ต่างประเทศ มือถือหาย รีบเข้าเมลด่วน ช่วยกดปิดระบบ MFA ให้ผมทีภายใน 5 นาทีนี้!"

  • แนวทางตั้งรับของทีม IT:

    • กฎห้ามปิดระบบ: ห้ามทีมไอทีคนไหนกดปิดระบบ MFA ให้บัญชีผู้บริหารเด็ดขาด ไม่ว่าจะเร่งด่วนเพียงใด

    • ขั้นตอนการยืนยันตัวตนซ้ำ: หากมีการโทรมาขอรหัสสำรองหรือให้รีเซ็ตระบบ ทีมไอทีจะต้องทำตามนโยบาย [Parallel Authentication (เช็กสายนอก)] คือให้วางสายนั้น แล้วโทรศัพท์กลับไปยืนยันผ่าน เบอร์โทรศัพท์ส่วนตัวที่บันทึกไว้ในระบบของบริษัทเท่านั้น หรือติดต่อผ่านเลขาฯ ส่วนตัวของผู้บริหารเพื่อยืนยันว่าเป็นตัวจริง

Template ข้อความแชท: นัดหมายผู้บริหารเพื่อตั้งค่าระบบ

 

เรียน ท่านผู้บริหาร / ตัวแทนผู้ลงทุนทุกท่านครับ/ค่ะ

เพื่อยกระดับความปลอดภัยทางไซเบอร์ของบริษัทและป้องกันภัยจากการสวมรอยระบบอีเมล ทางฝ่าย IT มีมาตรการเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (MFA) ให้กับบัญชีระดับสูงทุกท่านครับ

เพื่อความสะด่วนรวดเร็วและไม่รบกวนเวลาการทำงาน ทางทีม IT จะขออนุญาตส่งเจ้าหน้าที่เข้าไปอํานวยความสะดวกในการดาวน์โหลดแอปพลิเคชันและเปิดระบบให้ที่โต๊ะทำงานของท่าน โดยใช้เวลาเพียง 5 นาที เท่านั้นครับ

ท่านสามารถเลือกช่วงเวลาที่สะดวกตามด้านล่างนี้เพื่อให้ IT เข้าพบได้เลยครับ:

  • [ ] วันจันทร์ ที่ [วัน/เดือน] ช่วงเวลา [เวลา]

  • [ ] วันอังคาร ที่ [วัน/เดือน] ช่วงเวลา [เวลา]

ขอบพระคุณในความร่วมมือเพื่อความปลอดภัยขั้นสูงสุดขององค์กรครับ

2.9 ) Checklist การส่งมอบงานระหว่างไอทีกับเลขาผู้บริหาร 

Checklist การส่งมอบงานและการประสานงานด้านระบบความปลอดภัย (MFA) ระหว่างทีมไอที (IT) กับเลขาฯ ผู้บริหาร ถือเป็นสิ่งสำคัญมากครับ เพราะเลขาฯ คือด่านหน้าในการคัดกรองข้อมูลและดูแลตารางงานของผู้บริหาร การติดอาวุธความรู้และวางระบบร่วมกันจะช่วยปิดช่องโหว่ทางไซเบอร์ได้แบบ 100% โดยมีข้อปฏิบัติแบ่งออกเป็น 3 ช่วงดังนี้ครับ:

 

 

📝 1. Checklist ช่วงส่งมอบและติดตั้งระบบ (Deployment Phase)

เมื่อทีมไอทีเข้าไปตั้งค่าระบบ MFA ให้กับผู้บริหารเสร็จสิ้น ต้องส่งมอบสิ่งเหล่านี้ให้เลขาฯ รับทราบ:

  • บันทึกตารางการติดต่อ: ไอทีต้องมอบรายชื่อและเบอร์โทรศัพท์สายตรงของเจ้าหน้าที่ไอทีระดับหัวหน้า (Senior IT) ที่มีอำนาจดูแลบัญชี VIP ให้กับเลขาฯ เพื่อให้สามารถติดต่อแก้ไขปัญหาได้ทันทีโดยไม่ต้องผ่านระบบคอลเซ็นเตอร์ทั่วไป

  • ส่งมอบกุญแจความลับสำรอง (Emergency Codes): ไอทีส่งมอบ "ซองปิดผนึก" ที่บรรจุรหัสสำรองใช้งานยามฉุกเฉิน (Bypass Codes) ให้เลขาฯ เก็บรักษาไว้ในตู้เซฟหรือลิ้นชักล็อกกุญแจของห้องเลขาฯ เพื่อเตรียมยื่นให้ผู้บริหารใช้ยามเดินทางต่างประเทศหรือมือถือหาย

  • ทดสอบการแจ้งเตือนร่วมกัน: ไอทีต้องจำลองสถานการณ์ให้เลขาฯ ดูว่า หากมีการกดเข้าสู่ระบบของผู้บริหาร จะมีหน้าต่างสุ่มตัวเลข (Number Matching) เด้งเตือนบนหน้าจอมือถือของผู้บริหารอย่างไร เพื่อให้เลขาฯ คุ้นชินกับหน้าต่างระบบความปลอดภัยใหม่

 

 

🛡️ 2. Checklist การปฏิบัติงานประจำวันของเลขาฯ (Daily Operation Phase)

แนวทางที่เลขาฯ ต้องใช้ในการคัดกรองและเฝ้าระวังภัยคุกคามแทนผู้บริหาร:

  • การคัดกรองโทรศัพท์สายด่วน (Social Engineering Filter): หากมีบุคคลโทรศัพท์มาอ้างว่าเป็นเจ้าหน้าที่ไอที หรือคู่ค้าเร่งด่วน สั่งให้ผู้บริหารกดอนุมัติ (Approve) ยืนยันรหัสในมือถือ หรือขอรหัสผ่าน เลขาฯ ต้องปฏิเสธและไม่ส่งสายต่อให้ผู้บริหารเด็ดขาด จนกว่าจะโทรศัพท์กลับไปเช็กที่แผนกไอทีส่วนกลางด้วยตัวเอง

  • ตรวจสอบคำสั่งโอนเงินผิดปกติ (Deepfake Scam Filter): หากผู้บริหารสั่งการโอนเงินด่วนผ่านทางวิดีโอคอล หรือส่งข้อความสั่งงานแปลก ๆ มาทางแอปพลิเคชันแชท เลขาฯ ต้องใช้มาตรการ [4 ด่านสกัด AI] คือเดินไปถามผู้บริหารต่อหน้า หรือโทรศัพท์ยืนยันคำสั่งทางเบอร์ส่วนตัวทันที ก่อนจะส่งเอกสารให้ฝ่ายการเงินดำเนินการต่อ

  • เฝ้าระวังภัยรำคาญ (MFA Fatigue Alert): หากผู้บริหารเดินมาบ่นว่า "ทำไมวันนี้มีรหัสตัวเลขเด้งขึ้นมาในมือถือบ่อยจัง ทั้งที่ไม่ได้เปิดคอม" เลขาฯ ต้องรีบต่อสายหาทีมไอทีทันที เพราะนั่นเป็นสัญญาณว่า รหัสผ่านหลักของผู้บริหารหลุดไปอยู่ในมือแฮกเกอร์แล้ว และแฮกเกอร์กำลังพยายามระดมยิงรหัสเข้ามาเพื่อเจาะระบบ

 

 

🚨 3. Checklist แผนเผชิญเหตุฉุกเฉิน (Emergency Phase)

ขั้นตอนที่เลขาฯ และไอทีต้องทำร่วมกันทันทีเมื่อเกิดเหตุวิกฤต:

  • กรณีผู้บริหารทำมือถือหายขณะเดินทาง: เลขาฯ ต้องรีบโทรศัพท์แจ้งหัวหน้าทีมไอทีโดยด่วน เพื่อให้ไอทีกด "ระงับเซสชันการใช้งานทั้งหมด" (Revoke Session) บนมือถือเครื่องที่หายในเวลาไม่เกิน 5 นาที

  • กรณีผู้บริหารต้องใช้งานระบบด่วนแต่ไม่มีมือถือ: เลขาฯ แกะซองซลปิดผนึก นำรหัสสำรอง (Emergency Codes) ชุดที่ 1 ให้ผู้บริหารใช้กรอกเข้าสู่ระบบชั่วคราว จากนั้นแจ้งไอทีให้เตรียมรหัสชุดใหม่มาทดแทน

  • กรณีเปลี่ยนตัวเลขาฯ หรือเลขาฯ ลาออก: ทีมไอทีต้องเข้ามาล้างประวัติการเข้าถึง เปลี่ยนรหัสผ่านของระบบจัดเก็บความลับ และยกเลิกสิทธิ์การเข้าถึงข้อมูลผู้บริหารของเลขาฯ คนเดิมทันทีในวันสุดท้ายของการทำงาน เพื่อป้องกันข้อมูลรั่วไหล

 

คุณสามารถพิมพ์ Checklist ชุดนี้เพื่อนำไปจัดประชุมสั้น ๆ (Alignment Meeting) ระหว่างทีมไอทีและทีมเลขาฯ เพื่อให้ทั้งสองฝ่ายเข้าใจบทบาทหน้าที่ตรงกันได้เลยครับ

© 2023 by Vicharn Group.

Proudly created with Wix.com

bottom of page