ความปลอดภัยของข้อมูลทางกายภาพ

Q: การคุ้ยขยะ

การคุ้ยขยะ คือการค้นหาของมีค่าในกองขยะโดยหวังว่าจะได้สิ่งของมีค่าเหล่านั้น เช่น ข้อมูลที่ถูกทิ้งอย่างไม่ระมัดระวังบนกระดาษ แผ่นดิสก์คอมพิวเตอร์ หรืออุปกรณ์ฮาร์ดแวร์อื่นๆ

ความปลอดภัยของข้อมูลในเชิงกายภาพคือจุดตัดหรือจุดร่วมระหว่างความปลอดภัยทางกายภาพและความปลอดภัยของข้อมูลโดยหลักแล้วเกี่ยวข้องกับการปกป้องทรัพย์สินที่จับต้องได้ซึ่งเกี่ยวข้องกับข้อมูล เช่น ระบบคอมพิวเตอร์และสื่อจัดเก็บข้อมูล จากภัยคุกคามทางกายภาพในโลกแห่งความเป็นจริง เช่น การเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การโจรกรรม ไฟไหม้ และน้ำท่วม โดยทั่วไปแล้วจะเกี่ยวข้องกับการควบคุมทางกายภาพ เช่น สิ่งกีดขวางและกุญแจล็อค อุปกรณ์จ่ายไฟสำรอง และเครื่องทำลายเอกสาร การควบคุมความปลอดภัยของข้อมูลในโดเมนทางกายภาพจะเสริมการควบคุมในโดเมนเชิงตรรกะ (เช่น การเข้ารหัส) และการควบคุมเชิงกระบวนการหรือการบริหารจัดการ (เช่น การสร้างความตระหนักรู้ด้านความปลอดภัยของข้อมูลและการปฏิบัติตามนโยบายและกฎหมาย)

พื้นหลัง

ทรัพย์สินมีมูลค่าในตัวเอง แต่ก็มีความเสี่ยงต่อภัยคุกคามหลากหลายรูปแบบ ทั้งจากเจตนาร้าย (เช่น การโจรกรรม การวางเพลิง) และจากอุบัติเหตุ/ธรรมชาติ (เช่น ทรัพย์สินสูญหาย ไฟป่า) หากภัยคุกคามเกิดขึ้นจริงและใช้ประโยชน์จากจุดอ่อนเหล่านั้นจนก่อให้เกิดเหตุการณ์ขึ้น ก็มีแนวโน้มที่จะส่งผลกระทบในทางลบต่อองค์กรหรือบุคคลที่เป็นเจ้าของและใช้ทรัพย์สินอย่างถูกต้องตามกฎหมาย โดยมีผลกระทบตั้งแต่เล็กน้อยไปจนถึงร้ายแรง การควบคุมความปลอดภัยมีจุดประสงค์เพื่อลดโอกาสหรือความถี่ของการเกิดเหตุการณ์ และ/หรือความรุนแรงของผลกระทบที่เกิดจากเหตุการณ์ต่างๆ จึงเป็นการปกป้องมูลค่าของทรัพย์สิน

การรักษาความปลอดภัยทางกายภาพเกี่ยวข้องกับการใช้มาตรการควบคุม เช่น เครื่องตรวจจับควัน สัญญาณเตือนไฟไหม้ และเครื่องดับเพลิง รวมถึงกฎหมาย ข้อบังคับ นโยบาย และขั้นตอนที่เกี่ยวข้องกับการใช้งาน สิ่งกีดขวาง เช่น รั้ว กำแพง และประตู เป็นมาตรการควบคุมการรักษาความปลอดภัยทางกายภาพที่เห็นได้ชัดเจน ซึ่งออกแบบมาเพื่อยับยั้งหรือป้องกันการเข้าถึงพื้นที่ควบคุมโดยไม่ได้รับอนุญาต เช่น บ้านหรือสำนักงาน คูเมืองและเชิงเทินของปราสาทในยุคกลางเป็นตัวอย่างคลาสสิกของมาตรการควบคุมการเข้าถึงทางกายภาพ เช่นเดียวกับห้องนิรภัยและตู้เซฟของธนาคาร

การควบคุมความปลอดภัยของข้อมูลช่วยปกป้องคุณค่าของสินทรัพย์ข้อมูล โดยเฉพาะอย่างยิ่งตัวข้อมูลเอง (เช่น เนื้อหาข้อมูลที่จับต้องไม่ได้ ข้อมูล ทรัพย์สินทางปัญญา ความรู้ ฯลฯ) แต่ยังรวมถึงอุปกรณ์คอมพิวเตอร์และโทรคมนาคม สื่อจัดเก็บข้อมูล (รวมถึงกระดาษและสื่อดิจิทัล) สายเคเบิล และสินทรัพย์ที่จับต้องได้อื่นๆ ที่เกี่ยวข้องกับข้อมูล (เช่น แหล่งจ่ายไฟของคอมพิวเตอร์) คำขวัญขององค์กรที่ว่า "บุคลากรของเราคือสินทรัพย์ที่ยิ่งใหญ่ที่สุดของเรา" นั้นเป็นความจริงอย่างแท้จริงในแง่ที่ว่าบุคลากรที่ทำงานด้านความรู้จัดเป็นสินทรัพย์ข้อมูลที่มีค่าอย่างยิ่ง อาจหาทดแทนไม่ได้ มาตรการด้านสุขภาพและความปลอดภัยและแม้แต่การปฏิบัติทางการแพทย์จึงอาจจัดเป็นมาตรการควบคุมความปลอดภัยของข้อมูลทางกายภาพได้เช่นกัน เนื่องจากเป็นการปกป้องมนุษย์จากการบาดเจ็บ โรคภัยไข้เจ็บ และความตาย มุมมองนี้แสดงให้เห็นถึงความแพร่หลายและคุณค่าของข้อมูล สังคมมนุษย์สมัยใหม่พึ่งพาข้อมูลอย่างมาก และข้อมูลมีความสำคัญและมีคุณค่าในระดับที่ลึกซึ้งและพื้นฐานกว่านั้น ในหลักการแล้ว กลไกทางชีวเคมีระดับเซลล์ที่รักษาความถูกต้องของการจำลองดีเอ็นเออาจจัดเป็นมาตรการควบคุมความปลอดภัยของข้อมูลที่สำคัญได้ เนื่องจากยีนคือ 'ข้อมูลของชีวิต'

ผู้ไม่ประสงค์ดีที่อาจได้รับประโยชน์จากการเข้าถึงข้อมูลทางกายภาพ ได้แก่แฮกเกอร์คอมพิวเตอร์สายลับองค์กรและผู้ฉ้อโกง มูลค่าของข้อมูลนั้นเห็นได้ชัดเจนในกรณีเช่น แล็ปท็อปหรือเซิร์ฟเวอร์ที่ถูกขโมยซึ่งสามารถขายต่อเป็นเงินสดได้ แต่เนื้อหาของข้อมูลมักมีมูลค่าสูงกว่ามาก ตัวอย่างเช่น กุญแจเข้ารหัสหรือรหัสผ่าน (ใช้เพื่อเข้าถึงระบบและข้อมูลเพิ่มเติม) ความลับทางการค้าและทรัพย์สินทางปัญญาอื่นๆ (มีมูลค่าในตัวเองหรือมีมูลค่าเนื่องจากข้อได้เปรียบทางการค้าที่ได้รับ) และหมายเลขบัตรเครดิต (ใช้ในการฉ้อโกงตัวตนและการโจรกรรมเพิ่มเติม) นอกจากนี้ การสูญหาย การถูกขโมย หรือความเสียหายของระบบคอมพิวเตอร์ รวมถึงไฟฟ้าดับ ความล้มเหลวทางกลไก/อิเล็กทรอนิกส์ และเหตุการณ์ทางกายภาพอื่นๆ จะทำให้ไม่สามารถใช้งานได้ ซึ่งโดยทั่วไปจะทำให้เกิดการหยุดชะงักและค่าใช้จ่ายหรือความสูญเสียที่ตามมา การเปิดเผยข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต และแม้แต่การข่มขู่ว่าจะเปิดเผยข้อมูลดังกล่าว ก็อาจสร้างความเสียหายได้ ดังที่เราเห็นในกรณีการแฮ็ก Sony Pictures Entertainmentในช่วงปลายปี 2014 และในเหตุการณ์การละเมิดความเป็นส่วนตัวอีกมากมาย ถึงแม้จะไม่มีหลักฐานว่าข้อมูลส่วนบุคคลที่ถูกเปิดเผยนั้นถูกนำไปใช้ในทางที่ผิดจริง ๆ แต่ข้อเท็จจริงที่ว่าข้อมูลเหล่านั้นไม่ได้รับการรักษาความปลอดภัยและอยู่นอกเหนือการควบคุมของเจ้าของที่แท้จริงแล้ว ก็ถือเป็นผลกระทบด้านความเป็นส่วนตัวที่อาจเป็นอันตรายได้ ควรหลีกเลี่ยงค่าปรับจำนวนมาก ความเสียหายต่อชื่อเสียง/การประชาสัมพันธ์ และบทลงโทษและการผลกระทบอื่น ๆ ที่เกิดจากการไม่ปฏิบัติตามกฎระเบียบอันเนื่องมาจากการละเมิดความเป็นส่วนตัวอย่างร้ายแรง ไม่ว่าจะเกิดจากสาเหตุใดก็ตาม!

ตัวอย่างของการทำร้ายร่างกายเพื่อแย่งชิงข้อมูล

มีหลายวิธีในการได้มาซึ่งข้อมูลผ่านการโจมตีทางกายภาพหรือการใช้ช่องโหว่ ตัวอย่างบางส่วนมีอธิบายไว้ด้านล่าง

การคุ้ยขยะ

การคุ้ยขยะคือการค้นหาของมีค่าในกองขยะโดยหวังว่าจะได้สิ่งของมีค่าเหล่านั้น เช่น ข้อมูลที่ถูกทิ้งอย่างไม่ระมัดระวังบนกระดาษ แผ่นดิสก์คอมพิวเตอร์ หรืออุปกรณ์ฮาร์ดแวร์อื่นๆ

การเข้าถึงอย่างเปิดเผย

บางครั้งผู้โจมตีจะเข้าไปในอาคารและนำข้อมูลที่พวกเขาต้องการไป ^{[ 1 ]} บ่อยครั้งที่เมื่อใช้กลยุทธ์นี้ ผู้โจมตีจะปลอมตัวเป็นบุคคลที่อยู่ในสถานการณ์นั้น พวกเขาอาจปลอมตัวเป็นพนักงานห้องถ่ายเอกสาร หยิบเอกสารจากโต๊ะทำงานของใครบางคน คัดลอกเอกสาร วางเอกสารต้นฉบับกลับคืนที่เดิม และออกไปพร้อมกับเอกสารที่คัดลอกมา บุคคลที่แสร้งทำเป็นเจ้าหน้าที่บำรุงรักษาอาคารอาจเข้าถึงพื้นที่ที่ปกติแล้วถูกจำกัดได้ [ ^{2 ] [}^{3 ] พวก} เขาอาจเดินออกจากอาคารไปพร้อมกับถุงขยะที่มีเอกสารสำคัญ ถืออุปกรณ์พกพาหรือสื่อจัดเก็บข้อมูลที่วางทิ้งไว้บนโต๊ะทำงาน หรืออาจจำรหัสผ่านได้จากกระดาษโน้ตที่แปะไว้บนหน้าจอคอมพิวเตอร์ของใครบางคน หรือตะโกนบอกเพื่อนร่วมงานที่อยู่ฝั่งตรงข้ามของสำนักงานแบบเปิด

ตัวอย่างของการควบคุมความปลอดภัยของข้อมูลทางกายภาพ

การทำลายเอกสารกระดาษด้วยการฉีกก่อนทิ้งสามารถป้องกันการรั่วไหลของข้อมูล โดยไม่ตั้งใจได้ ส่วนข้อมูลดิจิทัลสามารถเข้ารหัสหรือลบอย่างปลอดภัยได้

สำนักงานอาจกำหนดให้ผู้มาเยือนแสดงบัตรประจำตัวที่ถูกต้องหรือกุญแจเข้าออกที่ถูกต้อง พนักงานอาจต้องปฏิบัติตามนโยบาย "โต๊ะทำงานที่เป็นระเบียบ" โดยการจัดเก็บเอกสารและสื่อบันทึกข้อมูลอื่นๆ (รวมถึงอุปกรณ์ไอทีแบบพกพา) ให้พ้นสายตา (เช่น ในลิ้นชักที่ล็อกได้ ตู้เก็บเอกสาร ตู้เซฟหรือตู้นิรภัยของธนาคาร ) พนักงานอาจต้องจดจำรหัสผ่านของตนเองหรือใช้โปรแกรมจัดการรหัสผ่านแทนการเขียนรหัสผ่านลงบนกระดาษ

คอมพิวเตอร์มีความเสี่ยงต่อการหยุดชะงักที่เกิดจากไฟดับ การถอดสายโดยไม่ตั้งใจ แบตเตอรี่หมด ไฟตก ไฟกระชาก ไฟเกิน การรบกวนทางไฟฟ้า และความผิดพลาดทางอิเล็กทรอนิกส์ การควบคุมความปลอดภัยของข้อมูลทางกายภาพเพื่อจัดการกับความเสี่ยงที่เกี่ยวข้อง ได้แก่ ฟิวส์ แหล่งจ่ายไฟสำรองที่ใช้แบตเตอรี่แบบไม่ขาดตอน เครื่องกำเนิดไฟฟ้า แหล่งจ่ายไฟและสายเคเบิลสำรอง ป้ายเตือน "ห้ามถอด" บนปลั๊ก อุปกรณ์ป้องกันไฟกระชาก การตรวจสอบคุณภาพไฟฟ้า แบตเตอรี่สำรอง การออกแบบและติดตั้งวงจรไฟฟ้าอย่างมืออาชีพ รวมถึงการตรวจสอบ/ทดสอบและ การบำรุงรักษา เชิง ป้องกัน อย่างสม่ำเสมอ

ดูเพิ่มเติม

ลิงก์ภายนอก

หลักการพื้นฐานของวิศวกรรมสังคม

[ 1 ]

2 ] [

3 ] พวก