โครงการยกระดับขีดความสามารถการเฝ้าระวังและตอบสนองภัยคุกคามทางไซเบอร์ด้วยปัญญาประดิษฐ์ กรมโรงงานอุตสาหกรรม

สถานที่ :

ผู้ว่าจ้าง :

วันที่เริ่มโครงการ :

วันที่สิ้นสุดโครงการ :

วัตถุประสงค์

  1. วัตถุประสงค์

        2.1 เพื่อจ้างที่ปรึกษาในการศึกษาและออกแบบรูปแบบการเฝ้าระวังและตอบสนองภัยคุกคามทางไซเบอร์ด้วยปัญญาประดิษฐ์ควบคู่กับการตัดสินใจของผู้เชี่ยวชาญ

2.2 เพื่อนำร่องการศึกษาความเป็นไปได้ในการใช้งานโซลูชั่นด้านความปลอดภัยและระบบบริการจัดการและเตือนภัยไซเบอร์ เพื่อให้สามารถตรวจจับเชิงพฤติกรรม (Behavioral Analysis) และ เพื่อตรวจจับภัยคุกคามในเชิงรุก (Threat Intelligence) ด้วยปัญญาประดิษฐ์ควบคู่กับการตัดสินใจของผู้เชี่ยวชาญที่เหมาะสมกับระบบสารสนเทศปัจจุบันของกรมโรงงานอุตสาหกรรม

2.3 เพื่อจ้างที่ปรึกษาผู้เชี่ยวชาญในการทำหน้าที่ตรวจสอบ วิเคราะห์ และตอบสนองต่อเหตุการณ์
ด้านความปลอดภัยแบบเรียลไทม์ (Realtime) เฝ้าระวังและแก้ไขปัญหาภัยคุกคามในระบบสารสนเทศ

2.4 เพื่อทำการทดสอบความปลอดภัยของระบบไซเบอร์ภายใน กรมโรงงานอุตสาหกรรม โดยทำการตรวจสอบช่องโหว่ระบบงานสำคัญและค้นหาความเสี่ยงที่อาจทำให้เกิดปัญหาทางด้านไซเบอร์ในอนาคต

ขอบเขตการดำเนินงาน

  1. ขอบเขตของงานจ้างที่ปรึกษา

6.1 ที่ปรึกษาจะต้องจัดทำรายละเอียดของงานโครงการ ประกอบด้วย แนวคิด วิธีการ ขั้นตอน
แผนการดำเนินงาน ระยะเวลาที่ครอบคลุมกิจกรรม และผู้รับผิดชอบของแต่ละขั้นตอน ให้สอดคล้องตามประกาศกรมโรงงานอุตสาหกรรม เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
ของ กรมโรงงานอุตสาหกรรม ส่วนที่ 7 แนวปฏิบัติการตรวจสอบและประเมินความเสี่ยง โดยให้ปฏิบัติตามกระบวนการ PDCA

6.2 ที่ปรึกษาจะต้องวิเคราะห์ผลกระทบหรือความเสี่ยงที่เกิดขึ้น โดยจัดทำแผนประเมินความเสี่ยง
พร้อมทั้งหาวิธีรับมือกับความเสี่ยงหรือผลกระทบนั้นๆ ก่อนการดำเนินการทดสอบเจาะระบบ หรือการประเมิน ช่องโหว่ และแต่งตั้งผู้แทนอย่างน้อยหนึ่งคนเพื่อรับผิดชอบและควบคุมการดำเนินงาน รวมทั้งเป็นผู้ติดต่อประสานงานระหว่างกรมโรงงานอุตสาหกรรมกับที่ปรึกษา

6.3 ที่ปรึกษาจะต้องแจ้งเจ้าหน้าที่ผู้มีหน้าที่รับผิดชอบของกรมโรงงานอุตสาหกรรม ให้ทราบทุกครั้ง
ก่อนดำเนินงานทดสอบเจาะระบบโดยที่ปรึกษาจะต้องแจ้งกรมโรงงานอุตสาหกรรมทราบล่วงหน้าอย่างน้อย
3 วันทำการ และจะดำเนินการได้หลังจากที่ได้รับความเห็นชอบทุกครั้ง

6.4 การทดสอบความปลอดภัยทางด้านไซเบอร์ของกรมโรงงานอุตสาหกรรม โดยมีรายละเอียด
การดำเนินการอย่างน้อยดังนี้

6.4.1 การทดสอบเจาะระบบ (Penetration Testing) ประกอบด้วย

6.4.1.1 ที่ปรึกษาจะต้องดำเนินการทดสอบเจาะระบบเว็บแอปพลิเคชันจากเครือข่ายภายนอก (External Black-Box Web Application Penetration testing) เพื่อนำเอาข้อมูลสำคัญ เช่น บัญชีผู้ดูแลระบบพร้อมทั้งรหัสผ่าน หรือบัญชีผู้ใช้พร้อมรหัสผ่าน หรือข้อมูลอื่นๆ ที่มีความสำคัญ รวมถึงผลกระทบใดๆ
ที่อาจทำให้กรมโรงงานอุตสาหกรรม ได้ทราบถึงความเสี่ยงจากการถูกเจาะระบบ โดยในการทดสอบเจาะระบบ
จะดำเนินการเหมือนกับการเจาะระบบของไวรัสหรือแฮกเกอร์ที่ปฏิบัติการจริง ซึ่งจะดำเนินการหาช่องทาง
ในการเข้าถึงระบบ (Exploit) ผ่านจุดอ่อนหรือช่องโหว่ต่างๆ ของเว็บไซต์หรือโมบายแอปพลิเคชัน (ช่องโหว่
ที่พบอาจเป็น zero-day ที่ยังไม่พบการแจ้งเตือนจากผู้ให้บริการ (Vendor) โดยครอบคลุมระบบงาน เป้าหมายดังต่อไปนี้ เว็บไซต์ของบริการที่สำคัญไม่น้อยกว่า 10 เว็บไซต์ โดยทางกรมโรงงานอุตสาหกรรม
เป็นผู้ระบุและลำดับความสำคัญของเว็บไซต์ดังกล่าว

6.4.1.2 วิธีการการดำเนินการทดสอบการเจาะระบบจากเครือข่ายภายนอกของกรมโรงงานอุตสาหกรรม (External Penetration Testing) ที่ปรึกษาจะต้องทดสอบเจาะระบบ ด้วยตัวบุคคล ควบคู่
ไปกับการทดสอบเจาะระบบโดยใช้เครื่องมืออัตโนมัติ ทั้งนี้ ต้องมีการใช้เครื่องมือที่มีการประยุกต์ใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) ในกระบวนการเจาะระบบ เพื่อเพิ่มประสิทธิภาพในการตรวจจับช่องโหว่ วิเคราะห์ข้อมูล หรือสร้าง Payloads/Attack Scenarios ที่หลากหลายมากยิ่งขึ้น โดยไม่ส่งผลกระทบต่อความต่อเนื่อง
ในการให้บริการ (Availability) หรือข้อมูลของผู้ใช้งาน

6.4.1.3 ขอบเขตการดำเนินการทดสอบเจาะระบบ (Scope of a Penetration Test)
ที่ปรึกษาจะต้องดำเนินการให้ครอบคลุมองค์ประกอบที่สำคัญ ได้แก่ โฮสต์ (ระบบคอมพิวเตอร์แม่ข่าย) เครือข่าย (ระบบเครือข่ายและระบบป้องกันและรักษาความปลอดภัย) และแอปพลิเคชัน (บริการที่สำคัญ
ที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) ของกรมโรงงานอุตสาหกรรม) และต้องเป็นไปตามมาตรฐาน
ที่เป็นปัจจุบันของ OWAPS Top 10 Web Application Security Risks หรือ CWE/SANS TOP 25Most Dangerous Software Errors เป็นอย่างน้อย โดยใช้เทคนิคการโจมตีที่หลากหลายและครอบคลุม เช่น การฝัง คำสั่งผ่านช่องป้อนข้อมูล (Injection), การเดารหัสผ่านหรือบังคับให้เข้าสู่ระบบ (Brute Force), การควบคุม สิทธิ์ที่ไม่เหมาะสม (Broken Access Control), การฝังสคริปต์ในเว็บไซต์ (Cross-Site Scripting: XSS),
การตั้งค่าระบบที่ไม่ปลอดภัย (Security Misconfiguration), และการจัดการเซสขันหรือการพิสูจน์ตัวตน
ที่ไม่ปลอดภัย (Insecure Authentication and Session Management) เป็นต้น

6.4.1.4 ที่ปรึกษาจะต้องดำเนินการวิเคราะห์ความเสี่ยงและผลกระทบของช่องโหว่ที่ตรวจพบ และแนะนำวิธีการแก้ไขหรือป้องกัน พร้อมดำเนินการจัดทำรายงานผลการทดสอบเจาะระบบ อย่างน้อยโดยอิงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) version ปัจจุบันดังนี้

  • วิธีการตรวจสอบและทดสอบเจาะระบบ
  • รายละเอียดช่องโหว่หรือจุดอ่อนที่พบ ปริมาณช่องโหว่ของระบบ โดยจัดลำดับ ความสำคัญของช่องโหว่ ที่พบว่าช่องโหวใดที่มีความจำเป็นเร่งด่วนที่ต้องแก้ไข
  • ผลการทดสอบเจาะระบบ โดยอ้างอิงตามระดับความเสี่ยง (Risk) และผลกระทบ (Impact) รวมถึงช่องโหว่ที่ตรวจพบอย่างละเอียด
  • แนะนำวิธีการป้องกันหรือแก้ไขช่องโหว่ที่ตรวจพบ

6.4.2 การประเมินช่องโหว่ของระบบ (Vulnerability Assessment) ประกอบด้วย

6.4.2.1 ที่ปรึกษาจะต้องดำเนินการตรวจสอบช่องโหว่และตรวจสอบค่าความปลอดภัยของระบบ (Security Configuration Baseline Assessment) โดยที่ปรึกษาจะต้องประเมินช่องโหว่ ด้วยตัวบุคคล ควบคู่ไปกับการประเมินช่องโหว่โดยใช้เครื่องมืออัตโนมัติ และตรวจสอบเปรียบเทียบกับ มาตรฐาน CIS
หรือ NIST สำหรับเครื่องแม่ข่ายและอุปกรณ์เครือข่ายที่อยู่ในขอบเขตงาน ทั้งนี้ให้ใช้เครื่องมือที่ใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) ในการประเมินช่องโหว่ เพื่อให้ผลการตรวจสอบครอบคลุมและสามารถระบุช่องโหว่ได้อย่างแม่นยำ จำนวนไม่น้อยกว่า 300 IP Address โดยดำเนินการค้นหาช่องโหว่ ประเมินหาจุดอ่อน ประเมินความเสี่ยงและผลกระทบ ให้ครอบคลุมองค์ประกอบทั้งหมดของระบบคอมพิวเตอร์ และระบบเครือข่าย
ของกรมโรงงานอุตสาหกรรม พร้อมจัดทำข้อเสนอแนะ สำหรับแนวทางแก้ไขระบบ สารสนเทศและระบบ
ที่เกี่ยวข้อง โดยมีรายละเอียดดังนี้

  • ดำเนินการค้นหารายละเอียด Port/Service ที่มีสถานะเปิด (Active) รายละเอียด ช่องโหว่ที่พบคำแนะนำ/ข้อเสนอแนะและแนวทางการปรับปรุง ของระบบคอมพิวเตอร์และระบบเครือข่าย ของกรมโรงงานอุตสาหกรรม ดังนี้

1.1 ระบบเครือข่ายภายในกรมโรงงานอุตสาหกรรม

1.2 ระบบคอมพิวเตอร์แม่ข่ายของกรมโรงงานอุตสาหกรรม

1.3 ระบบป้องกันและรักษาความปลอดภัยทางคอมพิวเตอร์

  • การค้นหาช่องโหว่ ประเมินหาจุดอ่อน ประเมินความเสี่ยงและผลกระทบ ที่ปรึกษา จะต้องดำเนินการโดยใช้โปรแกรมหรือซอฟต์แวร์ที่มีความน่าเชื่อถืออย่างน้อย
    2 โปรแกรม และเป็นโปรแกรมที่ ที่ปรึกษามีลิขสิทธิ์ถูกต้อง

6.4.2.2 ที่ปรึกษาจะต้องดำเนินการจัดทำรายงานสรุปผลการประเมินช่องโหว่ของระบบ

6.5 เมื่อที่ปรึกษาดำเนินการทดสอบเจาะระบบและประเมินช่องโหว่แล้ว ให้นำเสนอรายงานผล
การดำเนินการ รายละเอียดช่องโหว่หรือจุดอ่อนที่พบ รวมถึงปริมาณช่องโหว่ของระบบ ความเสี่ยงที่พบ
และผลกระทบที่อาจเกิดขึ้นอย่างละเอียดพร้อมแนวทางการแก้ไข รวมถึงเวลาโดยประมาณในการแก้ไข
ต่อกรมโรงงานอุตสาหกรรม

6.6 ที่ปรึกษาจะต้องให้คำแนะนำแนวทางการปิดช่องโหว่ ที่อาจส่งผลกระทบต่อระดับความปลอดภัย ของระบบเทคโนโลยีสารสนเทศของกรมโรงงานอุตสาหกรรม ให้กับผู้ดูแลหรือผู้พัฒนาระบบของกรมโรงงานอุตสาหกรรม ภายหลังจากการทดสอบการเจาะระบบ และการประเมินความเสี่ยงช่องโหว่ รวมถึงให้คำแนะนำแนวทางการปรับปรุงความมั่นคงปลอดภัยของระบบให้เป็นไปอย่างเหมาะสม โดยกรมโรงงานอุตสาหกรรม
จะเป็นผู้ดำเนินการแก้ไขและปิดช่องโหว่ที่พบ ตามคำแนะนำและวิธีการที่ที่ปรึกษาได้นำเสนอ

6.7 ที่ปรึกษาจะต้องดำเนินการตรวจสอบผลการแก้ไขการปิดช่องโหว่หรือจุดอ่อนอีกครั้งหลังดำเนินการ แก้ไข หากยังพบช่องโหว่หรือจุดอ่อนเดิมที่เคยรายงานและดำเนินการแก้ไขแล้ว ให้ถือเป็นความรับผิดชอบ ของกรมโรงงานอุตสาหกรรม ที่ต้องดำเนินการหาทางแก้ไขให้แล้วเสร็จ เมื่อกรมโรงงานอุตสาหกรรมดำเนินการปิดช่องโหว่แล้ว หรือวางแผนเพื่อลดความเสี่ยง

6.8 การตรวจสอบและประเมินความเสี่ยงความปลอดภัยทางด้านไซเบอร์ มีรายละเอียดการดำเนินการ อย่างน้อยดังนี้

6.8.1 ตรวจสอบและประเมินความเสี่ยงทางด้านความปลอดภัยของโครงสร้างพื้นฐาน (Infrastructure Security) ประกอบด้วย

6.8.1.1 ตรวจสอบและประเมินการตั้งค่า (Configuration Review) ของระบบโครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศ

6.8.1.2 วิเคราะห์ความเสี่ยงและหาช่องโหว่ที่อาจถูกโจมตี

6.8.1.3 จัดทำแนวทางแก้ไขเพื่อเพิ่มความปลอดภัย

6.8.2 ตรวจสอบและประเมินความเสี่ยงทางด้านระบบฐานข้อมูลและความปลอดภัยข้อมูลส่วนบุคคล (Database & PDPA Security) ประกอบด้วย

6.8.2.1  ตรวจสอบความมั่นคงปลอดภัยของระบบฐานข้อมูล

6.8.2.2 ประเมินการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

6.8.2.3 จัดทำ PDPA Gap Assessment Report พร้อมข้อเสนอแนะ

6.8.3 ตรวจสอบและประเมินความเสี่ยงทางด้านความปลอดภัยระบบเครือข่าย (Network Security) ประกอบด้วย

6.8.3.1 ประเมินการตั้งค่าและช่องโหว่ของระบบเครือข่าย

6.8.3.2 ตรวจสอบความสามารถในการป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต

6.8.3.3 จัดทำแนวทางปรับปรุงระบบเครือข่ายให้มีความปลอดภัยสูงขึ้น

6.8.4 การดำเนินการด้านเอกสารและรายงานผล ประกอบด้วย

6.8.4.1 จัดทำเอกสารหรือคู่มือแนวทางประเมินความเสี่ยงตามมาตรฐาน NIST

6.8.4.2 จัดทำรายงานรายการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ในรูปทะเบียน ความเสี่ยง (Risk Register) ที่มีข้อมูลรายการความเสี่ยงที่ระบุสาเหตุภัยคุกคามและช่องโหว่ ความน่าจะเป็น ผลกระทบ และระดับความเสี่ยง ที่ครอบคลุมบริการสำคัญของกรมโรงงานอุตสาหกรรม

6.8.4.3 จัดทำ NIST Gap Assessment Report

6.8.4.4 จัดทำ PDPA Gap Assessment Report

6.8.4.5 จัดทำเอกสารแนวทางพัฒนา Infrastructure, Database, Network Security

6.8.4.6 จัดทำเอกสารสรุปการบริหารและการจัดการโค (Project Summary)

6.8.5 ที่ปรึกษาต้องดำเนินการตรวจสอบตามเกณฑ์มาตรฐานที่ใช้ (Audit Criteria) ดังนี้

6.8.5.1 NIST Cybersecurity Framework (CSF) 2.0

6.8.5.2 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

 

 

6.9 จัดทำหลักสูตรอบรมความปลอดภัยทางด้านไซเบอร์ โดยมีรายละเอียดอย่างน้อยดังนี้

6.9.1 เทคโนโลยีสารสนเทศในชีวิตประจำวัน

6.9.2 ภัยคุกคามและแนวโน้มด้านความปลอดภัยทางไซเบอร์

6.9.3 กฎหมายและหน่วยงานกำกับดูแลความปลอดภัยทางไซเบอร์

6.9.4 พระราชบัญญัติว่าด้วยอาชญากรรมคอมพิวเตอร์ของประเทศไทย

6.9.5 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

6.9.6 มาตรฐานความมั่นคงปลอดภัยของข้อมูลบัตรชำระเงิน

6.9.7 มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013

6.9.8 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

6.9.9 ภัยคุกคามทางไซเบอร์

6.9.10 เทคนิคการโจรกรรมข้อมูลประจำตัวบุคคล

6.9.11 การละเมิดสิทธิในข้อมูลส่วนบุคคล

6.9.12 ภัยคุกคามจากการหลอกลวงทางสังคม

6.9.13 เทคนิคการเจาะระบบ

6.9.14 ภัยคุกคามจากอุปกรณ์สื่อสารเคลื่อนที่

6.9.15 ภัยคุกคามจากมัลแวร์

6.9.16 ภัยคุกคามจากเครือข่ายไร้สาย

6.9.17 ภัยคุกคามจากการใช้สื่อสังคมออนไลน์

6.9.18 อุปกรณ์สอดแนมและอุปกรณ์ติดตามตำแหน่ง

6.9.19  ภัยคุกคามจาก Internet of Things

6.9.20 มาตรการป้องกันและรับมือภัยคุกคามทางไซเบอร์

6.9.21 การรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์ขององค์กร

6.9.22 การป้องกันข้อมูลประจำตัวและตัวตนทางดิจิทัล

6.9.23 การรักษาความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่/สมาร์ตโฟน

6.9.24 การป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

6.9.25 การใช้งานอินเทอร์เน็ตอย่างปลอดภัย

6.9.26 การสร้างความตระหนักรู้เกี่ยวกับเทคนิคการหลอกลวงทางสังคม

6.9.27 แนวทางการรับมือเมื่อบัญชีผู้ใช้หรือคอมพิวเตอร์ถูกเจาะระบบ

6.10 จัดสัมมนาให้ความรู้เกี่ยวกับการยกระดับขีดความสามารถการเฝ้าระวังและตอบสนองภัยคุกคาม ทางไซเบอร์ด้วยปัญญาประดิษฐ์ กรมโรงงานอุตสาหกรรม ให้แก่เจ้าหน้าที่กรมโรงงานอุตสาหกรรม แบบออนไลน์ จำนวน 1 หลักสูตร ๆ ละ 1 วัน จำนวนไม่น้อยกว่า 100 คน